Prin 2007, cînd
însoțeam, uneori, convoaie de tiruri pe șoselele de coșmar ale
Iraq-ului, așteptarea unui atac din partea insurgenților creștea
pulsul, iar trupul era scăldat, pur și simplu, în adrenalină.
Uneori, se întîmpla ca un convoi să fie atăcat și atunci,
întregul flux de aprovizionare era perturbat, dar contractorii
interveneau prompt și restabileau, în cele mai multe cazuri,
normalul! E adevărat, pe măsură ce trecea timpul, normalul
era restabilit din ce în ce mai des! Dacă în 2005 era atăcat unul
din 18 convoaie private, doi ani mai tîrziu se ajunsese la unul din
șapte!
Puțini dintre cei
prezenți atunci, pe șoselele morții din Iraq s-ar fi gîndit că
doar în șapte ani, un efort uriaș, comparabil cu protecția
convoaielor atacate de insurgenți, se va muta din stradă în
mediul virtual! Securitatea cibernetică preia rolul contractorilor
înarmați, convoaiele sînt șiruri întregi de date, iar
insurgenții se rafinează în spatele atacatorilor virtuali...
Ce lume...
Terorismul s-a mutat, parțial, e adevărat!, din spațiul fizic în
cel virtual, el evoluînd de la risc la amenințare fundamentală.
În urma unei
hotărîri a Consiliului Suprem de Apărare al Țării, autoritatea
națională pentru coordonarea operațiunilor de apărare în
domeniul cibernetic este, în România, Serviciul Român de
Informații. Acesta dispune de o structură specializată, Centrul
Național CyberInt, responsabil cu operațiunile ce țin de
cyberintelligence. Principalul obiectiv al acestuia este prevenirea
și combaterea amenințărilor apărute în mediul virtual și vizînd
infrastructuri critice ale statului.
În literatura de
specialitate se utilizează sintagma „infrastructură critică”
pentru orice entitate economică funcţională care oferă produse şi
servicii de utilitate publică vitale pentru întreaga societate, a
cărei distrugere, degradare ori nefuncţionare produc un impact
major asupra populaţiei şi economiei la nivel local sau regional,
fiind incluse în categoria obiectivelor de importanţă naţională.
Alain Bauer, consultant pentru securitate urbană din Franţa, afirma
că „statul trebuie să controleze securitatea în loc să o
gestioneze”. (Bruxelles, decembrie 2001, a treia Conferinţă a
Serviciilor Private de Securitate a CoESS). Logica construirii
infrastructurilor critice de pînă în prezent nu a fost bazată pe
considerente de ameninţări ori factori de risc externi, ci, mai
degrabă, pe un anumit standard de securizare intrinsecă a
sistemului. Realizarea reţelelor de distribuţie de hidrocarburi, de
exemplu, s-a bazat pe indicatori precum: necesarul energetic al
populaţiei vizate de proiect, condiţiile concrete de realizare a
distribuţiei şi siguranţa transportului (înlăturarea factorilor
nocivi, a eventualelor cauze care ar putea conduce la starea de
neîntrebuinţare/ avarii etc.). Stabilirea măsurilor de securitate
ale acestei IC trebuie să vizeze atît domeniul organizaţional
(strategii şi politici de securitate interne, care să includă
instruirea în cadru organizat şi securitatea personalului), cît şi
domeniul securităţii fizice şi informatice a sistemelor care
formează infrastructura critică propriu-zisă. Un element imperativ
al protejării sistemelor critice este promovarea culturii de
securitate, în fapt, o cerinţă NATO!, prin conlucrarea
proprietarului, operatorului, utilizatorului şi expertului din terţă
parte, plecînd de la informarea, educarea şi instruirea periodică
a populaţiei, desfăşurarea de exerciţii de simulare a unor
incidente majore, în urma cărora să se studieze modalitatea de
coordonare a serviciilor asigurate atît de către sectorul privat
sau ONG, cît şi de autorităţile de stat cu atribuţii în
domeniu.
Înfrastructura
critică este vulnerabilă la acţiunile unor factori interni şi
externi, protecţia acesteia asigurîndu-se fizic, juridic şi
informaţional, de către entităţi ale statului, componente ale
sistemului naţional de apărare, sau companii private din industria
păcii şi securităţii. În categoria infrastructurilor critice
sînt incluse, aşadar, toate structurile vitale unei societăţi:
sisteme de electricitate, obiective şi instalaţii nucleare, sisteme
informatice şi de telecomunicaţii, sisteme de extracşie,
prelucrare, depozitare şi transport ale resurselor primare de
energie, sistemele de aprovizionare cu apă, infrastructura şi
mijloacele de comunicaţii, sistemele bancare, financiare şi de
asigurări, serviciile de sănătate şi intervenţie în situaţii
de urgenţă, valorile şi utilităţile publice de interes strategic
şi autorităţile publice. Infrastructura critică reprezintă o
valoare de securitate naţională, iar funcţionalitatea şi
viabilitatea acesteia asigură atributul fundamental al existenţei
statului şi constituie referinţa în elaborarea politicii de
securitate naţională, iar inexistenţa unei legislaţii specifice
în domeniul cyber creează prejudicii mult mai mari decît existenţa
unor reglementări în domeniu. Priorităţile politicii naţionale
de securitate cibernetică vizează protecţia infrastructurilor
critice prin prevenirea atacurilor cibernetice, creşterea nivelului
de rezilienţă a infrastructurilor critice şi asigurarea
interoperabilităţii infrastructurilor critice. Astăzi, provocările
asociate implementării politicilor de securitate sînt lipsa
culturii de securitate cibernetică, lipsa cadrului normativ necesar
implementării politicilor de securitate cibernetică, lipsa
finanţărilor şi protecţia drepturilor şi libertăţilor umane.
Decizia CCR din ianuarie a creat un vid legislativ în domeniu, care
trebuie rezolvat rapid, în contextul geopolitic actual! Proiectul de
lege privind securitatea cibernetică a României prevedea
constituirea Sistemului Naţional de Securitate Cibernetică (SNSC),
acesta reunind autorităţile şi instituţiile publice cu
responsabilităţi şi capacităţi în domeniu. Autorităţile şi
instituţiile publice din SNSC ar fi urmat să colaboreze cu
deţinătorii de infrastructuri cibernetice, mediul academic, mediul
de afaceri, asociaţiile profesionale şi organizaţiile
neguvernamentale.
Curtea
Constituţională a României (CCR) a anunţat, la începutul acestui
an, că Legea privind securitatea cibernetică încalcă prevederile
constituţionale privind statul de drept şi principiul legalităţii,
precum şi pe cele privind viaţa intimă, familială şi privată,
respectiv secretul corespondenţei. Motivul invocat de CCR este
faptul că autoritatea naţională în domeniul securităţii
cibernetice ar trebui să fie un organism civil, pentru a garanta
aceste drepturi, şi nu Centrul Naţional de Securitate Cibernetică
(CNSC), care funcţionează deja în cadrul SRI. Centrul Naţional de
Securitate Cibernetică a putut detecta adesea atacuri punctuale sau
generalizate la adresa unor infrastructuri critice.
Ministerul Economiei
are în dezbatere publică proiectul Legii privind industria
naţională de apărare şi securitate, în care ar trebui incluse şi
prevederi privind sectorul cyber, a declarat Alexandra Pană,
consilier al ministrului de resort, Mihai Tudose, scrie ziarul BURSA
din 22.05.2015, sub semnătura Alinei Toma. "Ministerul
Economiei are un rol foarte important în conştientizarea riscurilor
privind atacurile cibernetice. Am conştientizat acest rol cînd,
recent, mai multe companii din zona e-commerce, care s-au
dezvoltat vertiginos şi în afara ţării, s-au adresat
ministerului, solicitînd sprijin pentru activarea pe pieţele
externe, după ce s-au confruntat cu atacuri cibernetice agresive.
Aceste atacuri au apărut în momentul în care vînzările acestor
companii au început să crească vertiginos. Vrem să putem să
oferim sprijinul necesar acestor firme şi de aceea considerăm că
noua lege privind industria naţională de apărare trebuie să
reglementaze şi astfel de situaţii". Consilierul ministrului
Tudose a mai spus că ministerul vrea să atragă investiţii private
în zona de securitate, inclusiv în zona cyber, prin dezvoltarea
unui sistem eficient de parteneriate-public-private (CONFERINŢA
NAŢIONALĂ DE CYBERSECURITY / ALEXANDRA PANĂ, CONSILIER MINISTERUL
ECONOMIEI: "Vrem
să atragem investiţii private în zona de securitate",
BURSA 22.05.2015, ALINA TOMA ).
Și Ministerul
Apărării Naţionale (MApN) s-a confruntat cu două atacuri
cibernetice a declarat Viorel Velicu, expert Cyber Defence în cadrul
ministerului.
Sectorul energetic
a rămas în urmă cu investiţiile în capacităţi de producţie şi
reţele noi sau în modernizarea unităţilor şi echipamentelor
actuale. Sectorul nu a făcut aproape deloc investiţii în
securitatea cibernetică, riscurile de atac fiind foarte mari,
apreciază Silvia Vlăsceanu, directorul executiv al ACUE (Asociaţia
companiilor de utilităţi). În 2013, potrivit SRI, companiile
Romgaz și Transgaz au fost vizate de atacuri cibernetice.
România are un
Centru de Răspuns la Incidente de Securitate Cibernetică care este
dat ca un exemplu de bune practici de către UE şi de către Uniunea
Internaţională a Telecomunicaţiilor. De asemenea, SRI s-a remarcat
prin eficienţă şi operativitate în lupta cu inamicii cibernetici.
Apărarea în faţa atacurilor cibernetice nu mai este o opţiune, ci
o necesitate, iar una din primele soluţii pentru protejarea faţă
de atacurile cibernetice este educaţia în acest domeniu! La
Summitul NATO din Ţara Galilor, de anul trecut, România a primit o
misiune extrem de importantă de a asigura, prin intermediul SRI,
securitatea cibernetică a Ucrainei. Expertiza pe care SRI o deține
în domeniul securității cibernetice - apreciată atît în
proiecte desfășurate în țara noastră, cît și în cadrul
cooperării cu NATO, prin contribuții la crearea de platforme
specifice și prin participarea activă la exerciții precum Cyber
Coalition – a fundamentat aprobarea, de către CSAT, a participării
ţării noastre, prin Serviciul Român de Informaţii, în calitate
de națiune-lider, la acest fond ( Trust Fund - pentru dezvoltarea
capacității de apărare cibernetică a Ucrainei).
Paradoxal, sîntem
în momentul în care trebuie să sprijinim alt stat să-şi asigure
securitatea cibernetică şi noi, aici în România, nu avem o lege
care să reglementeze spaţiul cyber. România are nevoie de o
legislaţie simplă, uşor de înţeles şi de aplicat, care să pună
accent pe prevenire. Orice reverberaţie puternică, fie ea
geopolitică, militară sau naturală (cutremur, inundaţie) poate fi
pretext pentru a declanşa un val de atacuri cibernetice.
Purtătorul de
cuvînt al Serviciului Român de Informaţii, Sorin Sava, a declarat
că România a fost în perioada 12-13 august 2015 ţinta a
aproximativ 38.000 de atacuri cibernetice! Asta înseamnă peste 800
de atacuri cibernetice pe oră. Pentru comparație, în medie, într-o
zi obișnuită numărul atacurilor nu depășește două mii. SRI,
în calitate de autoritate naţională în domeniul cyber
intelligence, investighează toate atacurile cibernetice ce vizează
infrastructurile critice, în special cele de interes naţional şi
strategic şi furnizează beneficiarilor informaţiile necesare
prevenirii, stopării şi limitării consecinţelor unor astfel de
agresiuni cibernetice", a afirmat Sava, pentru Digi 24.
"Vorbind strict de România, este o ţintă a atacurilor
cibernetice din partea entităţilor ostile. Fie că vorbim de actori
statali sau non-statali, faptul e confirmat de miile de alerte
zilnice care sînt recepţionate la nivelul senzorilor instalaţi în
cadrul infrastructurilor critice naţionale din România şi nu
numai. Vorbim de mii de atacuri zilnice", a adăugat purtătorul
de cuvînt al SRI.
Războinicii plini
de praf de pe autostrăzile morții din Iraq au rămas acolo. Însă,
războiul cibernetic va prefaţa, însoţi sau chiar înlocui
războaiele clasice...
