Documente Academic
Documente Profesional
Documente Cultură
ANDRICIUC RADU
CONSIDERAŢII PRIVIND
PROTECŢIA INFRASTRUCTURII CRITICE
BUCUREŞTI
– 2009 –
ISBN: 978-973-745-075-3
70 Alan Greenspan – The Age of Turbulence, Penguin Group (SUA) Inc., New York, 2007, p. 2 - 3, afirmă că
vulnerabilitatea ridicată a sectorului financiar-bancar în cazul incapacitării infrastructurii fizice a sistemului
electronic de efectuare a plăţilor a SUA, a determinat punerea la punct a unui sistem alternativ, care să poată
prelua transferurile de bani în cazul unui atac de amploare (nuclear, terorist etc.).
71 *** The Economist, august 11th -17th 2007, p. 29.
petrolier, orice întreruperi minore ale extracţiei, rafinării şi transportului acestuia
determină crize neaşteptate la nivelul întregii societăţi 72), până la impactul
afirmaţiilor lui Bill Gates, conform căruia sistemul de securizare a computerelor cu
ajutorul parolelor reprezintă una din verigele cele mai slabe ale protecţiei
sistemelor informatice.
Datorită acestor percepţii diferite şi a varietăţii formelor de manifestare,
modul de definire a vulnerabilităţii infrastructurii critice variază în funcţie de
nivelul perspectivei abordate (Tabelul 3.1.).
73 Steward D. Personick and Cynthia A. Patterson – Critical Information Infrastructure Protection And The Law:
An overview of Key Issues, National Research Council of the National Academies, Personick and Patterson
Editors, Washington D.C., 2003.
– Special Section (Secţiune specială).
Enumerarea vulnerabilităţilor fiecărei categorii în parte pune în evidenţă
ideea consacrată conform căreia acestea constituie unul din punctele critice majore
pentru ansamblul sectoarelor infrastructurii critice (Anexa nr. 9).
Folosirea vulnerabilităţilor sectorului informatic al infrastructurii critice face
mult mai probabilă, în războiul bazat pe tehnologie şi informaţie, realizarea
surprizei strategice, decât prin folosirea formelor de luptă convenţionale.
Din acest motiv, una din direcţiile prioritare de acţiune în lupta împotriva
crimei organizate o reprezintă reducerea vulnerabilităţilor care permit accesul
neautorizat la bazele de date ale sistemului financiar-bancar, în scopul comiterii
unor fraude computerizate.
Nu în ultimul rând, pătrunderea în sistemul de comunicaţii al unei
comunităţi ţintă poate duce la modelarea percepţiei acesteia asupra realităţii, în
sensul dorit de atacator.
Pe această bază, o parte a specialiştilor consideră că listarea primelor zece
vulnerabilităţi din punct de vedere al securităţii sistemelor informatice pe Internet,
de către Institutul SANS şi FBI, nu face decât să vină în sprijinul „inamicului
universal” (hackeri, terorişti, crimă organizată etc.)74.
Există, evident, şi opinii opuse, care consideră că publicarea, în acest caz, a
vulnerabilităţilor reprezintă un fapt pozitiv, pentru că obligă deţinătorii acestor
sisteme să investească în creşterea protecţiei acestora.
Cele două opinii diferite reflectă, în fapt, dilema alternativelor privind
securizarea sistemelor informatice: mai multă securitate implică mai puţină
transparenţă, în timp ce mai multă transparenţă implică mai puţină securitate.
Conform concluziei că analiza de risc reprezintă o modalitate sistematică de
identificare şi evaluare, inclusiv a vulnerabilităţilor, opinez că studiul rezilienţei
infrastructurii unei comunităţi la efectele ameninţărilor este fundamental pentru
orice investigaţie riguroasă a domeniului.
În această direcţie, cea mai adecvată modalitate care evidenţiază, în mod
explicit, relaţia risc-vulnerabilitate din perspectiva scopului pe care l-am propus75,
are forma sistemică: RISC = AMENINŢARE – CAPABILITĂŢI.
În consecinţă, liniaritatea relaţiei arată că reducerea vulnerabilităţilor este o
condiţie absolut necesară reducerii riscului, de vreme ce puterea noastră de
modelare a manifestării ameninţărilor este mult mai redusă.
Unul dintre modelele cele mai sofisticate de analiză cantitativă a
vulnerabilităţilor, referitor la sectoarele infrastructurii critice, este cel elveţian.
74 http://www.sans.org/top20/
75 Donald Snow – National Security for a New Era, Pearson Longman, New York, 2007. Trebuie făcută menţiunea
potrivit căreia prin capabilităţi se înţeleg măsurile posibile şi necesare reducerii vulnerabilităţilor.
Acest model presupune parcurgerea următoarelor etape:
– identificarea sectoarelor infrastructurii critice;
– analiza caracteristicilor de funcţionare a acestora;
– identificarea interdependenţelor dintre sectoare;
– întocmirea spectrului ameninţărilor;
– elaborarea scenariilor;
– analiza impactului vulnerabilităţilor, conform scenariilor prezentate;
– planificarea, organizarea şi implementarea măsurilor de reducere a
riscurilor.
Coborând nivelul de analiză la elementele infrastructurii critice, se foloseşte
o metodă simplificată de calcul, care să permită adoptarea unui plan concret de
acţiune pentru reducerea vulnerabilităţilor76. Prima etapă a analizei o constituie
completarea rubricilor tabelului 3.3.
76 ***Critical incident Raport - A Public and Private Partnership, Project of Michigan University, 2000. Valorile
cantitative pot fi exprimate calitativ sau cantitativ, după caz. În coloana 2 se folosesc criteriile: C = critic, E =
esenţial, NE = neesenţial. În coloana 4 se pot folosi termenii: H = vulnerabilitate înaltă, V = vulnerabilitate
medie, NV = vulnerabilitate redusă. În ceea ce priveşte măsurile de reabilitare, acestea pot fi: I = imediate (între
0 şi 24 ore), Î = întârziate (între 24 ore şi 7 zile) şi T = târzii (peste 7 zile).
77 Unde: Nivelul 1 = proprietate personală, firme mici;
Nivelul 2 = firme mari;
Nivelul 3 = sector critic al infrastructurii critice;
Nivelul 4 = infrastructură critică naţională;
Nivelul 5 = infrastructură critică regională.
1 ν ν
2 ν ν ν ν ν
3 ν ν ν ν ν
4 ν ν ν ν
5 ν
Apreciez că, pe baza configuraţiilor de mai sus, este utilă crearea unui set de
măsuri cu caracter calitativ privind reducerea vulnerabilităţilor elementelor
infrastructurii critice, a cărui alegere poate fi făcută ulterior, cu ajutorul unei
analize cantitative, după cum urmează:
– revizuirea periodică a normelor de protecţie fizică;
– constituirea centrelor IT pentru protecţia sistemelor informatice;
– creşterea competenţei personalului;
– creşterea capacităţii de reparare a avariilor;
– creşterea investiţiilor în elementul de infrastructură;
– perfecţionarea organizării în pregătirea urgenţelor.
În ţara noastră, mutaţiile profunde generate de schimbarea sistemului social,
adaptarea la mecanismele economiei de piaţă, aderarea la Alianţa Nord-Atlantică şi
Uniunea Europeană au determinat acordarea unei atenţii sporite vulnerabilităţilor
care se manifestă ca rezultat al acestor schimbări, respectiv ca elemente cumulative
la cele deja existente.
Ca urmare, în timp ce Strategia de securitate naţională a României din 2001
se mărginea să definească termenul de vulnerabilitate fără a-i detalia în profunzime
conţinutul78, Strategia de securitate naţională din 2006 face o enumerare a acestora,
menţionând şi pericolele care pot fi generate de existenţa unei infrastructuri slab
dezvoltate şi insuficient protejate.
Prin definirea cadrului general al vulnerabilităţilor actuale şi de viitor ale
societăţii româneşti, noua strategie de securitate reprezintă un demers major pentru
şi în direcţia asigurării protecţiei infrastructurii critice din România.
Generalizând aceste considerente primare, principalele vulnerabilităţi ale
infrastructurii critice din România, în opinia mea, cuprind:
– proceduri operaţionale standardizate de control inexistente sau
inadecvate;
– proiectarea elementelor de infrastructură fără luarea în considerare a
mecanismelor de apărare adecvate evoluţiei ameninţărilor;
78 Conform definiţiei „ vulnerabilităţile reprezintă stări de lucruri, procese sau fenomene din viaţa internă care
diminuează capacitatea de reacţie la riscurile existente ori potenţiale sau care favorizează apariţia şi dezvoltarea
acestora”.
– acces neautorizat la sistemul de control al elementelor de infrastructură;
– posibilitatea folosirii unor canale de comandă şi control neautorizate;
– lipsa mijloacelor de detecţie pentru raportarea rapidă şi uşoară a
activităţilor nelegale sau a anomaliilor.
Ceea ce lipseşte pe plan intern, în condiţiile în care accesibilitatea folosirii
metodelor analitice de determinare a vulnerabilităţilor specifice infrastructurii
critice din România nu mai constituie o problemă, apreciez a fi existenţa unui
cadrul instituţional dedicat protecţiei infrastructurii critice care, pe de o parte, să
elaboreze, prioritar, un standard de evaluare periodică a vulnerabilităţii elementelor
infrastructurii critice de la noi din ţară, iar pe de altă parte, să coordoneze
implementarea măsurilor de protecţie adecvate.
79 Time, 22 octombrie 2007, afirmă că în Irak activează circa 30.000 de angajaţi ai unor firme de securitate private,
împreună cu 160.000 militari ai forţelor armate americane.
categorii de bunuri şi servicii80.
Discuţiile privind natura relaţiei „sector public – sector privat” nu mai poate
să evite şi problematica protecţiei infrastructurii critice.
Iniţial, din punct de vedere practic, statul a deţinut monopolul infrastructurii
societăţii.
Prin această poziţionare centrală, guvernul a ales politicile de dezvoltare şi
metodele de implementare a strategiilor în domeniu, considerând că este atributul
său să planifice, organizeze şi coordoneze activităţile la toate nivelurile (strategic,
regional şi local).
Îndeplinirea acestor sarcini impunea existenţa unei structuri administrative
ierarhic centralizate, având un scop clar şi bine definit, o repartizare judicioasă şi
echitabilă a rolurilor şi responsabilităţilor, un set de proceduri de lucru şi de
evaluare a activităţilor aşa cum numai statul avea mijloace să o facă.
De aceea, faptul că iniţial activităţile privind infrastructura critică s-au axat,
cu preponderenţă, pe responsabilităţile şi acţiunile guvernului şi mai puţin pe cele
ale sectorului privat, a constituit un lucru firesc.
Punctul de cotitură în modul de abordare a protecţiei infrastructurii critice
l-a constituit creşterea ponderii sectorului privat în economie.
Actualmente, nu de puţine ori, elemente ale aceluiaşi sector de infrastructură
au proprietari diferiţi, din sectorul public sau privat.
În cele mai avansate state ponderea sectorului privat, ca proprietari şi
utilizatori ai unor elemente cheie aparţinând sectoarelor infrastructurii critice, a
crescut în mod semnificativ.
Ca urmare, industria privată stăpâneşte şi operează circa 80-90% din
elementele infrastructurii critice ale Statelor Unite ale Americii şi Canadei. Numai
în SUA există aproximativ 20 milioane firme private, care vând bunuri şi servicii
legate, în mod direct sau indirect, de asigurarea protecţiei infrastructurii critice
naţionale81.
În contextul acestei situaţii, necesitatea realizării unui parteneriat între
cele două sectoare s-a datorat faptului că, în căutarea realizării unui raport
cost-beneficiu optim, firmele private tind să-şi externalizeze orice fel de costuri
care nu au legătură directă cu activitatea de producţie, iar în unele cazuri, chiar şi
pe unele dintre acestea.
Dacă, totuşi, aceste firme fac investiţii prudente în protecţia mediului,
managementul riscului sau apărării împotriva efectelor dezastrelor, o realizează
numai în măsura în care acestea sunt absolut necesare pentru a menţine sau majora
rata de profitabilitate a afacerii sau pentru a creşte încrederea clienţilor.
80 Milton Friedman, într-o serie de documentare televizate în Statele Unite ale Americii, din 1980, intitulate „Free
to Choose: A personal statement”.
81 Michael Parkin – Microeconomics, ediţia a 7-a, Pearson Education, 2005.
Referindu-ne la efectul unei astfel de atitudini asupra problematicii aflate în
discuţie, o firmă privată posesoare a unui element al infrastructurii critice poate
întreprinde acţiuni care duc la creşterea vulnerabilităţii acestuia sau a altor
elemente de infrastructură critică conexe.
Un caz specific al acestui tip de comportament al sectorului privat s-a
manifestat atunci când un tren, care transporta, în ianuarie 2004, substanţe toxice
pe teritoriul Carolinei de Sud ( Statele Unite ale Americii), a deraiat.
Emisia de gaze, care a ucis 9 persoane şi intoxicat alte 58, a determinat
administraţia locală să interzică orice transport a unor astfel de substanţe pe o rază
de 3 km în jurul oricărui oraş din regiune.
Cu toate acestea, un tribunal federal a dat câştig de cauză contestaţiei depusă
de operatorii de transport privaţi, prin care aceştia pretindeau că această măsură
prelungeşte cu sute de kilometri distanţele de transport, mărind în mod implicit
costurile, dar şi riscul de accident.
Într-o astfel de situaţie, modelul de rezolvare a problemei, bazat pe reglarea
binomul cerere-ofertă, nu poate fi aplicat fără intervenţia ponderată a statului82, în
vederea limitării efectelor adverse generate de bunăstarea corporatistă.
Se fundamentează, inclusiv în cazul asigurării protecţiei infrastructurii
critice, ipoteza conform căreia rolul statului nu se limitează numai la protecţia
proprietăţii şi a vieţii, dar şi la intervenţia în alocarea resurselor limitate existente,
atunci când piaţa eşuează în misiunea sa de a echilibra cerinţele cererii şi ofertei.
Din acest motiv, în ultimii ani, tot mai multe firme private şi-au reconsiderat
poziţia faţă de rolul pe care trebuie să-l joace statul în această situaţie fără
precedent în care, pentru prima dată în istorie, firmele private constituie practic
prima linie de apărare a propriilor valori materiale şi umane.
Ineficienţa abordărilor izolate a determinat creşterea motivaţiei investiţionale
a sectorului de stat şi al celui privat în protecţia infrastructurii critice, în speranţa
dezvoltării unei cooperări benefice ambelor părţi (Figura 10).
82 În acest sens, Patrick Wood, preşedintele Comisiei federale de supraveghere a energiei din SUA considera că:
„Nu putem să lăsăm pur şi simplu piaţa să lucreze. Noi trebuie să o punem la lucru.”
Implementarea Implementarea Implementarea
standardelor de standardelor de standardelor
Sector
securitate protecţie profesionale
de stat
naţională sectorială
83 Geary W. Sikich – Integrated Business Continuity: Maintaining Resilience in Uncertain Times, PennWell, 2003 .
11).
Autorităţi locale
Sector privat
84 *** PfP
Seminar: Critical Infrastructure Protection and Civil Emergency, November 17-18, Stockholm, 2003.
85 *** Glosarulinternaţional al termenilor de bază specifici managementului dezastrelor, Departamentul Afacerilor
Umanitare (D.H.A.)/93/96/O.N.U., Geneva, decembrie 1992.
86 Andriciuc Radu şi Nicolae Steiner – Elemente fundamentale ale managementului crizelor şi urgenţelor civile din
perspectiva protecţiei civile, Editura MPM Edit Consult, Bucureşti, 2004.
Domeniul Domeniul
managementului crizelor managementului urgenţelor civile
Domeniul
protecţiei civile
Figura 13. Locul protecţiei infrastructurii critice în managementul crizelor şi natura relaţiei sale
cu managementul urgenţelor civile