Mecanisme DE Implementare Privind Protecția Infrastructurilor Critice LA Nivelul Uniunii Europene

MECANISME DE IMPLEMENTARE PRIVIND PROTECȚIA INFRASTRUCTURILOR CRITICE LA NIVELUL UNIUNII EUROPENE

Vevera Victor

Academia Națională de Informații

[anonimizat]

Abstract:

After the 9/11 attacks the concept of infrastructure had been reconsidered globally. The whole approach to security has been rethought and redefined many times taking into consideration globalization and the advent of the Internet Nowadays our life and activity revolves around computers, Internet and networking technology.

Every aspect of our lives is linked in one way or another to the IT. Given the high dependence of the critical infrastructure services, the society has become very vulnerable. National and international security are, to a large extent, dependent of the critical infrastructures of society. But, on the other hand, they are also increasingly vulnerable in front of the ophisticated means of attack that can be launched on them. No protection system is 100 % secure against cyber-attacks.

Success depends, essentially, of the effectiveness of cooperation at national level in order to protect cyberspace, and also of the coordination of national approaches and measures to those taken at international level, in the frame of international cooperation in which Romania is a party.

Keywords: critical infrastructure services, international security, cooperation

INTRODUCERE

După atacurile din 9/11 conceptul de infrastructură a trebuit reconsiderat la nivel global. Aceste atacuri teroriste au dus la conștientizarea necesității extinderii apărării la niveluri civile și nu numai militare.

Odată cu globalizarea și apariția Internetului, toată abordarea asupra securității a trebuit regândită și de multe ori redefinită. În momentul de față aproape toată activitatea noastră se învârte în jurul calculatoarelor, internetului și rețelisticii.

Orice aspect la vieții noastre este legat intr-un fel sau altul de IT. In fiecare zi verificăm știrile, starea vremii, situația bancară. La cumpărărturi vom folosi cardul aproape în totalitate, și chiar dacă plătim cash tot trebuie sa folosim interfața electronică a băncii pentru a extrage bani.

Plecând de la nivelul micro, personal, ajungem inevitabil la nivelul macro, statal. Asemeni unei persoane, statul este o entitate aproape în întregime conectată la rețea. Discutăm aici de rețeaua electrică, de gaze, de informații. Aproape în întregime suntem într-o grilă electronică. Milioane de informații plutesc în cloud, sau sunt stocate pe servere care trebuie să fie securizate. În zilele noastre terorismul a evoluat o dată cu tehnologia. Astfel, teroriștii nu mai țintesc neapărat locații fixe, ci mai degrabă virtuale, cum ar fi bazele de date, serverele de comunicații, site-urile instituțiilor publice și a companiilor private care lucrează în cadrul infrastructurilor critice.

De aceea lista infrastructurilor critice este într-o permanentă actualizare. De la serverele militare, financiare și ale rețelelor de transport terestru, aerian și al resurselor.

CONCEPTE

Să stabilim mai înainte de toate conceptele cu care lucrăm. Definițiile infrastructurilor sunt destul de numeroase, dar în principal ne referim la :

Infrastructura reprezintă ansamblul principiilor, metodelor și dispozitivelor (obiectelor) utilizate ca un tot unitar pentru furnizarea unui serviciu. Infrastructură rutieră, infrastructură feroviară, infrastructură de comunicații, infrastructură informatică, infrastructură de transport a energiei electrice, infrastructură de alimentare cu apă potabilă, etc.

Infrastructurile critice sunt acele infrastructuri cu rol important în asigurarea securității în funcționarea sistemelor și în derularea proceselor economice, sociale, politice, informaționale și militare.

Infrastructurile sunt considerate critice datorită: condiției de unicat în cadrul infrastructurilor unui sistem sau proces; importanței vitale pe care o au, ca suport material sau virtual (de rețea), în funcționarea sistemelor și în derularea proceselor economice, sociale, politice, informaționale, militare etc.; rolului important, de neînlocuit, pe care îl îndeplinesc în stabilitatea, fiabilitatea, siguranța, funcționalitatea și, mai ales, în securitatea sistemelor; vulnerabilității sporite la amenințările directe, precum și la cele care vizează sistemele din care fac parte; sensibilității deosebite la variația condițiilor și, mai ales, la schimbări bruște ale situației.

Dr.Grigore Alexandrescu și Dr.Gheorghe Văduva, în lucrarea ”Infrastructuri critice. Pericole, amenințări la adresa acestora. Sisteme de protecție” fac următoarea ierarhizare a infrastructurilor critice despre care discutăm în cadrul acestei lucrări. Ei împart astfel infrastructurile critice în cele specifice ”sistemului informational și de siguranță a statului: infrastructuri ale serviciilor de informații și ale altor instituții de care depinde protecția informațiilor, a intereselor naționale și de alianță, a valorilor și patrimoniului.

Infrastructuri critice din spațiul virtual sunt: Infrastructuri critice ale ciberspațiului; Infrastructuri critice ale sistemelor de comunicații; Infrastructuri critice ale rețelelor și bazelor de date”.

Astfel, perspectiva manifestării unor potențiale amenințări au determinat abordări strategice, instituționale și funcționale într-un sistem integrat al problematicii protecției infrastructurilor critice naționale.

Având în vedere dependența mare față de serviciile oferite de infrastructurile critice, societatea a devenit foarte vulnerabilă. Această vulnerabilitate a crescut nu doar ca urmare a riscurilor și amenințărilor externe, ci și din cauza interdependențelor dintre diferitele infrastructuri din interiorul sistemelor relevante, iar perturbările/întreruperile pot determina pagube imense pentru economia națională.

În materia protecției infrastructurilor critice, efortul statului și al societății trebuie direcționat, în principal, pe două mari categorii de amenințări: cea teroristă și cea generată de „riscurile naturale", ce au un impact tot mai mare asupra infrastructurii considerată critică.

Infrastructura informatică include aplicații software (sisteme de operare, software pentru baze de date, etc.), dispozitive hardware (servere, switch-uri, routere, stații de lucru), linii de comunicații (fibră optică, linii satelitare) utilizate pentru a furniza servicii informatice.

Pentru interconectarea rețelelor informatice situate în locații diferite, infrastructurile informatice utilizează la rândul lor infrastructurile de comunicații. Aceasta permite efectuarea de comunicații de voce și comunicații de date pe distanțe foarte mari. Infrastructura de comunicații globală permite interconectarea a oricare două puncte de pe glob prin intermediul rețelelor de comunicații terestre și a cablurilor submarine sau cu ajutorul sateliților de comunicații.

Directiva Consiliului UE nr.114/2008/CE privind „Identificarea și desemnarea infrastructurilor critice europene și evaluarea necesităților de îmbunătățire a protecției acestora” (8 decembrie 2008) definește infrastructura critică după cum urmează: „un element, sistem sau o parte componentă a acestuia, aflat pe teritoriul statelor membre, care este esențial pentru menținerea funcțiilor sociale vitale, a sănătății, siguranței, securității, bunăstării sociale sau economice a persoanelor, și a căror perturbare sau distrugere ar avea un impact semnificativ într-un stat membru, ca urmare a incapacității de a menține respectivelefuncții vitale”.

Totodată, „infrastructura critică europeană” înseamnă „o infrastructură critică localizată în statele membre, a cărei perturbare sau distrugere ar avea un impact semnificativ asupra a cel puțin trei state membre”. Climatul de stabilitate și securitate este determinat de buna funcționare a rețelelor de infrastructuri critice, necesitatea protecției acestora fiind o condiție esențială pentru evitarea perturbării grave a viabilității societății.

Conform Directivei Europene nr.114/2008/CE, protecția infrastructurilor critice constă în „orice activitate care are drept scop asigurarea funcționalității, a continuității și a integrității infrastructurilor critice pentru a descuraja, diminua și neutraliza o amenințare, un risc sau un punct vulnerabil”.

SECURITATE CIBERNETICĂ

Infrastructura informatică și infrastructura de comunicații nu pot funcționa fără a fi alimentate cu energie electrică. Energia electrică este adusă de la producător (centrale termoelectrice, hidroelectrice, nucleare, eoliene) la consumator cu ajutorul rețelei de transport a energiei electrice. Infrastructura energetică conține stații de transformare, linii de transport de joasă, medie și mare tensiune – aeriene sau subterane (în localități).

Mai sus putem vedea cu adevărat interconectivitatea structurilor critice în ziua de azi. De multe ori una nu poate funcționa fără cealaltă.

Securitatea națională și internațională sunt dependente, în foarte mare măsură, de infrastructurile critice ale societății. Dar acestea sunt tot mai vulnerabile în fața mijloacelor din ce în ce mai sofisticate de atac asupra lor. Literatura de specialitate acordă spații ample pentru descrierea modalităților de protective a infrastructurilor critice.

Sunt acceptate două axiome în analiza acestui domeniu: practic, este imposibil să se asigure protecția 100% a unei infrastructuri critice; nu există o soluție unică, universală pentru rezolvarea acestei probleme.

Conform SRI ” Activitatea de protecție a infrastructurilor critice nu mai ține cont de granițele naționale și implică eforturi comune, în sensul identificării și evaluării oricăror puncte vulnerabile ale acestora. Ca atare, protecția infrastructurilor critice – element determinant pentru menținerea stării de stabilitate și securitate – impune amplificarea preocupărilor principalilor actori internaționali (state și organizații internaționale) de elaborare și armonizare a unor strategii în domeniu. Acestea trebuie să permită identificarea și avertizarea timpurie a riscurilor, concomitent cu adoptarea și inițierea oportună a deciziilor/ demersurilor de intervenție preventivă și contracarare.”

Serviciul Român de Informații definește activitatea de informații în domeniul infrastructurilor critice ca acea activitate care cuprinde totalitatea acțiunilor și operațiunilor desfășurate permanent pentru planificarea, căutarea, obținerea, verificarea, prelucrarea analitică a datelor și informațiilor cu relevanță pentru protecția infrastructurilor critice și informarea factorilor de decizie abilitați în domeniu.

Informația pentru protecția infrastructurilor critice este o parte componentă a informației de securitate națională – definită ca produs al activității de intelligence, cuprinzând cunoștințe noi în raport cu cele preexistente, referitoare la situații/fenomene/fapte/stări de fapt care constituie sau pot deveni amenințări ori surse de risc la adresa securității naționale ori la vectorii purtători ai acestora.

În concluzie, „protecția infrastructurilor critice este o componentă a strategiei de securitate națională, fapt care impune schimbul de informații necesar asigurării bunei funcționări a rețelelor de transport dintre actorii implicați în coordonarea și controlul acestora: autoritățile de reglementare, proprietarii infrastructurilor, operatorii și instituțiile specializate. Datorită complexității problematicii, este important aportul fiecărei părți, precum și parteneriatul dintre acestea”.

Documentele existente la nivel UE în domeniul securității cibernetice privesc Strategia UE pentru Securitate Cibernetică (Concluziile Consiliului din iulie 2013 privind « Strategia de securitate cibernetică a Uniunii Europene: un spațiu cibernetic deschis, sigur și securizat ») și Cadrul Strategic UE privind Drepturile Omului și Democrația. Comisia Europeană a publicat în februarie 2013, împreună cu Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate, Strategia în domeniul securității cibernetice, precum și propunerea de Directivă a Comisiei privind Securitatea Rețelelor și a Informației (Directiva NIS), având articolul 114 din TFUE drept temei juridic.

Strategia UE pentru securitate cibernetică reprezintă viziunea globală a UE asupra celor mai bune modalități de a preveni și de a gestiona perturbările și atacurile cibernetice. Strategia definește viziunea UE în materie de securitate cibernetică prin intermediul a cinci priorități:

Obținerea unei reziliențe a infrastructurilor cibernetice;

Reducerea drastică a criminalității informatice;

Dezvoltarea unei politici de apărare împotriva atacurilor cibernetice și a capacităților necesare în contextul politicii de securitate și apărare comună (PSAC);

Dezvoltarea resurselor industriale și tehnologice necesare pentru securitatea cibernetică;

Stabilirea unei politici internaționale coerente a Uniunii Europene privind spațiul cibernetic și promovarea valorilor fundamentale ale UE.

Parlamentul European a adoptat în primă lectură la data de 13 martie 2014, o rezoluție legislativă și o serie de 138 de amendamente, elaborate de Comisia pentru piața internă (IMCO), în calitate de comisie principală, împreună cu Comisia pentru industrie (ITRE) și cu Comisia pentru libertăți civile (LIBE), în calitate de „comisii asociate”. Sub egida președinției elene, Grupul de lucru pentru telecomunicații și societatea informațională (Grupul TELECOM) a continuat examinarea fiecărui articol în parte din propunere în cadrul a diferite reuniuni. Astfel, la solicitarea Comisiei, toate statele membre au luat în discuție aceste aspecte pentru a le transpune în legislația națională. Discuția este încă una aprinsă, deși unele țări deja au început să ia anumite măsuri.

Vulnerabilitățile sunt procese sau fenomene ce diminuează capacitatea de reacție la riscurile existente ori potențiale sau care favorizează apariția și dezvoltarea acestora, cu consecințe în planul funcționalității și utilității infrastructurilor critice. ”Vulnerabilități/factori de risc la adresa elementelor informatice și informaționale: accesarea neautorizată a rețelelor informatice în scopul deteriorării acestora (virusare); afectarea/deteriorarea sistemelor de telecomunicații; alterarea/distrugerea datelor și informațiilor stocate în unitățile de memorie ale echipamentelor electronice.”

Proiectarea construcției dimensiunii europene a protecției infrastructurii critice s-a materializat sub forma unui program de acțiune și a unei rețele informatizate de avertizare.

Definirea unei infrastructuri critice europene vizează armonizarea strategiilor de protecție a infrastructurilor critice naționale, pe reperele unor dinamici de consolidare (îndeplinirea unor obiective cantitative apropiate și desăvârșirea laturilor calitative a măsurilor de protecție) și dezvoltare durabilă (stabilirea unor obiective comune sensibil superioare celor precedente și valorificarea potențialului tehnic și comercial).

CONCLUZII

Ca să asigurăm eficient securitatea cibernetică la nivel național și nu numai trebuie să avem în vedere de abordările bazate pe evaluarea riscurilor, trebuie săprioritizăm resursele necesare, implementarea și să monitorizăm eficiența măsurilor de securitate. De asemenea trebuie să ne ghidăm după un set de principii cum ar fi: cooperarea, un principiu de bază având în vedere caracterul global și asimetric al acestor amenințări, eficiența, prioritizarea și diseminarea, trebuie să avem în vedere împărtășirea informațiilor obținute despre eevntualitatea unui atac cibernetic către toate potențialele victime atât la nivel național cât și european. Un alt principiu de maximă importanță este principiul separării, trebuie să avem în vedere separarea anumitor rețele sensibile pentru a evita atacurile cibernetice asupra infrastructurilor critice cibernetice, care asigură funcțiile vitale ale statului. Aceste principii au fost pentru prima dată identificate și teoretizate în proiectul pentru Strategia de Securitate cibernetică a României.

La nivel de instituții România a aderat la rețeaua CERT, înființând CERT-RO care este CERT Națională a România, înființată ”ca o structură independentă de cercetare, dezvoltare și expertiză în domeniul securității cibernetice. Este o organizație specializată responsabilă pentru prevenirea, analiza, identificarea și reacția la cyber-incidente. CERT – RO este punctul național de contact pentru structurile similare. CERT – RO este responsabil pentru elaborarea și distribuirea politicilor publice de prevenire și contracarare a incidentelor care au loc în cadrul infrastructurilor cibernetice naționale”.

Raportul CERT-RO cu privire la alertele de securitate cibernetică procesate în anul 2014 ne indică un număr total de alerte procesate: 78.769.993 (automate: 78.767.749, alerte colectate manual: 2.244), venite de la un număr total de IP-uri unice extrase de 2.481.648.

Raportul definește alerta de securitate cibernetică ca fiind orice semnalare ce conține o adresă IP sau o adresă URL (site), referitoare la un posibil incident sau eveniment de securitate cibernetică, de natură să afecteze securitatea cibernetică, ce implică sau poate implica sisteme informatice ce aparțin unor persoane juridice sau fizice ce aparțin spațiului cibernetic național.

Raportul ne indică astfel că ”24% din totalul IP-urilor unice alocate spațiului cibernetic românesc (2.4 mil) au fost implicate în cel puțin o alertă de securitate cibernetică procesată de CERT-RO, 54% din alertele primite vizează sisteme informatice configurate necorespunzător (misconfigured), nesecurizate sau vulnerabile, ce oferă diverse servicii nesecurizate în Internet, folosite de atacatori pentru ascunderea identității și lansarea de atacuri cibernetice asupra altor ținte, 46% din alerte vizează sisteme informatice din România, victime ale unor atacatori care au reușit preluarea de resurse în cadrul unor rețele de tip botnet (zombie) prin exploatarea unor vulnerabilități tehnice și infectarea sistemelor cu diverse tipuri de aplicații malware. Rețelele de tip botnet reprezintă cea mai importantă problemă existentă în spațiul cibernetic național deoarece aceste computere compromise pot fi utilizate în derularea de atacuri cibernetice asupra altor ținte din România sau din spațiul extern țării noastre.”

Având în vedere aceste aspecte, Raportul ia în calcul următoarele concluzii: ”Amenințările de natură informatică, asupra spațiului cibernetic național, continuă să se diversifice. Majoritatea alertelor primite se referă sisteme infectate cu diverse variante de malware, ce fac parte din diverse rețele configurate necorespunzător (misconfigured) sau nesecurizate. Oricare dintre cele două tipuri de sisteme pot fi folosite cu rol de „proxy” pentru desfășurarea altor atacuri asupra unor ținte din afara țării, reprezentând astfel potențiale amenințări la adresa altor sisteme conectate la Internet.

România nu mai poate fi considerată doar o țară generatoare de incidente de securitate cibernetică, analiza datelor prezentate demonstrând caracterul intermediar/de tranzit al unor sisteme informatice conectate ce fac parte din spațiul cibernetic național.”

Ca urmare a acestui Raport, putem discuta încă odată de necesitatea aprobării unei Strategii de Securitate Ciberenetică a României în cel mai scurt timp. S-a discutat la finalul anului 2015 și începutul anului 2016 despre urgența acestei necesități. Astfel, un nou proiect este luat în calcul și se speră ca în cursul acestui an să fie aprobat în sfârșit. Se pare că la nivel cel puțin de discuție publică s-a înțeles problema cu care se confruntă România în acest moment.

România trebuie să pună accentul pe parteneriatul public privat pentru a realiza acest deziderat. Astfel discuțiile la nivel de parteneri sociali și economici trebuie să continue într-un mod susținut.

Ultimul proiect de strategie cibernetică a fost trimis la Curtea Constituțională, aceasta publicând la începutul anului 2015 motivația legată de neconstituționalitatea strategiei propuse. Astfel, una din nemulțumiri este faptul că ” Serviciul Român de Informații este desemnat autoritate națională în domeniul securității cibernetice, calitate în care asigură coordonarea tehnică, organizarea și executarea activităților ce privesc securitatea cibernetică a României. În vreme ce Uniunea Europeană propune în proiectul de Directivă NIS (Network and Information System) ca instituțiile care se ocupă de domeniul securității cibernetice să fie „organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”, Parlamentul României acordă acces nelimitat și nesupravegheat la toate datele informatice deținute de persoane de drept public și privat unor instituții care nu îndeplinesc niciuna din condițiile de mai sus controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”, Parlamentul României acordă acces nelimitat și nesupravegheat la toate datele informatice deținute de persoane de drept public și privat unor instituții care nu îndeplinesc niciuna din condițiile de mai sus”

BIBLIOGRAFIE

cărți

Dr. Florina Vevera, Protecția Infrastructurilor Critice – Imperative ale Societăților Europene Moderne, București 2013

Dr. Grigore ALEXANDRESCU, Dr. Gheorghe VĂDUVA, Infrastructuri critice. Pericole, amenințări la adresa acestora. Sisteme de protecție, Editura Universității Naționale de Apărare „Carol I”, București, 2006

Fernando Mendez, The Governance and Regulation of the Internet in the European Union, the Unites States and Switzerland: A comparative Federalism Approach, Florence (2007)

Vipin Kumar, Alexandar Lazarevnic, Jaideep Srivastava, Managing Cyber Threats. Issues, Approaches, and Challenges (New York: Springer, 2005)

Zeinab Karabe Shalhoub, Sherikha Lubra Al Qasimi, Cyber Law and Cyber Security in Developing and Emerging Economies (Northampton: Edward Elgar Publishing, 2010)

Mecanismul național de gestionare a protecției infrastructurii critice din perspectiva strategiei naționale de securitate

Nikolaj Nielsen, “EU cyber-security legislation on the horizon”, euobserver.com, May 11, 2012

Documente strategice

Protecția infrastructurilor critice, Serviciul Român de Informații, broșură de prezentare, www.sri.ro

Strategia națională privind protecția infrastructurilor critice (HG nr.718/2011)