iuiuiu

Florin Cosmoiu,

director al Centrului Naţional CYBERINT din SRI

serviciul-roman-de-informatii_logo

Societatea actuală este caracterizată de cunoaștere și continuă schimbare. Asistăm astăzi la o lume globală, complexă, dinamică, fapt determinat de mutaţiile ce au loc pe fondul procesului de globalizare și al dependenței informaționale.

Evoluţia exponenţială a mediului cibernetic şi valenţele strategice dobândite de ţările dezvoltate au generat riscuri şi vulnerabilităţi, ce sunt/pot fi exploatate de entităţi rău-voitoare în scopul săvârşirii de infracţiuni, acte de spionaj, ce pun în pericol atât indivizii, cât şi societatea.

În acest context, provocările în domeniul securităţii cibernetice sunt tot mai complexe și mai variate, fiecare stat având obligativitatea de a identifica şi dispune măsuri  de dezvoltare a unor mecanisme eficiente de rezilienţă şi răspuns la ameninţările mediului virtual.

În această sferă de preocupări se înscriu demersurile de creare a unui cadru legislativ şi instituţional corespunzător cerinţelor, cu impact asupra evoluţiilor pe termen mediu şi lung în plan naţional.

Existenţa la nivelul fiecărui stat a unui cadru normativ în domeniul securităţii cibernetice este necesară, în condiţiile în care nivelul ameninţării cibernetice la nivel internaţional este în continuă creştere. În evaluarea nivelului ameninţării cibernetice avem în vedere, pe de o parte, riscurile generate de interesul anumitor entităţi statale şi criminale de a compromite infrastructuri cibernetice şi, pe de altă parte, vulnerabilităţile sistemelor informatice, fie software, fie de natură umană (pe fondul precarităţii culturii de securitate cibernetică).

Opiniile pe marginea necesităţii unei legi în domeniul securităţii cibernetice au variat în România, îmbrăcând nuanţe diverse, în tonalităţi diferite.

De exemplu, în registru negativ sunt relevante temerile că aplicarea unui astfel de normativ ar fi de natură să încalce intimitatea personală şi că, în esenţă, ar conduce la o constrângere din partea autorităţilor competente, înţeleasă în termeni de limitare a exerciţiului unor drepturi şi libertăţi (mai exact limitarea dreptului la viaţă intimă, familială, la secretul corespondenţei, libertatea de exprimare).

Fără intenţia de a combate o astfel de poziţionare, apreciem că scepticii ar trebui să ţină cont că aceste drepturi trebuie asigurate nu numai în raport cu autorităţi ale statului, ci şi în raport cu entităţi private care fură date personale şi le exploatează în vederea obţinerii de beneficii financiare ori chiar în activităţi de pornografie infantilă.

Câţi dintre noi ştiu că la ora actuală un număr semnificativ de calculatoare din ţara noastră sunt implicate, în cele mai multe cazuri fără ca deţinătorii acestora să ştie, în diverse atacuri cibernetice?

Câţi dintre noi conştientizează riscul derivat din faptul că orice utilizator al unui calculator conectat la internet poate fi ţinta unui atac cibernetic ori că, prin distribuire de malware, orice infractor cibernetic poate obţine şi menţine controlul de la distanţă a sistemelor, serverelor şi computerelor personale în vederea creării de reţele de roboţi cibernetici utilizaţi pentru pivotarea atacurilor cibernetice şi controlul altor sisteme informatice?

Calculatorul oricărei persoane fizice, care nu are un minimum de cunoștințe în domeniul securității cibernetice, poate fi ținta unui atac sau poate fi folosit pentru un atac cibernetic, fără ca măcar să știe acest lucru.

Educarea societăţii civile în sensul creşterii culturii de securitate, dar şi creşterea încrederii între stat şi societatea civilă sunt puncte esenţiale de atins în obţinerea unui deziderat privind spaţiul cibernetic. În acest sens, modernizarea programelor de studii existente la nivelul învăţământului gimnazial, dar şi pregătirea personalului din administraţia publică şi formarea unor magistraţi cu competenţe în domeniul securităţii cibernetice ar putea să soluţioneze câteva din problemele pe care le regăsim la nivelul societăţii civile.

Ori aceste riscuri cresc direct proporţional cu numărul de utilizatori de internet. De exemplu, la jumătatea anului 2014, în România existau aproximativ 11,2 milioane de utilizatori de internet (potrivit unei statistici realizate de către Internet World Stats, www.internetworldstats.com), comparativ cu anul 2013 când s-a estimat că există în jur de 6,5 milioane de utilizatori (potrivit unui studiu realizat de către Biroul Român de Audit Transmedia).

Cum s-ar putea asigura o protecţie în faţa infractorilor cibernetici în lipsa unui pachet legislativ viabil şi fundamentat, care să permită o cooperare între societatea civilă şi autorităţile statului?

Asigurarea unor măsuri de prevenire a atacurilor cibernetice și de limitare a efectelor acestora sunt absolut necesare, dar este nevoie și de implicarea societății civile, care trebuie să conştientizeze necesitatea colaborării cu autorităţile pe acest palier.

Care ar fi beneficiile unei legi în domeniul securităţii cibernetice? Înainte de orice, adoptarea unui astfel de act normativ ar permite stabilirea arhitecturii organizaţionale în domeniul securităţii cibernetice şi definirea de responsabilități clare pentru fiecare autoritate şi instituţie publică membră a acestuia, care va acţiona numai în condiţiile legii.

În acelaşi timp, s-ar defini responsabilităţi şi pentru deţinătorii de infrastructuri cibernetice în scopul protejării acestora, inclusiv în sensul unei conduite participative la efortul instituţiilor specializate ale statului de a preveni şi investiga acţiunile în spaţiul virtual.

O astfel de conduită participativă nu este de natură să conducă la încălcarea drepturilor şi libertăţilor cetăţeneşti, ci ar permite stabilirea unui cadru general de protecție a informațiilor de interes național cu care aceste infrastructuri operează. În caz contrar, deţinătorii de infrastructuri cibernetice nu au obligaţia de a aplica politici de securitate cibernetică, situaţie care ar putea conduce la creşterea numărului de incidente/atacuri cibernetice.

În concluzie, în actualul context de securitate, adoptarea unui cadru legal care să sprijine dezvoltarea capacităţilor elementelor de securitate ale statului, astfel încât să facă faţă ameninţărilor cibernetice este un sine qua non pentru orice stat şi un pas important în dezvoltarea unui sistem matur de securitate cibernetică.

Deţinerea unui sistem matur de securitate cibernetică reprezintă, de altfel, scopul fiecărui stat, pentru realizarea lui fiind necesară îndeplinirea mai multor obiective, precum: proiectarea unor politici şi a unei strategii de securitate cibernetică; creşterea culturii de securitate cibernetică la nivelul societăţii civile; dezvoltarea unor competenţe cibernetice atât la nivelul utilizatorilor, cât şi la nivelul managerilor; crearea unui cadru legal şi a unor acte normative eficiente; managementul riscului prin organizare; impunerea de standarde şi tehnologie.

Atingerea acestor obiective permite unei entităţi să îşi auto-evalueze capabilităţile de securitate cibernetică şi nivelul la care se situează.

Totodată, constituirea unui sistem matur de securitate implică mai multe etape de la prima fază în care nu există nicio capabilitate de securitate cibernetică, până la etapa finală în care există mecanisme clare privind gestionarea mediului cibernetic, metode dezvoltate de schimbare şi adaptare a strategiei la nevoile actuale de securitate, proceduri de reacţie rapidă, mecanisme de decizie, posibilităţi de realocare de resurse şi de menţinere a atenţiei constante pe schimbările din mediul de securitate.