Organisme la Nivel National cu Atributii In Domeniul Securitatii Cibernetice

CAPITOLUL II

2.1. Organisme la nivel național cu atribuții în domeniul securității cibernetice

Consiliul Suprem de Apărare a Țării este autoritatea care coordonează la nivel strategic activitatea SNSC (Sistemul Național de Securitate Cibernetică). Guvernul României, prin Ministerul Comunicațiilor și pentru Societatea Informațională asigură coordonarea celorlalte autorități publice în vederea realizării coerenței politicilor și implementarea strategiilor guvernamentale în domeniu.

SNSC include, pe lângă autoritățile publice cu competențe în materie (Serviciul Român de Informații, Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Ministerul Afacerilor Externe, Ministerul Comunicațiilor și pentru Societatea Informațională, Serviciul de Telecomunicații Speciale, Serviciul de Informații Externe, Serviciul de Protecție și Pază, Oficiul Registrului Național pentru Informații Secrete de Stat precum și Secretarul Consiliului Suprem de Apărare a Țării), actori din mediul asociativ neguvernamental, profesional și de afaceri.

Mecanismul de implementare a strategiei de securitate cibernetică la nivel național, în plan proactiv/reactiv, este asigurat prin:

Consiliul Operativ de Securitate Cibernetică (COSC), al cărui Regulament de Organizare și Funcționare a fost aprobat prin Hotărârea CSAT nr. 17/2013; COSC este format din reprezentanți la nivel de secretar de stat din cadrul instituțiilor sistemului de securitate națională, inclusiv ai MAE și care realizează coordonarea unitară a SNSC. Funcția de coordonator tehnic al COSC este asigurată de către Serviciul Român de Informații în calitate de Autoritate națională în domeniul securității cibernetice prin intermediul Centrului Național Cyberint (CNC) care informează operativ COSC cu privire la apariția incidentelor cibernetice care pot aduce atingere securității naționale;

Grupul de Suport Tehnic (GST) – format din reprezentanți la nivel de expert din cadrul instituțiilor șistemului de securitate națională reprezentate în cadrul COSC. COSC raportează CSAT, anual sau ori de câte ori situația o impune, cu privire la acțiunile întreprinse, precum și la evoluțiile înregistrate în spațiul cibernetic, în special cu referire la incidente sau atacuri cibernetice.

În structura SRI funcționează Centrul Național de Securitate Cibernetică (CNSC) care, în caz de atac cibernetic asupra securității cibernetice a României, este punct de contact pentru relaționarea cu organismele similare din străinătate.

Constituirea, la nivel național, a Sistemului Național de Alertă Cibernetică (SNAC), reprezintă principalul mijloc al SNSC destinat prevenirii și contracarării activităților de natură să afecteze securitatea cibernetică. SNAC instituie Nivelurile de Alertă Cibernetică (NAC), pe baza evaluării procesului de Management al Riscurilor la adresa securității cibernetice a României.

Coordonarea tehnică a activității SNAC și controlul măsurilor specifice fiecărui nivel de alertă, propuse în cadrul COSC și aprobate de CSAT, se realizează de către CNC. Strategia de Securitate Cibernetică a României prevede, de asemenea, dezvoltarea entităților de tip CERT (structuri specializate în înțelesul art. 2 lit. a. din Hotărârea Guvernului nr. 494/2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO), atât în cadrul sectorului public, cât și în sectorul privat.

CERT–RO este o structură independentă de expertiză și cercetare-dezvoltare în domeniul protecției infrastructurilor cibernetice, care dispune de capacitatea necesară pentru prevenirea, analiza, identificarea și reacția la incidentele de securitate cibernetică ale sistemelor informatice ce asigură funcționalități de utilitate publică ori asigură servicii ale societății informaționale. CERT-RO se află în coordonarea Ministerului pentru Societatea Informațională și este finanțat integral de la bugetul de stat. Conform H.G. 494/2011, act normativ ce reglementeaza activitatea centrului, CERT-RO poate emite alerte și atenționări cu privire la activități premergătoare atacurilor cibernetice.

Principalele amenințări, așa cum sunt enunțate în actele normative cu caracter general și prin hotărâri ale CSAT, se referă la activități de spionaj pe teritoriul României, criminalitate organizată transfrontalieră, terorism și subminarea statului de drept.

2.2. Legislația aferentă spațilui cibernetic

Spațiul cibernetic este astăzi una dintre cele mai complexe fronturi juridice, pentru că există atât de mulți utilizatori, de la persoane fizice, organizații, companii private și instituții publice, iar activitatea lor online este reglementată prin legi și reglementări cibernetice naționale vagi.

Securitatea informatică reprezintă o nouă dimensiune a securității naționale și internaționale și atât la nivel național cât și internațional nu au fost dezvotate multe reglementări. Cu toate acestea, toate statele trebuie să se adapteze la aceste noi provocări, având în vedere că atacurile cibernetice reprezintă o formă de terorism internațional, fiind nevoie de o abordare internațională coordonată pentru a contracara astfel de amenințări.

Faptul că unele țări au adoptat un anumit set de reglementări și legi pentru utilizarea Internet-ului sau pentru securitate cibernetică aceasta nu a avut un impact mai mare asupra dezvoltării unor astfel de legi în alte țări, creind astfel o discrepanță atunci când se încearcă a se stabili ce reglementări a încălcat un atacator, deoarece Internetul este un mediu global. Prin urmare, necesitatea de a adopta astfel de reglementărilor internaționale și o instituție internațională care se ocupă în mod special de aceste probleme a devenit tot mai evidentă.

Conform legislației interne, activitățile de tip criminal, ce se pot înfăptui cu și prin internediul mediului tehnologiei informației și comunicațiilor electronice, ar putea fi clasificate pe următoare paliere:

Infracțiuni săvârșite în legătură cu emiterea și utilizarea datelor de identificare în vederea efectuării de operațiuni financiare cu subcategoriile precizate în cap. VIII, art. 24-28 din Legea 365/2002 privind comerțul electronic, cu modificările și completările ulterioare;

Infracțiunilor săvârșite prin intermediul sistemelor informatice, cu subcategoriile stipulate, pe larg, în Titlul III – Prevenirea și combaterea criminalității informatice din Legea nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, publicată în Monitorul Oficial nr. 279 din 21 aprilie 2003 unde sunt prevăzute următoarele categorii de infracțiuni cibernetice:

a. Infracțiuni contra confidențialității și integrității datelor și sistemelor informatice:

infracțiunea de acces ilegal la un sistem informatic;

infracțiunea de interceptare ilegală a unei transmisii de date informatice;

infracțiunea de alterare a integrității datelor informatice;

infracțiunea de perturbare a funcționării sistemelor informatice;

infracțiunea de a realiza operațiuni ilegale cu dispozitive sau programe informatice.

b. Infracțiuni informatice:

infracțiunea de fals informatic;

infracțiunea de fraudă informatică.

c. Pornografia infantilă prin intermediul sistemelor informatice.

Un prim pas privind o legislație unitară s-a realizat prin Convenția Consiliului Europei din 23 noiembrie 2001 de la Budapesta privind Criminalitatea Informatică. Statele membre ale Consiliului Europei și celelalte state semnatare ale convenției, ținând cont de faptul că scopul consiliului este realizarea unei uniuni cât mai strânse între membrii săi și ținând cont de următoarele deziderate:

Recunoaște importanta promovării cooperării cu celelalte state, părți la prezenta convenție, convinse de necesitatea de a urmări, cu prioritate, aplicarea unei politici penale comune, destinată să protejeze societatea împotriva criminalității informatice, în special prin adoptarea unei legislații adecvate, precum și prin îmbunătățirea cooperării internaționale;

Conștiente de profundele schimbări determinate de digitalizarea, convergența și globalizarea continuă a rețelelor de calculatoare;

Preocupate de riscul că rețelele de calculatoare și informația electronică ar putea fi utilizate și pentru comiterea de infracțiuni și că probele privind asemenea infracțiuni ar putea fi stocate și transmise prin intermediul acestor rețele;

Recunoscând necesitatea cooperării între state și industria privată în lupta împotriva criminalitătii informatice, precum și nevoia de a proteja interesele legitime în utilizarea și dezvoltarea tehnologiilor informației,

Considerând că lupta eficientă purtată împotriva criminalității informatice impune o cooperare internațională intensificată, rapidă și eficace în materie penală;

Convinse că prezenta convenție este necesară pentru a preveni actele îndreptate împotriva confidențialității, integrității și disponibilitătii sistemelor informatice, a rețelelor și a datelor, precum și a utilizării frauduloase a unor asemenea sisteme, rețele și date, prin asigurarea incriminării unor asemenea conduite, asa cum sunt ele descrise în prezenta convenție, și prin adoptarea unor măsuri suficiente pentru a permite combaterea eficace a acestor infracțiuni, menite să faciliteze descoperirea, investigarea și urmărirea penală a acestora atât la nivel național, cât și internațional, precum și prin prevederea unor dispoziții materiale necesare asigurării unei cooperări internaționale rapide și sigure.

În anul 2004 convenția a fost Publicată în Monitorul Oficial, Partea I nr. 343 din 20 aprilie 2004 Seria Tratatelor Europene nr. 185.

Infracțiuni incriminate prin Legea nr. 535/2004 privind prevenirea și combaterea terorismului și combaterea terorismului și care au sau pot avea conexiune directă sau nemijlocită cu domeniul IT&C;

Infracțiuni prevăzute de art. 19 din Legea nr. 51/1991 privind siguranța națională.

Alte acte și fapte ilegale de natură a afecta drepturi și libertăți fundamentale ale cetățenilor, securitatea și protecția comunicărilor, a prelucrării datelor personale și protecția vieții private în sectorul comunicațiilor etc., sancționate prin alte acte normative speciale (Legea nr. 677/2001 pentru protecția persoanelor cu privre la prelucrarea datelor cu cracter personal și libera circulație a cestor date, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, O.U.G. nr.79/2002 privind cadrul general de reglementare a comunicațiilor electronice, Legea nr. 182/2002 privind protecția informațiilor clasificate) și Codul Penal.

De asemenea, evenimente și schimbări legislative la nivel internațional au avut un impact semnificativ asupra viziunii și opțiunilor României în domeniul securității cibernetice. Asemenea schimbări care au avut loc în Uniunea Europeană și NATO, care în ultimii ani au adoptat reguli pentru utilizarea și protejarea internetului și care se străduiesc să adopte la rândul lor o strategie pentru această dimensiune a securității.

Astfel în 2013 România a adoptat Strategia de securitate cibernetică a României și Planul de acțiune la nivel național privind implementarea Șistemului național de securitate cibernetică în baza Hotărârii de Guvern nr.271 / 2013 care își propune următoarele obiective strategice:

a) adaptarea cadrului normativ și instituțional la dinamica amenințărilor specifice

spațiului cibernetic;

b) stabilirea și aplicarea unor profile și cerințe minime de securitate pentru infrastructurile cibernetice naționale, relevante din punct de vedere al funcționării corecte a infrastructurilor critice;

c) asigurarea rezilienței infrastructurilor cibernetice;

d) asigurarea stării de securitate prin cunoașterea, prevenirea și contracararea vulnerabilităților, riscurilor și amenințărilor la adresa securității cibernetice a României; valorificarea oportunităților spațiului cibernetic pentru promovarea intereselor, valorilor și obiectivelor naționale în spațiul cibernetic;

e) promovarea și dezvoltarea cooperării între sectorul public și cel privat în plan

național, precum și a cooperării internaționale în domeniul securității cibernetice;

f) dezvoltarea culturii de securitate a populației prin conștientizarea față de vulnerabilitățile, riscurile și amenințările provenite din spațiul cibernetic și necesitatea asigurării protecției sistemelor informatice proprii;

g) participarea activă la inițiativele organizațiilor internaționale din care România face parte în domeniul definirii și stabilirii unui set de măsuri destinate creșterii încrederii la nivel internațional privind utilizarea spațiului cibernetic.

Această strategie introduce câteva principii, printre care protejarea valorilor – care stabilește că politicile de securitate cibernetică vor asigura echilibrul între nevoia de creștere a securității în spațiul cibernetic și prezervarea dreptului la intimitate și alte valori și libertăți fundamentale ale cetățeanului. Ori tocmai ca sarcină reieșită din această strategie, Guvernul României trebuie să elaboreze proiectul legii securității cibernetice. La data elaborării acestei lucrări, acest proiect de lege a fost declarat neconstituțional de către Curtea Constituțională a României.

Un alt principiu, pe care noi îl conșiderăm foarte valoros și care nu apare în alte strategii analizate, (cu excepția SUA) este acela al separării rețelelor în virtutea căruia se poate asigura reducerea probabilității de manifestare a atacurilor cibernetice, specifice rețelei internet, asupra infrastructurilor cibernetice care asigură funcțiile vitale ale statului, prin utilizarea unor rețele dedicate, separate de internet. Respectarea acestui principiu însă necesită alocare de resurse financiare importante care să permită construirea de rețele dedicate, independente de canalele de comunicații existente, elaborarea de protocoale de comunicație diferite care în final ar genera și mai multe probleme în exploatarea acestora.

2.3. Evoluția politicilor de securitate în spațiul cibernetic în strategiile de apărare ale României

Strategia Națională de Apărare sau Securitate reprezintă modul în care statul asigură apărarea și securitatea țării și a cetățenilor săi. Un document cadru, politic, realizat la nivelul executivului și promovat de șeful său, președinte sau prim-ministru. Strategia de apărare înseamnă focalizarea atenției pe proces, iar strategia de securitate înseamnă focalizarea pe rezultatul final, respectiv atingerea stării de securitate națională, definită prin absența amenințărilor datorită corectei gestionări a riscurilor.

Baza legală a Strategiei naționale de apărare este Legea 473 din 2004 care prevede ca Președintele României, în cel mult șase luni de la depunerea jurământului, prezintă Parlamentului  “strategia națională de apărare". Conform Constituției, Parlamentul în ședință comună, trebuie să o dezbată și să o aprobe. Fiind dezvoltate în perioade diferite de timp și de către diferite centre de expertiză, legislația națională și Constituția nu sunt foarte clare asupra conceptelor de apărare și securitate națională. Deși în textul constituțional apar ambele concepte, Constituția, la articolul 65, se referă numai la “strategia națională de apărare", precizând că în ședințe comune cele două Camere pot aproba “strategia națională de apărare a țării". În plus, legea 473 din 2004, a planificării apărării, face referire tot la strategia de apărare, de aceea documentul trimis Parlamentului se numește “Strategia națională de apărare". Trebuie precizat din start că strategia, referindu-se la apărarea țării, cuvântului apărare nu trebuie să i se ofere doar o semnificație militară. În egală măsură, apărarea țării se face prin mijloace politice și diplomatice, economice sau sociale. În esența ei apărarea țării înseamnă apărarea intereselor naționale și a valorilor. Apărarea țării devine complementară securității naționale, apărarea reprezentând procesul, suma acțiunilor concrete prin intermediul cărora, dacă sunt bine realizate, obținem securitatea națională, starea finală caracterizată de lipsa amenințărilor.

Strategia Națională de Apărare a României din 2010 include, în ceea ce privește securitatea cibernetică, obiective pe termen scurt și pe termen lung, deoarece menționeză că țara depinde de buna funcționare a multiplelor rețele de care depind viețile cetățenilor români și economia națioală. În Strategie se recunoaște, de asemenea, faptul că România are vulnerabilități în a asigura securitatea spațiului cibernetic național, deoarece prezintă deficiențe în a ceea ce privește protecția și funcționarea infrastructurii digitale și a celei critice.

Totodată, Strategia evidențiază că un nivel mai ridicat de securitizare a infrastructurii digitale este necesară, deoarece la nivel mondial atacurile cibernetice sunt din ce în ce mai frecvente și mai complexe. De aceea, România a avut în vedere anumite obiective care între timp au fost îndeplinite, precum înființarea unei comunități de experți în domeniul informaticii și a securității rețelelor digitale, CERT-RO (Centrul Național de Răspuns la Incidente de Securitate Cibernetică). CERT – RO este acum un centru funcțional responsabil pentru ”prevenirea, analiza, identificarea și reacția la incidentele cibernetice” și pentru dezvoltarea de politici publice în domeniu. Există, de asemenea, instituții naționale implicate în activități specifice securității cibernetice, precum Ministerul Comunicațiilor și Societății Informaționale, Direcția de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism (DIICOT), Serviciul Român de Informații, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și alte câteva având capabilități limitate.

Art. 22. Din perspectivă internă, obiectivele naționale de securitate vizează:

consolidarea securității și protecției infrastructurilor critice ‐ energetice, de transport și cibernetice ‐ precum și a securității alimentare și a mediului;

Art. 30. Pe termen mediu și lung, evoluțiile din mediul de securitate global vor fi dominate de tendințe complexe, a căror cunoaștere este pentru țara noastră de o importanță majoră:

● reconfigurarea jocurilor geo‐strategice;

● dezvoltarea rapidă a tehnologiei informației;

● resurgența naționalismului și a extremismului;

● fragmentarea etnico‐religioasă și radicalizarea ideologică;

● adaptarea infrastructurilor critice în raport cu apariția de calamități, crize energetice, atacuri cibernetice, pandemii.

Art. 54. Amenințările cibernetice lansate de entități ostile, statale sau non‐statale, asupra infrastructurilor informaționale de interes strategic ale instituțiilor publice și companiilor, atacurile cibernetice desfășurate de grupări de criminalitate cibernetică sau atacurile cibernetice extremiste lansate de grupuri de hackeri afectează direct securitatea națională.

4.2.3. Dimensiunea de informații, contrainformații și de securitate

75. Pe această dimensiune, direcțiile de acțiune vizează:

asigurarea mecanismelor de prevenire și contracarare a atacurilor cibernetice la adresa infrastructurilor informaționale de interes strategic, asociată cu promovarea intereselor naționale în domeniul securității cibernetice.

2.4. Prevederi legislative în plan internațional

În prezent, statele sunt expuse riscului de atacuri cibernetice care pot afecta activele lor fizice sau informaționale, acțiunile acestora derulate în plan internațional sau imaginea publică a acestora. Astfel de atacuri se pot desfășura în scopul dezinformării sau al spionajului electronic pentru obținerea avantajului competitiv global, modificarea clandestină a datelor sensibile și distrugerea sau întreruperea funcționării unor infrastructuri critice ale unei stări, cum ar fi de energie, apă, combustibil, comunicații sau active comerciale, esențiale pentru funcționarea societății și a economiei. Sursele amenințărilor cibernetice sunt diverse: hackerii, persoanele frustrate, organizațiile criminale, grupurile politice extremiste, mișcările religioase fanatice, serviciile ostile de informații, grupările teroriste. Conform raportului de investigare asupra încălcărilor de securitate a datelor, realizat de compania americană Verizone pe 2014, a rezultat că 95% dintre atacatori sunt agenți externi, grupări activiste, 4% angajați personal propriu din interior, iar sub 1% reprezintă partenerii de afaceri.

Atacurile cibernetice pot urmări sabotajul, subversiunea, spionajul, terorismul sau crima organizată și sunt concretizate în exfiltrarea de informații, împiedicarea desfăușrării misiunilor, inducerea unor anomalii în sistemele de comandă-control (CC2) etc.

Ca metode de atac cibernetic putem menționa: exploatarea vulnerabilităților, obținerea accesului neautorizat, colectarea și alterarea informațiilor, blocarea sau întreruperea serviciilor, introducerea de coduri dăunătoare, inginerie socială.

La începuturile sale, Internetul nu a fost creat să răspundă unor provocări de securitate, întrucât se adresa unui public restrâns – cu precădere din mediul academic, dar răspândirea sa și dependența pe care a generat-o, a impus specialiștilor o regândire „din mers” a funcționalităților dar și a amenințărilor la care rețeaua globală trebuie să facă față.

Lumea nu a ignorat importanța securizării adecvate a spațiului virtual pe măsură ce a realizat cât de important este acest spațiu cibernetic pentru bunăstarea și dezvoltarea durabilă a țărilor lumii. Statele au creat primele instrumente care să permită o abordare unitară și coerentă a problematicii securizării spațiului cibernetic cu mai multă sau mai puțină eficiență.

În continuare vom prezenta, pe scurt, câteva dintre strategiile de securitate cibernetică adoptate de unele țări europene dar și din America sau Asia, iar în final, vom prezenta strategia de securitate cibernetică a Uniunii Europene.

Franța a publicat propria sa Strategie de Securitate Cibernetică în anul 2011 având ca obiective strategice:

Stabilirea ca nivel de ambiție, accederea Franței în rândul puterilor mondiale în

domeniul apărării cibernetice;

Garantarea libertății de decizie a Franței prin protejarea sistemelor informaționale;

Întărirea securității cibernetice a infrastructurilor naționale vitale;

Asigurarea securității în spațiul cibernetic.

Marea Britanie (Minister for the Cabinet Office, 2011) a propus o Strategie de Securitate Cibernetică în noiembrie 2011 având patru obiective:

combaterea criminalității cibernetice în scopul asigurării unui spațiu cibernetic

șigur pentru buna desfășurare a afacerilor;

creșterea rezistenței la atacurile cibernetice pentru a fi în măsură să protejeze interesele britanice în spațiul cibernetic;

Marea Britanie trebuie să sprijine existența unui spațiu cibernetic deschis, stabil și vibrant pe care publicul din această țară să-l poată utiliza în condiții de siguranță;

dezvoltarea cunoștințelor transversale, a aptitudinile și abilităților de care este nevoie pentru asigurarea securitatății cibernetice.

În strategia britanică se stabilește un rol important sectorului apărării în domeniul securității cibernetice. Astfel în cadrul primului obiectiv al strategiei se prevede crearea unei capabilități integrate civil-militar, în cadrul ministerului apărării. Această capabilitate – Defence Cyber Operations Group – a devenit complet operațional în aprilie 2014.

Germania, a elaborat (Federal Ministry of the Interior, 2011) The Cyber Security Strategy for Germany în februarie 2011 cu scopul de a menține și de a promova prosperitatea economică și socială bazate pe înțelegerea că disponibilitatea spațiului cibernetic, integritatea și confidențialitatea datelor vehiculate și stocate în spațiul virtual sunt printre cele mai critice probleme ale secolului XXI și că menținerea securității cibernetice este atât în plan intern și cât și internațional, o problemă comună care trebuie să fie gestionată în comun de către stat, mediul de afaceri și societate.

Statele Unite, afectate fiind de teribilul atentat de la 11 septembrie 2001, au lansat în cadrul primei Stategii Naționale pentru Securitate Internă (Office of Homeland Security, 2002), care a fost publicată în iulie 2002 în timpul administrației Bush. O component importantă a acestei strategii a constituit-o Strategia Națională pentru Securitate Cibernetică, care a fost însă publicată câteva luni mai târziu, în februarie 2003.

Conform acestei strategii, au fost identificate trei obiective strategice (The White

House, 2003):

prevenirea atacurilor cibernetice împotriva infrastructurilor critice ale SUA;

reducerea vulnerabilităților naționale în fața atacurilor cibernetice;

minimizarea pagubelor și recuperarea rapidă în urma potențialelor atacuri.

Liderii americani au realizat că problematica securității spațiului cibernetic nu poate să rămână o chestiune strict națională și că, datorită lipsei barierelor în ceea ce privește spațiul cibernetic, zonele vulnerabile ale acestuia, oriunde s-ar afla, pot crea grave disfuncționalități unei societăți umane care se bazează tot mai intens pe un suport informațional dezvoltat.

Motiv pentru care, în mai 2011, au dat publicității International Strategy for Cyberspace (The White House, 2011). Această strategie subliniază faptul că securitatea cibernetică nu poate fi asigurată de către o șingură țară și de aceea este necesară o largă cooperare internațională. Strategia afirmă hotărâre SUA de a se implica activ în proiectele bilaterale și multilaterale dar în egală măsură în cele internaționale care vor genera un grad mai mare de securitate în mediul virtual.

Strategia mai sus menționată reprezintă prima viziune integrată la nivel global,

referitoare la reglementarea și securizarea spațiului cibernetic, ceea ce va duce, probabil la o analiză mai profundă a ei din partea factorilor responsabili la nivel național.

Canada a lansat Strategia de Securitate Cibernetică (Government of Canada, 2010), în 2010, având ca obiective:

securizarea sistemelor cibernetice guvernamentale;

parteneriate pentru a asigura sistemele vitale cibernetice care nu aparțin guvernului federal;

asigurarea sprijinului pentru cetățenii canadieni în scopul securizării în mediul

online.

Primul obiectiv stabilește roluri și responsabilități clare în scopul creșterii securității sistemelor cibernetice guvernamentale și pentru a spori gradul de conștientizare a necesității securității cibernetice în cadrul șistemului public.

Cel de-al doilea obiectiv, acoperă un număr de parteneriate în cadrul provinciilor și teritoriilor și implică sectorul privat precum și infrastructurile critice.

În final, al treilea obiectiv strategic acoperă infracționalitatea cibernetică și protejarea cetățenilor canadieni în mediul virtual. Confidențialitatea datelor personale sunt, de asemenea sub incidența acestui obiectiv strategic.

Japonia (Information Security Policy Council, 2013) a adoptat în 2013 Strategia de Securitate Cibernetică care are 3 piloni pe care se sprijină:

Construcția unui spațiu cibernetic elastic;

Construcția unui spațiu cibernetic puternic;

Construcție unui spațiu cibernetic mondial.

Primul pilon se referă la măsurile defenșive și capacitatea de recuperare în urma unor atacuri cibernetice.

Cel de-al doilea pilon vizează dezvoltarea capacităților industriale care joacă un rol important în răspunsul la atacuri cibernetice, prin dezvoltarea de tehnologii avansate,

stimularea cercetării și a dezvoltării resursei umane precum și alte măsuri care să dezvolte creativitatea, pentru a putea face față riscurilor ce pot apare în spațiul cibernetic.

Cel din urmă pilon se adresează colaborării internaționale în domeniul securității

cibernetice.

Republica Cehă are în vigoare o Strategie de securitate Cibernetică pentru perioada 2011-2015 (Czech Republic). Cehia a lansat această primă strategie având în vedere interesele acestei țări de a construi o societate informațională credibilă cu un solid fundament legal, afirmând cu această ocazie hotărârea de a securiza procesarea și transmiterea informațiilor în toate domeniile vieții umane așigurând în același timp utilizarea liberă și șigură a acestor informații.

Obiectivele strategice pe care această strategie le identifică sunt:

elaborarea unui cadru legislativ specific spațiului cibernetic;

întărirea securității cibernetice în domeniul administrației publice;

înființarea agenției naționale de răspuns la incidente cibernetice (CERT);

cooperarea internațională;

cooperarea internă între autoritățile naționale, mediul privat și cel academic;

creșterea gradului de conștientizare a populației asupra securității cibernetice.

Estonia a lansat prima Strategie de Securitate Cibernetică (Ministry of Defense

Estonia, 2008) în anul 2008, la scurtă vreme după atacul suferit de acestă țară, în primăvara anului 2007, conșiderat ca fiind primul atac cibernetic desfășurat la scară largă, împotriva unei întregi țări. Estonia a fost practic a blocată timp de mai multe zile. Semnificativ de remarcat este faptul că această primă strategie de securitate cibernetică a fost elaborată de către ministerul apărării din acestă țară, ceea ce dovedește că securitatea cibernetică a fost conșiderată o chestiune de securitate națională.

Ca obiective strategice, au fost identificate:

stabilirea unui set de măsuri în domeniul securității;

dezvoltarea gradului de conștientizare în domeniul securității informațiilor și de creștere a gradului de expertiză profesională în acest domeniu;

consolidarea poziției Estoniei ca una dintre țările lider în eforturile internaționale de cooperare pentru a asigura securitatea cibernetică.

Cea de-a doua strategie a Estoniei (Ministry of Economic Affairs and Communication Estonia, 2014), intitulată Strategia de Securitate Cibernetică 2014-2017, spre deosebire de prima, a fost elaborată de către Ministerul Economiei și Comunicațiilor și a fost publicată în 2014. Aceasta subliniază progresul semnificativ obținut de Estonia în domeniul securității cibernetice în perioada 2008-2013. Printre inițiativele avute de Estonia remarcăm:

Crearea Estonian Defence League’s Cyber Unit, organizație compusă din voluntari care are drept scop declarat, protecția spațiului cibernetic al Estoniei;

Înființarea la Tallin, capitala Estoniei a Centrului de excelență al NATO în

domeniul Apărării Cibernetice;

Nu în ultimul rând, inițiativele din domeniul educației.

Obiectivul fundamental al acestei strategii, pentru cei 4 ani pe care îi acoperă, este acela de a dezvolta capabilitățile în domeniul securității cibernetice și a senșibiliza populația cu privire la amenințările informatice, așigurând astfel încrederea deplină în spațiul cibernetic.

Este demn de observat că Estonia, alături de SUA, este una din puținele țări care

afirmă ca obiectiv al strategiei de securitate cibernetică, dezvoltarea de capabilități militare de apărare cibernetică.

Deciziile Uniunii Europene pot avea un impact puternic asupra nivelului securității cibernetice în România, deoarece aceasta din urmă este obligată să implementeze legile și reglementările adoptate la nivel european. Securitatea cibernetică nu a reprezentat o preocupare majoră pentru Uniune pentru cea mai mare parte a anilor 90, ci o componentă indirectă a două politici: cadrul care reglementa telecomunicațiile și cel pentru protecția datelor.

Interesul Uniunii pentru securitatea cibernetică a fost declanșat odată cu cel pentru crima organizată și delictele legate de internet care au început să apară în ultimul deceniu. Abia în anul 2004 a fost înființată o instiuție care să se ocupe de criminalitatea cibernetică la nivelul european, Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA), care colectează și analizează date, realizează analize de risc și încercă să îmbunătățească cooperarea între autoritățile de reglementare din statele membre.

În 2005 a fost adoptată și o Decizie Cadru pentru atacuri împotriva sistemele informatice, care abordează vulnerabilitățile acestor șisteme și include pedepse penru majoritatea delictelor cibernetice. Ulterior însă, Uniunea Europeană a identificat diferențe majore în ceea ce privește nivelul securității cibernetice al statelor membre care ar putea însemna un impediment pentru realizarea unei cooperări judiciare. De aceea, în noiembrie 2010 a fost pus în aplicare primul exercițiu pan-european pentru identificarea modurilor în care apărarea cibernetică a Europei poate fi realizată. Câteva din obiectivele care au fost stabilite în urma acestui test au fost: sporirea înțelegerii modului în care managementul unor atacuri cibernetice este efectuat în statele membre; stabilirea canalelor de comunicare, a punctelor de comunicare și a procedurilor dintre statele membre în timpul unui atac; creșterea procedurilor de sprijin reciproc între membri în timpul unor incidente izolate și în cazul unor atacuri cibernetice extinse etc.

Uniunea Europeană a lansat Strategia de Securitate Cibernetică a UE în februarie 2013 (Joint Communication to the European Parliament) sub patronajul Înaltului Reprezentant al UE pentru Afaceri Externe și Politica de Securitate. Acestă strategie oferă cele trei direcții clare pentru politicile UE referitoare la spațiul cibernetic:

Libertate și deschidere: Strategia prezintă viziunea și principiile UE privind aplicarea valorilor sale fundamentale în spațiul cibernetic. Drepturile omului ar trebui să se aplice în egală măsură și în spațiul cibernetic, acesta din urmă fiind privit ca o zonă a libertăților și a drepturile fundamentale. Extinderea accesului la Internet ar trebui să promoveze reformele democratice în întreaga lume. UE conșideră că gradul de conectivitate la nivel global a crescut iar accesul la Internet nu ar trebui să fie însoțit de cenzură sau de supraveghere în masă.

Legile, normele și valorile fundamentale ale UE se aplică în egală măsură în spațiul virtual cât și în spațiul fizic: Responsabilitatea privind un spațiu cibernetic mai șigur revine tuturor actorilor din cadrul societății informaționale din întreaga lume, de la cetățeni până la guverne. Prin dezvoltarea și consolidarea capacităților privind securitatea cibernetică, UE se angajează să sprijine consolidarea capacităților la nivel mondial în țările terțe. Acesta include îmbunătățirea accesului la informații și a unui Internet deschis și luarea măsurilor pentru prevenirea amenințărilor cibernetice.

Promovarea cooperării internaționale în problematica spațiului cibernetic: Păstrarea spațiului cibernetic deschis, liber și șigur este o provocare globală, pe care UE o abordează împreună cu partenerii săi, din cadrul organizaților internaționale, din sectorul privat și cu societatea civilă.

Istoricul amenințărilor cibernetice

Evoluția amenințărilor cibernetice a fost una spectaculoasă: „Înainte de 2000, dacă e să facem comparație cu biologia, virușii erau gândiți să facă mult zgomot și pentru că autorii voiau să devină faimoși, să arate cât sunt de tari. Din 2000 până în 2006, am început să vedem atacuri de proporții, la scară planetară, ce puteau să ajungă în câteva minute dintr-o parte în alta a globului (…). După 2006, iar s-a observat o schimbare și gândiți-vă că, de la Conficker până în prezent, adică din 2008, nu am mai avut un virus global. Asta înseamnă că atacurile au fost gândite să lovească doar anumite organizații. E ca un fel de țânțar digital, care încearcă să penetreze, fără a fi depistat, sistemele de apărare ale organizației și, apoi, să stea în interior pentru a suge sângele, adică pur și simplu pentru a fura datele. Ideal e ca țânțarul să nu fie identificat nici când stă și observă și nici când pleacă, asta își doresc atacatorii”, spune directorul Symantec.

Astfel, între anii 1996 și 2003, atacurile cibernetice vizau întreruperea/blocarea

serviciilor folosind viruși, viermi și atacuri pentru blocarea distribuită a serviciului (Distributed Denial of Service – DDoS). Între 2004 și 2005, plaja atacurilor cibernetice s-a schimbat. Acum, ele vizau obținerea profitului apărând noțiunea de cybercrime. În această perioadă, apar mesajele spam, cu conținut malware, și amenințările de tip scamware.

Peisajul cybernetic se schimbă din nou, între anii 2007 și 2008, fiind orientat în special spre zona de spionaj cibernetic. Apar, astfel, primele versiuni de amenințări cibernetice avansate persistente (Advanced Persistent Threats – APT): ZeuS și Stuxnet.

După anul 2010, complexitatea atacurilor crește vertiginos, într-un singur atac fiind încorporate atât elemente de inginerie socială, cât și de software nociv. Specific atacurilor din această perioadă este exploatarea vulnerabilităților zero-day, furtul certificatelor digitale și puterea de polimorfism a aplicațiilor malware.

Amenințări cibernetice persistente

O amenințare cibernetică avansată persistentă reprezintă un tip de amenințare la nivelul sistemelor informatice, fiind cel mai des asociată cu activitatea malițioasă a unui sistem informatic colaborată cu activități de căutare și exploatare a vulnerabilităților sistemelor din cadrul rețelei, denumite activități de hacking.

Ceea ce diferă în cazul APT-urilor poate fi definit de două aspecte: modalitatea avansată de hacking și persistența atacurilor. Aceste tipuri de atacuri sunt, de cele mai multe ori, sponsorizate de către o organizație sau chiar de către o națiune, ele adesea legate de operațiuni de terorism și spionaj cibernetic. Această caracteristică le permite infractorilor cibernetici să aibă acces la mai multe resurse financiare și capabilități decât în cazul unui atac lansat de către un grup restrâns de hackeri.

Un alt aspect foarte important al APT-urilor îl reprezintă direcționarea atacurilor către un sistem particular, bine stabilit, scopul fiind realizarea unui impact mai mare asupra entității vizate decât simplul abuz sau încălcarea confidențialității.

Este cunoscut faptul că țările cu interese majore pe plan geopolitic apelează la acțiuni de spionaj cibernetic. Cunoscând acest tip de amenințări la adresa securității naționale, în această direcție sunt dezvoltate, concomitent, capabilități militare de prevenire și contracarare a atacurilor similare din partea națiunilor ostile.

Termenul original de amenințare persistentă este legat de un concept lansat de către agențiile de securitate din Statele Unite ale Americii. În mod uzual, termenul poate fi folosit pentru orice tip de atac aflat în desfășurare, menținut activ și direcționat către o țintă pentru care impactul este unul de proporții, precum sistemul național de apărare sau organizațiile mari. Deși termenul de „avansat” descrie utilizarea tehnologiilor avansate, nu este general valabilă această afirmație, întrucât un APT poate utiliza aplicații malițioase simple, infiltrate în mai multe sisteme, modul în care sunt escaladate privilegiile făcând din această amenințare una avansată.

Un adversar ce posedă un nivel de expertiză avansat și resurse semnificative care să îi permită să își dezvolte capabilități de atac cu scopul de a atinge obiectivele propuse poate utiliza mai mulți vectori de atac (la nivel informatic, psihologic sau prin înșelare). Aceste obiective, de obicei, sunt incluse pentru stabilirea unor puncte de sprijin/pârghii de acțiune și extinderea celor existente în cadrul infrastructurilor tehnologice și de informațiile organizațiilor vizate, în scopul exfiltrării de informații, al subminării sau obstrucționării misiunilor critice ale unui program sau ale întregii organizații. De cele mai multe ori implementarea acestor vectori de atac este realizată pentru a crește rata de succes în atacuri viitoare.

O amenințare persistentă își urmărește obiectivele în mod repetat, pentru o perioadă îndelungată de timp, se adaptează la eforturile de rezistență ale adversarilor și este determinată pentru a menține un nivel de interacțiune necesar întreprinderii acțiunilor propuse.

Descrierile anterioare constituie o bază de definire și înțelegere a diferențelor dintre atacurile tradiționale și APT-uri. Interacțiunea cu un server de comandă și control, caracterul repetitiv al acțiunilor realizate în vederea atingerii obiectivelor, adaptarea la mediul atacat și persistența constituie aceste diferențe.

Întrebarea care se pune este „Cine se află în spatele unui APT?”, întrucât entitatea răspunzătoare nu poate fi pusă doar pe baza unei activități sporadice a unei aplicații malițioase, ci se face o legătură cu o organizație cu scopuri la nivel strategic. Susținerea financiară se realizează, de cele mai multe ori, de către o națiune, motivul principal fiind relaxarea legislativă din domeniul infracțiunilor informatice, la nivel internațional nefiind armonizat cadrul legal prin care să fie definite acțiunile de atac cibernetic. În primul rând, principalul scop al APT-urilor este de a sustrage informații din sistemele informatice, acestea putând fi relevante pentru activitățile de cercetare, documente proprietate intelectuală ale organizației, informații interne despre aceasta, și nu numai. Caracterul avansat al atacurilor APT-urilor este dat și de capacitatea acestora de a se mula pe traficul de rețea al organizației, pentru a interacționa suficient de mult, astfel încât să își atingă scopurile.

Abilitățile de mascare și transformare în conformitate cu mediul constituie evenimente greu de detectat și investigat de către specialiștii din domeniul securității, eforturile de stopare a atacurilor APT fiind insuficiente, în multe cazuri.

Pe lângă capabilitatea de a se adapta și de a rămâne nedetectat, persistența caracterizează întreaga clasă de atacuri. De exemplu, amenințările cibernetice tradiționale încearcă, cel mai adesea, să exploateze o vulnerabilitate, dar își vor schimba obiectivele către un segment mai puțin sigur în cazul în care nu pot penetra țintele lor inițiale. În acest moment al atacului, APT-urile își vor continua acțiunile.

Determinarea APT-urilor în atingerea scopului, corelată cu eforturile repetate sunt întreprinse în scopul creării de mijloace care nu vor înceta să încerce noi metode de atac după o acțiune eșuată.

Atacatorii vor încerca mereu să atace subsisteme până când sunt identificate vulnerabilitățile și acestea vor fi escaladate pentru a-și îndeplini obiectivele. Acest lucru se întâmplă, deoarece oamenii și grupurile din spatele acestor atacurilor sunt motivați pentru a-și atinge scopul și au resursele necesare pentru a susține atacuri persistente și, pe baza cunoștințelor acumulate, de a lansa viitoare atacuri, în special de tip zero-day, asupra organizaților.

Aceste aspecte se deduc, în mare parte, din semnătura specifică unui APT, faptul că este persistent și permanent în curs de desfășurare. În timp ce o aplicație malițioasă simplă poate fi utilizată într-un atac inițial, în cazul în care aceasta întâmpină rezistență, atacul este de natură să progreseze, fiind utilizate software-uri mai complexe.

Scopul unui APT este de a compromite un sistem informatic specific și de a obține informații sau date, aflând obiectivele organizației, definind astfel această categorie de amenințări și separându-se de alte încercări de hacking întreprinse cu scopul de a perturba activitățile comerciale normale, oferind un impuls în încercările de sabotare a unui sistem.

Complexitatea APT constă în faptul că acestea se folosesc de mai mulți vectori de atac pentru a-și atinge ținta: atacuri de tip spear phishing pentru obținerea de informații din domeniul financiar, atacuri de tip web-based pentru obținerea informațiilor personale și atacuri cu fișiere capcană pentru obținerea informațiilor confidențiale/sensibile.

O altă caracteristică a acestor atacuri o reprezintă lucrul în echipă al atacatorilor, cel mai adesea, cel interesat în obținerea informațiilor recrutând atât oameni, cât și resurse pentru atingerea obiectivului. De asemenea, software-ul malițios devine din ce în ce mai inteligent, fiind capabil să se schimbe în mod constant, de la modul de denumire a fișierelor până la modalitatea de comprimare sau de criptare a transferului. Cele mai noi și frecvente atacuri cibernetice asupra sistemelor informatice guvernamentale au fost de tipul APT. Dintre acestea, cele mai cunoscute sunt:

Campania „Red October”

La începutul anului 2013, România se afla în alertă cibernetică din cauza unei amenințări la adresa sistemelor informatice și de comunicații (SIC) guvernamentale, cunoscută sub denumirea de campania de spionaj cybernetic „Red October” (ROCRA). Aceasta s-a caracterizat printr-un proces etapizat, care a avut la bază atacuri cibernetice complexe, bine țintite, prin utilizarea unor metode combinate pentru fiecare fază a atacului.

Pentru diseminarea codului malware au fost utilizate tehnicile de inginerie socială, finalizate cu atacuri de tip spear-phishing împotriva unor ținte de interes strategic (diplomatic, guvernamental, militar, energetic etc.). O caracteristică specific a operațiunii ROCRA a constat în modul de proliferare a atacurilor, în acest caz nefiind vorba de atacuri cu infecții masive, strategia fiind una rafinată în alegerea, documentarea și atacul asupra țintelor prestabilite. Campania ROCRA a avut amploare, fiind compromise sisteme informatice din întreaga lume, nu numai din România.

MiniDuke

În luna februarie 2013, experții mai multor companii de securitate IT au publicat rezultatele analizelor asupra unor incidente de securitate cibernetice în cadrul cărora au fost utilizate aplicații ce exploatau vulnerabilități ale programului Adobe Reader (fișiere pdf) și care a fost numit MiniDuke.

Analizele informatice efectuate au evidențiat faptul că virusul MiniDuke acționează secvențial, în trei etape, direcționat pentru a extrage informații din sistemele informatice ale guvernelor Irlandei, Belgiei, României, Portugaliei, Cehiei și din alte instituții (de exemplu, un furnizor de servicii medicale din Statele Unite ale Americii sau organizații din Japonia, Brazilia etc.).

Creatorii MiniDuke utilizează mai multe modalități de conectare la serverele de comandă și control. În prima fază, virusul utilizează Google Search pentru a găsi anumite informații, apoi utilizează serviciul de mesagerie al Twitter pentru a căuta „tweet-uri” ale unor utilizatori prestabiliți. Dacă sistemul țintă corespunde cerințelor predefinite, virusul se folosește de Twitter, fără acceptul utilizatorului. Odată ce SIC-ul infectat este conectat la centrul de comandă și control, este descărcat un backdoor de dimensiuni mai mari, care desfășoară câteva acțiuni de bază, precum copierea, mutarea sau înlăturarea fișierelor, crearea de fișiere, blocarea unor acțiuni și descărcarea și executarea unui nou virus. În ultima etapă de execuție, virusul se conectează la două servere, unul în Panama, altul în Turcia, pentru a primi instrucțiuni de la atacatori.

Campania „TeamSpy”

În data de 21.03.2013, a fost semnalată prezența unei campanii de spionaj cibernetic, denumită „TeamSpy”, declanșată la data de 05.12.2012, care avea drept țintă SIC aparținând structurilor guvernamentale din mai multe state. Atacul cibernetic a vizat state membre ale NATO și ale UE, iar principalul mecanism de detecție a compromiterii SIC îl constituia existența unor conexiuni către servere de comandă și control. Pentru infectarea SIC erau exploatate vulnerabilități mai vechi ale aplicațiilor Adobe Reader, Adobe Acrobat și Oracle Java.

„SAFE”

În luna mai 2013, compania de securitate Trend Micro/Canada a identificat un APT, denumit „SAFE”, care urmărește colectarea de date și informații din SIC, conectate la internet, aparținând instituțiilor publice, private, guvernamentale, de cercetare etc. Din raportul de analiză publicat de companie a rezultat că au fost identificate 12 000 de adrese IP unice aparținând SIC compromise, care s-au conectat la serverele de comandă și control, printre care 248 erau din România.

Vectorul de atac utilizat de „SAFE” se bazează pe tehnici de inginerie social vizând anumite ținte, prin transmiterea unor email-uri cu fișiere nocive atașate, fiind exploatată o vulnerabilitate a aplicațiilor Microsoft Office.

e) Careto/The Mask

În luna februarie a acestui an, mai multe companii din domeniul securității cibernetice au anunțat identificare unei campanii de atac cibernetic, pe care au denumit-o „Careto” sau „The Mask”. Această este una dintre cele mai avansate operațiuni de spionaj informatic descoperite în ultima perioadă și vizează instituții și companii din peste 30 de țări.

Specialiștii care au analizat această amenințare avansată au stabilit că ea a stat la baza unor operațiuni de spionaj cibernetic încă din anul 2007. Caracterul particular al „The Mask” este dat de complexitatea setului de instrumente utilizate de către atacatori, acesta incluzând un program de virusare extrem de sofisticat, un rootkit, un bootkit, având versiuni adaptate pentru sistemele de operare Mac OS X și Linux și, probabil, versiuni pentru dispozitivele mobile pe care rulează Android și iOS (iPad/iPhone).

„ZeuS KINS”

În luna iulie a.c., a fost descoperită, în spațiul cibernetic, o nouă amenințare care, pe baza analizelor informatice publicate de companii de securitate, a fost identificată în sistemele informatice aparținând mai multor entități din România. Printre entitățile afectate se regăsesc persoane fizice, organizații publice și private cu obiect de activitate în diferite domenii. Această amenințare a fost denumită „KINS” (Kasper Internet Non-Security) sau „ZeuS-KINS”, deoarece s-a descoperit că a fost utilizată o mare parte din codul sursă al binecunoscutei familii de viruși „ZeuS”. În urma analizei sistemelor afectate au fost identificate caracteristicile acestui malware, derivat din virusul „ZeuS”, la care au fost adăugate elemente de cod specifice altor campanii de atac cibernetic, cum ar fi „Power Loader”, „Carberp” și „SpyEye”. Prin dezvoltarea acestor capabilități ale virusului s-au asigurat mecanisme de persistență la nivelul sistemelor infectate.

Impactul infectării cu acest malware este de nivel ridicat, atacatorul având astfel acces complet la SIC afectat, fiind monitorizate serviciile accesate de utilizatori, exfiltrate date confidențiale și vizate credențialele de acces la conturile de email, site-urile bancare, site-urile de socializare etc.

Aplicația malware „KINS” poate afecta cu ușurință SIC prin sistemul de operare Windows, iar pentru versiunile ieșite din perioada de suport, în special XP, identificarea acestuia este foarte dificilă. Vectorul de infecție are la bază utilizarea tehnicilor de spear phishing, prin transmiterea de email-uri spam/scam personalizate către anumiți utilizatori, limba de redactare fiind cea a țintei vizate. Modul de analiză a comportamentului aplicației malware și asocierea de atribute sunt și mai dificile, deoarece sunt direcționate către servere de comandă și control, în permanență modificate.

Principalul obiectiv al atacatorilor este acela de a colecta informații cu caracter confidențial din sistemele infectate. Acestea includ documente oficiale, dar și diverse chei de criptare, configurații VPN, chei SSH (care au rolul de a identifica un utilizator sau un server SSH) și fișiere RDP (utilizate de către Remote Desktop Client pentru a deschide automat o conexiune cu computerul rezervat).

Experții în securitate cibernetică au reușit să identifice cinci etape distinct în ciclul de viață al acestui tip de amenințare, astfel:

• Etapa 1: intruziunea inițială prin exploatarea unei vulnerabilități – un grup de utilizatori primește mesaje din categoria phishing. Este sufficient ca un singur utilizator să deschidă atașamentul ce conține codul malițios și atacul cibernetic trece la partea sa ofensivă;

• Etapa 2: instalarea de software nociv la nivelul sistemului compromise – SIC este accesat de la distanță, folosind aplicații de tip backdoor;

• Etapa 3: extinderea atacului în rețea sau către alte sisteme interconectate – atacatorul obține drepturi de acces la nivel de utilizator și stații, după care începe răspândirea laterală;

• Etapa 4: realizarea conexiunilor cu serverele de comandă și control – datele de interes sunt colectate și sunt verificate căile prin care se va face exfiltrarea datelor prin comunicare cu serverele de comandă și control;

• Etapa 5: exfiltrarea datelor și a informațiilor vizate – datele obținute sunt exfiltrate folosind fișiere sau comunicații criptate către servere ce au fost și ele compromise.

Amenințările cibernetice actuale sunt capabile să evite mecanismele convenționale de securitate, prin utilizarea unor tehnici de atac ce urmăresc identificarea vulnerabilităților existente și exploatarea acestora, obținerea unui punct de acces în sistemele informatice și de comunicații, descărcarea de viruși informatici, utilizarea mijloacelor de criptare pentru exfiltrarea de date și informații, fără ca utilizatorii să detecteze un comportament anormal.

Apărarea împotriva atacurilor cibernetice este extrem de complexă și presupune

mult mai mult decât folosirea unor proceduri non-tehnice sau a unui sistem de protecție singular. Ca răspuns imediat la agresiunile informatice, specialiștii au căutat să definească noi soluții de apărare cibernetică, acestea fiind concretizate într-un set complex de acțiuni ofensive și defensive. Soluțiile curente de protejare trebuie păstrate și trebuie să respecte principiul apărării în adâncime.

Pentru ca un APT să aibă succes, atacatorii trebuie să obțină date despre ținta avută în vedere. În acest sens, înșelăciunea este cel mai adesea folosită. Înșelăciunea, din punctul de vedere al securității cibernetice, reprezintă o formă de activitate infracțională care constă în obținerea unor date confidențiale, cum ar fi date de acces pentru aplicații de tip bancar, aplicații de comerț electronic (ca eBay sau PayPal) sau informații referitoare la carduri de credit, folosind tehnici de manipulare a datelor identității unei persoane sau ale unei instituții.

a) Targeted email sunt mesajele care sunt direcționate numai către o persoană sau un grup specific de persoane și pentru care s-a efectuat anterior un studiu aprofundat asupra țintei, eventual prin social engineering, cu scopul de a obține în mod fraudulos controlul asupra datelor confidențiale ale altei persoane.

b) Phishing-ul este numele dat încercărilor de a obține în mod fraudulos controlul asupra datelor confidențiale ale altei persoane (de exemplu, datele cardului de credit, ale contului bancar și, în cazul nostru, adresa de email și parola contului PayPal). Termenul amintește de cuvântul din limba engleză (pronunțat identic) folosit pentru pescuit, și pe bună dreptate, pentru că phishing-ul este „navigarea mării internetului”. Aceste încercări sunt parte integrantă a procesului de social engineering.

c) Spoofing-ul înseamnă un act (evident ilegal) de a pretinde altă identitate decât cea reală sau mascarea expeditorului real al corespondenței, cu scopul de a câștiga încrederea unei alte persoane și de a obține accesul la datele sale personale (cunoscut ca și furt de identitate). Organizațiile cu atribuții în domeniul securității cibernetice dezvoltă platform de analiză pentru a cerceta modul de acțiune al APT-urilor în vederea contracarării acestor tipuri de atacuri. Principala direcție de acțiune este implementarea de scenarii de tipul „Ce s-ar întâmpla dacă …”. Acestea permit clonarea și instalarea nivelelor de securitate de care dispune organizația în medii sigure, în care accesul la informații este doar prezumtiv, putând deduce vulnerabilitățile care pot fi exploatate, fiind analizate astfel posibilele consecințe ale unui atac cibernetic asupra infrastructurii proprii. În urma analizei rezultate după un atac asupra mediului izolat și clonat în acest scop, pot fi create, instalate și testate produse de securitate care să se integreze în infrastructura organizației. În acest fel, pot fi analizate aspectele de toleranță ale riscului de atac și pot fi luate în calcul constrângerile de costuri.

Studiile recente publicate de importante companii din domeniul securității cibernetice relevă faptul că cea mai mare amenințare la adresa organizațiilor este reprezentată de cele 2 procente din amenințările care nu pot fi blocate de către soluțiile de securitate din prezent. Programele flexibile de analiză a amenințărilor cibernetice se concentrează pe contracararea celor 2 procente, iar la nivel strategic se întreprind măsuri în vederea reducerii impactului unor posibile atacuri. În acest mod, se încearcă implementarea unei măsuri importante din strategia organizațiilor, pe linie de securitate informatică, și anume asumarea compromisului privind funcționarea sistemului în condiții de atac sau întreruperea serviciilor, atunci când nu pot fi identificate sursa și tehnica de atac.

Rolul SRI în asigurarea securității cibernetice

”Nivelul amenințării cibernetice a crescut de la an la an, începând din 2008, anul în care am început în mod instituțional să evaluăm nivelul amenințării cibernetice, an în care a fost constituit Centrul Național CYBERINT în interiorul SRI. Practic, constatăm că, în fiecare an, nivelul amenințării cibernetice crește. Această creștere este una semnificativă și calitativă”, a explicat Gabriel Mazilu, Directorul adjunct al Centrului Național CYBERINT din cadrul Serviciului Român de Informații (SRI), la Congresul Internațional "Cybersecurity in Romania — platformă de dialog public-privat"de la Sibiu din 2015.

”În perioada 2011-2015, pași către era informațională în SRI, amenințarea cibernetică a reprezentat una dintre cele mai notabile amenințări, prin dimensiunea asimetrică, dinamism, volum și incidență. Atacurile asupra infrastructurii cibernetice din țara noastră au evidențiat faptul  că România reprezintă o țintă pentru entități ostile active  în spațiul virtual, interesate de culegerea de informații. Agresiunile de această natură au fost potențate de nivelul insuficient de securitate cibernetică al sistemelor gestionate de operatori autohtoni. Statele au o nouă dimensiune a puterii: puterea digitală; indivizii au la îndemână noi instrumente de acțiune, prin accesul la baze de date și rețele informatice”, se arată în Monografia SRI, 25 de ani.

Atacurile cibernetice ”Red October” (2012), ”Mini Duke” (2013) și ”Turla” (2014) urmăreau obținerea accesului la rețele informatice de interes național și culegerea de date confidențiale. SRI a informat promt instituțiile vizate de atacuri și, în cooperare cu STS, SIE și CERT-RO a întreprins măsurile de contracarare necesare. SRI a documentat informativ activitățile ilegale derulate de membrii unor grupuri infracționale din zona criminalității informatice, cât și a celei economice.

În contextul evenimentelor generate de tensionarea relațiilor ruso-ucrainene și pe fondul necesității Alianței Nord-Atlantice de a-și întări granița de est, au fost implementate noi măsuri de securitate, sens în care a apărut și ideea creării, pe baza contribuției voluntare a țărilor membre NATO, a unui Fond de Sprijin (Trust Fund) pentru dezvoltarea capacității de apărare cibernetică a Ucrainei.

Expertiza pe care SRI o deține în domeniul securității cibernetice – apreciată atât în proiecte desfășurate în țara noastră, cât și în cadrul cooperării cu NATO, prin contribuții la crearea de platforme specifice și prin participarea activă la exerciții precum Cyber Coalition – a fundamentat aprobarea, de către CSAT, a participării țării noastre, prin Serviciul Român de Informații, în calitate de națiune-lider, la acest Fond.

Ca urmare, CSAT a aprobat transmiterea acestei decizii către NATO, iar în cadrul Summit-ului NATO din Țara Galilor (4-5 septembrie 2014), România și-a declarat disponibilitatea de a îndeplini rolul de națiune-lider a Fondului de Sprijin pentru apărarea cibernetică a Ucrainei.

Această calitate presupune definirea, de către specialiștii naționali în securitate cibernetică, în baza dialogului cu partea ucraineană, a cerințelor tehnice și a arhitecturii unui sistem de protecție a unor infrastructuri critice IT&C împotriva amenințărilor cibernetice.

De asemenea, o altă sarcină a națiunii-lider se referă la identificarea altor state NATO ca și contributori la Fond, astfel încât să se poată asigura resursele financiare pentru implementarea proiectului definit. Nu în ultimul rând, națiunea-lider va asigura managementul de proiect și instruirea specialiștilor ucraineni în vederea exploatării eficiente a sistemului.

Având în vedere evoluțiile de securitate în domeniu, România, prin instituțiile abilitate, acordă o atenție deosebită prevenirii și contracarării amenințărilor la adresa sa și a aliaților săi.

CONCLUZII

Dependența economiilor moderne și a societăților contemporane de inter-conectivitate precum și lipsa frontierelor fizice ale spațiului cibernetic impune luarea unor măsuri unitare, coerente la nivel internațional, de securizare a spațiului cibernetic. „Colaborarea regională,dar și implicarea sectorului privat în asigurarea securității cibernetice”sunt, în viziunea premierului Victor Ponta, afirmată în cadrul Summitului Regional de Securitate cibernetică desfășurat în luna mai 2015 la București, căile necesare de urmat pentru asigurarea unei „societăți sigure și democratice, un mediu sigur și democratic pentru ceea ce nu mai este industria viitorului, ci industria zilei de astăzi”.

Desigur multe țări au adoptat în acest sens strategii proprii de securitate cibernetică. Putem remarca atât similitudini între strategiile alese dar și multe diferențe generate atât de importanța diferită acordată acestui subiect cât și probabil, de efectele în plan economic pe

care funcționarea elementelor infrastructurii cibernetice le au în cazul fiecărei țări în parte.

Cert este că în cele mai multe dintre strategiile analizate, cooperarea internațională în acest domeniu reprezintă un deziderat al multor țări. Dorința de cooperare poate sta la baza unei mai bune colaborări la nivel internațional, fapt care prezintă potențialul de lărgire a colaborării în domenii conexe, care în final nu poate decât să confere o mai mare stabilitatea în relațiile internaționale și evitarea conflictelor. În plan intern, dezvoltarea cooperării internaționale în materie de securitate cibernetică trebuie să fie în continuare o constantă la nivelul atât al factorilor de decizie politică, cât și al actorilor economici și al sistemului educațional. Participarea României la exerciții în domeniul securității cibernetice precum și aderarea la Centrul de Excelență al NATO pentru Apărarea Cibernetică ar putea să sprijine România la o mai rapidă implementare a politicilor din domeniul securității cibernetice. Sectorul privat și cel public trebuie să lucreze împreună pentru implementarea strategiei de securitate cibernetică. Acest lucru se poate face prin schimbul reciproc de informații din domeniul vizat, implementarea unui cod de bune practice în ceea ce privește gestionarea incidentele cibernetice, organizarea și participarea la exerciții de securitate cibernetică, etc.

Faptul că din ce în ce mai multe țări au adoptat propria strategie de securitate cibernetică, reprezintă un semnal pozitiv care ne permite să considerăm că responsabilii politici au conștientizat importanța acestui domeniu și că ceea ce s-a petrecut în Estonia în 2007 nu se va mai repeta în țările membre NATO și ale Uniunii Europene.

În spațiul cibernetic, nicio strategie izolată/singulară nu poate elimina complet vulnerabilitățile și amenințările asociate acestora. Iată de ce, organismele naționale și internaționale trebuie să acționeze în mod responsabil pentru gestionarea riscurilor și extinderea capacităților de reducere și eliminare a daunelor produse de atacurile cibernetice. Reexaminarea conceptelor de securitate națională și apariția strategiilor de securitate cibernetică impune o prioritate sporită acordată apărării cibernetice, alături de celelalte componente ale apărării naționale.

Nici un stat nu poate asigura securitatea spațiului cibernetic național, de unul singur. Nici un stat nu ar putea – și, poate, nu ar trebui – să asigure securitatea rețelelor de calculatoare și a sistemelor de comunicații din sectorul privat. De asemenea, „statul” nu trebuie să pătrundă în casele oamenilor și în întreprinderi – fie că este vorba despre întreprinderi mici și mijlocii sau întreprinderi mari (societăți comerciale, agenții guvernamentale și universități) – pentru a crea rețele de calculatoare și sisteme de comunicații sigure. Fiecare cetățean care depinde de spațiul cibernetic trebuie să-și asigure securitatea în partea pe care o deține sau pentru care este responsabil.

În pofida atenției care se acordă asigurării securității cibernetice și a măsurilor luate până în prezent pentru îmbunătățirea și creșterea capacității de apărare și reacție, riscurile de securitate în spațiul cibernetic constituie o preocupare continuă a tuturor organismelor de profil și a factorilor decidenți. Reducerea acestor riscuri necesită realizarea unor parteneriate active, fără precedent, între componentele apărării cibernetice naționale și internaționale.