Criminalitatea informatică internațională. [604871]

Criminalitatea informatică internațională.
Reglementările Uniunii Europene privind
spațiul cibernetic.

Stan Camelia Alina
Securitate, Intelligence și Competivitate în organizații
Master, anul I

Abstract
Spațiul cibernetic se caracterizează prin lipsa frontierelor, dinamism și anonimat,
generând deopotrivă oportunități de dezvoltare a societății informaționale bazate pe cunoaștere,
dar și ricuri la adresa funcționării acesteia (la nivel individual, statal și chiar cu manifestar e
transfrontalieră). În ultimul deceniu, odată cu creșterea diversității și importanței amenințărilor
din spațiul cibernetic și a gradului de conștientizare a acestora, au fost dezvoltate diferite
metodologii, proceduri și ghiduri de bune practici în ceea ce privește răspunsul la incidentele de
securitate cibernetică. De asemenea au fost dezvoltate tot mai multe tehnologii, proprietare sau
libere („free” sau „open -source”) menite să prevină și să limiteze efectele incidentelor de
securitate survenite în cad rul rețelelor și sistemelor informatice.

Introducere
Punctul de plecare este dat de dezvoltarea rapidă a tehnologiilor moderne de informații și
comunicații, având un impact major asupra ansamblului social, marcând adevărate mutații în
filozofia de funcționare a economicului, politicului și culturalului, dar și asupra vieții de zi cu zi a
individului. Luând în considerare acest fapt, gestionarea incidentelor de securitate cibernetică la
nivel internațional, spre deosebire de cazul infrastructurilor c ibernetice din medii bine definite, se
caracterizează printr -un grad ridicat de complexitate, datorat unui cumul de factori: imposibilitatea
definirii de granițe statale în mediul cibernetic, standarde tehnologice și de securitate ne -uniforme,
infrastructu ri cibernetice utilizate în sectoare economice diferite, proprietari diferiți și, nu în
ultimul rând, atribuții împărțite între mai multe organizații internaționale. Un răspuns la aceste
probleme ar fi dezvoltarea unei politici de apărare comună împotriva atacurilor cibernetice precum
și stabilirea unei politici internaționale coerente a Uniunii Europene în ceea ce privește spațiul
cibernetic. În acest demers, conform Rezoluției Parlamentului European din 12 decembrie 2013 s –
a implementat „Strategia de Secu ritate Cibernetică a Uniunii Europene: un spațiu cibernetic
deschis, sigur și securizat” care prevede diferite modalității de a preveni și gestiona perturbările și
atacurile cibernetice. De asemenea UE a făcut progrese pentru a proteja cetățenii împotriva
infracțiunilor online prin instituirea unui Centru european de combatere a criminalității
informatice.
Ceea ce vine în contradicție la ipoteza formată este că dacă ar fi luat în calcul evoluția
nivelului riscurilor generate de creșterea nivelului de info rmatizare și impactul tot mai pronunțat
al atacurilor cibernetice asupra domeniilor critice pentru funcționarea statelor, mai multi

cercetătorii ai apărării pun la îndoială disponibilitatea statelor cât și a actorilor non -statali în ceea
ce privește aborda rea problematicii conflictelor cibernetice dintr -o perspectivă etică, deoarece
există o presiune tot mai mare pentru luarea unei decizii rapide și eficiente pentru a proteja propriile
interese.
Criminalitatea informatică este nu doar un domeniu de maximă a ctualitate în materie
penală, ci un domeniu care oferă numeroase perspective cercetării viitoare datorită diversificării și
dinamicii tehnologice. Această evoluție a făcut ca fenomenul infracțional să nu aibă un
corespondent proporțional în ceea ce priveșt e activitatea de prevenire, descoperire și tragere la
răspundere a infractorilor.
Scopul care stă la baza lucrării constă în identificarea amenințărilor infrastructurilor
cibernetice la nivel internațional, cât și de a identifica unele soluții, atât cu ca racter tehnic cât și
procedural, menite în vederea îmbunătățirii capabilităților europene de gestionare a incidentelor
de securitate cibernetică cu impact la scară largă. De asemenea își propune șă evidențieze nevoia
strigentă a reglementării europene și g lobale, precum și dezvoltarea ramurii dreptului spațiului
virtual, implicit abordarea unei noi direcții în cercetarea fenomenului infracțional din acest mediu.
Obiectivele specifice ale acestei lucrări sunt reprezentate de evidențierea amenințărilor la
nivel internaținoal și respectiv european, analiza asupra reglementărilor, metodelor și
capabilităților existente la nivel european în ceea ce privește gestionarea incidentelor de securitate
cibernetică, identificarea unor posibile soluții pentru gestionarea eficientă a situațiilor de criză din
domeniul cibernetic, demonstrarea faptului că trebuie să existe o cooperare eficientă între state și
actori non -statali în vederea combaterii atacurilor cibernetice.
Spațiul cibernetic deschis duce la încurajarea relați onării sociale și politice la nivel
mondial, ruperea obstacolelor dintre țări, cetățeni și etnii, permițând relaționarea și schimbul de
informații la nivel planetar. Alături de beneficiile incontestabile pe care informatizarea le induce
la nivelul societăț ii moderne, aceasta introduce și vulnerabilități, astfel că asigurarea securității
spațiului cibernetic trebuie să constituie o preocupare majoră a tuturor actorilor implicați, mai ales
la nivel instituțional, unde se conturează responsabilitatea elaborări i și aplicării de politici coerente
în domeniu.

Amenințările cibernetice la nivel internațional
Lista amenințărilor mondiale prezentată de către Directorul Comunității de Informații a
SUA include următoarele: cyber, contra -spionajul, terorismul, armele de distrugere în masă și
proliferarea acestora, crima organizată transnațională, tendințele economice, resursele naturale,
hrana, apa, energia, evenimentele meteo extreme, zona Arcticii, riscuri la adresa sănătății și
atrocitățile în masă.
În ceea ce prive ște dezvoltarea globalizării, țările dezvoltate exploatează cu desăvârșire
avantajele oferite de spațiul virtual, însă infrastructura acestora devine tot mai vulnerabilă
atacurilor cibernetice. Metodele de atac sunt permanent adaptate evoluției din domeniu l tehnologic
și vulnerabilităților identificate.
Atacurile cibernetice au intrat în atenția opiniei publice în 2007, când o țară întreagă –
Estonia – a fost afectată; ministerele, băncile și numeroase companii fiind nevoite să își oprească
activitatea; toa te acestea au venit pe fondul unei dispute politice pe tema mutării unui monument
dedicat eroilor sovietici, propunere îndelung contestată de minoritatea rusă din Estonia și de
Kremlin. Un an mai târziu, în 2008, Georgia a suferit atacuri similare, într -o perioadă ce a coincis
cu conflictul georgiano -rus din Osetia de Sud.
România s -a confruntat cu două atacuri cibernetice de mare amploare care au vizat, în
special, accesul la informații confidențiale prin accesarea site -urilor guvernamentale și a anumitor
entități private cu influență în economia națională. Cel mai mare atac cibernetic, Octombrie Roșu,
a vizat o serie de rețele guvernamentale pentru obținerea de informații cu caracter clasificat.
Totuși adevăratul început al războiului cibernetic poate fi datat în anul 2010, odată cu
apariția primei arme cibernetice (virusul Stuxnet), primul virus proiectat să preia sub control și să
saboteze subtil infrastructurile critice ale unui stat. Anii următori s -au remarcat prin descoperirea
unui număr tot mai mar e de agresiuni cibernetice persistente (de tip Advanced Persistent Threat),
precum un întreg arsenal de arme cibernetice: Flame (apreciat de specialiștii în domeniu drept cel
mai sofisticat malware cunoscut până în prezent), Wiper, Mahdi, Shamoon, Gauss – malware
produse de actori statali antagonici, folosite împotriva unor infrastructuri critice (transport resurse
energetice, bănci, agenții guvernamentale, universități).
Acest fapt subliniază faptul că securitatea internațională nu este atât de sigură, iar războiul
cibernetic reprezintă o nouă dimensiune în care se poate desfășura un război. Atacatorii fiind

interesați prioritar de domeniile guvernamental, politică externă, militar, industrial și financiar –
bancar.
Sistemele informatice reprezintă un ele ment esențial al interacțiunii politice, sociale și
economice din Uniunea Europeană. Societatea este deja foarte dependentă de aceste sisteme,
fenomenul fiind în creștere. Buna funcționare și securitatea acestor sisteme în UE sunt vitale pentru
dezvoltarea pieței interne și a unei economii competitive și inovatoare.
Atacurile împotriva sistemelor informatice, în special cele care au legătură cu
criminalitatea organizată, constituie o amenințare din ce în ce mai mare, atât la nivelul Uniunii, cât
și la nivel mondial, și se manifestă o îngrijorare crescândă în fața posibilității de atacuri teroriste
sau motivate politic împotriva sistemelor informatice care fac parte din infrastructura critică a
statelor membre și a Uniunii. Această situație reprezintă o ameni nțare la adresa creării unei
societăți informaționale mai sigure și a unui spațiu de libertate, securitate și justiție, necesitând,
prin urmare, o reacție la nivelul Uniunii, precum și o mai bună cooperare și coordonare la nivel
internațional.
Nu există ni cio îndoială că unele țări investesc masiv în capabilități cibernetice care pot fi
folosite în scopuri militare, iar din acest lucru derivă faptul că nu există nicio formă reală de
descurajare în cadrul războiului cibernetic, întrucât până și identificarea atacatorului este extrem
de dificilă și, respectând principiile dreptului internațional, aproape imposibilă.
Atacurile cibernetice la scară largă pot provoca daune economice importante atât prin
întreruperea funcționării sistemelor informatice și a comuni cațiilor, cât și prin pierderea sau
modificarea unor informații confidențiale importante din punct de vedere comercial sau a altor
tipuri de date.
Numărul, aflat în creștere, precum și complexitatea atacurilor cibernetice, evidențiază
nivelul ridicat și î n creștere exponețială a a amenințărilor la asdresa sistemelor informatice, astfel
că cei mai periculoși actori în domeniul cibernetic sunt entitățile statele.
În pofida unor capabilități ofensive aflate din ce în ce mai mult la dispoziția rețelelor de
criminalitate informatică și care ar putea fi folosite în viitor și de către entități non -statale, spionajul
și sabotajul au în continuare nevoie de capabilitățile, determinarea și rațiunea cost -beneficiu a unui
stat-națiune1. Capabilitățile apărării cibern etice evoluează în mod egal și cele mai multe țări
occidentale și -au sporit considerabil apărarea în ultimii ani. O bună apărare în domeniul cibernetic

1 Revista NATO – Noi amenințări dimensiunea cibernetică

face ca aceste amenințări să fie gestionabile, în măsura în care riscurile reziduale par în mare parte
acceptabile, în mod similar amenințărilor clasice
Strategia în domeniul securității cibernetice reprezintă viziunea globală a UE asupra celor
mai bune modalități de a preveni și de a gestiona perturbările și atacurile cibernetice.2 Aici sunt
prevăzute dire ctive pentru armonizarea sistemelor de drept penal ale statelor membre în ceea ce
privește atacurile împotriva sistemelor informatice, prin instituirea unor norme minime privind
definirea infracțiunilor și a sancțiunilor relevante, precum și de a îmbunătăț i cooperarea dintre
autoritățile competente, inclusiv poliția și alte servicii specializate de aplicare a legii din statele
membre, precum și agențiile și organismele specializate competente ale Uniunii, cum ar fi
Eurojust, Europol și Centrul european de c ombatere a criminalității informatice și Agenția Uniunii
Europene pentru Securitatea Rețelelor și a Informațiilor.
Cooperarea dintre autoritățile publice, pe de o parte, și sectorul privat și societatea civilă,
pe de altă parte, prezintă o mare importanță pentru prevenirea și combaterea atacurilor împotriva
sistemelor informatice. Potrivit Strategiei UE în materie de securitate cibernetică: un spațiu
cibernetic deschis, sigur și securizat este evidențiat faptul că este necesară Statele membre ar trebui
să ia măsurile necesare în vederea protejării sistemelor informatice care fac parte din infrastructura
critică împotriva atacurilor informatice, în cadrul a ceea ce ar trebui să reprezinte protecția
sistemelor lor informatice și a datelor conexe. 3

Strategi a și reglementările UE în materie de securitate cibernetică
Problema securității cibernetice a căpătat o vizibilitate semnificativă la nivel internațional
la începutul secolului XXI.
Strategia de securitate cibernetică a Uniunii Europene a fost publicată în februarie 2013 ca
parte a angajamentului pentru „un spațiu deschis, sigur și securizat” alătu ri de o propunere de
Directivă privind măsuri pentru asigurarea unui nivel comun ridicat de securitate a rețelelor și a
informațiilor în Uniunea Europeană. Aceste inițiative completează și sunt compatibile cu

2 „Planul UE în domeniul securității cibernetice pentru protejarea internetului deschis, a libertății online și
a oportunităților generate de internet”, Comisia Europeană, Comunicat de presă, Bruxelles, 7 februarie
2013, disponibil la http://europa.eu/rapid/press -release_IP -13-94_ro.htm , accesat la 20.12.2017.

3 Strategia de securitate cibernetică a Uniunii Europene: un spațiu cibernetic deschis, sigur și securizat,
COMUNICARE COMUNĂ CĂTRE PARLAMENTUL EUROPEAN, CONSILIU, COMITETUL ECONOMIC ȘI SOCIAL
EUROPEAN ȘI COMITETUL REGIUNILOR, Comisia Eu ropeană, Bruxelles, 7.3.2013.

inițiativele existente în ceea ce privește comu nicațiile electronice și cadrele de reglementare pentru
protecția datelor, precum și cu cele referitoare la protecția infrastructurilor critice europene.
În cadrul Uniunii Europene, un prim pas semnificativ a fost făcut în 2004, când a fost
înființată ENIS A (European Union Agency for Network and Information Security), care are rolul
de a coordona dezvoltarea culturii de securitate cibernetică în cadrul Uniunii Europene. În anul
2013, a fost adoptată „ Strategia de securitate cibernetică a Uniunii Europene: u n spațiu cibernetic
deschis, sigur și securizat” . UE a făcut progrese importante în materie de protejare a cetățenilor
împotriva infracțiunilor online, inclusiv prin instituirea unui Centru european de combatere a
criminalității informatice, prin propuneri legislative privind atacurile împotriva sistemelor
informatice și prin lansarea unei alianțe mondiale împotriva abuzurilor sexuale asupra copiilor
comise prin intermediul internetului. De asemenea, strategia urmărește dezvoltarea și finanțarea
unei rețele de centre naționale de excelență pentru combaterea criminalității informatice, care să
faciliteze formarea profesională și consolidarea capacităților. În vederea implementării strategiei
au fost dezvoltate și aprobate în anul 2016 două documente, unul în domeniul apărării cibernetice
– „EU Cyber Defence Policy Framework ”, respectiv o directivă cu rolul de protejare a securității
cibernetice a pieței comune, cunoscută sub numele de „Directiva NIS”.
În anul 2017, a fost creat un „ Set de instrumente privind d iplomația cibernetică ”, dezbătut
de Consiliul Uniunii Europene în luna iunie, cu scopul de a dezvolta un cadru privind un răspuns
diplomatic comun al Uniunii la activitățile cibernetice agresive. Unul dintre pilonii pe care se
fundamentează viziunea din ac est document este constituit de concluzia că nu pot fi descurajate
agresiunile cibernetice utilizând exclusiv diplomația (soft power), ci trebuie dezvoltate suplimentar
atât reziliența4 infrastructurilor cât și capabilitățile de retorsiune5. Instrumentele de diplomație
cibernetică ale Uniunii Europene conțin referințe specifice dreptului internațional referitoare la
utilizarea forței și atacurile armate, asemănător cu abordarea NATO.
La rândul lor, marea majoritate a statelor au adoptat documente strategice oficiale pentru
reglementarea internă a domeniului securității cibernetice. De exemplu, în cadrul Uniunii

4 Reziliență = „o măsură a capacității unui sistem de a continua să funcționeze făcând față modificărilor variabilelor
de stare, de conducere, precum și a parametrilor”. (Holling, 1973)
5 Retorsiune = „luarea de către un stat față de altul a unor măsuri coercitive, asemănătoare celor pe care cel din urmă
le-a luat împotriva celui dintâi.”, Discționarul explicativ al limbii române.

Europene Directiva NIS introduce obligația statelor membre de a adopta strategii naționale în
domeniul securității rețelelor și sistemelor informatic e până la sfârșitul lunii mai 2018.
Tot în cadrul Uniunii Europene, ENISA6 a elaborat în 2012 un ghid de bune practici pentru
întocmirea strategiilor de securitate cibernetică, în cadrul căruia sunt indicate o serie de probleme
pe care aceste documente ar trebui să le abordeze pentru a putea să răspundă cât mai bine scopului
pentru care un astfel de document este realizat
Pentru a putea vorbi despre asigurarea unui nivel minim de securitate a infrastructurilor de
tehnologia informației și de comunicații, ac estea trebuie să respecte niște cerințe de securitate, care
vor fi elaborate de către autoritățile cu rol de reglementare. Este, de asemenea, foarte important,
să fie înființate platforme și mecanisme securizate pentru schimbul de informații. Dezvoltarea
cooperării între toate entitățile interesate, care este esențială pentru protejarea securității
cibernetice are nevoie de stabilirea unor canale securizate de schimb de informații, pentru a crește
încrederea participanților la acest schimb în capacitatea si stemului astfel creat de a le proteja
interesele, fără a le pune în pericol informațiile sensibile pe care acceptă să le împărtășească.
O strategie de securitate cibernetică trebuie să cuprindă și dezvoltarea unor planuri pentru
situațiile de urgență, care să stabilească structurile responsabile, măsurile ce trebuie adoptate
pentru restabilirea bunei funcționări a infrastructurilor de tehnologia informației și de comunicații
afectate de incidente. Planificarea pentru gestionarea situațiilor de urgență este esențială în vederea
obținerii rezilienței infrastructurilor unui stat față de atacurile cibernetice.
Nu în ultimul rând, ci poate una dintre cele mai importante funcții ale sistemului de
securitate cibernetică, o constituie realizarea activităților cu sco p de creștere a nivelului de
conștientizare a riscurilor și amenințărilor de securitate de către public.Cetățenii trebuie să
înțeleagă necesitatea aplicării măsurilor de securitate cibernetică și să le susțină, iar acest lucru nu
poate fi realizat decât at unci când sunt informați de către autorități și specialiști cu privire la
efectele pe care le pot resimți dacă nu se asigură un nivel corespunzător de securitate a
infrastructurilor de tehnologia informației și comunicații.

6 ENISA, Cyber Europe 2012, Key Findings and Recommendations, 2012.