Gradul de pregătire a României în domeniul securităţii cibernetice

Gradul de pregătire a României în domeniul securităţii cibernetice

58
Ioan-Cosmin MIHAI - Vicepresedinte ARASEC

Autor: Ioan-Cosmin MIHAI, Vicepreședinte ARASEC

Logo ARASEC

 

Numeroasele incidente de securitate cibernetică și evoluţia atacurilor informatice din ultima vreme au determinat necesitatea adoptării la nivel internaţional a unor politici și strategii în domeniul securităţii cibernetice. Aceste strategii subliniază necesitatea dezvoltării unor capabilităţi proprii fiecărei ţări pentru contracararea atacurilor cibernetice și stabilesc cadrul general de acţiune și cooperare pentru limitarea efectelor acestora. Este foarte importantă implementarea unor măsuri de securitate pentru protecţia infrastructurilor cibernetice, în special pentru cele ce susţin infrastructurile critice naţionale.

Cadrul național în domeniul securității cibernetice

România se află într-un proces continuu de consolidare a securităţii cibernetice la nivel naţional, atât din punct de vedere legal, instituţional, cât și procedural, fiind întreprinse, în acest sens, eforturi susţinute de către autorităţile cu responsabilităţi în domeniu.

Strategia de securitate cibernetică a României

România a adoptat Strategia de securitate cibernetică în anul 2013, având o Principalele obiective stabilite de Strategia de securitate cibernetică a României sunt:

  • ► adaptarea cadrului normativ la noile ameninţări prezente în spaţiul cibernetic;
  • ► fundamentarea și aplicarea cerinţelor minime de securitate pentru protejarea infrastructurilor cibernetice naţionale;
  • ► asigurarea rezilienţei infrastructurilor cibernetice;
  • ► realizarea campaniilor de informare și conștientizare a populaţiei privind ameninţările și riscurile prezente în spaţiul cibernetic;
  • ► dezvoltarea cooperării dintre sectorul public și privat la nivel naţional și internaţional.

Strategia de securitate cibernetică a României urmărește asigurarea securităţii cibernetice la nivel naţional, cu respectarea Strategiei naţionale de apărare și Strategiei naţionale de protecţie a infrastructurilor critice.

Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice

Ministerul Comunicaţiilor și Societăţii Informaţionale a lansat în dezbatere publică, în data de 3 octombrie 2017, Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a reţelelor și sistemelor informatice. Acest proiect de act propune adoptarea unui set de norme menite să instituie un cadru naţional unitar de asigurare a securităţii cibernetice și a răspunsului la incidentele de securitate survenite la nivelul reţelelor și sistemelor informatice ale operatorilor de servicii esenţiale și ale furnizorilor de servicii digitale în conformitate cu cerinţele Directivei NIS.

Proiectul de Lege privind asigurarea unui nivel comun ridicat de securitate a reţelelor și sistemelor informatice reglementează:

  • ► cadrul de cooperare la nivel naţional și de participare la nivel european și internaţional în domeniul asigurării securităţii reţelelor și sistemelor informatice;
  • ► autorităţile și entităţile de drept public și privat care deţin competenţe și responsabilităţi în aplicarea prevederilor prezentei legi, a punctului unic de contact la nivel naţional și a echipei naţionale de răspuns la incidente de securitate cibernetică;
  • ► cerinţele de securitate și de notificare pentru operatorii de servicii esenţiale și furnizorii de servicii digitale precum și instituirea mecanismelor de actualizare a acestora în funcţie de evoluţia ameninţărilor la adresa securităţii reţelelor și sistemelor informatice.

Pentru definirea domeniului de aplicare, proiectul reglementează operatorii de servicii esenţiale și definirea acestor servicii esenţiale. Sectoarele vizate pentru iden- tificarea serviciilor esenţiale și a operatorilor de servicii esenţiale cuprind: energia, transporturile, sectorul bancar, infrastructurile pieţei financiare, sectorul sănătăţii, furnizarea și distribuirea de apă potabilă, infrastructura digitală. Proiectul propune alcătuirea unui Registru al operatorilor de servicii esenţiale, care să fie actualizat de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică la cel puţin doi ani.

Proiectul de Lege privind securitatea și apărarea cibernetică a României

Ministerul Apărării Naţionale a lansat în dezbatere publică, în data de 24 mai 2018, Proiectul de Lege privind securitatea și apărarea cibernetică a României. Proiectul de Lege stabilește cadrul juridic și instituţional privind organizarea și desfășurarea activităţilor din domeniile securitate cibernetică și apărare cibernetică a României.

Obiectivele Proiectului de Lege privind securitatea și apărarea cibernetică a României sunt:
Studii de Strategie și politici

  • ► acoperirea nevoilor de securitate și apărare cibernetică prin asigurarea rezilienţei și protecţiei infrastructurilor cibernetice care susţin funcţiile de securitate, apărare și guvernare ale statului;
  • ► amenţinerea sau restabilirea climatului de securitate cibernetică la nivel naţional prin co- operarea între autorităţile competente în vederea asigurării unei reacţii rapide și eficiente;
  • ► crearea și dezvoltarea unei culturi de securitate cibernetică în cadrul ad- ministraţiei publice, prin conștientizarea amenin- ţărilor și riscurilor și for- marea unei conduite preventive adecvate.

Contribuția României în domeniul securității cibernetice

România este implicată activ în numeroase proiecte și iniţiative, atât la nivel european cât și internaţional, pentru consolidarea securităţii cibernetice. Astfel, România este:

  • Stat-lider la Fondul de Sprijin (Trust Fund) pentru dezvoltarea capacităţii de apărare cibernetică a Ucrainei;
  • Driver prin Poliţia Română pentru prioritatea „Payment card fraud” în cadrul proiectului EMPACT (European Multidisciplinary Platform against Criminal Threats), realizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii;
  • Co-driver prin Poliţia Română pentru prioritatea „Attacks against information systems” în cadrul proiectului EMPACT (European Multidisciplinary Platform against Criminal Threats), realizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii;
  • Coordonator prin Centrul Naţional Cyberint al pachetului de lucru WP3 – Infrastructura pentru colectarea și corelarea datelor de la senzori multipli distribuiţi, în cadrul proiectului Multinational Cyber Defence Capability Development, realizat de Agenţia NATO pentru Comunicaţii și Informaţii;
  • Membru activ în cadrul Informal Working Group de la OSCE (Organization for Security and Cooperation in Europe) pentru promovarea măsurilor de creștere a încrederii în securitatea cibernetică – CBMs (Confidence Building Measures in Cyberspace);
  • Membru fondator prin Ministerul Afacerilor Externe, CERT-RO (Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică) și Centrul Naţional Cyberint al Forumului Global de Expertiză Cibernetică – GFCE (Global Forum on Cyber Expertise). În cadrul acestui forum, CERT-RO reprezintă un exemplu de bune practici privind divulgarea coordonată a vulnerabilităţilor;
  • Partener asociat prin Poliţia Română și Bitdefender în proiectul NoMoreRansom, organizat de Europol – Agenţia Uniunii Europene pentru cooperare în materie de aplicare a legii, ce contribuie cu instrumente de decriptare pentru infecţiile cu ransomware;
  • ► Membru în reţeaua 2Centre prin Centrul Român de Excelenţă pentru Cybercrime (CYBEREX), realizat de Poliţia Română în parteneriat cu Academia de Poliţie „A.I. Cuza” și CERT-RO.

Aceste activităţi atestă faptul că România poate fi juca un rol important la nivel european și mondial pentru asigurarea securităţii spaţiului cibernetic și combaterea fenomenului de criminalitate informatică.

Concluzii

Reglementările legislative existente în prezent, precum și gradul de operaţionalizare al acestora la nivelul instituţiilor publice din România nu permit prevenirea și contracararea cu maximă eficienţă a unor ameninţări cibernetice de nivel ridicat. Din acest motiv, consolidarea cadrului legislativ în domeniul securităţii cibernetice trebuie să constituie o prioritate naţională, pentru a fi asigurate condiţii optime de reacţie rapidă la incidentele cibernetice.

În contextul general al discuţiilor privind securitatea cibernetică, la nivel naţional este importantă separarea conceptuală a direcţiilor principale de acţiune: apărare cibernetică, criminalitate informatică, securitate naţională, infrastructuri critice și situaţii de urgenţă, diplomaţie cibernetică internaţională și guvernanţa Internetului. Separarea nu reprezintă situaţia ideală, dar este o realitate, datorită complexităţii și diversităţii securităţii cibernetice în ansamblu. Este nevoie să se stabilească foarte clar rolurile și responsabilităţile fiecărei instituţii naţionale responsabile în parte.

România va asuma în 2019, pentru o perioadă de șase luni, Președinţia Consiliului Uniunii Europene, ceea ce presupune consolidarea unei viziuni naţionale cu privire la viitorul Uniunii Europene. Piaţa Internă Digitală, cu importanta dimensiune a securităţii cibernetice, va reprezenta o prioritate a viitoarei Președinţii a României la Consiliul Uniunii Europene. Astfel, consolidarea cadrului legislativ în domeniul securităţii cibernetice constituie o prioritate naţională, pentru a putea fi asigurate condiţiile optime de reacţie rapidă la incidentele cibernetice.

Concluzionând, adoptarea unei legislaţii comprehensive și actualizate în domeniul securităţii cibernetice, care să sprijine dezvoltarea capacităţilor de apărare ale statului, reprezintă o prioritate naţională. Asigurarea unui spaţiu cibernetic sigur și securizat este responsabilitatea atât a statului, cât și a autorităţilor competente, a sectorului privat și a societăţii civile.


*** Acest articol conţine o sinteză a studiului „Provocări actuale în domeniul securităţii cibernetice – impact și contribuţia României în domeniu”, elaborat de Ioan-Cosmin MIHAI, Costel CIUCHI și Gabriel-Marius PETRICĂ, sub egida Institutului European din România (IER), în cadrul proiectului de studii de strategie și politici SPOS 2017. Acest studiu este disponibil pe site-ul IER.