Sunteți pe pagina 1din 10

DOCUMENT IN LUCRU

Strategia de securitate cibernetic a Romniei


CUPRINS
I Introducere
1. Context
2. Scop i obiective
3. Concepte, definiii i termeni
4. Principii
II Vulnerabiliti, riscuri i ameninri
III Direcii de aciune
IV Sistemul Naional de Securitate Cibernetic
V Concluzii
I Introducere
1. Context
Dezvoltarea rapid a tehnologiilor moderne de informaii i comunicaii condiie sine
qua non a edificrii societii informaionale a avut un impact major asupra ansamblului
social, marcnd adevrate mutaii n filozofia de funcionare a economicului, politicului i
culturalului, dar i asupra vieii de zi cu zi a individului.
Practic, n prezent accesul facil la tehnologia informaiei i comunicaiilor reprezint una
dintre premisele bunei funcionri a societii moderne.
Spaiul cibernetic se caracterizeaz prin lipsa frontierelor, dinamism i anonimat,
genernd att deopotriv, oportuniti de dezvoltare a societii informaionale bazate pe
cunoatere i riscuri la adresa funcionrii acesteia (la nivel individual, statal i chiar cu
manifestare transfrontalier).
Cu ct o societate este mai informatizat, cu att este mai vulnerabil, iar asigurarea
securitii spaiului cibernetic trebuie s constituie o preocupare major a tuturor actorilor
implicai, mai ales la nivel instituional, unde se concentreaz responsabilitatea elaborrii
i aplicrii de politici coerente n domeniu.
Romnia urmrete att dezvoltarea unui mediu informaional dinamic bazat pe
interoperabilitate i servicii specifice societii informaionale, ct i asigurarea respectrii
drepturilor i libertilor fundamentale ale cetenilor i a intereselor de securitate
naional, ntr-un cadru legal adecvat.
Din aceast perspectiv, se resimte necesitatea dezvoltrii culturii de securitate
cibernetic a utilizatorilor sistemelor informatice i de comunicaii, adesea insuficient
informai n legtur cu potenialele riscuri, dar i cu soluiile de contracarare a acestora.
Cunoaterea pe scar larg a riscurilor i ameninrilor la care sunt supuse activitile
desfurate n spaiul cibernetic i modului de prevenire i contracarare a acestora
necesit o comunicare i cooperare eficiente ntre actorii specifici n acest domeniu.
Statul romn i asum rolul de coordonator al activitilor desfurate la nivel naional
pentru asigurarea securitii cibernetice, n concordan cu demersurile iniiate la nivel
UE i NATO. Problematica securitii cibernetice a devenit prioritar pentru aceste
organisme, care au stabilit cadrul de reglementare necesar dezvoltrii mecanismelor de
aprare cibernetic (Anexa).
2. Scop i obiective
3/10
Prezenta Strategie are rolul de a fundamenta obiectivele, principiile i direciile de
aciune ntr-o manier coerent i unitar n vederea cunoaterii, prevenirii i
contracarrii riscurilor i ameninrilor la adresa securitii cibernetice a Romniei.
n scopul proteciei infrastructurilor cibernetice aparinnd instituiilor
guvernamentale, publice i private, Strategia i propune urmtoarele obiective:
a) adaptarea cadrului normativ i instituional la dinamica ameninrilor
specifice spaiului cibernetic;
b) stabilirea i aplicarea unor cerine minimale de securitate pentru
infrastructurile cibernetice naionale, cu relevan pentru
funcionarea infrastructurilor critice;
c) asigurarea rezilienei infrastructurilor cibernetice;
d) promovarea i dezvoltarea cooperrii n plan naional i internaional;
e) creterea culturii de securitate a populaiei prin contientizarea fa
de vulnerabilitile, riscurile i ameninrile provenite din mediul
cibernetic i necesitatea asigurrii proteciei sistemelor informatice
proprii.
3. Concepte, definiii i termeni
Infrastructuri cibernetice infrastructuri de tehnologia informaiei i comunicaii,
constnd n sisteme informatice, aplicaii aferente, reele i servicii de comunicaii
electronice.
Spaiul cibernetic mediul virtual, generat de infrastructurile cibernetice, incluznd
coninutul informaional procesat, stocat sau transmis, precum i aciunile derulate de
utilizatori n acesta.
Securitate cibernetic starea de normalitate rezultat n urma aplicrii unui ansamblu
de msuri proactive i reactive prin care se asigur confidenialitatea, integritatea,
disponibilitatea, autenticitatea i non-repudierea informaiilor n format electronic, a
resurselor i serviciilor publice sau private, din spaiul cibernetic. Msurile proactive i
reactive pot include: politici, concepte, standarde i ghiduri de securitate, managementul
riscului, activiti de instruire i contientizare, implementarea de soluii tehnice de
protejare a infrastructurilor cibernetice, managementul identitii, managementul
consecinelor.
Ameninare cibernetic orice circumstan sau eveniment care constituie un pericol
potenial la adresa securitii cibernetice.
Atac cibernetic orice aciune ostil desfurat n spaiul cibernetic de natur s
afecteze securitatea cibernetic.
Incident cibernetic orice eveniment survenit n spaiul cibernetic de natur s
afecteze securitatea cibernetic.
Rzboi cibernetic desfurarea de aciuni ofensive n spaiul cibernetic de ctre un
stat n scopul distrugerii sau perturbrii funcionrii infrastructurilor critice ale altui stat,
concomitent cu desfurarea de aciuni defensive i contraofensive pentru protejarea
infrastructurii cibernetice proprii.
Terorism cibernetic activitile premeditate desfurate n spaiul cibernetic de ctre
persoane, grupri sau organizaii motivate politic, ideologic sau religios ce pot determina
distrugeri materiale sau victime de natur s determine panic sau teroare.
Spionaj cibernetic aciuni desfurate n spaiul cibernetic, cu scopul de a obine
neautorizat informaii confideniale n interesul unui stat.
Criminalitatea informatic totalitatea faptelor prevzute de legea penal care
reprezint pericol social i sunt svrite cu vinovie, prin intermediul sau asupra
infrastructurilor cibernetice.
Vulnerabilitatea - o slbiciune n proiectarea i implementarea infrastructurilor
cibernetice sau a msurilor de securitate aferente care poate fi exploatat de ctre o
ameninare.
Riscul de securitate - probabilitatea ca o ameninare s se materializeze, exploatnd o
anumit vulnerabilitate specific infrastructurilor cibernetice.
Managementul riscului - un proces complex, continuu i flexibil de identificare, evaluare
i contracarare a riscurilor la adresa securitii cibernetice, bazat pe utilizarea unor
tehnici i instrumente complexe, pentru prevenirea pierderilor de orice natur.
Managementul identitii - metode de validare a identitii persoanelor cnd acestea
acceseaz anumite infrastructuri cibernetice.
Reziliena infrastructurilor cibernetice capacitatea componentelor infrastructurilor
cibernetice de a rezista unui incident sau atac cibernetic i de a reveni la starea de
normalitate.
CERT Centru de rspuns la incidente de securitate cibernetic entitate
organizaional specializat care dispune de capabilitile necesare pentru prevenirea,
analiza, identificarea i reacia la incidentele cibernetice.
5/10
4. Principii
La baza realizrii securitii cibernetice stau urmtoarele principii:
- Coordonarea activitile se realizeaz ntr-o concepie unitar, pe baza
unor planuri de aciune convergente destinate asigurrii securitii
cibernetice, n conformitate cu atribuiile i responsabilitile fiecrei entiti;
- Cooperarea toate entitile implicate (din mediul public sau privat)
colaboreaz, la nivel naional i internaional, pentru asigurarea unui rspuns
adecvat la ameninrile din spaiul cibernetic;
- Eficiena demersurile ntreprinse vizeaz managementul optim al
resurselor disponibile;
- Prioritizarea eforturile se vor concentra asupra securizrii infrastructurilor
cibernetice ce susin infrastructurile critice naionale.
- Diseminarea asigurarea transferului de informaii, expertiz i bune
practici n scopul protejrii infrastructurilor cibernetice.
II Vulnerabiliti, riscuri i ameninri
Ameninrile specifice spaiului cibernetic se caracterizeaz prin asimetrie i
dinamic accentuat i caracter global, ceea ce le face dificil de identificat i de
contracarat prin msuri proporionale cu impactul materializrii riscurilor.
Romnia se confrunt n prezent cu ameninri provenite din spaiul cibernetic la
adresa infrastructurilor critice, avnd n vedere interdependena din ce n ce mai ridicat
ntre infrastructurile cibernetice i infrastructuri precum cele din sectoarele financiar-
bancar, transport, energie i aprare naional. Globalitatea spaiului cibernetic este de
natur s amplifice riscurile la adresa acestora afectnd n aceeai msur att sectorul
privat, ct i cel public.
Ameninrile la adresa spaiului cibernetic se pot clasifica n mai multe moduri, dar
cele mai frecvent utilizate sunt cele bazate pe factorii motivaionali i impactul asupra
societii. n acest sens, putem avea n vedere criminalitatea cibernetic, terorismul
cibernetic i rzboiul cibernetic, avnd ca surs att actori statali, ct i non-statali.
Ameninrile din spaiul cibernetic se materializeaz prin exploatarea
vulnerabilitilor natur uman, tehnic i procedural cel mai adesea n:
o atacuri cibernetice mpotriva infrastructurilor care susin funcii de utilitate
public ori servicii ale societii informaionale a cror ntrerupere / afectare
ar putea constitui un pericol la adresa securitii naionale;
o accesarea neautorizat a infrastructurilor cibernetice;
o modificarea, tergerea sau deteriorarea neautorizat de date informatice ori
restricionarea ilegal a accesului la aceste date;
o spionajul cibernetic;
o cauzarea unui prejudiciu patrimonial, hruirea i antajul persoanelor fizice
i juridice, de drept public i privat.
Principalii actori care genereaz ameninri n spaiul cibernetic sunt:
- Persoane sau grupri de criminalitate organizat care exploateaz
vulnerabilitile spaiului cibernetic n scopul obinerii de avantaje patrimoniale
sau nepatrimoniale;
- Teroriti sau extremiti care utilizeaz spaiul cibernetic pentru desfurarea
i coordonarea unor atacuri teroriste, activiti de comunicare, propagand,
recrutare i instruire, colectare de fonduri etc., n scopuri teroriste.
- State sau actori non-statali care iniiaz sau deruleaz operaiuni n spaiul
cibernetic n scopul culegerii de informaii din domeniile guvernamental, militar,
economic sau al materializrii altor ameninri la adresa securitii naionale.
III Direcii de aciune
Romnia i propune asigurarea strii de normalitate n spaiul cibernetic
reducnd riscurile i valorificnd oportunitile specifice, prin mbuntirea
cunotinelor, capabilitilor i a mecanismelor de decizie. n acest sens, eforturile
se vor focaliza pe urmtoarele direcii de aciune:
1. Stabilirea cadrului conceptual, organizatoric i acional necesar asigurrii
securitii cibernetice.
Constituirea i operaionalizarea unui Sistem Naional de Securitate
Cibernetic.
Completarea i armonizarea cadrului legislativ naional n domeniu, inclusiv
stabilirea i aplicarea unor cerine minimale de securitate pentru infrastructurile
cibernetice naionale.
Dezvoltarea unui parteneriat public-privat, inclusiv prin stimularea schimbului
reciproc de informaii, privind ameninri, vulnerabiliti, riscuri, precum i
incidente i atacuri cibernetice.
2. Dezvoltarea capacitilor naionale de management al riscului n domeniul
securitii cibernetice i de reacie la incidente cibernetice n baza unui Program
naional viznd:
Consolidarea, la nivelul autoritilor competente potrivit legii, a potenialului de
cunoatere, prevenire i contracarare a riscurilor asociate utilizrii spaiului
cibernetic.
Asigurarea unor instrumente de dezvoltare a cooperrii cu sectorul privat n
domeniul securitii cibernetice, inclusiv pentru crearea unui mecanism eficient de
avertizare i alert, respectiv de reacie la incidentele cibernetice.
Stimularea capabilitilor naionale de cercetare-dezvoltare i inovare n domeniul
securitii cibernetice.
Creterea nivelului de rezilien infrastructurilor cibernetice.
7/10
Dezvoltarea entitilor de tip CERT.
3. Promovarea i consolidarea culturii de securitate n domeniul cibernetic
Derularea unor programe de contientizare a populaiei, a administraiei publice i
a sectorului privat cu privire la vulnerabilitile, riscurile i ameninrile specifice
utilizrii spaiului cibernetic.
Formarea profesional adecvat a persoanelor care i desfoar activitatea n
domeniul securitii cibernetice i promovarea pe scar larg a certificrilor
profesionale n domeniu.
Includerea unor elemente referitoare la securitatea cibernetic n programele de
formare i perfecionare profesional a managerilor din domeniul public i privat.
4. Dezvoltarea cooperrii internaionale n domeniul securitii cibernetice
ncheierea de acorduri de cooperare la nivel internaional pentru mbuntirea
capacitii de rspuns n cazul unor atacuri cibernetice majore.
Participarea la programe internaionale care vizeaz domeniul securitii
cibernetice.
Promovarea intereselor naionale de securitate cibernetic n formatele de
cooperare internaional la care Romnia este parte.
IV. Sistemul Naional de Securitate Cibernetic
Sistemul Naional de Securitate Cibernetic SNSC reprezint cadrul de cooperare
care reunete autoriti i instituii publice, mediul academic i cel de afaceri, asociaii
profesionale, organizaii neguvernamentale, cu responsabiliti i capabiliti n domeniu,
n vederea coordonrii aciunilor pentru asigurarea securitii componentei naionale a
spaiului cibernetic.
Coordonarea activitii Sistemului Naional de Securitate Cibernetic este asigurat de
un comitet, avnd ca obiective implementarea Programului Naional n domeniu,
managementul aciunilor, la nivel naional, n cazul unui atac cibernetic, respectiv
corelarea demersurilor instituiilor componente n cadrul formatelor de cooperare
internaional la care Romnia este parte.
Sistemul Naional de Securitate Cibernetic asigur cunoaterea, prevenirea i
contracararea unui atac mpotriva componentei naionale a spaiului cibernetic, inclusiv
managementul consecinelor.
Componenta de cunoatere trebuie s asigure informaiile necesare n elaborarea
msurilor pentru prevenirea efectelor unor incidente cibernetice.
Componenta de prevenire este principalul mijloc de asigurare a securitii cibernetice.
Aciunile preventive reprezint cea mai eficient modalitate att de a reduce extinderea
pe teritoriul naional a mijloacelor specifice unui atac cibernetic, ct i de a limita efectele
utilizrii acestora.
Componenta de contracarare trebuie s asigure o reacie eficient la atacuri
cibernetice, prin identificarea i blocarea aciunilor ostile n spaiul cibernetic, meninerea
sau restabilirea disponibilitii infrastructurilor cibernetice vizate i identificarea i
sancionarea potrivit legii a autorilor.
Succesul activitilor desfurate n SNSC depinde n mod esenial de cooperarea,
inclusiv n formule de parteneriat public-privat, ntre deintorii infrastructurilor cibernetice
i autoritile statului abilitate s ntreprind msuri de prevenire, contracarare,
investigare i eliminare a efectelor unei ameninri materializate printr-un atac.
V. Concluzii
Succesul demersului depinde, n mod esenial, de eficiena cooperrii la nivel naional
pentru protejarea spaiului cibernetic, respectiv de coordonarea demersurilor naionale cu
orientrile i msurile adoptate la nivel internaional, n formatele de cooperare la care
Romnia este parte.
Avnd n vedere dinamismul evoluiilor globale n spaiul cibernetic, precum i obiectivele
Romniei n procesul de dezvoltare a societii informaionale i implementare pe scar
larg a serviciilor electronice, este necesar elaborarea unui program naional detaliat,
care - pe baza reperelor oferite de prezenta Strategie s asigure elaborarea i punerea
n practic a unor proiecte concrete de securitate cibernetic.
Msurile destinate operaionalizrii Sistemului Naional de Securitate Cibernetic trebuie
armonizate cu eforturile pe dimensiunea proteciei infrastructurilor critice, respectiv cu
evoluia procesului de dezvoltare a capabilitilor de tip CERT. n varianta optim, SNSC
trebuie s dispun de o structur flexibil, adaptativ, care s nglobeze capabiliti de
identificare i anticipare, resurse i proceduri operaionale de prevenire, reacie i
contracarare i instrumente pentru documentare i sancionare a autorilor atacurilor
cibernetice.
Este necesar implementarea, la nivel naional, a unor standarde minimale procedurale
i de securitate pentru infrastructurile cibernetice (cu valorificarea modelului oferit de
Security Operational Center - SOC), care s fundamenteze eficiena demersurilor de
protejare fa de atacuri cibernetice i s limiteze riscurile producerii unor incidente cu
potenial impact semnificativ.
Autoritile publice cu responsabiliti n acest domeniu vor aloca resursele financiare
necesare asigurrii securitii cibernetice prin intermediul politicilor de planificare. Pentru
asigurarea unei capaciti sporite de identificare, evaluare i proiectare a msurilor
adecvate de management al riscului sau de rspuns la incidente i atacuri cibernetice,
este prioritar dezvoltarea schimburilor de informaii i transferului de expertiz ntre
autoritile cu responsabiliti n domeniu, dezvoltarea parteneriatului public-privat i
9/10
extinderea cooperrii cu mediile neguvernamentale i comunitatea academic.
SNSC va integra centrele de coordonare existente, valorificnd instrumentele de
coordonare i cooperare oferite de acestea, i va aciona pentru consolidarea expertizei
n domeniul riscurilor cibernetice, prin stimularea sinergiilor ntre diferitele planuri de
aciune n domeniul securitii cibernetice (militar-civil, public-privat, guvernamental-
neguvernamental).
Dat fiind ritmul rapid de evoluie a problematicii, prezenta strategie va fi testat i
revizuit permanent, inclusiv n contextul mai larg al Strategiei Naionale de Aprare, n
vederea adaptrii continue la provocrile i oportunitile generate de un mediu de
securitate n permanent schimbare.