Punctul Critic » Ancheta Punctul Critic » Internetul, digitalizarea societatii si mutatiile comportamentului uman » Maria Solacolu, Adrian Bantaș: Strategia de securitate cibernetică a Uniunii Europene – între deziderat şi acţiune

Maria Solacolu, Adrian Bantaș: Strategia de securitate cibernetică a Uniunii Europene – între deziderat şi acţiune

Societatea secolului XXI cunoaște o dezvoltare rapidă a tehnologiei informațiilor și comunicațiilor, aceasta influențând numeroase aspecte ale vieții de zi cu zi. Lumea virtuală și cea materială sunt interdependente, astfel încât este esențială asigurarea securității astrategia-de-securitate-cibernetica-a-uniunii-europenembelor spații și combaterea amenințărilor specifice lor de către toți actorii implicați în funcționarea acestor spații. În cuprinsul acestui articol vom prezenta măsurile luate în acest sens de către doi astfel de actori: Uniunea Europeană și România. Ne vom referi cu precădere la Strategia de securitate cibernetică a Uniunii Europene, sintetizând cele cinci priorități pe care este articulată, și la Strategia de securitate cibernetică a României, care preia obiectivele exprimate în instrumentele internaționale și le adaptează realității existente în statul român, dar vom menționa și alte inițiative și acțiuni desfășurate în acest domeniu de către cele două entități.

Consideraţii introductive

În cele ce urmează, ne vom referi la una dintre cele mai actuale amenințări la adresa securității statelor, adusă în prim‑planul preocupărilor studiilor de securitate de evoluția tehnologică fără precedent de care se bucură societatea modernă, evoluție ce a generat atât beneficii nebănuite, cât și amenințări noi, pentru care actorii internaționali și nu numai trebuie să identifice mijloace de combatere eficiente.

De asemenea, analiza noastră va prezenta combaterea fenomenului amenințărilor cibernetice din perspectiva Uniunii Europene, un actor relativ nou pe plan internațional, cel puțin la scara istoriei, care prezintă tendința de a prelua, treptat, anumite competențe care, anterior, păreau a fi prerogative statale exclusive. Dacă vom reuși să prezentăm o parte din contribuția Uniunii în acest sector limitat în așa fel încât cititorii să‑și poată contura propriile concluzii, alături de cele pe care le vom expune la finalul articolului, cu privire la eficiența transferării la nivel supranațional a atribuțiilor din acest domeniu, vom considera efortul nostru ca îndeplinindu‑și scopul.

Ameninţarea cibernetică – aspecte generale

Amenințările cibernetice reprezintă o apariție recentă în spectrul amenințărilor la adresa securității statelor.

În general, din analiza atacurilor cibernetice desfășurate până în prezent, se poate afirma că acestea provin, în principal, de la o serie de patru tipuri de actori principali, fără a putea afirma că enumerarea acestora are caracter exhaustiv.

Astfel, un prim tip de actor identificat este constituit, în mod cumva firesc, cel puțin din perspectivă realistă, de actorii statali. În general, activitatea acestora vizează atât dimensiunea politică, economică (spre exemplu, recuperarea decalajului economic dintre statul atacator și statul-țintă), cât și, bineînțeles, dimensiunea militară (identificarea disponibilităților tehnologice și a capabilităților inamicului, furtul de tehnologie etc.).

În ceea ce privește caracteristicile amenințărilor cibernetice provenite din partea actorilor statali, putem remarca faptul că, grație resurselor oferite de organizarea statală, acestea sunt capabile să utilizeze structuri specializate, din cadrul instituțiilor cu activități specifice domeniului, care beneficiază de personal cu pregătire superioară, ceea ce le garantează o eficiență mult superioară actorilor nonstatali.

De asemenea, remarcăm că, având în vedere faptul că acțiunile statelor sunt, în general, ghidate de imperative cum ar fi interesul național, considerente strategice etc., care se remarcă prin persistență în timp, prin viziune care poate depăși scopul imediat, entitățile care devin ținta unui astfel de atac rămân astfel pentru multă vreme, până la posibila epuizare a interesului statului atacator, care, de multe ori, revine pentru atacuri succesive, de fiecare dată mai bine pregătit.

Un alt actor care se poate prezenta drept sursă a amenințării cibernetice este reprezentat de rețelele de criminalitate organizată. Despre acestea se poate afirma că dețin, ca obiectiv principal, obținerea de resurse de natură financiară, motivație care stă la baza existenței lor. Prin urmare, ele se remarcă printr‑o activitate intensă, însoțită de o mare ușurință în obținerea de informații utile scopului lor.

Dintre țintele preferate ale acestor organizații criminale se remarcă, în principal, diversele societăți comerciale, corporații, care beneficiază atât de mari sume de bani, cât și de alte informații cu potențial de valorificare, cum ar fi rezultatele diverselor cercetări efectuate în industriile care utilizează inovarea ca pe un avantaj competitiv.

De altfel, aceeași organizare corporatistă o împrumută, de multe ori, și organizațiile criminale, acestea recurgând, adesea, la structuri modulare, adaptate scopului fiecăreia dintre ele, ceea ce le face greu de detectat. De asemenea, ușurința cu care serviciile acestor grupări se pot cumpăra, chiar de pe Internet, de către clienții interesați, le sporește gradul de pericol pe care îl prezintă pentru siguranța țintelor lor și a statelor în care acestea își desfăşoară activitatea.

În continuare, alt actor care poate prezenta pericol, din punctul de vedere al preocupării pentru lansarea de atacuri cibernetice, sunt entitățile activiste (grupări precum Anonymous sau chiar indivizi care acționează având la bază motivații personale).

Atacurile provenite din astfel de surse au, în general, ca scop și urmare afectarea disponibilității unor servicii publice sau confidențialitatea unor informații. Totuși, ele se remarcă printr‑un nivel tehnologic relativ scăzut, compensat, însă, de un dinamism apreciabil și de o la fel de ridicată capacitate de mobilizare, datorată forței motivațiilor la care ne‑am referit anterior.

Nu în ultimul rând, o importantă sursă de proveniență a amenințărilor cibernetice este reprezentată de grupările teroriste. Sigur, se poate aprecia, într‑o nuanță optimistă, că deocamdată aceste grupări nu dețin capacitatea de a afecta infrastructuri critice, prin atacuri cibernetice, ele beneficiind, în general, de un nivel tehnic relativ scăzut, motiv pentru care utilizează Internetul în principal pentru a‑și propaga propriile mesaje, însă o dezvoltare a nivelului capacităților lor nu este exclusă, în viitor, dacă vor considera necesar și oportun a recurge la acest mijloc de luptă, iar propagarea mesajului este una din sursele de atragere a unor noi membri, meniți a spori rândurile mișcărilor teroriste, astfel încât acest simplu fapt se constituie într‑o amenințare la adresa securității statelor.

În ceea ce privește o serie de exemple de atacuri cibernetice, care au vizat diverse ținte de interes și impact, putem enumera atacurile îndreptate împotriva FMI, care au vizat sustragerea de informații privind deciziile financiare ale statelor, estimări bugetare etc., împotriva Autorității Naționale de Certificare din Olanda, în urma căruia au fost sustrase date privind comunicațiile a opt milioane de cetățeni olandezi, împotriva sistemului financiar‑bancar din Liban, considerat o Elveție a Orientului, sau strategia-de-securitate-cibernetica-a-uniunii-europene-cyber-securityîmpotriva ARAMCO din Arabia Saudită, ocazie cu care atacatorii au distrus, ireversibil, un număr de aproximativ 30.000 calculatoare, afectând și procesele fizice care depindeau de acestea, prin scoaterea din funcţiune a unor echipamente foarte importante și costisitoare din rafinăriile saudite.

La rândul ei, România a constituit deja ținta unor astfel de atacuri, vizând domenii precum cel al afacerilor externe, militar sau economic, în special în ceea ce privește aspectele legate de resursele energetice ale țării. Scopul unor astfel de demersuri a fost constituit de accesarea rețelelor destinate gestionării datelor menționate, urmată de culegerea de informații, fără afectarea fizică a infrastructurii compromise.

Ca o concluzie pentru cele afirmate până în acest moment, putem afirma că amenințările cibernetice evoluează cu un dinamism extraordinar, în cadrul unei competiții care, prin caracteristicile ei, nu va putea fi câștigată de niciuna dintre părți. Astfel, putem prognoza faptul că atacurile cibernetice vor continua, beneficiile obținute alimentând tentația atacatorilor. Pentru o ripostă eficientă, trebuie să privim atacurile cibernetice ca fiind corelate cu toate celelalte dimensiuni ale securității naționale, iar nu ca un fenomen izolat.

 

Strategia Europeană de Securitate Cibernetică

Având în vedere toate aceste elemente (sporirea amenințărilor cibernetice, creșterea periculozității și a anvergurii atacurilor de această natură, determinarea cu care acționează autorii acestor atacuri etc.), Comisia Europeană apreciază că securizarea rețelelor și sistemelor informatice de pe întregul teritoriu al Uniunii Europene reprezintă o condiție esențială pentru a asigura prosperitate și pentru a menține funcțională economia online.[1] În acest scop, Uniunea Europeană acționează pe mai multe fronturi pentru a asigura securitatea cibernetică în Europa, mergând de la controlul calității conținutului digital, cu scopul protejării copiilor care îl accesează, până la implementarea cooperării internaționale în domeniul securității cibernetice și criminalității informatice.

Importanța acordată securizării rețelelor și sistemelor informatice este justificată de poziția ocupată în prezent de către tehnologiile digitale și Internet – aceea de coloană vertebrală a societății și economiei noastre, de principali garanți ai prosperității și libertății. Rețelele și sistemele informatice pot fi afectate de incidente (erori umane, fenomene naturale, erori tehnice sau atacuri) care capătă din ce în ce mai multă amploare, devin mai frecvente și mai complexe. Existența unui nivel înalt de securitate în acest domeniu este esențială pentru consolidarea încrederii consumatorilor și funcționarea corespunzătoare a economiei online, acestea ducând, la rândul lor, la asigurarea bunei funcționări a pieței interne, dezvoltare economică și crearea de locuri de muncă.

În acest context, nu reprezintă o surpriză faptul că Uniunea Europeană desfășoară numeroase acțiuni în domeniul securității cibernetice. Cadrul strategic general pentru inițiativele UE în domeniile securității cibernetice și criminalității informatice este asigurat de Strategia de securitate cibernetică a Uniunii Europene și Agenda Europeană privind Securitatea. Relevantă este și Strategia privind piața unică digitală, ai cărei principali piloni sunt încrederea și securitatea, elemente vitale pentru dezvoltarea tehnologiilor conexe. Una dintre cele 16 inițiative care alcătuiesc strategia este lansarea unui ambițios parteneriat public‑privat privind securitatea cibernetică. Obiectivul său constă în stimularea industriei securității cibernetice din UE prin: garantarea accesului cetățenilor și afacerilor europene la soluții inovatoare, mai sigure și mai ușor de utilizat, soluții care să țină cont de regulile și valorile europene; facilitarea întâlnirii dintre cerere și ofertă pentru produsele și serviciile din acest domeniu; întărirea încrederii dintre statele membre și actorii industriali prin încurajarea cooperării verticale în domeniul cercetării și inovării; utilizarea optimă a fondurilor acordate în cadrul programului Horizon2020 și maximizarea impactului resurselor existente la nivelul industriei printr‑o coordonare superioară și identificarea priorităților tehnice.

Securitatea cibernetică este unul dintre domeniile prioritare – alături de 5G, cloud computing, Internet of Things, tehnologiile informaționale – ale inițiativei Comisiei privind standardele TIC (tehnologia informației și comunicațiilor), care fac parte din Strategia privind digitalizarea industriei europene, lansată pe 19 aprilie, 2016. Scopul acestei strategii este identificarea standardelor esențiale ale TIC și prezentarea acelor măsuri care ar accelera dezvoltarea acestor standarde, încurajând inovațiile digitale la nivelul economiei.

Pentru a asigura calitatea conținutului digital la care au acces copiii, Comisia a adoptat un număr de inițiative, inclusiv o Strategie europeană pentru un internet mai bun pentru copii, lansată pe 2 mai, 2012.

În vederea armonizării legislațiilor statelor membre în domeniul securi­tății cibernetice, Comisia a înaintat, odată cu prezentarea Strategiei de securitate cibernetică a UE, o propunere de directivă privind măsurile necesare pentru asigurarea unui nivel comun ridicat de securitate a rețelelor și informației la nivelul Uniunii Europene.[2] Doi ani mai târziu, Parlamentul și Consiliul au căzut de acord asupra textului Directivei privind securitatea rețelelor și a informației (NIS).

Directiva NIS prevede măsurile legale necesare pentru a spori nivelul general de securitate cibernetică de la nivelul UE prin:

– creșterea capacității statelor membre în domeniul securității cibernetice;

– dezvoltarea cooperării în acest domeniu atât între statele membre, cât și între sectorul public și cel privat;

– garantarea implementării practicilor privind managementul riscu-
lui în sectoarele-cheie (precum energia, transportul, domeniul bancar și sănătatea) și raportării incidentelor majore către autoritățile naționale.

Odată adoptată și transpusă, Directiva NIS va aduce beneficii atât cetățenilor, cât și sectorului public și afacerilor, care vor avea posibilitatea de a se baza pe rețele digitale și o infrastructură mai sigure în procesul de furnizare a serviciilor lor esențiale atât la nivel național, cât și peste granițe.

În continuare, vom prezenta amănunțit Strategia de securitate cibernetică a Uniunii Europene, făcută publică la data de 7 februarie 2013 de către Comisie, împreună cu Înaltul Reprezentant al Uniunii Europene pentru afaceri externe și politica de securitate.

În cadrul introducerii Strategiei este subliniată necesitatea aplicării în mediul online a normelor, principiilor și valorilor UE (sunt exemplificate drepturile fundamentale, democrația și statul de drept), acestea fiind considerate garanții principale pentru atingerea obiectivului Strategiei – crearea unui spațiu cibernetic deschis, liber, sigur și securizat. Existența unui Internet inovator și robust, susținut de inovațiile din sectorul privat și societatea civilă, este esențială pentru libertatea și prosperitatea societății moderne. Spațiul cibernetic cunoaște, însă, propriile sale provocări, iar drepturile și libertățile aplicabile în mediul online nu pot fi respectate în absența siguranței și a securității. Printre ame­nințările care vizează lumea virtuală se numără incidentele, activitățile rău intenționate și utilizarea abuzivă. Strategia subliniază importanța rolului administrațiilor naționale în combaterea acestor amenințări și garantarea unui spațiu cibernetic sigur și liber, atribuindu‑le mai multe misiuni: „să protejeze accesul și deschiderea, să respecte și să protejeze drepturile fundamentale în mediul online și să mențină fiabilitatea și interoperabilitatea Internetului”, dar atribuie rolul principal în cadrul acestor inițiative sectorului privat, întrucât acesta controlează segmente semnificative ale spațiului cibernetic.

În continuare, Strategia prezintă interdependența dintre internet și creșterea economică: „Tehnologia informației și comunicațiilor (TIC) a devenit coloana vertebrală creșterii noastre economice și este o resursă de importanță majoră pe care se bazează toate sectoarele economiei”. TIC are o importanță sporită în mai multe sectoare‑cheie precum finanțele, sănătatea, energia și transportul, iar numeroase modele de afaceri sunt construite pornind de la premisa disponibilității constante și neîntrerupte a Internetului și a funcționării netulburate a sistemelor informatice.

Relația dintre spațiul cibernetic și mediul economic a dus la elaborarea unor noi tehnologii conexe, precum plățile online, cloud computing și comunicarea machine‑to‑machine („de la mașină la mașină”). Popularizarea acestora depinde de capacitatea cetățenilor de a le utiliza și, mai ales, de încrederea și certitudinea lor în propriile aptitudini în acest domeniu. În 2012 a fost realizat un sondaj Eurobarometru cu privire la această problemă, iar rezultatele au arătat că trebuie realizate progrese substanțiale în acest sens: aproape o treime dintre europeni nu au încredere în propria lor capacitate de a efectua tranzacții bancare sau cumpărături online. Marea majoritate a persoanelor care au răspuns la acest sondaj evită divulgarea informațiilor personale în mediul online din cauza temerilor legate de securitatea acestuia. Îngrijorător este și faptul că, la nivelul UE, mai mult de unul din zece utilizatori ai Internetului a devenit deja victima unei fraude online.

Introducerea Strategiei se încheie cu prezentarea principiilor care guvernează securitatea cibernetică și cu reafirmarea interdependenței dintre aceasta și apărarea drepturilor cetățenilor. Aceleași principii care sunt respectate în mediul offline de către Uniunea Europeană pe baza Cărții Drepturilor Fundamentale și a valorilor fundamentale consacrate în dreptul Uniunii Europene trebuie aplicate și în mediul online dacă se dorește asigurarea unei securități cibernetice solide și eficace. Printre principiile considerate ca fiind esențiale pentru îndeplinirea acestui obiectiv se numără drepturile fundamentale, libertatea de exprimare, protejarea datelor cu caracter personal și a confidențialității (vieții private).

În același timp, apărarea drepturilor cetățenilor depinde de existența unor rețele și sisteme sigure. Orice schimb de informații efectuat în scopul asigurării securității cibernetice, atunci când vizează date cu caracter personal, ar trebui să respecte legislația UE privind protecția datelor și să țină cont de drepturile cetățenilor în acest domeniu.

Prin urmare, respectarea drepturilor și principiilor prevăzute de legislația UE garantează securitatea cibernetică, iar aceasta constituie, la rândul său, o garanție pentru respectarea drepturilor cetățenilor.

Influența considerabilă pe care lumea digitală o are asupra celei materiale face cu atât mai importantă asigurarea accesului tuturor cetățenilor la Internet și la fluxul neîntrerupt de informații existent în spațiul cibernetic, iar siguranța accesului depinde de integritatea și securitatea acestui spațiu. Strategia subliniază faptul că „accesul limitat sau inexistent la Internet și «analfabetismul» digital reprezintă un dezavantaj pentru cetățeni, având în vedere nivelul la care mediul digital influențează activitățile desfășurate în societate”. Pentru ca cetățenii să fie încurajați să se familiarizeze cu spațiul cibernetic, ei trebuie să aibă încredere în siguranța accesării acestui spațiu. În acest scop, integritatea și securitatea Internetului trebuie garantate.

Odată explicat impactul pe care Internetul îl are asupra societății moderne și consacrată importanța asigurării securității spațiului cibernetic, Comisia își îndreaptă atenția către identificarea celor în măsură să garanteze existența acestei securități. Concluzia este aceea că mediul digital face obiectul unei „guvernanțe participative, democratice și eficiente”, controlul său fiind asigurat inclusiv de către entități comerciale sau non‑guvernamentale. Prin urmare, nu numai autoritățile statale sunt responsabile în ceea ce privește gestionarea curentă a resurselor Internetului, protocoalelor și standardelor sale și viitoarea sa dezvoltare. Alături de ele, sectorul privat și cetățenii trebuie să recunoască existența unei responsabilități comune pentru consolidarea securității cibernetice și să se protejeze împotriva vulnerabilităților specifice spațiului digital.

În urma identificării provocărilor care trebuie abordate și a entităților în măsură să le facă față, Strategia continuă cu propunerea unor acțiuni specifice care ar putea îmbunătăți performanța globală a Uniunii Europene în acest domeniu. Acțiunile sunt planificate atât pe termen scurt, cât și pe termen lung, includ o varietate de instrumente și implică diferite categorii de actori, precum instituțiile UE, statele membre și industria de profil. În elaborarea lor, Comisia a avut în vedere următoarele cinci priorități strategice:

– realizarea rezilienței cibernetice;

– reducerea drastică a criminali­tății cibernetice;

– dezvoltarea politicii și a capa­cităților de apărare cibernetică legate de politica de securitate și apărare comună – PSAC;

– dezvoltarea resurselor industriale și tehnologice în materie de securitate cibernetică;

– stabilirea unei politici internațio­nale coerente a UE privind spațiul internațional cibernetic și promovarea valorilor fundamentale ale UE.

Reziliența cibernetică nu poate fi realizată în absența cooperării în acest domeniu a sectorului public cu sectorul privat. În plus, ambele sectoare trebuie să ia măsurile necesare pentru a‑și dezvolta capacitățile de prevenire, descoperire și manipulare a incidentelor privind securitatea cibernetică. Intervenția Uniunii Europene s‑ar putea face simțită mai ales în sensul „combaterii riscurilor și a amenințărilor cibernetice cu dimensiune transfrontalieră, contribuind la articularea unui răspuns coordonat în situații de urgență. Aceasta va reprezenta un sprijin puternic pentru buna funcționare a pieței interne și va spori securitatea internă a UE”. În acest scop, Comisia a elaborat o politică referitoare la Securitatea Rețelelor și a Informațiilor (Network and Information Security – NIS). Agenția Europeană pentru Securitatea Rețelelor și a Informațiilor (European Network and Information Security Agency – ENISA) a fost înființată în 2004, consolidarea Agenției și modernizarea mandatului său urmând a fi reglementate printr‑un regulament al Consiliului și Parlamentului European. O altă măsură luată de Uniunea Europeană a fost responsabilizarea furnizorilor de comunicații electronice prin introducerea unei prevederi în Directiva‑cadru privind comunicațiile electronice potrivit căreia acești furnizori sunt obligați să gestioneze în mod corespunzător riscurile care vizează propriile lor rețele și să raporteze atacurile grave la adresa securității. O altă legislație relevantă este cea privind protecția datelor, care le solicită operatorilor de date „să garanteze respectarea cerințelor și a garanțiilor în materie de protecție a datelor, inclusiv a măsurilor legate de securitate, iar în domeniul serviciilor de comunicații electronice accesibile publicului, operatorii de date trebuie să notifice autorităților naționale competente incidentele care implică violări ale datelor personale”.

Deși Comisia recunoaște progresele realizate pe baza angajamentelor voluntare ale actorilor implicați, constată existența unor lacune în ceea ce privește capacitățile statelor membre, coordonarea în caz de incidente transfrontaliere și nivelul de implicare și de pregătire a sectorului privat. Din acest motiv, Strategia a fost însoțită de o propunere legislativă având următoarele obiective:

–   Stabilirea cerințelor minime comune în materie de NIS la nivel național care ar obliga statele membre să: desemneze autoritățile naționale competente în domeniul NIS; înființeze o structură de tip CERT (Computer Emergency Response Team/Echipa de Răspuns la Urgențe Informatice) performantă; adopte o strategie și un plan de cooperare naționale în materie de NIS. Dezvoltarea și coordonarea capacităților preocupă, de asemenea, instituțiile UE: o Echipă de Răspuns la Urgențe Informatice responsabilă cu securitatea sistemelor IT ale instituțiilor, agențiilor și organismelor UE („CERT‑EU”) a fost înființată cu caracter permanent în 2012.

–   Înființarea unor mecanisme coordonate de prevenire, detectare, atenţionare și răspuns care să faciliteze schimbul de informații și asistența reciprocă între autoritățile naționale competente în domeniul NIS. Acestor autorități li se va cere să asigure o cooperare adecvată la nivelul UE, în special pe baza unui plan de cooperare NIS la nivel UE, plan menit să răspundă incidentelor cibernetice având dimensiuni transfrontaliere. Această cooperare se va baza și pe progresul realizat în contextul „Forumului European al Statelor Membre” (European Forum for Member States – EFMS), în cadrul căruia au fost purtate dezbateri și schimburi productive privind politica publică în domeniul NIS și care poate fi integrat în mecanismul de cooperare, odată ce acesta a fost pus în practică.

–   Îmbunătățirea nivelului de pregătire și implicare al sectorului privat. Întrucât marea majoritate a rețelelor și sistemelor informatice sunt deținute și operate de către sectorul privat, îmbunătățirea implicării acestuia în asigurarea securității cibernetice este esențială. Sectorul privat ar trebui să dezvolte, la nivel tehnic, propriile capacități de reziliență cibernetică și să facă schimb de bune practici cu celelalte domenii de activitate. Instrumentele create de industrie pentru a răspunde incidentelor, a stabili cauzele și a conduce investigații criminalistice ar trebui să‑i folosească și sectorului public.

În continuare, Strategia identifică acțiunile pe care autoritățile naționale competente în domeniul securității rețelelor și a informațiilor trebuie să le întreprindă pentru a sprijini realizarea rezilienței cibernetice: să colaboreze și să realizeze un schimb de informații cu alte organisme de reglementare, și în special cu autoritățile responsabile pentru protecția datelor cu caracter personal; să raporteze autorităților judiciare incidentele suspectate a fi infracțiuni grave; să publice în mod periodic, pe un site dedicat acestui subiect, informațiile fără caracter confidențial referitoare la alertele rapide în curs privind incidente și riscuri, precum și referitoare la răspunsurile coordonate.

Este subliniat faptul că noile reglementări în acest domeniu nu trebuie să descurajeze continuarea cooperării neoficiale și voluntare menționate anterior, inclusiv cea dintre sectorul public și sectorul privat. Acest tip de cooperare sprijină creșterea nivelului de securitate și schimbul de informații și bune practici. Parteneriatul Public‑privat European pentru Reziliență (EP3R) este dat ca exemplu de „platformă solidă și valabilă la nivelul UE și ar trebui dezvoltată în continuare”.

Infrastructurile‑cheie ar urma să fie finanțate cu sprijinul Facilității „Conectarea Europei” (Connecting Europe Facility – CEF), în măsură să formeze o legătură între capacitățile statelor membre în domeniul NIS și, astfel, să faciliteze cooperarea la nivelul UE.

Un element esențial pentru stimularea cooperării dintre statele membre și sectorul privat, în vederea realizării rezilienței cibernetice, îl reprezintă simulările de incidente cibernetice la nivelul UE. Prima simulare de acest fel a implicat statele membre și s‑a desfășurat în 2010 („Cyber Europe 2010”). O a doua simulare, implicând și sectorul privat, s‑a desfășurat în octombrie 2012 („Cyber Europe 2012”). La nivel global, un exercițiu teoretic între UE și SUA a fost desfășurat în noiembrie 2011 („Cyber Atlantic 2011”). Strategia afirmă intenția de a continua aceste exerciții în viitor, cu posibilitatea implicării mai multor parteneri internaționali.

În ceea ce privește informarea și sensibilizarea utilizatorilor Internetului cu privire la securitatea cibernetică, Comisia arată că mai multe inițiative au fost dezvoltate în ultimii ani și ar trebui continuate. ENISA a jucat un rol deosebit de important în răspândirea informației prin publicarea de rapoarte, organizarea de workshopuri pentru experți și dezvoltarea parteneriatelor public‑privat, iar în octombrie 2012 a coordonat, alături de unele state membre, „Luna Europeană a Securității Cibernetice”. Europol, Eurojust și autoritățile naționale responsabile pentru protecția datelor sunt, de asemenea, active în procesul de informare și sensibilizare. Contribuie la acest proces și Grupul de lucru UE‑SUA pe probleme de securitate și criminalitate cibernetică, constituit în 2010 și însărcinat cu elaborarea unor abordări colaborative în acest domeniu, precum și Programul pentru un internet mai sigur, axat pe siguranța copiilor online.

O altă prioritate pe care se articulează viziunea Uniunii Europene în domeniul securității cibernetice este reducerea drastică a criminalității cibernetice. Aceasta reprezintă „o formă de criminalitate cu una dintre cele mai rapide rate de creștere, ei căzându‑i victime în întreaga lume peste un milion de persoane în fiecare zi”, iar infracțiunile cibernetice „sunt activități cu profit ridicat și cu risc scăzut, infractorii exploatând deseori anonimatul domeniilor web”. Întrucât infractorii și rețelele infracționale cibernetice își perfecționează constant metodele și profită de întinderea mondială a Internetului, Strategia subliniază rolul esențial pe care îl joacă în combaterea acestora instrumentele operaționale moderne și capacitățile operaționale adecvate, precum și elaborarea unei abordări transfrontaliere coordonate și colaborative. De asemenea, se trage un semnal de alarmă cu privire la faptul că nu toate statele membre ale UE au capacitatea operațională necesară pentru a răspunde în mod eficient criminalității cibernetice.

Reducerea criminalității cibernetice depinde și de existența unei legislații „solide și eficiente” la nivelul Uniunii Europene și al statelor membre, Strategia prezentând câteva reglementări importante în acest domeniu. La nivel european, această problemă face obiectul prevederilor Convenției Consiliului Europei privind criminalitatea cibernetică, semnată la Budapesta în 2001. La nivelul Uniunii Europene există inclusiv o directivă privind combaterea exploatării sexuale online a copiilor și a pornografiei infantile[3], adoptată în 2011, și o directivă privind atacurile împotriva sistemelor informatice[4], adoptată în 2013.

În ceea ce privește dezvoltarea politicii și a capacităților de apărare cibernetică legate de politica de securitate și apărare comună (PSAC), accentul este pus pe detectarea, reacția și revenirea la starea de normalitate în urma amenințărilor cibernetice sofisticat acestea din urmă având o varietate de forme care sporesc dificultatea combaterii lor. Strategia recomandă consolidarea „sinergiilor dintre abordările civile și militare în ceea ce privește protejarea activelor cibernetice critice”, încurajarea cercetării și a dezvoltării în acest domeniu și cooperarea mai strânsă între administrațiile naționale, sectorul privat și mediul universitar din UE. Este promisă și colaborarea dintre UE și NATO cu scopul consolidării rezilienței infrastructurilor critice de stat, a celor de apărare și a altor infrastructuri informatice de care depind membrii ambelor organizații.

Dezvoltarea resurselor industriale și tehnologice în materie de securitate cibernetică reprezintă o prioritate pentru UE deoarece este esențială garantarea securizării produselor hardware și software utilizate pentru serviciile și infrastructurile critice, precum și pentru dispozitivele mobile. Capacitățile UE de cercetare și dezvoltare vor juca un rol important în asigurarea nivelului înalt de siguranță, încredere și protecție a datelor cu caracter personal prezentat de produsele și serviciile din domeniul TIC și soluțiile de securitate, atât pentru acele produse în UE, cât și pentru cele importate din țări terțe.

O problemă importantă este neimplicarea suficientă a tuturor actorilor pieței (spre exemplu, producătorii de echipamente, dezvoltatorii de software, furnizorii de servicii ai societății informaționale) în procesul de asigurare a securității spațiului virtual: „în opinia multor actori ai pieței, securitatea este mai degrabă o sarcină suplimentară, fapt care se traduce printr‑o cerere scăzută de soluții de securitate. Este nevoie de introducerea unor cerințe corespunzătoare de performanță în materie de securitate cibernetică de‑a lungul întregului lanț valoric al produselor TIC utilizate în Europa. Sectorul privat trebuie stimulat să asigure un nivel ridicat de securitate cibernetică; de exemplu, existența unor etichete care să indice performanța adecvată în domeniul securității cibernetice va permite întreprinderilor cu o performanță bună și documentată în materie să transforme această realitate într‑un atu comercial și să obțină un avantaj competitiv. De asemenea, obligațiile enunțate în propunerea de directivă privind NIS ar contribui în mod semnificativ la sporirea competitivității întreprinderilor ce activează în sectoarele vizate”.

În vederea promovării unei piețe unice a produselor din domeniul securității cibernetice (și, în consecință, sporirea calității și securizării acestor produse), Strategia recomandă stimularea cererii de produse de înaltă securitate pe piața întregii Europe, stabilind două căi de acțiune. Cea dintâi presupune sporirea cooperării și a transparenței în ceea ce privește securitatea produselor TIC, iar cea de‑a doua constă în susținerea oferită de către Comisie elaborării standardelor de securitate și contribuirea ei la acest proces prin stabilirea la nivelul UE a unor sisteme de certificare voluntară în domeniul cloud‑computingului, cu respectarea protecției datelor.

Pentru sporirea cooperării și transparenței, este apreciată ca fiind necesară „instituirea unei platforme care să reunească părți interesate relevante din sectoarele public și privat europene, pentru a identifica bune practici în materie de securitate cibernetică de‑a lungul întregului lanț valoric și a crea condiții de piață favorabile dezvoltării și adoptării de soluții TIC securizate”. Printre obiectivele acestui demers se numără: crearea unor stimulente vizând asigurarea unei gestionări adecvate a riscurilor; adoptarea de standarde și soluții de securitate; crearea unor sisteme de certificare voluntare la nivelul întregii UE, pornind de la sisteme existente în prezent în UE și la nivel internațional; contracararea disparităților care cauzează dezavantaje de ordin geografic pentru întreprinderi.

În ceea ce privește rolul Comisiei în procesul elaborării standardelor de securitate, eforturile ar trebui să se concentreze pe securitatea lanțului de aprovizionare, în special în sectoarele economice critice (sistemele de control industrial, infrastructura energetică și cea de transport) și să se bazeze pe activitatea de standardizare desfășurată în prezent de organizațiile europene de standardizare (European Committee for Standardization, CEN; European Committee for Electrotechnical Standardization, CENELEC; European Telecommunications Standards Institute, ETSI), de Grupul de coordonare a securității cibernetice (Cybersecurity Coordination Group, CSCG), precum și pe expertiza ENISA, a Comisiei și a altor actori implicați.

Strategia subliniază importanța promovării investițiilor și a inovării în domeniul cercetării și dezvoltării (C&D), având în vedere rolul acestuia în identificarea unor soluții pentru lacunele tehnologice existente în domeniul securității TIC, în anticiparea și combaterea noilor provocări în materie de securitate, în oferirea de răspunsuri necesităților utilizatorilor, în reducerea dependenței Europei de tehnologii străine și în dezvoltarea criptografiei. Rezultatele acestor activități trebuie traduse în soluții comerciale „prin asigurarea stimulentelor necesare și crearea condițiilor de politică adecvate”.

Sunt identificate trei elemente esențiale pentru asigurarea unui spațiu cibernetic deschis, liber și securizat: instituirea unei politici internațio­nale coerente a UE privind spațiul cibernetic (în cadrul căreia trebuie încurajate deschiderea și libertatea internetului, eforturile de dezvoltare a unor norme de conduită și aplicarea legislației internaționale existente), promovarea valorilor sale fundamentale (precum demnitatea umană, libertatea, democrația, egalitatea, statul de drept) și cooperarea UE cu partenerii și organizațiile internaționale relevante, sectorul privat și societatea civilă. Toate aceste acțiuni trebuie întreprinse cu respectarea drepturilor fundamentale.

Eforturile UE în domeniul securității spațiului cibernetic trebuie integrate în relațiile externe și în politica externă și de securitate comună ale UE (PESC). Politica internațională coerentă a UE privind spațiul cibernetic menționată anterior trebuie definită de către Comisie, Înaltul Reprezentant și statele membre, iar obiectivul său trebuie să îl reprezinte dezvoltarea și consolidarea relațiilor UE în acest domeniu cu principalii parteneri și organizații internaționale, precum și cu societatea civilă și sectorul privat. Este pus accentul pe relațiile cu statele terțe care împărtășesc viziunea și valorile UE și pe atingerea unui nivel ridicat de protecție a datelor, inclusiv în ceea ce privește transferul de date personale către o țară terță. Este considerată deosebit de importantă colaborarea cu Statele Unite ale Americii, urmând a fi continuate activitățile din cadrul Grupului de lucru UE‑SUA privind securitatea și criminalitatea cibernetică. În ceea ce privește cooperarea cu organizații active în domeniul securității cibernetice, sunt identificați următorii parteneri principali: Consiliul Europei, OCDE, ONU, OSCE, NATO, UA, ASEAN și OAS.

Este reafirmată importanța respectării libertății și drepturilor fundamentale în mediul digital, cenzura și supravegherea în masă fiind considerate inacceptabile. Prevederile conținute în Pactul internațional privind drepturile civile și politice, Convenția europeană a drepturilor omului și Carta drepturilor fundamentale a Uniunii Europene trebuie respectate în cadrul spațiului cibernetic cu aceeași rigurozitate cu care sunt respectate în mediul offline. UE trebuie să elaboreze modalități de garantare a acestor drepturi în lumea virtuală și să contribuie la dezvoltarea reformei democratice prin promovarea responsabilității sociale a întreprinderilor și prin lansarea de inițiative internaționale privind coordonarea în domeniu la nivel mondial.

Garantarea unui spațiu cibernetic mai securizat nu îi revine doar Uniunii Europene: toți actorii din mediul online internațional, de la cetățeni la administrațiile naționale, sunt responsabili pentru asigurarea libertății, siguranței și deschiderii acestuia. Nu doar resortisanții UE, ci și statele trebuie să respecte drepturile civice, responsabilitățile sociale și legile online. Pentru ca acțiunile statelor să nu fie interpretate greșit, Strategia propune elaborarea unor măsuri de consolidare a încrederii în securitatea cibernetică, care ar spori transparența.

Comisia nu consideră necesară adoptarea unor noi instrumente juridice internaționale în domeniul securității cibernetice, Convenția de la Budapesta, care este deschisă adoptării de către țări terțe, fiind considerată un model satisfăcător pentru redactarea legislației naționale în materie de criminalitate cibernetică și o bază pentru cooperarea internațională în domeniu. Pentru eventuale situații de conflict existente în mediul online, ar urma să se aplice dreptul umanitar internațional și, după caz, legislaţia drepturilor omului.

Printre beneficiile oferite de intensificarea cooperării internaționale în domeniul securității cibernetice sunt enumerate schimbul de bune practici și de informații, exercițiile de alertă rapidă și gestionarea comună a incidentelor. În viziunea Strategiei, UE trebuie să depună eforturi pentru consolidarea rețelelor de cooperare dintre administrațiile publice și sectorul privat pe probleme de protecție a infrastructurilor critice de informație (CIIP) și să sprijine eforturile acelor țări care nu se bucură de un acces liber, securizat, interoperabil și fiabil la spațiul digital de a remedia lacunele existente în securitatea cibernetică și de a combate eficient criminalitatea cibernetică.

Demersuri naţionale în domeniul securităţii cibernetice

Demersurile Uniunii Europene în domeniul securității cibernetice, precum și cele efectuate de către NATO au responsabilizat statele membre ale acestor organizații și au inspirat adoptarea de către acestea a unor strategii proprii privind securitatea cibernetică. Spre exemplu, Germania, Franța, Marea Britanie, Estonia și Statele Unite ale Americii au adoptat strategii naționale de securitate cibernetică pentru a‑și spori capacitățile de contracarare a atacurilor cibernetice, a crește nivelul de protecție a infrastructurilor cibernetice, în special a celor care susțin infrastructurile critice naționale, și a încuraja cooperarea dintre sectorul public și cel privat.

În România, asigurarea securității cibernetice și combaterea criminalității informatice se află, în principal, în sarcina statului, care își asumă rolul de coordonator al activităților desfășurate la nivel național în acest domeniu. Astfel, prin Hotărârea CSAT nr. 16/2013 și HG nr. 271/2013 au fost aprobate Strategia de securitate cibernetică a României și Planul de acțiune la nivel național privind implementarea Sistemului național de securitate cibernetică. Strategia face referire la demersurile întreprinse de către UE și NATO în acest domeniu, menționează riscurile specifice unui spațiu cibernetic caracterizat prin lipsa frontierelor, dinamism și anonimat, și subliniază importanța asigurării respectării drepturilor și libertăților fundamentale ale cetățenilor și a intereselor de securitate națională.

Strategia de securitate cibernetică a României „prezintă obiectivele, principiile şi direcţiile majore de acţiune pentru cunoaşterea, prevenirea şi contracararea ameninţărilor, vulnerabilităţilor şi riscurilor la adresa securităţii cibernetice a României şi pentru promovarea intereselor, valorilor şi obiectivelor naţionale în spaţiul cibernetic.” Un element esențial al acestei Strategii este reprezentat de înființarea Sistemului național de securitate cibernetică (SNSC), a cărui misiune constă în asigurarea elementelor de cunoaştere, prevenire şi contracarare a ameninţărilor, vulnerabilităţilor şi riscurilor specifice spaţiului cibernetic care pot afecta securitatea infrastructurilor cibernetice naţionale, inclusiv managementul consecințelor. SNSC reuneşte autorităţi şi instituţii publice, cu responsabilităţi şi capabilităţi în domeniu, în vederea coordonării acţiunilor la nivel naţional pentru asigurarea securităţii spaţiului cibernetic, inclusiv prin cooperarea cu mediul academic şi cel de afaceri, asociaţiile profesionale şi organizaţiile neguvernamentale. Astfel, este reafirmat caracterul esențial al cooperării dintre sectorul public și cel privat.

Activitatea SNSC este coordonată, la nivel strategic, de către Consiliul Suprem de Apărare a Țării, responsabil pentru avizarea Strategiei de securitate cibernetică a României şi aprobarea Regulamentului de organizare şi funcţionare al Consiliului operativ de securitate cibernetică (COSC), care reprezintă organismul prin care se realizează coordonarea unitară a SNSC. Fiecare dintre instituţiile reprezentate în COSC cooperează cu organismele internaţionale ale UE, NATO, OSCE etc., în domeniile lor de competență.

Un alt element important al eforturilor naționale în scopul asigurării securității cibernetice îl reprezintă Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT‑RO), înființat prin HG nr. 494/2011. CERT este o entitate organizaţională specializată care dispune de capacitatea necesară pentru prevenirea, analiza, identificarea şi reacţia la incidentele cibernetice, și prin intermediul căreia statul român asigură elaborarea şi diseminarea politicilor publice de prevenire şi contracarare a incidentelor din cadrul infrastructurilor cibernetice, potrivit ariei de competenţă.

 

Concluzii

În concluzie, se poate afirma că un element central al Strategiei de securitate cibernetică a Uniunii Europene este sublinierea necesității cooperării între toate categoriile de actori implicați în acest domeniu, fiind accentuată responsabilitatea purtată de către statele membre UE. Această necesitate provine chiar din specificul amenințărilor cibernetice, de a ținti toate tipurile de actori și în modalități dinamice, implicând un spectru larg de posibilități și aflându‑se în permanentă evoluție.

Desigur, i se poate reproșa Strategiei o anumită generalitate în idei și obiective, un caracter predominant programatic. În opinia noastră, Strategia nu este la adăpost de aceste critici, ca, de altfel, multe dintre elementele ce țin de Politica Externă și de Securitate Comună a UE, de exemplu. Nu putem însă să nu observăm, pe de altă parte, că faptul că o organizație cum este Uniunea – un experiment unic în lume și în istorie, în care 28 de state sunt de acord să exercite în comun anumite atribute ale suveranității lor și, mai mult, să extindă continuu sfera domeniilor în care suveranitatea se exercită în comun – reușeşte să elaboreze un astfel de document, fie și cu caracter programatic, este un merit în sine. În fond, nu trebuie să uităm că Uniunea, ca și Roma, nu s‑a construit într‑o zi, iar elementele definitorii ale Uniunii de astăzi, cum ar fi, spre exemplu, cele 4 libertăți fundamentale, precum și nivelul de armonizare atins în multe alte domenii, sunt rezultatul unor procese îndelungate și, de multe ori, au pornit de la documente cu caracter programatic. Acest lucru ne face să credem că și Strategia este doar un prim pas pe un drum îndelungat, este începutul unui proces a cărui continuare devine imperativă, dacă se dorește elaborarea unui răspuns eficient la adresa amenințărilor cibernetice, iar dacă vedem lucrurile în acest registru, vom aprecia și Strategia cu o privire mai puțin critică.

Trebuie apreciat faptul că Strategia nu a rămas singurul document elaborat în acest domeniu, obiectivele sale regăsindu‑se și în cuprinsul Directivei NIS, la care ne‑am referit, și care confirmă ipoteza parcursului etapizat, urmând să confere forță juridică obligatorie anumitor deziderate enunțate în Strategie. Prevederile Strategiei au fost mai întâi preluate în documentele de aceeași natură elaborate la nivel național, apoi consacrate în cadrul legislațiilor naționale, ceea ce indică existența voinței politice de a confirma prioritățile afirmate în cuprinsul Strategiei, element esențial în construirea unui cadru concret pentru aplicarea prevederilor documentului menționat și în crearea unui sistem eficient și armonizat de combatere a amenințărilor cibernetice la nivel european.

Note:

[1] https://ec.europa.eu/digital-single-market/en/cybersecurity.

[2] http://eur‑lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52013PC0048.

[3] Directiva 2011/92/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei‑cadru 2004/68/JAI a Consiliului.

[4] Directiva 2013/40/UE a Parlamentului Euro-
pean și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei‑cadru 2005/222/JAI a Consiliului.

Total 0 voturi
0

Cum am putea îmbunătăți acest articol?

+ = Verify Human or Spambot ?

Despre Punctul Critic

Punctul critic – revista de diagnoză socială, politică şi culturală Punctul critic are o circulație națională și internațională, având un Consiliu științific alcătuit din personalități naționale și internaționale, acest lucru fiind o garanție calitativa asupra conținutului cât și a obiectivității [...]

Vezi descriere completă

    Scrie un comentariu

    Your email address will not be published. Required fields are marked *

    Sunt de acord cu termenii si conditiile PunctulCritic.ro: PunctulCritic.ro isi rezerva dreptul de a sterge/edita orice comentariu si de a interzice postarea comentariilor care depasesc limitele limbajului civilizat, comit atacuri la persoana precum comentariile cu tenta antisociala, caracter rasist sau xenofob.

    *