DOCUMENT IN LUCRU

Strategia de securitate cibernetic a Romniei

CUPRINS

I Introducere 1. Context 2. Scop i obiective 3. Concepte, definiii i termeni 4. Principii II Vulnerabiliti, riscuri i amenin ri III Direcii de aciune IV Sistemul Naional de Securitate Cibernetic V Concluzii

I Introducere

1. Context Dezvoltarea rapid a tehnologiilor moderne de informaii i comunicaii condiie sine qua non a edificrii societii informaionale a avut un impact major asupra ansamblului social, marcnd adevrate mutaii n filozofia de funcionare a economicului, politicului i culturalului, dar i asupra vieii de zi cu zi a individului. Practic, n prezent accesul facil la tehnologia informaiei i comunicaiilor reprezint una dintre premisele bunei funcionri a societii moderne. Spaiul cibernetic se caracterizeaz prin lipsa frontierelor, dinamism i anonimat, genernd att deopotriv, oportuniti de dezvoltare a societii informaionale bazate pe cunoatere i riscuri la adresa funcionrii acesteia (la nivel individual, statal i chiar cu manifestare transfrontalier). Cu ct o societate este mai informatizat, cu att este mai vulnerabil, iar asigurarea securitii spaiului cibernetic trebuie s constituie o preocupare major a tuturor actorilor implicai, mai ales la nivel instituional, unde se concentreaz responsabilitatea elaborrii i aplicrii de politici coerente n domeniu. Romnia urmrete att dezvoltarea unui mediu informaional dinamic bazat pe interoperabilitate i servicii specifice societii informaionale, ct i asigurarea respectrii drepturilor i libertilor fundamentale ale cetenilor i a intereselor de securitate naional, ntr-un cadru legal adecvat. Din aceast perspectiv, se resimte necesitatea dezvoltrii culturii de securitate cibernetic a utilizatorilor sistemelor informatice i de comunicaii, adesea insuficient informai n legtur cu potenialele riscuri, dar i cu soluiile de contracarare a acestora. Cunoaterea pe scar larg a riscurilor i ameninrilor la care sunt supuse activitile desfurate n spaiul cibernetic i modului de prevenire i contracarare a acestora necesit o comunicare i cooperare eficiente ntre actorii specifici n acest domeniu. Statul romn i asum rolul de coordonator al activitilor desfurate la nivel naional pentru asigurarea securitii cibernetice, n concordan cu demersurile iniiate la nivel UE i NATO. Problematica securitii cibernetice a devenit prioritar pentru aceste organisme, care au stabilit cadrul de reglementare necesar dezvoltrii mecanismelor de aprare cibernetic (Anexa). 2. Scop i obiective

3/10

Prezenta Strategie are rolul de a fundamenta obiectivele, principiile i direciile de aciune ntr-o manier coerent i unitar n vederea cunoaterii, prevenirii i contracarrii riscurilor i ameninrilor la adresa securitii cibernetice a Romniei. n scopul proteciei infrastructurilor cibernetice aparinnd instituiilor guvernamentale, publice i private, Strategia i propune urmtoarele obiective: adaptarea cadrului normativ i instituional la dinamica ameninrilor specifice spaiului cibernetic; b) stabilirea i aplicarea unor cerine minimale de securitate pentru infrastructurile cibernetice naionale, cu relevan pentru funcionarea infrastructurilor critice; c) asigurarea rezilienei infrastructurilor cibernetice; d) promovarea i dezvoltarea cooperrii n plan naional i internaional; e) creterea culturii de securitate a populaiei prin contientizarea fa de vulnerabilitile, riscurile i ameninrile provenite din mediul cibernetic i necesitatea asigurrii proteciei sistemelor informatice proprii. Concepte, definiii i termeni a)

3.

Infrastructuri cibernetice infrastructuri de tehnologia informaiei i comunicaii, constnd n sisteme informatice, aplicaii aferente, reele i servicii de comunicaii electronice. Spaiul cibernetic mediul virtual, generat de infrastructurile cibernetice, incluznd coninutul informaional procesat, stocat sau transmis, precum i aciunile derulate de utilizatori n acesta. Securitate cibernetic starea de normalitate rezultat n urma aplicrii unui ansamblu de msuri proactive i reactive prin care se asigur confidenialitatea, integritatea, disponibilitatea, autenticitatea i non-repudierea informaiilor n format electronic, a resurselor i serviciilor publice sau private, din spaiul cibernetic. Msurile proactive i reactive pot include: politici, concepte, standarde i ghiduri de securitate, managementul riscului, activiti de instruire i contientizare, implementarea de soluii tehnice de protejare a infrastructurilor cibernetice, managementul identitii, managementul consecinelor. Ameninare cibernetic orice circumstan sau eveniment care constituie un pericol potenial la adresa securitii cibernetice. Atac cibernetic orice aciune ostil desfurat n spaiul cibernetic de natur s afecteze securitatea cibernetic. Incident cibernetic orice eveniment survenit n spaiul cibernetic de natur s afecteze securitatea cibernetic. Rzboi cibernetic desfurarea de aciuni ofensive n spaiul cibernetic de ctre un stat n scopul distrugerii sau perturbrii funcionrii infrastructurilor critice ale altui stat, concomitent cu desfurarea de aciuni defensive i contraofensive pentru protejarea infrastructurii cibernetice proprii.

Terorism cibernetic activitile premeditate desfurate n spaiul cibernetic de ctre persoane, grupri sau organizaii motivate politic, ideologic sau religios ce pot determina distrugeri materiale sau victime de natur s determine panic sau teroare. Spionaj cibernetic aciuni desfurate n spaiul cibernetic, cu scopul de a obine neautorizat informaii confideniale n interesul unui stat. Criminalitatea informatic totalitatea faptelor prevzute de legea penal care reprezint pericol social i sunt svrite cu vinovie, prin intermediul sau asupra infrastructurilor cibernetice. Vulnerabilitatea - o slbiciune n proiectarea i implementarea infrastructurilor cibernetice sau a msurilor de securitate aferente care poate fi exploatat de ctre o ameninare. Riscul de securitate - probabilitatea ca o ameninare s se materializeze, exploatnd o anumit vulnerabilitate specific infrastructurilor cibernetice. Managementul riscului - un proces complex, continuu i flexibil de identificare, evaluare i contracarare a riscurilor la adresa securitii cibernetice, bazat pe utilizarea unor tehnici i instrumente complexe, pentru prevenirea pierderilor de orice natur. Managementul identitii - metode de validare a identitii persoanelor cnd acestea acceseaz anumite infrastructuri cibernetice. Reziliena infrastructurilor cibernetice capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic i de a reveni la starea de normalitate. CERT Centru de rspuns la incidente de securitate cibernetic entitate organizaional specializat care dispune de capabilitile necesare pentru prevenirea, analiza, identificarea i reacia la incidentele cibernetice.

5/10

4. Principii La baza realizrii securitii cibernetice stau urmtoarele principii: Coordonarea activitile se realizeaz ntr-o concepie unitar, pe baza unor planuri de aciune convergente destinate asigurrii securitii cibernetice, n conformitate cu atribuiile i responsabilitile fiecrei entiti; Cooperarea toate entitile implicate (din mediul public sau privat) colaboreaz, la nivel naional i internaional, pentru asigurarea unui rspuns adecvat la ameninrile din spaiul cibernetic; Eficiena demersurile ntreprinse vizeaz managementul optim al resurselor disponibile; Prioritizarea eforturile se vor concentra asupra securizrii infrastructurilor cibernetice ce susin infrastructurile critice naionale. Diseminarea asigurarea transferului de informaii, expertiz i bune practici n scopul protejrii infrastructurilor cibernetice. II Vulnerabiliti, riscuri i amenin ri Ameninrile specifice spaiului cibernetic se caracterizeaz prin asimetrie i dinamic accentuat i caracter global, ceea ce le face dificil de identificat i de contracarat prin msuri proporionale cu impactul materializrii riscurilor. Romnia se confrunt n prezent cu ameninri provenite din spaiul cibernetic la adresa infrastructurilor critice, avnd n vedere interdependena din ce n ce mai ridicat ntre infrastructurile cibernetice i infrastructuri precum cele din sectoarele financiarbancar, transport, energie i aprare naional. Globalitatea spaiului cibernetic este de natur s amplifice riscurile la adresa acestora afectnd n aceeai msur att sectorul privat, ct i cel public. Ameninrile la adresa spaiului cibernetic se pot clasifica n mai multe moduri, dar cele mai frecvent utilizate sunt cele bazate pe factorii motivaionali i impactul asupra societii. n acest sens, putem avea n vedere criminalitatea cibernetic, terorismul cibernetic i rzboiul cibernetic, avnd ca surs att actori statali, ct i non-statali. Ameninrile din spaiul cibernetic se materializeaz prin exploatarea vulnerabilitilor natur uman, tehnic i procedural cel mai adesea n: o atacuri cibernetice mpotriva infrastructurilor care susin funcii de utilitate public ori servicii ale societii informaionale a cror ntrerupere / afectare ar putea constitui un pericol la adresa securitii naionale; o accesarea neautorizat a infrastructurilor cibernetice; o modificarea, tergerea sau deteriorarea neautorizat de date informatice ori restricionarea ilegal a accesului la aceste date; o spionajul cibernetic; o cauzarea unui prejudiciu patrimonial, hruirea i antajul persoanelor fizice i juridice, de drept public i privat.

Principalii actori care genereaz ameninri n spaiul cibernetic sunt: Persoane sau grupri de criminalitate organizat care exploateaz vulnerabilitile spaiului cibernetic n scopul obinerii de avantaje patrimoniale sau nepatrimoniale; Terori ti sau extremi ti care utilizeaz spaiul cibernetic pentru desfurarea i coordonarea unor atacuri teroriste, activiti de comunicare, propagand, recrutare i instruire, colectare de fonduri etc., n scopuri teroriste. State sau actori non-statali care iniiaz sau deruleaz operaiuni n spaiul cibernetic n scopul culegerii de informaii din domeniile guvernamental, militar, economic sau al materializrii altor ameninri la adresa securitii naionale. III Direcii de aciune Romnia i propune asigurarea strii de normalitate n spaiul cibernetic reducnd riscurile i valorificnd oportunitile specifice, prin mbuntirea cuno tinelor, capabilitilor i a mecanismelor de decizie. n acest sens, eforturile se vor focaliza pe urmtoarele direcii de aciune: 1. Stabilirea cadrului conceptual, organizatoric i acional necesar asigurrii Constituirea i operaionalizarea unui Sistem Naional de Securitate

securitii cibernetice. Cibernetic. Completarea i armonizarea cadrului legislativ naional n domeniu, inclusiv stabilirea i aplicarea unor cerine minimale de securitate pentru infrastructurile cibernetice naionale. Dezvoltarea unui parteneriat public-privat, inclusiv prin stimularea schimbului reciproc de informaii, privind ameninri, vulnerabiliti, riscuri, precum i incidente i atacuri cibernetice. Dezvoltarea capacitilor naionale de management al riscului n domeniul

2.

securitii cibernetice i de reacie la incidente cibernetice n baza unui Program naional viznd:

Consolidarea, la nivelul autoritilor competente potrivit legii, a potenialului de cunoatere, prevenire i contracarare a riscurilor asociate utilizrii spaiului cibernetic. Asigurarea unor instrumente de dezvoltare a cooperrii cu sectorul privat n domeniul securitii cibernetice, inclusiv pentru crearea unui mecanism eficient de avertizare i alert, respectiv de reacie la incidentele cibernetice. Stimularea capabilitilor naionale de cercetare-dezvoltare i inovare n domeniul securitii cibernetice. Creterea nivelului de rezilien infrastructurilor cibernetice.
7/10

Dezvoltarea entitilor de tip CERT. Promovarea i consolidarea culturii de securitate n domeniul cibernetic

3.

Derularea unor programe de contientizare a populaiei, a administraiei publice i a sectorului privat cu privire la vulnerabilitile, riscurile i ameninrile specifice utilizrii spaiului cibernetic. Formarea profesional adecvat a persoanelor care i desfoar activitatea n domeniul securitii cibernetice i promovarea pe scar larg a certificrilor profesionale n domeniu. Includerea unor elemente referitoare la securitatea cibernetic n programele de formare i perfecionare profesional a managerilor din domeniul public i privat.

4. Dezvoltarea cooperrii internaionale n domeniul securitii cibernetice ncheierea de acorduri de cooperare la nivel internaional pentru mbuntirea capacitii de rspuns n cazul unor atacuri cibernetice majore. Participarea la programe internaionale care vizeaz domeniul securitii cibernetice. Promovarea intereselor naionale de securitate cibernetic n formatele de cooperare internaional la care Romnia este parte. IV. Sistemul Naional de Securitate Cibernetic Sistemul Naional de Securitate Cibernetic SNSC reprezint cadrul de cooperare care reunete autoriti i instituii publice, mediul academic i cel de afaceri, asociaii profesionale, organizaii neguvernamentale, cu responsabiliti i capabiliti n domeniu, n vederea coordonrii aciunilor pentru asigurarea securitii componentei naionale a spaiului cibernetic. Coordonarea activitii Sistemului Naional de Securitate Cibernetic este asigurat de un comitet, avnd ca obiective implementarea Programului Naional n domeniu, managementul aciunilor, la nivel naional, n cazul unui atac cibernetic, respectiv corelarea demersurilor instituiilor componente n cadrul formatelor de cooperare internaional la care Romnia este parte. Sistemul Naional de Securitate Cibernetic asigur cunoaterea, prevenirea i contracararea unui atac mpotriva componentei naionale a spaiului cibernetic, inclusiv managementul consecinelor. Componenta de cunoa tere trebuie s asigure informaiile necesare n elaborarea msurilor pentru prevenirea efectelor unor incidente cibernetice. Componenta de prevenire este principalul mijloc de asigurare a securitii cibernetice. Aciunile preventive reprezint cea mai eficient modalitate att de a reduce extinderea

pe teritoriul naional a mijloacelor specifice unui atac cibernetic, ct i de a limita efectele utilizrii acestora. Componenta de contracarare trebuie s asigure o reacie eficient la atacuri cibernetice, prin identificarea i blocarea aciunilor ostile n spaiul cibernetic, meninerea sau restabilirea disponibilitii infrastructurilor cibernetice vizate i identificarea i sancionarea potrivit legii a autorilor. Succesul activitilor desfurate n SNSC depinde n mod esenial de cooperarea, inclusiv n formule de parteneriat public-privat, ntre deintorii infrastructurilor cibernetice i autoritile statului abilitate s ntreprind msuri de prevenire, contracarare, investigare i eliminare a efectelor unei ameninri materializate printr-un atac. V. Concluzii Succesul demersului depinde, n mod esenial, de eficiena cooperrii la nivel naional pentru protejarea spaiului cibernetic, respectiv de coordonarea demersurilor naionale cu orientrile i msurile adoptate la nivel internaional, n formatele de cooperare la care Romnia este parte. Avnd n vedere dinamismul evoluiilor globale n spaiul cibernetic, precum i obiectivele Romniei n procesul de dezvoltare a societii informaionale i implementare pe scar larg a serviciilor electronice, este necesar elaborarea unui program naional detaliat, care - pe baza reperelor oferite de prezenta Strategie s asigure elaborarea i punerea n practic a unor proiecte concrete de securitate cibernetic. Msurile destinate operaionalizrii Sistemului Naional de Securitate Cibernetic trebuie armonizate cu eforturile pe dimensiunea proteciei infrastructurilor critice, respectiv cu evoluia procesului de dezvoltare a capabilitilor de tip CERT. n varianta optim, SNSC trebuie s dispun de o structur flexibil, adaptativ, care s nglobeze capabiliti de identificare i anticipare, resurse i proceduri operaionale de prevenire, reacie i contracarare i instrumente pentru documentare i sancionare a autorilor atacurilor cibernetice. Este necesar implementarea, la nivel naional, a unor standarde minimale procedurale i de securitate pentru infrastructurile cibernetice (cu valorificarea modelului oferit de Security Operational Center - SOC), care s fundamenteze eficiena demersurilor de protejare fa de atacuri cibernetice i s limiteze riscurile producerii unor incidente cu potenial impact semnificativ. Autoritile publice cu responsabiliti n acest domeniu vor aloca resursele financiare necesare asigurrii securitii cibernetice prin intermediul politicilor de planificare. Pentru asigurarea unei capaciti sporite de identificare, evaluare i proiectare a msurilor adecvate de management al riscului sau de rspuns la incidente i atacuri cibernetice, este prioritar dezvoltarea schimburilor de informaii i transferului de expertiz ntre autoritile cu responsabiliti n domeniu, dezvoltarea parteneriatului public-privat i
9/10

extinderea cooperrii cu mediile neguvernamentale i comunitatea academic. SNSC va integra centrele de coordonare existente, valorificnd instrumentele de coordonare i cooperare oferite de acestea, i va aciona pentru consolidarea expertizei n domeniul riscurilor cibernetice, prin stimularea sinergiilor ntre diferitele planuri de aciune n domeniul securitii cibernetice (militar-civil, public-privat, guvernamentalneguvernamental). Dat fiind ritmul rapid de evoluie a problematicii, prezenta strategie va fi testat i revizuit permanent, inclusiv n contextul mai larg al Strategiei Naionale de Aprare, n vederea adaptrii continue la provocrile i oportunitile generate de un mediu de securitate n permanent schimbare.