Sunteți pe pagina 1din 7

KPMG Legal

Securitatea cibernetica
si mediul de afaceri din
Romania in contextul
regional si european
actual

Necesitatea dezvoltării culturii de


securitate cibernetică a utilizatorilor
sistemelor informatice şi de
comunicaţii, adesea insuficient
informaţi, a devenit o cerinta
obiectiva, obligatorie.
Daniela Nemoianu
Partener Coordonator, NTMO Attorneys at Law

Tematica securitatii cibernetice a devenit, in ritm accelerat si exponential, o preocupare stringenta atat pentru structurile
internationale, europene, guverne, autoritati, dar si pentru mediul privat. Exemplele publice recente de atacuri masive cu
impact economic semnificativ (cazul Sony), tendintele ascendente ale riscurilor impotriva securitatii cibernetice, dar si acutizarea
anumitor zone de conflict, inclusiv in regiunea de est apropiata Romaniei, conduc la necesitatea strategica de ranforsare si
extindere a masurilor de protectie adecvate, pe baza unui cadru legislativ modern, sincronizat cu standardele europene, NATO si
internationale si cele mai bune practici in domeniu, intr-o abordare de cooperare integrata.

1. Cadrul european • Dezvoltarea resurselor industriale și tehnologice necesare


pentru securitatea cibernetică;
Acum doi ani, in februarie 2013, Comisia Europeană a publicat
o strategie în domeniul securității cibernetice, precum și o • Stabilirea unei politici internaționale coerente a Uniunii
propunere de directivă a Comisiei privind securitatea rețelelor Europene privind spațiul cibernetic și promovarea valorilor
și a informațiilor (NIS), aflata in prezent inca in dezbateri. fundamentale ale UE.

Strategia în domeniul securității cibernetice, „Un spațiu Progresele inregistrate la nivel european au inclus crearea
cibernetic deschis, sigur și securizat”, a prezentat viziunea unui Centru european de combatere a criminalității informatice
globală a UE asupra celor mai bune modalități de a preveni și (IP/13/13), propuneri legislative privind atacurile împotriva
de a gestiona perturbările și atacurile cibernetice, in scopul de sistemelor informatice (IP/10/1239) și lansarea unei alianțe
a promova valorile europene de libertate și democrație și de a mondiale împotriva abuzurilor sexuale asupra copiilor comise
garanta o creștere a economiei digitale în condiții de siguranță. prin intermediul internetului (IP/12/1308). Strategia a luat in
Strategia europeana este centrata pe cinci priorități: calcul si dezvoltarea și finanțarea unei rețele de centre naționale
de excelență pentru combaterea criminalității informatice, care
• Obținerea unei reziliențe a infrastructurilor cibernetice; să faciliteze formarea profesională și consolidarea capacităților.
• Reducerea drastică a criminalității informatice;
• Dezvoltarea unei politici de apărare împotriva atacurilor
cibernetice și a capacităților necesare în contextul politicii
de securitate şi apărare comună (PSAC);

© 2015 NTMO sprl, a Romanian law firm and a member firm of the KPMG Legal network of independent firms. All rights reserved. Printed in Romania.
Evoluţia rapidă a naturii ameninţărilor
cibernetice a necesitat adoptarea, şi
de către Organizaţia Nord-Atlantică, a
unui nou concept şi a unei noi politici în
domeniul apărării cibernetice.

Incidentele de securitate informatică au căpătat o


Statele membre trebuie să adopte frecvență și o amploare din ce în ce mai mari, devenind
o strategie în materie de securitate mai complexe și neținând seama de frontiere. Ele
pot provoca daune majore siguranței și economiei,
a rețelelor și a informației și să sistemelor si infrastructurii critice, riscurile crescand mai
desemneze o autoritate competentă ales in contextul instabil regional.
națională în acest domeniu.

Directiva propusă în materie de securitate a rețelelor și a 2. Cadrul national


informației reprezintă componenta-cheie a strategiei globale
și ar impune tuturor statelor membre, principalilor operatori Aliniindu-se evolutiilor europene, Guvernul Romaniei a adoptat
de servicii internet, operatorilor de infrastructură critică (de in mai 2013, HG 271/2013 privind strategia de securitate
exemplu, platformele de comerț electronic și rețelele sociale) cibernetică a României.
și operatorilor de servicii în domeniile energiei, transporturilor, Documentul include o descriere complexa a contextului si
asistenței medicale, precum și în domeniul bancar obligația fundamentelor legate de necesitatea adoptarii unei astfel
de a asigura un mediu digital securizat și fiabil în întreaga UE. de strategii. Astfel se mentioneaza ca dezvoltarea rapidă a
Printre măsurile prevăzute în directiva propusă se numără tehnologiilor moderne de informaţii şi comunicaţii - condiţie
următoarele: sine qua non a edificării societăţii informaţionale - a avut un
1. Statele membre trebuie să adopte o strategie în materie impact major asupra ansamblului social, marcând adevărate
de securitate a rețelelor și a informației și să desemneze o mutaţii în filozofia de funcţionare a economicului, politicului şi
autoritate competentă națională în acest domeniu care să culturalului, dar şi asupra vieţii de zi cu zi a individului.
dispună de resursele financiare și umane adecvate pentru Conform Strategiei, alături de beneficiile incontestabile pe care
a preveni, gestiona și soluționa riscurile și incidentele NIS; informatizarea le induce la nivelul societăţii moderne, aceasta
2. Crearea unui mecanism de cooperare între statele membre introduce şi vulnerabilităţi, astfel că asigurarea securităţii
și Comisie pentru emiterea din timp a unor avertismente spaţiului cibernetic trebuie să constituie o preocupare majoră a
referitoare la riscuri și incidente printr-o infrastructură tuturor actorilor implicaţi, mai ales la nivel instituţional, unde se
securizată, pentru a coopera și pentru a organiza evaluări concentrează responsabilitatea elaborării şi aplicării de politici
periodice inter pares; coerente în domeniu.

3. Operatorii de infrastructuri critice din anumite sectoare Foarte important este obiectivul principal mentionat, de
(servicii financiare, transporturi, energie, sănătate), dezvoltare a unui mediu informaţional dinamic bazat pe
operatorii de servicii ale societății informaționale (și anume: interoperabilitate şi servicii specifice societăţii informaţionale,
magazine de aplicații, platforme de comerț electronic, plăți cât şi asigurarea respectării drepturilor şi libertăţilor
pe internet, cloud computing, motoare de căutare, rețele fundamentale ale cetăţenilor şi a intereselor de securitate
sociale) și administrațiile publice trebuie să adopte practici naţională, într-un cadru legal adecvat.
de management al riscurilor și să raporteze incidentele Necesitatea dezvoltării culturii de securitate cibernetică a
majore de securitate privind serviciile lor de bază. utilizatorilor sistemelor informatice şi de comunicaţii, adesea
insuficient informaţi în legătură cu potenţialele riscuri, dar şi
cu soluţiile de contracarare a acestora, a devenit o cerinta
obiectiva, obligatorie.
© 2015 NTMO sprl, a Romanian law firm and a member firm of the KPMG Legal network of independent firms. All rights reserved. Printed in Romania.
La nivelul Uniunii Europene, s-a conturat necesitatea adoptării unei politici privind lupta împotriva criminalităţii informatice.

Cunoaşterea pe scară largă a riscurilor şi ameninţărilor derivate


din activităţile desfăşurate în spaţiul cibernetic, precum şi a
modului de prevenire şi contracarare a acestora necesită o Incidentele de securitate
comunicare şi cooperare eficiente între actorii specifici în acest
domeniu.
cibernetică şi atacurile cibernetice
Incidentele de securitate cibernetică şi atacurile cibernetice
majore cu care s-au confruntat
majore cu care s-au confruntat în ultimii ani unele state şi în ultimii ani unele state şi
organizaţii internaţionale au determinat conştientizarea, la nivel
internaţional, a necesităţii adoptării unor strategii şi politici
organizaţii internaţionale au
în domeniul securităţii cibernetice. Astfel, există în prezent determinat conştientizarea, la nivel
strategii naţionale de securitate cibernetică, precum cele ale internaţional, a necesităţii adoptării
Estoniei, Statelor Unite ale Americii, Marii Britanii, Germaniei şi
Franţei, care fundamentează necesitatea demersurilor pentru unor strategii şi politici în domeniul
dezvoltarea capabilităţilor proprii de contracarare a atacurilor securităţii cibernetice.
cibernetice şi stabilesc cadrul de acţiune şi cooperare între
diverse entităţi guvernamentale şi nonguvernamentale pentru
limitarea consecinţelor.
Evoluţia rapidă a naturii ameninţărilor cibernetice a necesitat Creşterea capacităţii de luptă împotriva criminalităţii informatice
adoptarea, şi de către Organizaţia Nord-Atlantică, a unui nou la nivel naţional, european şi internaţional implică, printre altele:
concept şi a unei noi politici în domeniul apărării cibernetice. • creşterea gradului de cooperare şi coordonare între unităţile
În acest sens, NATO şi-a redefinit rolul şi perimetrul de acţiune responsabile cu combaterea criminalităţii informatice, alte
în domeniu şi a elaborat un plan de acţiune pentru dezvoltarea autorităţi şi experţi din cadrul Uniunii Europene;
unor capabilităţi necesare protejării infrastructurilor cibernetice
proprii, precum şi a unor mecanisme de consultare a statelor • dezvoltarea unui cadru de reglementare coerent, la nivelul
membre şi de asigurare a asistenţei în cazul unor atacuri UE, privind lupta împotriva criminalităţii informatice, în
cibernetice majore. coordonare cu statele membre, precum şi cu autorităţile
europene şi internaţionale cu relevanţă în domeniu;
Totodată, la nivelul Uniunii Europene, s-a conturat necesitatea
adoptării unei politici privind lupta împotriva criminalităţii • creşterea nivelului de conştientizare a costurilor şi
informatice. Iniţiativele subsecvente au pornit de la constatarea pericolelor pe care le implică criminalitatea informatică.
creşterii numărului de infracţiuni informatice, a tot mai amplei
implicări a grupurilor de criminalitate organizată în criminalitatea
informatică, precum şi a necesităţii unei coordonări a eforturilor
europene în direcţia combaterii acestor acte.

© 2015 NTMO sprl, a Romanian law firm and a member firm of the KPMG Legal network of independent firms. All rights reserved. Printed in Romania.
Responsabilitatea asigurării securităţii
cibernetice revine tuturor actorilor
implicaţi, ţinând cont de interesele
complementare în acest domeniu.

Spaţiul cibernetic, devenit un nou domeniu de interacţiune în 3. Cooperarea între sectorul public
cadrul societăţii moderne, oferă o serie de oportunităţi generate
de însăşi specificitatea acestuia. Astfel, au fost identificate şi cel privat
următoarele oportunităţi pe care România le poate exploata Conform Strategiei nationale privind securitatea cibernetica,
prin intermediul spaţiului cibernetic: dezvoltarea cooperării dintre mediul public şi cel privat, în
• susţinerea politicilor şi promovarea intereselor naţionale; scopul asigurării securităţii cibernetice, reprezintă o direcţie
prioritară de acţiune la nivelul organismelor internaţionale
• dezvoltarea şi susţinerea mediului de afaceri; sau alianţelor la care România este parte, având în vedere că
• creşterea calităţii vieţii prin dezvoltarea serviciilor spaţiul cibernetic reuneşte deopotrivă infrastructuri cibernetice
oferite de societatea deţinute şi administrate de stat, precum şi de entităţi private.
informaţională; Principalele linii directoare
• îmbunătăţirea cunoaş- de asigurare a securităţii
terii şi susţinerea cibernetice, în cadrul cooperării
deciziilor strategice Romania poate sa-si asume un între sectorul public şi cel
privat, urmăresc:
naţionale în era rol cheie active in cooperarea
informaţională prin • cooperarea bazată pe
asigurarea capacităţilor cu EU, NATO, SUA, in calitate încredere între stat şi mediul
şi instrumentelor de parteneri strategici pentru de afaceri, la toate nivelurile;
cibernetice adecvate;
implementarea cu success a • creşterea nivelului de
• creşterea nivelului
de cunoaştere şi a strategiilor si masurilor necesare protecţie al infrastructurilor
cibernetice prin corelarea
capacităţii de predicţie pentru intarirea securitatii măsurilor întreprinse cu
în scopul avertizării
timpurii privind riscurile
cibernetice. resursele disponibile în
sectorul public şi privat.
şi ameninţările la
adresa securităţii
naţionale; Responsabilitatea asigurării
• creşterea capacităţilor tehnice şi a competenţelor resursei securităţii cibernetice revine tuturor actorilor implicaţi,
umane pentru realizarea obiectivelor de securitate ţinând cont de interesele complementare în acest domeniu
naţională. pentru asigurarea legalităţii operaţiunilor desfăşurate,
combaterea fenomenului criminalităţii informatice şi protecţia
Construind pe pozitia sa geo-strategica, pe competitivitatea infrastructurilor critice interconectate cu spaţiul cibernetic şi se
demonstrate la nivel international in domeniul IT, Romania poate bazează pe sporirea încrederii reciproce.
sa-si asume un rol cheie active in cooperarea cu EU, NATO,
SUA, in calitate de parteneri strategici pentru implementarea
cu success a strategiilor si masurilor necesare pentru intarirea
securitatii cibernetice.

© 2015 NTMO sprl, a Romanian law firm and a member firm of the KPMG Legal network of independent firms. All rights reserved. Printed in Romania.
In conditiile crizei economice persistene, ale agravarii
climatului regional de securitate si ale dificultatilor
Romaniei de a recupera anumite decalaje istorice
(infrastructura, sanatate, educatie, absorbtie fonduri
europene etc), mediul privat va continua sa treaca
prin diverse turbulente.

Principalele obiective ale cooperării între sectorul public şi cel


privat vizează:
• schimbul de informaţii privind ameninţări, vulnerabilităţi şi
riscuri specifice;
• dezvoltarea capabilităţilor de avertizare timpurie şi de
răspuns la incidente şi atacuri cibernetice;
• desfăşurarea de exerciţii comune privind securitatea
spaţiului cibernetic;
• dezvoltarea de programe educaţionale şi de cercetare în
domeniu;
• dezvoltarea culturii de securitate;
• reacţia comună în cazul unor atacuri cibernetice majore.
Realizarea obiectivelor menţionate presupune conlucrarea
dintre sectorul public şi sectorul privat, inclusiv prin măsuri
de prevenţie, conştientizare şi promovare a oportunităţilor în
domeniul cibernetic.
Mediul de afaceri din Romania ramane insa vulnerabil si
insuficient de pregatit sa faca fata riscurilor multiple actuale
in domeniul securitatii cibernetice. Impactul globalizarii si al
internetului, precum si evolutia tehnologiei informatiilor catre
sisteme centralizate care deservesc structuri corporative
trans-nationale, expun direct mediul privat la potentiale atacuri Rolul autoritatilor responsabile in domeniul securitatii cibernetice de a
cibernetice. Mai mult, bazele de date de clienti (in special, comunica si sincroniza planurile concrete de imbunatatire a nivelului de
in domeniul bancar, telecom si al sanatatii), dar si evidentele protejare a ariilor vitale si strategice devine foarte important.
angajatilor marilor angajatori, contin date personale protejate
de lege a caror siguranta nu este intotdeauna garantata.
Mediul economic local este conectat la fluxurile financiare, In acest context, devine foarte important rolul autoritatilor
economice si de resurse europene si internationale, insa nu responsabile in domeniul securitatii cibernetice de a comunica
toti participantii sunt avizati si bine pregatiti sa previna si sa si sincroniza planurile concrete de imbunatatire a nivelului de
reactioneze in caz de nevoie. protejare a ariilor vitale si strategice, dar si de a crea metodele si
instrumentele necesare prin care mediul economic, de afaceri,
O buna parte a societatilor comerciale private cu capital strain
social etc sa poata sa se dezvolte sustenabil si competitiv.
sau autohton, ori societatile nationale, regiile autonome sau
alte entitati cu capital de stat prezente pe piata nu au un Proiectul de directiva europeana este inca in curs de dezbateri,
Plan de Continuitate a Afacerilor sau de Recuperare in caz insa nu se anticipeaza schimbari majore, acesta fiind axat pe
de dezastru si nici nu dispun de resursele umane si tehnice cinci concepte principale: obligatia fiecarui stat european de a-si
adecvate pentru a implementa in mod fezabil si eficient astfel adopta o strategie nationala de securitate cibernetice; crearea
de solutii. Cu exceptia bancilor si altor societati din sectoare unei retele de cooperare institutionalizata; stabilirea unor
strict reglementate, nu exista obligatia legala de auditare cerinte uniforme/standardizate; si aplicarea/implementarea
a sistemelor informatice si a gradului lor de protectie si nici consistenta de catre statele membre a acestor reguli.
cerinta de testare a rezistentei acestora la incercari nelegitime
de penetrare. Nivelul general de constientizare la nivel national
este redus, iar mijloacele de baza disponibile pentru IMM-uri,
de exemplu, sunt inexistente. In conditiile crizei economice
persistene, ale agravarii climatului regional de securitate si ale
dificultatilor Romaniei de a recupera anumite decalaje istorice
(infrastructura, sanatate, educatie, absorbtie fonduri europene
etc), mediul privat va continua sa treaca prin diverse turbulente.

© 2015 NTMO sprl, a Romanian law firm and a member firm of the KPMG Legal network of independent firms. All rights reserved. Printed in Romania.
Opiniile de specialitate indica semnale
ingrijoratoare in aria infrastructurii de
sanatate si utilitati, vulnerabilitati in
aria in crestere a Internetului Tuturor
Lucrurilor.

Finalul anului 2014 a adus in atentia opiniei publice proiectul Daca procesul legislativ se dovedeste complex si de durata,
de lege privind securitatea cibernetica, initiat in aplicarea atat la nivel national, cat si european, realitatea cibernetica
Strategiei nationale si supus aprobarii Parlamentului. Desi evolueaza exploziv, fara temporizari. In acest context, atat
aprobat de cele doua Camere Parlamentare, proiectul a fost autoritatile, cat si sectorul privat, trebuie sa fie constiente
sanctionat ca neconstitutional in integralitatea sa, prin Decizia si pregatite sa raspunda afluentei de riscuri grave generate
CCR nr. 17/2015. de criminalitatea cibernetica printr-un volum in crestere de
atacuri masive si tintite, de spionaj prin scurgerile/pierderile
Proiectul inspirat din Directiva NIS (Network & Information
de informatii, de expunerile din site-urile de socializare si de
Security), care nu este înca in vigoare, va trebui reluat cu
versiunile depasite ale anumitor sisteme/programe sau coduri
celeritate, in conditii care sa asigure respectarea bunelor
sursa. Opiniile de specialitate indica semnale ingrijoratoare in
practici si standarde si a drepturilor derivand din cerintele
aria infrastructurii de sanatate si utilitati, vulnerabilitati in aria in
privind protectia datelor personale, secretul profesional,
crestere a Internetului Tuturor Lucrurilor, dar si in sectoare care
garantiile statului de drept si ale justitiei impartiale.
pana acum au fost putin vizate, cum ar fi retail-ul.

Romania are nevoie de o lege a securitatii cibernetice moderna si eficienta, pusa in slujba
interesului strategic national si sincronizata cu agenda comuna de cooperare europeana,
NATO si internationala. Revine Guvernului misiunea de a finaliza proiectul de lege si a
asigura implementarea acestuia prin operationalizarea structurilor institutionale dedicate si
sustinerea de masuri care sa permita ridicarea nivelului de preocupare si solutii concrete
aplicate in sectorul public si privat pentru un sistem viabil de securitate cibernetica.

Bibliografie orientativa:
http://europa.eu/rapid/press-release_IP-13-94_ro.htm
EU Cyber Security Strategy and Draft Cyber Security Directive http://www.google.ro/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=1&ved=0C
B8QFjAA&url=http%3A%2F%2Fec.europa.eu%2Fdigital-agenda%2Fen%2Fcybersecurity&ei=5wbZVMSEBYv1UvaVgagL&usg=AFQjCNHpkmeSWd
LEwsrT79lzuhCp5ngrOg&sig2=xQNGTJTPgR0BI5su6HjK_A&bvm=bv.85464276,d.ZWU
http://www.computerweekly.com/opinion/What-to-expect-from-European-NIS-Directive
HG 271/2013 privind strategia nationala de securitate cibernetica a Romaniei

© 2015 NTMO sprl, a Romanian law firm and a member firm of the KPMG Legal network of independent firms. All rights reserved. Printed in Romania.
Contact us NTMO Attorneys at Law sprl
Bucharest, Romania
Victoria Business Park, DN1
69-71 Bucuresti-Ploiesti Road
Sector 1, 01368
Tel: +40 741 800 800
Fax: +40 741 800 700
Email: office@kpmglegal.ro
Web: www.kpmglegal.ro

Daniela Nemoianu
Managing Partner
T: +40 372 377 732
E: dnemoianu@kpmglegal.ro

Laura Toncescu
Managing Partner
Tel: +40 372 377 980
Email: ltoncescu@kpmglegal.ro

Alina Mihaila
Partner
Tel: +40 372 377 920
Email: amihaila@kpmglegal.ro

Sebastian Olteanu
Partner
Tel: +40 372 377 926
Email: solteanu@kpmglegal.ro

The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate
and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such
information without appropriate professional advice after a thorough examination of the particular situation.

© 2015 NTMO sprl, a Romanian law firm and a member firm of the KPMG Legal network of independent firms. All rights reserved. Printed in Romania.