Proiect Disertatie Victor 07,07,2020.docx [604194]
1
CUPRINS
INTRODUCERE ………………………….. ………………………….. ………………………….. ………………………….. … 2
CAPITOLUL I – INFRASTRUCTURA CRITICĂ. ELEMENTE CONCEPTUALE
RELEVANTE ………………………….. ………………………….. ………………………….. ………………………….. …….. 6
1.1 Infrastructura critică – concept și elemente definitorii ………………………….. ……………………… 6
1.2 Riscuri, amenintari și vulnerabilități. Impactul acestora asupra infrastructurii critice …. 17
1.3 Metodologie de analiză a protecției infrastructurii critice. Influența strategieie naționale
de Securitate ………………………….. ………………………….. ………………………….. ………………………….. …. 27
CAPITOLUL II – SECURITATEA CIBERNETICA SI IMPORTANȚA ACESTEIA ÎN
PROTECȚIA INFRASTRUCTURII CRITICE ………………………….. ………………………….. ………….. 44
2.1 Exploatarea mediului operațional cibernetic ………………………….. ………………………….. ……… 44
2.2 Securitatea cibernetică – evoluția conceptului ș i necesitatea implementării ………………….. 52
2.3 Riscuri, amenințări și vulnerabilități cibernetice specifice infrastructurilor critice ……….. 62
CAPITOLUL III – STRUDIUL DE CAZ – SECURITATEA CIBERNETICA A
INFRASTRUCTURILOR CRITICE IN SISTEMUL INDUSTRIAL ………………………….. ……….. 67
3.1 Securitatea industrial ă ………………………….. ………………………….. ………………………….. ………….. 69
3.2 Analiza securității cibernetice în cadrul Societății S.C. Nuclear&Vacuum SA ……………… 72
3.2.1 Prezentare S.C. Nuclear&Vacuum SA ………………………….. ………………………….. …………… 72
3.2.2 Studiul de caz – Container iradiator ………………………….. ………………………….. ……………… 76
3.3 Strategie/Plan de implementare a securității cibernetice la obiectivul de infrastructură
critică în cadrul societății S.C. Nuclear&Vacuum SA ………………………….. ………………………….. . 78
CONCLUZII ………………………….. ………………………….. ………………………….. ………………………….. ……. 82
BIBLIOGRAFIE ………………………….. ………………………….. ………………………….. ………………………….. . 83
2
INTRODUCERE
”Ne vom construi relațiile în conformitate cu conceptul de securitate comună și
comprehensivă, ghidat de parteneriat egal, solidaritate și transparență. Securitatea fiecărui
stat participant este inseparabil legată de securitatea celorlalte state. Ne vom adre sa
dimensiunilor umană, economică, politică și militară ale securității ca la un întreg.”1
Încă d in timpurile străvechi , percep ția umană a avut ca ajutor toate acele personalități
pline curiozitate, care nu au luat niciodată pauză în a cerce ta, a-și pune întrebări, acestea
dezvoltându -și dorința în a privi spre necunoscut și imprevizibil . Fiecare generație a trecut prin
propriile sale schimbări, dileme, curiozități la care au avut nevoie de răspunsuri și, după cum
putem observa, și actuala generație pare nu a făcut excepție.
Având în vedere aceast detaliu , analiza asupra pericolelor și amenințărilor ce vizează
infrastructur a critic ă, caracterizează una dintre cele mai puternice provocări pentru societ atea
contemporan ă. Această provocare, dezvoltată întocmai de efectele globalizării (privită ca
„mega -tendință”) este sursa mai multor aspect e, cum ar fi creșter ea complexității și
interdependenței aflate î ntre sectoarele infrastructurii, importanța cea mai mare fiind a
pericolelor și amenințăril or asimetrice.
În cele mai multe dintre cazuri, consecințele s-au extins și în afara granițe lor țării aflată
în colaps datorită nivelului ridicat de fuziune al tuturor mecanismelor electronice, de
telecomunicații, control al traficului aerian, dar și al activităților concentrate pe transferurile
financiare, de transport feroviar etc.
Așa dar , din aceast punct de vedere , evoluția în continuă creștere a probabilității de
deteriorar e sau distrugere a infrastructurii critice s-a făcut remarcată, oarecum în țările mai
dezvoltate , fiind considerate o amenințare de natură strategic ă asupra mediului econom ic,
siguranței și sistemului de sănăt ate al cetățeanului, apărării naționale și a simbolurilor naționale
etc.
Instituțiile partizane precum OSCE, ONU, NAT O, UE vor să ajute la menținerea păcii
în întreaga lume, prin securitatea colectivă și pornesc de la premisa că pericolele pot apărea la
nivel intern și nu întotdeauna din exterior. Țările care dețin forțe armate propria, dar și alianțe
care să apere interesele commune, pot conviețui și în cazul unei securit ăți colective . Din
1 Weissberg, Matthew, Conceptualizing Human Security , în „Swords and Ploughshares. A Journal of International
Affairs” – online version http://www.american.edu, Spring 2003, Volume XIII, No. 1, pp. 3 -11 și Hampson, Fen
Olsen, Madness in the Multitude: Human Security and World Disorder , Ontario, Oxford Unive rsity Press, 2002,
http://www.oup.com
3
punctul de vedere al majorității se consideră că investi ția în mecanisme de tip colectiv nonstatal
care să ajute la restabilire a și menținere a securității , va aduce după ea dorit ori puterni și alianțe,
în special în această perioadă unde se fac căutări pentru securitatea post -hegemonică.
Proiectul de față are ca scop prezentarea securității cibernetice a infrastructurilor critice.
Primul capitol va dezvolta ideea de infrastructură critică, ce înseamnă, care sunt factorii
definitorii ai acesteia, și nu în ultimul rând, metodologia de analiză a influenței acesteia asupra
Securității Naționale. Orice discuție cu privire la siguranță, atât națională, cât și internațională ,
are ca subiect principal omul , securitatea umană cum o mai numesc specialiștii. Aceasta este
definite de o succesiune de drepturi și libertăți din cadrul Declarați ei Universal e a Drepturilor
Omului:
– drepturile individuale , din care fac parte
o dreptul la viață;
o recunoașterea în fața legii;
o protecția față de formele crude sau degradante de pedeapsă;
o protecția față de discriminarea rasială, etnică, sexuală sau religioasă etc.
– drepturile legale , din care fac parte;
o accesul la mijloacele legale de prevenir e a violării drepturilor fundamentale;
o protecția față de arestul arbitrar, detenție sau exil,
– libertățile civile , din care fac parte
o libertatea de gândire,
o conștiință
o religie,
– drepturile de subzistență , din care fac parte
o dreptul la hrană și la standardele fundamentale de sănătate și bunăstare,
– drepturile economice 2 , din care fac parte
o dreptul la muncă, odihnă și recreere;
o securitatea socială
– drepturile politice
o dreptul de a lua parte la alegeri și de a participa la guvernare.
Astfel că , ținând cont de natura drepturilor și libertăților, pot fi grupate și tipurile de
amenințări la adresa securității umane: individuale (violență fizică, crimă, accidente),
comunitare (opresiune, dezintegrare, discriminare), politice (represiune, tortură, viol area
2 Idem 1
4
drepturilor fundamentale), economice (sărăcie, foamete, lipsa condițiilor de locuire și de viață,
în general), sanitare (boli, condiții insalubre de trai) și ecologice (degradarea mediului, poluare,
dezastre naturale).
Astfel, ambele abordări, pe par cursul primului capitol, se orientează, în special
sectoarelor nonmilitare ale securității, iar ca și diferența principală dintre ele s e referă la mediul
obiectului de referință care a fost identificat în cadrul analiz ei de securitate. Ca și aspect
neorealist , securitatea umană este alăturată securității statului, ca obiect de referință echivalent
în teoria și practica de Securitate. De aceea se consider că analiza de securitate este interesată
de „soarta” colectivităților de natură uman ă. Acestea sunt formate din cetățeni a parținători
statului, astfel că statul se va considera obiect de referință în cazul securității. În același timp,
postmoderniștii și-au susținut ideea cu privire faptul că securitate statului a fost folosită, de cele
mai mu lte ori, de guverne în ideea de a camufla realitatea dar și de a ascunde adevăratele
probleme apărute în cazul securit ății naționale. D e fapt, acestea erau problemele ale regimului
și ale partizanilor săi, tocmai din acest motiv, abordarea prezentată a aju tat la promovarea
noțiunii de securitate umană.
Capitolul doi continu ă cu dezvoltarea conceptului de securitate cibernetică și
importanța acesteia în infrastructura critică. Vor fi detaliate metode de protecție a sistemelor
IT, pentru o bună desfășurare a activității tuturor instituțiilor private, dar și ale statului. Astfel
că, pe parcursul capitolului se vor prezenta factorii importanți care ajută la dezvoltarea continuă
a calității în cazul managementului sistemelor informatice precum :
– asigurarea securității sistemelor informatice pentru domeniul financiar;
– asigurarea sănătății;
– telecomunicații;
– furnizarea de soluții soft;
– activitatea organizațiilor guvernamentale precum și a celor non -profit și în
menținerea siguranței infrastructurilor critice
Concluzia de bază a capitolului doi se referă la s ecuritatea informației , care reprezintă
vectorul c are cuprinde la un loc axele considerate principale , precum:
– confidențialitate;
– integritate;
– disponibilitate.
În cadru ultimulu i capitol se va face o analiza la nivel de organizație industrial a
securitații cibernetice, cât de mult ajută la dezvoltarea unei companii industriale și cum
evaluăm necesitatea unei securități de acest tip. Studiul de caz va demonstra cât de important
5
este sa existe o bună coordonare între toate tipurile de securitate din cadrul companiei
industriale. Astfel că securitatea industrial ă este definită de ansamblul măsurilor de protecție a
tuturor informațiilor clasificate care aparțin domeniul ui industrial, care îndeplinesc funcții de
licitare licitarea, negociere și derulare a unor contracte ce conțin informații clasificate.
6
CAPITOLUL I – INFRASTRUCTURA CRITIC Ă. ELEMENTE CONCEPTUALE
RELEVANTE
Cunoașterea, sub orice formă a fost prezentată , în linii mari prin istoricul evoluției
factorilor militari, economici, tehnici și sociali care , ulteriori au fost neces ari conceptului de
„infrastructură critică”, și au reușit să pună în evidență principiile inițiale de dezvoltare a
civilizați ei umane.
Suntem în total acord cu valabil itatea ideii că primele scrieri care se refer ă la existenț a
unei categorii de obiecte care, prin dezvoltarea lor din viitor , au permis evoluția lor, în contururi
clare care definesc termenul de „infrastructură” și, mai ales că au fost descoperite încă din
vremea Imperiului Roman.
Cei care au evaluat și cercetat aceste variante de manifestare, în mod special în perioada
Antichității, ale noțiuni i de infrastructură, sunt în accord total de a recunoaște că „… una din
principalele cauze care a determinat existența îndelungată a Imperiului Roman, mai mult decât
a oricărui alt imperiu, o constituie conștientizarea importanței construirii unui sistem de
drumuri, fortificații, apeducte etc3”. Astfel au fost generați principalii ”factori de construcți i”
care au fost esențial i pentru a veni t în ajutorul sistemului militar, în dezvoltarea comerțulu dari
și pentru a asigurar a o transmiter e favorabilă a concepțiilor sau hotărârilor luate de către
instituțiile imperial e.
Evaluat contextul actual și generat de categoriile complexe și contradictorii ce definesc
fenomenul globalizării, au început să fie abord ate științific subiecte care, cu ajutorul unei
analize asupra variet ății și dinamic i tranhsform ărilor care sunt parcur se de lumea
contemporană, au reușit să lărgească destul de mult limitele ce definesc conținutul noțiunii de
infrastructură4.
1.1 Infrastructura critic ă – concept și elemente definitorii
Infrasctructura poate fi definită din mai multe puncte de vedere, astfel:
– Militar – „… ansamblul construcțiilor, lucrărilor, obiectivelor și amenajărilor care, prin
natura lor, … contribuie la valorificarea la cote maxime a capacității de luptă a tuturor forțelor,
3 John Keegan – Intelligence in War – the value and limitations of what the military can learn about the enemy,
Vintage Books of Random House Inc., New York, 2004, p. 10.
4 John Naisbitt – Megatendințe, Editura Politică, București, 1989, p. 315.
7
precum și la menținerea viabilității și fiabilității sistemului de apărare, a întregului potențial
economic și militar al României”5.
– Economică – „… sistemele de autostrăzi, porturi etc. care furnizează elementele
fundamentale ale funcționării unei economii.”6
– Academică – „… sistem de relații între elementele fundamentale ale unui
macrosistem”.7
– Informatică – „… rețeaua fizică folosită pentru a interconecta computerele și
utilizatorii”.8
– Socială – „… ansamblul sistemelor și rețelelor cuprinzând obiective industriale,
instituții de stat, de distribuție a produselor și serviciilor asigurând funcționarea guvernului la
toate nivelele cât și a societății ca întreg”.9
În urma unei analize a conținutul ui definițiilor inițiale , oferite elemtu lui denumit
infrastructură, se poate considera că factorii re marcați în de finirea acestora sunt:
– nivelul la care se face studiul fenomenului,
– contextul în care este folosit termenul,
– natura efectelor pe care le poate genera
– problemele de jurisprudență.
În cadrul dezbaterii „tradiționale” cu privire la redefinirea spațiului și rolului pe care îl
definește la momentul actual termenul de infrastructură în societate, crearea unui principiu nou
a definit o evoluție important ă, a cărui impact trebuiesă fie fundamentat conceptual.
Factorul declanșator l -a constituit conștientizarea existenței câtorva noțiuni despre
infrastructură care, în funcție de circumstanța în care se aflau, la un moment dat, cu posibilitatea
de a avea efect „critic” asupra mersului unei comunități locale, regionale sau a întregului stat.
De susținut faptul că procesul de transformare în profun zime , la nivel mondial, a
sectorului economic, social, militar și de securitate, după atacurile teroriste antiamericane din
11 septe mbrie 2001, și nu numai, au dus la definirea și implementarea operațională a
termenului de „infrastructură critică” de-a lungul câtorva decenii, în comparație cu cel care
defin ește infrastructur a de mai bine de 16 secole.
5 Cernăianu Adrian – Infrastructura teritorială. Concepte, componente, utilitate , București, 2003
6 Joseph E. Stiglitz și Carl E. Walsh – Economie , ediția a 3-a, Editura Economică, București, 2005
7 Dicționarul explicativ al limbii române , Editura Univers Enciclopedic, București, 1998
8 http:// Whatis.com
9 Critical Infrastructure Protection Concept Document, EAPC[CPC]WP[2003]3
8
Printre primele momente de stabilir e a caracterului „critic”, sub definiția de atribut al
unei infrastructuri în cazul unei situați i, s-a făcut remarcat în anul 1942.
Germanii au fost cei care au luat în consider are, iar realitatea a fost cea care a validat
această evaluare . Inefic ient a fost modul în care a fost c reată campania de bombardament pusă
în aplicare de englezi și americani în cazul infrastructurii Reichului, deoarece atacurile nu au
fost concentrat e pe eliminarea totală a „elementelor vitale” ale acesteia, c a în cazul :
– diguril or de pe Rin (din zona Ruhr),
– fabricile de rulmenți cu bile,
– facilităților de extracție a nichelului, cromului sau a celor de producere a petrolului
sintetic10.
Din acest motiv, în cazul producți ei de război a Germaniei , nu a scăzut, a fost într-o
continua creștere până în 1944.
A urmat un alt moment definitoriu în cee ace privește evoluția fenomenului , care s -a
constituit anul în 1962, în situația crizei rachetelor din Cuba , care a adus de la sine și
dificultățile în comunicare a dintre americani și ruși , datorită tehnologiilor de telecomunicații
inadecvate . Toate acestea au determinat crearea unui „fir ro șu” în cazul celor două părți
implicate , pentru a preveni reapariția altor crize asemănătoare .
Acela a fost moment ul în care sectorul telecomunicațiilor este considerat prim a
componentă de infrastructură „critic” în ceea ce privește securitatea națională și a înfluențat în
Statele Unite ale Americii demararea unei multitudini de activități de natură științific ă, care au
avut ca și scop final evaluarea posibilității a fectării și alt or elemente componente ce apațin
infrastructurii federale , în mod similar.
Mulțumită implicării unui număr în continua creștere de specialiști , proveniți din
diverse arii de activitate, într-o astfel de dezbatere, începând cu anul 1981, au ofetot
posibilitatea ca unele elemente componente ale infrastructurii naționale a Statele Unite ale
Americii să fie declarate ca elemete în stare critică și au devenit motiv de dezbatere publică11.
Ținând con t că, atât opinia generală a specialiștilor, dar și modul de întelegere la nivel
de populație, a fost faptul că în lipsă de investiții adecvate benefice pentru întreținerea și
dezvoltarea infrastructurii a produs degradarea, la un nivel destul de înalt , a lucrărilor la nivel
public, iar reacțiile din partea oficial ilor nu s-au lăsat așteptate.
10 Albert Speer – În umbra lui Hitler – memorii , vol.1, Editura Nemira, București, 1997.
11 Pat Choate and Susan M. Walter – America in Ruins , Durham, N.C.: Duke University Press, 1981.
9
După anul 199 0 s-a ”grăbit” , într-un mod catastrofal , procesul de definire a termenului
de „infrastructură critică”, ca și rezultat al modalităților de defini re și implementa re a unei noi
ordin i la nivel mondial . definind o nouă formă de răspuns potrivită tipurilor de manifestare a
pericolelor și amenințărilor ce au apărut în urma acelor timpuri de după terminarea Războiului
Rece .
În urma acestei accelerări, și-au pus amprenta o mulțime de crize care au scos la iveală
existența unor elemente ce țin de infrastructură , destul de vulnerabile în ceea ce privește
amenințăril e sub diferite aspecte și au scos în evidență faptul că deteriorarea sau distrugerea
acelor elemete definite, pot avea consecințe foarte mari, de natură negativă , cu privire la
sistemul de sănătate, cel de Securitate națională, respectiv prosperitatea din punct de vedere
economic în ceea ce privește cetățen ii, respectiv o funcționarea nor mală a guvernului.
Cea mai cunoscută formă de criză, pusă în evidență din cauza magnitudinii sale , dar și
a caracterului neconvențional al amenințării pe care a reușit să o gener eze, s-a desfășurat în
luna aprilie , 2007 și a generat efecte majore asupra sistemul cibernetic al Estoniei.
Deși era văzut ca fiind unul dintre cele mai sofisticate și bine puse la punct sisteme la
acest nivel din Europa, s-a produs un bloca j, la nivel de system, de mai bine de o oră , datorat
recepționării mai multor pach ete ce conțineau informații de mii de megabiți d in partea unui
”haker” ce, la momentul respectiv , nu s-a lăsat identificat. Colapsul provoca t la nivel de
infrastructur ă informatic ă a Estoniei , a dus la punerea în funcțiune a unor acțiuni care se
desfășurau în cascadă, pentru influențarea altor elemente care țineau tot de infrastructură,
acțiune care a dus la dezvoltarea sentimentului de panică în rândul populației.
Situația de mai sus a fost considerat primul atac cibernetic din istorie asupra unui stat
național, astfel că această criză constituie un studiu de caz în domeni ul atacurilor cibernetice,
în mod special pentru specialiștii din Alianța Nord -Atlantică și Comunitatea Europeană.
O analiză asupra acestui aspect este absolut necesară , mai ales dacă ținem cont că, în
doar câteva săptămâni mai devreme de a fi în plin ă bătălie cu Rusia, în luna august , anul 2008,
Republica Georgia a fost țara ce vroia a fi atacată cu ajutorul atac cibernetic metodic12.
În urma contextului mai sus analizat, se defin es 2 aspecte cu privire la subiectul tratat.
1. Aspect ce dezvolt ă subiecte cu privire la predominanța acțiunii cu ajutorul unor
criterii de identicicare a categoriilor ce comp un infrastructur a critic ă (resurse, servicii,
instalații, rețele, sisteme etc.).
12 *** Newsweek, sept. 1, 2008, p. 22.
10
2.Aspect ce vine în a reprezenta în mod accentuat faprul că existen tă un acord cu privire
la efectele acțiunii pericolelor și amenințărilor asupra infrastructurii critice.
Ținând cont de aceste conceptelor de securitate, dar și de amenințărilor p osibile, se vor
defini următoarele categorii, reprezentate în tabelul 1 .
Tabelul 1 Concepte contemporane de securitate și amenințările posibile
Categorii Obiectivul
amenințării Sursele
amenințării Valori
amenințate Subiectul
intervenției
Securitate
națională Securitate
militară
Securitate
politică
Securitate
economică
Statul Celelalte
state
Actori
non-statali Integritate
teritorială
Suveranitate
Statele
afectate
Securitate
societală
Securitate a
polisului
Națiunea
Migrația
Culturi
străine
State
instabile
Unitate
națională
Identitate
Statele
afectate
Societatea in
ternațională
Securitate
umană Securitate
economică
Securitate
alimentară
Securitate în
domeniul
sănătății
Securitate a
mediului
Securitate a
persoanei
Securitate
comunitară
Securitate a
expresiei
politice
Societatea
umană la
nivel
colectiv și
individual
Societatea
umană
State
instabile
Dezechilibre
sociale
Supraviețuirea
Calitatea
vieții
Tinând cont de problematica cu privire la acest e atacuri cibernetice cu cel mai înalt drag
de abstractizare, se pot definii elemente ale infrastructurii critice precum :
– nodurile infrastructurii (angajați, instalații, echipamente etc.);
11
– interacțiunile dintr e nodurile infrastructurii (de natură administrativă,
decizională, informatică etc.);
– interdependențele cu entități exterioare infrastructurii (politice, economice,
sociale, tehnologice, de securitate).
Configurarea infrastructurii se referă la definirea u nor avantaje precum :
– pune rea în evidență a aspectel or funcționale ale infrastructurii critice;
– evitarea disputel or generate de interpretarea diferită care este dată unor termeni
precum sistem, facilitate, circuite, fluxuri etc.;
– oferirea unei posibilit ăți în a folosi elemente mixte, calitative și cantitative, care să
ajute la identificarea sectoarelor și subsectoarelor
Figura 1 – Organizarea infrastructurii critice naționale
În schem a de mai sus , din figura 1 există posibilitatea în a observa elementele
componente ale infrastructurii critice , care au posibilitatea de a fi mai operant relaționate,
respectiv încadrate și analizate , dar și evaluate cu ajutorul celor cinci grupări principale de
servicii și produ se anexe. Acesta este necesar să aibă posibilitatea de a asigu ra:
– informații și comunicații;
– financiar -bancar;
– energetic;
– servicii umane vitale;
– distribuirea resurselor vitale supraviețuirii.
12
În privința protecției critice, datorită multitudinii de conotații atât de complexe și
diverse, noțiunea de a prote ja infrastructur a critic ă, definită prin mai multe modele de abord are
conceptual ă, după cum se poate observa în tabelul 2.
Tabel 2 – Tipologia abordărilor conceptului de protecție a infrastructurii critice
Tipul de abordare Concepția abordării Sursa abordării
tradițională
măsuri de reparații curente și
capitale ale infrastructurii Cf. Bradley Schiller – The Macro
Economy Today , ed. a 7-a, Von
Hoffman Press, New York 1997
structurală
reducerea vulnerabilității
elementelor de infrastructură *** Protection of Critical
Infrastructures – Baseline
Protection Concept.
Recommendation for Companies ,
Federal Ministry of the Interior –
www.bmi.bund.de
secvențială
asigurarea protecției totale a
sectorului considerat
fundamental pentru
infrastructura critică G. Alexandru și G. Văduva –
Infrastructuri critice. Pericole,
amenințări la adresa acestora.
Sisteme de protecție , Editura
Universității Naționale de
Apărare, București, 2006, p. 13
procesuală fenomen caracterizat prin
parcurgerea obligatorie a mai
multe etape Geord Bremnes – Vulnerability of
The Nordic Power System ,
EAPC/PfP Workshop, Zurich, 22 –
24 september, 2005.
Un mod foarte simplu de definire al protecției infrastructurii critice, de cele mai multe
ori lăsat liber de aproape toate țările cu activitpți care aparțin domeniu lui, va fi de identifica re
cu activitățile ce țin de întreținere, curente și capitale, ale acesteia.
La nivel cât mai larg , modalitatea de reducere a gradului de deteriorare al lucrărilor de
natură public ă, dar și menținerea credibilității acestora (poduri, drumuri, căi ferate, canale
navigabile, diguri și lucrările hidrotehnice etc.) reprezintă una dintre principalele preocup ări și
este indispensabilă oricărei guvernări.
13
Există și etape bine determinate ale procesului de asigurare a susținerii infrastructurii
critice, conform datelor din tabelul 3. Punctul slab al unei astfel de gândire îl reprezintă faptul
că are posibilitatea de a oferii , în principiu, sectorului din mediul informatic specific statului,
caracteristică cu drepturi deplin e în comparație cu celelalte ramuri care aparțin infrastructurii
critice la nivel naționale (energetic, transport etc.), fără a fi necesară o cercetare justificabilă în
punerea la dispoziție unui astfel de atribut .
Acest tip de abordare procesuală permite extragerea, cu imparțialitate maximă , în mod
special a ansamblu rilor de concepte, atitudini și activități c are definesc aptitudinea statului și a
asociației civile în asigura rea protecți ei infrastructurii critice. În acest mod, abordarea
procesuală care se ocupă cu protecției infrastructurii critice naționale se definește a fi un proces
în care caracteristicile specifice sunt:
– selectarea principiilor care fac aparțin infrastructur ii critic e;
– identificarea varietăților de pericole și amenințări ce poate să apară în cadrul fiecare
element al infrastructurii critice;
– estimarea impactului cu privire la pericole și amenințări;
– analiza riscurilor ;
– selecționarea și implementarea programului de protecție în cazul fiecărui binom
„element de infrastructură critică – tip de amenințare”;
– calculul rezultatelor în cadrul realiz ării feedback -ului.
Tabel 3 – Abordări procesuale ale protecției infrastructurii critice
Etapele procesului de asigurare a protecției
infrastructurii critice Sursa
1. identificarea elementelor critice ale sectoarelor;
2. determinarea pericolelor și amenințărilor;
3. analiza vulnerabilităților;
4. analiza riscurilor asociate amenințărilor și
vulnerabilităților;
5. aplicarea măsurilor de reducere a riscurilor.
United State Fire
Administration
1. analiza de sector;
2. analiza interdependențelor;
3. analiza de risc;
4. analiza amenințărilor;
5. analiza vulnerabilităților; Apud Dediu – Protecția
infrastructurilor critice o
nouă provocare , Sesiune de
comunicări științifice,
Universitatea Națională de
14
6. analiza consecințelor;
7. analiza sistemică. Apărare, București, 14 -15
aprilie 2005, p. 2
1. identificarea incidentelor și întocmirea scenariilor;
2. identificarea problemelor privind reducerea
vulnerabilităților;
3. aplicarea măsurilor de reducere a riscurilor. Geord Bremnes –
Vulnerability of The Nordic
Power System , EAPC/PfP
Workshop, Zurich, 22 -24
september 2005
Astfel putem lua în calcul faptul că asigurarea protecției infrastructurii critice se
amplifică în mod procesual, definit de o evolu ție periodică de manifestare. În figura 2 se poate
observa reprezenta rea unui procss ciclic care ne recomandă armonizarea funcționalității celor
4 moduri ale rețele lor fundamentale precum cele de aprovizionare, de clienți, care se ocupă cu
obligativitatea anumitor standard, dar și de cooperare a tehnologică , toate acestea pentru a reuni
toate resursele, a fragmenta cu adevărat riscurile și a perfecționa valoarea specifică bunurilor
și serviciilor care vin în posesia și ajutorul populației.
Figura 2 – Etapele principale în ceea ce privește procesul de asigurare a protecției
infrastructu rii critice
Procesul de descriere a ceea ce reprezintă ciclului procesului de asigurare în ceea ce
privește protecți a infrastructurii critice , ajută la clasificarea măsuri lor principale de protecție a
acesteia , ca și î n cazul datelor din tabelul 4 .
15
Tabel 4 – Clasificarea măsurilor de protecție a infrastructurilor critice
Criteriul folosit Măsuri de
protecție Sursa
durata de implementare
a măsurilor – permanente;
– temporare. http://europa.eu.int/eullex/LexUriServ/site/
fr/com/2004/com 2004_0702fr01.pdf
nivelul administrativ –
teritorial la care se aplică – locale;
– naționale;
– internaționale. *** National Strategy for Physical
Protection of Critical Infrastructure and
Key Assets, Homeland Security Agency,
february 2003.
poziția față de
infrastructura critică – interne;
– externe. *** Critical Infrastructure Protection
Concept Document,
EAPC(CPC)WP( 2003)3
segmentul de
infrastructură critică
analizat – de bază;
– speciale. Opinia autorului
Principalii factori care pot influența impactul asupra asigurării protecției la nivel
national și regional, în contextu l configurării noțiunii cu privi re la protecția infrastructurii
critice sunt reprezentați în tabelul 5.
Tabel 5 – Factori ce condiționează impactul asigurării protecției infrastructurii critice
Factori care condiționează impactul asigurării protecției
infrastructurii critice Efectul condiționării
dimensiunile fizice și complexitatea funcțională a elementelor
infrastructurii critice negativ
transmiterea efectelor prin fenomenul „în cascadă” negativ
parteneriatul sector de stat – sector privat bivalent
interconectarea infrastructurilor critice naționale bivalent
rolul esențial al statului de coordonator pentru măsurile de
protecție a infrastructurii critice
pozitiv
16
Influența factori lor mai sus prezentați se datorează, în primul rând , ideii de bază din
cauza căreia modalitatea de a asigura protecție trebuie abordată ca fiind o provocare pe termen
lung, din cauza mărimilor de natură fizică dar și a diversității funcționale caracteristice .13
De asemenea , prin creșterea interdependențelor dintre modulele infrastructurii critice,
datorate și racordării lor cu ajutorul unor sisteme și rețele informatice, a dus la creșterea
probabili tății că în momentul în care un sector este afect at, să influențeze rapid și celelelalte
sectoare adiacente, acest efect purtând denumirea de transmitere „în cascadă , după cum se
poate observa în figura 3.
Se dorește evidenț ierea faptul ui că printr -o defec țiune la nivel înalt a unei componente
din cadrul sectoru lui energe tic, poate să dezvolte defecțiuni semnificative și în cadrul sectorul
de telecomunicații sau în interiorul sectorul ui financiar -bancar, în sectorul transporturilor , etc.
Nu în ultimul rând , acțiunile ce se desfășoară în cadrul unui sector ce aparține
infrastructurii naționale critice are posibilitatea de a influența elemente importante care sunt
aparținătoare infrastructurii critice a statelor vecine, în timp ce se interconec tează rețele de
telecomunicații ale fiecăreia dintre ele. Un alt elem ent considerat a fi influențat este alimentare
cu energie, a piețelor de capital sau de control al traficului aerian , după cum se poate observa
și în figura 3
Figura 3 – Efectul în cascadă generat de sectorul de comunicații asupra altor sectoare ale
infrastructurii critice
13 Philip E. Aue rswald and contributors – Seed or Disaster, Roots of Response. How Private Action Can Reduce
Public Vulnerabili ty, Cambridge University Press, 2007, enumeră elementele principale ale infrastructurii critice
americane: 5.8000 spitale, 300 porturi mari, 3,2 miliarde km cabluri de telecomunicații, 66.000 uzine chimice,
104 centrale nucleare, 460 zgârie -nori, 80.000 baraje, 5.800 monumente istorice etc.
17
În cazul structurii intern e, concluzia cea mai des prezentată de specialiști14 este aceea
care se referă la faptul că elementele componente ale infrastructurii naționale sunt, aproximativ
integral critice, cel puțin din punctul de vedere al câtorva motive esențiale precum :
– aparțin unei economi i gigant, inflexibil ă și foarte greu adaptat abilă sistemului
economi c, al cărei funcții nu au fost încă nici lichidate, nici ameliorate;
– sistemul economi c, alături de societatea românească, per ansamblul, se găsește într-
o stare de haos, care este, cel mai adesea, specifică perioadelor de lungă durată și
repeti tive de tranziție.
1.2 Riscuri, amenintari și vulnerabilități. Impactul acestora asupra infrastructurii
critice
Pusă în prim plan, cea mai mare provocare cu care se luptă din plin în acets moment
omenirea, problematica cu privire la securit atea național ă, a ajuns să sufere modificări în
profunzime încep ând cu secol XXI. Potrivit mai multor informații actuale , această dezvoltare
esențială se întâmplă și datorită „apariției unei societăți mondiale, pentru prima oară în evoluția
unei specii înarmate și, tot pentru prima oară, având cunoștințele și mijloacele necesare pentru
a se autodistruge”15.
Raportat la solicitările mediului de securitate, va fi prezenta tă estimarea din punct de
vedere cantitativ în cazul principalelor concepte de conținut c are a u în prim plan securitatea
națională, după cum se poate enumera:
– identificarea pericolelor și amenințărilor specifice;
– identi ficarea și optimizarea contribuției fiecărui „actor” din spațiul de securitate;
– analiza eficienței implementării politicii de securitate națională;
– construirea unui consens național;
– creșterea încrederii, îmbunătățirea cooperării regionale și internațional e.
Cercetarea unor astfel de perspective de acțiune dorește să evidenț ieze cele mai
importante două caracteristici a ceea ce înseamnă securitate a națională:
14 G. Alexandru și G. Văduva – Infrastructuri critice. Pericole, amenințări la adresa acestora. Sisteme de
protecție , Editura Universității Naționale de Apărare, București, 2006 și Aurel David – Definirea
„infrastructurilor critice” și necesitatea elaborării unui glosar de termeni , Conferința „ Protecția infrastructurii
critice. Roluri și re sponsabilități ”, București, 10 mai 2007.
15 Edward A. Kolodziej – Securitatea și relațiile internaționale , Editura Polirom, București, 2007.
18
– formatul obiectiv ( se referă la existenț a de natură fizică în cazul unor pericole și
amenințări);
– formatul subiectiv ( face refer ire tipul de atitudinea , dar și percepția populației în
privinbța evoluți ei mediului de securitate).
Ținând cont de elementele active ale formatului subiectiv, se pot defini patru stări , după
cum se poate observa în figura 4 .
Figura 4 – Influența percepției amenințărilor la nivelul populației
Se poate spune că acest mod de a aborda cele mai sus menționate, poate sprijini factorii
decizionali ai domeniu lui din care fac parte, în încercarea de a realiza o alocare de resurse
rezonabile , care să e lucidez e crearea unor reacții de „falsă securitate” , respectiv de „obsesie”16
Cu privire la noțiunea de risc sau amenințare, s unt definite variate abordări, date în concordanță
cu metodologia sau filozofia ce va ajun ge să o definească , în contextu l în care sunt cazuri când nu se
reușește să se precizeze clar un reper de înțelepciune ce va defini privilegiul de criteriu universal.
În legătură cu cele precizate, descoperirea semnificației semantice a acestor teme este corelată la
natura situațiilor la care fac referire acestea, după cum se poate observa în tabelul 6, unde se
încearcă ”definirea” termenului de amenințăr e..
16 Marian Zulean – Armata și Societatea în tranziție , Editura Tritonic, București, 2003, p. 118 -121.
19
Tabel 6 – Definirea termenului de amenințare
Amenințarea reprezintă …
Perspectiva de abordare
„… o situație, întâmplare sau primejdie
care pune sau poate pune în pericol
existența, integritatea cuiva sau a ceva.” *** Dicționarul explicativ al limbii române ,
Editura Univers Enciclopedic, București, 1998.
„… un pericol direct, orientat, care
vizează un anumit sistem, un anumit
proces, o persoană, o țară, o alianță, un
proces etc.” G. Alexandru și G. Văduva – Infrastructuri
critice. Pericole,amenințări la adresa acestora.
Sisteme de protecție , Editura Univ ersității
Naționale de Apărare, București, 2006.
„… orice eveniment care are potențialul
de a provoca avarierea sau distrugerea
infrastructurii critice.” ***Critical Infrastructure Protection Concept
Document , EAPC(CPC)W(2003)3.
„… orice circumstanță sau eveniment
având potențialul de a avaria sau distruge
infrastructura critică sau orice element al
acesteia.” *** The European Council Directive for critical
infrastructure protection identification, COM
(2006)787 final.
„… materializarea ori exprimarea intenției
de materializare, deliberată sau
accidentală, a unui risc la adresa securității
naționale a României.” *** Legea securității naționale a României
(proiect).
Este definit și un orizont tipologic destul de dinstinctiv, al riscurilor și amenințărilor în
privi nța infrastructur ii critic e, rezultat al numărului mare de categorii care ar putea fi luate în
considerare , și private ca un rezultat al unui spectru bine dezvoltat al evoluți ei politice, sociale,
economice și informaționale la nivel de present și viitor , după cum sunt prezentate și în tabelul
7.
20
Tabel 7 – Tipologia pericolelor și amenințărilor la adresa infrastructurii critice
Criteriul de clasificare
Tipuri de pericole și amenințări
relația dintre proprietățile
specifice pericolelor și
amenințărilor – simetrice;
– asimetrice.
natura efectului pericolelor și
amenințărilor – cu efecte directe asupra infrastructurii critice;
– cu efecte indirecte asupra infrastructurii critice.
viteza de dezvoltare a pericolelor
și amenințărilor – critice;
– sensibile;
– moderate.
poziționarea pericolelor și
amenințărilor față de elementul de
infrastructură – externe;
– interne.
după sfera de cuprindere acțională
a pericolelor și amenințărilor – nivel guvernamental;
– autorități locale;
– sector privat;
– populație.
forma de manifestare a pericolelor
și amenințărilor – pericole și amenințări
– dinamice;
– pericole și amenințări statice.
sursa de generare a pericolelor și
amenințărilor – pericole și amenințări generate de evenimente
naturale (exogene);
– pericole și amenințări generate de evenimente
de natură tehnologică (endogene);
– pericole și amenințări generate de atacuri
teroriste, acte criminale s au acțiuni militare.
tipul elementului de infrastructură
critică – pericole și amenințări fizice asupra elementelor
fizice de infrastructură;
– pericole și amenințări asupra elementelor
cibernetice ale infrastructurii.
Aceste criterii de clasificare pot fi prezentate ținând cont de:
21
– locația elementelor de infrastructură;
– caracteristicile bine definite ale fiecăr ei componentă de infrastructură;
– modul de a se manifesta în fața pericolelor , respectiv amenințărilor;
– aria care cuprinde acți unea principala care va determina viitoarele pericole , dar și
amenințări;
– funcția de definire a apariție i și dezvolt ării pricolelor , respectiv amenințărilor.
În cadrul Uniunii Europene, greutatea cu care se poate defini o clasificare a riscurilor
și amenințărilor comune, în raport cu existența un ui număr mare de particularitățile specifice
la nivelurile naționale17, a dezvoltat o nouă manieră de a aborda, și anume la recomandarea ce
ajută la definirea unor căi de clasificare ce vor ajunge să cuprindă:
– toate amenințările;
– toate amenințările, dar în mod special cele care au legat ură direct ă sau indirect ă cu
conceptul de amenințarea teroristă;
Dezvoltare a ideilor, ipotezelor sau afirmațiilor cu privire la formele specifice de acțiune
a pericolelor și amenințărilor la adresa infrastructurii critic e naționale ne dau voie să
eviden țiem, potrivit cu criteriul cauzei create , a unei anumite tipologii specifice a acestora,
astfel:
– efect ul de cascadă , reprezin ă perturbarea în cazul unei compone nte a infrastructurii
care perturbă buna funcțion are a altei componente, aparținătoare aceluiași sector al
infrastructurii;
– efect ul de escaladar e, care reprezintă perturbarea în cazul unei componente a
infrastructurii care a ajuns la nivelul de a perturba o componentă a altui sector al
infrastructurii ( durata de întorcere și refacere în cazul unei infrastructuri va crește
din cauza perturbării alte infrastructuri);
– efect ul de cauză comună , reprezintă dereglarea simultană în cazul a două , respectiv
mai multe componente aparținătoare infrastructurii critice c are sunt rezult atul
aceleiași cauze.
Există încă o abordare în cazul clasific ării efectelor provocate de pericole și amenințări le
cibernetice, care ține cont , în mod special de ținta supus ă acțiunii, respectiv în cazul elementelor
componente din cadrul unui sector, în ceea ce privește populați a care profită de serviciile și soluțiile
oferite de un astfel de departament sau asupra componentelor unui sector de tip secundar cu ajutorul
elementelor compon ente aparținătoare sectorului primar.
17*** Green Pap er on a European Programme for Critical Infrastructure Protection, COM (2005) 576 final.
22
Din același punct de vedere , stabilirea tipurilor de forme specifice ce țin de definire a
pericolelor și amenințărilor este considerate fundamentală în cazul aleger ii măsurilor de
monitorizare, înștiințare, alarmare și pregătire corespunzătoare, reprezentate în figura 5. Fazele
de natură operațional ă sunt definite de o dinamică curentă a conjucturii în ceea ce privește
amenințăril e, care poate ajunge la nivelul de a modifica, în tr-un timp scurt, p osibilitate a de
afirmare al acestora.
Figura 5. Fazele opera ționale ale protec ției infrastructurii critice
Pornind de la constatarea că orice componentă a infrastructurii critice deține cel puțin
trei elemente componente de bază18 – componenta interioară, componenta exterioară și
componenta de interfață – se apreci ază faptul că dinamica transformărilor și m odificările
acestora depind de tipologie proprie de exprimare a unei multitudini de factori proprii , precum :
– dezvoltarea tehnologică în cadrul sectorul ui de infrastructură d e care aparțin ;
– gradul de integralitate, flexibilitate și adaptabilitate a procesului pe care îl susține ;
– dezvoltarea ca și punct de desfacere a factorilor care prezintă ambianța în care
activează .
18 Grigore Alexandru și Gheorghe Văduva – Infrastructuri critice. Pericole, amenințări la adresa acestora.
Sisteme de protecție , Editura Universității Naționale de Apăr are, București, 2006.
Prevenire
Răspuns – dezvoltare
Identificare – detecție
Avertizare
50
100
10
5
0
Probabilitatea apariției amenințării (%)
Impact
amenințare
23
Din ace st mod de prezentare , se apreci ază că evoluția și desfășurarea pericolelor și
amenințărilor în cazul infrastructurilor critice este direct dependentă , în viitor în mod special ,
de situații împărțite în puțin trei c ategorii :
– lipsa de mișcare datorată locației în cazul majorit ății elementelor de infrastructură
critică;
– extinderea sectorului de dezvoltare a vulnerabilităț ii infrastructurii critice;
– natura imprevizibi lă a riscurilor c are poate duce la afecta rea infrastructur ii critic e.
În acest caz , sectorul infrastructurii critice a cărui dezvoltare modelează, în mod
evident , evoluția pericolelor și amenințăr ilor, pe termen lung, este sectorul informatic.
Privind globalizarea din perspectiva dezvoltării IT, Graig Mundi, manager la Microsoft,
promova ideea conform căreia „…un popor care nu poate profita de pe urma acestui lucru,
pentru că este lipsit fie de infrastructură, fie de educație, atunci, mai devreme sau mai târziu,
acest popor ajunge la ananghie” 19
Mergând pe aceeași filiație de idei, Brian Behlendorf afirma: „…noi trebuie să
construim instrumentele și infrastructura astfel încât un individ – din India, China sau de
oriunde –, …să poată colabora. Noi facem posibilă dezvoltarea pe verticală, de jos în sus, și nu
numai în ciberspațiu” 20
Principial, aceasta reprezintă viziunea unei platforme globale, sprijinită de Web, care
să ajute indivizii, gru purile, companiile și universitățile să colaboreze, având drept scop
sporirea bogăției și puterii celor care vor avea cele trei calități de bază pentru aceasta:
infrastructura de a se conecta la platformă, educația de a determina tot mai mulți oameni de a
inova utilizând platforma respectivă și puterea de a lua ce este mai bun din ea, reducându -i
defectele.
Din perspectiva evaluării pericolelor și amenințărilor în privința acestui modul al
infrastructurii critice, oamenii de specialitate sunt în tr-un total acord în cazul apreci erii că cele
mai ipotetice ținte, de viitor, vor fi următoarele:
– hacking -ul va rămâne connsiderat o profesie;
– atacurile cibernetice apar întotdeuna mai repede decât patch -urile;
– dificultatea structurii rețelelor reprezintă un a din punctele slabe esențiale în cazul
sistemelor informatice;
– punctul de sfârșit al sistemului definește punctul critic al acestuia;
19 Thomas L. Friedman – Pământul este plat – scurtă istorie a secolului XXI , Editura Polirom, București, 2007 p. 283.
20 Idem p. 102.
24
– auditurile în ceea ce privește securitate a cibesnetică vor deveni obligatorii;
– dilemma despre cum „protejăm utilizatorul sau protejăm de utilizator” va rămâne
actuală, pe termen lung.
O încercare deloc accesibilă , dacă se ține cont și de dinamica și diversitatea
fenomenelor și proceselor caract eristice primul ui deceniu al secolului XXI unde, din cauza
influenței actelor de natură economică, socială și tehnologică, evoluțiile naționale ar putea avea
efecte cu caracter regional sau global21.
Din cauza unor astfel de percepții diferite de la un caz la altul și a multitudinii proceselor
de desfășurare , metodologia de a descrie vulnerabilit atea infrastructurii critice diferă în funcție
de nivelul viziunii abordate, dup ă cum se poate observa în tabelul 8 , dar și c lasificarea acesteia
precum în tabelul 9.
Tabel 8 – Definirea vulnerabilității infrastructurii critice
Vulnerabilitatea infrastructurii critice
Perspectiva de abordare
„ …o caracteristică a unui element al proiectării
infrastructurii, punerii în aplicare sau operare, care -l
face susceptibil la distrugere sau incapacitate de către
un pericol.” *** Critical Infrastructure
Protection Concept Document,
EAPC(CPC)WP(2003)3.
„ …caracteristicile sau dependențele unei instalații,
sistem, mijloc sau aplicație informatică ce -i pot cauza
degradarea în funcționare sau distrugerea ca rezultat al
acțiuni i unei amenințări sau hazard de o anumită
intensitate.”
*** The European Council
Directive for critical infrastructure
protection identification, COM
(2006)787 final.
„ …elemente de stare concretizate în zone, domenii,
instalații, structuri, proceduri, informații și personal cu
nivel ridicat de favorizare a u nor amenințări.” Gheorghe I. și Urdăreanu T. –
Securitate deplină , Editura UTI,
București, 2001.
21 Alan Greenspan – The Age of Turbulence , Penguin Group (SUA) Inc., New York, 2007, p. 2 – 3, afirmă că
vulnerabilitatea ridicată a sectorului financiar -bancar în cazul incapacitării infrastructurii fizice a sistemului
electronic de efectuare a plăților a SUA, a determinat punerea la punct a unu i sistem alternativ, care să poată
prelua transferurile de bani în cazul unui atac de amploare (nuclear, terorist etc.).
25
Tabel 9 – Clasificarea vulnerabilităților infrastructurii critice în viziune sistemică
Criteriul de clasificare
Tipuri de vulnerabilități
Sursa clasificării
capacitatea de a suporta
efectele amenințărilor
externe sau interne – vulnerabilități globale cu efect
indirect asupra infrastructurii
critice;
– vulnerabilități specifice cu efect
direct asupra infrastructurii
critice.
*** ochagva@un.org
natura vulnerabilităților – de natură umană;
– de natură organizațională;
– de natură IT. Bundesverband deutscher
Banker – Management von
Kritischen Infrastrukturen ,
2004.
nivelul riscului – vulnerabilitate înaltă;
– vulnerabilitate medie;
– vulnerabilitate redusă.
opinie personală
segmentul de activitate
analizat – de proces;
– fizice;
– informaționale;
– de personal. Gheorghe Ilie și Urdăreanu
Tiberiu – Securitate
deplină , Editura UTI,
București, 2001.
În mod clar se poate observa că utilizarea unei singur e categorii de repartizare nu
descrie o rezolvare holistică, care să aibă posibilitatea de a fundamenta măsurile de diminuare ,
respectiv înlăturare a vulnerabilităților.
Regrupând cât mai în ansamblu informațiile din domeniu puse la dispoziție ,
vulnerabilitățile sectorului informatic se pot grupa în grupări considerate ca fiind esențiale ,
pecum :
– Operating Systems (Sisteme de operare);
– Cross -Platform Applications (Platforme inter -aplicații);
– Network Devices ( Elemente de rețea);
– Security Policy (Politică de securitate);
26
– Special Section (Secțiune specială).22
Trecerea în revistă a vulnerabilităților ce aparține fiecărei grupări, evidenț iază opinia
destul de bine cunoscută potrivit căreia acestea reprezintă unul dintre acele situații critice de
mare importanță pentru totalitatea grupărilor infrastructurii critice (Anexa nr. 1).
Analiza de risc se descri e ca fiind o modalitate sistematică pentru identificare a și
evaluare a vulnerabilităților, astfel că stud iile care au fost analizate și efectuate în cazul
rezilienței infrastructurii unei comunități în cazul efectel or amenințărilor , este fundamental în
cazul oricărei investigați i foarte amănunțite a domeniului.
Către această direcție a fost dirijată și cea mai potrivită modalitate de descriere a
relați ei risc-vulnerabilitate din p unctul de vedere al scopului pe care l -am propus23, are structura
sistemică: RISC = AMENINȚARE – CAPABILITĂȚI.
Astfel că , uniformitatrea informației demostrează că reducerea vulnerabilităților
reprezintă o condiție total necesară în privința modului de reducere a riscului, pentru a asigura
posibilitatea noastră ca operatori, de manipulare a desfășurării amenințărilor să fie, cu
siguranță, foarte scăzută .
Unul dintre cele mai sofisticate tipuri de analiză cantitativă a vulnerabilităților, cu
privire la departamentele infrastructurii critice, este cel elvețian. Acest tip analiză ia în calcul
verificarea următoarelor etape:
– identificarea sectoarelor infrastructurii critice;
– analiza caracteristicilor de funcționare a acestora;
– identificarea interdependențelor dintre sectoare;
– întocmirea spectrului amenințărilor;
– elaborarea scenariilor;
– analiza impactului vulnerabilităților, conform scenariilor prezentate;
– planificarea, organizarea și implementarea măsurilor de reducere a riscurilor.
Generalizând aceste considerente primare, cele mai importante vulnerabilități care
aparțin infrastructurii critice în România, cuprind următoarele :
– proceduri operaționale standardizate de control inexistente sau inadecvate;
22 Steward D. Personick and Cynthia A. Patterson – Critical Information Infrastructure Protection And The Law:
An overview of Key Issu es, National Research Council of the National Academies, Personick and Patterson
Editors, Washington D.C., 2003.
23 Donald Snow – National Security for a New Er a, Pearson Longman, New York, 2007. Trebuie făcută mențiunea
potrivit căreia prin capabilități se înțeleg măsurile posibile și necesare reducerii vulnerabilităților.
27
– proiectarea elementelor de infrastructură fără luarea în considerare a mecanismelor
de apărare adecvate evoluției amenințărilor;
– acces neautorizat la sistemul de control al elementelor de in frastructură;
– posibilitatea folosirii unor canale de comandă și control neautorizate;
– lipsa mijloacelor de detecție pentru raportarea rapidă și ușoară a activităților
nelegale sau a anomaliilor.
1.3 Metodologie de analiz ă a protec ției infrastructurii crit ice. Influen ța strategieie
naționale de Securitate
În cadrul efortul ui de a reuși identifica rea și defini rea, cu privire la sectorul
organizațional a reperel or de natură procesual ă și/sau funcțional ă, uzuale și solicitate pentru
definir ea unui sistem la nivel național care să fie rațional și eficient, dar și să gestioneze corect
realiz area unui proiect în „protecția infrastructurii critice” .
Pentru a se concretiza în cadrul unei evaluări manageriale de tip unitar pentru această
noțiun e, este ne cesară organizarea etapelor de a atinge scopurile finale ce se dorește a fi
obținute . Astfel se asigură claritate în aria normativă și acțională a factorilor ce ajută la
identificarea natur ii legăturii în imagina ția manage rului.
Intrarea României într -o nouă etapă a dezvoltării sale istorice, marcată de procesul de
adaptare la cerințele Uniunii Europene, constituie o premisă fundamentală de reconsiderare a
funcționalității componentelor socio -economice care o caracterizează.
În acest sens, prin contri buția pe care o aduce la obținerea unui standard de viață ridicat,
abordarea problematicii infrastructurii critice naționale, din punct de vedere organizațional, se
constituie ca o necesitate cu caracter imperativ.
Procesul care constă în menținerea protecției infrastructurii critice, în cele mai eficien te
și oportune condiții , raportat la ccomplexitatea structurilor economice, sociale, politice și
informaționale la momentul de față , cer de la sine descrierea scopurilor , strategiilor și
structurilor orga nizatorice în baza de date analizat ă, în scopul utilizării raționale l, în întregime,
a claselor de resurse.
În situația în care obținerea acestor deziderate ajută oamenii sa devină uniți indifferent
de diferențe care țin de cunoaștere și calificare, devine absolut necesar modul de expunere a
problematicii protecției infrastructurii critice din punct de vedere managerial.
28
Considerat a reprezenta o nouă funcție socială24, managementul, din punct de vedere
fenomenologic, a evoluat, într -un timp relativ scurt25, spre o fizionomie integrativă și
interdisciplinară, ocupând o poziție centrală în asigurarea funcționării, dezvoltării, consolidării
și adaptării la schimbare, a oricărui tip de organizație, inclusiv din sectorul terțiar (universități,
spitale, asociații culturale, religioase sau de asistență socială, organizații neguvernamentale
etc.).
Pentru a evidenția raționamentul cu privire la stabilirea pilonilor continuumului care țin
de protecți a infrastructurii critice, se consideră necesară definirea unei asemănări cu o etapă
similar ă, datorat ă identific ării pilonilor continuumului managementului urgențelor civile,
precum cele din tabelul 10.
Tabel 10 – Pilonii con tinuumului managementului urgen țelor civile
Pilonii con ținuumului
managementului urgen țelor civile Perspectiva de abordare
– dezvoltare
– pregătire
– înștiințare și alarmare
– intervenție
– reabilitare Niculae Steiner și Radu Andriciuc – Elemente
fundamentale ale managementului crizelor și
urgențelor civile din perspectiva protecției
civile , Editura MPM Edit Consult, București
2004.
– prevenire
– protecție
– limitarea și înlăturarea efectelor
distructive
– restabilirea serviciilor funcționării
societății *** Organizarea și realizarea măsurilor de
protecție civilă – Culegere de lecții ,
Editura M.A.I., București, 2003.
– prevenire
– protecție
– limitarea și înlăturarea efectelor
dezastrelor și conflictelor armate Ion Popa și colectivul – Pregătire în domeniul
prevenirii și intervenției în situații de urgență ,
vol. I, partea a II -a, Editura NIC VOX,
București, 2005.
24 Peter F. Drucker – Realitățile lumii de mâine , Editura Teora, București, 1999, cap. 15, p. 231 -223.
25 Din 1776 și până în 1867, nici unul din marii economiști ai acestei perioade (Adam Smith, Karl Marx, Robert
Malthus, David Ricardo, John Stuart Mill, Alfred Marshall etc.), nu a intuit necesitatea abordării științifice a
actului de conducere.
29
– reducerea vulnerabilităților
– pregătire
– răspuns
– refacere *** Emergency Management Course On -line,
School of Administration Studies, York
University, 2006.
– limitarea vulnerabilităților
– pregătire
– răspuns
– refacere *** Office of Critical Infrastructure Protection
and Emergency Preparedness – Towards a
National Disaster Mitigation Strategy,
Discussion Paper , Canada, January 2002.
– reducerea riscuri
– pregătire
– răspuns
– refacere *** Critical Infrastructure Protection Concept
Document , EAPC(CPC)WP(2003)3.
– reducerea riscurilor
– prevenire
– protecție
– intervenție pentru limitarea și
înlăturarea efectelor dezastrelor și
conflictelor armate
*** Legea nr. 481 din 8 noiembrie 2004 privind
protecția civilă (face referire la situațiile de
urgență).
În mod similar, raportarea unui întreg sistem de situații c lare, detaliate și a numeroase lor
situații de contact de natură funcțional ă, care ajută la definirea procesul ui în care se asigur ă
protecți a infrastructurii critice, au generat la nivel internațional, o gamă destul de diversificată
de abordări din punct de vedere numerologic , al denumirii dar și bazei pilonilor acesteia
conform tabelului 11 .
Tabel 11 – Pilonii continuumului protec ției infrastructurii critice
Pilonii continuumului protecției
infrastructurilor critice Sursa abordării
– protecție
– detecție
– răspuns
– reabilitare *** Critical Infrastructure Protection and
Civil Emergency Planning Workshop:
New Concepts for the 21st Century –
Concluding Remarks , Stockholm,
november 17 -18, 2003.
30
– prevenire și avertizare
– detec ție
– reacție
– managementul crizelor Manuel Suter – A Generic Framework for
Critical Information Infrastructure
Protection , Zurich, august 2007.
– prevenire
– răspuns
– refacere
– pregătire *** Homeland Security Presidential
Directive 8:
National preparednees , Homeland
Security Agency, March 31, 2005.
– prevenire
– pregătire
– managementul crizelor
– refacere *** Center for Security Studies and
Conflict Research, ETH Zentrum –
Comprehensive Risk Analysis and
Management Network (CRN) , Zurich,
2006.
– pregătire
– avertizare
– răspuns
– refacere *** The Clinton Administration's Policy on
Critical Infrastructure Protection:
Presidential Decision Directive 63 , May
1998.
– prevenire
– detecție
– răspuns Danilo Bruschi și Lorenzo Valeri –
Fostering on -line trust and protection
critical infrastructures through
information sharing , Critical
Infrastructure Protection Workshop,
Frankfurt, 29 -30 septembrie, 2003.
– conștientizare și prevenire
– diseminarea informațiilor și soluțiilor
– analiza situației și avertizare timpurie
– rețele avansate ale infrastructurii critice
– măsuri tehnice/organizatorice Willi Stein și Bernhard Hammerli –
Atelier de lucru: Protecția infrastructurii
critice și planificarea urgențelor civile ,
Elveția, 09 -11 septembrie 2004.
– protecție și detecție
– răspuns și refacere *** Critical Infrastructure Protection
Concept Document ,
EAPC(CPC)WP(2003)3.
31
Din p unct de vedere procesual, scopul, obiectivele specifice, caracteristicile și
principiile protecției infrastructurii critice, ce au fost descrise anterior, se folosesc în cazul
focalizării diferitelor părți care aparți n activități lor ce confirmă îndeplinirea finalităților dorite.
Aceste activități considerate principale, care se defin esc prin sintagma „funcțiile
managementului”, au reprezentat tema principală de abordare a unei dispute de natură teoretic ă
în ceea ce privește numărul, denumirea și conținutul acestora26, după cum se poate observa în
tabelul 12.
Tabel 12 – Funcțiile managementului
Funcțiile managementului Sursa abordă rii
Prevedere – organizare – comandă – coordonare – control Henry Fayol
Adoptarea deciziei – organizarea – staffing (folosirea resursei
umane) J. L. Massie
Planificare – organizare – conducere – control R. L. Daft
Previziune – organizare – coordonare – antrenare – evaluare –
control Ovidiu Nicolescu
Prevedere – organizare – antrenare – reglare – control –
evaluare Ioan Mihuț
Planificare – organizare – implementare – control – conducere Malcolm Peel
Previziunea – organizarea – motivarea sau comanda –
coordonarea – controlul – menținerea și dezvoltarea unui
climat de muncă Constantin Pintilie
Planificare – execuție – control H. B. Maynard
Planificare – organizare – staffing – conducere – raportare –
bugetare L. Gulick
Previziune – organizare – decizie – antrenare – coordonare –
control – evaluare – reglare Tatiana Gavrilă și
Viorel Lefter
26 Cosmin Marinescu în „Instituții și prosperitate. De la etică la eficiență ”, Editura Economică, București, 2003
– explică diferența dintre termenii de funcție și funcțiune printr -o paralelă, privind diferența dintre termenul de
organizație (care reprezintă regulile jocului) și cel de instituție (reprezentând jucătorii).
32
Singur a convingere , ce a reușit să se dezvolt e din concluziile autotilor precizați , o
reprezintă multitudinea interpretărilor cu privi re la divizarea unor acțiuni care, ca summum,
reprezintă același lucru .
Cantonat inițial exclusiv în domeniul militar27, noțiunea care definește strategie a intrat
în limbajul de specialitate începând cu secolul XX . Utilizarea acestuia a fost extins ă în diverse
și complexe domenii, de la nivel global, regional și comunitar, până la cel individual (Tabelul
13).
Tabel 13 – Defini ții ale conceptului de strategie
Strategia Perspectiva
de abordare Sursa abordării
„… o parte componentă a artei militare,
care se ocupă cu pregătirea, planificarea
și ducerea războiului și operațiilor
militare.”
academică *** Dicționarul explicativ al limbii
române , Editura Univers
Enciclopedic, București, 1998
„… știința planific ării și conducerii
operațiunilor militare.”
militară *** Webster's New World
Dictionary of the American
Language , New York, Popular
Library, 1973
„ …un proces voluntarist de fixare de
obiective, de determinare a mijloacelor
și resurselor necesare pentru a le atinge,
de definire a etapelor de parcurs pentru
a le realiza.”
managerială
Thiétart R. A. – Le Managemént ,
Collection Encyclopedique, Que
sais-je?, Paris, 1991.
„… o asociere a resurselor în scheme
integrate de acțiune, în vederea
obținerii avantajelor concurenței bine
evidențiate și atingerii obiectivelor
urmărite.”
corporatistă
Karol Bent – La stratégie des
Affaires , Les Presses du
Management, 1990.
27 Pornind de la izvoarele istorico -lingvistice ale conceptului (în jurul anului 508 î.e.n. Clisthene numește pe șefii
unităților militare ca strategi, iar în sec. I e.n. apar primele lucrări de referință: „ Strategemato s” a lui Frontinus și
„Strategicos logos ” de Onosandros) termenul cunoaște actualmente o diversitate de forme: strategie economică, de
afaceri, politică, a teoriei jocurilor, corporatistă, de dezvoltare, a timpului liber, a comunicării etc.
33
„… un plan de acțiune pe termen lung
proiectat să realizeze un scop specific.” enciclopedică
Wikipedia
„… ansamblul obiectivelor majore ale
organizației pe termen lung,
principalele modalități de realizare,
împreună cu resursele alocate, în
vederea obținerii avantajului
competitiv potrivit misiunii
organizației.”
organizațională
O. Nicolescu și I. Verboncu
„… procesul de identificare a
scopurilor, obiectivelor și principiilor
privind asigurarea securității
infrastructurii critice naționale și a
mijloacelor cheie vitale pentru
securitatea națională, guvernarea,
economia, siguranța și sănătatea
publică.”
protecția
infrastructurii
critice
*** The National Strategy for The
Physical Protection of Critical
Infrastructures and Key Assets ,
February, 2003.
Analizând importanța acestor tendințe, în momentul de față tratarea probleme i poate fi
rezumată în cinci structuri semantice fundamentale28:
– strategia c u privire la un plan de acțiune, care poate asigur a trecerea organizației de
la starea sa actuală la o stare viitoare dorită;
– strategia ca model, ce determină un summum de acțiuni definitorii în plan
comportamental;
– strategia ca poziționare a organizației, privind identificarea locului, rolului și
specificității organizației în mediu l său de activitate;
– strategia ca perspectivă de dezvoltare, conform unei percepții a realității reflectată
într-un comportament acțional specific.
Cu ajutorul unei contribuți i considerabilă va aduce de la sine, realizarea legăturii la
nivel social, a creșterii economice, a stabilității și unității politice, termenul de securitate și -a
28 Henry Mintzberg – The Rise and Fall of Strategic Plan ning, Basic Books, 1994.
Alte formulări interesante pot fi găsite la George Steiner – Strategic Planning , Free Press, 1994 – sau la
Michael Porter – What is Strategy? , Harvard Business Review, noiembrie -decembrie 1999
34
extins periodic aria de acoperie , de la nivelul existenței individului până la cel al civilizației
umane în gener al (Figura 6).
Figura 6. – Piramida nivelurilor de Securi tate
În cazul acestei schimb ări de perspectivă, consecință directă ce aparție interconectării
termenilor de specialitate, „securitate” și „dezvoltare durabilă”, reprezintă contactul direct al
factorilor militari, politici, economici, sociali și de mediu, de la stadiul de cetățe an până la cel
global.
”Această reprezentare multiformă a determinat apariția a noi direcții interdisciplinare
de investigare științifică privind noțiunea de securitate, încadrate generic în termenul de
„noosferologie”29
Acest act de trecere de la un domeniu la altul , începând cu securit atea național ă care
este raportată exclusiv la competențele sale militare , dar și la evaluarea caracteristicilor
economice, sociale, culturale și ecologice care de scriu mediul de securitate con temporan, a
reprezentat factorul determinant în definirea strategiilor de protecție a infrastructurii critice
ce aparține ideii de Securitate la nivel național .
Prevalența argumentării conform căruia este clar precizat că eficiența aparținătoare
oricărei strategii de securitate națională , trebuie să gasească soluția optimă de a se exprima , în
descrierea sa la cel mai înalt nivel , prin stabilitate politică, prosperitate economică, protecție
29 Teodor N. Țîrdea – Sinergetică , aliniaritate, autodezvoltare. Calea spre știința postneclasică. Chișinău, 1998,
p. 31 -39, definește noosferologia ca „… teorie general științifică a supraviețuirii omenirii.”
35
ecologică și concretizarea siguranței cetățean ului, a înfățișat ideea de „protecția infrastructurii
critice” ca fiind una dintre cauzele fundamental e ale securității naționale.
Prezența firească , în privința asigur ării protecției infrastructurii critice prezintă un tipar
de măsuri care vor fi luate pe ntru a impune protecți a, de asemenea va complet a prezența
mijloacelor utilizate pentru a protej a persoane și proprietăți , de o multitudine de pericole și
amenințări, care țin de securit atea infrastructurii critice.30
Aderarea României la Alianța Nord -Atlantică, din 2004, și confirmarea aderării la
Uniunea Europeană, începând cu ianuarie 2007, au de finit o recalibrare a factorilor de
securitate în cadrul unei noi planificări a securit ății național e.
Manifestare a în cazul acelei politici constructi ve care se bazează în mod deosebit , pe
evaluările cu privire la prevenire a riscurilor , dar și ale amenințărilor ale sectorului de securitate,
Planul ce privește siguranța națională adoptat în anul 2006 , dezvoltă suprafața de referință a
terminologiei analizate cu ajutorul înadr ării, ca și temă al acestuia, individul, comunitățile și
organizațiile la nivel internațional în care statul român este prezent .
În prim plan este recunoscut ă ierarhizarea pericolelor și amenințărilor de natură non –
convențional ă, printre care amintim terorismul, proliferarea armelor de nimicire în masă,
conflictele regionale, criminalitatea transfrontalieră, dezastrele naturale și amenințările de
mediu.
Prin dezvoltarea unui astfel de document rigid , tipologia de pr ezentare și analiză a
protecției la nivelul infrastructurii critice, c ea din urmă fiind considerată componentă care
aparține securit ății național e, este definit și într -un mod destul de extins, ideatic și practic.
Astfel se dedică , în mod implicit, miciunea și poziț ionarea protecției infrastructurii critice în
cadrul securității naționale ca representant. „o direcție prioritară de acțiune pentru realizarea
obiectivelor prezentei strategii de securitate națională…”.
În lipsa unor studii de cercetare clare, opțiunea de a alege între tranzacționarea unei
strategii cu privire la asigurarea protecției în cadrul infrastructurii critice și dezvoltarea
diferitelor sisteme de implementare a protecției infrastructurii critice componentă în stra tegia
națională, sunt definite ca fiind neclare. O a naliză asupra acestui aspect este cu atât mai
necesară dacă se va ține cont de etapa, încă la început, de rezolvarea acestui tip de problem ă la
nivel național, atât din punctul de vedere al aspectel or teoretice, cât și practice.
30 http://www.britannica.com
36
Începând cu cercetarea fenomenelor care au posibilitatea de a justific a utilizarea
atributului „strategic”31, observația este că un ul dintre fenomenele de la cel mai înalt nivel ale
oricărui model de strategie lipsește, respectiv entitatea organizațională care ar trebui să aibă
posibilitatea de a asigur a implementarea, monitorizarea și evaluarea acesteia32, ne influențează
în a aprecia că prin crearea unei strategii pe această temă reprezintă, pe termen scurt și mediu,
un act prematur.
Alternativa determinată, în spațiul național, de proliferarea și devalorizarea continuă în
cazul determinărilor strategice33, dar și de lipsa relativă în ceea ce privește programel e de
implementare a acestora.
Luând în considerare stadiul de început cu privire la tratarea problemei la nivel intern,
determinările strategiei naționale de securitate cu privire la protecția infrastructurii critice sunt
de ajuns pentru dezvoltarea unor programe de implementare a acestora.
Proiectele care ar trebui să aibă posibilitatea de a asigur a măsurile de protecție necesare
pentru:
– întărirea capacităților guvernamentale de a acționa preventiv;
– întărirea capacităților de a menține ordinea publică și de a asigura livrarea bunurilor
și serviciilor esențiale populației afectate de avarierea infrastructurii critice
naționale;
– susținerea moralului populației și a încrederii în instituțiile noastre economice și
politice.
Această alternativa a programe lor de implementare ce includ protecția infrastructurii
critice, ca documente de politici publice, în schimbul dezvoltării unei strategii care aparțin
domeniu lui și asigură o evoluție conceptuală și practică a ceea ce înseamnă termenul de
infrastructură critică în congruență cu strategia naționa lă de securitate.
31 Elementele care justifică folosirea atributului „strategic” sunt: existența unei entități organizatorice bine
definite, cu un grad satisfăcător de autonomie funcțională, care -l poate operaționaliza; definirea clară a unui scop
și direcțiilor de acțiune, în corelare cu existența unor factori calitativi și cantitativi ce determină atingerea stării
viitoare dorite a entității organizaționale.
32 Atribuirea gestionării problematicii în discuție Inspectoratului General pentru Situații de Urgență, în postura de
coordonator la nivel național a totali tății aspectelor privind infrastructura critică, nu poate reprezenta decât o
rezolvare ad -interim.
33 Deprecierea sau percepția greșită a ideii de strategie este confirmată de apariția unor documente ca Hotărârea
Guvernului nr.362/1998 pentru aprobarea Strategiei de privatizare a societăților comerciale pentru anul 1998 ,
unde orizontul de timp strategic se reduce la un singur an.
37
Soluț ia declarată utilă cu ajutorul utilizări planurilor de urgență, la nivel local, înlătură
înmulțirea în mod excesiv a planurilor din cadrul sectorului ce deține managementul situațiilor
de urgență, precum sunt prezentate în tabelul 14 .
Tabelul 14 – Tipologia planurilor din domeniul managementului situațiilor de urgență
Tipuri de planuri Perspectiva de abordare
Planuri specifice *** Hotărârea Guvernului nr. 1491 din 9 septembrie
2004 pentru aprobarea Regulamentului -cadru
privind structura organizatorică, atribuțiile,
funcționarea și dotarea comitetelor si centrelor
operative pentru situații de urgență.
Planurile de urgență internă și externă *** Hotărârea Guvernului nr. 95 din 23 ianuarie
2003 privin d controlul activităților care prezintă
pericole de accidente majore în care sunt implicate
substanțe periculoase.
Planuri de apărare ce cuprind:
– planurile de analiză și acoperire a
riscurilor;
– planurile de intervenție și cooperare ***Ordinul Ministerului Transporturilor,
Construcțiilor și Turismului nr. 1995/1160 din 18
noiembrie 2005 pentru aprobarea Regulamentului
privind prevenirea și gestionarea situațiilor de
urgență specifice riscului la cutremure și/sau
alunecări de teren.
Planul local de asigurare cu resurse
umane, materiale și financiare pentru
gestionarea situațiilor de urgență;
Planurile de protecție civilă;
Planurile operative și de pregătire pe
linia protecției civile;
Planuri de cooperare.
*** Legea nr. 481 din 8 noiembrie 2004 privind
protecția civilă
Planuri de apărare ce cuprind:
– planuri de intervenție;
– planuri de înștiințare -alarmare a
populației;
– planuri de evacuare a populației în
***H.G., 762/2008 pentru aprobarea Strategiei
naționale de prevenire a situațiilor de urgență.
38
cazul situațiilor de urgență;
– planuri de asigurare logistică în
cazul situațiilor de urgență.
Se apreciază că o bună armonizare a caracteristicilor ce aparțin celor două tipuri de
planuri prezintă oportunitatea în cazul redactării unui plan de urgență singular în situații le de
criză , pornind de la premiza că atât în cazul protecți ei infrastructurii critice, cât și în cazul
situațiil or de urgență , sunt fragmente componente ale aceluiași într eg, respectiv fracțiuni ale
managementului crizelor.
Ca probă suplimentar ă în ceea ce privește ideea de unificare, cu ajutorul unui cadru
legislativ unitar, dar și a pregătirii protecției infrastructurii critice și a situațiilor de urgență.
Numai astfel , planurile de urgență care au în prim plan protecția infrastructurii critice
au posibilitatea de a realiza legătura dintre posibilitățile acționale prezente și incertitudinile
viitorului.
Acțiunea planurilor de urgență ca și treaptă a elementelor din cadrul infrastructurii
critice naționale garantează o conexiune necesară implementării strategiei în domeniu, între
cee ace înseamnă programe de protecție până la procedurile operaționale standardizate care au
posibilitatea de a indica și prezenta ansam blul regulilor de executare a acțiunilor planificate.
Aceast tip de punere în evidență a funcției operatorii ca și modalitate metodologică, cu
ajutorul mijloacelor specific mediului managerial , în ceea ce privește protecția infrastructurii
critice , a fost formalizată în cadrul unor proceduri operaționale standardizate34, care grupează
elementele acționale de referință în ansambluri algoritmice coerente.
Prolificitatea utilizării acestor proceduri operaționale standardizate în diferite forme și
domenii (militar, economic, financiar -bancar, legislativ etc.) reprezintă, în baza sa procesuală,
un tip de diminuare a variațiilor cauzale deosebite care diminuează eficiența acțională35
Procedurile din punct de vedere operațional standardizate, cu ajutorul reglement ării în
cadrul unor consecințe executate corespunzător cu scopul de a obține rezultate așteptate în
circumstanțe aproximativ identice care se definesc alternativ, iar ca și rezolvare în privința
34 În conformitate cu locul procedurilor operaționale standardizate în cadrul concepției manageriale, vezi figura
28, p. 167.
35 Richard Stup – Standard Operating Procedures: Managing the Human Variables , Pennsylvania State
University, National Mastitis Council Regional Meeting Proceedings, 2002.
39
aprecierii modului în care orice tip de organizație se va conform a legilor, reglementărilor și
normelor care sunt asociate efectuării activității sale cu ajutorul scalării reușitei realizate.
Prin solicitarea acestor proceduri operaționale standardizate va definii o formă de
responsabilizare la nivel de societate , pentru fiecare operator și proprietar ce aparține unui
mediu, componentă a infrastructur ii critic e.
Responsabilizare socială este, fără îndoială, folositoare protecției în posibilitatea de
menținere a unui mediu de securitate de lungă durată și oarecum stabil, pornind de la nivel de
societa te și terminând cu cel individual.
Din această punt de vedere , procedurile operaționale standardizate se vor alcătui ca o
soluție optimă care își aduce aportul la asigurarea unui mediu de normalitate civică, ajustată să
fie benefică situațiil or operative care sunt generate de mediul de securitate distinctiv fiecărei
faze a dezvoltării țării noastre.
Recapitulănd toate informațiile de mai sus , sa ajuns la concluzia că procedurile
operaționale standardizate constituie codificarea componentei finale în cadrul procesului
etapizat de implementare a metodologiei de securitate la nivel național în cadrul domeniul
protecției infrastructurii critice.
Alegere efectuată în mod firesc și necesar, pentru că metoda de bază a managementului
protecției infrastructurii critice este reprezentată de managementul calității totale, iar cea din
urmă este bazat ă pe folosirea cumulativă , dacă nu exhaustivă, a procedurilor operaționale
standardizate.
Acest mod de a aborda provoacă un salt calitativ, de la uzuala hârtie care conține, pas
cu pas, detalii mecanice de îndeplinire în cazul unei operații, la procesul de tip creativ de
valorificare prin cooperare, a aptitudinilor tuturor celor implicați în îndeplinirea unui rezultat
particular.
Prin a ceasta se confirm ideea conform căreia exploatarea avantajelor pentru a folos i
proceduril e operaționale standardizate în consolidarea protecț iei infrastructurii critice se poate
efectua numai prin o nouă abordare a problemei, aceasta fiind văzută ca un proces transparent,
ce se bazează pe consensul părților interesate.
În conjunctur a specificată și acordată de absența aproximativă a oricărei preocupări la
nivel intern privind cercetarea fondului ideatic caracteristic termenului de procedură
operațională standardizată, ciclul acestui proces de proiectare cuprinde patru faze (Figura 7).
40
Figura 7 – Caracterul procesual al procedurilor opera ționale standardizate
Cercetarea în ansamblu în cadrul literaturii de specialitate di n afara granițelor, ne
determină a lua în considera că, în precizarea principiilor care trebuie să conducă studierea în
totalitate a acestor faze, trebuie demarat de la protejarea și respectarea următoarelor directive
de bază :
– să aibă posibilitatea de a se încadr a în prevederile legislației la nivel intern , dar și
extern care sunt în vigoare , cu privi re la domeniul la care ne referim ;
– să aibă posibilitatea de a asigur a interoperabilitatea sistemului ce asigură protecția
infrastructurii critice , alături de structurile la nivel intern și/sau internațional avizate
în domeniu;
– să aibă posibilitatea de a corespund e, cel mai concret , situațiilor la nivel operativ
care pot să apără;
– să aibă posibilitatea de a fi corelate cu necesarul de bază disponibil în momentul
aplicării lor;
– să aibă posibilitatea de fi folosite , împreună cu cadrul exercițiilor, aplicațiilor,
simulărilor etc.
Selecția optimă a modalită ților de evaluare cantitativă și calitativă, care au pricinuit
adoptarea un ui răspuns în această etapă a procesului, este pusă în evidență de răspunsurile
obținute în cadrul următorului set de problematici fundamentale:
” – care este scopul elaborării p rocedurii operaționale standardizate ?
– cum vor fi monitorizate rezultatele relativ la performanța dorită ?
– ce tip de feedback este dorit pentru a măsura eficiența adoptării procedurii
operaționale standardizate ?
– ce format trebuie să aibă procedura dorită ?
– cum pot fi identificate și antrenate, în elaborarea procedurii operațional
standardizate, toate persoanele afectate de acestea ? ”
41
Soluțiile acestor întrebări se constituie, cu ajutorul unei evaluări realiste și
comprehensibile a mărimii și amplitudinii necesității de a realiza toate procedurilor
operaționale standardizate, ca temei pentru a permite trecerea la etapa de elabor are procedurii
operaționale standardizate.
Diminuarea diferenței din punct de vedere clasic între caracteristicile de securitate care
sunt reprezentative mediului intern , dar și a celui extern a inflluențat apariția cerinței în cazul
reorganiz ării sistemel or de protecție deja definite , de la modul de acțiune reactiv la cel proactiv.
Altfel spus, dacă se ține cont de asigurarea protecției infrastructurii critice la nivel
național, se va efectua tipul de trecere de la strategiile instituționalizate c e au caracter static la
strategiile orientate dinamic, spre procesualitatea fenomenului.
Procesualitate descrisă , în reperele sale de principale , prin alegerea modalităților de
aplicare a programelor de protecție identificate ca elemente cheie d e concretizare a strategiilor
în domeniu.
Altfel spus , în cazul în care proiectarea unui mecanism la nivel national, declarant a fi
eficient în ceea ce privește gestionare a totalității activităților caracteristice unui domeniu bine
definit, reprezintă o necesitate absolut necesară , ca factor definitoriu pentru implementarea
scopului și obiectivelor strategice care definesc viziunea manage rială care se ocupă cu
asigurarea protecției infrastructurii critice36.
În lipsa unui astfel de mecanism, coordonarea politicilor de asigurare a protecției
infrastructurii critice, punerea în funcțiune a programelor, stabilirea resurselor necesare și/ sau
existente , aprcierea performanțelor și a altor probleme care sunt gestionate de entitățile
manageriale direct implicate devine, dacă nu i realizabil , în mod sigur un randament îndoielnic.
Mai ales dacă se ține cont de faptul că funcționalitatea unei sch eme de tip
organizational, unificat ă și clar ă în privința separării rolurilor și atribuțiilor conceptelor
manageriale din care este compu să, va permite atât planificarea și organizarea intersectorială a
elementelor componente ce aparțin infrastructurii cri tice cât și posibilitatea de a evalua
rezultatele obținute.
Din punct de vedere manage rial strategic, rentabilitatea implementării oric ărui tip de
strategi e, inclusiv cea din cadrul securității naționale evaluate a fi un proces sistematizat adresat
focalizării instituționale, este garantat de riguarea cu care se efectuează analiz a de tip
36 George Moldoveanu – Analiză și comportament organizațional , Editura Economică, București , 2005, p. 19,
consideră că, din punct de vedere practic, alegerea unei configurații organizaționale inițiale este obligatorie pentru
derularea oricărui proces inductiv.
42
multicriterial și folosite pentru a ierarhi za opțiunilor existente , în raport cu diferite criterii
specifice prestabilite.
Acel model de a naliză multi criterială care asociaza tehnicile de investigare în cazul
mediului în care activează conceptele manageriale ca re au posibilitatea de a asigur a
introducerea programelor de protecție – analiza factorilor externi tip PEST – cu acele concept
care au posibilitatea să scoată în evidență ”punctele tari și punctele slabe aparținătoare
organiz ării și funcțion ării acestui model de mecanism de implementare, oportunitățile și
amenințările la adresa acestuia – analiza factorilor interni tip SWOT ” – (Figura 8).
Figura 8 – Procesul managementului strategic
În cadrul aceluiași context, ”Sistemul Național pentru Managementul Situațiilor de
Urgență oferă o abordare organizațională de tip analitic, diametral opusă modelului sistemic
deschis ce definește managementul protecției infrastructurii critice ” (Tabelul 15 )37.
Tabelul 15 – Modalități de abordare organizațională
Abordarea analitică Abordarea sistemică
– concentrare pe entitățile interne;
– insistă pe interacțiunile interne;
– sprijin pe precizia datelor;
– utilizarea cauzalității lineare;
– relație lineară cauză -efect;
– viziune prin disciplină. – concentrare pe interacțiunea dintre
entitățile interne;
– insistă pe interacțiunile sistem -mediu;
– se sprijină pe o percepție globală;
– cauzalitate circulară;
– viziune pluristic discipl inară.
37 George Moldoveanu – Analiză și comportament organizațional , Editura Economică, Buc urești, 2005, p. 289.
43
În urma celor prezentate pe parcursul capitolului, se poate observa că amenințările în
privința infrastructurii critice se translatează cu precădere , la nivel strategic, întâmplare care
evidențiază destul de mult necesitatea implementării programelor de protecție sectoriale.
Analiza din punct de vedere calitativ , prezentată mai sus justifică , în mod clar,
necesitatea de a include entităților manageriale protecția infrastructurii critice ca și elemente
componente ale Sistemul ui Național de Management al Crizelor.
Sistem Național de Management al Crizelor care, prin idealul său de structură cu privire
la asigurarea protecției valorilor fundamentale din cadrul societății, se afirmă ca fiind tiparul
organizațional indispensabil în cazul reușit ei oricărui tip de efort strategic adecvat asigurării
protecției infrastructurii critice naționale și europene, raportat la solicitările specifice mediului
de securitate prezent și viitor.
44
CAPITOLUL II – SECURITATEA CIBERNETICA SI IMPORTANȚA ACESTEIA ÎN
PROTECȚIA INFRASTRUCTURII CRITICE
După cum s -a mai precizat pe parcursul proiectului, criminalitatea informatică
reprezintă o preocupare în continuă dezvoltare , traficul de carne vie devine, pe zi ce trece, tot mai
amplu și mai”performant” , crima organizată transfrontalieră se dezvoltă sub noi forme, iar cu
privire la terorism, acesta ră mâne la stadiul de a menințare la adresa securității.
Acestă zonă dinamică și c omplexă, trece printr -o continuă evoluție și transformare,
rămâne zona cea mai des cercetată deoarece trebuie analizată pentru ca utilizarea ei să fie
reglementată, cu mențiunea ca aceasta să nu afe cteze în nici un fel ”drepturile și libertățile
fundamentale ale cetățenilor, precum și posibilitățile enorme de dezvoltare ale acestora ”.
Trebuie să se țină cont de faptul că nu este ușoară dezvoltarea zonei cibernetice și, mai ales, este
necesar să existe e forturi susținute și perseverente, în mod deosebit din partea autorităților
interesate. Ar trebui să existe și o accesibilitate clară și transparentă care să nu stârnească rea cții
de tip negativ în cadrul populației.
Având în vedere informațiile cu privire la infrastructura critică, la concept în sine, dar
și la funcțiile, caracteristicile și vulnerabilitățile ace steia, capitolul doi va cruprinde informații
cu privire la securitatea cibernetică, dar și importanța acesteia în protecția infrastructurii critice.
2.1 Exploatarea mediului operațional cibernetic
Conceptul de „spațiu cibernetic” a fost creat la nivelul anului 1982 de William Gibson
cu ajutorul unei narațiuni de mici dimensiuni, Burning Crome , apoi a fost evidențiat în anul
1984 în romanul său de debut Neuromancer . În cadrul exprim ării cotidiene , acestă noțiune de
spațiu cibernetic, a fost ” inaugurat” la începutul anilor 1990, în același timp cu producția
platformei World Wide Web, pe întelesul tuturor, www…
Crearea și prezentarea unei definiții concrete a spațiului cibernetic a fost și es te o
sarcină destul de dificilă. Există o mulțime de explicații care definesc acest concept care diferă
de la expresii destul de complexe la fraze foarte simpliste. În anul 2005, în cadrul
Departamentului Apărării al SUA/ DoD s-au pus în evidență faptul că spațiu l cibernetic a
devenit „al cincilea domeniu de luptă, alături de cel terestru, maritim, aerian și spatial ”,
acesta fiiind considerat cel mai recent și apreciat ”domeniu”, care intră în componența
bunurilor comune globale.
45
Asemni tuturor bunuri lor comune, abordabilitatea nerestricțonată nu poate fi
îngrădită, spațiul cibernetic se consideră că reprezintă un teatru de operații care se dezvoltă de
la o zi la alta, dar mai ales, un domeniu ce va fi contestat, de fiecare dată în cazul unor conflicte
viitoare. Punerea în valoare a acestuia se face ajutorul operațiunilor de război, mai ales că are
capacitatea de a veni în ajutorul concurenței prin puterea de a controla sau comanda as upra
bunurilor comune globale.
Spațiul cibernetic este într -o strânsă conecsiune cu o multitudine de date asemănătoare ,
precum și cei care au luat naștere virtual,cum ar fi în mediu online sau spațiu digital care, în
strânsă legătură, au creat un mecanism conceptual relativ proaspăt și controversat . Analiza a
reușit să evidențieze faptul că, o dată cu trecerea timpului, în concordanță cu fenomenul de
structură cibernetică, în sine, s-a maturizat în extensie, profunzime și nuanțe, și a ajuns să
genereze o mulțime de aspecte cu privire la analiza acesteia în cazul definițiilor și t eoriilor
spațiului cibernetic.
Diversitatea abordărilor în ceea ce privește descrierea conceptului de ”structură
cibernetică”, reprezintă principalul „obstacol în crearea acordurilor comune între state ” în
privința modului de colaborare sub rezoluția tuturor a spectelor legale cu privire la acesta.
Ținând cont de toate abordările luate în considerare, se va aprecia ca fiind indicată descrierea
unei noțiuni de tip unitar care să dețină configurațiile comune ale noțiunii .
În acest moment , spațiul cibernetic este considerat ca fiind „coloana vertebrală a ceea se
numește Societatea Cunoașterii ”, creată asemeni unui mediu, în care introducerea de noi
tehnologii este necesar să fie realizată proporțional cu soluțiil e de natură juridică ce reprezintă
punerea în ordine a efectelor de tip negative, aparținătoare impactului utilizării TIC.
Mediul cibernetic a ajuns să evolueze, în timp, într -un mediu global și omniprezent
care cuprinde întreaga susținere a societ ății, de la simpli consumatori la corporații și guverne,
toți creând o dependență de cone csiune și acces are rapid ă, „costul de intrare ” fiind forte redus.
Spațiul de natură cibernetică reprezintă acel mediu creat cu ajutorul interacțiunii a trei
componente diferite: fizic (hardware), virtual (software și date) și cognitiv (persoane) .
Realitatea fi zică/hardware, care aparține spațiului cibernetic, este compusă din
substructuri tehnologice ale rețelelor interdependente, care sunt compuse dintr -o mulțime de
echipamente informatice.38 Componenta virtuală este cea care deține zona de s oftware –
38 De la routere, fibre optice și c abluri transatlantice, turnuri de telefon mobi și sateliți, la computere, telefoane
inteligente și, în cele din urmă, orice dispozitiv care conține procesoare integrate, cum ar fi rețelele de energie
electrică.
46
sisteme de operare, aplicații, firmware, precum și date/ informații re zidente pe echipamentele
hardware.
Configurația umană, urmată de cea cognitivă reprezintă componenta principală,
situată la”finalul” mediului cibernetic, descris de persoanele care au o strânsă legătură cu
mediul online , dar și între ele, astfel că orice persoană p oate să fie reflexivă, multiplicativă sau
anonimă. Utilizatorii mediului cibernetic au posibilitatea de fi considerață actori statali sau
non-statali (cum ar fi utilizatori, hackeri, criminali sau teroriști). Mediul cibernetic este
consiferat ca fiind unul dintre puținele domenii, daca nu singurul, în care absolut toate
elementele puterii naționale – diplomatic, informațional, militar și economic – au posibilitatea
de a fi exercitate, în același timp, prin coordonarea datelor și ec hipamentelor de acces. Există o
înclinare pentru a stârni reacții în lanț, chiar și la nivelul incidentelor modeste39, care are
posibilitatea de a modifica major ecuațiile de putere și stabilitatea întregului mediu.
Astfel că infracțiunea este caracteristică spațiului cibernetic spre deosebire de
apărare. Sistemelor informatice și rețelele su sistemul de apărare bazat pe protocoale destul de
sensibile și structure informatice deschise, iar în cazul regulilor de apărare care sunt
predomin ante, este axată pe d escoperirea în timp util a amenințărilor și nu pe eliminarea
informațiilor sensibile40. Agresiunile la nivel cibernetic se desfășoară rapid , astfel că apărarea
va fi pusă sub o presiune imensă .
În plus, conceptul de războiul cibernetic este foarte des utilizată, acest lucru
determinând ca semnificația pe care acesta o are să fie ambiguă și c ontroversată. Cond ițiile
fundamentale în privința unui război sunt reprezentate de existența agresorului cibernetic,
definit ca fiind un actor statal, respectiv vor existe pagub e de natură material ă sau victime, care
cor fi destul de dificil de pus în evidență.
Spațiul cibernetic a devenit unul dintre „cele mai complexe aspecte juridice” ale
zilelor noastre , pentru că determină existența unei multitudini de utilizatori, pornind de la
oamenii obișnuiți, continuând cu organizații, companii private și instituții publice. În ceea ce
39 „Comunitatea internațională trebuie să fie conștientă de faptul că o mică încăierare cibernetică ar putea fi
precursorul unui conflict cibernetic major, care ar putea declanșa un angajament c inetic regional, care va avea
repercusiuni internaționale”, John Bumgarner, Chief Technology Officer, US Cyber Consequences Unit, Jane’s
Defence Weekly , 29 septembrie 2010.
40 Richard A. Clarke & Robert K. Knake, Cyber War: The Next Threat to National Security and What to do About
it, New York, Ecco, 2010, pp. 103 -149
47
privește activitatea pe care aceștia o au în mediul online , este clasată cu ajutorul ramurii legislative
la nivel cibernetic .
În Strategia de Securitate Cibernetică a României, acest areal cibernetic este
„mediul virtual, generat de infrastructurile cibernetice, i ncluzând conțin utul informațional
procesat, stocat sau transmis, precum și acțiunile derulate de utilizatori în acesta”41. Se
consider c ă aceast tip de descriere „nu curprinde partea hardware a s pațiului cibernetic,
respectiv echipamentele componente ale infrastructurilor cibernetice ”.
Secu ritatea cibernetică reprezintă una dintre cele mai importante componente ale
securității naționa le, datorată mai ales faptului că un atac efectuat cu ajutorul computerului devine
tot mai periculos și ușor de efectuat. Dacă se va ține cont de zona de bani și logistică, atunci ia în
considerare, cu priorita te structura a căror disfuncționalitate, și temporară dacă este cazul , ar
putea avea efecte destabilizatoare asupra securității naționale. Provocăril e angajate în aceast
concept se referă la modalitatea de gestionare a riscurilor, amenințărilor și vulnerabilităților prin
crearea și dezvoltarea unor strategii la nivel de securitate ample , dar și a unor planuri clare și
concise de implementare.
Securitatea cibernetică reprezintă „ starea de normalitate rezultată în urma aplicării
unui ansamblu de măsuri proactive și reactive prin care se asigură confidențialitatea,
integritatea, disponibilitatea, autenticitatea și nonrepudierea informațiilor în format
electronic, a resurselor și serviciilor publice sau private, din s pațiul cibernetic. Măsurile
proactive și reactive pot include politici, concepte, standarde și ghiduri de securitate,
managementul riscului, activități de instruire și conștientizare, implementarea de soluții
tehnice de protejare a infrastructurilor cibernetice, managementul i dentității, manag ementul
consecințelor”. 42
În Dicționarul Webster, securitatea cibernetică este definită ca „totalitatea măsurilor
luate pentru a proteja un computer sau un sistem de computere (ca pe Internet) împotriva
accesului neautorizat sau atacului” .
Ținând cont de faptul că securitatea cibernetică s-a dezvoltat de la stadiul de disciplină
tehnică la ceea ce reprezintă acum, concept strategic, se poate observa că datorită atacuril or
cibernetice c are au posibilitatea de a afecta securitatea la nivel național, cei direct implicați, si
anume liderii naționali , ar trebui să își deschidă viziunea dincolo de mediul tactic și să pună în
aplicare implic area tuturot resursel or de care statul dispune pentru asigurarea acesteia.
41 Strategia de Securitate Cibernetică a României , p. 7, disponibil la https://cert.ro/
42 Strategia de securitate cibernetică a României , p.7
48
Într-un astfel de demers în securizarea cibernetică a unui stat, și nu numai, este de
preferat să se ia în considerare mai mult securitatea în cazul unei arhitecturi c are are mai multe
structuri de apărare, și care pot fi împarțite pe mai multe ramuri în cazul unui a tac pentru a
perm ite recuperarea rapidă.
Astfel a luat naștere infrastructura cibernetică critică care din punct de vedere al
speciali zării din care face parte, este folosită sintagma IC în cazul oricărei entități economice
funcționale, cu posibilitatea de a oferi produse sau bunuri și servicii de interes public, fără de
care nu poate fi funcțională la nivel de societate aparținătoare unui stat și a cărei distrugere,
degradare ori aducere la nivel de nefuncționare, ajung să producă un impact major asupra
populației și economiei la nivel național sau regional.43
Termenul IC a fo st utilizat în mod oficial, pentru prima oară , în iulie 1998, când
președintele american Bill Clinton a decretat Ordinul Executiv privind protec ția infrastructurii
critice . 44
Ținând cont de explozia și rapiditatea evoluției tehnologice din anii 1970, IC și mediul
IT au început să devină unitare și au reușit să pună în dificultate întregul sistem cu noi probleme
care includ securitatea. Progresul de natură tehnologica a oferit controlul de la distanță a IC
într-o manieră convenabilă, dând naștere unui nou model de infrastructură – infrastructură
cibernetică critice/ ICC.
Identificarea ICC este prima etapă în raportul de asigurare a sec urității și protecției
disponibilităților a ctivelor considerate critice, cel mai important punct de plecare fiind IC care
este dependent de ele. Tot IC este definit pe baza unor grupări sectoriale , respectiv servicii
critice. Listele orientative în cadrul sectoarelor critice, oferite ca inf ormații la nivelul UE, nu
sunt folosite în mod corespunzător în cadrul tuturor statelor membre, în fiecare stat definind u-
se un concept propriu.
Metoda principală de recunoaștere este realizată cu ajutorul impactul ui pe care
defecțiunile corespunzătoare unei funcții îl poate avea în cazul funcțiilor vitale ale societății.
Ținându -se cont de cele precizate , se pot dezbate două subiecte interesante : unul orientat către s tat și
unul orientat către operator.
Obiectivele din punct de vedere strategic ale PICC sunt ilustrate prin înștiințarea
atacurilor cibernetice împotriva IC, diminuarea punctelor slabe la nivel național în cazul
43 International Journal of Cybernetic and Informatics , vol. 1, nr. 1/2004
44 Presidential Directive PDD -63
49
atacurilor informatice și scăderea prejudiciilor , respectiv durate i de redobândire după ce au
fost în desfășurare atacuri cibernetice.
Principalii actori care sunt implicați în PICC sunt cei de IC45, operatorii de comunicații
electronice46, agențiile naționale de asigurare a securității cibernetice47 și autoritățile naționale
de re glementare/ANR.48 Înțelegerea implicației unei PICC continue poate veni în ajutorul
părților care au interesul să ofere, la eficiență maximă, competențele, atât de natură strategică
cât și de natură operațională.
Strategia de securitate cibernetică reprezintă , conform ENISA, „ un instrument pentru
îmbunătățirea s ecurității și re zilienței serviciilor și infrastructurilor naționale. Este o abordare
de nivel înalt, de sus în jos, a securității cibernetice care stabilește o serie de obiective
naționale și priorități care trebuie să fie realizate într-un anumit interval de timp. Așadar, oferă
un cadru strategic pentru abordarea națională a securității cibernetice.”49
În cazul deținerii a capacit ății unui răspuns în ceea ce privește amenințările cibernetice în
cadrul unui mediu în continuă dezvoltare, fiecărui stat îî este necesar ă elabor area și
implement area SSCN50-ului, ca fiind flexibilă și dinamică. O SSCN de succes deține un „cadru
clar de guvernanță”, care va genera roluri și responsabilități în cazult tuturor părților interesate,
înfățișând în același timp, suport pentru dialog și c oordonân d diferitele activități, care urmează
să se desfășoare pe întreg ciclul de viață al strategiei.
Elementul cheie al strategiei este definit de evaluarea riscurilor care are ca scop
coordonare în utilizarea resurselor, monitorizarea, controlul și reducerea probabilității
împreună cu efectul realizării unor situații nedorite c are au posibilitatea de a periclita obiectivele
stabilite pentru aceasta.
45 proprietarii de bunuri care se confruntă, de obicei, cu riscuri majore, care pot avea efecte negative asupra
societă ții și func țiilor vitale ale acesteia
46 cei care asigură operarea infrastructurilor cibernetice și nu sunt responsabili pentru clasificarea ICC
47 pot avea un rol principal în dezvol tarea legislației referitoare ICC, supravegherea punerii în aplicare a legislației
relevante, revizuirea și auditul componentelor planurilor de securitate legate de ICC, consultarea continuă a
proprietarilor de active critice în cadrul parteneriatelor public – privat și cooperarea cu proprietarii de active în ceea
ce privește pierderea acestora
48 pot publica ghiduri utile pornind de la aspecte referitoare la vulnerabilități și achiziții ale ICC, până la reziliența
infrastructurii Internet, efectuează auditul operatorilor IC și a operatorilor de rețea cu privire la securitatea/ reziliență
ICC
49 ENISA, National Cyber Security Strategies , p. 4, 2012, disponibil la www.enisa.europa.eu
50 Strategie de Securitate Cibernetică Națională
50
În cea mai mare parte din cazuri, guvernele prefer să adopte o abordare c uprinzătoare
ce include toate ti purile de amenințările de tip cibernetic, urmărind zona de protecție a
infrastructurilor cibernetice contra amenințărilor, riscurilor și slabiciunilor reperate după
finalizarea procesului în sine.
Repere informative care se refer ă la securitatea cibernetică
Primele strategii dîn cazul securității cibernetică naționale au fost create la începutul
deceniului trecut. SUA a fost printre primele ță ri care a admis că securitatea cibernetică este o
chestiune strategică la nivel national , și nu numai . În anul 2003, a publicat prima „Strategia
Națională de Securizare a Spațiului Cibernetic51,„ parte a „Strategiei Naționale pentru
Securitate Internă”, creată ca răspuns pentru toate atacurile cibernetice, în mod special atacurile
teroriste din 11 septembrie 2001.
Cea mai mare grijă a administrației, aflată sub conducerea lui Obama, în cazul
asigurării securității cibernetice , o reprezintă dovada clară prin aprobarea regulată a unor
reglementări în spațiul cibernetic.
Cu privire la reglementarea în domeniul PIC, au fost puse în evidență interesul mai
mare a anumitor state ca SUA, Canada și Australia, în privința protecției i nfrastructurilor
cibernetice.
„Institutul Național pentru Standarde și Tehnologie/ NIST din SUA a publicat, la
data de 12.02.2014, cadrul normativ pentru securitate cibernetică, care propunea proprietarilor
și operatorilor de IC o abordare unitară și integrată a riscurilor și amenințărilor la adresa
sistemelor informatice, rețelelor și bazelor de date, părți ale IC. În același timp,
Departamentul pentru Securitate Internă al SUA/ DHS a făcut un anunț cu privire la demararea
programului Critical Infrastructure Cyber Community, deținând ca obiectiv principal
coordonarea intersectorială a acțiunilor în domeniul securității cibernetice cu ajutorul
rezilienței sistemelor informatice și a modalităților de consolidare a acestora ”52.
În prima parte a anului 2016, în cadrul Comisi ei federal e de Reglementare în
Domeniul Energiei/ FERC din SUA s-au revizuit standardele de PIC53 în cazul rețelelor de
energie electrică.
Pe parcursul studiilor ce s-au desfășurat pe parcursul abordării ce are în prim plan
PIC-ul, se poate observ a o modificare majoră a abordării de la o situație considerată statică, l a
51 disponibil la http://www.dhs.gov/national -strategy -secure -cyberspace, accesat la
15.12.201 9
52 http://www.bankinfosecurity.com/
53 luând în considerare recomandările formulate de North American Electric Reability Corporation / NERC
51
o situație de natură dinamică , care implică riscuri în tr-o continuă dezvoltare și care sunt greu
de controlat – „migra ții involuntare la scară extinsă, conflicte la nivel interstatal, fenomene
meteorologice extreme, dezastre naturale ” (conform The Global Risks Report 2016, prezentat
la începutul anului 2016 de Forumul Economic Mondial/ WEF). În urma unui studiu efectuat
de Business Continuity Institute, atacurile cibernetice persistă în anul 2016 , ca principal a
amenințare asupra rețelelor unui stat . Acest lucru este dovedit, în mod deosebit, de declarația
semnată la finalul unuia dintre Summit -ului G7 54, în care se anticipează obligații din partea
părților implicate pentru o bună consolidare a securității cibernetice.
În cadrul UE, marea grijă de a reglementa spațiului cibernetic s -a definitivat în timp
în numeroase inițiative. Așadar, în tendința de a trata la comun to t ce se întâmplă din punct de
vedere cibernetic în cadrul statelor membre, Consiliul Europei a conceput , în anul 2001,
„Convenția Cyber Crime55 cunoscută și s ub denumirea de Convenția de la Budapesta.
Această a fost realizată pentru a rezolva litigiile juridice, dar și pentru dezvoltarea
un sistem universal de acțiuni legale împotriva infractorilor cibernetici. ”
Succesiv atentatelor teroriste ce au avut loc la Londra și Madrid, în cadrul UE a avut
urmări în încercarea de a reglementa o lege dis tinctivă care ajunge la nivelul de a g arant a
obligativitatea de prezentare a datelor de trafic, telefonie și Internet cu scopul de a prevenii, a
cercet a, depist a și urmări i diferite infracțiuni considerate grave, c um ar fi în cazul criminalității
organizate si terorismului.
În acest ă situație , în anul 2006, s-a hotărât adopta rea Directiv ei european e nr.
2006/24/UE în ceea ce privește sistemul de stocare a datelor de trafic d atorită
telecomunicațiilor. Directiva a fost apoi adoptată, la nivel national, de majoritatea statel or
member UE , fiind și refuzată și declarată neconstituțională în mai multe țări, inclusiv România.
Curtea Europeană de Justiție, respectiv CEJ, a declarant -o nevalidă din prisma faptului că
„reprezintă o imixtiune deosebit de gravă în drepturile fundamentale la respectarea vieții
private și la protecția datelor cu caracter personal”.
Comisia Europeană a lansat , în luna martie a anului 2010, strategia Europa 202056,
care a stabil it obiectivele de evoluție a UE până în 2020. O agendă digitală pentru Europa57
reprezintă una dintre cele șapte inițiative -pilot ale strategiei Europa 2020. Obiectivul aflat în
54 desfășurat în intervalul 26 -27.05.2016, la Ise -Shima, Japonia
55 disponibil la http://www.coe.int/en/web/conventions/full -list/-/conventions/treaty/185, accesat la 15.02.2019
56 COM(2010) 2020 final
57 COM(2010) 245 final
52
prim plan în cadrul „Agendei digitale ” este de susținere din punct de vedere economic și social
pe o perioada îndelungată cu ajutorul unei piețe individuale digitale bazată pe Internet rapid și
ultrarapid și pe aplicațiile interoperabile.
Obiectivul UE de a realiza o politică unitară în domeniul PIC a devenit reală în urma
mai multor eforturi . Primul a fost imple mentarea unui Program European pentru protecțiea
infrastructurilor critice, respectiv PEPIC. Acesta a fist creat pentru că era necesat în stabilirea
principiilor și instrumentelor necesare pentru a îmbunătăți PIC în statele member UE.
Dezvoltarea și aplica rea PEPIC a dezvoltat mai multe proiecte printr e care și
întemeierea ENISA, prin „Regulamentul Parlamentului European și al Consiliului Uniunii
Europene nr. 460/10.03.2004 și a Rețelei Europene de Informare și Avertizare privind
Infrastructurile Critice sau CIWIN ”58.
Document ul principal care indică sarcini clare și proceduri le și parametrii care ar
trebui respectați de statele membre în cadrul procesul ui de numire a IC este „Directiva
114/2008 a Consiliului UE privind identificarea infrastructurilor critice europene și evaluarea
necesității de îmbunătățire a protecției acestora ”59.
Strategia de securitate cibernetică a Uniunii Europene:
„Un spațiu cibernetic deschis, sigur și securizat60 este primul document de politică
globală pe care UE l -a promovat în domeniu, care oferă priorități clare pentru politica spațiului
cibernetic internațional al UE. ”
O analiză asupra strategiei a fost publicată , împreună cu o alt ă de directivă cu privi re
la securitatea rețelelor și a informației, res pectiv NIS, care obligă toate statel e membre ale UE,
principalilor operatori de Internet și operatori de infrastructură să garanteze un mediu digital
sigur și de încredere în zona UE. În mai 2016, Consiliul European a adoptat Normele pentru
consolidarea rețelelor și a sistemelor informatice la nivelul UE.
2.2 Securitatea cibernetică – evoluția conceptului și necesitatea implementării
Scopul acestui subcapitol este de a preciza și prezenta conceptul „stării de securitate
cibernetică” în cadrul țărilor membre UE și de a relata acele aspect e, măsuri și abordări c e au
posibilitatea de a fi luate în considerare ca bune practici.
58 Critical Infrastructure Warning Information Network
59 Disponibil la http://ccpic.mai.gov.ro/, accesat la 15.11.2015
60 JOIN (2013) 1 final
53
Ținând seama de cele de mai sus, intervenția a fost orientată către statele care au în
desfășurare elaborarea unei strategii de securitate cibernetică care au fost identificat e în
conformitate cu informațiile disponibile în cadrul site-ului ENISA61. În ciuda tuturor
evenimentelor , în special cele mai recente – Brexit, a fost anali zată și situația din Marea
Britanie, experiența acesteia fiind considerat ă ca fiind relevantă.
În studiul efectuat au fost folosite , în mod deosebit, informații disponibile pe site -urile
„ENISA, BSA | The software alliance62, ITU ”63, precum și pe site -urile națion ale
guvernamentale sau ale organizațiilor de profil.
Cercetarea ce s -a desfășurat asupra celor 22 de țări, a reușit să scoată în marcheze mai
multe ținte și particularități în privi nța aspectel or aferente securității cibernetice, datorate în
mod deosebit organizațiilor și inițiativelor la care statele menționate sunt membre, cât și
aspectelor specifice, individuale.
Toate statele care au fost precizate fac parte din organizațiile internaționale OSCE,
ONU, OECD și au luat parte la inițiative în do meniul securității cibernetice GEANT, EFMS,
ITU, ENISA64. Cu excepția Austriei, Ciprului și Finlandei, toate celelalte țări sunt membre
NATO.
Cehia, Estonia, Franța, Germania, Italia, Letonia, Lituania, Marea Britania, Polonia,
Slovacia, Spania și Ungaria sunt state care sponsorizează CCDCOE65, în timp ce Austria și
Finlanda sunt participanți contributori.
Austria, Cipru, Croația, Italia, Lituania, Polonia, Slovenia, Slovacia și Spania sunt
parte componentă ale inițiativei ITU -IMPACT. Cu excepția Ci prului și Finlandei, au echipe
CERT afiliate FIRST.
Interesul în a obținerea și realizarea unor produse IT certificate din punct de vedere al
securității este determinat de participarea unora din statele menționate la CCRA, unele în cadrul
procesului de a creditare, respective autorizare – Franța, Germania, Italia, Marea Britanie,
Olanda și Spania, altele pe partea de consum – Austria, Cehia, Danemarca și Ungaria. Calitatea
61 Austria – 2013, Belgia – 2014, Cehia -2011, Cipru – 2013, Croația – 2015, Danemarca – 2015,
Estonia – 2014, Finlanda – 2013, Franța – 2015, Germania – 2011, Irlanda – 2015, Italia – 2013
Letonia – 2014, Lituania – 2011, Luxemburg – 2015, Marea Britanie – 2011, Olanda – 2013
62 http://www.bsa.org/
63 http://www.itu.int/en/Pages/default.aspx
64 cu excepția Croației
65 cu sediul în Estonia
54
de membru CCRA oferă cadrul legal pentru certificarea și acreditarea agențiilor na ționale și
profesioniștilor sectorului privat în domeniul securității cibernetice.
Finlanda, Franța, Germania, Italia, Marea Britanie, Olanda și Ungaria sunt membre
IWWN, iar Austria, Belgia, Danemarca, Finlanda, Franța, Germania, Marea Britanie, Olanda
și Spania sunt membre EGC.
Olanda reprezintă prima țară din cadrul UE și a doua, la nivel mondial, după Chile,
care „a adoptat, prevederi referitoare la obligativitatea adresată furnizorilor sau rețelelor
publice de comunicații electronice utilizate pentru asigurarea serviciilor de acces la Internet de
a nu împiedica sau încetini funcționarea serviciilor prestate sau aplicațiilor Internet. În
continuare, Olanda contribuie activ la eforturile de reglementare ale UE, NATO și ale
Forumului privind Guvernanța Internetului. ”
Estonia este , de asemenea, printre primele țări care au dezvoltat o strategie de
securitate încă din 2008. Multe dintre procedeele de menținere a securit ății cibernetic e adoptate
de statele membre UE sunt încă ambigue și luate în calcul la general, lipsindu -le un plan clar
de implementare. O mulțime dintre ele par a fi statice, varianta inițială ramânând la stadiul
incipient, fără revizuire . Există , totuși soluții cu ținte clare și măsurabile . Un astfel de exemplu
este „Programului de consolidare a securității cibernetice în perioada 2011 -201966 al Lituaniei
care își propune atingerea unor repere cantitative până în anul 2019 ”.
Majoritatea statelor aparținătoare analizei au aprobat Convenția Consiliului Europei
cu privire la criminalitatea informatică, iar din punct de vedere legislative, este specific at faptul
că are capacitatea de a o asigura , cu ajutorul Codului Penal. Cehia este una dintre țările care nu
deține nimic legisla tiv specific domeniul ui criminalității informatice, iar în ceea ce privește
Cipru și Irlanda , se știe că au fost adoptate legi dedicate.
Toate țarile sunt parte activă în cadrul exerciții lor de securitate cibernetică în scopul
de a testa planurile de criză , dar și continuitate a în ceea ce înseamnă domeniul cibernetic,
strategiile de securitate cibernetică , având puterea de a recuno aște rolul acestora în evoluția
creșter ii competențelor în securitate informatică.
Chiar dacă este considerată unanim ă importanța cooperării care are lo c acest domeniu
la nivel de Europa, datorită diversității naționale și substraturilor diferite de maturitate, doar
cinci țări – Austria, Germania, Olanda, Spania și Marea Britanie au stabilit formal , o serie de
parteneriate la nivel public -privat în ceea ce privește securitate cibernetică.
66 disponibil la https:// www.enisa.europa.eu/, accesat la 30.01.2020
55
Se știe de e xistența unor inițiative cu privire la colaborarea interstatală. Astfel, în cazul
facilit ării cu privire la partajarea bunurilor de securitate cibernetică cu alte state, „Austria este
partener al Platformei de securitate cibernetică, respectiv CECSP67. Centrul de Excelență
Belgian în domeniul Criminalității Cibernetice pentru Cercetare în Formare și Educație,
respectiv B -CCENTRE asigură colaborarea autorităților belgiene cu parteneri din Olanda. ”68
Uniunea Europeană a prezentat următoarele informații, „î n Belgia, colaborarea la
nivel european cu centrele naționale din Irlanda și Franța se face prin intermediul Rețelei
centrelor de excelență în domeniul criminalității informatice pentru cercetare în formare și
educație, respective 2CENTRE.
Belgia a semnat memorandum de înțelegere pe tema securității cibernetice cu Olanda
și Luxemburg pentru cooperare și împărtășirea expertizei în dezvoltarea parteneriatelor public –
privat.
Inițiativa de colaborare între Estonia, Lituania, Letonia și SUA a fost lansată în august
2013 cu scopul de a spori dialogul în domeniul securității cibernetice între regiunea nordică a
Balcanilor și SUA.
În noiembrie 2015 a fost semnat Memorandumul de înțelegere cu pri vire la cooperarea
în domeniul securității cibernetice între Ministerul Economiei și Comunicațiilor din
Estonia, Ministerul Apărării din Letonia și Ministerul Apărării din Lituania.
Pentru a facilita partajarea cunoașterii în domeniul securității cibernetice Franța are
parteneriate cu organizații din Germania, Olanda, Marea Britanie, SUA, acord cu Estonia în
ceea ce privește cooperarea în domeniul apărării cibernetice și acord franco -britanic pentru
cooperare în apărare și securitate.
Italia parti cipă la Platforma NIS a UE, rezultatele acestui proiect alimentând
recomandările Comisiei pe zona de securitate cibernetică.
Creșterea gradului de conștientizare a publicului cu privire la riscurile și amenințările
spațiului cibernetic constituie o priorit ate și o obligativitate asumată în toate strategiile de
securitate cibernetică. Majoritatea statelor au ca obiectiv introducerea în cadrul programei din
învățământul primar, secundar și superior a aspectelor legate de securitatea cibernetică.
Se remarcă fa ptul că, la nivelul UE, se acordă o deosebită importanță problematicii
legată de educația în domeniul securității cibernetice, una dintre campaniile cunoscute fiind
67 a fost înființată în mai 2013 la inițiativa Austriei și Cehiei cu scopul de a asigura partajarea informațiilor, bunelor
practici, lecțiilor învățate și cunoașterii despre amenințările cibernetice și atacurile cibernetice (ne)reușite
68 disponibil la https:// www.enisa.europa.eu/, accesat la 30.01.2020
56
Luna europeană a securității cibernetice69 care se desfășoară în fiecare an, în luna
octombrie, în majoritatea statelor membre.
Realizări importante în acest domeniu sunt amintite în Irlanda și Marea Britanie.
Astfel, Centrul Colegiului Universitar din Dublin/ UCD pentru securitate cibernetică și
investigații de criminalitate inf ormatică70 este unicul centru de educație și cercetare cu
numeroase relații de colaborare cu organele de aplicare a legii și industrie.
Pentru îndeplinirea obiectivului de dezvoltare a cunoștințelor, competențelor și
capacității Marii Britanii au fost înfi ințate 11 universități care au rolul de centre
academice de excelență în cercetarea în domeniul securității cibernetice, au fost create 3 noi
institute de cercetare în Științele Securității Informatice și au fost înființate două centre de
securitate cibernetică pentru pregătire doctorală.
CERT Ungaria a organizat, în cursul anului 2016, cursuri de securitate cibernetică
pentru statele membre IWWN.
În ceea ce privește PIC, mai mult de jumătate din statele membre UE nu au parcurs
încă un pr oces de evaluare a infrastructurilor existente în scopul determinării celor critice și
stabilirii strategiei și planurilor concrete de protecție. Odată ce sunt identificate IC, acestea
trebuie evaluate din punct de vedere cibernetic pentru a identifica și contracara posibilele
vulnerabilități și breșe.
CERT -uri și CSIRT -uri, care joacă un rol crucial în îmbunătățirea rezilienței
cibernetice, sunt operaționale în toate statele supuse analizei, cu excepția Ciprului unde
operațiunile sunt în curs de finalizare și coordonează măsurile naționale de răspuns în caz de
incident informatic, asigurând și colaborarea entități din domeniu.
Mecanismele de raportare a incidentelor par ezitante în ceea ce privește introducerea
unor scheme obligatorii, majoritatea statelor preferând schimbul de informații bazat pe
încredere reciprocă și colaborare.
Este de remarcat faptul că în Letonia activitățile instituției responsabile cu reacția în
cazul incidentelor privind NIS sunt delegate Institutului de Matematică și Științe Inform atice
al Universității Letoniei. ”71
Cu privire la protecția din mediul online a copiilor, în cazul aderării, au fost de acord
statele supuse analizei, fără nici un fel obiecții sau rețineri la „Convenția drepturilor copilului ”,
69 European Cyber Security Month
70 http://www.ucd.ie/cci/, accesat la 25.01.2020
71 disponibil la https:// www.enisa.europa.eu/, accesat la 30.01.2020
57
precum și la „Protocolul opțional la Convenția drepturilor copilului pentru vânzarea,
prostituția și pornografia copiilor ”. Informațiile din punct de vedere legal , specific celor mai
sus prezentate sunt prevăzute , în cazul majorit ății statelor , în „Codul Penal ”, cu bază de
informații sensibile în cazul Austriei, Ciprului, Irlandei și Marii Britanii.
În privința României , se știe de existența mai multor proiecte care au ca scop
promov area utiliz ării în siguranță a Internetului, respectiv site-uri unde există posibilitate de fi
raportat conținutul ilegal din Internet, cum ar fi datele cu caracter pedofil sau pornografic,
precum și cele care incită la ură etnică sau rasială.
În ceea ce privește România, chiar dacă nivel la care se află este redus în privința
utilizării serviciilor informatice și de comunicații comparativ cu alte state ale lumii, România
a cunoscut în ultima decadă o dezvoltare semnificativă a acestora, tot mai multe activități
guvernamentale și comerciale derulându -se prin intermediul Internetu lui.
În acest context, România este una dintre țările de pe harta statelor susceptibile la
atacuri cibernetice, în care există risc potențat datorită statutul ui de țară membră a unor
organizații internaționale72, deși riscurile care sunt asociate agresoril or cibernetici este la un
nivel mediu.
Cetățenii utilizează tot mai des serviciile informaționale și spațiul cibernetic în
activitățile cotidiene . Atât în cazul instituțiil or guvernamentale, cât și în mediul de afaceri ,
utilizatorii casnici au posibilitatea de a înregistr a un flux masiv cu privire la datele confidențiale
care nu sunt mereu protejate adecvat.
Efectele în cazul crizei economice se repercutează cel mai adesea asupra bunăstării
sociale. Situația și-așa grea cu care se confruntă diferite segment e cu nivel ridicat din populația
României , are ca rezultat implicarea indivizilor în executarea de infracțiuni informatice, care
ajung să le facilite ze obținerea în mod rapid de câștiguri financiare și ajută la racolarea unui
număr care este în continua creștere, de specialiști IT în cazul activități lor infracționale.
Chiar dacă România nu a fost în situația de a fi vazută ca o țintă a atacurilor
cibernetice , au existat destule situații care s -au făcut remarcate în care au fost alterate și
infrastructuri cibernetice naționale. Dintre acestea se poate prezenta situația în care
campaniile de spionaj cibernetic Octombrie Roșu, Turla (dar și Șarpele sau Uroburos) și
atacurile cibernetice împotriva site-urilor care aparți n diferitelor instituții de învățământ
superior și /sau de administrație publică, în c adrul cărora au fost încurajate mesaje islamiste
radicale, anti -israeliene și pro -palestiniene (decembrie 2014).
72 UE, NATO
58
În conformitate cu un comunicat Kaspersky Lab recent73, Româ nia se află printre
statele afectate de atacuri cibernetice împotriva domeniului industrial74.
Interesul autorităților naționale pentru reglementarea utilizării mediului online a
devenit vizibil odată cu semnarea, în secret, la Tokyo, în ianuarie 2012, a Tratatului ACTA75.
Acest tratat îi forța pe furnizorii de Internet să desfășoare activități de supraveghere a nivelul
rețelelor proprii și să pună la dispoziția deținătorilor drepturilor de proprietate intelectuală
datele personale ale presupușilo r infractori. Riscând să aibă implicații grave generate de faptul
că nu reușește stabilirea unui echilibru între protecția drepturilor de proprietate intelectuală
și apărarea drepturilor fundamentale ale cetățenilor, Tratatul ACTA a fost respins definitiv
de Parlamentul European, anulând posibilitatea ca UE să ratifice acest acord.
România a încercat alinierea la legislația europeană prin elaborarea unor reglementări
care își propun să pună în practică recomandările și directivele UE.
Strategia națională de securitate cibernetică, oarecum vagă în comparație cu cele ale
unor alte state membre UE evidențiate în subcapitolul anterior – Franța, Estonia, Danemarca,
Irlanda, Letonia are un cadru legal de implementare limitat, chiar dacă numeroa se propuneri
legislative au fost înaintate parlamentului spre aprobare.
„Strategia de securitate cibernetică a României, aprobată de CSAT la 05.02.2013,
prezintă obiectivele, principiile și direcțiile majore de acțiune pentru cunoașterea, prevenirea
și contracararea amenințărilor, vulnerabilităților și riscurilor la adresa securității cibernetice
a României, pentru promovarea intereselor, valorilor și obiectivelor naționale în spațiul
cibernetic, pentru promovarea și dezvoltarea cooperării înt re sectorul public și cel privat,
precum și pentru dezvoltarea culturii de securitate a populației.
Strategia de securitate cibernetică definește terminologia în domeniu și stabilește
planul de acțiune pentru implementarea Sistemului Național de Securitate Cibernetică,
SNSC, care va reuni autorități și instituții publice cu responsabilități și capabilități în domeniu76
și va asigura cooperarea cu mediul academic, de afaceri, asociații profesionale și organizații
nonguvernamentale. ”
73 17 august 2016
74 http://www.agerpres.ro/, accesat la 30.01.2020
75 Anti-Counterfeiting Trade Agreement – Acord comercial de combatere a contrafacerii între UE și statele
membre ale acesteia, Australia, Canada, Japonia, Republica Coreea, Statele Unite M exicane, Regatul Maroc,
Noua Zeelandă, Republica Singapore, Confederația Elve țiană și Statele Unite ale Americii
76 SRI, MAP, MAI, MAE, MCSI, STS, SIE, SPP, ORNISS și secretarul CSAT
59
MCSI este considerată structura responsabilă în monitorizarea și coordonarea
implementării metodologiei în asigurarea securit ății cibernetic e. În coordonarea MCSI, a fost
înființat CERT -RO, c onsiderată structură independentă de expertiză și cercetare -dezvoltare în
domeniul protecției infrastructurilor cibernetice (HG nr. 494 din 11.05.2011).
În zona guvernamentală se știe de exist ența unor entități specializate cum ar fi
„Centrul Tehnic Principal de răspuns la incidente de securitate cibernetică / CERTMIL -CTP,
din cadrul MAP, Centrul Național Cyberint, structură specializată în cadrul SRI, și Centrul
Operațional de Răspuns la Incidente de Securitate al STS/ CORIS -STS. ”
Setul legislativ din domeniul reglementării în privința securității ciberne tice
reprezentat de „Legea cartelelor pre -pay (privind modificarea și completarea OUG nr.
111/2011 privind comunicațiile electronice), Legea privind retenția datelor (legea nr. 82/2012)
și Legea securității cibernetice (legea nr. 580/2014) ” au fost consi derate ca fiind
neconstituționale pe motivul că se încalcă drepturil e fundamentale ale cetățenilor – „dreptului
la viața intimă, familială și privată, a secretului corespondenței și a libertății de exprimare a
persoanelor ale căror date stocate sunt accesa te.”77
În luna ianuarie a anului 2016, MCSI a încurajat în dezbatere publică „un nou proiect
de lege privind securitatea cibernetică întocmit în urma obiecției de neconstituționalitate
a CCR. ” Rezultatele dezbaterii s -au finalizat pri n crearea unei versiuni potrivite proiectului
ca a trecut în consiliu în vederea avizării interne în data de 25 martie 2016 și a fost publicată
pe site -ul MCSI.
La momentul respective, domnul Florin Cosmoiu, șeful Centrului Național Cyberint
din cadrul SRI, afirma că „din punct de vedere strategic, la nivelul României trebuie continuate
eforturile de creare și dezvoltare a unui cadru legislativ eficient”78.
„Legea privind infrastructura de comunicații, aprobată în martie 2016, transpune în
legislația română prev ederile Directivei 2014/61/UE, privind măsurile de reducere a costului
instalării rețelelor de comunicații de mare viteză. ”
Strategia Națională privind Agenda Digitală pentru România 202079, adoptată de
Guvernul României la data de 7 aprilie 2015, dezvolta tă pe baza programului Agenda Digitală
77 prin deciziile CCR nr. 1258 din 08.10.2009, nr. 440 din 08.07.2014, nr. 461 din 16.09.2014, respectiv nr. nr.17
din 27.01.2015
78 revista Intelligence nr.31/ 2016, p. 27
79 disponibil la https:// www.comunicatii.gov.ro/legislatie/, accesat la 30.03.2020
60
pentru Europa 2020, este un cadru de referință pentru dezvoltarea economiei digitale 2014 –
2020.
Strategia națională de apărare a țării pentru perioada 2015 – 2019 – O Românie
puternică în Europa și în lume80 reflectă necesitatea promovării unui concept de securitate
națională extinsă și a fost elaborată pentru a răspunde, într -un mod adecvat, unei realități
complexe cu care se confruntă societatea românească. Prin obiectivele și conținutul său
documentul abord ează apărarea și securitatea națională ca două concepte convergente,
amenințările cibernetice fiind considerate amenințări la adresa acestora81.
Referitor la PIC, gestionarea pericolelor și amenințărilor la adresa acestora fac
obiectul unor inițiativ e legislative, sunt cuprinse în strategia națională de securitate și în alte
documente importante, dar sunt departe de a fi pe deplin monitorizate, controlate și înlăturate.
Responsabilitatea pentru organizarea și desfășurarea activităților în domeniul P IC
revine Centrului de Coordonare a Protecției Infrastructurilor Critice/ CCPIC, din cadrul
MAI.
„Un element important în completarea cadrului normativ îl constituie emiterea HG nr.
1.198 din 04.12.2012 privind desemnarea IC. MCSI a elaborat Metodolog ia de identificare a
infrastructurilor critice naționale din sectorul tehnologia informației și comunicații din
23.03.2012.
Având în vedere obligativitatea transpunerii prevederilor Directivei 2008/114/CE
privind identificarea și desemnarea infrastructuril or critice europene și evaluarea
necesității de îmbunătățire a protecției acestora Guvernul României a publicat Ordonanța de
urgență nr. 98/2010 privind identificarea, desemnarea și protecția infrastructurilor critice,
aprobată prin Legea nr . 18 din 11.03.2011.
În vederea îndeplinirii obiectivului din cadrul strategiei de securitate cibernetică de
„dezvoltare a culturii de securitate a populației prin conștientizarea față de vulnerabilitățile,
riscurile și amenințările provenite din spațiul c ibernetic”82 au fost întreprinse mai multe măsuri.
Pe site -ul CERT -RO sunt publicate o serie de ghiduri elaborate în cadrul campaniei
de conștientizare a riscurilor de securitate cibernetică derulată sub egida ECSM în octombrie
2013. În cadrul proiectului Cyber Crime a fost produsă și difuzată emisiunea ONLINE
GUARD – tehnici de apărare împotriva amenințărilor cibernetice. ”
80 disponibilă la http://www.presidency.ro, accesat la 30.03.2020
81 Strategia Națională de Apărare a Țării pentru perioada 2015-2019, pp. 14-15
82 Strategia de securitate cibernetică a României , p. 7
61
De asemenea, interesul pentru structurile de securitate cibernetică sunt puse în
evidență prin numărul mare ședințe tematice organizate annual, atât de instituții de învățământ
superior, cât și de instituții guvernamentale c are au responsabilități în domeniu , uneori și
organizații private care au ca preocupa re principală acest subiect.
Chiar dacă există inițiative de luciditate a subiectului abordat , acestea sunt
disparate și , de cele mai multe ori, rămân adresate doar grupurilor specifice, fără ca informația
să ajung ă la nivelul publicului larg.
În ceea ce privește colaborarea din sistemul cyber , România a devenit membră a
inițiativelor internaționale IT -IMPACT, GEANT și ENISA care oferă schimbul de informații
din cadrul securității cibernetice. De asemenea, în îndeplinirea diferitelor activități specifice,
CERT – RO are o colaborare foarte apropiată cu cele trei en tități guvernamentale și a semnat
memorandumuri de înțelegere și protocoale de colaborare cu CERT -uri din alte țări83 și cu
peste 20 de instituții din domeniul securității cibernetice.
Țara noastră a fost implicată, prin entitățile responsabile, în mai multe proiecte de
amploare pentru combaterea amenințărilor cibernetice printre care amintim „Advanced Cyber
Defence Center/ ACDC84”, „Sistemul național de combatere a criminalității informatice Cyber
Crime85” și „Sistemul național de protecție a infrastr ucturilor IT&C de interes național
împotriva amenințărilor provenite din spațiul cibernetic86”.
În țara noastră , există organizații de tip non-guvernamental87 care au ca și targget
promovarea, susținerea , implementarea și coordonarea sistemului de cercet are în domeniul
securității informației, precum și posibilitatea de a stabili parteneriate pe termen scurt, mediu
și lung în acest domeniu.
Cadrul legal care are în vizor protecția online a copiilor este asigurat prin aderarea
României la „Convenția drepturilor copilului și la Protocolul opțional la Convenția drepturilor
83 Ungaria, Kazakhstan, Uzbekistan, Coreea de Sud, Japonia, Republica Moldova, Republica Chineză
84 care și -a propus crearea unei comunități care să -și unească forțele pentru a lupta împotriva rețelelor de botneți
85 proiect lansat de CERT -RO în aprilie 2013, prin care ministerele cu atribuții în siguranța națională, serviciile
secrete, dar și companii private beneficiază de o platformă comun ă de reacție la atacurile cibernetice
86 prin care este implementat un sistem informatic care asigură interoperabilitatea între componentele informatice
de securitate și, prin funcțiunile sale, contribuie fundamental la protecția sistemelor inform atice și a
informațiilor vehiculate la nivelul autorităților publice
87 Asociația Română pentru Asigurarea Securității Informației/ ARASEC, Cyber Security Research Center
for Romania/ CCSIR
62
copilului pentru vânzarea, prostituția și pornografia copiilor. Aspectele specifice sunt prevăzute
în Legea nr. 196 din 13 mai 2003 privind prevenirea și combaterea pornografiei. ”
2.3 Riscuri, amenințări și vulnerabilități cibernetice specifice infrastructurilor
critice
Amenințarea cibernetică este definită ca fiind circumstanța sau evenimentul ce au pot
genera un potențial pericol în privința securității cibernetice și este caracter izată prin asimetrie,
dinamică accentuată, caracter global și diversitate.88
Acțiunile ostile care sunt efectuate împotriva unui sistem informatic sau în cazul unei
rețele de computer, se pot desfășura sub două forme: atac cibernetic și exploatare cibernet ică.
Atacul cibernetic este realizat prin utilizarea de acțiuni bine intenționate în a modifica,
întrerupe, înșela, degrada sau distruge sistemele și rețelele IT ale adversarului , respectiv
informațiile și programele care sunt rezidente sau care tranzitează aceste sisteme.
„Exploatarea cibernetică reprezintă utilizarea operațiunilor de a obține informații, de
obicei, în clandestinitate și prin cea mai mică intervenție posibil. ”
În domeniul analizar, acești termeni sunt folosiți destul de rar, termenul cel mai de
folosit fiind „atac cibernetic ”.
Modelul este un proces de apărare bazat pe intelligence, care stabilește cele șapte faze
pe care trebuie să le parcurgă adversarul pentru a -și îndeplini obiectivul de prelua controlul
asupra sistemului sau de a obține informații valoroase.
Astfel, etapele atacului sunt:
recunoașterea – identificarea țintelor,
înarmarea – prepararea operațiunii,
livrarea – lansarea operațiunii,
exploatarea – câștigarea accesului la sistemul victimei,
insta larea – stabilirea conexiunii cu sistemul victimei,
comanda și controlul/ C2 – controlul de la distanță a implanturilor, acțiunile propriu –
zise în conformitate cu obiectivele
atingerea scopului misiunii.
88 Cod de bune practici pentru securitatea sistemelor informatice și de comunicații, p. 24, disponibil la
https://cert.ro/
63
Chiar dacă există posibilitatea ca adversarul să poată fi oprit în oricare din fazele
atacului, primele două etape sunt destul de greu de detectat. Începând cu livrarea , acestea
dezvoltă din ce în ce mai multe oportunități de blocare a operațiunii.
Atribuirea unui atac cibernetic – determinarea sursei, loc ației și identității unui atacator
– este extrem de dificil deoarece creatorii Internetului nu au proiectat mijloace fiabile pentru
urmărirea locației mesajului.
Hackerii inteligenți se ascund în arhitectura -labirint de pe Internet, pot denatura
adevărata origine a unui atac printr -o serie de computere compromise sau pot lăsa „steaguri
false” care incriminează, în mod nevinovat, o altă entitate. Acest aspect sistemic al Internetului
nu poate fi modificat, statele confruntându -se cu perspectiva de a pierde u n conflict cibernetic
fără a cunoaște identitatea adversarului.
Evoluției malware -ului evidențiază clar faptul că nu mai putem vorbi de un simplu
cod malware, ci de adevărate arme cibernetice pe care atacatorii le pot folosi pentru atingerea
scopurilor.
Chiar dacă nu există consens internațional în ceea ce privește definirea termenului de
armă cibernetică, putem considera ca viabilă definiția propusă de Thomas Rid și Peter
McBurney: „Un cod care este utilizat sau este proiectat pentru a fi utilizat cu scopu l de a speria
sau a cauza pagube fizice, funcționale sau mentale structurilor, sistemelor sau ființelor
umane”89.
Asemenea unei rachete, o armă cibernetică este formată din trei elemente de bază: un
vehicul de livrare, un sistem de navigație – componenta cu ajutorul căreia se ajunge la țintă și
încărcătura – componenta care produce vătămări.
Spre deosebire de arme nucleare sau alte arme de distrugere în masă, armele
cibernetice au devenit ușor de obținut și de utilizat, mult mai puternice și t ot mai sofisticate,
făcând din atacurile cibernetice o problemă globală foarte presantă datorită riscurilor și
costurilor scăzute și ușurinței și eficienței în derulare.
În privința vulnerabilității în spațiul cibernetic reprezintă „slăbiciune în proiectar ea și
implementarea infrastructurilor cibernetice sau a măsurilor de securitate aferente, care poate fi
exploatată de către o amenințare90.Aceste vulnerabilități pot fi de natură umană, tehnică sau
procedurală, putând fi vulnerabilități de proiectare, de i mplementare sau de configurare. Cele
89 Thomas Rid & Peter McBurney (2012) Cyber -Weapons , The RUSI Journal,17:1, pp. 6 -13, DOI:
10.1080/03071847.2012.664354
90 Strategia de Securitate Cibernetică a României , p.8
64
mai multe vulnerabilități existente sunt introduse accidental din fazele de proiectare sau
implementare ale sistemelor informatice.91”.
„Vulnerabilitățile software sunt defecte sau erori introduse în mod accidental sa u
deliberat în produsele software care, dacă sunt exploatate de către atacatori, pot denatura scopul
inițial pentru care au fost proiectate. Cele mai cunoscute astfel de vulnerabilități sunt erorile de
programare, majoritatea fiind asociate unei modalități incorecte de a gestiona intrările furnizate
de utilizator sistemului și putând fi evitate dacă cei care dezvoltă produsele software au în
permanență în vedere eliminarea acestora. ”
În timp ce cele mai multe soluții pentru securitate a informatică au fost c oncentrate pe
software, operarea de circuite hardware reprezintă o amenințare egală ca peric ol. Recent,
cercetătorii au publicat informații care prezintă noi metode de a exploata sensibilități hardware
cum ar fi rowhammer92 și BadUSB93. Astfel de probleme sunt greu de controlat, unele
recomandări ale experților în securitate informatică neputând fi respectate datorită evoluțiilor
tehnologice din ziua de astăzi.
„Vulnerabilitățile conexiunii între hardware și software reprezintă
vulnerabil itățile firmware -ului care există în aproape orice dispozitiv ”94. Cercetările efectuate
în domeniu au demonstrat posibilitatea exploatării unor asemenea vulnerabilități prin
introducerea de malware, practic nedetectabil la nivelul sistemelor vizate.
Contra măsurile pentru nesiguranța firmware -ului sunt, în mare parte, în mâinile
producătorilor de hardware și cipuri care ar trebui să ia în calcul introducerea unor facilități de
securitate care să garanteze autenticitatea firmware -ului.
„Vulnerabilitățile canalelor de comunicații între un sistem sau rețea și lumea
exterioară pot fi utilizate de către un adversar în diferite moduri. Mai mult de 95% din traficul
pe Internet, inclusiv financiar, commercial și alte tranzacții, circulă prin cabluri submarine
internaționale a căror întrerupere ar închide rețeaua. Convergența de rețea și consolidarea
canalului sunt două tendințe globale ale mediul TIC care, deși oferă o mai mare eficiență și
91 Martin C. Libicki, Cyberdeterrence and Cyberwar , RAND, 2009
92 o problemă a memoriei DRAM care permite atacatorilor să obțină acces la nivel de jos la echipamentele
țintă
93 permite injectarea de malware prin controllerul dispozitivului USB
94 pornind de la tastaturi USB, camere web, plăci grafice și de sunet și terminând cu telefoane inteligente,
televizoare inteligente, camere digitale și chiar baterii de laptop
65
servicii mai bune pentru utilizatori, cresc vulnerabilitățile și consecinț ele eșecurilor de
securitate. ”95
Adesea, se spune că pericolul cel mai mare este reprezentat de persoanele din interior.
Vulnerabilitățile utilizatorilor sistemului sunt reprezentate atât de gradul redus de
conștientizare a riscurilor și amenințările spaț iuluicibernetic, cât și de lipsa cunoștințelo sau
dezinteresul manifestate în activitățile zilnice. Mulți angajați cad pradă ingineriei sociale,
platformele de socializare fiind mediu preferat al celor care desfășoară astfel de activități.
Tendințele evolu tive și preocuparea precară pentru asigurarea securității acestora vor
multiplica vulnerabilitățile noilor tehnologii96, determinând necesitatea intensificării
procesului de cercetare pentru soluții adecvate. Dezvoltarea unor asemenea soluții va fi una
dintre cele mai importante provocări pentru comunitățile de informatică și cercetare științifică.
Proliferarea rapidă a amenințărilor interne și externe împotriva sistemelor informatice
îi obligă pe administratorii de sisteme să se gândească la Sisteme de Det ectare a Intruziunilor/
IDS97 și Sisteme de Prevenire a Intruziunilor/ IPS98, concepute pentru a preveni tentativele de
intruziune avansate în cadrul sistemelor.
Un IDS monitorizează activitățile legate de rețea și procesele sistemului de operare
pentru a detecta potențialele intruziuni și a le raporta administratorilor de sistem care au decid
asupra acțiunilor ce pot fi întreprinse. După faza de identificare a unei intruziuni realizată de
IDS, IPS încearcă să blocheze aceste activități.
O altă tehnică de a părare cibernetică este reprezentată de utilizarea honeypot -urile.
Termenul honeypot poate fi descris ca „o resursă generală de calcul, al cărei unic scop este de
a fi probată, atacată, compromisă, utilizată sau accesată în orice mod neautorizat”99, în sco pul
de a colecta informații despre atac și atacator. Acesta a căpătat, în ultimii ani, o popularitate
din ce în ce mai mare în rândul experților care se ocupă cu problemele de securitate
cibernetică.
Unul dintre principalele beneficia ale utilizării unui sistem honeypot este modificarea
fazelor unui atac cibernetic. Această abordare poate fi folosită ca un sistem de avertizare
95 disponibil la https:// www.enisa.europa.eu/, accesat la 30.01.2020
96 dispozitive mobile, cloud computing, big data, Internet of Things
97 Intrusion Detection System
98 Intrusion Prevention System
99 ENISA, Proactive Detection of Securi ty Incidents, Honeypots , 2012, disponibil la http://www.enisa.europa.eu/
66
timpurie, crescând astfel timpul pentru luarea măsurilor adecvate, avantajul față de sistemele
IDS/ IPS fii nd că atacurile nu au loc pe sistemele de producție, critice într -o organizație.
Tehnica honeytoken este o altă abordare pentru a obține informații suplimentare
despre atacatori și identitatea acestora. Honeytoken -ul nu este un sistem informatic, poa te fi
un mesaj de email, un fișier text, un site sau ceva util, care ar putea ajuta la dezvăluirea
identității agresorilor.
În zilele noastre, în care există numeroase atacuri care nu au ținte specifice, atacatorii,
în special cei cu motivație financiară, fiind în căutarea unor „fructe agățătoare”, care pot fi
compromise fără prea mare efort, beneficiile utilizării sistemelor honeypot sunt evidente.
67
CAPITOLUL III – STRUDIUL DE CAZ – SECURITATEA CIBERNETICA A
INFRASTRUCTURILOR CRITICE IN SISTEMUL INDUSTRIAL
„Securitatea națională este starea națiunii, a comunităților sociale, a cetățenilor și a
statului, fundamentată pe prosperitate economică, legalitate, echilibru și stabilitate soico –
politică, exprimată prin ordinea de drept și asigurată prin acțiuni de natură economică,
politică, socială, juridică, militară, informațională și de altă natură, în scopul exercitării
neîngrădite a drepturilor și libertăților cetățenești, manifestarea deplină a libe rtății de decizie
și de acțiune a statului, a atributelor sale fundamentale și a calității de drept internațional ”.100
În societatea cunoașterii, securitatea s-a dezvoltat foarte mult ca un bun comun, iar cea
mai important trăsătură în cadrul noilor informații reale este „transparența determinată de
multiple interdependențe”. În acest mod , serviciile de intelligence au tendința de a devin i surse
de cunoaștere, care aparțin unei surse interdisciplinare, unde funcțiile de beneficiar și furnizor
se compl etează , interșanjabile perpetuu. Astfel că va fi vitală legătura pe care structurile de
securitate au fixat -o cu opinia publică. „Mass -media, prin funcția sa de filtrare și traducere a
mesajului organizațiilor, se dovedește a fi extrem de important .”
Educ area cetățenilor într -un spirit participativ, în propriul beneficiu, reprezintă însă cea
mai mare provocare, mai ales în societățile care s -au confruntat cu regimuri autoritare.
„Noile amenintari asimetrice, globalizarea economica si informationala, problemele
globale, cresterea interdependentei dintre state, in toate domeniile, anomia globala, reprezinta
surse de insecuritate la adresa tuturor. De aceea educatia si cultura de securitate, gestiunea
crizelor, combaterea dezinformarii, r eprezinta necesitati ale unei noi aparari colective, dar care
nu mai este realizata de stat, ca entitate politico -administrativa, ci de catre cetateni prin
societatea civila, astfel incat sa se realizeze o descentralizare a resurselor, a informatiilor si
responsabiltatilor, necesara prevenirii si gestiunii crizelor de securitate. Securitatea azi,este un
concept modern, care intr -o societate deschisa de tip democratic reprezinta o realitate sistemica,
ingloband securitatea economica, sociala, cibernetica, s iguranta alimentara, protectia
drepturilor si libertatilor cetatenesti, etc.
Tocmai de aceea este nevoie ca cetatenii sa aibă acces la informatii, sa constientizeze
nevoia de securitate, deoarece cultura de securitate nu este apanajul unui grup d e interese, a
100 Hotărîrea CSAT, ședința din 23 iunie 2003, Doctrina națională a informațiilor pentru securitate și societate
civilă
68
unei institutii birocratice, de tip inchis, cum era inainte in perioada etatismului comunist. Un
stat modern cauta sa identifice noi solutii de securitate, sa elaboreze o legislatie moderna de tip
european in domeniu, si sa asigure resursele necesare dezvoltarii si stemului securitatii
nationale. Cele mai importante resurse care trebuiesc organizate si valorificate corespunzator
sunt resursa informationala si cea umana. Fara dezvoltare durabila si un PIB satisfacator, care
sa reprezinta starea de suficienta interna a unei natiuni, care sa -i permita sa devina un factor
competitor pe plan international, suntem mai mult consumatori de securitate, decat generatori
de securitate. Rolul societatii civile este sa se implice activ in actiuni de educati e preventiva si
de gestiune a noii realitati de securitate ca indicator al unei vocatii de factura euro -atlantica si
comunitar -europeana. Obiectivul urmarit este stabilitatea, pacea si constructia unei societati
moderne, democratice conectata la valorile e uro-atlantice.
Securitatea cibernetica, terorismul si infrastructurile critice de informatii – noi provocari
pentru managementul culturii de securitate si spatiul geop olitic. ”101
Domeniul securității cibernetice a început să capete noi dimensiuni odată cu creșterea
gradului de automatizare a nivelului tehnologic și extinderea și amplificarea amenințărilor
cibernetice. În același timp, evoluția contextului geopolitic a impus o nouă paradigmă a culturii
securității naționale, în care dimen siunea cibernetică capătă o importanță crescândă alături de
celelalte domenii care vizează securitatea națională. Spațiul cibernetic se caracterizează prin
lipsa frontierelor, dinamism și anonimat, generând deopotrivă atât oportunități de dezvoltare a
societății informaționale bazate pe cunoaștere, cât și riscuri la adresa funcționării acesteia (la
nivel individual, statal și chiar cu manifestare transfrontalieră).
Alături de beneficiile incontestabile pe care informatizarea le induce la nivelul s ocietății
moderne, ea introduce și vulnerabilități, astfel că asigurarea securității spațiului cibernetic
trebuie să constituie o preocupare majoră a tuturor actorilor implicați, mai ales la nivel
instituțional, unde se concentrează responsabilitatea elabo rării și implementării unor politici
aplicate domeniului de referință.
România urmărește atât dezvoltarea unui mediu informațional dinamic, bazat pe
interoperabilitate și servicii specifice societății informaționale, cât și asigurarea respectării
drepturilor și libertăților fundamentale ale cetățenilor și a intereselor de securitate națională cu
respectarea prevederilor cadrului normativ în domeniu. Din această perspectivă se resimte
necesitatea dezvoltării culturii de securitate cibernetică a uti lizatorilor sistemelor informatice
101 Hotărîrea CSAT, ședința din 23 iunie 2003, Doctrina națională a informațiilor pentru securitate și societate
civilă
69
și de comunicații, adesea insuficient informați în legătură cu potențialele riscuri, dar și cu
soluțiile de contracarare a acestora. Nivelul culturii de securitate cibernetică trebuie adaptat la
nivelul amenințării cibern etice și coroborat, în același timp, cu o mobilizare generală în
identificarea valorilor naționale care vizează resursa umană care trebuie specializată și
implicată în aceast domeniu.
Evoluția recentă a atacurilor cibernetice din țara noastră sit uează amenințarea cibernetică
printre cele mai dinamice amenințări actuale la adresa securității naționale. România abordează
domeniul securității cibernetice ca o dimensiune importantă a securității naționale, asumându –
și angajamentul de a asigura cadrul normativ în domeniu pentru a face față cerințelor
internaționale și care să faciliteze, pe baze voluntare, cooperarea bilaterală și schimbul prompt
și eficient de informații între autoritățile competente pentru combaterea utilizării Tehnologiei
Informației și Comunicațiilor/ICT în scopuri teroriste sau criminale. Documentele privind
Strategia de Securitate Cibernetică a României și proiectul de Lege a Securității Cibernetice a
României urmăresc implementarea unor măsuri de securitate menite să sporească niv elul de
protecție a infrastructurilor cibernetice, în concordanță cu normele aplicabile în cadrul NATO
și UE.
Toate acele incidente care au avut loc, de -a lungurl anilor (11 septembrie este unul
dintre ele) demonstrează clar două lucruri:
„1. Până în prezent, cei mai periculoși actori în domeniul cibernetic sunt tot statele –
națiuni. În pofida unor capabilități ofensive aflate din ce în ce mai mult la dispoziția rețelelor
criminalității care ar putea să fie folosite în viitor, de asemenea, de ac tori non -statali precum
teroriștii, spionajul și sabotajul de înaltă sofisticare în domeniul cibernetic au în continuare
nevoie de capabilitățile, hotărârea și rațiunea cost -beneficii ale unui stat -națiune.
2. Pagubele fizice și terorismul cibernetic cinetic real nu s -au produs încă. Dar este clar
că tehnologia atacurilor evoluează de la mici probleme agasante la o amenințare serioasă la
adresa securității informațiilor și chiar la adresa infrastructurii naționale de o importanță
crucială. ”
3.1 Securitatea industrial ă
În cadrul sectorului industrial, și nu numai, în privința metodelor de protejare a a
mijloacelor de păstrare și transmitere a informației de la accesul nesancționat se referă:
”-organizațional -tehnice de bază , inclusiv:
70
-limitarea accesului;
-delimitarea accesului;
-separarea accesului (privilegiilor);
-transformările criptografice a informației;
-controlul și evidența accesului;
-măsuri legislative, etc.
-suplimentare , condiționate de: 1.complicarea procesului de prelucrare: mărirea
numărului de mijloace tehnice, numărului și a tipurilor acțiunilor stocastice, apariția noilor
canale de acces nesancționat; 2.mărirea volumelor informației, concentrarea informației,
mărire a numărului de utilizatori, etc. , inclusiv:
-metodele controlului funcțional, ce asigură depistarea și diagnosticarea
refuzurilor, perturbărilor aparaturii și erorilor condiționate de factorul uman, precum și
erorile de program;
-metodele de protecție a informației de la situații de avariere;
-metodele de control a accesului la montarea internă a aparatelor, liniei de
comunicație și organele tehnologice de gestiune;
-metodele de delimitare și control a accesului la informație;
-metodele de identificare și autentificare a utilizatorilor, a mijloacelor tehnice,
a purtătorilor de informație și a documentelor;
-metodele de protecție de la radiația secundară și navodok a informației. ”102
„Tehnologiile de restricție sunt menite să limiteze accesul la informație. Din această
categorie fac parte:
1. Controlul accesului este un termen folosit pentru a defini un set de tehnologii de
securitate care sunt proiectate pentru restricționarea accesului. Aceasta presupune ca numai
persoanele care au pe rmisiunea vor putea folosi calculatorul și avea acces la datele stocate.
Termenul de control al accesului (acces control) definește un set de mecanisme de control
implementate în sistemele de operare de către producători pentru restricționarea accesului. De
această facilitate beneficiază sistemele de operare Windows, UNIX, Linux etc.
2. Identificarea și autentificarea , folosindu -se de conturi și parole, permit doar accesul
utilizatorilor avizați la informație. Identificarea și autentificarea poate fi făcut ă și cu ajutorul
102 Adrian Gheorghe, Analiza de riscsi de vulnerabilitate pentru infrastructurile critice ale societatii informatice –
societate a cunoasterii, www.academiaromana.ro
71
cartelelor electronice (smart card) sau prin metode biometrice. Acestea presupun identificarea
după amprentă, voce, irisul ochiului etc.
3. Firewall -ul reprezintă un filtru hardware sau software care stopează un anumit trafic
prestabilit din rețea și permite trecerea altuia. Firewall -ul se interpune între rețeaua internă și
Internet și filtrează pachetele care trec. De asemenea, firewall -ul poate fi folosit și în interiorul
propriei rețele pentru a separa subrețele cu nivele diferite de se curitate.
4. VPN36 -urile permit comunicarea sigură între două calculatoare aflate într -o rețea. O
conexiune VPN se poate realiza atât în rețeaua locală, cât și în Internet. VPN folosește
tehnologii de criptare avansată a informației care face ca aceasta s ă nu poată să fie modificată
sau sustrasă fără ca acest lucru să fie detectat.
5. Infrastructura cu chei publice (PKI) își propune să asigure securitatea în sisteme
deschise, cum ar fi Internetul, și să asigure încrederea între două persoane care nu s -au cunoscut
niciodată. Într -o structură PKI complet., fiecare utilizator va fi complet identificat printr -o
metodă garantată, iar fiecare mesaj pe care -l trimite sau aplicație pe care o lansează este
transparent și complet asociat cu utilizatorul.
6. Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite
criptarea și autentificarea comunicațiilor Web utilizând PKI pentru autentificarea serverelor și
a clienților. Lucrează foarte bine cu servere WWW. Este implementat în mai multe ve rsiuni.
Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea mai sigură, dar este mai greu
de implementat.
7. Semnătură doar o dată (SSO) dorește să debaraseze utilizatorul de mulțimea de
conturi și parole care trebuie introduse de fiecare dată când accesează și reaccesează programe.
Pentru aceasta utilizatorul trebuie să se autentifice o singură dată. Dezideratul este greu de
realizat datorită varietății de sisteme. Deocamdată acest lucru se poate realiza în cadrul firmelor
care au același tip de sisteme. Web -ul folosește un subset SSO numit Web SSO, funcționarea
fiind posibilă datorită faptului ca serverele Web folosesc aceeași tehnologie. „103
„Pe lângă tehnologiile de restricționare, securitatea sistemelor trebuie
administrată, monitorizată și întreținută . Pentru aceasta trebuie efectuate următoarele operații:
• administrarea sistemelor de calcul , care presupune și controlul și întreținerea modului
de acces la acestea de către utilizatori ; un utilizator care folosește o parolă scurtă sau care este
ușor de ghicit va face ca acel calculator să fie ușor de penetrat. Atunci când un angajat este
103 ENISA, Proactive Detection of Security Incidents, Honeypots , 2012, disponibil la http://www.enisa.europa.eu/
72
concediat sau pleacă pur și simplu din alte motive de la firma respectivă, trebuie schimbate
denumirile utilizatorului (user37) și parola; denumirea user -ului și a parolei trebuie făcută cu
foarte mare atenție și mare responsabilitate; sarcina este de competența persoanei însărcinate
cu securitatea; parolele vor conține atât cifre, cât și litere, pentru a face ghicirea lor cât mai
grea, și vor fi schimbate pe riodic; divulgarea parolei altor persoane va fi sancționată
administrativ;
• detectarea intrușilor ; trebuie făcută permanent; pentru aceasta există programe care
controlează traficul și care țin jurnale de acces (log); verificarea se va face la nivelul f iecărui
calculator din firmă; trebuie făcută aici distincție între încercările de intruziune din afară și cele
din interior; de asemenea, trebuie separate încercările de acces neautorizat din rețeaua internă
de accesul neautorizat la un calculator lăsat ne supravegheat de către utilizator.
• scanarea vulnerabilităților ; este de fapt o analiză a vulnerabilității, presupune
investigarea configurației la nivel intern pentru detectarea eventualelor găuri de securitate;
acesta se face atât la nivel hardware, cât și software; folosirea unui scanner de parole va avea
ca efect aflarea parolei în câteva secunde, indiferent de lungimea acesteia;
• controlul virușilor ; se va face pentru a detecta și elimina programele malițioase din
sistemele de calcul; acestea se pot repede împrăștia la toate calculatoarele din sistem și pot
paraliza funcționarea acestora sau pot produce distrugeri ale informației; se impune obligatoriu
să fie instalate programe antivirus, actualizarea semnăturilor de viruși să se facă cât mai des,
iar scanarea pentru detectarea virușilor să se facă de oricâte ori este nevoie. ”
3.2 Analiza securit ății cibernetice în cadrul Societ ății S.C.
Nuclear&Vacuum SA
3.2.1 Prezentare S.C. Nuclear&Vacuum SA
Societatea oferă multiple servicii în cele mai performanțe domenii, cum ar fi aplicațiile
în domeniul vidului mediu și înalt, servicii de iradiere la radiații fotonice a dozimetrelor
individuale, verificări metrologice, etalonari de sisteme dozimetrice de radioprotectie și de
mediu .
Tot aici se produc sisteme de transport fascicule, electromagneți de deviație, de corecție,
solenoizi, lentile cuadripolere, precum și diverse instalații de gamagrafie.
73
Ca și istoric, în 1977 a fost înființată pe platforma Măgurel e Fabrică de Aparatură
Nucleară (FAN), ce va fi transformată în 1990 în Întreprinderea de Aparatură Nucleară și apoi,
în 1991 în actuală societate Nuclear&Vacuum.
Din 1980 FAN a dezvoltat o structura de producție specială, menită să acopere nevoile
specifi ce de material și echipament nuclear din sectoarele apărării și securității publice.
Actualmente, societatea și -a mărit sfera de activitate, pe lângă sectoarele de interes
național și stategic, precum detecția nucleară, tehnologia de detecție a gazelor, te hnologia
vidului, optronica, electronică nucleară, societatea dezvoltându -se și în alte direcții comerciale.
Pe lângă sectoarele industriale de interes național și strategic, precum detectarea nucleară,
tehnologia de detectare a gazelor, tehnologia vidului, optronica, electronică, sectorul apărării,
compania a dezvoltat o activitate de prelucrare mecanică, cu comenzi pentru industria auto,
având că clienți: PEUGEOT CITROEN SĂ, ABB Franța, PINGUELY HAULOTTE Franța,
DAVID BROWN Franța, CMD F ranța, ALFATEC Franța, BERTHOUD AGRICOLE Franța .
SC Nuclear & Vacuum oferă clienților următoarele servicii:
1. Tăierea mecanică a profilelor cu un diametru maxim de 230mm;
2. Tăierea oxigenului
o până la grosimea maximă de 180mm;
o suprafață utilă 2500x6000mm;
o 4 capete de tăiere simultan.
3. Tăierea mecanică a foilor subțiri
o grosime maximă 5 mm;
o lungime utilă de tăiere 2000mm.
4. Pliere
o grosime maximă 5 mm;
o lungime de pliere utilă 2000mm.
5. Apăsare cu preșe TF 6,3; 12,5 TF; 100 TF.
6. Sudare
o electric;
o mediu de protecție;
o PERUCĂ;
o MIG.
7. Prelucrare
o turn universal;
o diametru maxim 730mm, lungime utilă 2000mm;
74
o Turnul Carrusel;
o diametru rotativ util 2500mm, lungime maximă 1000mm;
o freza universală;
o suprafață utilă maximă: 400x1000mm;
o cap orizontal și vertical;
o centre controlate digita l;
o dimensiunea maximă de procesare: 4000 × 1400x800mm;
o precizia prelucrării ± 0,01 mm;
o mașînă de găurit cu precizie și de foraj;
o suprafață utilă: 400x300x300mm;
o precizia prelucrării ± 0,001mm.
8. Rectificare
o plat – suprafață maximă utilizabilă: 400x1000mm;
o rotund – diametrul maxim de prelucrare 300mm.
9. Diverse tratamente termice
o dimensiune maximă: 200x200x500mm.
10. pictură
o dimensiunea maximă a cabinei 40m²;
o protecție electrochimică corozivă: rumenire, nichelare, zincare, anodizare.
11. Sablare
o plumb – dimensiunea camerei 4m³;
o capăt – dimensiunea camerei 0,5 m³.
12. Înfășurare și electronică industrială
În atelierul de tratament mecanic se pot efectua următoarele operații:
• tăiere mecanică și tăiere cu flacără;
• tratamente mecanice (strunjire, frezare, borkwerk, planificator, centrare, coordonare,
șlefuire, centre de prelucrare);
• sudare;
• lăcătuș.
În cadrul companiei există și un atelier de pictură, cu o suprafață de cabină maximă de
40m².
În același timp, se realizează toate tipurile de protecție electrochimică a nticorozivă:
rumenire, nichelare, zincare, anodizare.
Putem efectua sablare:
75
• plumb – dimensiunea camerei 4m³;
• subțire – dimensiunea camerei 0,5 m³.
Prelucrarea cu precizie se realizează cu aplicații în fizică.
Materialele tratate includ: oțel, aliaj de oțel, aliaj de oțel înalt, oțel inoxidabil austenitic,
oțel inoxidabil martensitic, metale neferoase, materiale izolante: poliamidă, duramidă, teflon,
PVC etc.
În atelierul de tratament mecanic, se efect uează:
1. Șasiu
o a susține;
o poziționare;
o pliabil.
2. Containere
3. carcasele
În atelierul de echipamente de vid, sunt produse aplicații de vid mediu și mare, cum ar
fi:
• Sisteme de vid
• Echipamente de vid
• Elemente de conectare tipice pentru asamblare
• Circuite de vid
• Site-uri
• Robinete de vid
În unitatea nucleară, compania este autorizată să utilizeze:
– suporturi de radiații
– panoramice, colimatoare, precum și pentru radiații fotonice ale dozimetrelor
individuale (foto -dozimetre, dozimetre termo -luminescențe) pentru calibrarea sistemelor de
dozimetrie de protecție împotriva radiațiilor și mediu.
Producem și:
• Instalații de radiografie
• Ecrane de protecție împotriva radiațiilor
• Contaminomet re
• Casete foto -dozimetrice
• Standuri de calibrare – colimatoare panoramice, pentru echipamente dozimetrice pentr u
radiații gamma
76
În laboratorul de metrologie oferim servicii de verificare metrologică pentru debitmetre
și dozimetre pentru radiații X și / sau gamma, contaminare cu alfa și / sau beta, măsurători de
dozimetrie pentru protecția împotriva radiațiilor.
În atelierul de lichidare, produse electronice industriale sunt produse:
• Transformatoare de putere mică.
• Înfășurare variată, la comandă (la proiectul clientului).
Clienții principali ai societății sunt MBT și Weco , ca și societăți importante și CERN
și Dubna , ca și Institute de Cercetare renumite, la care se adaugă Centrala nucleară de la
Cernavodă.
3.2.2 Studiul de caz – Container iradiator
Pentru studiul de caz, am ales un produs creat și proiectat de societatea analizată, și
anume containerul iradiator , produs creat la solicitarea clienților.
Inventia este un subansablu generator de radiatii gamma, care face parte din instalatia
de scanat ROBOSCAN, destinata serviciilor vamale, armatei, aeroporturilor si companiilor
aeriene . Containerul iradiator de tip A este realizat in conformitate cu Ordinul CNCAN
nr.357/2005, contine surse radioactive inchise 60 -Co si Se-75, clasificate, conform ISO 2919,
si are autorizatie de securitate rdiologica emisa de CNCAN nr. AI 1533 / 2012 cu val abilitate
19.12.2015.
Figura 9 – CONTAINER IRADIATOR TIP A COD (W -Pb)2 -800
77
Inventia se refera la un container tip A, parte componenta a instalatiei de scanare
ROBOSCAN , care realizeaza scanarea tirurilor, autoturismelor, bagajelor, containerelor
folosind alternativ sau simultan cele doua surse de radiatii gama continute, asigurand o mai
buna imagistica pentru detectarea marfurilor de contrabanda. Sursele sunt permanent in
interiorul container ului protejat.
Containerul are doua rolu ri, in primul rand cel de container tehnologic de scanare al instalatiei
ROBOSCAN si cel de container de transport tip A al surselor continte, de la unitatea ce
realizeaza incarcarea cu cele doua surse, la unitatea ce realizeaza instalarea, montarea pe
instalatie si scanarea precum si retur la unitatea ce efectueaza reincarcarea cu surse noi de
radiatii.
Inventia ( Fig ura 10 ) este compusa dintr -un container propriu -zis (12), doua portsurse
cu surse radioactive inchise ( 13,14) , un sistem de actionare(15÷40 ), capac de protectie a
limitatorilor de cursa sau a tijelor de zavorare (8), capac de protectie al sistemului de actionare
(15), capac de protectie a limitatorilor de cursa sau a tijelor de zavorare (45), tijele de zavorare
a portsurselor (41÷44). si ti ja pentru deblocarea portsursei in caz de incident radiologic (figura
3 poz.T).
Figura 10 – Structura container iradiator
78
3.3 Strategie/Plan de implementare a securit ății cibernetice la
obiectivul de infrastructură critică în cadrul societății S.C. Nuclear&Vacuum
SA
Ținând cont de datele sensibile pe care societatea le folosește, aceasta trebuie să -și
dezvolte în permanență un sistem la nivel informatic , dar și de comunicații și în cazul asigur ării
securității corespunzătoare inform ațiilor considerate clasificate , dispuse în cadrul acestuia, o
dată cu etapa de proiectare , vor avea capacitatea de a lua în considerare riscurile la adresa
sistemului. Riscul cu privire la securitate informațiilor, reprezintă probabilitatea c ă în cazul
unei ameninț ări la adresa un ei structuri (la modul general) să folosească la maxim fiecare zonă
sensibilă a sistemului de securitate al acestuia.
Astfel că societatea iși dezvoltă în permanență proceduri în vederea asigurării măsurilor
de securitate precum:
• „nivelul de autorizare necesar pentru modificarea configurației echipamentului,
introducerea de hardware și software nou sau schimbarea oricărei componente
hardware, inclusiv placa de bază care poate stoca, procesa sau transmite informații
clasifi cate;
• orice restricții impuse referitoare la realizarea sau nu a întreținerilor periodice;
• detalii referitoare la procedurile de diagnosticare;
• specificații referitoare la programele de întreținere periodică, inclusiv instrucțiuni
pentru identificarea rapo artelor de diagnosticare care pot conține informații clasificate;
• detalii de securitate referitoare la identificarea, păstrarea și controlul pieselor de schimb
și accesoriilor .”
În privința măsurilor de natură software, sunt actualizate frecvent procedurile de
securitate, precum următoarele:
o „stabilirea conturilor de utilizator – proceduri de stabilire a conturilor utilizatorilor, a
grupurilor de utilizatori și de alocare a identificatorilor utilizatorilor, proceduri de
ștergere a conturilor utilizatorilor în cazul plecării personalului de la post sau atunci
când a fost detectată o compromitere a contului respectiv;
o metode și mecanisme de autentificare – include proceduri referitoare la protecția
informațiilor de autentificare (de exemplu, parole sau metode biometrice), procedurile
de control și schimbare, autoritatea emitentă, ținerea înregistrărilor de control și de către
cine, frecvența schimbării și procedurile utilizate pentru mecanismul de autentificare;
79
o controlul accesului i nclude proceduri de implementare a controlului accesului liber
și/sau obligatoriu la informații/servicii/dispozitive, proceduri pentru stabilirea
drepturilor utilizatorilor și permisiuni pentru utilizarea serviciilor și resurselor SIC,
detalii despre autor itățile responsabile și tinerea evidențelor privind controlul;
o utilizarea software -ului de arhivare/back -up – include proceduri referitoare la
modalitățile de efectuare a back -up-ului, de către cine, când, pe ce medii de stocare.
o controlul copiilor – controlul asupra facilităților de copiere sau de modificare ale
sistemului de operare, cu detalii despre autoritatea și documentația necesară;
o utilizarea software -ului de audit și a procedurilor de validare – ce, de către cine, cu ce
frecvență și ce înregistrări se păstrează .”
Pentru ca date să fie protejate, societatea s -a angajat în pregătirea personalului cu privire
la securitatea informațiilor clasificate cu care lucrează, astfel că această pregătire de securitate
a angajaților, se face concomiten t cu pregătirea/instruirea de securitate, sunt necesare activități
pe linia conștientizării necesității și importanței securității informațiilor clasificate de către
persoanele care, într -un fel sau altul, vin în contact cu astfel de informații, indiferen t de nivelul
de clasificare al informațiilor/documentelor respective.
Conștientizarea, în general, este sentimentul responsabilității morale față de ceva
dinainte stabilit. Ținta care se va urmări prin conștientizarea de securitate este securitatea
infor mațiilor clasificate accesate. Aceasta se poate realiza de către posesorii de certificate de
securitate, prin cunoașterea și respectarea întocmai a normelor în domeniu și pe deplin convinși
fiind de importanța acțiunilor sau inacțiunilor proprii, de conse cințele economice, sociale sau
de altă natură ale faptelor lor. 104
Un program de conștientizare de securitate are următoarele scopuri:
• „să asigure faptul că persoanele, în momentul preluării postului, conștientizează
importanța securității în instituție, precum și valoarea informațiilor pe care le vor
gestiona;
• să asigure că persoanele, pe perioada ocupării postului respectiv, continuă să
conștientizeze și să respecte cerințele de securitate ale instituției;
• să asigure că, la plecarea lor din p osturile respective, persoanele conștientizează în
continuare responsabilitățile referitoare la securitate.
104 Mihai Corneliu Drăgănescu, informatician important al României, creatorul școlii românești de
dispozitive electronice, cu preocupări filozofice, Inelul lumii materiale, Editura Științifică și
Enciclopedică, 1989 .
80
• să fie instruite toate persoanele asupra procedurilor și obligațiilor lor de securitate,
precum și cu privire la:
o riscurile de securitate ce ar put ea reieși din discuțiile indiscrete cu persoane care
nu au „principiul nevoii de a cunoaște”;
o relația acestora (a persoanelor angajate) cu presa;
o amenințarea prezentată de „persoane indiscrete/curioase” (spioni sau trădători) în
ce privește informațiile și activitățile desfășurate în țările NATO, UE și țările
membre, societățile comerciale deținătoare de astfel de informații;
• să transmită tuturor persoanelor care nu mai îndeplinesc atribuții ce presupun accesul
la informații clasificate, fie că au fost mutate pe funcții care nu necesită acces, fie au
plecat din instituție, în orice mod, responsabilitățile pentru securitatea continuă a
informațiilor clasificate;
• să sensibilizeze personalul asupra obligației de a raporta fără întârziere autorită ților de
securitate orice abordare care dă naștere la suspiciuni privind activitatea de spionaj sau
orice fel de împrejurări neobișnuite legate de serviciile de securitate, incidente de
securitate;
• instruirea se face diferențiat, pe niveluri de secretizar e;
• după fiecare instruire, persoana va semna de luare la cunoștință.
o Este necesara instruirea membrilor personalului: la încadrarea pe funcție care
necesită acces;
o la retragerea certificatului de securitate;
o la plecarea din instituție;
o în cazul călătoriilo r private executate de o persoană care are acces la informații
clasificate;
o ori de câte ori este cazul. ”
Când se produc INCIDENTE DE SECURITATE, acestea pot indica necesitatea unei
acțiuni de corectare sau completare a instrucțiunilor de securitate existente, o educație de
securitate suplimentară nu numai măsuri disciplinare. Trebuie profitat de fiecare ocazi e pentru
a folosi incidentele de securitate ca mijloc de a oferi o educație de securitate persoanelor care
au acces, și nu numai. 105
Pe lângă toate aceste restricții, securitatea sistemelor trebuie administrată, monitorizată
și întreținută . Pentru aceasta trebuie efectuate următoarele operații:
105 Corneliu Pivariu, Lumea secretelor, Ed. Pastel Brașov, 2005.
81
• administrarea sistemelor de calcul , care presupune și controlul și întreținerea modului
de acces la acestea de către utilizatori ; un utilizator care folosește o parolă scurtă sau care este
ușor de ghicit va face ca acel calculator să fie ușor de penetrat. Atunci când un angajat este
concediat sau pleacă pur și simplu din alte motive de la firma respectivă, trebuie schimbate
denumirile utilizatorului (user37) și parola; denumirea user -ului și a parolei treb uie făcută cu
foarte mare atenție și mare responsabilitate; sarcina este de competența persoanei însărcinate
cu securitatea; parolele vor conține atât cifre, cât și litere, pentru a face ghicirea lor cât mai
grea, și vor fi schimbate periodic; divulgarea p arolei altor persoane va fi sancționată
administrativ;
• detectarea intrușilor ; trebuie făcută permanent; pentru aceasta există programe care
controlează traficul și care țin jurnale de acces (log); verificarea se va face la nivelul fiecărui
calculator din firmă; trebuie făcută aici distincție între încercările de intruziune din afară și cele
din interior; de asemenea, trebuie separate încercările de acces neautorizat din rețeaua internă
de accesul neautorizat la un calculator lăsat nesupravegheat de către utilizator.
• scanarea vulnerabilităților ; este de fapt o analiză a vulnerabilității, presupune
investigarea configurației la nivel intern pentru detectarea eventualelor găuri de securitate;
acesta se face atât la nivel hardware, cât și software; folosirea unui scanner de parole va avea
ca efect aflarea parolei în câteva secunde, indiferent de lungimea acesteia;
• controlul virușilor ; se va face pentru a detecta și elimina programele malițioase din
sistemele de calcul; acestea se pot repede împrăștia la to ate calculatoarele din sistem și pot
paraliza funcționarea acestora sau pot produce distrugeri ale informației; se impune obligatoriu
să fie instalate programe antivirus, actualizarea semnăturilor de viruși să se facă cât mai des,
iar scanarea pentru detec tarea virușilor să se facă de oricâte ori este nevoie.
82
CONCLUZII
În privința evoluții lor internaționale la momentul actual, di n domeniul securității , ține
să accentueze caracterul dinamic, complex și fluid al riscurilor și amenintarilor c are au impact
direct asupra modelului de funcționare a instituțiilor statale cu atribuții în securitatea națională ,
implicit a operatorilor economici cu domenii de activitate deosebite, precum cel nuclear .
În acest sens, relațiile dintre state și actorii non -statali au devenit o coordonată
importantă a descifrării dinamicii de securitate atât la nivel national, cât și international, iar
necesitatea de informare devine din ce în ce mai stringentă.
Luând în considerare cele prezentate cât și situația specifică națională, în condițiile
actuale ale noului mediu de securitate, rezultă că existența unor structuri de informații, bine
pregătite și înzestrate tehnic, constituie o necesitate obiectivă a societății actuale.
Este bine cunoscut ca în domeniul sec urității naționale, câștigarea și menținerea
avantajului informației, a eficienței actului de decizie se realizează prin operațiile
informaționale. Folosirea operațiilor informaționale ne oferă avantajul de a domina partea
adversă concomitent cu protejarea interselor proprii.
Informația reprezintă cel mai important ingredient în sprijinul intenției decidenților de
a realiza obiective în termenii de timp, spațiu și scop. Modernizarea, perfecționarea și dotarea
tehnică a structurilor de informații asigură pro curarea necesarului de informații și exploatarea
lor oportună în scopul contracarării acțiunilor adverse.
Oamenii, cei care iau decizia la toate nivelele sunt cea mai importantă parte a sistemului
de informații.
83
BIBLIOGRAFIE
1. Weissberg, Matthew, Conceptualizing Human Security , în „Swords and Ploughshares.
A Journal of International Affairs” – online version http://www.american.edu, Spring
2003, Volume XIII, No. 1, pp. 3 -11 și Hampson, Fen Olsen, Madness in the Multitude:
Human Security and World Disorder , Ontario, Oxford University Press, 2002,
http://www.oup.com
2. John Keegan – Intelligence in War – the value and limitations of what the military can
learn about the enemy, Vintage Books of Random House Inc., New York, 2004, p. 10.
3. John Naisbitt – Megatendințe, Editura Politică, București, 1989, p. 315.
4. Cernăianu Adrian – Infrastructura teritorială. Concepte, componente, utilitate ,
București, 2003
5. Joseph E. Stiglitz și Carl E. Walsh – Economie , edi ția a 3-a, Editura Economică,
București, 2005
6. Dicționarul explicativ al limbii române , Editura Univers Enciclopedic, București, 1998
1. http:// Whatis.com
7. Critical Infrastructure Protection Concept Document, EAPC[CPC]WP[2003]3
8. Albert Speer – În umbra lui Hitler – memorii , vol.1, Editura Nemira, București, 1997.
9. Pat Choate and Susan M. Walter – America in Ruins , Durham, N.C.: Duke University
Press, 1981.
10. *** Newsweek, sept. 1, 2008, p. 22.
11. Philip E. Auerswald and contributors – Seed or Disaster, Roots of Response. How
Private Action Can Reduce Public Vulnerabili ty, Cambridge University Press, 2007
12. Marian Zulean – Armata și Societatea în tranziție , Editura Tritonic, București, 2003, p.
118-121.
13. Green Paper on a European Programme for Critical Infrastructur e Protection, COM
(2005) 576 final.
14. Thomas L. Friedman – Pământul este plat – scurtă istorie a secolului XXI , Editura Polirom,
București, 2007 p. 283.
15. Steward D. Personick and Cynthia A. Patterson – Critical Information Infrastructure
Protection And The La w: An overview of Key Issues , National Research Council of the
84
National Academies, Personick and Patterson Editors, Washington D.C., 2003.
16. Donald Snow – National Security for a New Er a, Pearson Longman, New York, 2007
17. Peter F. Drucker – Realitățile lumii de mâine , Editura Teora, București, 1999, cap. 15,
p. 231 -223.
18. Cosmin Marinescu în „Instituții și prosperitate. De la etică la eficiență ”, Editura
Economică, București,
19. Henry Mintzberg – The Rise and Fall of Strategic Planning , Basic Books, 1994.
20. Teodor N. Țîrdea – Sinergetică, aliniaritate, autodezvoltare. Calea spre știința
postneclasică. Chișinău, 1998, p. 31 -39,
21. http://www.britannica.com
22. Hotărârea Guvernului nr.362/1998 pentru aprobarea Strategiei de privatizare a
societăților comerciale pentru anul 1998
23. Hotărîrea CSAT, ședința din 23 iunie 2003, Doctrina națională a informațiilor pentru
securitate și societate civilă
24. Richard Stup – Standard Operating Procedures: Managing the Human Vari ables ,
Pennsylvania State University, National Mastitis Council Regional Meeting
Proceedings, 2002.
25. George Moldoveanu – Analiză și comportament organizațional , Editura Economică,
București, 2005, p. 19
26. George Moldoveanu – Analiză și comportament organizaț ional , Editura Economică,
București, 2005, p. 289.
27. „Comunitatea internațională trebuie să fie conștientă de faptul că o mică încăierare
cibernetică ar putea fi precursorul unui conflict cibernetic major, care ar putea
declanșa un angajament c inetic regional, care va avea repercusiuni internaționale”,
John Bumgarner, Chief Technology Officer, US Cyber Consequences Unit, Jane’s
Defence Weekly , 29 septembrie 2010.
28. Richard A. Clarke & Robert K. Knake, Cyber War: The Next Threat to National
Security and What to do About it , New York, Ecco, 2010, pp. 103 -149
29. Strategia de Securitate Cibernetică a României , p. 7, disponibil la https://cert.ro/
30. International Journal of Cybernetic and Informatics , vol. 1, nr. 1/2004
85
31. Presidentia l Directive PDD -63
32. ENISA, National Cyber Security Strategies , p. 4, 2012, disponibil la
www.enisa.europa.eu
33. http://www.dhs.gov/national -strategy -secure -cyberspace,
34. http://www.bankinfosecurity.com/
35. recomandările formulate de North American Electric Reability Corporation / NERC
36. http://www.coe.int/en/web/conventions/full -list/-/conventions/treaty/185
37. COM(2010) 2020 final
38. COM(2010) 245 final
39. Critical Infrastructure Warning Information Network
40. http://eur -lex.europa.eu/
41. Disponibil la http://ccpic.mai.gov.ro/, accesat la 15.11.2015
42. JOIN (2013) 1 final
43. http://www.bsa.org/
44. http://www.itu.int/en/Pages/default.aspx
45. http://www.ucd.ie/cci/, accesat la 25.01.2020
46. https:// www.enisa.europa.eu/,
47. http://www.agerpres.ro/, accesat la 30.01.2020
48. revista Intelligence nr.31/ 2016, p. 27
49. https:// www.comunicatii.gov.ro/legislatie/,
50. http://www.presidency.ro,
51. Strategia Națională de Apărare a Țării pentru perioada 2015-2019, pp. 14-15
52. Strategia de securitate cibernetică a României , p. 7
53. http://www.mediafax.ro/, accesat la 01.08.2016
54. Thomas Rid & Peter McBurney (2012) Cyber -Weapons , The RUSI Journal,17:1, pp.
6-13, DOI: 10.1080/03071847.2012.664354
55. Strategia de Securitate Cibernetică a României , p.8
56. Strategia Națională de Apărare a României
57. Martin C. Libicki, Cyberdeterrence and Cyberwar , RAND, 2009
58. ENISA, Proactive Detection of Security Incidents, Honeypots , 2012, disponibil la
http://www.enisa.europa.e u/
59. Ministerul Comunicațiilor și Societății Informaționale, “Strategia de securitate
cibernetică a României”
86
60. Adrian Gheorghe, Analiza de riscsi de vulnerabilitate pentru infrastructurile critice ale
societatii informatice -societate a cunoasterii, www.academ iaromana.ro
61. Andreescu Anghel, Nita Dan, Terorismu – analiza psihologica, Editura Timpolis,
Timisoara, 1999.
62. Baltac Vasile, Vulnerabilitatea sistemelor in contextul internet, www.softnet.ro .
63. www.criminalitatea -informati ca.ro
64. Mihai Corneliu Drăgănescu, informatician important al României, creatorul școlii
românești de dispozitive electronice, cu preocupări filozofice, Inelul lumii materiale,
Editura Științifică și Enciclopedică, 1989.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Proiect Disertatie Victor 07,07,2020.docx [604194] (ID: 604194)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.