Sankcije su dugo bile važno sredstvo putem kojeg vlade ostvaruju svoje političke, ekonomske i diplomatske ciljeve. Ove mjere mogu biti usmjerene na nacionalne države, organizacije ili pojedince u različite svrhe, uključujući zabranu određenih aktivnosti, prisiljavanje na promjenu ponašanja ili jednostavno slanje političke poruke.
Naime, sankcije su činile glavnu komponentu odgovora Zapada na tekuću invaziju Rusije na Ukrajinu. Ove sankcije imaju za cilj da ometaju i ograniče finansijske mogućnosti ruske vlade i visokih pojedinaca, kao i da pošalju snažnu poruku osude za postupke Kremlja.
Posljednjih godina došlo je do proširenja ovog pristupa u obliku kibvernetičkih sankcija, pravila posebno osmišljena za kažnjavanje hakera.
U razgovoru za Infosecurity, Theresa Payton, izvršna direktorica i predsjednica Fortalice Solutions-a i bivša službenica za informisanje Bijele kuće, objasnila je ciljeve ovih mjera: “Primarna svrha ili poruka kibernetičkih sankcija koje su nacionalne vlade izdale posljednjih godina je odvraćanje malicioznih kibernetičkih operativaca koje ugrožavaju nacionalnu sigurnost, ekonomsku stabilnost i demokratske procese.”
“Uvođenjem sankcija pojedincima, entitetima ili državama odgovornim za kibernetičke napade ili kibernetičku špijunažu, vlade nastoje da te hakere pozovu na odgovornost za svoje postupke i pokažu da postoje posljedice za sudjelovanje u takvim aktivnostima.”
Često su pojedinci i grupe osumnjičeni za kibernetičke kriminalne aktivnosti fizički izvan okvira provođenja zakona, posebno kada osumnjičeni borave u takozvanim ‘sigurnim utočištima’ poput Rusije i Kine.
Stoga sankcije nude održivu alternativu hapšenju i zatvaranju čiji su cilj hakeri.
Kratka istorija kibernetičkih sankcija
SAD su izdale svoje prve kibernetičke sankcije 2015. godine, u obliku Izvršne naredbe predsjednika Obame 13694, koja je naknadno revidirana 2016. godine. Time je „ovlašteno nametanje sankcija pojedincima i entitetima za koje je utvrđeno da su odgovorni ili saučesnici u malicioznim aktivnostima koje su omogućene putem interneta. rezultirati nabrojanim štetama za koje postoji razumna vjerovatnoća da će rezultirati ili su materijalno doprinijele značajnoj pretnji nacionalnoj sigurnosti, vanjskoj politici ili ekonomskom zdravlju ili finansijskoj stabilnosti SAD-a.”
Kazne uključuju zamrzavanje svih sredstava relevantnih organizacija ili pojedinaca u SAD-u i ograničenja putovanja u region.
EU je 2020. godine ušla u svijet kibernetičkih sankcija izdavanjem niza kazni, uključujući zabranu putovanja i zamrzavanje imovine, protiv šest pojedinaca i tri entiteta iz Rusije, Kine i Sjeverne Koreje koji su bili „upleteni u značajne kibernetičke napade ili pokušaja kibernetičkog napada na EU ili njene države članice.”
Upotreba kibernetičkih sankcija dodatno je bila u centru pažnje u februaru 2023. godine kada su vlade SAD-a i Velike Britanije najavile zajedničke mjere protiv sedam ruskih kibernetičkih kriminalaca koji su članovi zloglasne Trickbot maliciozne grupe. Grupa, koja ima veze s ruskim obavještajnim službama, okrivljena je za razvoj sojeva ransomware-a koji ciljaju kritične usluge u SAD-u i Velikoj Britaniji.
Kibernetičke sankcije su sada uobičajeni mehanizam pomoću kojeg vlade mogu da odgovore na kibernetičke pretnje javnim uslugama i kritičnoj infrastrukturi, ali je važno utvrditi da li imaju značajan uticaj na ometanje i odvraćanje od kibernetičkog kriminala.
Realan uticaj
Pripisivanje kibernetičkih napada je notorno teško u poređenju sa tradicionalnim oblicima kriminala, s obzirom na nedostatak geografskih granica i relativnu anonimnost koja se daje počiniocima.
“Izazov sa sankcijama za maliciozne kibernetičke aktivnosti često su neimenovani pojedinci kojima treba nametnuti sankcije” priznala je Payton.
Međutim, vlasti i organizacije postaju sve vještije u identifikaciji odgovornih, čak i ako to može potrajati.
Govoreći o nedavnim zajedničkim sankcijama SAD i Velike Britanije, Robert Hannigan, predsjednik međunarodnog poslovanja u BlueVoyant-u i bivši direktor britanske obavještajne agencije GCHQ, primijetio je: „Odlučivanje koje pojedince treba sankcionirati zahtijeva mnogo pažljive istrage i pripisivanja. Veoma detaljni dokumenti koje su izdali FBI, američko ministarstvo finansija i ministarstvo pravde ilustruju koliko je materijala prikupljeno i koliko se zna o ovim grupama.”
Ipak, čak i kada su počinioci konkretnih napada identifikovani i izrečene im sankcije, razumljivo postoji skepticizam da će takve mjere ograničiti mogućnost pokretanja napada na bilo koji način, posebno protiv ljudi koji žive u zemljama poput Rusije. Zapravo, izricanje sankcija grupama i pojedincima može čak izazvati dalje napade na tu zemlju.
Kao rezultat toga, može biti primamljivo na kibernetičke sankcije gledati kao na nešto više od političkog držanja, s ograničenom praktičnom koristi.
„Direktan uticaj sankcija protiv pojedinaca sa sedištem u Rusiji, koji su van domašaja organa za sprovođenje zakona, neizbežno je ograničen“ priznao je Hanigan.
Ipak, stručnjaci ističu indirektan uticaj takvih sankcija na sve sofistikovanije poslovne modele kibernetičkih kriminalnih grupa. Ekonomske sankcije, kao što je zamrzavanje imovine, otežavaju hakerima kretanje i pristup svojim nezakonitim dobitima u regijama u kojima su sankcionisani.
„Sankcije otežavaju kibernetičkim kriminalcima pranje novca i ‘unovčavanje’ profita od kibernetičkog kriminala” primijetio je Hannigan.
Na kraju, ovo stvara veći finansijski rizik za te grupe.
Uticaj na ransomware
Vlade se nadaju da kibernetičke sankcije mogu imati poseban uticaj u borbi protiv ransomware-a, koji je imao razoran društveni uticaj posljednjih godina. Kako kibernetičke sankcije zabranjuju pojedincima ili finansijskim institucijama da se uključe u transakcije s određenim pojedincima, one u suštini kriminalizuju isplate iznude za njih. Ovo je de facto način da se plaćanje ransomware-a učini nezakonitim, stavljajući žrtve na odgovornost da odluče žele li rizkovati kaznu od svoje vlade zbog pristajanja na zahtjev sankcionisanih grupa i pojedinaca.
Brian Honan, izvršni direktor BH Consultinga, objasnio je: „U slučaju ransomware napada, ako postoje sankcije protiv onih koji su uključeni u grupu ili zemlje u kojima se sumnja da se ti kriminalci nalaze, onda bi organizacija koja plaća otkupninu mogla biti novčano kažnjena od strane vlastite nacionalne vlade.”
S jedne strane, to ne mora nužno odvratiti hakere ransomware-a od pokretanja napada jer je na kraju na organizaciji žrtava da odluči hoće li platiti, rekao je.
Međutim, nadamo se da će uvođenje sankcija „primorati organizacije i kibernetičke osiguravajuće kompanije koje mogu imati kao dio svog plana odgovora na napad ransomware-a opciju da plate otkupninu, da preispitaju tu strategiju i možda ulože više u osiguravanje otpornijeg poslovanja do kibernetičkih napada” komentarisao je Honan.
Još jedna potencijalna, iako ređa, posljedica kibernetičkih sankcija je da one daju policiji moć da ih uhapse ako ciljani pojedinci pokušaju otputovati u regiju u kojoj im je zabranjeno.
Hannigan je napomenuo: “FBI povremeno hapsi i procesuira pojedinačne kibernetičke kriminalce kada putuju u treće zemlje.”
Osim toga, psihološki učinak kibernetičkih sankcija ne treba potcijeniti, smatra Honan. „Uvođenje sankcija ima efekat isticanja pojedinaca i organizacija koji stoje iza kibernetičkog kriminala. To im šalje poruku da vlasti znaju ko su, da vlasti poduzimaju mjere protiv njih i da će, ako im se pruži prilika, poduzeti dalje radnje, poput hapšenja.
„Zapravo, sankcije čine život kibernetičkim kriminalcima malo težim jer utiče na njihov životni stil i povećava se rizik od hapšenja ako putuju u određene zemlje“ dodao je.
Buduća uloga kibernetičkih sankcija
Vlade i organi za provođenje zakona sada vide sankcije kao važno oružje u borbi protiv kibernetičkog kriminala.
To je pristup koji će vjerovatno postati češći kako se okruženje pretnji širi. Hannigan je rekao: “Vidjet ćemo više ovoga jer vlade nastavljaju tražiti niz poluga da poremete poslovni model kibernetičkog kriminala, čak i kada ne mogu doći do pojedinaca jer ih štiti Rusija ili druge zemlje.”
Ipak, u budućnosti, vlade bi trebale gledati da koriste ovaj pristup u koordinaciji s drugim međunarodnim naporima da se poremete aktivnosti kibernetičkog kriminala, a ne kao izolirana politika, kao što je trenutno često slučaj. Honan je tvrdio da je porast kibernetičkih sankcija, djelimično, simptom neefikasnosti trenutnih međunarodnih zakona i sporazuma u borbi protiv kibernetičkog kriminala.
„Mnogi zakoni i sporazumi koji se koriste za borbu protiv kibernetičkog kriminala stari su decenijama i u mnogim slučajevima su bili na snazi prije nego što je internet nastao. Dakle, to je jedna od rijetkih zakonskih opcija koje vlade moraju postaviti protiv pojedinaca ili grupa. Posebno oni koji djeluju iz jurisdikcija koje zatvaraju oči pred njihovim zločinačkim poduhvatima ili su zaista saučesnici u njihovim zločinačkim poduhvatima” rekao je on.
Payton se složila i vjeruje da bi nacionalne države koje imaju isto mišljenje takođe trebale raditi zajedno na poboljšanju i razvoju kibernetičkih sankcija kako bi se poboljšala njihova efikasnost.
„Predviđam da će se sankcije povećati u pravcu sankcionisanja specifičnih za državu. Svjetski lideri moraju se udružiti kako bi uspostavili sporazume i protokole jer same kibernetičke sankcije neće odvratiti maliciozne operativce” istakla je ona.
Sankcije se ne mogu same nositi s kibernetičkim kriminalom, ali bi trebale činiti komponentu širih međuvladinih napora da se poremete hakeri i da se vektori poput ransomware-a učine manje profitabilnim, što u konačnici čini digitalni svijet sigurnijim mjestom.
Izvor: Infosecurity Magazine