Teza Eugen Prelucrata 15.02.2018 [632048]
NECLASIFICAT
1
din
284
MINISTERUL APĂRĂRII NAȚIONALE
NECLASIFICAT
Universitatea Na
țională de Apărare „Carol I”
Exemplar nr. __
Nr. _____ din ____________
L
t. col.
(r)
drd.
Eugen Valeriu POPA
TEZA DE DOCTORAT
TEMA:
„
SECURITATEA CIBERN
ETICĂ
ÎN CONTEXTUL
SECURITĂ
ȚII EURO
ATLANTICE
”
CONDUCĂTOR DE DOCTORAT
G
–
ral (r)
p
rof.
u
niv.
d
r. T
eodor
FRUNZETI
Teză elaborată în vederea obținerii
titlului de DOCTOR în
INFORMAȚII
și SECURITATE NAȚIONALĂ
–
Bucure
ști
, 201
8
–
NECLASIFICAT
NECLASIFICAT
2
din
284
Pagină albă
NECLASIFICAT
NECLASIFICAT
3
din
284
CUPRINS
INTRODUCERE
…………………………..
…………………………..
…………………………..
……
7
Capitolul 1
ANALIZA NIVELULUI DE SECURITATE CIBERNETICĂ
PE SPA
ȚIUL EUROATLANTIC
…………………………..
…………………………..
……….
17
1.1. D
efini
ții și concepte
specifice spa
țiului cibernetic
…………………………..
…………
17
1.1.1. D
efinirea spa
țiului cibernetic
…………………………..
…………………………..
..
18
1.1.2. P
erspective de an
aliză a securită
ții cibernetice
…………………………..
…….
22
1.1.3. C
oncepte folosite în ab
ordarea securită
ții cibernetice
………………………..
28
1.1.4. A
trib
ute ale securită
ții cibernetice
…………………………..
………………………
33
1.1.5. C
oncepte
specifice războiului cibernetic
…………………………..
……………..
36
1.2. O
rganismele
NATO
cu rol în do
meniul apăr
ării cibernetice
………………………..
45
1.2.1. D
efinirea conceptului de securitate cibernetică
în cadrul
NATO
………..
47
1.2.2. S
tructuri
NATO
im
plicate în apărarea cibernetică
…………………………..
..
50
1.2.3. M
anualul de la
T
allinn
…………………………..
…………………………..
………….
58
1.2.4. T
endin
țe de evoluție ale capabilităților de apărare c
ibernetică
a
NATO
…………………………..
…………………………..
…………………………..
…
63
1.3. A
naliza politicii de securitate cibernetică a
SUA
…………………………..
…………..
65
1.3.1. D
ocumentele strategice care reglementează securitatea
cibernetică a
SUA
…………………………..
…………………………..
………………..
66
1.3.1.1. Ini
țiativa Națională
de Securitate Cibernetică a SUA
…………….
69
1.3.1.2. Revizuirea
Politicii
Cyberspa
țiului (2009)
…………………………..
76
1.3.1.3. Strategia In
terna
țională pentru Cyberspațiu
………………………….
80
1.3.1.4. Strategia de Operare în Spa
țiul Cibernetic
a Departamentul
ui Apărării al
SUA
(iulie 2011)
…………………..
86
1.3.1.5. Strategia Cibernetică a Departamentului Apăr
ării al SUA
(2015)
…………………………..
…………………………..
…………………….
98
NECLASIFICAT
NECLASIFICAT
4
din
284
1.3.1.6. Analiza Strategiei Militare Na
ționale a Statelor Unite
ale Americii (2015) din per
spectiva securită
ții cibernetic
……..
107
1.3.1.7. Ordinul Executiv al Pre
ședintelui Statelor Unite
pentru e
laborarea unei Strategii pentru Îmbunătă
țirea
Securită
ții
Cibern
etice a Infrastructurii Critice
…………………….
115
1.4. A
naliza politicii de securitate ciberneti
c
ă a
C
anadei
și contribuția
acesteia la nivelul de securitate
al spa
țiului Nord
–
A
tlantic
………………………….
118
1.5. C
adrul legal în d
omeniul securită
ții cibernetice
…………………………..
…………….
130
1.5.1. Conceptel
e legisla
ției internaționale referitoare la operațiunile
cibernetice
…………………………..
…………………………..
…………………………
131
1.5.2. Analiza mecanismelor juridice de reglementare interna
țională
a conflictelor cibernetice
…………………………..
…………………………..
……..
133
1.5.3. Limitările conceptuale ale cooperării interna
ționale
pentru securitatea spa
țiului cibernetic
…………………………..
………………..
136
1.5.4. Analiza no
țiunii de bun public al spațiului cibernetic
……………………….
140
Capitolul 2
POLITICA REGIONALĂ A UNIUNII EUROPENE
PENTRU ASIGURAREA SECURITĂ
ȚII CIBERNETICE
………………………..
143
2.1. Aspecte ale conceptului de securitate cibernetică pe spa
țiul U
niun
ii
E
uropene
…………………………..
…………………………..
…………………………..
………..
145
2.2. Strategia de securitate cibernetică
a Uniunii Europene
…………………………..
…..
149
2.3. Directiva privind securitatea sistemelor
și re
țelelor informatice
–
Directiva NIS
…………………………..
…………………………..
…………………………..
….
153
2.4. Agen
ția Uniunii Europen
e p
entru Securitatea Re
țelelor și a
Informa
țiilor
(ENISA)
…………………………..
…………………………..
…………………………..
…………
158
2.5. Centrul de Răspuns pentru Incidente Informatice
–
CERT
–
EU
……………………
164
2.6. Politica de apărare cibernetică
a Agen
ției E
uropene de A
părare
………………….
167
2.7. Politica na
țională pentru asigurarea securită
ții și apărării cibernetice
în F
ran
ța, Germania și Austria
…………………………..
…………………………..
……….
17
6
NECLASIFICAT
NECLASIFICAT
5
din
284
2.7.1. Politica na
țională pentru asigurarea securității și apărării
cibernetice în Fran
ța
…………………………..
…………………………..
……………
180
2.7.2. Politica na
țională pentru asigurarea securității
și apărării
cibernetice în Germania
…………………………..
…………………………..
………
196
2.7.3. Politica na
țională pentru asigurarea securității
și apără
rii
cibernetice în R
epublica Austria
…………………………..
……………………….
210
CAPITOLUL 3
MODELAREA RISCURILOR
ȘI AMENINȚĂRILOR LA ANALIZA
SISTEMELOR CIBERNETICE
…………………………..
…………………………..
……….
217
3.1. Modelarea riscurilor cibernetice
…………………………..
…………………………..
…….
218
3.2. Metrica rezilien
ței sistemelor cibernetice
…………………………..
…………………….
231
CONCLUZII
…………………………..
…………………………..
…………………………..
………..
23
9
LISTA CU ABREVIE
RI
ȘI ACRONIME
…………………………..
………………………
25
9
BIBLIOGRAFIE
…………………………..
…………………………..
…………………………..
….
26
3
NECLASIFICAT
NECLASIFICAT
6
din
284
Pagină albă
NECLASIFICAT
NECLASIFICAT
7
din
284
INTRODUCERE
Având
ca factor principal manifestarea efectelor
globalizării
, securitatea
cibernetică
a trecut
foarte rapid de la o disciplină eminamente tehnică
la un concept
stra
tegic cu
tendin
țe
de coagulare la nivel mondial. Astfel, fenomenul
globalizării
având
internetul ca unul din
tre
principalele mecanisme de manifestare, a dat
indivizilor,
organiza
țiilor
și
na
țiunilor
noi
spa
ții
de manifestare al jocului de putere
pentru ati
ngerea nivelelor de
ambi
ție
ale
fiecărui
jucător
. La orice ni
vel de
manifestare
–
individual
, grup,
na
țiune
etc., colectarea
informa
țiilor, analiza
și
sinteza lor,
comunica
țiile
, manipularea valorilor,
rela
țiile
publice au
devenit
în
mare parte digitizate
.
În contextul accentuării multipolarită
ții puterii, sub toate formele de
manifestare ale acesteia, putem observa în prezent afirmarea unor noi
vulnerabilită
ți ale sistemelor naționale de apărare
și
apari
ția unor noi vectori de
amenin
țări la adresa securită
ții care se manifestă ca rezultanta setului de mijloace
utilizate în ac
țiunile ostile realizate prin intermediul rețelelor de comunicații
și
internetului. Pe măsura apari
ției fenomenului de „depersonalizare” din spațiul
cibernetic ma
i ales al actorilor
non
statal
i
și
a evolu
ției tehnologiilor care permit
cre
șterea continuă a diversificării
și
dispersării în spa
țiu/timp a potențialelor ținte
ale unor astfel de atacuri, focalizarea cercetării în domeniul securită
ții cibernetice
s
–
a mutat din zona de combatere
în zona de prevenire. Astfel, în acest moment,
cercetarea în domeniul securită
ții cibernetice pune un accent crescut pe cooperarea
interna
țională în ceea ce privește elaborarea unor mijloace
și
strategii de tip
„avertizare timpurie” prin identificarea unor
modele care răspund vulnerabilită
ților
cât mai general valabile, identificarea rapidă a vulnerabilită
ților, modelarea în timp
real al amenin
țărilor din spațiul cibernetic
și
dezvoltarea unor capacită
ți de
simularea a modului de manifestare
și
evolu
ției ri
scurilor.
NECLASIFICAT
NECLASIFICAT
8
din
284
Conform cu standardul pentru securitatea cibernetică al infrastructurilor
critice (
Framework for Improving Critical Infrastructure Cybersecurity
)
, publicat
în anul 2014
de Institutul Na
ț
ional pentru Standarde
și
Tehnologie al SUA,
infrastructura
critică cibernetică este definită ca fiind
„
totalitatea operatorilor
și
proprietarilor publici sau priva
ți care au rol în operarea
și
securizarea
structurilor cu impact vital asupra SUA, membrii fiecărui sector din această
infrastructură critică care îndep
linesc func
ții care sunt susținute de tehnologia
informa
ției (IT)
și
sisteme de control industrial (ICS)
”
1
. Această
dependen
ță de
tehnologie, comunicare
și
interconectivitate IT a schimbat
și
extins în ultimul
deceniu poten
țialele vulnerabilități
și
riscul
de operare al acestor infrastructuri.
Odată cu integrarea în re
țele deschise a capabilităților cibernetice militare
și
cele civile
a
component
elor
infrastructurii critice ale SUA
,
a apărut
și
manifestarea
vulnerabilită
ților generate de aceasta integrare
prin evolu
ția lor în riscuri
eviden
țiate, sau în cazul expresiei unor amenințări eligibile, prin generarea unor
situa
ții de criză sau dezastru. Astfel, în anul 1997
,
Departamentul Apărării al SUA
au ini
țiat un exercițiu de penetrare internă numit „Eligible
Receiver”
2
în care o
echipă
de speciali
ști
(
Red Team
) de la Agen
ția Națională de Securitate (NSA) a
încercat să penetreze sistemele informatice ale Pentagonului, folosind doar
echipamente hardware
și
sisteme software neclasificate
și
accesibile publicului
larg. Ca urmare a acestui exerci
țiu, rapoartele publice au arătat ca echipa a reu
și
t să
acceseze
și
să î
și
asume controlul asupra
unor
calculatoare aflate în diverse centre
de comandă ale Departamentului Apărării al SUA (DOD), precum
și
asupra
re
țelelor d
e distribu
ție a energiei electrice
și
a sistemului de management pentru
situa
ții de urgență în nouă orașe americane importante
3
.
Unul dintre incidentele de securitate cele mai extinse atât ca publicitate
,
cât
și
ca impact
,
a început în anul 1998
și
a conti
nuat timp de aproximativ doi ani până
la detectarea lui de către contraspionajul american,
și
a constat în folosirea
1
http://www.nist.gov/cyberframework/upload/cybersecurity
–
framework
–
021214
–
final.pdf,
accesat la data de 10.02.2016.
2
http://www.glob
alsecurity.org/military/ops/eligible
–
receiver.htm
,
accesat la data de 10.02.2016.
3
Kim J. Andreasson,
Cybersecurity Public Sector Threats and Responses
, CRC Press,
17 mai
2012.
NECLASIFICAT
NECLASIFICAT
9
din
284
intruziunii
„
Moonlight Maze
”
4
prin care atacatorii au câ
știgat accesul la sute de
re
țele
neclasificate utilizate de Pentagon, Departamentul
Energiei al SUA, Agen
ția
Aerospa
țială Americană (NASA)
și
la infrastructura Agen
ției pentru Proiecte
Avansate în Apărare a SUA
(
Defense Adv
anced Research Projects Agency
–
DARPA
)
5
, re
țele
care conectau sute de laboratoare din universită
ți private. În aces
t
fel au fost accesate documente care aveau legătură cu sistemul de apărare al SUA.
Analizând acest incident, exper
ții DOD au identificat originea acestor atacuri ca
fiind ini
țiată din calculatoare aflate pe teritoriul Federației Ruse, însă
autorii/ini
țiat
orii acestui atac au rămas necunoscu
ți, în timp ce guvernul Federației
Ruse a negat orice implicare. Ca urmare a acestui incident, DOD a modernizat nu
numai infrastructura hardware, software
și
nivelul criptografic al re
țelelor civile
implicate în cercetar
ea militară sau asociată, dar a modificat
și
standardele care se
refereau la nivelul
și
procedurile de securitate a re
țelelor cibernetice de acest fel.
Un alt moment de referin
ță este adoptarea
,
în februarie 2003
,
a Strategiei
Na
ționale pentru Securitatea
Cyberspa
țiului
6
, ca
și
componentă al a unui set de
măsuri mai ample care vizau ridicarea nivelului de securitate al SUA ca urmare al
atacurilor teroriste de la 11 septembrie 2001. Strategia a formulat un set de
priorită
ți referitoare la asigurarea infrastr
ucturii cibernetice a SUA, cum ar fi:
instruirea
și
certificarea personalului cu responsabilită
ți
în
elaborarea, operarea
și
mentenan
ța infrastructurii cibernetice; un plan național de măsuri de reducere a
amenin
țărilor, riscurilor
și
vulnerabilită
ților sp
ecifice; constituirea unui sistem
na
țional de reacție la amenințările cibernetice dotat cu o componentă de avertizare
timpurie.
În
luna i
unie 2011,
Departamentul Apărării al SUA (
DOD
)
a lansat
„Strategia pentru Operarea
în
Cyberspa
țiu”
7
,
modificând
substan
țial
concep
ția
4
Jason Andress and Steve Winterfeld. Cyber Warfare (Second Edition) Techniqu
es, Tactics and
Tools for Security Practitioners, ISBN: 978
–
0
–
12
–
416672
–
1, Copyright © 2014 Elsevier Inc.
5
http://www.darpa.mil/, accesat la data de 12.02.2016.
6
The National Strategy to Secure Cyberspace
, February 2003, disponibil online la
http://www.
us
–
cert.gov/reading_room/ cyberspace_strategy.pdf, accesat la data de 12.02.2016.
7
Department of Defense Strategy for Operating in Cyberspace, July 2011,
http://dodcio.defense.gov/Portals/0/Documents/Cyber/DoD Strategy for Operating in Cyberspace
July 201
1.pdf, accesat la data de 12.02.2016.
NECLASIFICAT
NECLASIFICAT
10
din
284
asupra
spa
țiului
cibernetic, prin tratarea acestuia
în
mod
asemănător
cu
spa
țiul
terestru, aerian
și
maritim, atacurile asupra infrastructurii strategice cibernetice
sunt considerate „acte de război”, ce pot genera o
reac
ție
militară
clasica
. Astfel,
potrivit
speciali
știlor
din
DOD
dependența
SUA de
tehnologia
informa
ției
și
infrastructura
cibernetică
a devenit
atât
de importantă
încât
există
garan
ția
că
viitorii inamici vor avea ca
țintă
sigură aceasta infrastructură
.
Tema aleasă „
Analiza ni
velului de securitate cibernetică pe spa
țiul Euro
–
Atlantic
” constituie demersul nostru de cercetare
științifică prin care ne dorim
realizarea unei analize pertinente
și
realiste privind răspunsul
strategic al
NATO,
SUA
și Canada
la riscurile
și
amenin
țăril
e existente în spa
țiul cibernetic
,
dar
și
interdependen
ț
ele existente între abordările acestor actori, vulnerabilită
țile
rezultate din introducerea la nivel global a noi tehnologii în zona de IT&C
și
amenin
țările
generate de globalizarea problematicii secu
rită
ții sistemelor
cibernetice
.
Cercetarea pe tema aleasă î
și propune generarea unei contribuții științifice la
elaborarea unor concluzii privind riscurile, amenin
țările și vulnerabilitățile pe care
actualul mediu d
e securitate cibernetică le are
, cu impac
t direct nu numai asupra
infrastructurii economice, secur
ită
ții și stabilității statelor
, dar
și cu impact asupra
mediului interna
țional de securitate.
Elementul principal de noutate al demersului nostru de cer
cetare este acela
de a încerca
o interpolare a
abordării strategice a sistemelor de securitate
cibernetică
ale NATO
, SUA
și
Canada, identificând nu numai
interac
țiunile dintre
strategiile de apărare
cibernetică
,
dar
ș
i mod
ul de abordar
e al unor concepte
fundamentale.
Actualitatea
și necesitatea aceste
i cercetări
sunt puse în evidentă
de
faptul că tema are o aplicabilitatea foarte mare în domeniul abordat. Astfel,
demersul
științific, în contextul problematicii abordate va încerca
să
răspundă
problemelor cu care se confruntă
atât speciali
știi în domeniu
l securită
ții
cibernetice
,
cât
și al factorilor de decizie
strategică
cu implica
ții directe în
securitatea na
țională.
NECLASIFICAT
NECLASIFICAT
11
din
284
Î
n ultimele două decenii, domeniul digital a devenit tot mai interconectat cu
via
ța noastră de zi cu zi. Cetățeni, organisme guvernamental
e
și organizații private
utilizează din ce în ce mai mult aplica
țiile digitale pentru interacțiuni în mediul on
–
line, tranzac
ții electronice, pentru o colaborare mai eficientă, pentru comunicare și
în scopuri de divertisment. Astfel, tot mai multe mai mult
e echipamente având
servicii integrate ICT sunt conectate la internet: de la computere
și telefoane, până
la autoturisme, sisteme de automatizări industriale sau echipamente medicale.
Acest fenomen, determinat în principal de procesul de globalizare,
evol
uează nu numai în ceea ce prive
ște gradul de digitalizare al activităților curente
sau complexitatea acestora
,
cât
și în ceea ce privește modificarea categoriile de
vârstă care utilizează aceste servicii, în sensul lărgirii continue a acesteia atât în
part
ea inferioară a segmentului de vârstă cât și în partea superioară a acestuia,
datorită u
șurinței, eficienței sau gradului înalt de satisfacție al acestor servicii, fiind
în final o element important în spatele inova
ției și creșterii economice a Uniunii
Eur
opene.
De asemenea, la nivelul statelor din Uniunea Europeană
platformele on
–
line
sunt tot mai mult utilizate de mediul de afaceri pentru suportul serviciilor logistice,
management sau comunicare în special datorită capaci
tă
ții acestora de operare
multi
li
ngvistică, anulând astfel una din
tre
barierele principale de colaborare care se
manifestă
în
special între statele Uniunii.
Cu toate acestea, acest poten
țial este din ce în ce subminat de riscuri digitale
și vulnerabilități care se manifesta din ce mai mu
lt în spa
țiul virtual, fraudele on
–
line, atacurile asupra infrastructurilor critice sau utilizarea noilor tehnologii de
către re
țelele de criminalitate organizată sau cele teroriste fiind completate de
opera
țiuni cibernetice complexe de spionaj industrial
executate de către entită
ți
nonstatal
e sau având ca
și sponsori diverse națiuni. Astfel preocupările legate de
securitatea acestui domeniu, de
și abordate inițial la nivelul statelor componente
încep să
devină o problemă din ce în ce presantă
și importantă
la nivelul Comisiei
Europene, aceasta fiind nevoită să
preia atât ini
țiativa elaborării politicilor de
securitate cibernetică la nivelul Uniunii, responsabilizarea uniformizării
NECLASIFICAT
NECLASIFICAT
12
din
284
standardelor în domeniu, a modalită
ților de prevenire și răspuns la atacurile
cibernetice, a colaborării
d
intre diversele organisme cu voca
ție în apărarea
cibernetică având ca spa
țiu de manifestare limitat la nivelul statelor componente
cât
și al colaborării cu diverse organizații internaționale care au competențe și
responsabilită
ț
i în domeniul apărării cibernetice
și al prevenirii și combaterii
criminalită
ții informatice.
Spre deosebire de abordarea altor state sau organisme supra
–
statale,
abordarea integrată la nivelul Uniunii Europene a problematicii referitoare la
apărarea
și se
curitatea cibernetică poate fi analizată ca fiind rezultanta interpolării a
mai multor dimensiuni, cum ar fi cea tehnologică, cea privind politica de
interconectare și uniformizare a standardelor de securitate cibernetică deja utilizate
în
statele Uniunii,
cea juridică
–
caracterizată în special prin modul de abordare al
proprietă
ții și confidențialității informațiilor, cea care tratează abordarea
responsabilită
ții asigurării apărării cibernetice din perspectiva păstrării statalității și
suveranită
ții versu
s conceptul de apărare comună la nivelul Uniunii, sau cea care se
referă la drepturile
și libertățile privind liberul acces la informații și servicii. În
timp ce politicile
și tehnologia sunt cu siguranță o parte critică a orice program de
securitate a inf
orma
țiilor, în practică doar aceste măsuri nu pot livra un nivel
confortabil de securitate a informa
țiilor.
În urma studiului bibliografiei recomandate de conducătorul de doctorat și
exper
ții științifici, prin tematica abordată, ne
–
am propus să identifică
m principalii
actori statali
și
mecanismele pe care acestea le utilizează la elaborarea strategiilor
de apărare și securitate cibernetică pe spa
țiul Uniunii Europene, de natură să
influen
țeze comportamentul și dezvoltarea ulterioară a instituțiilor europen
e cu
voca
ție în reglementarea spațiului cibernetic, să identificăm modul în care
doctrinele de securitate și apărare cibernetică ale unor state europene ac
ționează ca
un element motor în definirea modului prin care organiza
țiile centrale ale Uniunii
Europe
ne î
și definesc și adaptează nevoilor politicile de securitate cibernetică, care
să asigure culegerea, transmiterea, exploatarea și protejarea tuturor datelor și
NECLASIFICAT
NECLASIFICAT
13
din
284
informa
țiilor necesare atingerii obiectivelor economice, politice și de securitate ale
Uniunii
Europene în ansamblul ei.
La 6 i
ulie 2016, deputa
ții europeni a aprobat „
Directiva de Securitat
e
Re
țelelor și a Informațiilor
–
NIS
” (
DIRECTIVA (UE) 2016/1148 A
PARLAMENTULUI EUROPEAN
ȘI A CONSILIULUI din 6 Iulie 2016 privind
măsuri pentru un nivel comun
ridicat de securitate a re
țelelor și a sistemelor
informatice în Uniune
)
8
, document programatic care stabile
ște o abordare comună
a UE privind securitatea cibernetică. În aceasta directiva sunt enumerate sectoare
critice, cum ar fi energia, transporturile
și serviciile bancare, acestea fiind primele
sectoare unde agen
ții economici ar trebui să se asigure că sunt capabili să reziste
unui atac cibernetic. De asemenea, directiva urmăre
ște să stimuleze cooperarea în
domeniul securită
ții cibernetice între țările
UE.
Această nouă abordare a securită
ții cibernetice propusă prin strategia „
Un
spa
țiu cibernetic deschis, sigur și securizat
”
9
și directiva NIS este un concept
strategic de reglementare cu o arie de aplicabilitate largă axată pe problema
domeniului de apl
icare. De
și includerea în mod oficial a tuturor la entităților cu rol
în securitatea informatică care au ca spa
țiu de manifestare limitat la nivel național
în categoria celor care au impact asupra infrastructurilor critice la nivel european,
este criticată
și contestată în special de către țările Uniunii fără o infrastructură ICT
dezvoltată, principala problemă reclamată de majoritatea
țărilor Uniunii este aceea
a includerii furnizori de servicii Internet (ISP) locali în aria de reglementare.
Aceste provocă
ri privind definirea domeniului sunt susceptibile de a
exacerba dezbaterile existente din jurul sus
ținerile directivei NIS și ridică
întrebarea dacă abordarea de reglementare actuală este adecvată pentru a asigura
un spa
țiul cibernetic european suficient r
eglementat, securizat la un
nivel
confortabil și capabil să
asigure servicii electronice competitive.
8
DIRECTIVA (UE) 2016/1148 A PARLAMENTULUI EUROPEAN
ȘI A CONSILIULUI
din 6
iulie 2016, disponibil online la http://eur
–
lex.europa.eu/legal
–
content/RO/TXT/PDF/?uri=
CELEX:32016L1148&from=EN, accesat la data de 23.10.201
7.
9
EU Cybersecurity plan to protect open internet and online freedom and opportunity
–
Cyber
Security strategy and Proposal for a Directive, 2013, disponibil online la
https://ec.europa.eu/digital
–
single
–
market/en/news/eu
–
cybersecurity
–
plan
–
protect
–
open
–
internet
–
and
–
online
–
freedom
–
and
–
opportunity
–
cyber
–
security, accesat la data de 23.10.2017.
NECLASIFICAT
NECLASIFICAT
14
din
284
Tema aleasă „
Analiza nivelului de securitate cibernetică pe spa
țiul Uniunii
Europene
” constituie demersul nostru de cercetare
științifică prin care ne dor
im
realizarea unei analize pertinente
și realiste privind răspunsul strategic int
egrat al
Uniunii Europene, dar
ș
i contribu
ția Franței, Germaniei și Austriei la riscurile și
amenin
țările existente în spațiul cibernetic, interdependențele existente între
ab
ordările acestor actori, vulnerabilită
țile rezultate din introducerea la nivel global
a unor noi tehn
ologii în zona de ITC
și modul î
n care Uniunea Europeană ca un
mecanism rezultat din juxtapunerea mecanismelor individuale de securitate și
apărare ciberne
tică ale
țărilor analizate la fenomenul globalizării problematicii
securită
ții sistemelor cibernetice.
Cercetarea pe tema aleasă î
și propune generarea unei contribuții științifice la
elaborarea unor concluzii privind riscurile, amenin
țările și vulnerabilit
ă
țile pe care
actualul mediu d
e securitate cibernetică le are
, cu impact direct nu numai asupra
infrastructurii economice, secur
ită
ții și stabilității statelor
, dar
și cu impact asupra
mediului interna
țional de securitate.
Prezentul
demers
de cercetare a î
ncercat să identifice
corela
ția dintre
dinamica factuală a modelelor de securitate și apărare cibernetică, abordate la nivel
strategic de către actorii relevan
ți de pe spațiul Uniunii Europene și nivelul de
dezvoltare normativă, aferent ultimelor două dece
nii, în domeniul securită
ții și
apărării cibernetice.
Dezvoltarea proiec
ției proceselor economice, politice, sociale și de
manifestare a for
ței, atât din punct de vedere al complexității
,
dar
,
mai ales
,
din
punct de vedere al importan
ței acestor procese p
entru infrastructura critică a
țărilor,
organiza
țiilor sau al actorilor care proiectează aceste procese în spațiul cibernetic,
facilitează declan
șarea unor amenințări asimetrice la adresa securității mediului de
securitate și apărare interna
țional contempo
ran. Astfel, demersul nostru de
cercetare analizează și modul în care acest tip de amenin
țare asimetrică se
conturează în agendele de securitate și apărare ale actorilor statali și
nonstatal
i de
pe spa
țiile analizate de acest
demers
.
Con
ținutul cercetării
are un caracter interdisciplinar, perspectiva abordării
institu
țional
–
administrativă a problematicii securită
ții și apărării cibernetice, la
NECLASIFICAT
NECLASIFICAT
15
din
284
nivelul actorilor considera
ți de către noi ca fiind relevanți pe spațiul european este
completată de identificarea
coresponden
ței acestor modele de abordare și de
efectul intrinsec al proiec
ției acestora asupra strategiilor de securitate și apărare
cibernetică al organiza
țiilor Uniunii Europene.
Elementul principal de noutate al demersului nostru de ce
rcetare este acel
a
de a încerca
o interpolare a abordării strategice a sistemelor de securitate
cibernetică ale Uniunii Europene, Germaniei, Fran
ței și Austriei, identificând nu
numai interac
țiunile dintre strategiile de apărare cibernetică
,
dar
și modul de
abordare al uno
r concepte fundamentale.
Actualitatea
și necesitatea aceste
i
cercetări sunt puse în eviden
ț
ă de faptul că tema are o aplicabilitatea foarte mare în
domeniul abordat.
Acest
demers
a folosit o combina
ție de trei tehnici empirice:
1) o analiză a literaturii
de specialitate cu referin
ță pe spațiile analizate
;
2) o analiză a documenta
ției Strategiilor de Securitate
Cibernetică a Uniunii
Europene
, Fran
ței, Germaniei și Austriei
;
3) modelarea logică
–
ca și mijloc de a încuraja gândirea sistematică,
dezvoltată p
rin interac
țiuni interne în echipa de studiu, cu privire securitatea și
apărarea cibernetică a zonelor analizate.
Planul de cercetare al prezentului
demers de cercetare
are ca obiectiv
identificarea corela
țiilor între abordarea națională și cea internațion
ală a
dimensiunile securită
ții și apărării cibernetice, din perspectiva dinamicii
variabilelor care vizează instrumentele normative, respectiv instrumentele
institu
ționale specifice domeniilor relevante sferei securității și apărării cibernetice.
Astfel, d
emersul
științific, în contextul problematicii abordate va încerca să
răspundă problemelor cu care se confruntă atât speciali
știi în domeniul securității
cibernetice
,
cât
și al factorilor de decizie strategică cu implicații directe în
securitatea na
țională
.
NECLASIFICAT
NECLASIFICAT
16
din
284
Pagină albă
NECLASIFICAT
NECLASIFICAT
17
din
284
Capit
olul 1
ANALIZA NIVELULUI
DE SECURITATE CIBERNETICĂ
PE SPA
ȚIUL EUROATLANTIC
Securitatea cibernetică a devenit o chestiune de interes
și importanță globală
odată cu globalizarea atât a re
țelelor de comunicații, infrastruct
urilor componente
ale tehnologiei informa
ției, cât și a sistemelor economice, politice și militare care
folosesc din ce în ce mai mult sistemele cibernetice în automatizarea proceselor
decizionale.
1.1. DEFINI
ȚII ȘI CONCEPTE SPECIFICE SPAȚIULUI
CIBERNETIC
În Manualul Cadru Pentru Securitate
Cibernetică
Na
țională
(National Cyber
Security Framework Manual)
10
publicat în
anul
2012 de către Centrul de Excelentă
pentru Cooperare în Apărare
Cibernetică
al NATO (NATO Cooperative Cyber
Defence Centre of Excellen
ce)
11
se afirma faptul că până la data publicării acestui
manual „
mai mult de 50 de na
țiuni au publicat o anumită formă a unei strategii
cibernetice care define
ște ceea ce înseamnă securitate pentru viitoarele inițiative
de securitate na
țională și economică
”
12
.
Spre deosebire de mediul terestru, cel
maritim, aerian
și spațial
, mediul cibernetic este
un mediu
construi
t de
om cu
componente care se pot schimba în timp.
10
Alexander Klimburg,
National Cyber Security Framework Manual
, NATO Cooperative Cyber
Defence Centre of Excellence, 2012, disponibil online pe https://ccdcoe.org/pu
blications/
books/NationalCyberSecurityFrameworkManual.pdf
,
accesat la data de 22.04.2016.
11
https://ccdcoe.org/
,
accesat la data de 22.04.2016.
12
National Cyber Security Framework Manual. NATO CCD COE Publications
, Dece
mbrie
2012, p. 12.
NECLASIFICAT
NECLASIFICAT
18
din
284
Astăzi, au fost propuse o varietate de defini
ții diferite ale spațiului
cibernetic.
Una din
tre ele
care a fost folosit
ă
pentru prima dată în Strategia
Na
țională 2003 din SUA pentru Securitatea Spațiului Cibernetic, care a
descris
spa
țiul virtual ca un „sistem nervos”
na
țional care controlează infrastructura critică
a
țării. Subliniind în același
timp rolul de angajament public
–
privat, strategia a
declarat:
„
Spa
țiul cibernetic este alcătuit din sute de mii de calculatoare
interconectate, servere, routere, switch
–
uri,
și cabluri de fibră optică, care permit
func
ționarea infrastructurilor critice. A
stfel, func
ționarea spațiului cibernetic este
esen
țială pentru economia noastră și securitatea noastră
na
țională
”
13
.
Cinci ani mai târziu, în
anul
2008, o defini
ție similară a fost prezentat în
„
Directiva Preziden
țiala de Securitate Națională 54
” a pre
șe
dintelui George W.
Bush, cunoscuta
și
sub numele de „
Directiva Preziden
țială de Securitate Internă
23”
(NSPD
–
54 / HSPD
–
23)
14
. Acest document, care a pus bazele unor programe
concepute pentru a proteja sistemele guvernului federal împotriva atacurilor
cibern
etice define
ște spațiul cibernetic ca fiind „
re
țeaua de infrastructuri
interdependente de tehnologia informa
ției care include internetul, rețelele de
telecomunica
ții, sistemele informatice, precum și procesoare integrate și sistemele
de control în industri
ile critice. Utilizarea comună a termenului se referă atât la
mediul virtual de informa
ții
,
cât
și interacțiunile dintre oameni
”
15
.
1.
1.1. DEFINIREA SPA
ȚIULUI CIBERNETIC
Datorită faptului că în acest moment nu există încă
niciun
standard sau o
defini
ție universal acceptată pentru spațiul cibernetic, considerăm util de a aborda
conceptul de spa
țiu cibernetic
î
ntr
–
un mod cuprinzător, iar modalitatea aleasa de
13
White House, “The National Strategy to Secure Cyberspace”, (Washington, DC: White House,
2003).
14
National Security Presidential Directive 54: Cyber Security and Monitoring (NSPD
–
54)/
Homeland Security Presidential Directive 23: Cyber
Security and Monitoring (HSPD
–
23).
15
Public Safety and Homeland Security Bureau, “Tech Topic 20: Cyber Security and
Communications”, FCC, disponibil online pe http://transition.fcc.gov/pshs/
techtopics/techtopics20.html, accesat la data de 22.04.2016.
NECLASIFICAT
NECLASIFICAT
19
din
284
noi pentru a face acest lucru este conceptualizarea spa
țiului virtu
al din perspectiva
a mai multe straturi interdependente
, func
ție
de activită
țile desfășurate pe fiecare
.
Deoarece în
mediul academic există mai
multe concepte privind numărul
și
denumirea
straturilor care compun spa
țiul cibernetic,
în urma analizei
biblio
grafice, noi am ales pentru analiză
modelul cu patru straturi, acesta fiind larg
folosit de către diver
și t
eoreticieni din zona de influen
ță
strategică a SUA pentru
analiza spa
țiului cibernetic, cum ar fi profesorul David Clark, director la „
MIT
Communicat
ions Futures Program
”
16
, care pentru definirea acestor straturi sau
nivele folose
ște,
în ordinea impo
rtan
ței, următoarele dimensiuni
:
1
.
d
imensiunea umană
–
p
ersoanele care participă la interac
țiuni directe cu
s
pa
țiul cibernetic, care comunică
, lucrează cu inf
orma
ții, iau decizii și executa
diverse planuri sau proiecte
,
care transformă natura spa
țiului virtual prin utilizarea
serviciilor oferite de diverse componente
și capacități ale spațiului cibernetic.
2
.
d
imensiunea informa
ț
ională
–
i
nforma
ția este stocată, t
ransmisă
și
transformata
în
spa
țiul cibernetic.
3
.
d
ime
nsiunea logică
–
blocurile logice care alcătuiesc serviciile oferite
în
spa
țiul cibernetic
și care susțin existența
spa
țiului virtual.
4
.
d
imensiunea fizică
–
fundamentul fizic care sus
ține elementele logice
ale
spa
țiului cibernetic.
Î
n analiza noastră viitoare vom pleca de la considerentul că nu
doar
computerul creează fenomenul pe care îl numim spa
țiul cibernetic, ci
interconectarea tuturor componentelor fizice, logice, informa
ționale sau umane,
cuprinse
în
procesele care afectează toate cele patru straturi ale modelului ales.
De
și
în
zilele noastre spa
țiul cibernetic este
asociat cu Internetul, consideră
m
aceasta asociere ca fiind una particulară, datorată unei abordări unidimensionale
a
modului de intercon
ectare. Având în vedere acest fapt,
în analizele noastre
ulterioare
vom considera I
nternetul ca
se o componentă finită a
spa
țiului cibernetic.
16
Da
vid Clark,
Characterizing cyberspace: past, present and future
, MIT/CSAIL Working
Paper, 12 March 2010, disponibil online pe https://projects.csail.mit.edu/ecir/wiki/
images/7/77/Clark_Characterizing_cyberspace_1
–
2r.pdf
,
accesat la data de 22.04.2016.
NECLASIFICAT
NECLASIFICAT
20
din
284
Având în vedere aceste dimensiuni vom considera cele
patru nivele prin care
va fi analizat spa
țiul cibernetic
as
tfel
:
1
.
Nivelul
f
izic
–
con
ține toate dispozitivele hardware, care includ routere,
switch
–
uri, medii de stocare, sateli
ți, senzori și alte sisteme tehnice, interconectate
prin infrastructura de cabluri sau infrastructura wireless. Deoarece infrastructura
fiz
ică po
ate fi localizată geografic în „
s
pa
țiul real”
ea poate fi supusă diferitelor
jurisdic
ții naționale sau internaționale, după caz.
2
.
Nivelul
l
ogic
–
în general, se referă la cod
în
sensul de instruc
țiune
organizata logic, care este inclus atât
în sistem
ele software
,
câ
t
și
în
protocoalele
încorporate în acesta
17
.
În general vorbind, un protocol define
ște regulile sau
conven
țiile necesare pentru a obține un anumit scop (de exemplu, comunicare
a
),
iar formalizarea un protocol poate genera un standard. Softwa
re
–
ul, în schimb,
poate fi definit ca fiind programul de calculator care implementează aceste
protocoale,
însă
astfel de protocoale
„
nu pot fi considerate ca fiind standarde
satisfăcătoare până când
nu
sunt demonstrate implementări independente
interoperab
ile în cadrul diferitelor programe de calculator
”
18
. Natura spa
țiului
cibernetic este determinată de evolu
ția continuă și rapidă a noilor capabilități și
servicii bazate pe crearea
și combinarea unor construcții logice noi, care rulează
în
partea
superioară
a infrastructurii fizice.
Spa
țiul virtual, la nivel logic, este prin
urmare compus dintr
–
o serie de platforme construite pe fiecare dintre noile
capabilită
ți, care la rândul lor, vor deveni o nouă platformă pentru construcția
următoare. Platformele pot di
feri în detaliu, dar ele împărtă
șesc o caracteristică
comună prin faptul că sunt fundamentul pentru următoarea platforma de deasupra
lor.
3
.
Nivelul
i
nforma
țional
–
descrie toate informa
țiile create, capturate, stocate
și procesate în spațiul cibe
rnetic. Info
rma
ția este definită
ca
și mul
țimea unor
17
L
awrence Lessig,
The Future of Ideas. The Fate of the Commons in a Connected World
, (New
York: Random House, 2001), disponibil la
http://www.the
–
future
–
of
–
ideas.com/download/lessig_FO
I.pdf
,
accesat la data de 22.04.2016.
18
IETF RFC 4677, “The Tao of IETF: A Novice’s Guide to the Internet Engineering Task
Force”, September 2006, disponibil online pe
http://tools.ietf.org/html/rfc4677
,
accesat la data de
22.04.2016.
NECLASIFICAT
NECLASIFICAT
21
din
284
„
obiecte de cunoa
ștere, cum ar fi fapte, evenimente, lucruri, procese sau idei
”
19
.
Ace
a
st
ă colec
ție poate
con
ține toate mesajele create de om
și
care pot fi livrate de
site
–
uri de social media sau e
–
mail, con
ținutul
unor articole
și cărți păstrate pe
stick
–
uri de memorie
și baze de date virtuale, știrile difuzate prin bloguri și site
–
uri
sau muzică, filme
și imagini accesate online.
De
și după cum se menționează
mai
sus, există mai multe aspecte ale spa
țiul cibernetic,
inclusiv interconectarea
oamenilor mediată de tehnologie
și
formarea a
șa numitelor „
societă
ți virtuale
”
20
,
în
mod clar crearea, captarea, stocarea
și procesa
rea informa
țiilor este un proces
esen
țial
pentru definirea acestui nivel.
Caracterul nivelului info
rma
țional
în spa
țiul
virtual s
–
a
schimbat foarte mult de când sistemele de calcul au început să lucreze
cu seturi de date. Ini
țial, seturile de date au existat ca
și
construc
ții statice,
depozitate
și recuperate după cum este necesar. De exemplu
,
căr
țile s
unt produse
statice ale autorilor, imaginile
fotografice digitale pot fi
statice, iar
arhive masive
de informa
ții statice, cum ar fi înregistrările tranzacțiilor corporative încă mai
există
și
acum stocate în a
șa numitele „depozite de date”
.
Odată cu dezvo
ltarea
nivelelor inferioare, cel fizic
și cel logic, informația este din ce
în
ce mai mult
creată în mod dinamic
,
la cerere, estompând
astfel
limitele dintre stocare
și calcul.
4
.
Nivelul social
–
este format din mul
țimea tuturor oamenilor care folosesc
și mo
delează caracterul spa
țiului virtual. Este
mai mult
spa
țiul cibernetic real al
oamenilor
și a potențialelor relații, decât rezultatul conexiunilor implicite
între
primele trei nivele descrise mai sus, având
la bază
conexiunea elementelor
hardware
și softwa
re. În esen
ță, stratul social include guvernele
,
dar
și sectorul
privat, societatea civilă
și actorii comunității
tehnice.
Analiza
în
acest mod a spa
țiul cibernetic nu oferă perspectiva de a îl
caracteriza printr
–
o
singură
defini
ție universal valabila, rol
ul acestui model
fiind
mai degrabă de a
încerca să facă
mai accesibil
conceptul
în sine
.
De fapt, pentru o
19
ISO/IEC 2382
–
1:1993, “Information technology
–
Vocabulary
–
Part 1: Fundamental terms”,
disponibil online pe http://www.iso.org/iso/catalogue_detail.htm?csnumber=7229, accesat la
data de 22.04.2016.
20
Conf. univ. dr. Gavril
Paraschiv:
Creșterea pericolului pornografiei infantile pe internet
,
disponibil online pe http://www.ugb.ro/Juridica/Issue22013/9._Cresterea_pericolului_
pornografiei_infantile_pe_internet.Gavril_Paraschiv.RO.pdf
,
accesat la data de 22.04.2016.
NECLASIFICAT
NECLASIFICAT
22
din
284
în
țelegere globală, toate cele patru straturi trebuie să fie luate în considerare în mod
egal.
Amenin
țările cibernetice, de exemplu, s
–
ar putea să ap
ară la stratul fizic
(distrugerea sistemelor tehnice la nivel hardware), precum
și
la nivelul
logic (cod
mali
țios),
la nivelul
informa
țional (informații compromise sau false), sau
în
stratul
social (coruperea de uti
lizatori), însă ca
și
obiectiv final,
toa
te atacurile cibernetice
caută să influ
en
țeze „stratul social”
.
1.
1.2. PERSPECTIVE DE ANALIZĂ A SECURITĂ
ȚII CIBERNETICE
Securitatea cibernetică a devenit o chestiune de interes
și important
ă
mondială
odată cu globalizarea atât a re
țelelor de comunicații
ca
și a
infrastructuri
lor
componente ale tehnologiei informa
ției,
a sistemelor economice,
politice
și militare care folosesc din ce în ce mai mult sistemele cibernetice în
automatizarea proceselor decizionale. În Manualul Cad
ru Pentru Securitate
Cibernetic
ă Na
țională
(National Cyber Security Framework Manual)
21
publicat în
anul
2012 de către Centrul de Excelen
ță pentru
Cooperare în Apărare Cibernetică
al NATO (NATO Cooperative Cyber Defence Centre of Excellence)
22
se afirmă
faptul că până la data publicării a
cestui manual „…….
mai mult de 50 de na
țiuni au
publicat o anumită formă a unei strategii cibernetice care define
ște ceea ce
înseamnă securitate
cibernetică,
pentru viitoarele ini
țiative de securitate națională
și economică.
”
23
În analiza noastră, atunci cân
d se aduce
în
discu
ție conceptul de securitate
cibernetică na
țională, este foarte important să se țină cont de faptul că acest lucru
nu este privit ca un subiect unic, ci va
fi
analiza
tă
problema securită
ții cibernetice
na
ționale utilizând cinci perspectiv
e distincte, cea militar
ă
, cea a criminalită
ții
cibernetice, cea a spionajului
și
contra
spionajului, cea a infrastructurii critice
și
al
21
Alexande
r Klimburg,
National Cyber Security Framework Manual
, NATO Cooperative Cyber
Defence Centre of Excellence, 2012, disponibil online pe https://ccdcoe.org/publications/
books/NationalCyberSecurityFrameworkManual.pdf
,
accesat la data de 22.04.2016.
22
https://ccdcoe.org/
accesat la data de 22.04.2016.
23
National Cyber Security Framework Manual. NATO CCD COE
, decembrie 2012, p. 12.
NECLASIFICAT
NECLASIFICAT
23
din
284
managementului crizelor
și
în
final cea a diploma
ției
în
domeniul cibernetic
și
al
guvernantei internetului, fiecare di
ntre ele fiind acoperite
,
de obicei
,
în
structurile
guvernamentale de diferite departamente.
De
și realitatea fizică a securității
cibernetice na
ționale este caracterizată de faptul că elementele caracteristice
determinante ale fiecărei caracteristici se su
prapun
în
cea mai mare parte, realitatea
birocratică, care caracterizează aproape toate guvernele na
ționale din zona
analizată de prezenta lucrare, arată faptul că aceste
domenii sunt create, organizate
și operate în mod aproape independent
unul de celălal
t
,
ele având
în
cele mai multe
cazuri
„
manda
te”
distincte, fiecare mandat dezvoltând
propriul său accent
și chiar
propriul sau lexicon, în
ciuda faptului că toate aceste mandate
sunt pur
și simplu
fa
țete diferite ale aceleiași probleme.
1
.
Perspectiva militar
ă
–
Atunci când se asociază termenii de „ap
ărare” sau
„securitate” cu cel
de „cibernetică” î
ntr
–
un context militar, încercarea de a defini
ansamblul obiectivelor pe termen lung ale organiza
ției, principalele modalități de
realizare ale acesteia împreună cu
modul de alocare a resurselor în vederea
ob
ținerii avantajului competitiv
,
se poate finaliza cu o „Strategie de Apărare
Cibernetica”. Nu trebuie
însă
trecut cu vederea
niciun
moment faptul că aceasta
asociere de termeni poate căpăta valente care p
ot varia
de la domeniul penal până
la spionaj. Astfel alături de termeni precum „război cibernetic”
în
bibliografia
analizată apar
și alți termeni, ca
de
exemplu cel de „spionaj cibernetic” ori de
„criminalitate cibernetic
ă
”, sau forma radicalizată a
acestuia
numi
tă „terorism
cibernetic”.
Î
n
analiza noastră
,
activită
țile care se refera la securitatea cibernetică
din zona militară cuprind o serie de ac
țiuni, atât ofensive și defensive, care deși
uneori sunt asistate sau acoperite de organiza
ții
nonmilitar
e, cum ar f
i
cele din
comunitatea de informa
ții,
aceste ac
țiuni
sunt conduse
și
executate de capabilită
ți
din zona militară,
în
sprijinul
și
beneficiul opera
țiilor militare. Astfel,
noi
ne dorim
să facem o distinc
ție
cât
se poate de clară î
ntre conceptul de „războiul
cibernetic”
și
celelalte concepte
enumerate mai sus,
care de
și pot fi prezente
în
perspectiva
analizată, nu au un rol determinant
din perspectiva unei opera
ții militare
.
Astfel,
prin consecin
ță
, din această perspectivă
și
capacită
țile de acțiune
în
spa
țiu
l
NECLASIFICAT
NECLASIFICAT
24
din
284
cibernetic vor fi interpretate la fel ca
și
alte capacită
ți de război, care sunt utilizate
numai în cadrul unor misiuni militare tactice clar definite, cu efecte limitate la
mediul opera
țional tactic. Prin această limitare a conceptului
ne dorim să facem
diferen
ța între ceea ce se poate numi „război cibernetic tactic”
și
„război cibernetic
strategic”,
ultimul fiind
caracterizat în special de capacitatea de
a lovi în sistemele
informatice care deservesc infrastructura critică a unei na
țiuni având ca princi
pale
efecte subminarea economiei sale
și
distrugerea capacită
ții sale
administrative.
Pentru o analiză completă a
unui „război cibernetic strategic” atât din punct de
vedere al mijloacelor utilizate
,
dar și din punct de vedere al îndeplinirii
obiectivelor
,
este necesar a se efectua analiza
tuturor
perspectivelor. Datorită
faptului că un „război cibernetic strategic” are în componen
ță nu numai un vector
de ac
țiune militar, el utilizează un număr mare de mijloace, unele dintre ele chiar
non
–
cibernetice,
compo
nenta determinată
fiind
stabilită de ob
icei pe criteriul
oportunită
ții, este considerat amenințarea cea complexă la adresa securității
spa
țiului cibernetic.
Până în acest moment, nu există
nicio
defini
ție a războiului
cibernetic acceptată de organiza
țiile
interna
ționale cu vocație
în
domeniul juridic,
de
și începând cu anul 2010 a existat o înțelegere internațională tot mai mare asupra
a două aspecte esen
țiale în ceea ce privește războiul cibernetic, primul fiind agreat
la nivelul Organiza
ției Națiunilor Uni
te
prin
faptul că legile conflictelor armate se
aplică
și în spațiul cibernetic, iar al doilea
fiind
că un atac cibernetic poate fi
considerat un act de război cibernetic, în cazul în care nivelul daunelor este
comparabil cu
„
este aproximativ cu nivelul de
deteriorare al unui atac fizic
”
24
.
2
.
Perspectiva criminalită
ții cibernetice
–
Criminalitatea cibernetică este
din ce în ce considerată a fi cea mai avansată
și profitabilă activitate a majorității
organiza
țiilor criminale. Din perspectiva criminalității cib
ernetice, activită
țile
specifice pot include o criminalitatea informatică bazată pe o
gamă
largă de
agresiuni cibernetice care au un impact direct atât asupra cetă
țeanul
ui
(de exemplu,
24
Tim Maurer,
Cyber norm emergence at the United Nations
–
An Analysis of the Activities at
the
UN regarding Cyber
–
Security
, Belfer Center for Science and International Affairs, Harvard
Kennedy School, Discussoin Paper 2011
–
11.
NECLASIFICAT
NECLASIFICAT
25
din
284
furtul de identitate), cât
și al corporațiilor (de exemplu, furtul de p
roprietate
intelectuală).
Î
n
ultimii ani, organiza
țiile naționale cu vocație
în
domeniul apărării
cibe
rnetice acorda o aten
ție sporită
fenomenului
în
care diverse persoane, grupuri
sau organiza
ții comerciale oferă sprijin logistic, uneori chiar prin interm
ediul unor
rela
ții comerciale legitime, oricărei persoane sau grup interesat
în
efectua
rea de
atacuri cibernetice
, acest sprijin variind de la servicii de hosting
și
asistentă tehnic,
pană la dezvoltarea de cod sau servicii de inginerie social
ă
25
. De
ș
i tot
mai multe
țări
încearcă să
definească criminalitatea
cibernetică
printr
–
o paralelă
cu alte
activită
ți criminale,
în
cazul criminalită
ții informatice
și
în
special a
l
actelor
minore din zona
criminalită
ții informatice, numite de obicei hacktivisim,
extinder
ea termenului de criminalitate
c
ibernetică
la cel de terorism cibernetic este
foarte discutabilă.
Î
n
analiza noastră vom folosi ca
și
reper pentru definirea
terorismului cibernetic conceptul prin care un act criminal
în
zona cibernetică
poate fi considerat
ca
și
un
act de terorism cibernetic dacă
el este desfă
șurat
în
mod
deliberat, cu preponderen
ță
în
spa
țiul virtual sau are ca obiectiv întreruperea sau
al
terarea unor parametri, pe scară largă
a capacita
ților cibernetice sau a altor
sisteme care au ca
și
c
omponentă
vitală
în
func
ționare
,
aceste capacită
ți, la care
nivelul daunelor se ridică la nivelul unui atac terorist conven
țional
și
care a are ca
și
cauză
determinantă acela
și complex motivațional ca
și
un atac terorist
conven
țional.
3
.
Perspectiva de spiona
jului
și
contraspionajului cibernetic
–
Separarea
spionajului
și
c
ontraspionajului cibernetic de
criminalitatea informatică
și
activită
țile cibernetice de natură militară nu este lipsită de
controverse. De
și acesta
au la bază
vectori de atac
,
cât
și de teh
nologie similară,
în
practică, cazurile grave
d
e spionaj cibernetic, atât în
ceea ce pri
ve
ște proprietatea intelectuală
, precum
și
în
cazul secretelor de s
tat, sunt separate într
–
o clasă
proprie, mai ales că poate fi
foarte dificil să se stabilească cu cer
titudine dacă făptuitorul este o na
țiune
–
stat sau
25
Jeremy Kirk,
5 Indicted in Long
–
running Cybercrime Operation
, CSO Online, 2 September
2009, disponibil online pe
http://www.computerworld.com/article/2527877/security0/five
–
indicted
–
in
–
long
–
running
–
cybercrime
–
operation.html
,
accesat la data de 22.04.2
016.
NECLASIFICAT
NECLASIFICAT
26
din
284
grup criminal care operează în numele unui stat
–
na
țiune, sau care funcționează pe
cont propriu. Prin perspectiva activită
ții de spionaj, un sistem cu vocație
în
zona
securită
ții cibernetice poate fi caracte
rizat ca
și
un tot unitar, indiferent de tipul
organiza
ției care generează complexul de amenință
ri, mai ales că
spionajul
cibernetic reprezintă forma cea mai complexă
și
completă de amenin
țare la adresa
securită
ții cibernetice a unui stat. Spionajul cibern
etic, atunci când
se manifestă
la
nivel de stat, face necesară dezvoltarea
unor mecanisme specifice de răspuns
în
aria politicii
externă, capabile să rezolve ambiguitatea inerentă a actorului
–
cauză în
spa
țiul cibernetic.
În acela
și timp,
de foarte multe or
i
activită
țile contraspionaj
depind
și
sunt derulate
în
conjunc
ție cu alte tipuri de activități specifice din zona de
informa
ții, inclusiv
schimbul de informa
ții între partenerii internaționali.
4
.
Perspectiva Protec
ției Infrastructurilor Critice
–
Protec
ția
infrastructurilor critice (PIC) a devenit termen general care urmăre
ște să implice
furnizorii de servicii esen
țiale ale unei țări într
–
un cadru de securitate na
țională.
Dat fiind că majoritatea furnizorilor de sunt localiza
ți în sectorul privat, este
neces
ar să se extindă analiza
efectuată asupra
sistemului guvernamental
și
la
sectorul privat. În timp ce accentul ini
țial al programelor
și
procedurilor care se
refera la PIC a avut ca
și
amenin
țare principala terorismul, odată cu evoluția atât a
sistemelor ci
bernetice care fac parte din infrastructurile critice
,
cât
și
a sofisticării
tehnice
și
conceptuale a amenin
țărilor, astăzi majoritatea tuturor activităților CIP
au
în
mod prioritar ca
și
modele de amenin
țare criminalitatea informatică și
spionajul ciberne
tic. În acest context, la nivelul na
țiunilor, managementul
sisteme
lor care gestionează situa
țiile
de criză au început din ce
în
ce mai mult să
con
țină o compo
nentă suplimentară cibernetică,
inclusiv structuri institu
ționale
care sporesc cooperarea dintre s
tat
și actorii nestatali, atât la nivel național și
interna
țional, o rețea
stabilă
de comunicare
pe timp
de criză
precum
și un cadru
juridic aplicabil pentru schimbul de informa
ții relevante.
5
.
Perspectiva cooperării interna
ționale
–
în
ultimii ani
component
ă
de
cooperare interna
țională
în
domeniul combaterii riscurilor
și
amenin
țărilor
în
domeniul ciberneti
c a căpătat o nouă valen
ță
,
care preluată
de sistemul de rela
ții
NECLASIFICAT
NECLASIFICAT
27
din
284
dip
lomatice la nivel interna
țional
se concen
trează pe reglementarea juridică
a
comportame
ntului
în
internet ca
și
bun al umanită
ții,
definită
prin termenul de
„
Guvernanț
a Internetului
”
26
. Sus
ținând
ideea
că pentru reglementarea
comportamentului actorilor statali,
doar
exercitarea mecanismelor diploma
ției
clasice nu vor mai fi suficiente pentru
gestionarea situa
țiilor de conflict
în
mediul
virtual, în
anul
2002, Evan H. Potter, a sugerat că diploma
ția
Cibernetică
sau
cyber
–
diploma
ția
se poate defini prin
„
modul în care diploma
ția se adaptează la
noua ordine globală de informa
ții
”
27
. De asemenea
,
î
n
anul
2010, încercând
să
descrie eforturile bilaterale pe care Rusia
și
Statele Unite le fac pentru a gestiona
amenin
țările din domeniul cibernetic al altor actori din spațiul internațional, Franz
–
Stefan
Gady and Greg Austin, definesc
cyber
–
diploma
ția ca
fiind
„
gestionarea unei
lumi care nu este doar fără margini, ci poate func
ționa cel mai bine atunci când
conectivitatea este aproape infinită.
”
28
În mod convenabil, această defini
ție se
poate aplica
și eforturilor multilaterale pentru promovarea unor norme
și standarde
pentru comportamentul cibernetic în cadrul forurilor
interna
ționale
, cum ar fi
Organiza
ția Națiunilor Unite, sau inițiativelor menite să stabilească măsuri de
consolidare a încrederii cibernetice, similare cu cele care au fost ini
țiate de cătr
e
Organiza
ția pentru Securitate și Cooperare în Europa (OSCE), în
anul
2012. În
acest context, se poate afirma faptul că cyber
–
diploma
ția devine similară cu alte
eforturi diplomatice pe teme de securitate, cum ar fi
de exemplu
controlul
armamentului.
Guver
nan
ța i
nternetului poate fi caracterizată ca fiind procesul prin
care un număr de actori de statali
și
nonstatal
i interac
ționează pentru a gestiona
ceea ce, de fapt, este stratul logic al spa
țiului
cibernetic
, ea fiind în mare măsură o
26
http://www.internetsociety.org/what
–
we
–
do/internet
–
issues/i
nternet
–
governance?gclid=Cj0KEQjw9IS
–
BRC4qZXagbLs6uMBEiQAYHBh
–
6HxtVU10vCNrLIshn
–
rqRHKyZgnvU968T6HWs6jujIaAodu8P8HAQ
,
accesat la data de 18.02.2016.
27
Evan H. Potter, ed. Cyber
–
Diplomacy: Managing Foreign Policy in the Twenty
–
First Century,
Quebec: McGill
–
Queen’s University Press, 2002, disponibil online la
https://books.google.ro/books?id=czDUykpkc
–
0C&printsec=frontcover&s
ource=gbs_ge_
summary_r&cad=0#v=onepage&q&f=false
,
accesat la data de 18.02.2016.
28
Franz
–
Stefan Gady and Greg Austin, Russia, The United States, and Cyber Diplomacy.
Opening the Doors, (New York: EastWest Institute, 2010), disponibil online la
https://www.eastwest.ngo/sites/default/files/ideas
–
files/USRussiaCyber_WEB.pdf
,
accesat la
data de 18.02.2016.
NECLASIFICAT
NECLASIFICAT
28
din
284
activitate ini
țiată
și
derulată
de mai multe păr
ți interesate
,
al căror mandat se
exprimă la nivel interna
țional.
A
șa cum s
–
a afirmat la începutul acestui paragraf
, exprimarea în realitate
a
acestor perspective rezultă din faptul că acestea sunt fiecare tratate
în
mod diferit
și
destul de independent de organiza
țiile cu vocație
în
securitatea cibernetică, nu
numai în cadrul structurilor guvernamentale, ci
și în sectorul privat. Privind din
punctul de vedere al unei analize
care se concentrează pe
mecanismele de
securitate la n
ivel na
țional, toate aceste perspective trebuie să fie analizate holistic,
cu o coordonarea generală, scopul fiind acela de a dezvolta o perspectivă na
țională
de securitate cibernetică. Deoarece
din analiza bibliografică am ajuns la concluzia
că fiecare di
ntre aceste perspective
și
–
au dezvoltat proprii săi termeni de
specialitate, priorită
țile și chiar principiile de bază ,nu vom urma un anumit model
fix de analiză al politicilor
și
strategiilor de securitate cibernetică, ci vom pune
accent mai ales
pe
iden
tificarea cauzelor
și a
evolu
ț
iei proceselor de interac
țiune
î
ntre aceste perspective.
1.1.3. CONCEPTE FOLOSITE ÎN ABORDAREA SECURITĂ
ȚII CIBERNETICE
În acest
subcapitol
ne
–
am propus să
examinăm teoria
și practica securității
cibernetice pentru a evalua
prin metoda investiga
ției științifice, baza forma
tă din
principiile fundamentale
necesare pentru a defini securitatea cibernetică.
Provocarea majoră în definirea securită
ții cibernetice
derivă
din aspectele
specifice ale acestui domeniu, datorită faptului
că spa
țiul securității cibernetice este
construit în mod artificial, foarte pu
țin legat de lumea fizică, existând puține
constrângeri „a priori” atât din perspectiva unui poten
țial atacator
,
cât
și din
perspectiva celui atacat, unde dinamica amenin
țărilor
asociate cu securitatea
cibernetică sunt determinate în special din faptul că natura
și agenda adversarilor
este în continuă schimbare, având ca
și factor catalizator atât evoluția metodelor,
mijloacelor tehnice
,
cât
și comportamentul adversarilor în const
ruc
ția unui răspuns
la ac
țiunile defensive.
NECLASIFICAT
NECLASIFICAT
29
din
284
Organiza
ția Tratatului Atlanticului de Nord (NATO) folosește de obicei
două concepte atunci când se referă la apărarea cibernetică
și securitatea
informa
țiilor
în spa
țiul cibernetic
. Primul se adresează unui medi
u mai larg de
securitate
și definește ca abilitatea de a proteja în mod eficient confidențialitatea,
integritatea
și disponibilitatea sistemelor de comunicații și tehnologia informației
(ICT)
și a procesării, stocării ori transmiterii informației
29
. Al doil
ea concept, care
se pli
ază mai bine pe natura operativă
a organiza
ției
,
se referă la capacitatea de a
proteja livrarea
și managementul serviciilor din sfera ICT
,
ca răspuns la ac
țiuni
ostile actuale
,
poten
țiale sau iminente
,
care î
și au originea în spațiul
cibernetic
30
.
Departamentul Apărării la Statelor Unite ale Americii are
,
de asemenea
,
două concepte pe baza căruia define
ște
termenul de securitate cibernetică
. Primul,
folosit în special de Statele Majore ale diverselor categorii de for
țe
,
se referă la
ac
țiunile întreprinse pentru a detecta, a
naliza, monitoriza, proteja
și
răspunde la
orice activită
ți neautorizate asupra sistemelor informatice și ale rețelelor de
calculatoare ce apar
țin Departamentului Apă
rării al SUA (DOD). A doua formă de
definire a secu
rită
ții cibernetice
o găsim în documentele strategice care stau la baza
înfiin
țării Comandamentului Cibernetic al SUA
(USCYBERCOM), acestea
definind
opera
țiile cibernetice defen
sive
ca fiind „
direc
ționarea și sincronizarea
ac
țiunilor în scopul detectării,
analizării atenuării
și combaterii amenințărilor
informatice
și al vulnerabilităților în scopul de a împiedica desfășurarea acțiunilor
ofensive ale adversarilor în spa
țiul cibernetic, pentru protecția misiunilor critice
ale SUA
și pentru a permite acesteia
libertatea de ac
țiune în spațiul vital
.”
31
Canada are o abordare mult mai orientată către societate în ansamblu ei,
punând accent pe maximizarea beneficiilor revolu
ției digitale pentru mediul de
afaceri canadian
și a
l
cetă
țenilor, în ciuda un
ei game dinami
ce de provocări. A
ceste
defini
ții sunt relativ diferite, ele fiind enunțate din perspectiva inter
–
29
Geir Hallingstad and Luc Dandurand, Cyber Defence Capabili
ty Framework
–
Revision 2.
Reference Document RD
–
3060, The Hague: NATO C3 Agency, 2010.
30
Lawrence Lessig,
The Future of Ideas. The Fate of the Commons in a Connected World
, (New
York: Random House, 2001), disponibil la
http://www.the
–
future
–
of
–
ideas.com/download/lessig_FOI.pdf
,
accesat la data de 22.04.2016.
31
GAO, Defense Department Cyber Efforts. More Detailed Guidance Needed to Ensure Military
Services Develop Appropriate Cybersp
ace Capabilities, Washington, DC: GAO, 2011.
NECLASIFICAT
NECLASIFICAT
30
din
284
guvernamentală
sau intra
guvernamentală
, elementele fundamentale se referă la
protec
ția spațiului cibernetic, adică a acelui spațiu imaginar, intangibil, de re
alitate
virtuală generat de ansamblul interconectat de sisteme de calcul
și rețele de
transmisie
a datelor.
P
e care se manifestă
interesele SUA, Canada sau NATO.
Cu toate că
ex
istă
analogii cu alte domenii de cercetare,
nicio
zona
științi
fică
clasică,
cum
ar fi
matematica, fizica
sau
științele sociale nu acoperă toate aspectele
importante, securitatea cibernetică necesitând o în
țelegere a conceptelor de
informatică derivate din matematică, concepte de inginerie
și studiul materialelor
,
dar
și concepte din a
lte
științe cum ar fi economia, epidemiologia sau psihologia
,
ș
tiințe
care se dovedesc utile în furnizarea de direc
ții de cercetare. Dezvoltarea unei
metrici asociate cu nivelul de securitate al
unui sistem informatic stă
la baza
definirii nivelului de sec
uritate al unui sistem cibernetic, însă este necesar să se
în
țeleagă limitările acesteia.
Pentru a putea defini
coerent securitatea cibernetică, cele mai importante
două elemente
ar fi construirea unui limbaj comun
și definirea unor concepte de
bază din ca
re comunitatea de securitate
să poată
dezvolta un concept general
acceptat. Deoarece securitatea cibernetică poate fi definită
comprehensiv numai în
prezen
ța
adversarilor, aceste
elemente
se vor schimba în timp, iar un limbaj comun
și o convenție asupra pr
otocoalelor experimentale vor facilita testarea ipotezelor
și
validarea experimentelor de laborator, care însă vor trebui să fie confirmate, prin
analogii privind dimensiunea
și complexitatea, în zona realității practice din teren.
Prin aceasta abordare s
e
poate construi baza filozofică
a securită
ții cibernetice, se
pot identifica elementele de teorie
științifică, modelele experimentale sau practice
pe care comunitatea de cercetare în domeniul securită
ții cibernetice le poate adopta
în scopul
a face progres
e semnificative în domeniu.
Comparativ cu fizica sau biologia, datorită caracterului predominant empiric
al acestora, rezultatul poate fi
verificat prin legile naturale
, unde precizia
determ
inistă a interac
țiunilor la scară microscopică
a evoluat datorită
cunoa
șterii
până la
acel nivel
, rezultatele interac
țiunilor fiind descrise prin distribuții de
probabilitate
,
care benef
iciază de o caracteristică duală
a incertitudinii,
atât
NECLASIFICAT
NECLASIFICAT
31
din
284
ontologică
și
epistemologică
, securitatea cibernetică fiind în esen
ță o activita
te
aplicată
, a cărui caracter determinist este dat de construc
țiile matematice ale științei
calculatoarelor, cum ar fi teoria
automatelor
și logica matematică
. Aceasta
abordare, care poate fi folosita pentru descrierea securită
ții cibernetice ale
sistemelo
r inf
ormatice utilizate în prezent
și bazate pe logica binară,
este posibil ca
în viitor să î
și înceteze valabilitatea în cazul calculatoarelor cuant
ice bazate pe
rela
ția intrinsecă
de incertitudine cuantică derivată din faptul că doi operatori sunt
fiecar
e transformata Fourier a celuilalt
32
, însă rămâne o certitudine faptul că
limbajul matematic
este
singurul limbaj care are no
țiunile și coerența necesare
pentru a descrie legile fizicii cuantice pe care se bazează aceste sisteme.
În ceea ce prive
ște organiz
area pe o bază
științifică a cercetării în domeniul
securită
ții cibernetice este destul de dificil a se utiliza domeniile tradiționale de
cercetare experimentală
și teoretică, deși există mai multe sisteme metrice care ar
putea fi utilizate în mod producti
v, cum ar fi cele care stau la baza si
stemelor
expert de tip SNORT
–
s
isteme de detec
ție și prevenire a intruziunilor într
–
o re
țea
cibernetică
–
aceste
a având o bază empirică
derivată din observa
ția mediului
natural, în exemplul nostru de comportamentul ac
torilor implica
ți în războiul
cibernetic. Prin utilizarea de către ace
ști actori a unor noi abordări de atac
cibernetic, noii parametrii ai acestora nu vor contribui la sistemul de metrici
și prin
urmare modelarea nu se poate aplica la scenarii care nu sun
t foarte bine definite.
Ca
și consecință logică, nu este posibil să se măsoare definitiv un nivel de
securitate care să fie aplicabil în mod general sistemelor cibernetice, dar putem fi
de ac
ord că
repetabilitatea rezultatelor depinde de acceptarea de cătr
e comunitatea
de cercetare a unor standarde care
țin cont de aceste caracteristici. Având în vedere
cele
afirmate
mai sus referitor la criteriile folosite în cercetarea experimentală
și
teoretică în domeniul securită
ții cibernetice, putem afirma faptul că
repetabilitatea
nu este un criteriu central pentru publicarea rezultatelor în securitatea cibernetică.
32
M.A. Nielsen and I.L. Chuang,
Quantum Computation and Quantum Information
, Cambridge
University Press, 2000, ISBN 0
–
521
–
63503
–
9.
NECLASIFICAT
NECLASIFICAT
32
din
2
84
Pentru a face posibilă aplicarea domeniilor tradi
ți
onale de cercetare
experimentală
și te
oretică
la studiul securită
ții cibernetice, comunitatea științif
ică
trebuie să utilizeze protocoale de cercetare general acceptate
,
în scopul de a
permite exp
erimente reproductibile, aceste protocoale
furnizând descrieri coerente
ale condi
țiilor inițiale, tipurilor de
amenin
țări permise și parametrilor
pentru
obiective
le de securitate. Astfel, modalitatea verificării modelului se dovede
ște a fi
relevantă în cazul în care se creează un model pentru securitatea unui anumit
sistem cheie
și apoi se testează ipotezele folosind un set bine definit de intrări. În
avantajul ace
ste abordări este faptul că în timp ce din punct de vedere teoretic
spa
țiul de intrare este potențial infinit, amenințările specifice pot fi modelate, un
exemplu
în
acest sens fiind
modelarea amenin
țărilor
(
Threat modeling
–
TM
)
33
ca
metodă
organizată
și re
petabilă
pentru definirea
și prioritizarea riscurilor în cadrul
unui sistem expus amenin
țărilor de securitate cibernetică, procesul implicând de
obicei urmărirea fluxurilor de date care parcurg un sistem cibernetic
și identificarea
limitelor de încredere u
nde datele pot fi compromise.
Astfel imediat
ce riscurile
și
amenin
țările sunt identificate
,
pot fi puse în aplicare strategiile de atenuare pentru a
ghida implementarea
și validarea sistemului
34
.
De asemenea, utilizând teoria jocului poate fi creat un mod
el pentru
stabilirea priorită
ților între amenințări și contramăsuri, pe baza analizei
probabilistice a riscului, analiza deciziei, precum
și alte elemente ale teoriei
jocului. Acest model reprezintă probabilită
țil
e diferitelor scenarii
, obiectivele
ambilor
jucători, atacator
și atacat
,
cât
și competiția dinamica între ele
35
. Din punct
de vedere al modelă
rii
și simulării acestor scenarii
,
pot fi utilizate capacită
țile de
calcul existente pentru a testa în mod continuu ipotezele de securitate relativ la
33
Michael Muckin, Scott C. Fitch, A Threat
–
Driven Approach to Cyber Security
–
M
ethodologies, Practices and Tools to Enable a Functionally Integrated Cyber Security
Organization, Lockheed Martin Corporation, disponibil online
http://lockheedmartin.com/content/dam/lockheed/data/isgs/documents/Threat
–
Driven%20Approach%20whitepaper.pdf
,
accesat la data de 14.02.2016.
34
David LeBlanc, Michael Howard,
Writing Secure Code
(2nd Edition), Microsoft Press 2003,
ISBN
–
13:
9
78
–
0735617223.
35
Alan T. Murray, Tony Grubesic,
Critical Infrastructure: Reliability and Vulnerability
, ISBN
978
–
3
–
540
–
68056
–
7.
NECLASIFICAT
NECLASIFICAT
33
din
284
sistem
ele pe care rulează sau se poate
fi
utiliza
t
conceptul de ma
șină virtuală unde
se pot crea medii de testare bine definite, în scopul explorării în mediu controlat
a
comportamentul
ui
sistemelor de calcul
și a sistemelor de securitat
e în prezen
ț
a
unor atacur
i bine definite.
1.1.4. ATRIBUTE ALE SECURITĂ
ȚII CIBERNETICE
Abs
en
ța unei definiții concise, general acceptate
, care să surprindă
multidimensionalitatea securită
ții cibernetice
și
a elementelor care sunt influen
țate
de progresele
științ
ifice
și tehnologi
ce poten
țiale
,
fac ca majoritatea analizelor să
consolideze abordarea prin
care securitatea cibernetică are un caracter
preponderent tehnic,
în
compara
ție cu disciplinele adiacente, cum ar fi matematica,
fizica, economia sau
științele sociale, trebuie să a
c
ționeze în mod focalizat pentru a
rezolva provocările complexe la
care este supusă
.
În încercarea noastră de a ajunge la o defini
ție aliniată cu natura
interdisciplinară reală a securită
ții cibernetice, am trecut în revistă literatura de
specialitate pent
ru a identifica aria conceptelor acoperite de defini
ții, pentru a
discerne temele dominante, precum
și de a distinge aspectele legate de securitate
a
cibernetică,
rezultând
astfel o abordare a definirii securită
ții cibernetice
care este
,
după părerea noastr
ă, mai
cuprinzătoare
și
care va permite un accent sporit
și
îmbogă
țit pe dialectica securității cibernetice interdisciplinare.
Myriam Dunn Cavelty
și Victor Mauer în „
Manualul Routledge pentru
Studii de Securitate
”
36
abordează securitatea cibernetică prin d
escompunerea celor
doi termeni
,
„securitate”
și „cyber”, ajutând
astfel
la focalizarea discur
sului în
cadrul ambelor domenii
și
re
levând astfel
și o transcendență
în
timpul
prezent al
unor concepte dezvoltate
în trecut
. Astfel, conota
ția „
cyber” se referă
l
a spa
țiul
cibernetic, reflectând
imaginea re
țelelor de comunicații electronice și realitatea
virtuală
rezultată,
evoluând de la termenul „cibernetică” care se referea la
36
Myriam Dunn Cavelty and Victor Mauer,
The Routledge Handbook of Security Studies
, 2010.
Routledge, ISBN 0
–
203
–
86676
–
2.
NECLASIFICAT
NECLASIFICAT
34
din
284
„
domeniul teoriei controlului
și comunicării fie în mașină fie în animal
”
37
.
Depart
ame
ntul pentru Siguran
ță Publică
din Canada define
ște cyberspațiul ca
„
lumea electronică creată
de re
țelele interconectate tehnologiei informației și
informa
țiile privind aceste rețele
”
38
.
Pentru ter
menul de „securitate” se pare că
cea mai acceptat
ă
abordare d
e
către comunitatea
academică
este aceea a lui Barry Buzan, Ole Wæver
și Jaap de
Wilde
39
,
care în
anul
1998 enun
ță faptul că discursurile în materie de securitate
includ în mod necesar
și caută să înțeleagă cine securi
zează, relativ la ce
amenin
țări
, pentru
care domeniu a
rie sau obiect, de ce
, cu ce rezultate
și în ce
condi
ții. Cu toate c
ă
exista forme mai concrete de securitate, cum ar fi proprietă
țile
fizice, proprietă
țile umane, proprietățile sistemelor informaționale sau definirea
mate
matică
a diferitelo
r tipuri d
e securitate, în final termenul î
și asumă
sensul în
func
ție de perspectiva cuiva și relativ la valorile la care se refera.
Ca rezultat al cercetării noastre am selectat următoarele defini
ții
despre care
suntem de părere că
ne oferă o perspecti
vă
materială mai accentuată asupra
securită
ții cibernetice:
1
.
„
Securitatea cibernetică consistă
într
–
o largă categorie de metode
defensive în scopul detectării
și contracarării intrușilor
”
40
.
2
.
„
Securitatea cibernetică
este
o colec
ție de instrumente, politici, co
ncepte
de securitate, garan
ții de securitate, orientări, abordări de management al
risculu
i, ac
țiuni de formare profesională
, cele mai bune practici, asigurări
și
37
Norbe
rt Wiener,
Cybernetics or Control and Communication in the Animal and the Machine
,
1948 MIT Press, disponibil online la
http://uberty.org/wp
–
content/uploads/2015/07/
Norbert_Wiener_Cybernetics.pdf
,
accesat la data de 14.02.2016.
38
http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr
–
scrt
–
strtgy/index
–
eng.aspx
,
accesat la data
de 14.02.2016.
39
Barry Buzan, Ole Wæver, Jaap de Wilde,
Security: A New Framework for Analysis
, Lynne
Rienner Publishers, 1998.
40
Giovanni Vigna, William Robertson, Vishal Kher, Richard A. Kemmerer,
Stateful Intrusion
Detection System for World
–
Wide Web
Servers
, ACSAC '03: Proceedings of the 19
th
Annual
Computer Security Applications Conference, 2003, p. 34.
NECLASIFICAT
NECLASIFICAT
35
din
284
tehnologii care pot fi folosite pentru a proteja mediul cibernetic, organiza
țiile și
utilizat
orii activi”
41
.
3
.
Securitatea cibernetică este activitatea sau procesul, capacitatea sau
abilitatea
,
starea prin care informa
țiile, sistemele de comunicații
și
informa
țiile
con
ținute de acestea sunt protejate de și/sau apărate împotriva daunelor, utilizării
n
eautorizate sau modificării sau exploatării neautorizate.”
42
Reluând abordarea studiilor de securitate ale lui Barry Buzan, Ole Wæver
și
Jaap de Wilde, orice defini
ție a ceea ce înseamnă „securitate cibernetică” ar trebui
să fie
capabilă
să cuprindă o în
țe
legere a actorilor, subiectelor, obiectelor de
referin
ță, a scopurilor și a intențiilor, al rezultatelor și al structurilor, însă
în studiul
nostru nu am găsit o defini
ție completă a conceptului de „securitate cibernetică”
care să fie cuprinzătoare, unific
atoare
și de impact, deoarece acest domeniu este o
provocare complex
ă, care necesită mai ales
ra
ționamente interdisciplinare
,
prin
urmare orice defini
ție rezultantă trebuie să includă domenii ale securității
cibernetice care în prezent sunt tratate separat
.
Astfel,
în
studiul bibliografiei, am
determinat cinci teme dominante
,
reflectate în literatura de specialitate, care de
și nu sunt singurele care susțin natura
interdisciplinară a securită
ții cibernetice, considerăm că au un impact major asupra
procesulu
i de definire al acesteia:
1
.
Solu
ții tehnologice
2
.
Evenimente
3
.
Strategii, procese
și metode
4
.
Activită
ți umane
5
.
Obiectele de referin
ță ale securității cibernetice
Pe de alta parte, din studiul materialului bibliografic am ajuns la concluzia
că securitatea ciberne
tică se poate distinge,
în
principal, prin următoarele aspecte:
41
ITU, 2009,
Cybersecurity: The Role and Responsibilities of an Effective Regulator
, disponibil
online la
http://www.itu.int/ITU
–
D/treg/Events/Seminars/GSR/GSR09/doc/GSR
–
background
–
paper
–
on
–
cybersecurity
–
2009
.pdf, accesat la data de 14.02.2016
42
Cybersecurity Issues and Challenges: In
Brief, 2014, disponibil online la
https://www.fas.org/sgp/crs/misc/R43831.pdf
,
accesat la data de 14.02.2016.
NECLASIFICAT
NECLASIFICAT
36
din
284
–
a
re un caracter socio
–
tehnic interdisciplinar
;
–
e
ste o re
țea globală în care capabilitățile actorilor interdependenți
sunt în
linii mari asemănătoare;
–
a
re un grad înalt de schimbare, conectabil
itate
și viteza de interacțiune.
Ținând cont de aceste aspecte
,
putem afirma faptul că securitatea cibernetică
poate fi caracterizată ca fiind activitatea de colectare
și organizare de resurse,
procese
și structuri utilizate pentru a proteja spațiul cibern
etic
și sistemele care
populează acest spa
țiu împotriva apariției evenimentelor care încearcă să altereze
de jure drepturile de proprietate de facto ale acestora.
1.
1.5. CONCEPTE SPECIFICE RĂZBOIULUI CIBERNETIC
Spa
țiul cibernetic sau cyberspațiul este n
oul domeniu al războiului, care în
ultimii ani s
–
a alăturat arenelor de luptă tradi
ționale terestre, maritime, aeriene și
spa
țiale.
Acest
subcapitol
încearcă să definească caracteristicile acestui nou domeniu
de război, încercând atât să utilizeze concepte
clasice
în
cartografierea proceselor
care caracterizează acest spa
țiu de lupt
ă
, cât
și să înțeleagă mecanismul
apari
ției
unor noi tipuri de riscuri
și amenințări.
Na
țiunile și organizații militare moderne își
intensifică
activită
țile în spațiu
cibernetic,
acesta constituind nu numai o sursă de informa
ții și bunăstare
,
dar
și o
sursă de putere, astfel c
ă
nu numai infrastructurile critice, cum ar fi energia
electrică, dar
și infrastructura de comandă și control militar, sistemele moderne de
arme
,
dar
și comp
onentele de intelligence militar depind de capacitatea, rezilien
ța,
disponibilitatea
și securitatea spațiului cibernetic.
Ca
și arenă de luptă
, spa
țiul cibernetic prezintă unele caracteristici unice,
cum ar
fi capacitatea de a opera rapid
împotriva advers
arilor fără a avea
constrângeri de distan
ță,
limitări date de
configura
ția terenului și fără a risca viețile
personalului combatant.
NECLASIFICAT
NECLASIFICAT
37
din
284
Din
perspectiva militară
, pentru spa
țiul cibernetic au fost găsite mai multe
defini
ții, multe dintre acestea incluzând sepa
ra
ția în paliere, de exemplu Uniunea
Interna
țională a Telecomunicațiilor (ITU)
43
din cadrul Organiza
ției Națiunilor
Unite (ONU) define
ște spațiul cibernetic ca fiind
„
spa
țiul delimitat fizic și non
fizic
creat de sau compus din calculatoare, sisteme informat
ice, re
țele și programe de
calculator, date informatice, con
ținutul
bazelor de date, traficul de date
și
utilizatori
”
44
.
Astfel,
în
cele mai multe abordări privind caracterizarea spa
țiului cibernetic
din perspectivă militară,
a fost identificată
existența
a trei paliere:
1
.
p
alierul uman
–
utilizatorii sistemelor ICT
2
.
p
alierul logic
–
date
și software
–
acesta beneficiază de avantajul vitezei
de procesare
și cuprinde informații, instrucțiuni, active din spațiu virtual și sisteme
software.
3
.
p
alierul fizic
–
comp
onentele fizice ale unei re
țele
,
inclusiv
echipamentele
hardware, infrastructurile mobile sau sta
ționare situate pe sol, în
apa, în aer sau în spa
țiu.
În documente militare americane,
spa
țiul cibernetic este definit cu precădere
în contextul de
–
al doilea s
trat (logic)
și al treilea strat (fizic) ca
„
un domeniu la
nivel mondial în mediul de informa
ții, constând din rețele interdependente de
tehnologie a informa
țiilor, infrastructuri, inclusiv Internet, rețele de
telecomunica
ții, sisteme de calcul, și a altor
echipamente care
încorporează
procesoare
și controlere.
”
45
Astfel
, considerând aceasta abordare,
cele trei paliere
se pot defini ca în
t
abelul
nr.
1.
1.
Spa
țiul cibernetic
, ca al cincilea domeniu de luptă
, are interferente
în
toate
celelalte domenii, în te
ren, în aer, pe mare
și în spațiu, și ca urmare se poate afirma
43
ITU
–
International Telecommunications Union, http://www.itu.int/en/about/Pages/
def
ault.aspx, accesat la data de 22.02.2016.
44
ITU TOOLKIT FOR CYBERCRIME LEGISLATION, ITU
–
D ICT, February 2010
Applications and Cybersecurity Division, disponibil online la
http://www.cyberdialogue.ca/wp
–
content/uploads/2011/03/ITU
–
Toolkit
–
for
–
Cybercrime
–
Legislation.pdf
, accesat la data de
22.02.2016.
45
The United States Army’s Cyberspace Operations Concept Capability Plan 2016
–
2028
,
22 februarie
2010, p. 6.
NECLASIFICAT
NECLASIFICAT
38
din
284
faptul că spa
țiul cibernetic poate exista fizic în toate aceste
domenii
,
astfel acestea
nu numai că
se conectează
și întărește capabilitățile fiecăruia
,
dar
și
reciproc,
activită
țile lor pot f
i exprimate
și în spațiul cibernetic.
Tabelul
nr.
1.
1:
Cele trei paliere ale spa
țiului cibernetic
Nr
.
crt.
Palier
Tipul
activită
ții
Con
ținutul
activită
ții
Direc
ții de dezvoltar
e
1. Palierul Uman
1
Utilizator
Utilizarea
sistemelor ICT
Lectura, tranzac
ții
electronice,
investi
ții, schimb
de informa
ții,
tranzac
ții între
cetă
țeni și
institu
țiile
guvernamentale,
criminalitate
informatică
, război
cibernetic
Cre
șterea fenomenului de
a
pari
ție a comunităților
virtuale care operează în
spa
țiul virtual. Din punct de
vedere tehnologic se va
migra către dispozitive
mobile inteligente, IOT
(Internet of Things)
și s
e va
mări
în volum
și
grad de
complexitate folosirea
I
nternetului.
2. Palierul
Logic
–
Activită
ți Software
2
Interfa
ța Grafică
cu utilizatorul
Traducerea
și
interpretarea
informa
țiilor
din limbajul
utilizatorului în
limbajul
calculatorului
și
revers
Pagini de text,
poze, video,
audio, interfe
țe
digitale
Cre
șterea nivelului și
tipu
rilor de aplica
ții
prezentate la interfa
ța cu
utilizatorul. Cre
șterea
parametrilor prezentării în
toate dimensiunile. Se tinde
către interfe
țe 3D
3
Software de
Aplica
ții
Analiza
și
procesarea
informa
țiilor de
la utilizator,
sisteme de
management
Instruc
ți
uni
și
procese în limbaj
de programare
Vor creste în volum
și în
complexitate. V
a cre
ș
te
numărul de nivele între
pa
lierul software
și cel
hardware
NECLASIFICAT
NECLASIFICAT
39
din
284
Nr
.
crt.
Palier
Tipul
activită
ții
Con
ținutul
activită
ții
Direc
ții de dezvoltar
e
4
Sisteme de
Operare
Programe
software care
translatează
procesele de la
limbajul
calculatorului la
limbajul
unită
ții
centrale
(procesorului)
Informa
ții în
limbajul de
programare
relevante
palierului
Se vor adapta mai bine
limbajului
și logicii umane
3. Palierul Fizic
6
Hardware
Infrastructura
fizică
electromagnetic
ă
care efectuează
opera
ții logice
Circuite i
ntegrate,
componente
electronice,
impulsuri electrice
Cre
șterea în volum a
numărului de circuite
logice pe unitatea de
s
uprafa
ță, creșterea în
frecven
ță
a semnalelor
electromagnetice,
miniaturizare
și mobilitate'
7
Comunica
ții,
electroalimentare
și sistem
e de
radioemisie
(infrastructură
electromagnetică
)
Asigur
area
condi
țiilor
pentru existen
ța
activită
ții de
computerizare
Infrastructuri,
servicii, cabluri,
echipamente de
emisie
și recepție,
unde
electromagnetice
Cre
șterea în varietate,
complexitate a siste
melor
de comunica
ții,
comunica
ții mobile GSM,
3G, 4G, Bluetooth,
routere, comunica
ție
satelitară
, miniaturizarea
surselor de energie
8
Suport Hardware
și Software
Furnizează
condi
ții
suplimentare
pentru
existența
spa
țiului
cibernetic
terestru, pe
mare, în
aer
și
în spa
țiul
cosmic.
Operatori umani care
transportă calculatoare
inteligente
și telefoane,
instala
ții încorporate de
calculator, sisteme
și
instrumente, echipamente
cu procesoare, controlere
integrate scanere
și
efectori
NECLASIFICAT
NECLASIFICAT
40
din
284
Spre deosebire de defi
ni
țiile care plasează spațiul cibernetic ca și o a cincea
dimensiune,
în
studiul bibliografic a fost găsită o abordare care sus
ține că spațiul
cibernetic este unul din cele
șapte domenii, alături de aer, spațiu, mare, terestru,
domeniul electromagnetice
și
domeniul uman
46
. Față
de defini
țiile clasice
, găsite în
special în documentele doctrinare ale SUA, această abordare face distinc
ția între
spa
țiul cibernetic și domeniul electromagnetic, definind separat dimensiunea
umană. Astfel, din perspectiva războiului
cibernetic,
se poate
caracteriza spa
țiul
cibernetic ca fiind un
spațiu
artificial realizat prin intermediul domeniului
electromagnetic care interferă cu domeniile fizice prin intermediul unor senzori
și
efectori
și ca atare acesta servește la abilitarea
f
unc
ționă
rii sistemelor civile sau
militare care operează în toate domeniile, expunându
–
le
,
de asemenea
,
la atacuri
cibernetice
47
.
A
stfel, pe poate afirma faptul că
un numitor comun al abordărilor care
încearcă caracterizarea conflictelor din spa
țiul cibern
etic este stratul logic,
diferen
țele
în diversele defini
ții reflectând
accentele specifice ale diverselor state
și
organiza
ții în încercarea lor de a face față provocărilor reprezentate de spațiul
cibernetic.
Având în vedere cele expuse mai sus, conflictel
e militare pe spa
țiul
cibernetic căpătă noi caracteristici specifice:
a
)
Capacitatea de a desfă
șura operațiunile cu viteza foarte mare, aproape de
viteza luminii, fără a avea limitării de spa
țiu, teren, juridice
sau logistice
tradi
ționale. Această
caracterist
ică permite atacatorilor de a executa opera
țiuni
ofensive pe distante lungi, pe o durată de ordinul milisecundelor
și fără a fi nevoie
să se confrunte cu inamicul în spa
țiul fizic,
capabilitatea sa ofensivă
fiind
puternic
influen
țată de pregătirea personal
ului uman, capacitatea tehnol
ogică a
infrastructurii de atac
și
,
nu în ultimă instan
ță
,
de
capacitatea
și viteza rețelei
difuzate în spa
țiul fizic la care potențialul inamic este conectat. În ceea ce privește
46
Sebastian M. Convertino II, Lou Anne DeMattei, Tammy M. Knierim,
Flying and Fighting in
Cyberspace,
Alabama: Air University Press, iulie 2007.
47
Amos Granit,
Cyb
erspace as a Military Domain
–
I
n What Sense?
, Institute for Intelligence
Studie
s at IDF Military Intelligence, martie 2010.
NECLASIFICAT
NECLASIFICAT
41
din
284
aspectul defensiv, posibilitatea unui atac rapi
d are nevoie de o capacitate ICT
defensivă puternică, automată
și care
să poată să răspundă
în timp real
și
independent de reac
țiile umane.
b
)
Abilitatea de a
ac
ționa în secret sau sub falsă identitate. Este p
oate cea
mai atrăgătoare caracteristică a războiul
ui cibernetic
în special
datorită
anonimizării atacatorului sau chiar a originii vectorului purtător al atacului. Păr
țile
beligerante nu numai că au posibilitatea de a conduce opera
ții militare vaste în
spa
țiul cibernetic, fără a lăsa
nicio
urmă, dar ei po
t să opereze
și sub falsa
identitate
,
de exemplu
o entitate
guvernamentală
a unui stat ter
ț, grupuri de hackeri
cu diverse motiva
ții elemente criminale sau chiar sub identitatea unor capacități
cibernetice militare ale
țintei atacate. Astfel, ducerea războ
iului în spa
țiul
cibernetic permite păr
ților beligerante să reducă la minim expunerea forțelor,
incriminarea
și riscul de contraatac, un argument suficient de puternic al
acestei
afirma
ții fiind acela că
niciun
a din na
țiunile care utilizează pe scară largă
atacurile
ciber
netice nu a putut fi incriminată
. Această caracteristică are
și o implicație mult
mai periculoasă la prima vedere, aceea că poate escalada necontrolat un conflict
în
special datorită fenomenului prin care
contraatacurile păr
ților pot depăși
spa
țiul
cibernetic, implicând în foarte scurt timp toate categoriile de for
țe.
c
)
Armele ciber
netice au o caracteristică duală
–
aceea de arme letale sau
neletale, aceia
și capabilitate de atac poate fi utilizată în ambele moduri, la alegerea
atacatorului. Ca
pabilitatea de a produce pagube majore în func
ționarea unui stat
fără a îi distruge infrastructura fizica sau a crea victime umane este considerat
principalul avantaj al armelor cibernetice fa
ță de armele st
rategice de tip cinetic. La
fel
, atacurile cibern
etice pot cauza distrugeri masive
și pierderi importante de vieți
omene
ști prin alterarea funcționării normale a sistemelor aflate în domeniul fizic
însă conectate la spa
țiul cibernetic.
d
)
Risc scăzut pentru resursele umane ale atacatorului. Atacuril
e în spa
țiul
cibernetic prezintă
foarte pu
ține riscuri pentru personalul combatant al atacatorului
și permite o mai multă
îndrăzneală
în promovarea ideilor ofensive, comparativ cu
atacurile cinetice conven
ționale, în care epuizarea capacitații combatante a trupelo
r
NECLASIFICAT
NECLASIFICAT
42
din
284
înainte de atingerea unui obiectiv sau îndeplinirea unei misiuni este o variabilă
limitativa majoră pe baza căreia se decide efectuarea misiunii sau a atacului. În
ceea ce prive
ște partea defensi
vă
a unui atac, riscul limitat la pierderile umane
permite
desfă
șurarea unui spectru mai mare de mijloace defensive, automatizarea
aproape totală a acestora, spre deosebire de sistemele de
apărare cinetică
în care
experien
ța a arătat că factorul uman trebu
ie să aibă decizia ultimativă
de angajare.
e
)
Selectivitatea
atacului este un atribut oarecum echivoc, fiind puternic
dependent de
țint
ă
și de modalitatea aleas
ă
pentru atac. În unele cazuri
caracteristica
țintei face posibil un atac selectiv fără a deteriora și alte capacități
sau entită
ți din spațiul cibernetic, î
nsă în alte cazuri este dificil de controlat
domeniul de aplicare
,
iar
pagubele
cauzate
se pot răspândi dincolo de ceea ce a fost
planificat.
f
)
Poten
țialul viral al atacurilor din spațiu cibernetic se bazează pe modelul
logic de
replicare al viru
șilor în nat
ură
și este utilizat în special când nu se poate
atinge
ținta sau obiectivul unui atac cibernetic cu un singur vector purtător
, fiind
este nevoie de un atac în mai mul
ți pași
sau
utilizând vectori multiplii. Un astfel de
atac este o provocare majoră atât p
entru atacator
,
cât
și pentru atacat, deoarece
schemele de atac de tip viral au instrumente care se propagă în spa
țiul cibernetic,
ele dispunând de inteligenta proprie, modificând
–
u
și majoritatea caracteristicilor
proprii la fiecare schimbare a unui parame
tru al mediului cibernet
ic (func
ția de
auto
adaptare)
,
dar
și capacitatea de propagare simultană pe toate mediile de
interconectare a sistemelor ICT din spa
țiu cibernetic (funcția de auto
replicare).
Aceste atacuri sunt greu de detectat
,
iar când ele sunt de
tectate, aceasta este ca
urmare a pagubelor pe care le produc
și prin
urmare este prea târziu. Această
caracteristică prezintă o serie de dificultă
ți pentru atacator, care în cazul operațiilor
militare este mai mult interesat de un atac concentrat, selecti
v
și un control strict al
rezultatului
,
cât
și a
l
momentului apari
ției lui.
g
)
Standardizarea spa
țiului cibernetic se referă la faptul că infrastructura
fizică a acestuia este construită din echipamentele produse de companii
interna
ționale din domeniul ICT, l
ocalizate în toate zonele geografice
și care
NECLASIFICAT
NECLASIFICAT
43
din
284
independent de modul în care î
și îndeplinesc funcțiile pentru care au fost
proiectate, interfe
țele de conectare cu spațiu
l cibernetic sunt standardizate,
caracteristicile acestora fiind publice.
h
)
Conectivitatea
dintre spa
țiul cibernetic și alte capabilități
operând
în
diverse spatii, face ca
prin
utilizarea senzorilor să conecteze la spa
țiul cibernetic
domeniul său de detectare
,
prin transformarea mărimii detectate în date logice care
pot fi prelucrate stocate, t
ransmise
și apoi interpretate de către atacator.
i
)
Reversibilitatea unui atac
–
sau posibilitatea întoarcerii în timp, permite
păr
ții atacate să își revină rapid după un atac cibernetic restaurând starea dinaintea
atacului prin refacerea sistemelor din imag
inea salvată în arhive sau utilizând
sistemele în oglindă. Din punctul de vedere al atacatorului, avantajul acestei
caracteristici este că permite producerea de daune limitate în volum
și timp la o
infrastructură de sub atac, de exemplu, o infrastructură c
ivilă, care ulterior poate fi
folosita în beneficiu propriu. Dezavantajul principal
ul al atacatorului este acela că
ținta poate identifica direcția și tipul atacului și poate dezvolta rapid mijloace de
contracarare, ceea ce face foarte dificilă sus
ținerea
continuită
ții atacului pentru a
genera daune cumulative
și prin urmare face ca armele din spațiu virtual să fie
practic de unica folosin
ță.
j
)
Abilitatea unui control semnificativ al spa
țiului cibernetic de către factorul
uman în toate dimensiunile sale cree
ază atât pentru atacator
,
cât
și pentru țintă un
avantaj prin faptul că poate simula
și estima destul de ușor atât valoare
a
și impactul
unui anumit atac
,
cât
și vitalitatea unui sistem de apărare la diverse atacuri, spre
deosebire de alte medii de
luptă
un
de aceste activită
ți au un cost logistic
semnificativ.
k
)
Gradul mare de integrare a
l
re
țelelor militare cu cele civile. În foarte
multe cazuri re
țelele militare sau cele care deservesc diverse misiuni din spectrul
militar sunt conectate sau au păr
ți construi
te
folosind infrastructura civilă
,
iar
din
acest motiv apărarea infrastructurii civile este un element critic pentru organiza
țiile
de tip militar. În acela
și timp majoritatea structurilor militare studiate au capacități
cibernetice de apărare a infrastruct
urii civile mult superioare fa
ță de ceea ce este
NECLASIFICAT
NECLASIFICAT
44
din
284
disponibil la nivel civil, însă pentru statele democratice în care respectarea
drepturilor
și libertăților individuale prevalează nevoii de securitate, utilizarea
capabilită
ților militare construite pe princ
ipiul eficien
ței, pentru apă
rarea
infrastructurilor civile care sunt
de
ținute adesea de operatori privați, poate ridica
probleme juridice majore.
l
)
Dependen
ța mutuală dintre spațiul fizic și spațiul cibernetic, este o
interdependen
ță în dublu sens, adică pe
de o parte activitatea unuia potentează
activitatea celuilalt, iar
, pe de altă
parte
, face posibil ca un atac î
ntr
–
un domeniu să
poată atinge
ținte în celălalt domeniu.
m
)
Abilitatea de a produce masiv arme cibernetice cu costuri scăzute este
unul din factor
ii cu cel mai mare impact în decizia utilizării acestor arme
comparativ cu aceia
și decizie pentru armele cinetice.
În
f
ine, un atac cibernetic nu poate influen
ța sau produce realizări strategice
majore
, cum ar fi ocuparea unor obiective
cheie
de către for
țele terestre
,
dar este
capabil să lovească
ținte și capabilități critice ale inamicului. În acest mod atacuril
e
cibernetice devin o componentă determinantă
al fiecărui război modern alături de
alte componente de for
ță
,
din toate spatiile pe care se exprim
a un conflict militar.
Analiza atacurilor ciberneti
ce din ultimul deceniu, descrisă
în
materialul
bibliografic studiat au relevat câteva caracteristici unice ale luptei în spa
țiul
cibernetic care au făcut ca acesta să fie foarte atractiv
și pentru perioad
ele care
separă războaiele conven
ționale, având capacitatea de a servi următoarelor scopuri:
1
.
Mijloc de control al presiunii asupra unui inamic pentru a
și schimba
politicile sale între războaiele conven
ționale.
2
.
Ata
șarea unor riscuri de securitate în dezvol
tarea sau fabricarea de arme
ne
conven
ționale.
3
.
Construc
ția unor capabilități de atac ca și suport pentru politica de
descurajare.
4
.
Ca
și contra
atac de răspuns împotriva unor atacatori sau na
țiuni car
e pot fi
incriminate ca
și sursă
a atacurilor din spa
țiul
cibernetic.
NECLASIFICAT
NECLASIFICAT
45
din
284
De
și
în
mod uzual atacurile cibernetice apar de obicei în stratul logic, în
ultimul timp au apărut atacuri care sunt îndreptate asupra componentelor hardware
în scopul de a le altera în mod direct parametrii, fiind identificate în p
rincipal dou
ă
tipuri de atacuri
:
a
)
Atacul în spa
țiul cibernetic, conceput pentru a perturba sau deteriora
capabilită
țile inamicului
prezente în
spa
țiul cibernetic (comp
utere, re
țelele, bazele
de date
etc.) într
–
un mod care împiedică inamicul să ob
țină avantaje din
acest
spa
țiu pentru propriul să
u folos.
b
)
Folosirea spa
țiului cibernetic pentru a ataca dispozitivele conectate la
acesta (infrastructura de instala
ții, capabilitățile militare operative, sist
emele de
arme
etc.)
.
De
și subiectul agresiunilor din spațiul cibernetic
nu este reglementat de
dreptul interna
țional, actul de agresiune asupra unui obiectiv
militar are
șanse mai
mari de a fi
considerat un act de război, spre d
eosebire de exemplu de o opera
țiune
de spionaj
cibernetic
asupra aceluia
și obiectiv
.
1.2. ORGANIS
MELE NATO CU ROL
ÎN
DOMENIUL APĂRĂRII
CIBERNETICE
Odată cu prăbu
șirea
în
anul
1991 a Uniunii Sovietice
și schimbarea
majoră
a
mediului de securitate, Organiza
ția Atlanticului de Nord ca
și
alian
ță politico
–
militară
pentru apărare regionala
și
globală
car
e utilize
ază masiv sistemele
cibernetice
, a identificat
și recunoscut gravitatea amenințărilor cibernetice și
importanta protec
ției rețelelor informatice militare sau civile
–
componente al
e
infrastructurii critice
–
ale statelor membre. Astfel, apărarea
c
ibernetică
a apărut
în
anul
2002 la Summit
ul NATO de la Praga, iar
în anul
2006, la Summit
ul de la Riga
a fost confirmată
ca
și
direc
ție de acțiune
prioritară
a statelor membre. Schimbarea
majoră
în
modul de abordare a
securită
ții cibernetice a
l
NATO a avu
t loc la
Summit
ul NATO de la Bucure
ști din aprilie 2008, prin aprobarea de către șefii de
state
și de guverne prezenți a unei politici comune de apărare
cibernetică
care pune
NECLASIFICAT
NECLASIFICAT
46
din
284
accentul pe nevoia NATO
și
a altor na
țiuni de a
–
și
proteja sistemele informatice
cheie
,
în conformitate cu responsabilită
țile lor
și
să ofere posibilitatea de a asista
na
țiunile aliate, la cerere, pentru contracararea unui
atac cibernetic. Evolu
ția rapidă
și complexitatea atacurilor a determinat plasarea
securită
ții cibernetice ca temă
pri
ncipală
a agendei Summit
ului de la Lisabona din
anul
2010 prin adoptarea
Conceptul Strategic, care califica amenin
țările din domeniul cibernetic ca fiind
amenin
țări care pot viza direct securitatea infrastructurilor critice naționale și care
pot atinge
valori
și
forme de manifestare care
să
pună
în
pericol
prosperitatea,
securitatea
și
stabilitatea atât na
țională
,
cât
și
euro
atlantică
.
Acest document a mai
eviden
țiat necesitatea unor eforturi accelerate în domeniul apărării cibernetice
și
a
mandatat Con
siliul Nord
–
Atlantic să aprobe a doua politic
ă
NATO privind
apărarea
cibernetică
, care a stabilit o viziune pentru eforturile coordonate în
domeniul apărării cibernetice în întreaga Alian
ță în contextul mediului
amenin
țărilor
și
tehnologiei care evoluează
rapid, precum
și
un plan de ac
țiune
asociat pentru
punerea în aplicare a acestuia
.
În
cadrul Summit
ul de la Chicago, din m
ai 2012, a
fost
eviden
țiat
faptul că
acest nou tip de amenin
țări impun dezvoltarea de către NATO nu numai a unor
mecanisme
și capacita
ți de detectare, prevenire și apărare împotriva acestor tipuri
de atacuri
,
dar
și a
unor mecanisme
de înlăturare a efectelor, reafirmarea
acestei
politici fiind transpusă
în
practică
prin crearea NCIRC („
NATO Computer Incident
Response Capability”
), ace
sta
fiind structura responsabilă
cu protejarea NATO
împotriva atacurilor cibernetice. La acest summit a fost decis
ă
integrarea tuturor
re
țelelor cibernetice ale
NATO sub o protec
ție centralizată, implementarea
elementelor critice de capabilitate opera
țională
a NCIRC, având ca scop final
crearea Agen
ției NATO de Comunicații
și
Informa
ții („
NATO Communications
and Information Agency”
–
NCIA)
48
în
i
ulie 2012, la numai
două
luni de la luarea
deciziei privind înfiin
țarea ei.
48
https://www.ncia.nato.int/About/Pages/About
–
the
–
NCI
–
Agency.aspx
,
accesat la
data de
05.06.2016.
NECLASIFICAT
NECLASIFICAT
47
din
284
La
Summitul
NATO din
Țara Galilor (4 s
ept
embrie 2014) a fost
adoptată
Noua Politică Î
ntărita
în
Domeniul Apărării C
ibernetice
, care ridica apărarea
cibernetică
la nivel
de
componentă
strategică
a conce
ptului NATO de apărare
colectivă
. Astfel,
în
declara
ția
s
ummitul
ui se reafirm
ă
principiile indiv
izibilită
ții
securită
ții, detectării, prevenției, rezistentei, recuperării și apărării membrilor
NATO inclusiv
în
domeniul cibernetic
,
precum
și
faptul că
asisten
ța
între
țări
le
membre NATO trebuie
abordată
în
concordan
ță
cu principul solidarită
ții
.
Țări
le
membre NATO nu numai că
au responsabilitatea
fundamentală
de a î
și apăra
propriile re
țele cibernetice, dar au și responsabilitatea de a își dezvolta capacitați
relevante de răspuns pentru a contracara orice atac informatic al unui alt stat
membru.
Din pu
nct de vedere strategic sarcinile fundamentale definite
în
Noul
Concept Strategic la NATO adoptat la
Summitul
de la Lisabona,
în
spe
ță
, apărarea
colectivă
, gestionarea crizelor
și securitatea prin cooperare, au fost extinse cu
prilejul
Summitul
NATO din
Ț
a
ra Galilor
și
în
domeniul apărării cibernetice.
Din punct de vedere decizional, la acest summit a fost
reafirmată
teza prin
care dreptul interna
țional, inclusiv dreptul umanitar și Carta ONU se aplic
ă
și
în
domeniul apărării cibernetice, iar o decizie pen
tru stabilirea situa
ției
în
care un atac
cibernetic ar putea
să
conducă la invocarea art. 5 va fi
luată
de Consiliul Nord
–
Atlantic după analiza fiecărei situa
ții
în
parte.
1.2.1. DEFINIREA CONCEPTULUI DE SECURITATE CIBERNETICĂ
ÎN CADRUL NATO
În
ultima
de
cadă
NATO a devenit o organiza
ție care contribuie activ
și
pe
toate spatiile la securitatea
globală
, rămânând
în
principal o alian
ță cu vocație
euroatlantică
și
păstrând nealterat principiul apărării colective, stipulat de
prevederile Articolului 5 al Trat
atului Nord
–
Atlantic. Ca
și
organiza
ție politico
–
militară
, aceasta
î
și fundamentează activitatea pe un concept stra
tegic alcătuit
NECLASIFICAT
NECLASIFICAT
48
din
284
dintr
–
o structură
de idei doctrinare
și
de un mecanism care define
ște scopurile
și
modalită
țile de realizare a acestora pe per
ioade definite de timp.
Pe fondul unei dependen
țe tot mai mari de tehnologiile ICT
,
utilizate de
toate structurile NATO, de la for
țele c
ombatante, sistemul de logistică
până
la
sistemul de administra
ție
și
de învă
țământ, la care se adaugă schimbarea
majoră
a
mediului de securitate contemporan
datorită
ponderii tot mai mari a
vulnerabilită
ților generate de mediul cibernetic
și
sofisticarea tot mai mare a
atacurilor cibernetice atât asupra statelor componente
,
cât
și
a infrastructurii proprii
a alian
ței, au f
ăcut
în
zilele noastre apărarea
cibernetică să
fie
declarată una
dintre
direc
țiile principale a apărării colective
49
.
Din
i
an
uarie 2008, când a fost aprobată
prima politic
ă
de apărare
cibernetică
ca urmare a atacurilor cibernetice împotriva Estoniei concept
ul de apărare
cibernetică
al NATO
a
evoluat nu numai ca răspuns al evolu
ției tehnologice
sau al
riscurilor cu componentă
cibernetică
majoră
la care organiza
ția trebuie
să
răspundă, dar
și
ca urmare al diverselor componente tactice
în
domeniul apărării
cibe
rnetice adoptate de diverse
țări
NATO
și
ulterior adoptate de Alian
ță.
N
oul Concept Strategic NATO („
Strategic Concept for the Defence and
Security of the Members of the North Atlantic Treaty Organization”
)
50
adoptat la
Lisabona
în
anul
2010, a adus
și
în
zona apărării cibernetice schimbări conceptuale
pentru a face
fa
ță
fenomenului terorist, aceste schimbări fiind prezente
în
toate cele
trei sarcini de
bază
, Apărarea Colectivă
, Gestionarea Crizelor
și
Cooperarea
în
domeniul Securită
ții
,
definind caracteris
tica amenin
țări
lor cibernetice ca fiind
compusă
din
„….
for
țe
militare
și servicii de informații, organizații criminale,
teroriste si/sau extremiste,…. fiecare din acestea pot fi sursa unor asemenea
atacuri
”
51
.
49
http://www.nato.int/cps/en/natohq/topics_78170.htm
,
accesat la data de 05.06.2016.
50
http://www.n
ato.int/nato_static_fl2014/assets/pdf/pdf_publications/20120214_strategic
–
concept
–
2010
–
eng.pdf
,
accesat la data de 05.06.2016.
51
Strategic Concept for the Defence and Security of the Members of the North Atlantic Treaty
Organization, p. 12, disponibil on
line la
https://ccdcoe.org/sites/default/files/documents/NATO
–
101120
–
StrategicConcept.pdf
,
accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
49
din
284
De
și națiunile componente ale NATO rămân respon
sabile de protec
ția
propriilor sisteme ICT
și
de păstrarea compatibilită
ții acestora cu infrastructurile
proprii ale NATO, la nivelul acestuia au fost
înfiin
țate o serie de structuri,
compartimente
și
capabilită
ți având ca misiune atât apărarea
cibernetică
a
propriilor infrastructuri sau suportul componentei de intelligence
,
sus
ținerea
îmbunătă
țirii schimbului de informații
și
de
asisten
ța
reciproc
ă
în
prevenirea
atenuarea
și
recuperarea infrastructurii ICT
în
urma unui atac cibernetic, dar
și
pentru facili
tarea cooperării cu industria de apărare sau
a
educa
ție
i
și
formării
speciali
știlor
în
domeniul cibernetic din propriile structuri sau din structurile de
apărare ale
țărilor
NATO
.
De asemenea, ulterior
Summitul
ui de la Lisabona
–
2010, unul dintre
obiecti
vele importante al politicii NATO
în
domeniul apărării cibernetice a devenit
elaborarea cadrului tehnic, organiza
țional
și
juridic pentru asigurarea
interoperabilită
ții
în
vederea cooperării
între
țări
le
membre
în
cazul
în
care acestea
sunt
țintele unor at
acuri cibernetice. Astfel, stadiul privind implementarea
măsuri
lor de cooperare
în
ceea ce prive
ște apărarea
cibernetică
și
Politica de
Apărare
Cibernetică
(„
Cyber Defence Policy”)
52
au constituit puncte
importante pe
ordinea de zi
,
în
cadrul Summit
ului de
la Chicago din
anul
2012
și
a celui di
n
Ț
ara
Galilor din
anul
2014, care a
introdus
în
politica de apărare a Alian
ței principiul
prin care un atac cibernetic major asupra unui stat membru poate intra sub
incidenta Articolului 5 al Tratatului Nord Atlantic.
Astfel la art. 72 din Declara
ția
Summitul
ui din
Ț
ara Galil
or
, se afirmă
faptul că
„…..apărarea
cibernetică
este
parte a sarcinii de bază a NATO de apărare colectivă. O decizie cu privire la cazul
în care un atac cibernetic ar conduce la invocarea Articolu
lui 5 va fi luată de
Consiliul Nord Atlantic de la caz la caz.
”
53
.
52
https://ccdcoe.org/nato
–
summit
–
updates
–
cyber
–
defence
–
policy.html
,
accesat la data de
05.06.2016.
53
Wales Summit Declaration
–
Issued by the Heads of State and Government participating in the
meeting of the Nor
th Atlantic Council in Wales, disponibil online la
https://ccdcoe.org/sites/default/files/documents/NATO
–
140905
–
WalesSummitDeclaration.pdf
,
accesat la d
ata de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
50
din
284
Cu toate că
atacurile cibernetice au fost considerate amenin
țări asimetrice
încă de la
Summitul
de la Riga din
anul
2006, de abia după atacurile asupra
Estoniei din
anul
2007, NATO a realiza
t
faptul că
„
ca războiul cibernetic este
adesea numit, se referă inclusiv
și
la o campanie sus
ținută a operațiunilor
cibernetice concertate împotriva
infrastructurii IT a statului
–
țintă, și ceea ce duce
la distrugerea în masă a site
–
urilor web, spam
–
ul
și
infec
țiile malware
”
54
.
1.
2.2. STRUCTURI NATO IMPLICATE ÎN APĂRAREA CIBERNETICĂ
Evolu
ția conceptelor de apărare
cibernetică
în
cadrul NATO sunt puternic
influen
țate de națiunile care dispun de avantajele tehnologice al propriilor industrii
de apărare, cum
este exemplul Statelor Unite ale Americii, Angliei sau Fran
ței.
Astfel abordarea
orientată
pe originea
și
caracter
istica atacatorului sau centrată
pe
conceptul de infrastructur
ă
critică
specific Statelor Unite, sau abordarea
orientată
pe combaterea amenin
ț
ărilor hibride
și
conceptul organizare al apărării cibernetice
bazate pe structuri de
comandă
flexibile, de tip „
Cyber Future Force
”
55
, orientate
către îndeplinirea obiectivelor tactice imediate
și
aflate
în
subordinea componentei
tactice
responsabile de ac
el obiectiv
–
caracteristică
apărării cibernetice al armatei
britanice, sau
în
final abordarea Fran
ței, prin construcția unei autorități centrale
–
Agen
ția Națională pentru Securitatea Sistemelor Informaționale (
Agence Nationale
pour la Sécurité des Systèm
es d’Information
)
56
, aflat
în
subordinea Secretarului
General pentru Securitate
și
Apărare, au determinat apari
ția concomitenta
în
NATO a unor structuri cu voca
ție
în
apărarea
cibernetică
care de
și
în
teorie pot
părea contradictorii, practica a demonstrat e
ficien
ț
a acestora. Ca
și
exemplu
54
Jenny Döge,
Cyber Warfare
–
Challenges for the Applicability of the Traditional Laws of War
Regime
, Archiv des Völkerrechts, Vol. 48, No. 4, decembrie 2010, pp. 486
–
501.
55
House of Commons
–
Defence Committee
–
Sixth Report of Session
2012
–
13, Published on 9
January 2013 by authority of the House of Commons London: The Stationery Office Limited,
disponibil online la
http://www.publications.par
liament.uk/pa/cm201213/cmselect/
cmdfence/106/106.pdf
,
accesat la data de 05.06.2016.
56
Patrice Tromparent,
French Cyberdefence Policy
, Delegation for Strategic Affairs Ministry of
Defense, Paris, France, presentation for 2012 4
th
International Conference
on Cyber Conflict,
disponibil online la
https://ccdcoe.org/cycon/2012/proceedings/d2r3s2_tromparent.pdf
,
accesat
la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
51
din
284
men
ționăm implementarea la nivelul Capabilității NATO pentru Răspuns la
Incidente Cibernetice („
NATO Computer Incident Response Capability
–
NCIRC
”)
57
conceptului de „
Cyber Red Team
”
58
, derivând din strategia
de apărare
ciber
netică britanică
și
definit de către Ministerul Apărăr
ii al Marii Britanii ca fiind
„
o echipa care este formată cu obiectivul de a supune unei organiza
ții planuri,
programe, idei
și ipoteze pentru analize riguroase și de provocare
……
va oferi
utilizatorului
final (comandantul, liderul sau managerul), cu o valoare ini
țială mai
robust
ă
pentru luarea deciziilor”
59
ș
i migrarea acestui concept către „
Cyber
Rangers
”
60
, caracteristic Departamentului Apărării al SUA.
Dacă
opera
țiunile unei echipe „
Red Team
” se caract
erizează prin ac
țiuni de
penetrare împotriva unor infrastructuri
ICT
și
asociau împreună acela
și domeniu de
produc
ție
și
operare
pe fiecare sistem
ICT
, prin contrast opera
țiunile unei echipe de
tip „
Cyber Rangers
”
definită
de DOD ca fiind
„…testarea, evalu
area conceptelor,
politicilor
și
tehnologiilor din spa
țiul cibernetic…”
61
, se bazează pe construc
ția
unor medii simulate
în
care
se pot mima ac
țiunile adversarilor
și
executa atacuri.
De
și ambele echipe sunt multidisciplinare
și
cu structuri asemănătoare, p
rimele
au
capabilită
ți eminamente mobile,
iar
cea de
–
a doua categorie sunt fixe, de multe ori
organizate
în
jurul unor laborato
are. Totu
și
,
practica a arătat faptul că
prin
cooperarea
în
cadrul unei opera
țiuni tactice a celor
două
tipuri de echipe, va
loare
a
de intelligence
acumulată este extrem de valoroasă
, conceptul acestor echipe
57
NATO Wales Summit Guide
, disponibil o
nline la
http://www.nato.int/
nato_static_fl2014/assets/pdf/pdf_publications/20141008_140108SummitGuideWales2014
–
eng.pdf
,
accesat
la data de 05.06.2016.
58
UK Ministry of Defence
–
Red Teaming Guide, dated January 2013, The Development,
Concepts and Doctrine Centre Shrivenham SWINDON, Wiltshire, SN6 8RF, disponibil online la
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/142533/20130301
_red_teaming_ed2.pdf
,
accesat la data de 05.06.2016.
59
DIRECTIVA (UE) 2016/1148 A PARLAMENTULUI EUR
OPEAN
ȘI A CONSILIULUI
din 6
iulie 2016, p. 9, disponibil online la http://eur
–
lex.europa.eu/legal
–
content/RO/TXT/PDF/?uri=CELEX:32016L1148&from=EN, accesat la data de 05.06.2016.
60
Todd Arnlod, Rob Harrison, Gregory Conti,
Professionalizing the Army’s Cyb
er Officer
Force
, United States Military Academy, West Point NY 10996 disponibil online la
http://www.westpoint.edu/acc/SiteAssets/SitePages/Reports/PACOF.pdf
,
accesat la
data de
05.06.2016.
61
Department of Defense Strategy for Operating in Cyberspace (2011), US DoD, disponibil
online la
http://csrc.nist.gov/groups/SM
A/ispab/documents/DOD
–
Strategy
–
for
–
Operating
–
in
–
Cyberspace.pdf
,
accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
52
din
284
mixte, denumite „Echipe de Reac
ție
Rapidă
”
(„NATO Rapid Reaction Team”)
62
fiind destul de des utilizat
în
ultima
decadă
.
Diversitatea
în
care pot fi utilizate capabilită
țile cib
ernetice reprezintă una
din
tre
cele mai mari provocări pe care NATO îl are
în
definirea rolului să
u propriu
în
ceea ce prive
ște apărarea
cibernetică
. Astfel strategii NATO au identificat
două
categorii de atacuri cibernetice unde organiza
ția poate avea un
rol determinant
63
:
1
.
Spionajul cibernetic
, indiferent
dacă
este executat la nivel opera
țional sau
la nivel strategic, poate compromite confiden
țialitatea sistemelor
ICT
, a sistemelor
de culegere de informa
ții, deconspirând astfel secrete militare
și
informa
ți
i
sensibile către adversari.
2
.
Sabotajul efectuat prin mijloace cibernetice sau având componentă
cibernetică
dominantă
poate avea efecte fizice importante, mai ales atunci când
sunt
țintite sistemele de arme, sistemele decizionale militare
,
sistemele logisti
ce
sau cele de telecomunica
ții care afectează inclusiv
comandă
și
controlul decizional,
dar
și
sisteme civile cum ar fi cele din infrastructura
critică
.
Alături de protec
ția propriilor infrastructuri
ICT
, NATO este organiza
ț
ia care
acordă o grijă deosebită
protec
ției cibernetice a personalului, la toate nivelele
și
din
toate domeniile.
În
ultimii ani,
în
urma analizei atacurilor asupra infrastructurii
critice a NATO, componenta de inginerie sociala a atacurilor de tip Amenin
țări
Persistente Avansate („
Advan
ced Persistent Threat
–
APT
”)
64
a vizat
în
special
personalul NATO
, prin încercarea de implicare a lui
în
extorcare de fonduri sau
diverse fraude cu scopul unor câ
știguri financiare, ca
și
etapă preliminară
în
derularea atacurilor mai sus men
ționate.
62
http://www.nato.int/cps/en/natolive/news_85161.htm
,
accesat la data de 05.06.2016.
63
Cezar
Vasilescu,
Cyber Attacks: Emerging Threats to the 21st Century Critical Information
Infrastructures
, aprilie 2012, ISSN 1802
–
7199, disponibil online la
http://www.defence
andstrategy.eu/filemanager/files/file.php?file=73464
,
accesat la data de
05.06.2016.
64
Defence Against Terrorism Review, Vol. 3, No. 2, Fall 2010, pp. 23
–
36 Copyright © COE
–
DAT ISSN: 1307
–
9190 disponibil online la
http://www.coedat.nato.int/publication/
datr/volume6/03How_Cyberterrorists_Could_Be_Living_Inside_Your_Systems.pdf
,
accesat la
05.06.2016.
NECLASIFICAT
NECLASIFICAT
53
din
284
Analiz
a incidentelor cibernetice asupra diverselor structuri ale NATO a
condus la
două
concluzii
:
1
.
Până
în
prezent, cei mai periculo
și adversari ai NATO
în
domeniul
cibernetic sunt statele na
țiune. Deși
în
ultimul an au fost identificate o serie de
atacuri care s
e presupune a veni din partea grupurilor de hackeri simpatizan
ți ai
ISIS
65
,
însă
acestea nu au avut nici pe departe succesul scontat. Astfel, de
și
sistemele de intelligence raportează
în
ultimii ani
faptul că
în
ciuda cre
șterii
capacită
ții ofensive
în
re
țel
ele de criminalitate
organizată
, care ar putea fi folosite
în
viitor de către actori nestatali, cum ar fi terori
ști, organizații private specializate
în
acte de spionaj extrem de sofisticat
și sabotaj în domeniul cibernetic, acestea au
nevoie de capacită
ți
, un nivel de cuno
ștințe
și
în
țelegere al sistemelor tehnice ale
NATO
și
de o determinare
generată
de un raport cost
–
beneficiu care
să
fie la
nivelul unui stat na
țiune.
2
.
Până
în
acest moment, de
și asupra infrastructurii NATO nu au fost
produse daune cinetic
e reale sau fizice determinate de ac
țiuni teroriste care
să
aibă
o
componentă
cibernetică
majoră
, tehnologia atacurilor cibernetice evoluează
în
mod continuu, elementele componente ale analizei cost
–
beneficiu devin din ce
în
ce mai complicate
și
mai reacti
ve la schimbarea mediului de securitate
interna
țional, astfel a
tacurile teroriste cu componentă
cibernetică
determinantă
rămân o amenin
țare serioasă
la adresa securită
ții informațiilor sau chiar a
infrastructurii de comunica
ții a NATO.
Aceste concluzii, îm
preună cu analiza atacurilor asupra infrastructurii
publice
și
private a Estoniei din m
ai 2007, au determinat Mini
ștrii Apărării ai
țărilor
Aliate ca la întâlnirea din i
unie 2007 de la Brussels
să
adopte o serie de
măsuri
în
scopul cre
șterii rezilienței ci
bernetice ale structurilor NATO ca un tot
unitar pe trei direc
ții principale de activitate:
1
.
Coordonarea
și
asisten
ța
pentru apărare
cibernetică
este
în
acest moment
implementată
de autorită
țile militare
,
politice
și
tehnice ale NATO
în
acela
și timp
65
http://warontherocks.com/2015/09/is
–
the
–
islamic
–
state
–
a
–
cyber
–
threat/
,
accesat la data de
05.06.2016.
NECLASIFICAT
NECLASIFICAT
54
din
284
cu cele
implementate de na
țiunile componente
și
bazată
pe experien
ța
și
expertiza
na
țiunilor componente care poseda avantaje tehnologice. Un aspect important al
acestei direc
ții a fost înființarea Autorității de Manag
ement pentru Apărare
Cibernetică
(„
Cyber Defen
ce Management Authority
–
CDMA
”)
66
, având ca
misiune exclusivă
coordonarea apărării cibernetice
în
întreaga Alian
ță, acest
organism
fiind coordonat de către Consiliul Autorită
ții de Manag
ement pentru
Apărare Cibernetică
care cuprinde liderii politici, milit
ari, opera
ționali
și
tehnici
din NATO cu responsabilită
ți
în
domeniul apărării cibernetice.
CD
MA reprezintă cea mai importantă
organiza
ț
ie a NATO care oferă
consultan
ță
Consiliului Atlanticului de Nord
și
statelor membre
în
probleme
strategice care
țin de
apărarea
cibernetică
.
2
.
Premergător atacurilor din Estonia din
anul
2007, eforturile de apărare
cibernetică
a NATO s
–
au concentrat
în
mare măsură
pe protec
ția sistemelor de
comunica
ții deținute
și
operate de către Alian
ță. Ulterior atacurilor din Estonia, a
fost relevat
faptul că
un atac masiv asupra infrastructurii critice a unui stat membru
nu numai
că
poate pune problema unei reac
ții de tip Articol 5, dar poate perturba
însă
și fluxurile logistice
și
opera
ționale ale Alianței, aceste concluzii conducând la
extinderea focalizării apărării NATO
și
la nivelul na
țional, atât pe componenta de
combatere
,
dar
și
pe cea de prevenire. De
și
până
în
prezent
în
toate documentele
strategice ale Alian
ței se subliniază
faptul că
alia
ții înșiși
poartă
responsabilitatea
pri
ncipală
pentru atât pentru securitatea propriilor lor sisteme
ICT
și
a informa
țiilor
de
ținute de acestea, la nivel central NATO, au fost dezvoltate mecanisme de
asisten
ță
a acelor al
ia
ți care solicită
sprijinul pentru protec
ția sistemelor
ICT
,
inclusiv
în
cazurile unor atacuri cibernetice, prin interve
n
ția Echipelor de Reacție
Rapidă
(„
Rapid Reaction Team
–
RRT
”)
67
c
ompuse din maximul
șase
exper
ți
na
ționali sau NATO,
în
func
ție de tipul sau caracteristicile misiunii.
66
173 DSCFC 09 E BIS
–
NATO AND CYBER DEFENCE, disponibil online la
http://www.nato
pa.int/default.asp?SHORTCUT=1782,
accesat la data de 05.06.2016.
67
http://www.nato.int/cps/en/natolive/news_118855.htm
,
accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
55
din
284
3
.
În
ceea ce prive
ște direcția de cercetar
e/dezvoltare
și
pregătire a
personalului specializat
în
domeniul apărării cibernetice la Tallinn a fost înfiin
țat
în
2003 un centru de cercetare, iar
în
anul
2008 a primit acreditarea NATO ca
și
centru de excelenț
ă
, fiind denumit „Centrul NATO de Excelen
ță
pentru Cooperare
în Apărarea Cibernetică”
–
CCDCOE, acesta având
în
preze
nt atât atribu
ții de
cercetare/
dezvoltare
,
dar
și
de pregătire a personalului propriu NATO sau al
na
țiunilor sponsor (Cehia, Estonia, Franța, Germania, Grecia, Ungaria, Italia,
Leton
ia, Lituania, Olanda, Polonia, Slovacia, Spain, Turcia, Regatul Unit al Marii
Britanii
și
Statele Unite).
La mijlocul anului 2002 implementarea Programului de Apărare Cibernetică
a fost aprobat de Consiliul Nord
–
Atlantic, acesta fiind implementat
în
trei
faze:
1
.
(2003
–
2006)
–
Cererea
și
opera
ționalizarea NCIRC
și
stabilirea
capabilită
ților sale de operare provizorii.
2
.
(2006
–
2012)
–
Aducerea la nivel opera
țional optim la NCIRC la sfârșitul
anului 2012.
3
.
(2012
–
prezent)
–
Identificarea cerin
țelor
și
resurselor ne
cesare pentru
atenuarea
și
eliminarea vulnerabilită
ților din domeniul cibernetic, vizând
includerea CDMA
în
dezvoltarea de către sectoarele industriale specializate din
țări
le componente a unor tehnologii care
să
fie valabile pe tot spa
țiul de securitate
N
ATO.
În
afara de CCDCOE
și
CDMA, Agen
ția de Comunicații și Informații
NATO („
NATO Communications and Information Systems Services Agency
–
NCSA”)
68
este responsabilă
cu protejarea sistemelor de comunica
ții, având patru
sarcini principale:
1
.
Suportul
ICT
pent
ru opera
țiunile NATO.
2
.
Suportul
ICT
pentru exerci
țiile NATO.
3
.
Suportul
ICT
pentru Statele Majore NATO.
68
https://www.ncia.nato.int/About/Pages/About
–
the
–
NCI
–
Agency.aspx
,
accesat la data de
05.06.2016.
NECLASIFICAT
NECLASIFICAT
56
din
284
4
.
Asigurarea suportului pentru implementarea a noi sisteme
și
proiecte
ICT
la nivelul Alian
ței.
Structura func
țională
a capabilită
ților de apărare
cibernetic
ă
al NATO este
ilustrata
în
figura
nr.
1.
1.
Suplimentar
,
NCIRC are responsabilitatea de a evalua securitatea re
țelelor
NATO, de a detecta
și
răspunde prin contramăsuri la orice atac cibernetic asupra
unei infrastructuri NATO sau asociate acesteia,
„… expe
r
ții NCIRC au misiunea
de a ajuta administratorii de sistem pentru a bloca atacurile informatice, limitarea
deteriorării acestora
și
repararea erorilor de software, clasificate ca
și
vulnerabilită
ți
și
care fac posibile aceste atacuri
”
69
.
CENTRUL DE COORDONARE SI SUPORT
PENTRU APĂRARE CIBERNETICA
(
CDCSC
)
CENTRUL
TEHNIC NCIRC
(
NCIRC
–
TC
)
AGEN
T
I
A
NATO PENTRU SERVICII DE
C
OMUNICAȚII
(
NCSA
)
AUTORITATEA DE MANAGEMENT PENTRU
APĂRARE CIBERNETICA
(
CDMA
)
Figura nr.
1.
1
:
Structura func
țională pentru apărare
cibernetică
a NATO
70
69
Transatlantic Policy Briefs, “Coming to Terms with a New Treat: NATO and Cyber Security”
p.
3, ianuarie 2013, disponibil online la
http://www.cepolicy.org/
sites/cepolicy.org/files/attachments/08_
–
_tpb_cyber_terlikowski_vyskoc11.pd
f
,
accesat la data
de 05.06.2016.
70
ALLIED COMMAND OPERATIONS COMPREHENSIVE OPERATIONS PLANNING
DIRECTIVE COPD INTERIM V1.0, disponibil online la
https://info.publicintelligence.net/NATO
–
COP
D.pdf
,
accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
57
din
284
În această structură, CDMA este singura autoritate în ceea ce prive
ște
apărarea împotriva atacurilor cibernetice,
fiind responsabilă
de ini
țierea și
coordonarea oricărui e
fort, însă ac
țiunile de apărare cibernetică NATO între
membrii
și organizațiile externe au loc în CDCSC. Pe de alt
ă
parte, NCIRC este
departamentul care are capabilită
țile tehnice
și
opera
ționale de intervenție
și
este
responsabil pentru dezvoltarea, imple
mentarea
și menținerea serviciilor de apărare
cibernetică
ale Alian
ței.
D
upă
anul
2008 capabilită
țile de apărare
cibernetică
s
–
au îmbunătă
țit
remarcabil, anali
știi
în
securitate avertizează asupra faptului
că
organiza
ția nu va fi
capabilă
să
răspundă rapi
d
și
în
mod eficient la amenin
țări cibernetice avansate
71
în
primul rad
datorită
faptului
că
nu exist
ă
o definire
comună
a statelor membre
asupra infrastructurii critice
,
iar protejarea acestora
în
comun este o
ținta greu de
atins nu numai datorită unor asp
ecte politice
,
dar
și
din perspectiva unor aspecte
tehnologice sau sociale, existând diferen
țe conceptuale
și
tehnologice
în
construc
ția infrastructurii
ICT
a unor state membre ale Alian
ței, cum este
, de pildă,
diferen
ța de abordare
între
Statele Unite, Ge
rmania
și
Fran
ța.
Un al aspect care are un impact negativ asupra implementării principiului
apărării comune
în
zona infrastructurilor
ICT
este
faptul că
în
ciuda unor declara
ții
politice sau diplomatice din cadrul Alian
ței, statele componente folosesc la
protec
ția
cibernetică
, informa
ții, tehnologii
și
capabilită
ți care le creează
în
primul
rând
un avantaj strategic
și
de cele mai multe ori prefera
să
țină
aceste capabilită
ți
clasificate
fa
ță
de oricine altcineva
,
iar
,
în
al doilea
rând
,
factorii de decizi
e se tem
că
prin dezvăluirea către un poten
țial inamic ale acestor capabilități vor deveni
vulnerabili
în
fa
ța
unui poten
țial atac.
Pe de altă
part
e
, politica de parteneriat a NATO cu industria de apărare
și
integrarea în fluxul de apărare a
mediul
ui
acad
em
ic din statele membre, promovată
în
ultima
decadă
, a adus îmbunătă
țiri majore nu numai
în
tehnologiile folosite
,
dar
și
în
ceea ce prive
ște pregătirea specialiștilor
în
securitate
cibernetică
,
ceea ce a dus
71
http://breakingdefense.com/2014/08/natos
–
september
–
summit
–
must
–
confront
–
cyber
–
threats/
,
accesat la data de 05.06
.2016.
NECLASIFICAT
NECLASIFICAT
58
din
284
în
final la crearea unui nivel de încredere
înt
re
industria de apărare
și
structurile
Alian
ței cu responsabilități
în
domeniul apărării cibernetice.
1.
2.3. MANUALUL DE LA TALLINN
La sfâr
șitul anului 2009, Centrul NATO de Excelență pentru Cooperare în
Apărarea Cibernetică
–
CCDCOE a invitat un grup d
e douăzeci de exper
ți
în
probleme de drept interna
țional și consilieri juridici, sub directoratul profesorului
Michael Schmitt
de la
Naval de la War College din
Statele Unite, pentru a efectua
un proiect de cercetare de trei ani cu privire la examinarea no
rmelor juridice
aplicabile în derularea războiului cibernetic. Produsu
l din acest efort este denumit
„
Manualul Tallinn privind dreptul interna
țional aplicabil la Cyber Warfare
”
72
.
Obiectivul principal al acestui document este o încercare de a interpreta
pri
ncipiile de
jus ad bellum
, conceptul care reglementează utilizarea for
ței și
jus
i
n
bello
, conceptul dreptului umanitar interna
țional cu aplicabilitate pe spațiu de
conflict cibernetic, dar tratează
în
subsidiar
și
domeniile conexe dreptului
interna
țional,
cum ar fi conceptele de suveranitate
și de competență, precum și
legea responsabilită
ții statului.
Manualul este conceput ca un instrument de referin
ță pentru specialiștii
în
drept conflictual interna
țional,
pentru
factorii de decizie politică
și
se dore
ște a fi
un cadru de referin
ță pentru a ajuta statele care au la baza valorile democratice
interna
ționale de a își defini conceptele juridice de angajare
în
ac
țiuni pe spațiu
cibernetic a propriilor lor strategii de apărare
cibernetică
. Acest proiect, de
și
autorii
lui au afirmat cu fiecare ocazie
independen
ța
lor de CCDCOE
și
faptul că
nu
doresc ca opiniile lor prezentate
în
manual
să
fie atribuite CCDCOE sau unei alte
structuri NATO,
acest manual
este considerat de strategii interna
ționali mai
degrabă un e
veniment interna
țional remarcabil decât o lucrare de cercetare
obi
șnuită
în
materie de drept interna
țional. Unul din principalele aspecte este
faptul
72
Tallinn
Manual
on
the
International
Law
Applicable
to
Cyber
Warfare
,
Cambridge University
Press, martie 2013, disponibil online la
http://www.peacepalacelibrary.nl/ebooks/
files/356296245.pdf
,
accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
59
din
284
că
din punct de vedere al NATO sau al oricăruia din
țări
le semnatare ale Tratatului
Nord
–
Atlantic,
m
anualu
l este strict o expresie a opiniilor grupu
lui interna
țional de
exper
ți și
ca atare, nu reprezintă pozi
țiile oficiale ale CCDCOE sau ale Alianței.
Dat fiind popularitatea acestui
manual
, CCDCOE a lansat un proiec
t de
monitorizare pe trei ani, „Tallinn 2.0”
,
care va extinde domeniul de
aplicare al
m
anualului Tallinn,
și
care probabil va avea mai
multă
influen
ță
în
cadrul Alian
ței
decât o are prezentul manual
, deoarece va aborda în mod sistematic activită
țile care
sunt mult mai frecvente în domeniul apărării c
ibernetice decât utilizările de for
ță
sau de atacuri armate care au
componentă
cibernetică
determinata, abordate
în
„Tallinn 1.0”
, însă
cu
siguran
ță
statutul celui de al doilea nu va fi diferit de al
primului manual.
Grupul interna
țional de experți
a
limit
at concluziile sale
prin prisma
principiul
ui
lex lata
–
în
sensul
în
care fenomenul descris este deja reglementat
legal, ace
știa identificând legea aplicabilă la anumite situații existente în spațiul
virtual
și explorând diferitele interpretări ale acestei
legi pe care statele interesate
ar putea dori să adopte.
Manualul este împăr
țit
în
reguli generale stabilite grupul interna
țional de
exper
ți cu privire la principiile generale
și
normele specifice care se aplică
în
spa
țiul cibernetic, fiecare regula fiind
rezultatul unanimită
ții
între
autori,
comentariile adi
ționale c
are înso
țesc
fiecare regulă
și
indică baza normelor legale
cu aplicabilitate în conflicte
le armate interna
ționale și non
interna
ționale, precum și
con
ținutul normativ,
de asemenea
,
acestea defi
nind
pozi
ții diferite sau opuse, între
exper
ți cu privire la domeniul de aplicare sau la interpretarea acestor norme. Aici
editorii manualului s
–
au străduit să capteze
atât
toate punctele de vedere exprimate
în cadrul deliberărilor, precum
și alte poziții
rezonabile pe care le cuno
șteau din
afara
grupului.
Ideea central
ă
a manualului Tallinn este
exprimată prin faptul că
războiul
cibernetic este guvernat de dreptul interna
țional deja în vigoare, în special normele
care reglementează începerea unui atac arm
at conform principiului
jus ad bellum
,
a
șa
cum este definit
în
Carta ONU din
anul
1945,
precum
și regulile reglementează
NECLASIFICAT
NECLASIFICAT
60
din
284
comportamentul pe timpul unui conflict armat,
jus
i
n
bello
,
a
șa
cum sunt definite
în
Conven
ția de la Haga din
anul
1899
și
în
Conven
ția
de la Geneva din
anul
1949,
împreună cu cele 1977 de protocoale de amendare
73
. Prima interp
retare interesantă
a manualului este
faptul că
războiul cibernetic
nu există
într
–
un vid legislativ, iar
cazurile
în care
până în prezent au fost sau pot fi utilizat
e
pentru atingerea
obiectivelor
orice mijloace
,
nu au fost încă interpretate sau definite
în
dreptul
intern
a
țional, iar
de orientarea generală
a acestui principiu amintind de Clauza
Martens
74
introdusă
în
preambulul Conven
ției de la Haga. Ca atare, grupul d
e
exper
ți care a lucrat pentru CCDCOE
reflectă
și dezvoltă Strategia p
rivind Spa
ț
iul
Cibernetic Interna
țional a
SUA
–
2011:
„
dezvoltarea unor norme de conduită de
stat în spa
țiul virtual nu are nevoie de o reinventare a dreptului internațional în
vigoare,
și nici nu face normele internaționale în vigoare caduce. Normelor
interna
ționale de lungă durată ghidează comportamentul statului
–
în timp de pace
și conflict
”
75
.
Punctul principal al manualului este
acela
că regulile obi
șnuite și bine
cunoscute ale drep
tului interna
țional au fost aplicate și interpretate în contextul
conflictelor cibernetice între state. Acest lucru a dus la elaborarea a 95 de norme de
drept interna
țional, cu comentarii, care, potrivit grupului de experți internaționali ar
trebui să se a
plice atacurilor cibernetice care trec pragul folosirii for
ței armate,
acesta afirmând
că
statele care iau
în
considerare efectuarea unor opera
țiuni
cibernetice trebuie să
țină cont de faptul că un atac cibernetic chiar
dacă
este
efectuat pentru preîntâmpi
narea unui atac al păr
ții adverse, poate constitui o
încălcare a clauzelor Cartei ONU privind folosirea for
ței și
poate
const
itui
un act
de agresiune împotriva unui alt stat. Acestui atac i se poate răspunde cu mijloace
defensive sau după caz, Consiliul de
Securitate al ONU poate autoriza folosirea
73
Frits Kalshoven, and Liesbeth Zegveld,
Constraints on the Waging of War. An Introduction to
International Humanitarian Law,
Cambridge University Press, August 2011.
74
Rupert Ticehurst,
The Martens Clau
se and the Laws of Armed Conflict
, disponibil online la
https://www.icrc.org/eng/resources/documents/misc/57jnhy.htm
,
accesat la data de 05.06.2016.
75
INTER NATIONAL STRATEGY FOR
CYBERSPACE
–
MAI 2011, disponibil online la
https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace
.pdf, accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
61
din
284
for
ței în numele comunității internaționale. De asemenea, la planificarea și
executarea unui atac informatic, statul va trebui, de asemenea, să ia în considerare
cerin
țele dreptului umanitar internațional, obliga
ția de a diferenția între obiectivele
civile
și militare și protecția civililor în desfășurarea operațiunilor ofensive
cibernetice.
Manualul doar examinează dreptul interna
țional care guvernează un război
cibernetic
și
nu abordează în detaliu altfel de act
ivită
ți cibernetice care au loc sub
nivelul de folosire a for
ței
militare
, cum ar fi
de exemplu
criminalitatea cibernetică.
De asemenea, se examinează legalitatea activită
ților de culegere de informații prin
mijloace cibernetice numai
dacă
acestea se refer
ă la no
țiunile
jus ad bellum
de
„folosirea for
ței” și „atac armat”
, sau ca fiind relevante în contextul unui conflict
armat guvernat de
jus
i
n
bello
, însă admite că spionajul cibernetic, furtul de
proprietate intelectuală, precum
și o varietate largă de al
te infrac
țiuni din spațiul
cibernetic reprezintă amenin
țări reale și grave la adresa tuturor statelor, mediului
de afaceri
și persoanelor fizice, însă nu este
în
scopul acestui manual aborda
rea
unor
astfel de probleme.
Aplicarea prin simpla analogie a legi
i interna
ționale actuale la contextul
atacurilor cibernetice
și a conflictelor a fost singurul mecanism pe care grupul de
exper
ți internaționali l
–
au avut la dispozi
ție, atât
datorită
inexistentei altor tratate
fundamentale ale dreptului interna
țional care
să
reglementeze acest domeniu
,
unele
interpretări pe care grupul de exper
ți le
–
a formulat
în
scopul de a evita anarhia
juridică în spa
țiul cibernetic
nu au fost de natură
a clarifica aspectele juridice ale
unor fenomene
,
care pot deveni critice
în
cazul u
nor conflicte cibernetice.
Una dintre ac
estea este problema atribuirii
–
cel pu
țin până în prezent
organizatorul atacurilor cibernetice a fost mai dificil de stabilit decât autorul
unor
atacuri
cinetice. Schemele care e
xistă în dreptul interna
țional
–
cum
ar fi
responsabilitatea statului pe
ntru actele sale ilegale
–
pot fi aplicate numai în cazul
în care actul agresiv este atribuit unui anumit stat fără nici
un
echivoc. Această
diferen
țiere este
generată
de particularitatea spa
țiului cibernetic ca
și
spa
țiu
de
NECLASIFICAT
NECLASIFICAT
62
din
284
luptă
eminamente artificial, dotat cu o capacitate foarte mare de virtualizare
și
depersonalizare al actorilor.
Un alt aspect complicat
și
care nu este
în
niciun
fel clarificat de către m
anual
este
dat de incoeren
ț
a definirii
diferen
ței
juridice a respo
nsabilită
ții dintre actorii
statali
și actorii nestatali. Astfel, reprezentanți ai statului pot delega comiterea unui
atac unor actorii nestatali, ace
știa din urmă
ob
ținând
capacitatea
tehnică
și
umană
independentă
,
de a comite atacuri cibernetice.
De
și ac
eastă problemă
a început
să
se manifeste
și
pe celelalte
spa
ții
de luptă,
odată popularizarea conceptului de
„război hibrid”
și
apari
ția „omuleților verzi”
76
în
conflictul din Ucraina sau
Crimeea, nu se
mai
poate face o analogie
cu folosirea
,
de exemplu
,
de
către un stat
a trupelor de mercenari
în
opera
țiuni militare clasice
77
.
Fa
ță
de aceste aspecte, este interesa
n
t de analizat
și
pozi
ția Rusiei, căreia i se
atribuie atacurile asupra Estoniei din
anul
2007
și
care consideră că
utilizarea
armelor cibernetice
în conflictele interna
ți
onale ar trebui să fie interzisă
, iar
publicarea M
anualului de la Tallinn este poten
țial periculoasa
datorită
faptului
că
prin acceptarea unor reguli privind războiul cibernetic se poate legitima
în
continuare folosirea lor.
Pentru
a în
țelege poziția Moscovei trebuie
să
avem
în
vedere
faptul că
armele cibernetice pot diminua sensibil diferen
țele dintre
capacită
țile militare ale Rusiei și cele ale altor state, în timp ce
în
prezent,
datorită
unor capacită
ți militare cinetice clasice
cu o putere masiva de lovire, Rusia este un
jucător militar important
și
necontestat,
și
care poate controla
propriul său teritoriu
vast,
mai ales
datorită unui factor
i
de descurajare func
țional
i
.
În concluzie, Manualul
de la
Tallinn reprezintă un efort so
lid pentru a defini
legea actuală care se aplică situa
țiilor curente din spațiul de conflict
.
Având în
vedere lipsa de ansamblu a normelor, liniilor directoare
și a principiilor practice
care se
aplică
la spa
țiul de
luptă
cibernetic
, m
anualul este mai mult
decât
un
tratat
76
Col.drd. Liviu Ioniță,
Dimensiunea hibridă a conflictului ruso
–
ucrainean
, Bule
tinul
Universității Naționale de Apărare „Carol I“, septembrie, 2015, disponibil online la
www.spodas.ro/revista/index.php/revista/article/download/181/166
, accesat la
data de
05.06.2016.
77
http://www.arduph.ro/domenii/diu
–
si
–
terorismul/despre
–
statutul
–
mercenarilor
–
si
–
al
–
angajatilorcompaniilor
–
militarede
–
securitate
–
private/, accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
63
din
284
care interpretează extinderea
lex lata
,
fiind considerat de mediul strategic militar
și
un prim pas înainte
.
Dacă însă
vom lua
în
considerare istoricul adoptării unor
legisla
ții internaționale de către NATO sau națiunile componente,
cât
și
atitudinile
generale politice interna
ționale față de războiul cibernetic, regulile și comentariile
din manualul Tallinn ar putea avea nevoie în curând de extinderea lui
lex ferenda.
1.2.4. TENDIN
ȚE DE EVOLUȚIE ALE CAPABILITĂȚILOR DE APĂRARE
CIBERNETICĂ
A
NATO
Transformarea este
definită
de către NATO ca
„
un proces continuu
și
proactiv
privind dezvoltarea
și integrarea unor concepte inovatoare, doctrine și
capabilită
ți, în scopul de a îmbunătăți eficiența și interoperabilitatea forțelor
militare
”
78
și
incl
ude cerin
țe privind capacitățile definitorii pentru operațiunile
multina
ționale ale viitorului, precum și de
programe de
educa
ție și formare,
în
scopul de a permite alia
ților să implementeze conceptele și capac
ită
țile lor viitoare.
În scopul de a reînnoi r
elevan
ța Alianței în mediul post
–
ISAF, transformarea
a fost, probabil, subiectul cel mai central pentru NATO
și aliații săi de
–
a lungul
ultimilor ani. Comandamentul Aliat pentru Transformare al NATO (ACT), este
localizat în Virginia, Statele Unite ale Amer
icii este responsabil pentru procesele
de transformare ale NATO, inclusiv pentru cele din zona apărării cibernetice. De
și
rapoartele ultimilor ani au arătat
că
alia
ții NATO sunt mai avansați tehnologic
decât poten
țialii adversarii, aceleași analize arat
ă
c
ă
acest avantaj nu va mai
persista în viitor
,
deoarece tot mai multe na
țiuni care pot fi potențiali inamici ai
Alian
ței tind să se concentreze tot mai mult pe dezvoltarea capacităților lor
cibernetice, atât defensive
,
cât
și
ofensive.
U
na
din
tre
priorită
ți
le pe care Alian
ța
s
–
a concentrat
și
va
continuă
să
se
concentreze este mărirea capacită
ții
și
capabilită
ților CCDCOE de la Tallinn, care
de
și din punct de vedere tehnic nu este o instituție, acesta furnizează pe baza
78
What is Transformation?
–
An Introduction to Allied Command Tra
nsformation, NATO
UNCLASSIFIED
–
PUBLICLY DISCLOSED, ianuarie 2015, disponibil online la
http://www.ieee.es/Galerias/fichero/OtrasPublicaciones/Internacional/2015/NATO_Introduction
_AlliedCommand_Transformation_Jan2015.pdf, accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
64
din
284
doctrinei
și
strategiei NATO pentru ap
ărare
cibernetică
și
aspira „…..
sa devină
principală
sursă
de expertiză
în
domeniul
apărării cibernetice cooperative
”
79
.
O altă provocare majoră pentru NATO este
faptul
că propriile sisteme
interne sunt conectate la un număr de sisteme na
ționale, iar aceste
a sunt din ce în
ce în ce mai interdependente
în
dezvoltare
și
interconectare.
În scopul de a proteja sistemele NATO, există o nevoie de a face
o
cartografiere
detailată
nu numai a acestor sisteme,
cât
și a regimurile de securitate
care guvernează aceste
sisteme, multe dintre ele componente ale infrastructurii
critice na
ționale ale respectivelor
țări
. De
și o astfel de acțiune este ceruta insistent
la nivel de CDMA
,
pentru opera
ționalizarea ei
este necesară o decizie politică
la
nivelul Alian
ței.
A
lt
ă
provo
care
majoră
care
în
viitor va
influen
ța
modul
în
care se dezvoltă
capabilită
țile NATO este cea a decalajului între națiunile mai mici și cele mai mari,
acestea din urm
ă
dorind
să
extindă rolul NATO
în
anumite probleme specifi
ce. P
e
spa
țiul cibernetic acest
fenomen se
manifestă
prin dorin
ța
țărilor
mai mici
și
cu
resurse limitate de a beneficia de capacită
țile cibernetice defensive ale NATO
și
chiar a le extinde, însă
state,
cum ar fi Statele Unite, Marea Britanie, Fran
ța
și
Germania,
datorită
faptului
că
al
ocă
sume mari
în
domeniul apărării cibernetice
în
propriile sisteme, sunt reticente
în
a redirec
ționa bani
în
misiunile
și
proiectele
NATO care dublează capacită
țile pe care le deja dețin.
Dezbaterea echilibrului sarcinilor
în
NATO, de
și depășește cu mult
cadrul
apărării cibernetice, va fi
în viitor elementul cu
cel mai mult
grad de influen
ț
ă
atât
datorită
dinamicii stabilită
ții la care Alianța trebuie
să
facă
fa
ță
,
cât
și
a cre
șterii
componentei cibernetice
în
amenin
țările globale de securitate, iar
datori
tă
acestui
dezechilibru
Alia
n
ța riscă
să
devină
„
o organiza
ție cu mai multe nivele
în
care
79
Myriam Dunn Cavelty,
Cyber
–
Allies
–
Strengths and weaknesses of NATO’s cyberdefense
posture
, ETH Zurich, Center for Security Studies, februarie 2012, disponibil online la
http://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID1997153_code1782288.pdf?abstractid=19
97
153&mirid=1, accesat la data de 05.06.2016.
NECLASIFICAT
NECLASIFICAT
65
din
284
numai o parte din membrii au capabilită
ți de
luptă
cibernetică
și
sunt dispu
și
să
le
folosească
”
80
.
1.
3. ANALIZA POLITICII DE SECURITATE CIBERNETICĂ A SUA
În
aceast
ă
decadă
SUA se confruntă relativ la securitatea
cibernetică
cu riscuri
și
amenin
țări semnificative care pun în pericol infrastructurile critice, libertățile pe
care americanii exercită
în
spa
țiul virtual, precum
și
viabilitatea economică a
mediului de afa
ceri.
Reglementările
în
domeniul securită
ții cibernetice la nivel federal parcurg un
proces complicat
și
greoi de elaborare, aprobare
și
implementare, însă odată ajunse
în
vigoare sunt foarte dificil de a fi eliminate sau schimbate. Astfel, abordarea de
ti
p cauza
–
efect
în
sensul
eliminării
vulnerabilită
ților
infrastructurii critice
americane
în
mod preponderent prin reglementari
la nivel federal sau la nivel statal
s
–
a dovedit
în
ultimul deceniu a fi una
destinată
e
șecului, efectul imediat fiind
acela
că
re
glementările federale din domeniul cibernetic s
–
au dovedit deja depă
și
te
în
ziua
în
care au fost emise, iar modificările lor ulterioare nu au mai fost posibile
sau au fost extrem de dificil de realizat.
Acest fapt a determinat o colaborare,
în
special la
nivel strategic,
între
agen
țiile guvernamentale
și
mediul privat pentru a crea
și
men
ține
un nivel
confortabil de securitate, astfel
că
reglementările c
ibernetice vor promova o cultură
de securitate
cibernetică
„
cu accent pe respectarea cerin
țelor de secur
itate
cibernetică
specifică
locului
și
mediului asupra căruia se
aplică
, mai degrabă
decât o cultură axată pe realizarea de securitate cibernetică cuprinzătoare
și
eficace.
”
81
80
Transcript of Defense Secretary Gates’s Speech on NATO’s Future, Brussels, June 2011,
disponibil online la http://blogs.wsj.com/washwire/2011/06/10/transcript
–
of
–
defense
–
secretary
–
gatess
–
speech
–
on
–
natos
–
futur
e/, accesat la data de 05.06.2016.
81
U.S. Government Accountability Office, “Cybersecurity: Challenges in Securing the
Electricity Grid,” GAO
–
12
–
926T, July 17, 2012, disponibil online la
http://www.gao.gov/assets/600/592508.pdf, accesat la data de 12.03.20
16.
NECLASIFICAT
NECLASIFICAT
66
din
284
Acest
sub
capitol analizează modul
în
care atât forurile legiuitoare
,
cât
și
agen
ț
iile federale americane elaborează
și
implementează politicile de securitate
cibernetică
pentru
a atenua aceste amenin
țări
, dar
și
modul
în
care exploatează
puterea
și
ingeniozitatea industriei americane, protejând în acela
și
timp libertă
țile
și
via
ța priv
ată a cetă
țenilor
.
1.3.1.
DOCUMENTELE
STRATEGICE CARE REGLEMENTEAZĂ
SECURITATEA CIBERNETICĂ A SUA
Documentele strategice pe baza
cărora
este elaborată
politi
ca de securitate a
Statelor Unit
e ale Americii sun
t
derivate din
„
Strategia
Na
țională
de Securita
te
și
Apărare
a S
UA
”
82
.
promulgată
de
p
re
ședintele
Barack Obama
în
anul 2015
,
aceasta fiind a 16
–
a strategie
.
Una din
tre
tezele
fundamentale
ale acestei strategii
este
necesitatea unei ample
cooperări
la nivel global
în
probleme
cheie. Fa
ță de
aceasta teză
,
strategia
relevă
faptul că
ordinea
interna
țională
nu poate fi
înfăptuită
de o singură
na
țiune
, indiferent care este
mărimea
și
resursele ei, ci acest lucru se
poate realiza prin cooperarea mai multor actori
și
a mai multor state.
În
aceasta strategie
,
do
meniul
securită
ții
cibernetice este legat de
amenin
țările
re
țelelor
d
e criminalitate transfrontalieră
a
căror
proliferare a atins
cote care au alarmat strategii
în
materie de politica de securitate
internă
și
externă
a
SU
A.
A
ceste
re
țele
de criminalitate
i
nterna
țională
,
care uneori au
în
spate actori
statali sau
grupări
etn
ice sau religioase ostile SUA
sunt organizate
în
a
șa
fel
încât
să
producă
pagube
financiare
uria
șe
și
uneori chiar pierderi de
vie
ți
omene
ști
, iar
acest lucru este posibil
atât
datorită
i
nfiltrării
lor
în
guvernele diverselor
țări
,
cât
și
utilizarea
uneori
instrumente moderne,
în
special de pe
spa
țiul
cibernetic. Din acest
motiv Strategia Na
țională de Securitate
și
Apărare a S
UA
pune un accent deosebit
pe elaborarea
și
aplicarea unor planu
ri
și
politici de
apărare
care
să
includă
și
alte
state care se
confruntă
cu acest gen de probleme.
82
https://www.whitehouse.gov/sites/default/files/docs/2015_national_security_strategy.pdf,
accesat la data de 12.03.2016.
NECLASIFICAT
NECLASIFICAT
67
din
284
În
planul ocrotirii valorilor globale comune, ideea central
ă
este cooperarea
dintre SUA
,
alia
ții
săi
și
țări
le partenere pentru protejarea
spa
țiului
aerian
, terestru
și
maritim, normele rezultate
fii
nd
valabile
și
pentru
spa
țiul
cibernetic
de
a
cărui
securitate este
legată
în
mod direct de integritatea S
UA.
Subsecventă
Strategiei
Na
ționale
de Securitate
și
Apărare
, Statele Unite
dispun de o strategie de sec
uritate n
a
țională
în
domeniul securită
ții cibernetice
elaborată
în
anul
2003
–
„Strategia Na
țională pentru Securizarea Spațiului
Cibernetic”
83
, precum
și
de următoarele documente care
reglementează
la nivel
strategic politica de securitate
cibernetică
:
a
)
Revi
zuirea Politicilor Cyberspa
țiului
84
(Cyberspace Policy Review)
document elaborat
în
anul
2009
;
b
)
Strategia
Interna
țională
pentru Cyberspa
țiu
85
(Prosperity, Security, and
Openness
în
a Networked World)
,
destinată
în
anul
2011
;
c
)
Strategia D
epartamentului Apărări
al SUA
pentru Operarea
în
Cyberspa
țiu (Department of Defense Strategy for Operating
în
Cyberspace)
document aprobat
în
i
ulie 2011
;
d
)
Ordinul executiv al Pre
ședintelui privind elaborarea unei strategii de
îmbunătă
țire a infrastructurii critice de securitate
c
ibernetică
(President’s
Executive Order on Drawing up a Strategy for Improving Critical Infrastructure
Cybersecurity), ordin elaborat
în
anul
2013
;
e
)
Proiectul de strategie de îmbunătă
țire a infrastructurii critice cibernetice
(Draft Strategy for Improving C
ritical Infrastructure Cybersecurity) elaborat
în
anul
2014
;
f
)
Strategia de Apărare
Cibernetică
a Departamentului Apărării al S
UA
(The
Department of Defence Cyber Strategy)
document aprobat
în
anul
2015
.
83
https://www.us
–
cert.gov/sites/default/files/publications/cyberspace_strategy.pdf, accesat la
data de 12.03.2016.
84
Cyberspace Po
licy Review, 2009, disponibil online la https://www.dhs.gov/
sites/default/files/publications/Cyberspace_Policy_Review_final_0.pdf
,
accesat la data de
12.03.2016.
85
Prosperity, Security, and Openness in a Networked World, disponibil online la
https://www.w
hitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace
.pdf, accesat la data de 12.03.2016.
NECLASIFICAT
NECLASIFICAT
68
din
284
În
viziunea Departamentului Apărării al SUA
pentru ope
rarea
în
spa
țiul
cibernetic un element important este eliminarea sau minimizarea probabilită
ții
și
posibilită
ților unui atac cibernetic
, strategia
fiind
construită
pe cinci piloni
:
Tratarea spa
țiul
ui
virtual ca un domeniu opera
țional similar celui terestru
,
aerian, maritim
și
spa
țiu,
operarea
și
apărare
a
a re
țelelor de departamente
,
cât
și
formarea
și
echiparea for
țelor pentru misiuni cibernetice
.
Introducerea unor noi concepte de operare relativ la re
țelele de
departamente, inclusiv apărarea cibernetică
ac
tivă
, utilizând senzori, software
și
semnături electronice
în
scopul de a detecta
și
neutraliza codurile de intruziune
înainte
ca acesta
să
afecteze operarea
re
țelelor
respective.
Colaborarea cu Homeland Security
și
sectorul privat
în
scopul protejării
inf
rastructurii na
ționale critice, cum ar fi rețeaua electrică, sistemul de transport
și
sectorul financiar.
Construirea unui sistem de Apărare
Cibernetică
Colectivă
împreună
cu
alia
ții
și
partenerii
interna
ționali
în
scopul de a extinde gradul de
cunoa
ștere
și
con
știentizării
activită
ților
din segmentul de criminalitate
cibernetică
și
de a ajuta
la
apărarea
împotriva
atacurilor.
Schimbarea
și
evolu
ția
continuă
a conceptelor tehnice
și
tehnologice
utilizate
în
securizarea infrastructurilor cibernetice
în
scop
ul
cre
șterii
semnificative
a
l
nivelului de securitate.
Un element important al acestei strategii o constituie oprirea sau
minimizarea efectelor unui atac cibernetic asupra activită
ților civile, comerciale
sau militare, element care va fi pus
în
practică
nu
numai
prin sofisticarea tehnicii
de criptare a datelor
,
ci
și
prin implementarea
până
la nivelul tranzac
țiilor triviale
de
re
țea
a tehnicilor de programare
utilizând
inteligenta
artificială
.
P
entru anali
ști
,
a devenit
din ce
în
ce mai clar
atât
faptul că
apărarea
cibernetică
nu este numai un
atribut
al sectorului de
apărare
sau de
ordine
publică
,
ci al
întregii
na
țiuni
începând
de la sectorul mil
itar, cel al guvernului federal
,
segmentului
economic, segmentului de cercetare, mediului
academic
sau la nivel
ul
cetă
țeanului
,
cât
și
faptul că
aceste elemente trebuie abordate integrat,
generând
NECLASIFICAT
NECLASIFICAT
69
din
284
astfel necesitatea nu numai a unei strategii coerente la nivelul
na
țiunii
,
dar
și
la
crearea
unor
structuri care
să
ac
ționeze
în
mod eficient
și
sincronizat cu toate
aces
te segmente pe ambele dimensiuni ale unei
amenin
țări
cibernetice,
atât
pe
componenta de combatere
,
cât
și
pe componenta de prevenire.
1.3.1.1. INI
ȚIATIVA NAȚIONALĂ DE SECURITATE CIBERNETICĂ A SUA
Ini
țiativa Națională de Securitate
Cibernetică
a SUA
86
, est
e un document
elaborat
în
anul 2003 ca
și
componentă
a „Strategiei pentru
Homeland Security
”
(
„
National Strategy for Homeland Security
”
)
87
din
anul
2002
și
revizuită
în
anul
2007,
ca un ghid care
organizează
și
unifică
eforturile pentru securitate
internă
a
l
na
țiunii
americane, bazat pe ideea
că
Homeland Security se
define
ște
ca un efort
na
țional
focalizat
în
prevenirea
și
combaterea atacurilor teroriste
,
în
protec
ția
împotriva
pericolelor
și
dezastrelor naturale sau provocate de om
și
în
construirea
și
men
ț
inerea
capabilită
ților
de
răspuns
și
reconstruc
ție
la incidentele care apar.
El
este
completat
de „Strategia
Na
țională
pentru
Protec
ția
Fizica a Infrastructurilor
Critice
și
a Activelor Cheie” („
The Physical Protection of Critical Infrastructures
and Key A
ssets
”)
88
document elaborat tot
în
anul
2003.
Fiind
construită
pe axioma apărării colective
și
a
responsabilită
ții
întregii
na
țiuni
americane pentru
apărare
și
securitate
, strategia
oferă
o
bază
comună
pentru
patru obiective
:
p
revenirea
și
neutralizarea at
acurilor teroriste.
p
rotejarea popula
ției
, a infrastructurii critice
și
a resurselor cheie.
d
ezvoltarea
capabilită
ții
de
răspuns
și
reconstruc
ție
la
incidente
cibernetice.
86
The National Strategy to Secure Cyberspace, February 2003, disponibil online pe
https://www.us
–
cert.gov/sites/default/files/publications/cyberspace_strategy.pdf
,
accesat la data
de 16.03.2016.
87
National Strategy for Homeland Security, iulie 2002, disponibil online pe
https://www.dhs.gov/sites/default/files/publications/nat
–
strat
–
hls
–
2002.pdf
,
accesat la data de
16.03.2016.
88
The Physical Protection of Critical Infrastructures and Key Assets, februarie 2
003, disponibil
online la
https://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf
,
accesat la data de
16.03.2016.
NECLASIFICAT
NECLASIFICAT
70
din
284
î
ntărirea
continuă
a bazei de operare pe
n
tru a asigura succesul pe termen
lung.
Fii
nd gândită
ca
și
o componentă
a acestei strategii, Ini
țiativa Națională de
Securitate
Cibernetică
a SUA este un ghid care
define
ște
cadrul de angajament
și
împuternicire
al tuturor segmentelor
societă
ții
americane pentru a securiza
atât
por
țiunile
din
spa
ț
iu
cibernetic pe care le
operează
sau
controlează
, dar
și
cele cu
care aceste segmente
interac
ționează
. Principiul de
bază
pe care este construit acest
document este
acela
că
spa
țiul
cibernetic
reprezintă
o provocare
dificilă
care
necesita coordonare
și
ef
ort concentrat al
întregii
societă
ți
americane, pe
orice
nivel, de la guvernul federal,
statal
sau local
, sectorul privat
și
cetă
țeni
.
Modul
în
care plecând de la Actul pentru Homeland Security emis de Senat
în
anul
2002, creează Departamentul pentru Home
land Security (Homeland
Security Act of 2002)
89
,
împuternicind Directoratul pentru Analiza Informa
țiilor
și
Protec
ția Infrastructurii (
„
Information Analysis And Infrastructure Protection
Directorate
–
IAIP
”
)
90
să
creeze trei organisme
pentru
îndeplinirea
obi
ectivelor
strategice
–
Centrul de Opera
țiuni pentru Homeland Security (
„
Homeland Security
Operations Center
”
)
91
, Centrul pentru Analiza Informa
țiilor (
„
Information
Analysis Center
”
)
92
și
Departamentul pentru Protec
ția Infrastructurii
(
„
Infrastructure Protect
ion Department
”
)
93
rezultând
,
în
final
,
că
prin Strategia
Na
țională pentru Homeland Security securizarea
spa
țiului
cibernetic
să
fie
calificată
ca
ini
țiativă
strategică
în
protec
ția
infrastructurii critice
, acest proces
fiind descris
în
f
igura
nr.
1.
2
.
De a
semenea
,
schema de organizare a Directoratului
pentru Analiza Informa
țiilor
și
Protec
ția Infrastructurii
este prezentata
în
f
igu
ra nr.
1.
3
.
89
PUBLIC LAW 107
–
296
—
NOV. 25, 2002, disponibil online pe
https://www.dhs.gov/
xlibrary/assets/hr_5005_enr.pdf
,
accesat la data de 16.03.2016.
90
Directorate of Information Analysis and Infrastructure Protection (IAIP); Open Meeting of
National Infrastruct
ure Advisory Council (NIAC) [70 FR 16508 ] [DHS 10
–
05], disponibil
online pe
https://www.uscis.gov/ilink/docView/DHSFR/HTML/DHSFR/0
–
0
–
0
–
1/0
–
0
–
0
–
9444/0
–
0
–
0
–
9466/0
–
0
–
0
–
9846.html
,
accesat la data de 16.03.2016.
91
https://www.dhs.gov/office
–
operations
–
coordination
,
accesat la data de 16.03.2016.
92
https://www.hdiac.org/
,
accesat la data de 16.03.2016.
93
https://www.dhs.gov/office
–
infrastructure
–
protection
,
accesat la data de 16.03.2016.
NECLASIFICAT
NECLASIFICAT
71
din
284
Analiza
Informatiilor
Protectia
Infrastructurii
Divizia de
Evaluare a
Riscurilor
Divizia Detectare
si Avertizare
Divizia pentru
Coordonarea
Infrastructurii
Divizia pentru
Protectia
Infrastructurii
Divizia Nationala
pentru Securitate
Cibernetica
(
NCSD
)
Directoratul pentru
Analiza
Informațiilor si Protecția
Infrastructurii
(
IAIP
)
Figura
nr.
1.
2
:
Schema de organizare a IAIP
Homeland Security Act
–
emis in anul
20
0
2
Decide ca IAIP sa elaboreze un plan național de protejare a resurselor
cheie si a infrastructurii critice a SUA si a activelor fizice di tehnologice
care susțin aceste structuri
.
Decide ca IAIP
,
in cooperare cu alte agenții federale
,
la nivelul fiecărui
stat sau la nivelul guvernelor locale
sau in sectorul privat sa recomande
masurile necesare pentru a proteja resursele cheie si infrastructura
critica
.
Decide ca IAIP ra realizeze o analiza referitoare la amenintarile sau
vulnerabilitatile sistemelor informatice critice si sa
ofere sprijin la
identificarea amenintarilor
,
eliminarea vulnerabilitatilor sistemelor
informatice critice
Si de asemeni sa ofere sprijin in gestionarea situatiilor
de criza care au ca tinta sistemele informatice critice
.
Strategia Nationala pentru Securitatea Cyberspațiului
(
Februarie
2003
)
Strategia Nationala pentru Homeland Security
(
Iulie
,
2002
)
Desemeaza Departamentul pentru Homeland Security ca agenție
responsabilă de punerea de aplicare a obiectivelor strategice ale
strategiei
Stabileste obiectivul de securitzare al spatiului cibernetic ca o initiativa
majora in protejarea infrastructurilor critice si a activelor cheie
Figura
nr.
1.
3
:
Fluxul de responsabilită
ți care au fundamentat elaborarea
Strategiei Na
ționale pentru Securitatea Spațiului Cibernetic (2003
)
Strategia Na
țională pentru Securizarea Cyberspațiului fixează cinci priorități
care ulterior se transformă în programe guve
rnamentale, caracteristicile acestor
priorită
ți fiind descrise în tabelul nr.
1.
2
.
NECLASIFICAT
NECLASIFICAT
72
din
284
Pe baza acestor priorită
ți Departamentul pentru Homeland Security
înfiin
țează Divizia Națională pentru Securitate Cibernetică
(„National Cyber
Security Division
–
NCSD”
)
94
c
a
și punct focal la nivel federal pentru securitate
cibernetică, având în principal două obiective strategice, acela de a construi
și
opera un sistem na
țional eficient de răspuns la incidente cibernetice și acela de a
implementa programe pentru managementu
l riscurilor în protec
ția infrastructurilor
critice.
În domeniul securită
ții cibernetice, la nivelul
NCSD
au fost
identificate trei
func
ții cheie
:
–
identificarea
și reducerea riscurilor și amenințărilor și vulnerabilităților.
–
operarea Centrului pentru
Urmărirea, Analiza
și Răspunsul la Incidente de
Securitate Cibern
etică
–
CSTARC.
–
ac
țiuni de promovare, avertizare și pregătirea personalului.
Tabelul
nr.
1.
2
:
Cele cinci priorită
ți ale Strategiei Naționale pentru Securitatea
Spa
țiului Cibernetic (2003
)
Nr
.
c
rt.
Prioritatea
Obiective, Misiuni
și
Responsabilită
ți
1
Crearea unui sistem
na
țional pentru
răspuns la incidente
de securitate.
(National Cyberspace
Security Response
System)
Identificarea rapidă, schimbul de informa
ții
și
scăderea timpului de rem
ediere
pot atenua
dimensiunea incidentului.
Sistemul de reac
ție se va implica colaborarea atât a
institu
țiilor publice sau a companiilor private
,
cât
și
a centrelor cibernetice, pentru a efectua analize, a
efectua ac
țiuni de supraveghere
și
avertizare. Ace
st
sistem va trebui
să
permită schimbul rapid de
informa
ții
și
să
faciliteze eforturile de restaurare
post incident.
2
Programul na
țional
pentru reducerea
vulnerabilită
ților
și
amenin
țărilor din
domeniul securită
ții
cibernetice.
Coordonează eforturile na
ționale privind acțiunile
efectuate de către guvern
și
sectorul privat pentru a
identifica
și
remedia vulnerabilită
țile cibernetice
grave
și
remedierea prin activită
ți de colaborare,
cu
m ar fi schimbul de bune practici
și
evaluarea
și
punerea în aplicare a noilor tehnologii.
94
National Cyber Security Division Resili
ent Accord Read Ahead dispoibil online pe
https://www.fbiic.gov/public/2010/sep/NCSD_Information_for_Resilient_Accord_20100310_v0
0.pdf
accesat la d
ata de 18.03.2016.
NECLASIFICAT
NECLASIFICAT
73
din
284
Nr
.
c
rt.
Prioritatea
Obiective, Misiuni
și
Responsabilită
ți
(National Cyber
Security
Threat and
Vulnerability
Reduction Program)
Sensibilizarea, cre
șterea eficientei activităților de
trimitere
în
instan
țele de judecata a infracțiunilor
în
domeniul cibernetic
și
dezvoltarea de programe
na
țional
e de securitate pentru a descuraja
amenin
țările cibernetice
3
Programul na
țional
de con
știentizare
și
pregătire
în
domeniul
securită
ții spațiului
cibernetic
(National Cyberspace
Security Awareness
and Training
Program)
Promovarea unui program complet de
con
știentizare națională pentru a crea abilitatea
tuturor cetă
țenilor americani, structurilor
economice civile, institu
țiilor guvernamentale
pentru a asigura securitatea propriei lor par
ți din
spa
țiul cibernetic.
Încurajarea programelor de educare
și
form
are
profesionala
în
scopul sprijinirii eforturilor de
securitate
cibernetică
a na
țiunii.
Cre
șterea eficientei programelor de formare
profesionala a administra
ției federale
în
domeniul
securită
ții cibernetice.
Promovarea
și
sprijinul ini
țiativelor independe
nte
sau private pentru certificarea speciali
știlor
în
domeniul securită
ții cibernetice
.
4
Securizarea spa
țiului
cibernetic
guvernamental
(Securing
Government’s
Cyberspace)
La nivelul guvernului federal
:
–
Evaluarea
continuă
al amenin
țărilor
și
vulnerab
ilită
ților sistemelor cibernetice.
Activită
ți specifice la nivelul agențiilor
guvernamentale:
–
Identificarea
și
documentarea arhitecturilor de
sistem.
–
Evaluarea
continuă
ale amenin
țărilor
și
vulnerabilită
ților.
–
Implementarea controalelor de securita
te, testarea
exersarea procedurilor de remediere a efectelor.
Activită
ți specifice la nivelul întregului guvern:
–
Autentificarea, autorizarea
și
reautorizarea
utilizatorilor sistemelor informatice federale.
–
Securizarea re
țelelor radio guvernamentale.
–
Îmbunătă
țirea gradului de securitate
în
zona
achizi
țiilor
și
furnizorilor guvernamentali.
NECLASIFICAT
NECLASIFICAT
74
din
284
Nr
.
c
rt.
Prioritatea
Obiective, Misiuni
și
Responsabilită
ți
–
Elaborarea unor criterii specifice
și
eficiente
pentru organiza
țiile care emit, autorizează
și
reautorizează certificate
le
de securitate
.
Activită
ți
la nivelul
guvernelor statale
și
locale:
–
Asigurarea schimbului de informa
ții pentru
protec
ția sistemelor cibernetice ca o condiție
principală
pentru asigurarea func
ționarii aparatului
guvernamental.
–
Asigurarea cooperării
între
Departamentul pentru
Homeland Sec
urity
și
guvernele statale sau locale
prin încurajarea
și
sus
ținerea eforturilor de
implementare a programelor din domeniul
securită
ții cibernetice.
5
Cooperarea
în
domeniul securizării
spa
țiului cibernetic
interna
țional
(International
Cyberspace Securi
ty
Cooperation
Program)
Asigura
rea securită
ții naționale a SUA
:
–
Consolidarea
și
intensificarea activită
ților de
contrainforma
ții în spațiul virtual.
–
Lărgirea atribu
țiilor capabilităților de atac
și
prevenire.
–
Intensificarea coordonării pentru răspu
nsul la
atacurile cibernetice asupra comunită
ții cibernetice
interne.
–
Rezervarea dreptului de
răspuns într
–
o manieră
adecvată
.
Cooperare interna
țională:
–
Cooperarea cu organiza
țiile internaționale
și
industria pentru promovarea la nivel global al une
i
culturi de securitate.
–
Parteneriate cu alia
ții
și
țări
le partenere pentru
dezvoltarea tehnologiilor de securitate.
–
Promovarea modelelor
și
solu
țiilor pentru
securitate
cibernetică
folosite
în
spa
țiul Nord
–
American.
–
Încurajarea creării re
țelelor naț
ionale
și
interna
ționale de detectare
și
identificare ale
atacurilor cibernetice
în
scopul detectării acestora
în
cel mai scurt timp.
Din analiza Strategiei Na
ționale pentru Securitatea Spațiului Cibernetic
(2003) noi am identificat
unele elemente
care
asigura sustenabilitatea acestei
a
prin
NECLASIFICAT
NECLASIFICAT
75
din
284
dezvoltarea
și
migrarea capabilită
ților proiectate inițial pentru a fi operate de către
NCSD către capabilită
ți ulterioare, aceste elemente fiind prezentate
în
f
igura
nr.
1.
4
.
Capabilități viitoare
Coordonarea implementării unei metodologii
standardizate la nivel național pentru evaluarea
riscurilor
,
amenințărilor si vulnerabilităților
.
Corelarea datelor pentru a oferi suport sectoarelor care
operează infrastructuri critice pentru a evalua si genera
valori privind capacitatea si disponibilitatea
elementelor de securitate cibernetica
.
Construcția unei capabilități mature care utilizeaza
tehnici de analiza a interdependentelor dintre
securitatea fizica si cibernetica
,
precum si a metodelor
adaptive de protecție la un atac cibernetic
.
Implementarea si operarea unui singur CSTARC
pentru securitate cibernetica
,
la nivel național
,
de tip
24
x
7
,
in parteneriat cu sectorul public si privat
.
Aplicarea de proceduri standardizate si eficiente
pentru schimbul de informații in scopul furnizării de
informații si capabilități de avertizare in timp real pe
întreg spațiul cibernetic național
.
Finalizarea procesului de implementare a unei
campanii de promovare pe multiple nivele pentru
promovarea culturii de securitate
.
Crearea in parteneriat public
/
privat al unor grupuri de
asistenta a întregului spectru de clienți care necesita
securizarea sistemelor cibernetice prin implementarea
unor practici eficiente de securitate cibernetica
.
Capabilități Curente
Capacitatea analitică de suport al
alertelor si avertizărilor cibernetice
pentru amenințări si vulnerabilități
.
Lista consolidată a procedurilor si
practicilor de securitate cibernetica
inclusiv A procedurilor de buna practica
pentru gestionarea riscurilor generate de
vulnerabilitățile cibernetice
.
Trasarea amenințărilor
,
vulnerabilităților
si a incidentelor cibernetice prin
intermediul schimbului de informații si
difuzarea de alerte către guvernul federal
si sectorul privat
.
Coordonarea operațiunilor
24
x
7
a
centrelor de supraveghere cibernetica
Programe publice de sensibilizare
,
formare
,
campanii de educare a
populației
.
Inițierea si extinderea relațiilor
internaționale in domeniul securității
cibernetice
Figura
nr.
1.
4
:
Strategia NCSD pentru construc
ția pe termen lung al capabilităților
în
securitatea
cibernetică
Abordarea conceptului de „securitate cibernetică” legat de cel al „puterii
na
ționale” specific Strategiei Naționale pentru Securitatea Spațiului Ciberneti
c
(2003), are
,
conform lui Franklin D. Kramer
,
un dezavantaj major, acela că el
con
ține foarte multă doctrină de tip „putere dominantă”, este caracteristică numai
na
țiunilor a căror dimensiune sau nivele de ambiție le fac „
să caute angajamente
NECLASIFICAT
NECLASIFICAT
76
din
284
extrem de pr
o
active în peisajele strategice interna
ționale, în speță, să creeze în
mod activ oportunită
ți strategice prin intermediul spațiului cibernetic
”
95
.
1.3.1.2. REVIZUIREA POLITICII CYBERSPA
ȚIULUI (2009)
„Revizuirea Politicii Cyberspa
țiului
–
Asigurarea unei
Infrastructuri de
Informa
ții
și
Comunica
ție de Încredere
și
Rezilien
ță” (
„
Cyberspace Policy Review
–
Assuring a Trusted and Resilient Information and Communications
Infrastructure
”
)
96
este un document strategic elaborat ca rezultat
al raportului emis
de Cas
a
Albă
în
ma
i 2009 privind
suficien
ța
strategiilor de securitate pe spa
țiului
cibernetic. Aceasta strategie a fost
preluată
imediat de către Departamentul de Stat,
Departamentul pentru Comer
ț, Departamentul pentru Homeland Security
și
Departamentul Apărări
i pentru a elabora noi documente strategice.
În
acela
și
timp
Congresul, pe baza
aceluia
și
document
,
a început revizuirea legisla
ției
în
domeniul
securită
ții cibernetice.
În
discursul sau din 29 m
ai 2009 relativ la infrastructura
cibernetică
, pre
ședintele B
arack Obama
sublinia
faptul că
„
De acum încolo,
infrastructura noastră digitală, re
țele
și
calculatoarele de care depindem în
fiecare zi, vor fi tratate ca
ce
ea ce
acestea ar trebui să fie: ca un bun strategic
na
țional. Protejarea acestei infrastructuri va
fi o prioritate na
țională de securitate.
Ne vom asigura că aceste re
țele sunt sigure, de încredere
și
reziliente. Vom
descuraja, preveni, detecta, ne vom apăra împotriva atacurilor
și
ne vom reveni
rapid de la orice
perturbări sau pagube
”
97
.
Prin abordarea
securită
ții cibernetice ca fiind un element critic la adresa
securită
ții naționale a SUA, a siguranței publice, drepturilor
și
libertă
ților civice,
pre
ședintele Obama a decis
să
o transforme într
–
o
problemă
vitala atât pentru
na
țiune
,
cât
și
pentru cetă
țe
ni
, cerând stabilirea unei strategii pentru securitate
95
Franklin D. Kramer, Stuart H. Starr, and Larry Wentz, eds.,
Cyber Power and National
Security,
Washington, DC: National Defence UP, 2009.
96
Cyberspace Policy Review disponibil online
https://www.whitehouse.gov/assets/documents/
Cyberspace_Policy_Review_final.pdf
,
accesat la data de 22.03.2016.
97
https://www.whitehouse.gov/the
–
press
–
office/remarks
–
president
–
securing
–
our
–
nations
–
cyber
–
infrastructure
, accesat la
data de 22.03.2016.
NECLASIFICAT
NECLASIFICAT
77
din
284
cibernetică
pentru a aborda amenin
țări pe care președintele le aseamănă cu „armele
de distrugere
în
masă
”
98
.
„Revizuirea Politicii Cyberspa
țiului”
recunoa
ște
faptul că
guvernul federal
nu este
încă
înze
strat
cu
capabilită
țile
necesare pentru a face
fa
ță
unui atac
cibernetic pe
scară largă
,
iar
dependen
ța
de tehnologie
atât
a SUA
,
cât
și
a
alia
ților
și
partenerilor
săi
a creat oportunitatea apari
ției unor noi inamici, care utilizând
mediul cibernetic ca s
pa
țiu de manifestare al acțiunilor ostile, devin foarte dificil
de identificat, aproape imposibil de expus
în
justi
ție
și
chiar greu de definit din
punct de vedere legal.
Datorită
faptului
că
spa
țiul
cibernetic si
–
a
mărit
nu numai
complexitatea
,
dar s
–
a ex
tins
în
toate componentele
societă
ții
, devenind o
componentă
de interes vital economic
, militar
și
cultural, iar actualul amestec de
elemente
de apărare pasivă sau activă
,
insuficient definite
și
interconectate
, este
estimat
că
va e
șua
în
fa
ța
unor vulnera
bilită
ți din ce
în
ce mai mari
și
a unor
amenin
țări din ce
în
ce mai complicate.
Revizuirea politicii se
concentrează
pe o serie de factori
preceden
ți,
care
afectează
sau sunt
afecta
ți
de securitatea
cibernetică
de
și
cu doi ani înainte
administra
ția Bu
sh
a pus la punct ceea ce se nume
ște
„Ini
țiativa
Multil
aterală
Na
țională de
Securitate
Cibernetică”
(
„
Comprehensive National Cybersecurity.
Initiative
–
CNCI
”
)
99
, document care con
ține 12 inițiative care definesc direcțiile
strategice de abordare a securită
ții
cibernetice, se resimte nevoia unei abordări
strategice mult îmbunătă
țite. Astfel aceasta revizuire
define
ște
cinci obiective
astfel
:
a
.
Conducere de la cel mai înalt nivel
(
„
Lead from the Top
”
)
–
documentul
statuează
faptul că
în
cele din
urmă
Casa
Albă
est
e
responsabilă
cu ini
țiativa de a
evalua
și
actualiza capacitatea
na
țiunii
de a face
fa
ță
nu numai
în
mod direct
amenin
țărilor cibernetice, dar
și
de
actualizarea altor aspecte conexe cum ar fi
98
J.
Markoff and D. Sanger,
Obama Outlines Coordinated Cybersecurity Plan
, The New York
Times, May
2009.
99
The Comprehensive National Cybersecurity Initiative, disponibil online pe
https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf
,
accesat la data de 22.03.2016.
NECLASIFICAT
NECLASIFICAT
78
din
284
normele legale sau diploma
ția parteneriatelor strategice
în
do
meniu securită
ții
cibernetice.
b
.
Construirea C
apacită
ții pentru o Națiune
Digitală
(
„
Building C
apacity for
a Digital Nation
”
)
–
În
timp ce securitatea
cibernetică
a fost
în
ultimii ani
în
aten
ția guvernului, publicul larg are o conștientizare redusa relativ
la aceasta
problematică
. Focalizarea pe aceasta direc
ție va ajuta societatea
americană
, la
nivelul fiecărui cetă
țean, de a lua cele mai optime decizii privind gestionarea
riscurilor cibernetice.
c
.
Împăr
țirea riscurilor cibernetice
–
Problema securită
ții cibe
rnetice este
una
globală
. Pentru atingerea unui nivel suficient de confort,
a
tât la nivel
individual,
cât
și
la nivelul sectorului guvernamental, sectorului privat
și
al
actorilor
interna
ționali
trebuie
să
existe
o implicare
efectivă
în
procesul de
asigura
re a
securită
ții
și
rezilien
ței cibernetice
.
De asemenea
,
colaborarea
între
aceste sectoare trebuie
extinsă
nu numai la nivel na
țional însă
trebuie
explorate
și
posibilită
țile de colaborare internațională.
d
.
Crearea
unui sistem eficient pentru schimbul de i
nforma
ții
și
răspuns la
incidente. Coordonarea efortului pentru a contracara un incident cibernetic la nivel
na
țional trebuie
centralizată
în
jurul unui func
ționar de securitate numit de
pre
ședinte. Cadrul
și
procedurile de răspuns trebuie
să
fie clare
și
îmbunătă
țite cu
sistemul de schimb
și
partajare a
informa
țiilor
în
scopul
măririi eficienței
capabilită
ților de răspuns.
e
.
Încurajarea inovării. Stimularea cercetării inovatoare pentru dezvoltarea
de tehnologii noi
și
îmbunătă
țirea celor existente pentru a c
ontribui la securizarea
spa
țiului cibernetic. Aceste tehnologii vor trebui
să
con
țină
și
noi metode de
autentificare
și
management al identită
ții, cum ar fi sistemele biometrice
adaptive
,
în
scopul asigurării unui schimb de date securizat.
Pornind de la
ev
olu
ția tehnologiilor pentru transmiterea de date, voce,
video,
etc
.
, raportul identifică
fenomenul de convergentă al acestora, care
în
acest
moment sunt
partajate într
–
o infrastructură
comună
, acest efect descentralizând
tehnologia
și
permi
țând inovarea. D
e asemenea
,
raportul
eviden
țiază
și
NECLASIFICAT
NECLASIFICAT
79
din
284
vulnerabilitatea
generată
de acest efect
și
anume susceptibilitatea componentelor
comune ale infrastructurii la perturbări, cu implica
ții majore
în
securitatea
cibernetică
na
țională.
Ca
și
caracteristică
strategică
, docu
mentul a ridicat pentru prima oara
problema eficacită
ții apărării cibernetice, arătând
faptul că
la nivelul guvernului
federal apărarea
cibernetică
„
nu a fost
organizată
într
–
o manier
ă
care
să
îi
permită
să
facă
fa
ță
în
mod eficient amenin
țărilor
în
domeni
ul securită
ții cibernetice la
momentul elaborării acestui document, dar nici
în
viitor
”
100
, principalul motiv
fiind repartizarea responsabilită
ților într
–
o
gamă
largă
de agen
ții
și
departamente
federale.
Caracterul problematic al acestei cauze a fost amplif
icat
și
de
faptul că
în
majoritatea cazurilor, mandatele acestor autorită
ți nu numai
că
se suprapuneau, dar
nici nu exista un departament sau agen
ție
cu putere de decizie suficientă
pentru a
coordona apărarea
cibernetică
și
mai ales de a rezolva aspectele
conflictuale
în
mod coerent.
Conform acestei analize, guvernul Statelor Unite a trebuit
să
integreze interese concurente, situate la diverse nivele de decizie ale guvernului
și
să
elaboreze un plan pentru abordarea problematicii securită
ții cibernetice
în
mod
integrat la nivelul pre
ședinției SUA. Astfel, președintele Obama a acceptat
recomandările
prezentate
în
aceasta
analiză
și
a selectat
și
numit un Coordonator
Executiv pe Probleme de Securitate
Cibernetică
(Executive Branch Cybersecurity
Coordinator), c
are trebuie
să
raporteze
în
mod regular pre
ședintelui
101
.
Observa
țiile
din
acest
document au fost reiterate
în
2013 de
către
GAO (
„
US
Government Accountability Office
”
)
102
,
o
agen
ție
independentă
a congresului SUA,
care a indicat
faptul că
nu a existat
nicio
s
trategie
integrată
și
cuprinzătoare
care
să
sintetizeze
toate documentele strategice existente
în
scopul de a oferi un plan
100
White House, 2009, Cyberspace Policy Review
–
Assuring a Trusted and Resili
ent
Information and Communication Infrastructure,
https://www.whitehouse.gov/
assets/documents/Cyberspace_Policy_Review_final.pdf
,
accesat la data de 12.03.2016.
101
White House. n.d.
–
a., The Comprehensive National Cybersecurity Initiative,
https://www.whitehouse.gov/issues/foreign
–
policy/cybersecurity/national
–
initiat
ive
,
accesat la
data de 12.03.2016.
102
http://www.gao.gov/, accesat la data de 12.03.2016.
NECLASIFICAT
NECLASIFICAT
80
din
284
strategic integrat capabil
să
acopere toate
priorită
țile
,
responsabilită
țile
și
termenele
de finalizare. GAO a
arătat
foarte clar
că
„
la acest moment nu există
niciun
document care
define
ște
în
mod
cuprinzător
strategia de securitate
cibernetică
a
întregii
na
țiuni
”
103
,
principală
problemă
identificată
de acesta fiind
,
de asemenea
,
lipsa unor roluri clar definite pentru
agen
țiile
cheie im
plicate
în
domeniul
securită
ții
cibernetice.
O alt
ă
abordate
interesantă
a acestui raport
porne
ște
de la ideea
că
multe
dintre atacurile cibernetice sunt neclare
atât
din punct de vedere al
ini
țiatorilor
,
țintelor
probabile, mijloacelor sau
încadrarea
în
t
imp a acestora
,
dar
și
ca definire
din punct de vedere
juridic
, abordarea la nivel intern federal fiind
diferită
de cea la
nivel
interna
țional
.
În
plus,
faptul că
prin
apari
ția
monedelor
virtuale
de tip BitCoin
pu
țin
trasabile sau total netrasabile, infrac
torii cibernetici deve
nind
practic foarte
simplu de
închiriat
,
nu face
decât
să
complice setul de ipoteze de la care trebuie
să
pornească
elaborarea unei strategii complete
și
valabile la nivel
na
țional
.
De
și
nu
enun
ță
în
mod explicit, această
revizuire in
dic
ă
în
mod indirect ca
și
poten
țială
vulnerabilitate,
separarea
capabilită
ților
de
apărare
și
răspuns
la atacuri cibernetice
din segmentul militar, gestionate de Departamentul
Apărării
al Statelor Unite
fa
ță
de cele
ale agen
țiilor
și
departamentelor
impli
cate
în
apărarea
cibernetică
din
domeniul civil, documentul specificând
faptul că
de
și
țintele
poten
țiale
ale acestor
atacuri
sunt adesea
nonmilitar
e, o bună
parte sunt implicate
în
mod direct
și
în
infrastructura
militară
.
1.3.1.3. STRATEGIA INTERNA
ȚIONA
LĂ PENTRU CYBERSPA
ȚIU
„
Revizuirea Politicii Cyberspa
țiului
–
Asigurarea unei Infrastructuri de
Informa
ții
și
Comunica
ție de Încredere
și
Rezilien
ță”
a avut un impact important
asupra modului de abordare a problematicii
securită
ții
spa
țiului
cibernetic din
103
US GAO, 2013, A Better Defined and Implemented National Strategy Is Needed to Address
Persistent Challenges, disponibil la adresa
http://www.gao.gov/assets/660/652817.pdf
, accesat la
data de 12.03.2016.
NECLASIFICAT
NECLASIFICAT
81
din
284
punct de vedere al
teritorialită
ții
, strategii americani realizând faptul
datorită
lipsei
unor
delimitări
teritoriale a sistemelor cibernetice,
spa
țiul
cibernetic critic cuprinde
zone vulnerabile
în
afara teritoriului SUA, iar acestea
oriunde s
–
ar afla, p
ot
crea
grave disfunc
ționalități unei societăți umane care se bazează tot mai mult pe un
suport informa
țional dezvoltat.
În
urma acestei
abordări
,
în
mai 2011
,
Casa
Albă
a dat
publicită
ții
Strategia
Interna
țională
Pentru
Spa
țiul
Cibernetic (
„
International
Strategy for
Cyberspace
”
)
104
, care are ca teza
principală
faptul că
securitatea
cibernetică
nu
poate fi
asigurată
de
către
o
singură
țară
și
de aceea este
necesară
o
largă
cooperare
interna
țională
. Astfel
afirma cu
hotărâre
că
Statele Unite se vor implica
a
ctiv
în
proiectele bilaterale cu
alia
ții
săi
,
dar
și
în
egală
măsura
în
orice
ini
țiativă
interna
țională
care va genera un grad mai mare de securitate
cibernetică
.
Strategia
„
combin
ă
Diploma
ția
,
Apărarea
și
Dezvoltarea pentru a spori prosperitatea,
securita
tea
și
cooperarea
”
105
, abordarea
strategică
având
la
bază
angajamentele cu
privire la drepturile
și
libertă
țile fundamentale, libertatea de exprimare, dreptul la
via
ță
privată
,
precum
și
libera circula
ție a informațiilor.
U
rmând angajamentele diplomatice
și
de dezvoltare, obiectivele strategiei
au
fost
concentrate pe
conceptul unor
piloni
106
:
a
)
Dezvoltarea internetului
,
a tehnologiilor informatice
și
de comunica
ții
în
scopul cre
șterii economice. Astfel se încurajează dezvoltarea infrastructurii
cibernetice, a acc
esului la internet
și
încurajarea produc
ției de conținut online ca
și
catalizator al dezvoltării economice
și
sociale.
b
)
Promovarea normelor de drept
interna
țional
în
domeniul cibernetic
și
construc
ția unui mediu de securitate internațional. Promovarea unui
consens la
nivel
mondial
privind comportamentul unui stat responsabil
în
spa
țiul
cibernetic
104
INTERNATIONAL STRATEGY FOR CYBERSPACE, mai 2011, disponibil online pe
https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace
.pdf
,
accesat la data de 12.03.2016.
105
National Cyber Security Division Resilient Accord Read Ahead dispoibil online pe
https://www.fbiic.gov/public/2010/sep/NCSD_Information_for_Resilient_Accord_20100310_v0
0.pdf
accesat la data de 18.03.2016.
106
http://www.state.gov/s/cyberissue
s/strategy/, accesat la data de 12.03.2016.
NECLASIFICAT
NECLASIFICAT
82
din
284
inclusiv
prin
aplicarea
legisla
ției
interna
ționale
în
vigoare, aplicarea politicilor
na
ționale
de securitate
și
a tuturor
măsuri
lor necesare pentru evitarea
interpr
etărilor
gre
și
te
care pot duce la
escaladarea unui
conflict.
c
)
Lupta împotriva criminalită
ții cibernetice. Pe ace
st pilon Statele Unite
participă
activ la c
onsolidarea capacită
ții de luptă
împotriva criminalită
ții
cibernetice nu numai a alia
ților
și
a
țăril
or
partenere, dar
și
a oricărui stat care este
dispus
să
coopereze
în
lupta împotriva criminalită
ții
cibernetice
transfrontaliere
sau
al altor organiza
ții
care au ca scop sau utilizează ca instrument criminalitatea
cibernetică
, acest ajutor constând
în
sch
imbul de informa
ții, pregătirea
și
formarea
de capabilită
ți a forțelor polițienești, formarea de specialiști legiști, juriști
și
legislatori.
d
)
Consolidarea politicilor publice relativ la utilizarea internetului,
dezvoltarea de standarde cu aplicabilitate in
terna
țională privind
guvernan
ța
electronică
,
cre
șterea securității cibernetice, mărirea rezilienței sistemelor
ICT
și
promovarea structurilor interna
ționale care
definesc conceptul de guvernan
ță
electronică
atât din punct de vedere tehnic
,
cât
și
din punct
e vedere juridic.
e
)
Promovarea consensului interna
țional cu privire la libertatea de
dezvoltare
și
expansiune a int
ernetului ca
și
spa
țiu de liberă
exprimare la nivel
mondial, ca o exprimare a interesului uman
în
toate dimensiunile sale
și
încurajarea
orică
rei organiza
ții publice sau private
să
adopte practici
și
politici care
să
respecte
conceptul de drepturi ale omului aplicate
în
spa
țiul virtual.
f
)
Dezvoltarea
și
întărirea rela
țiilor cu alte
țări
în
scopul îmbunătă
țirii
securită
ții cibernetice la nivel glob
al prin întărirea securită
ții sistemelor la nivel
local, promovarea unor politici de securitate
și
rezilien
ță cu valabilitate
interna
țională
și
instruirea eforturilor de cooperare interna
țională
în
baza
principiului interesului reciproc precum
și
abordarea
unitara a amenin
țărilor
cibernetice.
g
)
Dezvoltarea Internetului
și
a tehnologiilor informaticii
și
comunica
țiilor
în
scopul
cre
șterii
economice
și
a
bunăstării
popula
ției
. Astfel
extinderea
NECLASIFICAT
NECLASIFICAT
83
din
284
infrastructurii
informatice
și
de
comunica
ții
,
cât
și
cre
șterea
de
con
ținut
online va fi
încurajată
să
sus
țină
în
principal
dezvoltarea
economică
.
Această
strategie este
unul din primele documente cu caracter strategic
na
țional
care aduce
în
discu
ție
faptul că
,
dacă
în
cazul
criminalită
ții
cibernetice,
în
spe
ță
infrac
țiunile
împotriva
confiden
țialității
,
integrită
ții
și
disponibilită
ții
informa
țiilor
și
a sistemelor informatice, comise de
către
persoane fizice sau
entită
ți
private
în
interes personal sau de grup
,
este
în
esen
ță
o chestiune de drept
juridic
intern,
acti
vită
țile
cibernetice
desfă
șurate
de state împotriva altor state intra
în
domeniul de competenta al dreptului interna
țional
și
paradigma juridică depinde
doar de posibilitatea atribuirii agresiunii unei entită
ți statale. Cum
în
cazul
agresiunilor cibernetic
e, ini
țiatorul sau sponsorul atacului poate
să
nu aibă
nicio
legătură trasabilă
cu executantul sau locul de unde se ini
țiază atacul, stabilirea un
ei
entită
ți statale responsabilă
pentru o agresiune este foarte
dificilă
sau practic
imposibilă
.
Strategia
sta
bile
ște
un set de norme plecând de la reorientarea interpretării
aplicării
conceptelor de drept interna
țional „
jus ad bellum
”
și
„
jus
i
n
bello
”.
În
mod
tradi
țional, conform articolului 3 din Dreptul Internațional Umanitar, comun celor
patru
conven
ții
de la
Geneva, legea conflictelor armate se
aplică
„
păr
ților
la
conflict
”
107
,
însă
în
cazul agresiunilor cibernetice
dificultatea constă
în
specificarea
în
țelesului exact al acestei expresii
„
păr
ților la conflict
”.
Ca
și
defini
ție conceptul „
jus
i
n
bello
” este op
us conceptului „
jus ad
bellum
”, care cuprinde totalitatea regulilor de drept interna
țional ce guvernează
admisibilitatea recurgerii la for
ță între state. Astfel, pe când „
jus ad bellum
”
guvernează dreptul de a se angaja
într
–
un război,
„
jus
i
n
bello
” regle
mentează
dreptul pe timp
desfă
șurării
conflictului
108
.
107
Gasser, Hans
–
Peter,
International Humanitarian Law
–
An introduction
, în: HAUG (Hans),
Humanity for all, Henry Dunant Institute, 1993, p. 509.
108
Adrian Năstase, Bogdan Aurescu, (ed.),
Drept internațional contem
poran. Texte esențiale
,
Monitorul Oficial, București, 2000.
NECLASIFICAT
NECLASIFICAT
84
din
284
Dreptul Interna
țional Umanitar, descris ca
și
„
dreptul conflictelor
armate
”
109
, are ca prim obiectiv protejarea victimelor pe timpul unui conflict
indiferent de partea la conflict căreia
îi
apar
țin
, ca
și
consecin
ța principiului
egalită
ții dintre beligeranți
,
,regulile „
jus
i
n
bello
” se
aplică
indiferent de orice
încălcare preliminară a regulilor de „
jus ad bellum
”.
Având
în
vedere argumenta
ția de mai sus, Strategia Internațională pentru
Cyberspa
țiu
a treb
uit nu numai
să
prezerve dreptul SUA de a se
apăra
în
cazul unui
atac cibernetic, dar
și
drepturile
și
libertă
țile individuale statuate prin Constituția
SUA. Astfel o reorientare a interpretării conceptelor de „
jus
i
n
bello
”
și
„
jus ad
bellum
”
,
necesară
pe
ntru a fi adaptate la o abordare interna
țională a c
onceptul de
securitate
cibernetică
,
găse
ște sprijin
în
faptul că
multe state au afirmat
că
aplicarea
legisla
ției internaționale, inclusiv a Cartei ONU la agresiunile cibernetice se face
de multe ori
fără
a
face
distinc
ție
între
tratate
le
și
norme
le
juridice
uzuale.
Consilierul
Juridic
al Departamentului de Stat al SUA
,
Harold Koch
,
a
sublinia
t î
ntr
–
un discurs la US
CYBERCOM
că
„
principiile de drept
interna
țional
se
aplică
și
în
spa
țiul
virtua
l, inclusiv, da
r fără a se limita la acestea
,
jus
i
n
bello
și
jus ad bellum”
110
.
Strategia
Interna
țională
pentru Sec
uritate
Cibernetică
a SUA afirmă
faptul că
la
elaborarea normelor de conduită
a statelor
în
spa
țiul
cibernetic nu are nevoie de
o reinventare a dreptului
in
terna
țional
și
nici de o reformulare a normelor
în
vigoare pentru a fi aplicabile
atributelor unice ale tehnologiei informa
ției
și
comunica
țiilor.
S
untem de părere
că
la Strategia Interna
țională pentru Securitate
Cibernetică
a SUA, strategii americani au
considerat
că
actualele principii ale dreptului
interna
țional pot constitui un cadru adecvat
în
care
să
se identifice
și
să
se
analizeze regulile
și
normele de comportament care reglementează utilizarea
spa
țiului cibernetic internațional.
De asemenea
,
este
precizat
în
mod clar
faptul că
109
C. Gray,
International Law and the Use of Force
, Oxford University Press, 2000, pp. 7
–
8.
110
Remarks Harold Hongju Koh, Legal Advisor U.S. Department of State, USCYBERCOM
Inter
–
Agency Legal Confer
ence, Ft. Meade, MD September 18, 2012, disponibil online la
http://www.state.gov/s/l/releases/remarks/197924.htm, accesat la data de 12.03.2016
NECLASIFICAT
NECLASIFICAT
85
din
284
în
acord cu Carta Na
țiunilor Unite, sta
tele au dreptul inerent la auto
apărare, drept
care poate fi invocat
în
cazul unor acte agresive
în
spa
țiul
cibernetic. Astfel
, pe 14
a
prilie 2010
,
Gen. Lt
.
Keith Alexander afirma
în
fa
ț
a
Senatului la discursul de
investire ca
și
comandant al Centrului de Comanda Cyber (US Cyber Command)
faptul că
„
Statele Unite ar trebui
să
contracareze atacurile cibernetice
în
mod
rapid
și
puternic,
și
să
ac
ționeze
preventiv
pentru a contracara
și
dezac
tiva o
amenin
țare
chiar atunci
când
identitatea ataca
torului nu este
cunoscută
. Chiar
și
cu în
țelegerea clară că am putea avea ca efect deteriorarea infrastructurii noastre,
noi trebuie să fim pregăti
ți să luptăm prin în cel mai defavorabil scenariu
”.
111
Dat
orită
faptului
că
la nivel strategic Statele Unite recunosc
faptul că
nivelul
în
țelegerii
amenin
țărilor
și
vulnerabilită
ților
din
spa
țiul
virtual este unul
scăzut
,
incoerent
și
neclar,
considerăm
că
această strategi
e
reprezintă
în
multe aspecte
o
îmbunătă
ț
ire
a celor precedente
deoarece ea
con
ține
nu numai o
articula
ție
a
politicii de descurajare
caracteristică
strategilor Pentagonului
,
care prefer
ă
să
î
și
„
….
rezerve dreptul de a executa represalii militare împotriva oricărui atac
cibernetic îndreptat asupr
a economiei, guvernului sau for
țelor militare ale
SUA”
112
, ci
și
prin
faptul că
ea promovează
și
un aer de incertitudine prin crearea
impresiei u
nui răspuns imprevizibil al SUA
, pentru a face mult mai pu
țin tentante
beneficiile activită
ților ilicite din spaț
iul cibernetic.
Rămâne
,
totu
și
,
neclar modul
în
care SUA va ac
ționa pentru unificarea
viziunii interna
ționale privind securitatea
cibernetică
, realizarea coeren
ț
ei normelor
de reglementare
și
exploatare al spa
țiului virtual
,
deoarece din analiza aceste
str
ategii
se poate desprinde dilema prin care
statele
ori
sunt convinse
să
realizeze
interdependen
ța
intereselor reciproce
și
să
ac
ționeze ca atare
,
ori
aceste
reglementari vor fi stabilite
în
urma unui prec
edent generat de o anumita criză
unde
Statele Unite
î
și
rezerva dreptul de a răspunde prin mijloace adecvate.
111
Martin C. Libicki,
Crisis and Escalation in Cyberspace
, Santa Monica, California RAND
Corporation, July 2012.
112
Lt.col. instr.sup.drd. Ștefan
–
Antonio Dan
–
Șuteu,
Apărarea cibernetică în concepția unor
armate moderne,
Buletinul Universității Naționale de Apărare „Carol I“, septembrie 2015.
NECLASIFICAT
NECLASIFICAT
86
din
284
1.3.1.
4.
STRATEGIA DE OPERARE ÎN SPA
ȚIUL CIBERNETIC
A DEPARTAMENTULUI APĂRĂRII AL
SUA
(i
ulie 2011)
Din punct de vedere militar, domeniul cibernetic este beneficiarul
unor
caracteristic
i
care
îl
diferen
țiază
fa
ță
de domeniile
opera
ționale
tradi
ționale
ale
aerului, maritim, terestru
și
spa
țiu
lui
cosmic.
Astfel
amenin
țările
cibernetice sunt
dificil de detectat
, greu de atribuit
și
ca urmare infrastructurile critice,
în
special
din domeniul militar,
sunt dificil de
apărat
împotriva unor adversari nevăzu
ți
și
imprevizibili.
Pentru a răspunde noilor tendin
țe de evoluție a complexului de amenințări la
adresa securită
ții SUA,
în
i
ulie 2011 Departamentul Apărării al SUA (
“
Department
of Defense
–
DOD
”
)
113
,
a
emis „Strategia de Operare
în
Spa
țiul Cibernetic”
(
“
Department of Defense Strategy for Operating
în
Cyberspace
”
)
114
care
prezintă
cinci ini
țiative strategice:
a
)
Tratarea spa
țiului virtual ca
și
un alt domeniu opera
țional.
b
)
Angajarea de noi concepte opera
țional
e pentru a proteja re
țelele DOD.
c
)
Parteneriatul cu alte
agen
ții
guvernamentale ale SUA
și
cu sectorul privat.
d
)
Construc
ția de relații cu aliații militari ai SUA
și
a partenerilor
interna
ționali
în
scopul consolidării securită
ții cibernetice.
e
)
Încurajarea inov
ării
și
a capacita
ților naționale de cercetare/dezvoltare
prin formarea speciali
știlor
în
domeniul cibernetic
și
prin sus
ținerea cercetării
și
implementării rapide de noi tehnologii.
Strategia
este
considerată și
o declara
ție politică semnificativă
în
dome
niul
apărării
în
primul rând
datorită
faptului
că
ea include spa
țiul virtual
în
categoria
spatiilor opera
ționale
și
în
al doilea rând
datorită
declarării unui număr de cinci
ini
țiative strategice
în
scopul men
ținerii capacității de apărare a SUA
în
fa
ța
am
enin
țărilor cibernetice emergente.
În
conformitate cu strategia Departamentului
113
http://www.defense.gov/
,
accesat l
a data de 22.03.2016.
114
DEPARTMENT OF DEFENSE STRATEGY FOR OPERATING IN CYBERSPACE, iulie
2011, disponibil online la
http://csrc.nist.gov/groups/SMA
/ispab/documents/DOD
–
Strategy
–
for
–
Operating
–
in
–
Cyberspace.pdf
,
accesat la data de 22.03.2016.
NECLASIFICAT
NECLASIFICAT
87
din
284
Apărării
,
apărarea va cuprinde concepte de operare noi, parteneriate
între
guvern
și
industrie care nu se vor limita numai la domeniul cercetării
și
dezvoltării,
parteneriate i
nterna
ționale cu
alia
ții
SUA,
în
special
în
domeniul detec
ției de tip
„avertizare timpurie”,
și
în
special
direc
ții de acțiune pentru formarea specialiștilor
în
domeniul
securită
ții cibernetice atât
în
partea
operativă
,
cât
și
în
componenta de
cercetare/de
zvoltare.
În
ultimii ani
re
țelele
de calculatoare au devenit
esen
țiale
pentru
func
ționarea
corespunzătoare a componentelor guvernamentale ale SUA
și
în
special a celor militare. Potrivit declara
ției
Secretarului Apărării al SUA,
Robert
M. Gates,
în
DOD fu
nc
ționează „
mai mult de 15.000 de re
țele la nivel local,
regional,
și
aproximativ
șapte milioane de dispozitive din tehnologia informației
(IT).
”
115
.
Dependen
ța tot mai mare,
mai ales
pe vectorii decizionali, de re
țelele de
calculatoare creează oportunită
ți
pentru na
țiunile străine, teroriști,
și
organiza
ții
de
criminalitate
informatică
care testează zi
lnic infrastructura I
C
T a DOD
în
scopuri
care variază de la simpla evaluare a capacită
ții de apărare a rețelelor militare ale
SUA
până
tenta
ția obținerii unor
secrete militare
și
tehnologice.
La baza elaborării Strategiei de Operare
în
Spa
țiul Cibernetic au stat o serie
de documente strategice care plasează strate
gia DOD într
–
o evolu
ție firească
a
ideilor
și
temelor din domeniul apărării cibernetice a SUA, aces
te documente
și
temele principale pe care le abordează
fiind
prezentate
în
tabelul nr.
1.
3
.
Din analiza
noastră
, se pare
că
cea mai mare
influen
ță
la
elaborarea
acestei
strategii a avut
–
o „
Strategia Na
țională Militara pentru Operațiuni
în
Spa
țiul
Cibernet
ic
”
116
, care a fost la acel moment
focalizată
în
mod specific pe securitate
cibernetică
, temele principale fiind reluate la elaborarea strategiei din
anul
2011.
115
Robert M. Gates, “Submitted Statement to Senate Armed Services Committee,”, audiere în
fa
ța Senatului SUA, 27 ianuarie 2009, p. 8.
116
National Military Strategy
for Cyberspace Operations, disponibil la
http://nsarchive.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber
–
023.pdf
, accesat la data de
22.03.2016.
NECLASIFICAT
NECLASIFICAT
88
din
284
Tabelul nr.
1.
3
:
Documente premergătoare elaborării Strategiei de Operare
în
Spa
țiul
Cibernetic
și
principalele teme din domeniul
cibernetic abordate de acestea
Nr
.
crt
.
Data
Denumirea
documentului
Tema
majoră
tratata relativ la securitatea
cibernetică
1
f
ebruarie
2003
Strategia Na
țională
pentru Securizarea
Spa
țiului Cibernetic
(
The National
Stra
tegy to Secure
Cyberspace
)
117
a
)
Securitatea
cibernetică
na
țională.
b
)
Sistemul de răspuns la incidente cibernetice.
c
)
Reducerea vulnerabilită
ților la atacuri cibernetice.
d
)
Securitate
cibernetică
și
con
știentizarea
publică
.
e
)
Securizarea spa
țiului cibernetic guvernamen
tal.
f
)
Cooperare na
țională
și
interna
țională.
2
2004
Strategia Na
țională
Militară
a SUA
(
The National
Military Strategy of
the United States of
America
)
118
a
)
Unificarea comenzii opera
țiilor militare
în
domeniile
naval, terestru, aerian, pe spa
țiul cosmic
și
pe
cel
cibernetic.
3
d
ecembrie
2006
Strategia Na
țională
Militara pentru
Opera
țiuni
în
Spa
țiul
Cibernetic
(
The National
Military Strategy for
Cyberspace
Operations
)
119
a
)
Investi
ții
în
știință
și
tehnologie.
b
)
Pregătirea speciali
știlor
în
domeniul cibernetic.
c
)
Par
teneriatul cu industria.
d
)
Integrarea capabilită
ților din domeniul cibernetic
în
opera
țiunile militare clasice.
e
)
Construc
ția capacității de apărare
și
răspuns
în
domeniul cibernetic.
f
)
Managementul riscurilor cibernetice.
4
2009
Planul National de
Protec
ție
al
Infrastructurii Critice
al Departame
ntului
pentru Securitate
Intern
ational
Infrastructure
Protection Plan of
Department
of
Homeland
Security
)
120
a
)
Construc
ția de parteneriate public
–
private pentru
abordarea amenin
țărilor la adresa infrastructurilor critice.
117
The National Strategy To Secure Cyberspace
, disponibil online pe
www.us cert.gov/reading_room/cyberspace_strategy.pdf
, accesat la data de 11.04.2016.
118
The National Military Strategy of the United States of America
,
2004, disponibil online pe
http://archive.defense.gov/news/Mar2005/d20050318nms.pdf
,
accesat la data de 11.04.2016.
119
The National Military Strategy for Cyberspace Operations
, disponibil online pe
http://nsarchive.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber
–
023.pdf
,
accesat la data de
11.04.2016.
120
National Infrastructure Protection Plan 2009, disponibil online la
www.dh
s.gov/xlibrary/assets/NIPP_Plan.pdf
, accesat la data de 11.04.2016.
NECLASIFICAT
NECLASIFICAT
89
din
284
Nr
.
crt
.
Data
Denumirea
documentului
Tema
majoră
tratata relativ la securitatea
cibernetică
5
f
ebruarie
2010
Raportul Trimestrial
pentru Apărare
(Quadrennial
Defense Review
Report)
121
a
)
Rezilien
ța infrastructurilor de comunicații.
b
)
Construc
ția capacității de apărare
și
răspuns
în
domeniul cibernetic.
c
)
Centralizarea opera
țiilor de apărare
și
răspun
s
cibernetic.
a
)
Ini
țierea de parteneriate internaționale
în
domeniul
apărării cibernetice
.
6
m
ai 2010
Strategia Na
țională
de Securitate
(National Security
Strategy)
122
a
)
Pregătirea speciali
știlor
în
domeniul cibernetic.
b
)
Promovarea investi
țiilor
în
tehnologie.
c
)
Rezilien
ța infrastructurilor de comunicații.
d
)
Ini
țierea de parteneriate internaționale
în
domeniul
apărării cibernetice.
e
)
Construc
ția de parteneriate public
–
private pentru
abordarea amenin
țărilor la adresa infrastructurilor critice.
7
m
ai 2011
Strategia
Int
erna
țională pentru
Spa
țiul Cibernetic
(International
Strategy for
Cyberspace)
123
a
)
Ini
țierea de parteneriate internaționale
în
domeniul
apărării cibernetice.
b
)
Construc
ția de parteneriate public
–
private pentru
abordarea amenin
țărilor la adresa infrastructurilor
critice.
c
)
Rezilien
ța infrastructurilor de comunicații.
d
)
Construc
ția capacității de apărare
și
răspuns
în
domeniul cibernetic.
e
)
Descurajarea
cibernetică
.
f
)
Libertatea de exprimare
în
spa
țiul virtual.
Premergător anun
țării acestei strategii
,
Secretarul Adjunct
al
Apărării
,
William J. Lynn III, a publicat
în
luna
s
eptembrie 2010
în
revis
ta „Foreign Affairs”
cu titlul „
Apărarea
Noului Domeniu”, ale cărui concluzii sunt un sumar al
„Strategiei de Operare
în
Spa
țiul Cibernetic” din
i
ulie 2011, el fiind de părere
că
„… aceste risc
uri din spa
țiul cibernetic au co
ndus la situa
ția pentru care
Pentagonul a creat o noua strategie pentru securitate
cibernetică
. Elementele
principale ale acestei strategii sunt construirea unei infrastructuri pentru
pregătirea, echiparea
și
comanda for
țelor de apărare
cibernetică
; crearea unor
zone de protec
ție
cibernetică
care au un cen
tru puternic de apărare activă
;
utilizarea tuturor capabilită
ților militare pentru suportul altor departamente
în
121
Quadrennial Defense Review Report
, disponibil online
www.defense.gov/qdr/images/QDR_
as_of_12Feb10_1000.pd
f
,
mai 2010, accesat la data de 11.04.2016.
122
National Security Strategy
, disponibil online la
www.whitehouse.gov/sites/default/
files/rss_viewer/nation
al_security_strategy.pdf
,
accesat la data de 11.04.2016.
123
International Strategy fo Cyberspace
, mai 2011, disponibil online pe www.white.house.gov/
sites/default/files/rss_viewer/internationalstrategy_cyberspace.pdf, accesat la data de 11.04.2016.
NECLASIFICAT
NECLASIFICAT
90
din
284
efortul de securizare al propriilor infrastr
ucturi cibernetice
care sunt conectate
sau fac parte din infrastructura
critică
a SUA; de a construi sistemul de apărare
colectivă
împreună cu alia
ții SUA
și
de a
investi
în
dezvoltarea
rapidă
a unor
capabilită
ți adiționale de apărare
cibernetică
”,
scopul
acestei strategii fiind
în
principal acela de ridica spa
țiul virtual la un nivel de securitate confortabil astfel
încât
inova
țiile
și
dezvoltările sale
să
poată spori atât securitatea na
țională a
Statelor Unite
,
dar
și
securitatea
să
economică
.
Ca urmare a
acestei strategii au fost luate o serie de decizii opera
ționale
și
organiza
ționale.
Astfel
datorită
Strategiei Na
ționale
Militare
a SUA din
anul
200
0
,
prin care spa
țiul virtual a fost tratat ca
și
spa
țiu operațional, DOD a înființat
în
anul
2010
„
Comandam
entul Cibernetic
–
USCYBERCOM” ca
și
subunitate
operativă
în
cadrul „Com
andamentului Strategic al SUA
–
USSTRATCOM
”
, aflat
în
coordonarea
directă
Secretarului Apărării la SU
A.
USCYBERCOM este responsabil de coordonarea
structurilor militare
relevante
, cum
ar fi Centrul de Comand
ă
Cibernetică
al Ar
matei (U.S. Army Cyber
Command)
, Centrul de Comand
ă
Cibernetică
al Marinei (U.S. Fleet Cyber
Command), componente din ca
dr
ul Flotei a 10
–
a, compon
ente din cadrul brigăzii
24 For
ț
e Aeriene
, Centrul de Comandă
Cibern
etică
al Gărzii
de Coastă
. Pentru
asigurarea unei cooperări eficiente maximizarea
utilizării
resurselor
și
pentru
asigurarea componentei de intelligence prin cooperare cu Agen
ția Națională de
Securitate, Comandantul USCYBERCOM îndepline
ște
și
func
ția de di
rector al
Agen
ției Naționale de Securitate
–
NSA
și
aceea de
șef
în
Serviciul National de
S
ecuritate
–
CSS.
Pe scurt, aceasta strategie este
construită
pe baza a trei ipoteze
:
a
)
DOD trebuie
să
fie
capabilă
să
opereze cu aceia
și
performan
ță
atât
în
spa
țiul vi
rtual
,
cât
și
în
alte domenii, astfel;
b
)
Misiunile trebuie
să
aibă un grad satisfăcător de succes indiferent de
adversitatea spa
țiului cibernetic
în
care se operează;
c
)
Aceasta ini
țiativă se dorește a fi
și
un mesaj
atât către alte agen
ții
guvernamentale de p
e teritoriul sau din subordinea guvernului Statelor Unite,
cât
și
NECLASIFICAT
NECLASIFICAT
91
din
284
către alte
țări
privind gravitatea agresiunilor
în
spa
țiul
cibernetic
și
un eventual
răspuns
la atacurile
cibernetice.
Datorită
faptului
că
opera
țiunile cibernetice tind
să
fie utilizate pe
scară
largă
este de a
șteptat
că
ele
să
devină
o parte
critică
a conflictelor militare ale
viitorului, cu un impact major asupra efortului
și
timpului de atingere a
obiectivelor, acest aspect for
țând DOD
să
depună eforturi pentru a avea libertatea
de a ac
ți
ona dincolo de limitele civile. Aceasta militarizare a
spa
țiului
virtual a
arătat
câteva
aspecte care nu sunt acoperite
în
mod specific de actuala strategie.
Primul aspect de
referă
la
faptul că
în
actuala strategie nu sunt definite
în
mod
specific limitel
e
în
cadrul cărora spa
țiul cibernetic poate fi considerat sub
jurisdic
ție militară, controversele relativ la acest aspect fiind legitimate
în
special
de
faptul că
cea mai mare parte a infrastructurilor critice care pot avea valoare
militară
sunt de
ținute
ș
i
operate de sectorul privat. Al doilea aspect se
referă
la
modul
în
care un atac cibernetic va justifica declan
șarea unui răspuns militar.
Aceste critici sunt
bazate
în
special de
faptul că
,
în
cazul criminalită
ții cibernetice
transfrontaliere,
ini
țierea
unei agresiuni se poate face de pe teritoriul unui stat al
cărui
autorită
ți
nu au
niciun
fel de
contribu
ție
,
iar
în
cazul agresiunilor complexe
este imposibil
să
se facă diferen
ța
între
criminalitatea
cibernetică
și
spionajul
cibernetic. Un al treilea aspe
ct care a produs foarte multe critici la adresa acestei
strategii a fost
faptul că
DOD nu si
–
a impus
niciun
fel de restric
ții privind
evoluția
unui răspuns militar la o agresiune
cibernetică
către un conflict militar escaladat
prin acte de război reciproce
și
inutile
și
fără
legătură
cu cauza ini
țiala. Față
de
aceste aspecte
Secretarul Adjunct al Apărării,
William J. Lynn a spus
:
„
Statele Unite î
și
rezerv
ă
dreptul, sub legile conflictului armat,
să
răspundă
la atacuri cibernetice serioase cu ac
țiuni militar
e propor
ționale
și
justificate la o
dată
și
î
ntr
–
un loc care rămân la alegerea noastră
”
124
.
Examinând limitele câmpului de
luptă
cibernetic,
observăm
că
o analiză
pertinentă
se poate face pe trei verticale: cea fizica, cea logica
și
cea
124
Pent
agon Unveils New Offensive Cybersecurity Strategy
, Washington, DC RFE/RL, 15 iulie
2011, disponibil online la
http://www.rferl.org/content/penta
gon_unveils_new_offensive_
cybersecurity_strategy/24266548.html
,
accesat la data de 11.04.2016.
NECLASIFICAT
NECLASIFICAT
92
din
284
organiza
țională.
În
d
imensiunea fizica grani
țele pot fi recunoscute
în
mod legal,
de
jure,
ca
și
grani
țele dintre
țări
sau
de facto,
cum ar fi împăr
țirea terenului
între
două
unită
ți aparținând aceleia
și
armate. Considerând spa
țiul cibernetic internațional ca
un tot unitar, a
ceste defini
ții sunt extrem de greu de aplicat, însă
dacă
vom
considera internetul ca
și
o colec
ție de rețele
și
capacită
ți cu configurații
diferite,
atunci aceasta analiză
are sens
. Pentru DOD acest lucru poate fi orice sistem cu
extensiile „.gov” sau „.m
il”
indiferent
dacă
ele sunt amestecul
dintre logic sau
fizic. Rămâne
,
totu
și
,
în
dezbatere situa
ția răspunsului DOD
în
cazul
în
care alte
domenii care nu sunt sub jurisdic
ția DOD sau nu aparțin guvernului Statelor Unite
sunt atacate
,
iar întreruperea func
ționarii sau compromiterea lor afecte
ază
func
ționarea unor domenii „
.
gov” sau „.mil”.
În
privin
ța apărării active am observat
faptul că
strategia nu explica modul
în
care
apărarea activă va fi executată
și
nici cine va furniza tehnologia
necesară
,
acest a
spect nefiind mai degrabă o scăpare a strategiei
dacă
este privită
în
contextul
cooperării interna
ționale
și
al partene
riatelor public
–
private. Această
ini
țiativă
strategică
solicită
sus
ținerea
parteneriatel
or public
–
private la nivelul SUA
,
deoarece
anali
ș
tii
americani sunt de
părere
că
dependen
ța
de canalele logistice de
aprovizionare cu tehnologie
afectează aspecte critice atât ale misiunii DOD
,
cât
și
al altor componente guvernamentale, însă recunoa
ște
faptul că
parteneriatele
public
–
private nu vor fi in
i
țiate de la sine din pricina divergentei intereselor.
Ca un
exemplu de recunoa
ștere al dificultăților de operare a parteneriatelor public
–
private
în
industria de apărare pe specificul apărării cibernetice, strategia descrie un
parteneriat
public
–
privat ex
istent cu B
aza Industrială
de
Apărare
(
Defense
Industrial Base
–
DIB
), având ca obiectiv mărirea gradului de protec
ție al
informa
țiilor clasificate.
Progrese semnificative au fost făcute
și
în
mărirea nivelului de cooperare
între
agen
ții.
Dacă
la
începutul
anilor 2000
câteva
agen
ții
,
For
țele
Aeriene,
Departamentul
Siguran
ței
Teritoriului
–
DHS,
Agen
ția
Na
țională
de Securitate
–
NSA
și
Biroul Federal de
Investiga
ții
FBI
–
î
și
disputau autoritatea privind
apărarea
cibernetică
,
în
prezent brigada 24 a
For
țelor
aeriene este
componentă
NECLASIFICAT
NECLASIFICAT
93
din
284
opera
țională
a lui USCYBERCOM, DOD
beneficiind
de un acord cu DHS
în
privin
ța
securită
ții
cibernetice
125
,
iar
Agen
ția
Na
țională
de
Securitate
–
NSA
fiind
legată
opera
țional
de USCYBERCOM,
având
acela
și
director.
Acordul dintre DOD
și
DHS este un exemplu pentru
faptul că
această
strategie
tratează
teza
apărării
cibernetice ca un tot unitar la nivel
guvernamental
.
De
și
DOD este limitat la
apărarea
sistemelor cibernetice militare, acordul permite
capabilită
ților
de
război
cibernetic ale
DOD
să
ajute
în
mod activ
DHS
–
ul
să
protejeze re
țelele domestice
și
infrastructura
critică
. Pentru implementarea
completa a acestei strategii este necesar nu numai
să
se încheie mai multe astfel de
acorduri, dar
și
să
se precizeze modul
în
care agen
țiile p
ot coopera men
ținând
în
acela
și
timp o separa
ție
între
responsabilită
țile
și
misiunile lor individuale
126
.
Strategia DO
D avertizează asupra faptului că
degradarea opera
țiunilor din
spa
țiul virtual poate interfera cu succesul misiunilor militare clasice.
As
tfel pentru
a învă
ța
să
opereze î
ntr
–
un mediu virtual ostil din spa
țiul cibernetic, așa numitele
„echipe ro
și
i”, echipe de răspuns la incidente cibernetice
și
de testare a
infrastructurii informatice
,
să
desfă
șoare jocuri de război cum este de exemplu
„
Cyb
erStorm
”
127
.
În
privin
ța componentei internaționale a cooperării, prezenta strategie
vizează
în
primul rând parten
erii
și
alia
ții SUA pentru elaborarea
unei politici de
autoapărare
și
descurajare
colectivă
, prin schimbul
în
timp util de informa
ții cu
privi
re la evenimentele din spa
țiul cibernetic, apariția semnăturilor de cod malițios,
precum
și
prin schimbul de
informa
ții despre actorii
și
amenin
țările emergente.
Avantajele cooperării interna
ționale în domeniul securității cibernetice sunt
evidente, no
țiun
ea apărării colective fiind
abordată
de majoritatea documentelor
125
Memorandum of agreement between the department of homeland security and the department
of defense regarding cybersecurity
, disponibil online la
https://www.dhs.gov/
xlibrary/assets/20101013
–
dod
–
dhs
–
cyber
–
moa.pdf
,
accesat la data de 11.04.2016.
126
Peter Fox,
Domestic Cybersecurity Requires Clearer Federal Roles and Responsibilitie
s
,
martie 2012, disponibil la www.americanbar.org/content/dam/aba/ publications/law
_practice_today/domestic
–
cyber
–
security
–
requires
–
clearer
–
federal
–
roles
–
and
–
responsibilities.authcheckdam.pdf, accesat la data de 11.04.2016.
127
Cyber Storm: Securing Cyber S
pace
, Washington, DC: Department of Homeland Security,
disponibil la
https://www.dhs.gov/cyber
–
storm
, accesat la data de 11.04.2016.
NECLASIFICAT
NECLASIFICAT
94
din
284
guvernamentale din ultimii 10 ani. De
și
conceptul de apărare colectivă
cibernetică
este prezent ca
și
concept de apărare
în
termeni generali
în
Strategia Na
țională
pentru Securizarea Spa
țiulu
i Cibernetic din
anul
2003, e
l se regăse
ște pentru prima
dată
în
documentele Organiza
ției Tratatului Atlanticului de Nord (NATO), înființat
în
anul
1949.
Datorită
faptului
că
există o legătură
strânsă
între
speciali
știi care elaborează
strategiile de apăra
re
cibernetică
ale SUA
și
cei ai NATO, putem observa o
legătură conceptuală
între
conceptul de apărare
colectivă
cuprinsă
în
ini
țiativă
a
patra din „Strategia de Operare
în
Spa
țiul Cibernetic”
și
clauza „Articol 5” din
tratatul NATO referitoare la apărarea
colectivă
. Spre exemplu
când
guvernul
estonian a decis
în
anul
2007
să
mute
monumentul „Soldatului de Bronz” de la
Tallinn a decla
nș
at nu numai proteste masive ale diploma
ției ruse, dar
și
un val de
atacuri cibernetice de tip „
Denial of Service
–
DDoS
”
128
a
u lovit site
–
urile web ale
Parlamentului Estoniei, bănci, ministere,
și
mass media
129
.
Ministerul e
stonian de externe a acuzat imediat guvernul rus de
responsabilitate, ridicând la nivelul Consiliului NATO
dacă
țările
membre NATO
ar trebui
să
invoce princip
iul răspunderii colective
în
cazul u
nor atacuri cibernetice
la scară
na
țională. Experți NATO trimi
și
în Estonia a concluzionat că atacurile
DDoS nu au fost suficient de grave pentru a invoca un răspuns de tip „Articol 5”,
dar au avertizat asupra
necesita
ți
i elaborării unor defini
ții juridice clare privind
atacurile cibernetice, care pot declan
șa un răspuns de tip
„Articol 5”
,
apărare
reciprocă.
Evolu
ția
conceptului de apărare reciprocă
, prezent
în
tratatul NATO, către
conceptul de apărare
cibernetică
colec
tivă
prezent
în
„Strategia de Operare
în
Spa
țiul Cibernetic” a fost determinat nu numai de depolarizarea principalelor
centre de putere de la începutul anilor 90
,
dar
și
de globalizarea accelerată
a
economiei din ultimii 20 de ani, strategii americani treb
uind
să
țină
cont nu numai
128
http:/
/www.digitalattackmap.com/understanding
–
ddos/
,
accesat la data de 11.04.2016.
129
Denial
–
of
–
Service: The Estonian Cyberwar and Its Implications for U.S. National Security
–
International Affairs Review
, disponibil online la
http://www.iar
–
gwu.org/node/65
,
accesat la
data de 11.04.2016.
NECLASIFICAT
NECLASIFICAT
95
din
284
de caracterul asimetric al războiului cibernetic purtat de către celulele teroriste de
tip Al
–
Qaeda
,
dar
și
de componen
ța
impactului economic asupra na
țiunii americane
din momentul declan
șării unui răspuns
militar asupra unui agr
esor cibernetic. Spre
exemplu, China este un puternic investitor
în
activele SUA, iar
economică
chineza
depinde
în
mod critic de comer
țul cu Statele Unite, însă cu toate acestea China
este, conform rapoartelor industriei de apărare
130
, pe deplin implicata
în
activită
ți
de spionaj cibernetic.
Având
în
v
edere argumentele anterioare, suntem de părere
că
versiunea
neclasificată a
„Strategiei de Operare
în
Spa
țiul Cibernetic” nu f
ace o delimitare
clară
între
liniile directoare ale conceptului de răspuns adecvat,
nu fixează pragul
de declan
șare al unui răspuns militar
și
nici nu define
ște ceea ce se califica drept
utilizarea for
ței, lăsând astfel libertate de acțiune atât diplomației militare
și
utilizării de ac
țiuni de „răspuns adecvat” ale componentelor de intell
igence, dar
în
acela
și
timp
trecând responsabilitatea deciziei declan
șării unui răspuns militar
adecvat sectorului politic
și
pre
ședintelui.
Întrebarea
care rămâne este
dacă
aceasta strategie este
adecvată
pentru a
pune la dispozi
ția președintelui un meca
nism decizional coerent
pentru activarea
acestui „răspuns adecvat”
.
Viziunea prin care o strategie
de apărare cib
ernetică na
țională este completă
este descrisă
de GAO
în
următoarele puncte
131
:
a
)
i
nclude obiective strategice bine definite;
b
)
o
feră obiective u
șo
r de în
țeles pentru guvern
și
sectorul privat.
130
Occupying the Information High Ground: Chinese Capabilities for Computer Network
Operations and Cyber Espionage, U.S.
–
China Economic and Security Review Commission,
Baltimore, M
D: Northrop Grumman Corp, 7 martie 2012, disponibil online la
http://origin.www.uscc.gov/site
s/default/files/Research/USCC_Report_Chinese_Capabilities_for
_Computer_Network_Operations_and_Cyber_%20Espionage.pdf
, accesat la data de 11.04.2016.
131
Cybersecurity a Better Defined and Implemented National Strategy Is Needed to Address
Persistent Challen
ges
–
Statement of Gregory C. Wilshusen, Director Information Security
Issues before the Committee on Commerce, Science, and Transportation and the Committee on
Homeland Security and Governmental Affairs, U.S. Senate disponibil online la
http://www.gao.gov
/assets/660/652817.pdf, accesat la data de 14.04.2016.
NECLASIFICAT
NECLASIFICAT
96
din
284
c
)
a
rticulează priorită
țile apărării cibernetice
în
acord cu obiectivele
strategiei.
d
)
o
feră o viziune futuristă
a ceea ce ar trebui să fie spa
țiul virtual securizat.
e
)
u
rmăre
ște integrarea capabilităților guvernulu
i federal.
f
)
s
tabile
ște valori metrice pentru a măsura progresul implementării
strategiei.
g
)
a
sigură mecanisme de
corec
ție
și
atribuie
responsabilitatea în cazul unor
derapaje de progres
.
Actuala strategie a DOD e
șuează
în
toate aceste puncte. De exemplu nu s
unt
în
niciun
fel clare enun
țurile desp
re priorită
ți, viziune futuristă
, metrica de progres
sau procedurile de punere
în
aplicare
și
cele de atribuire a responsabilită
ții, de
aceea este important de analizat
faptul că
în
acest
moment există
o puternică
pre
siune din partea centrelo
r nonguvernamentale de expertiză
strategică
pentru
actualizarea acestei strategii. Ca exemplu RAND Corporation, institu
ție non
–
profit
care ajută la îmbunătă
țirea politicilor
prin cercetare
și
analiză decizională
, a
prezentat la 29
s
eptembrie 2015
„
Perspectiva la 2015 a Strategiei de Operare în
Spa
țiul Cibernetic a Departamentului Apărării al
SUA
”
132
în
care
arată
faptul că
orice strategie de apărare
cibernetică
trebuie
să
evolueze
în
mod constant pentru a
se adapta nu numai evolu
ției
tehnologice
și
a impactului fenomenului de
globalizare, dar
și
pentru a face
fa
ță
schimbărilor privind modelele
și
mecanismele
care stau la baza amenin
țărilor cibernetice.
Lara Schmidt, autoarea acestui raport face o serie de recomandări la
elaborarea noi
i strategii:
a
)
e
laborarea
de planuri detaliate pentru implementarea
fiecărei
ini
țiative
strategice
.
b
)
d
etalierea opera
țională a procedurilor privind modul de a găsi soluții la
provocările practice,
în
special
în
segmentul de aplicare a tehnologiilor avansate
132
Lara Schmidt,
Perspective on 2015 DoD Cyber Strategy
, RAND Office of External Affairs,
CT
–
439 September 2015, Testimony presented before the House Armed Services Committee on
September 29, 2015, disp
onibil online la
http://www.rand.org/content/dam/rand/
pubs/testimonies/CT400/CT439/RAND_CT439.pdf
,
accesat la data de 14.04.2016
NECLASIFICAT
NECLASIFICAT
97
din
284
p
entru robuste
țea
și
rezilien
ță rețelelor cibernetice pe o
scară largă
, detectarea cu
precizie a atacurilor cibernetice
și
prevenirea penetrării sistemelor cibernetice
în
timp real, stabilirea de stimulente eficiente pentru schimbul de informa
ții din
sector
ul privat.
c
)
c
rearea unui mecanism strategic care
să
fie capabil
să
elaboreze tactici de
apărare
și
răspuns pentru a aborda tipuri diferite de adversari care au capacită
ți,
abilită
ți
și
obiective diferite.
d
)
e
laborarea unor mecanisme eficiente pentru a stimula
inova
țiile
tehnologice
și
transpunerea rezultatelor cercetării
în
produse utilizate pentru
apărare
cibernetică
.
e
)
p
ropuneri de noi
direc
ții
strategice de
apărare
cibernetică
, cum ar fi cea de
descurajarea
agresorilor cibernetici.
S
trategia DOD
acoperă
în
pr
incipal
activită
ți
care sunt deja
în
curs de
desfă
șurare
și
care nu sunt probabil mult diferite de
activită
țile
curente
desfă
șurate
de alte
na
țiuni
, aceasta
neglijează
atât
identificarea avantajelor
și
resurselor unice
pe care le are SUA
în
domeniul cibern
etic
,
dar
și
modul
în
care acestea pot fi puse
în
valoare pentru a
men
ține
superioritatea SUA.
În
lipsa unei strategii unice, SUA poate fi capabil
ă
să
î
și
construiască
capabilită
ți defensive
și
ofensive eficiente, dar se
confruntă
cu riscul de a pierde un
avantaj superior
dacă
alte
na
țiuni
ajung la
acelea
și
capabilită
ți
făcând
acelea
și
l
ucruri.
Considerată una dintre cele mai bine puse la punct organiza
ții
guvernamentale, Departamentul A
părări al Statelor Unite a
transmis odată
cu
publicarea „Strategiei de
Operare
în
Spa
țiul Cibernetic”,
un mesaj puternic către
publicul american, alte agen
ții guvernamentale, sectorului privat
și
altor na
țiuni,
cel mai important fiind
acela
că
DOD
ia
în
calcul
în
mod serios
luarea de
măsuri
suplimentare pentru a men
ține supe
rioritatea Statelor Unite
în
spa
țiul ciberne
tic.
De asemenea este importantă
recunoa
șterea faptului
că
DOD nu poate
proteja singur spa
țiul cibernetic, astfel
odată cu deschiderea către cooperare
interna
țională,
DOD
devenind
o
organiza
ție
extrem de atrăgăt
oare pentru
NECLASIFICAT
NECLASIFICAT
98
din
284
parteneriate cu sectorul privat intern
și
interna
țional,
dar
și
cu componentele
guvernamentale ale altor na
țiuni care împărtășesc acelea
și
valori.
1.3.1.5. STRATEGIA CIBERNETICĂ A DEPARTAMENTULUI APĂRĂRII
AL SUA (2015)
La 23
a
prilie 2015, De
partamentul Apărării al Statelor Unite lansează o n
ouă
strategie cu scopul de a reactualiza politica
strategică
în
domeniul securită
ții
cibernetice a Pentagonului
în
acord cu ultimele evolu
ții ale amenințărilor
și
vulnerabilită
ților. Prin elaborarea acestu
i document, DOD a dorit
în
primul rând
să
devină
mai transparent
în
privin
ța doctrinei militare a SUA, rolurile
și
misiunile
DOD
în
spa
țiul virtual atât pentru a o comunicare
publică
mai
bună
, dar
și
pentru a
extinde politica declarativă pentru un conflict
cibernetic, ca parte a doctrinei de
descurajare.
În
contrast cu „Strategia de Operare în Spa
țiul Cibernetic a
Departamentului Apărării” din
anul
2011
,
care a făcut foarte pu
ține referiri la
capacită
țile cibernetice operaționale sau ofensive ale Pentagonul
ui, de
și
exista
u
scurgeri de docum
ente clasificate care conturau
clar politica
americană
de
planificare
și
execu
ție a operațiunilor cibernetice ofensive, strategia din
anul
2015
este foarte
detailată
și
la obiect
în
ceea ce prive
ște acest aspect.
Documentu
l include cinci obiective strategice cheie
și
folose
ște drept
orientare pentru implementarea
și
dezvoltarea structurilor operative cu specializare
în
domeniul cibernetic For
ța pentru Misiuni Cibernetice (
„
Cyber Mission Force
–
CMF
”
)
133
,
care
cuprinde un numă
r de 6200 de operatori virtuali
,
format
ă
din
militari, civili
și
personal contractual, din toate departamentele militare
și
componentele de apărare, având
în
principal trei misiuni strategice:
a
)
e
chipe de apărare ale infrastructurii proprii ale DOD.
133
FACT SHEET: THE DEPARTMENT
OF DEFENSE (DOD) CYBER STRATEGY, April
2015,
http://www.defense.gov/Portals/1/features/2015/0415_cyber
–
strategy/Department
_
of_Defense_Cyber_Strategy_Fact_Sheet.pdf
,
accesat la data de 02.05.2016.
NECLASIFICAT
NECLASIFICAT
99
din
284
b
)
e
chipe p
entru protejarea SUA
și
ale intereselor sale vitale
în
spa
țiul
interna
țional împotriva atacurilor cibernetice masive.
c
)
f
urnizarea unui spectru complet de capacită
ți cibernetice pentru
opera
țiunile militare.
Pentru îndeplinirea acestor trei tipuri de misiuni
, strategia fixează cinci
obiective strategice:
1
.
c
onstruc
ția
și
men
ținerea
în
stare de utilizare de
for
țe
și
capabilită
ți
pentru a efectua opera
țiuni
în
spa
țiul cibernetic.
2
.
a
părarea re
țelei de informații a DOD, securizarea datelor stocate
în
sistemele infor
ma
ționale ale DOD
și
reducerea riscurilor cibernetice referitoare la
misiunile DOD
.
3
.
DOD
să
fie pregătit pentru a apăra SUA
și
interesele vitale ale acesteia
împotriva atacurilor cibernetice având caracter perturbator sau distructiv cu
consecin
țe deosebit d
e grave.
4
.
c
onstruirea
și
men
ținerea unor opțiuni cibernetice viabile precum
și
planificarea utilizării acestor op
țiuni pentru a controla escaladarea conflictelor
și
modelarea mediului de conflict
în
toate etapele.
5
.
c
onstruc
ția
și
men
ținerea unor alianțe
și
p
arteneriate interna
ționale
robuste pentru descurajarea amenin
țărilor comune
și
cre
șterea securității
și
stabilită
ții internaționale.
Strategia este specific
ă
în
ceea ce prive
ște dimensiunea
, misiunile
și
categoriile de
for
țe
care compun For
ța pentru Misi
uni Cibernetice,
fiind
compusă
din patru tipuri de
echipe
: 68 de echipe pentru protec
ție
cibernetică
care vor avea
ca prioritate apărarea re
țelelor
și
sistemelor DOD împotriva amenin
țărilor majore,
13 echipe pentru misiuni na
ționale pentru apărarea SUA
și
a intereselor sale
împotriva atacurilor cibernetice cu consecin
țe deosebite, 27 de echipe combatante
care vor oferi suport comandamentelor de
luptă
prin generarea de efecte integrate
în
spa
țiul cibernetic pentru susținerea planurilor operaționale
și
opera
ț
iunilor de
interven
ție
rapidă
și
25 de echipe de suport care vor oferi suport
în
analiza
și
planificarea echipelor pentru misiuni na
ționale
și
echipelor combatante. Odată ce
NECLASIFICAT
NECLASIFICAT
100
din
284
vor fi completate cu personal, instruite
și
echipate,
până
în
anul 2018 toate aces
te
133 de echipe,
în
spe
ță aproape 6200 de militari
și
personal civil vor fi capabile
să
execute toate cele trei categorii de misiuni strategice. La capabilită
țile Forței pentru
Misiuni Cibernetice va fi adăugată
și
o
componentă
de rezervă
de aproape 2000
de
speciali
ști aflați
în
evidenta Gărzii Na
ționale ( US National Guard)
134
care pot fi
activa
ți
în
cazul unei crize.
În
opinia noastră
,
trei factori majori au determinat DOD
să
dezvolte o noua
strategie.
În
primul rând este vorba de gradul de severitate
și
d
e sofisticare al
atacurilor cibernetice împotriva intereselor vitale ale SUA
în
special a re
țelelor,
echipamentelor de procesare
și
stocare a informa
țiilor ale DOD. Deoarece DOD
este posesorul celei mai mari relele cibernetice, la nivel mondial este obliga
t
să
ia
măsuri
agresive pentru a securiza r
e
țelele
, a secretiza accesul la date
și
a reduce
riscurile cibernetice la misiunile operative ale DOD.
În
al doilea rând, prin
Directiva Politica Preziden
țială 20 (PPD
20
)
135
, emisă
în
o
ctombrie 2012, având
caracter
„
Strict Secret”
,
dar declasificată
în
i
unie 2013 prin expunerea
să
către
public de Edward Snowden
136
,
pre
ședintele Obama a împuternicit DOD
să
elaboreze
și
să
implementeze un plan strategic de a apăra na
țiunea împotriva
atacurilor cibernetice cu consecin
țe d
eosebit de grave, împreună cu alte agen
ții ale
guvernului SUA. Pentru aceasta noua misiune
în
care
„
Guvernul va identifica
poten
țiale ținte de importanță internațională, unde atacurile cibernetice pot oferi
un echilibru favorabil al eficacită
ții
și
a riscu
lui …
”
137
și
va
„… executa
opera
țiuni
sau programe asociate, altele decât apărarea, colectarea informa
țiilor din
sistemele cibernetice, destinate
să
producă efecte
în
afara re
țelelor cibernetice ale
guvernului Statelor Unite al Americii
,
în scopul de a apă
ra sau proteja interesele
134
https://www.nationalguard.com/, accesat la data de 02.05.2016.
135
Presidential Policy Directive PPF
–
20, disponibil online la
https://epic.org/privacy/cybersecurity/presidential
–
directives/presidential
–
policy
–
directive
–
20.pdf
,
accesat la data de 02.05.2016.
136
https://epic.org/privacy/cybersecurity/presidential
–
directives/cybersecurity.html
,
accesat la
data de 02.05.2016.
137
Memorandum of agreement between the department of homeland security and the department
of defense rega
rding cybersecurity
, disponibil online la
https://www.dhs.gov/
xlibrary/assets/20101013
–
dod
–
dhs
–
cyber
–
moa.pdf
,
accesat la data de 11.04.2016.
NECLASIFICAT
NECLASIFICAT
101
din
284
na
ționale împotriva amenințărilor iminente, atacurilor în curs de desfășurare sau
a altor tipuri de activită
ții cibernetice rău intenționate din interiorul sau din afara
spa
țiului cibernetic
”
138
, face ca
să
devină
evident
faptul că
DOD avea nevoie de o
noua gândire
strategică
. Ultimul factor care a determinat DOD
să
elaboreze o nouă
strategie a fost determinat de
faptul că
în
anul
2012 acesta a început
să
construiască
Fo
r
ța pentru Misiuni Cibernetice
–
CMF
,
iar pentru opera
ționalizar
e era nevoie ca
ea
să
fie integrată
în
politica de apărare a
SUA
printr
–
un document strategic care
oferă îndrumări clare pentru operarea
și
dezvoltarea acestui instrument.
Actuala strategie este
construită
din cinci concepte opera
ționale, care de
și
sunt p
rezente
și
în
alte documente cu voca
ție
strategică
ale DOD,
în această
strategie
ele sunt prezentate î
ntr
–
un concept integrat.
Primul concept identificat de noi este cel de descurajare ca func
ție de
perce
p
ție, pusă
în
practică
prin convingerea unui advers
ar
că
efortul de a efectua
un atac cibernetic depă
șește orice beneficii potențiale. Pentru îndeplinirea acestui
obiectiv DOD trebuie
să
dispună de capacită
ți robuste
și
gata de ac
țiune care
să
poată modifica comportamentul unui adversar prin modelarea medi
ului
,
controlând
escaladarea atacului
și
manipulând costurile acestuia, men
ținând
în
acela
și
timp un
nivel suficient de robuste
țe al rețelelor
și
sistemelor DOD astfel încât ele
să
continue
să
func
ționeze
în
parametrii satisfăcător chiar
și
în
timpul atacu
lui. Alte
instrumente precum negarea, capacitatea de adaptare
și
de răspuns sunt
componentele cheie a str
ategiei de descurajare holistică
a cărei extindere se poate
face cu succes doar
în
domeniul cibernetic.
Al doilea concept opera
țional identificat de c
ătre noi este cel de negare,
strategia direc
ționând DOD de a creste suficient capacitățile de negare a unui atac
cibernetic pentru a men
ține analiza cost
–
beneficiu a unui adversar
în
favoarea
DOD.
Al treilea concept opera
țional este cel de robustețe al si
stemelor
și
re
țelelor
informatice ale DOD. Mărirea gradului de robuste
țe al sistemelor cibernetice va
reduce interesul unui adversar pentru executarea unui atac
în
spa
țiul virtual
,
dar
și
138
https://fas.org/irp/offdocs/ppd/ppd
–
20.pdf
,
accesat la data de 02.05.2016.
NECLASIFICAT
NECLASIFICAT
102
din
284
va proteja capaci
tatea DOD de a executa misiuni î
ntr
–
un mediu c
ibern
etic degradat.
Dintr
–
o altă perspectivă
, standardizarea
și
asigurarea unui nivel minim de securitate
cibernetică
inclus
în
conceptul de robuste
țe al sistemelor DOD înseamnă
și
construc
ția de capacități redundante capabile
să
preia
în
timp real operarea
în
mediul cibernetic atacat.
Datorită
faptului
că
spa
țiul cibernetic din aria de
responsabilitate a DOD este
în
cele din
urmă
unul interna
țional, la construcția
redundantei sistemelor cibernetice critice ale DOD contribuie
și
alia
ții
și
partenerii
SUA, acesta
fiind unul dintre principalele motive pentru care DOD încurajează
cooperarea interna
țională cu aliații
și
partenerii SUA,
de
a căror infrastructuri
civile sau militare se poate folosi la un moment dat pentru execu
ția misiunilor sale.
Al patrulea concept
opera
țional pe care actuala strategie se bazează este
acela
că
în
cazul unui poten
țial atac cibernetic, SUA trebuie
să
fie
capabilă
să
răspundă folosind c
apabilită
ți cibernetice sau non
cibernetice pentru a produce
daune semnificative agresorului. Relativ l
a acest concept opera
țional, prezent
în
diferite forme
și
în
documentele strategice anterioare publicării prezentei strategii,
guvernul SUA s
–
a exprimat foarte clar
că
va răspunde
în
mod adecvat la un
moment, mod
și
loc la latitudinea acestuia, răspunsuril
e fiind particularizate pe
fiecare caz
și
în
acord cu legisla
ția internațională. Astfel aceasta strategie stabilește
responsabilitatea DOD de a dezvolta op
țiuni cibernetice pentru a tine un potențial
agresor
în
spa
țiul cibernetic la un nivel de risc maxim,
folosind
două
direc
ții de
ac
țiune, prima investind semnificativ
în
For
ța pentru Misiuni Cibernetice, inclusiv
în
sistemele de culegere
, analiză
și
sinteză
a informa
țiilor care împreună cu
sistemele de modelare
și
simulare asociate pot identifica modelul c
omportamental
al unui agresor
și
pot realiza
în
final un nivel confortabil de atribuire al unui
poten
țial atac cibernetic care poate justifica fără drept de contestare un răspuns
hibrid din partea SUA
. A doua direc
ție de acțiune
se referă la
crearea unei r
e
țele de
avertizare timpurie împreună cu alia
ții
și
partenerii SUA prin care, folosind
tehnologii de integrare a sistemelor partenerilor
și
alia
ților, atât cibernetice
,
cât
și
a
celor de intelligence, prin optimizarea fluxului de schimb al informa
țiilor
, a
cesta
să
poată fi capabil
să
realizeze atribuirea unui atac înainte de producerea lui efectivă,
NECLASIFICAT
NECLASIFICAT
103
din
284
adică încă din
faza de planificare al acestuia. Această tactică este singura eficientă
împotriva atacurilor de tip Amenin
țare Persistent
ă Avansată
(
„
Advanced Pe
rsistent
Threats
–
APT
”
)
139
.
Ulterior publicării acestei strategii, este de remarcat o reorientare al viziunii
strategilor Pentagonului privind conceptul de răspuns adecvat, deoarece
în
cele mai
multe cazuri capabilită
țile n
on
cibernetice pot oferi un răspun
s mai adecvat
și
eficace, guvernul SUA a început
să
revizuiască întreaga gama de op
țiuni de
răspuns,
incluzând angajarea diplomatică
,
măsuri
le de aplicare a legii
și
utilizarea
sistemelor de justi
ție internațională, sancțiunile economice
și
financiare, îns
ă
neexcluzând
niciun
moment capacită
țile cinetice de tip militar.
140
Al cincilea concept opera
țional este legat de focalizarea „Strategiei
Cibernetice a Departamentului Apărării al SUA” din
anul
2015
în
construc
ția unor
parteneriate durabile atât cu alia
ții
și
partenerii SUA, dar
și
cu organiza
ții statale
sau
nonstatal
e care împărtă
șesc acelea
și
valori fundamentale relativ la securitatea
și
libertatea de exprimare
în
spa
țiul cibernetic. Teza cooperării interne
și
interna
ționale, prezentă
și
în
Strategia de Op
erare în Spa
țiul Cibernetic a
Departamentului Apărăr
ii
din
anul
2011
și
în
documentele strategice intermediare
,
este
evocată
în
actuala strategie nu numai ca o necesitate de integrate inter
–
departamentală
,
în
special cu Dep
artamentul de Securitate Internă
și
cu
Departamentul de Justi
ție pentru combaterea amenințărilor cibernetice pe tot
spectrul de manifestare, de la criminalitatea
informatică
, terorism
până
la spionajul
cibernetic asupra infrastructurii DOD, dar
și
ca o prioritate cheie a securită
ții
na
țio
nale. Astfel DOD urmăre
ște
ca prin dezvoltarea tehnologică
, partajarea
informa
țiilor,
asisten
ța
privind implementarea unor mecanisme de revenire după
situa
ții de criza generate de atacuri cibernetice
să
devină
cât
mai atractiv posibile
139
Defending Against Advanced Persistent Threats: Strategies for a New Era of Attacks,
disponibil online la
http://www.ca.com/cn/~/media/Files/eBooks/defending
–
against
–
advanced
–
persistent
–
threats.pdf
,
accesat la data de 02.05.2016.
140
William A. Owens, Kenneth W. Dam, and Herbert S. Lin,
Technology, P
olicy, Law, and
Ethics Regarding,
U.S. Acquisition and Use of Cyberattack Capabilities, disponibil online la
http://sites.nationalacademies.org/cs/groups
/cstbsite/documents/webpage/cstb_050541.pdf
,
accesat la data de 02.05.2016.
NECLASIFICAT
NECLASIFICAT
104
din
284
pentru crearea unor
parteneriate solide cu na
țiuni partenere, aliați
și
alte organiza
ții
nonstatal
e
,
care prin capac
ită
țile, expertiza, poziția geo
strategică
sau pozi
ția
geo
economică
pot avea o contribu
ție la sistemul de apărare
cibernetică
colectivă
pe
care SUA îl promovează
în
mediul interna
țional.
Pe palier rela
țional
,
strategia se dore
ște a fi nu numai un document care
anun
ță schimbarea de abordare a DOD a relației cu Congresul SUA, dar
și
o
pledoarie pentru acesta din
urmă
de a participa nu numai prin sus
ținerea
propuneri
lor de buget ale DOD pentru implementarea
măsuri
lor cuprinse
în
prezenta strategie, dar
și
prin sus
ținerea adoptării unor propuneri legislative privind
schimbul de informa
ții referitor la securitatea
cibernetică
, notificarea încălcării
securită
ții datelor
și
suportul structurilor de intelligence privind culegerea de
informa
ții
în
scopul prevenirii unor atacuri cibernetice cu consecin
țe la adresa
securită
ții SUA
și
ale intereselor ei strategice. Dovada succesului acestei abordări
,
cu totul noi pentru DOD
,
o
constituie adoptarea de către Congres a Actului
Na
țional de Autorizare al Apărării
–
H.R. 1735
141
pentru anul fiscal 2016, care
reprezintă nu numai materializarea dorin
ței de sincronizării bugetare cu obiectivele
strategice ale prezentei strategii prin cvadr
uplarea cheltuielilor militare
în
domeniul
securită
ții cibernetice
,
dar
și
sus
ținerea Inițiativei de Reasigurare Europeană
142
inclusiv prin programe de îmbunătă
țire a capabilităților de apărare
și
răspuns
cibernetic ale alia
ților europeni ai SUA
și
integrare
a acestora
în
sistemul de apărare
colectivă
cibernetică
a SUA.
În
această noua strategie au fost identificate următoarele puncte cheie:
a
)
o
pera
țiunile ofensive
în
spa
țiul cibernetic au rol de instrumente ale puterii
militare a SUA.
141
https://www.congress.gov/bill/114th
–
congress/house
–
bill/1735
,
accesat la 02.05.2016.
142
EUROPEAN REAS
SURANCE INITIATIVE
–
Department of Defense Budget Fiscal Year
(FY) 2017, RefID: 9
–
5128E2F, disponibil online la
http://comptroller.defense.gov/
Portal
s/45/Documents/defbudget/fy2017/FY2017_ERI_J
–
Book.pdf
,
accesat la data de
02.05.2016.
NECLASIFICAT
NECLASIFICAT
105
din
284
b
)
o
biectivele opera
țiilor ci
bernetice includ re
țelele de
comandă
și
control
ale adversarului, infrastructurile critice asociate domeniului militar
și
capabilită
țile
de arme ale acestuia.
c
)
s
trategia nu impune limite explicite asupra activită
ții celorlalte agenții
guvernamentale din SUA
în numele cărora Centru de C
omanda
Cibernetică
–
USCYBERCOM
ar putea efectua opera
țiuni cibernetice, iar aceasta activitate nu
poate fi considerata una il
egală
.
Interesant de comentat este
faptul că
pe parcursul opera
țiunii „
Neptune
Spear
”
143
, care a avut c
a
țintă capturarea
și
executarea lui Osama Bin Laden a fost
sub comanda Agen
ției Centrale de Informații cu toate
că
DOD prin
Comandamen
tul pentru Opera
țiuni Speciale
–
USSOCOM (United States Special
Operations Command)
144
a furnizat majoritatea capabilită
țil
or opera
ționale folosite
în
aceasta misiune.
În
mod similar,
US
CYBERCOM
ar putea fi direc
ționat
în
viitor
pentru a putea oferi capabilită
ți cibernetice ofensive pentru comunitatea de
informa
ții.
d
)
În
cazul
în
care sunt luate
în
vizor infrastructuri critice a
le inamicului
care au o dubla utilizare,
militară
și
civilă
,
se
r
idică
problema planificării
opera
țiunilor cibernetice împotriva unor astfel de infrastructuri, deoarece astfel de
atacuri ar putea provoca pagube colaterale intereselor civile care nu sunt pa
re
în
conflict. Acest punct este
în
concordan
ță
cu o viziune prezenta
în
ultimii 50 de ani
în
doctrina
militară
americană
, aceea
că
infrastructura de suport pentru un război
constituie un obiectiv militar valabil
în
acord cu Conven
țiile de la Geneva,
însă
aceasta viziune se schimbă
complet
în
actuala strategie, atunci când infrastructura
militară
a SUA este
ținta unui atac cibernetic inițiat de un adversar care utilizează
spa
țiul virtual.
143
Garcez de Oliviera, LEGAL OPINION ON “THE NEPTUNE SPEAR OPERATION” THAT
LED TO THE DEATH OF BIN LADEN, University of Oslo, Faculty of Law, disponibil online
la
https://www.duo.uio.no/bitstream/handle/10852/34059/GARCEZxDExOLIVEIRA
_Masterxxcorrectedxfilex.pdf?sequence=3
,
accesat la data de 02.05.
2016.
144
United States Special Operations Command, disponibil online pe
http://www.afcea.org/events/pastevents/documents/M424Aug.pdf
,
accesat la data de 02.05.2016.
NECLASIFICAT
NECLASIFICAT
106
din
284
De asemenea
,
este interesant de observat
faptul că
în
ciuda orientăr
ii actualei
strategii
în
direc
ția îmbunătățirii imagini
i DOD, la o examinare mai atentă
,
cuvântul „ofensiv” apare doar de câteva ori
în
document, autorii strategiei
preferând
să
men
țină confuzia folosind sintagma „operațiuni cibernetice” atunci
când ar tre
bui folosite „opera
țiuni cibernetice ofensive”, prin urmare caracterul
ofensiv al unei opera
țiuni cibernetice rămâne deductiv
și
interpretabil.
În
legătură
cu acest punct
opinia
noastră este ca el nu reprezintă o scăpare a autorilor
,
ci
mai
degrabă o ac
țiu
ne deliberată
.
Un alt element cheie al noii strategii de apărare
cibernetică
este dat de
determinarea DOD de a îmbunătă
ți capabilitatea de atribuire a unei agresiuni
în
spa
ț
iul cibernetic, fiind subliniată
importanta atribuirii
în
scop de descurajare
și
a
necesita
ții colaborării continue cu agențiile de informații
și
cu companiile private.
Cu toate
că
beneficiile superiorită
ții informaționale sunt clare, mijloacele
atingerii acestui obiectiv nu sunt de multe ori realizabile a
șa ușor
în
realitate.
În
ulti
mii ani, asemenea multor structuri similare situate
în
alte zone geografice, DOD
a recurs la cumpărarea de tehnologie, atât hardware
,
cât
și
software, fără a avea un
plan
în
acord cu obiectivele strategice ale sale. Astfel, conform opiniei anali
știlor
de l
a RAND Corporation
145
, dezvoltarea capacită
ților cibernetice la nivelul
întregului DOD, este lipsit
ă
de coordonare, Armata, For
țele Aeriene, Forțele
Navale având propriile sale programe independente pentru construirea de
instrumente, platforme informatice
și
capabilită
ți.
Plecând de la aceasta realitate
,
noua strategie
cibernetică
conturează o
ini
ț
iativă de a dezvolta o platformă unificată
pentru opera
țiunile cibernetice
,
care
va integra platforme informatice
și
capabilită
ți disparate. Acest lucru nu numai
că
va necesita investi
ții semnificative în construirea de arhitecturi
și
instrumente
interoperabile
și
scalabile însă
se
va pune problema
în
ce tip de tehnologie va
145
Don Snyder, J
ames D. Powers, Elizabeth Bodine
–
Baron, Bernard Fox, Lauren Kendrick,
Michael H. Powell,
Improving the Cybersecurity of U.S. Air Force Military Systems Throughout
Their Life Cycles
, research reported here was prepared for the United States Air Force, Libra
ry
of Congress Control Number: 2015952790, ISBN: 978
–
0
–
8330
–
8900
–
7, Copyright 2015 RAND
Corporation.
NECLASIFICAT
NECLASIFICAT
107
din
284
investi DOD nu numai pentru a realiza integrarea acestor sisteme, dar
și
pentru a
men
ține r
ezilien
ța
celor actuale, având ca scop final cel pu
țin menținerea actualului
nivel de superioritate informa
țională la ni
velul fiecărui sector. Comparată
cu
celelalte documente strategice elaborate de DOD
,
premergătoare acestei strategii,
care pr
omovau mode
le de apărare clasică centrată
pe securizarea obiectivului sau
cel mult tactici de răspuns la agresiune, actuala strategie fixează ca nivel de
ambi
ție nu numai integrarea capabilităților cibernetice
în
planifi
carea opera
țiilor
militare, dar
și
îmbunătă
țiri
în
tehnologiile de
comandă
și
control pentru
opera
țiunile cibernetice, precum
și
dezvoltarea unor instrumente informatice de
modelare, simulare
și
analiză predictivă
pentru a testa, evalua
și
îmbunătă
ții
planurile de desfă
șurare a operațiilor cibernetice
înainte de execu
ție.
Ulterior publicării acestei strategii, Pentagonul spera
să
accelereze
cercetarea
și
dezvoltarea capacită
ților cibernetice,
inclusiv cercetarea fundamentală
în sectorul cibernetic
.
În
discursul să
u din aprilie 2015, de la universitate
a din
Stanford, unde a fost prezentat
ă
noua strategie
cibernetică
, Secretarul Apărării
Ashton Carter
146
a anun
țat nu numai disponibilitatea DOD pentru reînnoirea
parteneriatului cu Silicon Valley
,
dar
și
elaborarea unor programe de cooperare cu
industria
și
mediul academic pentru atragerea de cercetători talenta
ți care vor lucra
la programe de cercetare
și
dezvoltare a unor noi tehnologii de apărare
cibernetică
.
1.3.1.6. ANALIZA STRATEGIEI MILITARE NA
ȚIONALE A STATELOR
UNITE
ALE AMERICII (2015) DIN PERSPECTI
VA SECURITĂ
ȚII
CIBERNETIC
E
Strategia Militară Na
țională a Statele Unite ale Americii (
„
The National
Military Strategy of the
United States of America 2015
–
NMS
”
)
147
din
anul
2015
ilustrează
faptul
că aspectele legate de securitatea
cibernetică
, capabilită
ț
ile
146
http://
cisac.fsi.stanford.edu/news/secretary
–
defense
–
ashton
–
carter
–
unveils
–
cyber
–
strategy
–
calls
–
renewed
–
partnership
–
silicon
–
valley
,
accesat la data de 02.05.2016.
147
The National Military Strategy of the United States of America 2015, disponibil online pe
http://
www.jcs.mil/Portals/36/Documents/Publications/2015_National_Military_Strategy.pdf,
accesat la data de 26.05.2016.
NECLASIFICAT
NECLASIFICAT
108
din
284
militare
în
spa
țiul cibernetic
și
amenin
țările specifice au devenit un lucru obișnuit
în modul în care armata americană percepe mediul de securitate global. De
și
securitatea
cibernetică
nu este o temă
dominantă
în
NMS, ea prime
ște o atenție
semnificati
vă în diferite por
țiuni ale documentului, evidențiind
faptul că
domeniul
apărării cibernetice continuă evolu
ția la o nouă tendință care
până
acum a fost
discutată
numai marginal, acela
în
care organizarea apărării joacă
un rol
în
asigurarea
securită
ții eco
nomice al Statelor Unite.
Astfel, tema securită
ții cibernetice apare
în
patru capitole majore
și
anume:
•
Mediul Strategic
NMS descrie pe larg
în
aceast
ă
sec
țiune mediul strategic
și
accentuează
modul
în
care răspândirea
globală
a tehnologiilor informa
țio
nale permite
indivizilor, grupurilor sau guvernelor exprimarea voin
ței sociale economice
și
politice la nivel global, aceste tehnologii oferind mai multe informa
ții
și
modalită
ți
de schimb ale acestora, decât aceste entită
ți au avut
–
o vreodată, astfel oame
nii
și
guvernele
se
pot mobiliza
for
țe
mult mai rapid
și
mai eficient. Ast
fel prezenta
strategie consideră caracteristica volatilă
a acestui mediu strategic actual ca fiind
un element major de care
să
se
țină
cont
în
planificarea
militară
strategică
.
Fenom
enul răspândirii rapide al tehnologiilor ICT care înlesne
ște accesibilitatea
și
partajarea informa
țiilor poate introduce elemente de risc chiar
și
asupra planificării
opera
țiilor clasice
în
spa
țiu cibernetic. Un alt aspect prezentat este
faptul că
aceste
t
ehnologii sunt asemănătoare sau
în
unele păr
ți identice cu cele folosite de către
sistemele de apărare
militară
. Iar
faptul că
ele au puncte vulnerabile de securitate
nu numai ca ele vor fi cunoscute
și
exploatate mai u
șor de un potențial adversar
,
dar pen
tru eliminarea acestor vulnerabilită
ți Pentagonul trebuie
să
aloce resurse
financiare suplimentare.
Totodată,
datorită
faptului
că
un poten
țial adversar folosește aproape aceleași
tehnologii, aceste vulnerabilită
ți pot oferi DOD avantaje
în
activitatea de
intelligence pentru ob
ținerea de informații necesare pentru planificarea atacurilor
cibernetice împotriva adversarilor, astfel indiferent de
faptul că
structurile militare
tradi
ționale pot beneficia de armele cibernetice sau pot fi transformate
în
ținta
NECLASIFICAT
NECLASIFICAT
109
din
284
da
torită
vulnerabilită
ții tehnologice, tehnologia informației
și
opera
țiunile
în
s
pa
țiul virtual sunt o componentă importantă
a mediului strategic.
O altă
parte importantă descrisă
în
această sec
țiune discută
despre modul
în
care actorii statali folosesc teh
nologia de partajare a informa
țiilor
în
avantajul
propriu. Aceste tehnologii facilitează statelor dezvoltarea de capacita
ți
în
zone care
în
trecut erau dominate de SUA, cum ar fi de exemplu sistemele de avertizare
timpurie sau sistemele de lovire de înalta
precizie, cu toate
că
patentele care stau la
baza acestor tehnologii sunt de
ținute
în
continuare de SUA. Astfel
, prezenta
strategie
direc
ționează capabilitățile ofensive cibernetice americane nu numai
să
țină
cont de acest aspect, dar
și
să
îmbunătă
țească
strategiile sectoriale
și
sistemele
tehnologice. Astfel având în vedere declara
țiile făcute de Secretarul adjunct al
Apărării SUA, Bob Work, la 28 ianuarie 2015 cu privire la cea de a treia „
Offset
Strategy
”
148
(plan de dezvoltare a tehnologiilor militare)
a SUA
și implicațiile sale
pentru parteneri
și aliați,
definea acestei strategii
ca fiind
„utilizarea inteligentei
artificiale
în
crearea unui sistem de colaborare om
–
ma
șină ….
Întreaga viziune
fiind aceea de a face mai performant omul, nu pentru a face
ma
șinile mai bune ….
și
construim pe re
țelele de luptă
existente, care folosesc arme conven
ționale
și
vom
realiza o îmbunătă
țire capacitiva
majoră
prin utilizarea inteligentei artificiale
pentru a permite oamenilor
să
ia decizii mai bune, a avea mai perfor
mate de lu
ptă
mai bune
și
opera
țiile militare
să
fie mai eficiente
”
149
mută zona deciziei op
erative
a apărării cibernetice î
n spa
țiul de operare al sistemelor bazate pe inteligență
artificială
.
Fiind chiar mai specifică
, aceasta sec
țiune a NMS scoate în evid
en
ță, de
asemenea, o tendin
ță crescută a Coreei de Nord de a efectua atacuri cibernetice,
în
conjunc
ție cu atacurile având originea
în
Iran efectuate asupra „Saudi Aramco”
și
a
altor
ținte, iar exemplul capabilităților cibernetice ofensive
în
continuă
cre
ș
tere ale
148
Peter Dombrowski,
America’s Third Offset Strategy: New Military Technologies and
Implications for the Asia Pacific
, Nanyang Technological Un
iversity Press, 2015, disponibil
online pe
https://www.rsis.edu.sg/wp
–
content/uploads/2015/06/PR150608_Americas
–
Third
–
Offset
–
Strategy.pdf
,
accesa
t la data de 26.05.2016.
149
http://breakingdefense.com/2016/02/its
–
not
–
about
–
technology
–
bob
–
work
–
on
–
the
–
3rd
–
offset
–
strategy/
,
accesat la data de
26.05.2016.
NECLASIFICAT
NECLASIFICAT
110
din
284
Coreei de Nord
, arată
Statelor Unite
că
trebuie
să
î
și concentreze capabilitățile
cibernetice de avertizare timpurie
și
asupra altor actori statali, al
ții decât China sau
Rusia, considera
ți
în
trecut principalii ini
țiatori ai atacurilor asupra SUA
și
a
inte
reselor ei din spa
țiul virtual.
•
Mediul Militar
A doua sec
țiune a NMS care face referință la capabilitățile cibernetice, aduce
în
aten
ție modul
în
care diferi
ți actori statali p
ot utiliza aceste capabilită
ți
cibernetice pentru a restrânge accesu
l la bunurile globale ale umanită
ții
și
accesul
liber la circula
ția
informa
țiilor, făcând referire
în
mod indirect la concep
țiile
și
capabilită
țile „
Anti
–
Access/Area Denial
–
A2D2
”
150
dezvoltate
în
ultimul deceniu
de către China.
În
această
sec
țiune este sub
liniat
și
faptul că
atacurile cibernetice asupra
re
țelelor logistice ale SUA, multe dintre ele neclasificate, pot
să
perturbe
în
mod
grav aprovizionarea cu
for
țe
combatante
și
materiale a teatrelor de opera
ții
în
care
sunt desfă
șurate forțele americane
,
ia
r atacurile cibernetice asupra re
țelelor de
comandă
și
control (C2), pot frustra for
țele
proprii
în angajarea în luptă a
inamicului
și
în
manevrele din teatrul de opera
ții.
Aceasta sec
țiune abordează
și
problema
terorismului cibernetic dus de
Organiza
țiile
Extremiste V
iolente (
Violent Extremist Organizations
–
VEO
)
151
,
care exploatează tehnologiile ICT
în
scopul răspândirii terorii.
De
și actorii statali reprezintă o amenințare
cibernetică
mult mai mare, nu
trebuie trecute cu vederea
amenin
țarea prezentată
de
VEO, atât
datorită
faptului
că
odată cu trecerea anilor m
embrii VEO au căpătat experien
ță
fiind expu
și
mijloacelor moderne de
luptă
cibernetică
,
dar
și
datorită
faptului
că
tactica de
guerilă
în
spa
țiu
l cibernetic este foarte uzitată
de modelul de organiz
a
ție tip rețea,
caracteristică
acestui tip de organiza
ții
.
150
https://www.usnwc.edu/Lucent/OpenPdf.aspx?id=95
,
accesat la data de 26.05.2016.
151
http://www.jcs.mil/Portals/36/Documents/Publications/2015_National_Military_Strategy.pdf
,
accesat la data de 26.05.2016.
NECLASIFICAT
NECLASIFICAT
111
din
284
În
spa
țiul dintre violenta statală
și
cea
nonstatal
ă
se poate defini războiul
hibrid,
în
concep
ția NMS conflictele hibride „
constau din for
țele militar
e,
presupunând o identitate non
stat… sau imp
lica o VEO
sau
angajează capacită
ți
rudimentare de arme întrunite
152
.”
Alternativ, în
„
conflictele hibride pot implica state
și
actori
nonstatal
i care
lucrează împreună spre obiective comune, utilizând o
gamă
largă
de arme, cum
am asistat
în
estul Ucrainei
”
153
, printre armele folosite
în
estul Ucrainei
și
în
alte
conflicte cu caracter predominant hibrid cum ar fi Georgia
în
anul
2008, fiind
și
armele cibernetice, iar
în
aceste
cazuri este adesea neclar
dacă
atacatorii erau
for
țe
,
militare
, patrio
ți sau grupuri
de hackeri sponsori
za
ți de către o entitate statală
.
Asta cu Jason Healey a arătat
în
sinteza publicată
de Atlantic Council
154
„
Un
Domeniu Violent
Conflicte
în
Cyberspace 1986 la 2012
155
”, circumstan
țele
strategice
din momentul unui atac clarifică aspectele pr
ivind care tară
este
ținta
atacului
și
unde se afla originea atacului, reducând astfel dificultatea atribuirii unu
i
atac cibernetic, iar pe măsură
ce capabilită
țile de atribuire se îmbunătățesc devine
posibi
lă
identificarea
și
izolarea actorilor hibrizi
în
scopul lovirii cu mijloace
con
traofensive cibernetice sau non
cibernetice.
1
.
Strategia militară
integrată
În
sec
țiunea NMS care tratează strategia
militară
integrată se identifică
trei
obiective militare na
ționale („
National Military Objectives
–
NMO
”)
156
în
în
cercarea de a trata implicarea For
țelor Întrunite („
Joint Force's
–
JOF
”)
157
în
opera
țiile bazate pe conceptul operațiunilor integrate la nivel global („
Globally
152
Concordiam
–
COUNTERING RUSSIAN PROPAGANDA, disponibil online la
http://www.marshallcenter.org/MCPUBLICWEB/MCDocs/files/College/F_Publications/perCon
cordiam/pC_V7_SpecialEdition_en.pdf
,
accesat la data de 26.05.2016.
153
http://www.jcs.mil/Portals/36/Documents/Publications/2015_National_Military_Strategy.pdf
,
accesat la data de 26.05.2016.
154
http:
//www.atlanticcouncil.org/
,
accesat la data de 26.05.2016.
155
Jason Healey, „A Fierce Domain: Conflict in Cyberspace 1986” (Kindle Edition), publicată în
2013 de către Cyber Conflict Studies Association, ISBN13: 9780989327411.
156
http://www.jcs.mil/Portals/36/Documents/Publications/2015_National_Military_Strategy.pdf
,
accesat la data de 28.05.2016.
157
http://www.jcs.mil/Portals/36/Documents/Publications/2015_National_Military_Strategy.pdf
,
accesat la data de 28.05.2016.
NECLASIFICAT
NECLASIFICAT
112
din
284
Integrated Operations
158
”) a
șa cum au fost definite
în
s
eptembrie 2012
în
Conceptul Capstone pentr
u Opera
ții Integrate („
The Capstone Concept for Joint
Operations: Joint Force 2020
”
)
159
.
În
ceea ce prive
ște primul NMO care se poate intitula „Descurajare, Negare
și
Înfrângerea Statelor Adversare” (
„Deter, Deny, and Defeat State
Adversaries”
)
160
, strategia s
pecifică
faptul că
eforturile pentru apărarea teritoriului
SUA
și
a intereselor sale includ „
cre
șterea investițiilor
în
conceperea unor
capabilită
ți tehnologice pentru protecția rețelelor vitale
și
a infrastructurii
”,
incluzând atât infrastructuri
militare
,
cât
și
păr
ți cheie din infrastructura civila.
Protec
ția infrastructurilor militare are la
bază
atât efectuarea opera
țiilor defensive
în
spa
țiul cibernetic
,
cât
și
toate aspectele care se referă la apărarea infrastructurii
cibernetice a DOD conform Instru
c
țiunii 8530.01
161
,
în
esen
ță construcția,
configurarea
și
operarea re
țelelor. De asemenea
,
primul NMO se concertează
asupra construc
ției unui sistem robust
de infrastructură
de transport, sisteme de
informa
ții distribuite
și
legături puternice de comunica
ți
i
și
bineîn
țeles a
domeniului cibernetic, recunoscut ca atare
și
de prezenta doctrin
ă
.
Ca
și
exemplu, deoarece proiec
ția de putere pe toate domeniile de l
uptă
necesită
a fi făcută
în
mod integrat,
în
anul
2007 cu ocazia atacului
for
țelor
israeliene asupra
unui reactor nuclear sirian suspectat
că
face parte din programul
nuclear, avioane specializate
în
război electronic israeliene au executat opera
țiuni
de orbire ale radarelor siriene folosind semnale radar trunchiate
și
bruiaj digital al
comunic
a
țiilor, l
ăsând apărarea antiaeriană siriană
în
imposibilitatea de a detecta
avioanele de atac israeliene care au executat misiunea de bombardare a reactorului
nuclear sirian, reprezentând
atât
un exemplu de integrare al celor
două
domenii,
158
http://www.jcs.mil/Portals/36/Documents/Publications/2015_National_Military_Strategy.pdf
,
accesat la data de 28.05.2016.
159
Capstone Concept for Joint Operations (CCJO)
–
disponibil online la
http://www.defenseinnovationmarketplace.mil/resources/JV2020_Capstone.pdf
,
accesat la data
de 28.05.2016
160
http://www.jcs.mil/Portals/36/Documents/Publications/2015_National_Military_Strategy.pdf
,
accesat la data de 28.05.2016.
161
Department of Defense INSTRUCTION NUMBER 8530.01, 7 martie 2016, disponibil la
http://www.dtic.mil/whs/directives/corres/pdf/853001p.pdf
,
accesat la data de 28.05.2016.
NECLASIFICAT
NECLASIFICAT
113
din
284
cibernetic
și
aerian
,
cât
și
de integrare al unei opera
țiuni
în
spa
țiul cibernetic
și
de
război electronic.
În
ceea ce prive
ște al doilea NMO
el se poate defini ca „Perturbă
,
Degradează
și
Înfrânge VEO” („
Disrupt, Degrade, and Defeat VEO
”
)
162
care de
și
nu face referire
directă
la d
omeniul cibernetic, afirmă
că
pentru înfrângerea VEO
„
necesită o apreciere a legăturii dintre aceste grupuri
și organizații
le
criminale
transna
ționale …
în
scopul de a perturba
fluxul de
fonduri ilicite, armamente
și
combatan
ți,
care sunt i
nserate în reg
iuni cu poten
țial de conflict
”
163
, iar multe din
opera
țiunile de intelligence necesare pentru a înțelege
și
ținti sistemul de relații al
organiza
țiilor de tip VEO se
fac
în
special
în
domeniul cibernetic, membrii
și
simpatizan
ții VEO comunicând
, ca
și
marea
majoritate a restului lumii,
prin
intermediul re
țelelor ICT
,
chiar
dacă
folosesc sisteme de criptare speciale sau
obiceiuri care
îi
fac mai greu de detectat. Astfel cartografierea din perspectiva de
intelligence a unei organiza
ții de ti
p VEO sau a unor mem
brii ai săi
, includ
e
opera
țiuni care variază de la interceptarea
și
decriptarea email
–
urilor
până
la
analiza steganografică ale site
–
urilor de web afiliate VEO.
Al treilea NMO
–
Consolidarea Re
țelei Globale de Aliați
și
Parteneri
(„
Strengthen Our Global Ne
twork of Allies and Partners
164
”) se
referă
la plasarea
celor mai avansate capabilită
ți
ca
for
ță
și
mărime
în
zona Asia
–
Pacific ca suport
pentru încercarea DOD de a echilibra balan
ța de putere
în
zon
ă
, aceasta sec
țiune
men
ționând explicit securitatea
ciberne
tică
ca una
dintre
componentele prin care se
echilibrează aceasta balan
ță
și
admite
faptul că
prin parteneri ca NATO, Australia
,
Japonia
și
Coreea de Sud, se pot
dezvolta
capacită
ți
de pătrundere
în spa
ții
contestate, strategia făcând referin
ță indirect la
capabilită
țile de tip A2/AD ale
Chinei
și
încercarea Statelor Unite
și
al alia
ților săi de a depăși aceste capabilități.
162
http://www.jcs.mil/Portals/36/Docume
nts/Publications/2015_National_Military_Strategy.pdf
,
accesat la data de 28.05.2016.
163
Ibidem
.
164
Ibidem
.
NECLASIFICAT
NECLASIFICAT
114
din
284
2
.
Ini
țiativa Forțelor Întrunite
Aceasta sec
țiune finală
a NMS subliniază direc
țiile principale de acțiune pe
care DOD trebuie
să
le u
rmeze
în
sprijinul atingerii obiectivelor din prezenta
strategie
,
la fel ca
și
sec
țiunile precedente,
și
aceasta sec
țiune are referințe la
opera
țiuni
în
spa
țiul cibernetic. Se pune astfel accentul pe îmbunătățirea inter
–
operativită
ții
între
arme, mai ales
la nivel decizional, atât
în
domeniul opera
țional
prin conceptul „Oameni
și
Profesia de Arme” („
People and the Profession of
Arms”
)
165
,
cât
și
la nivel logistic prin dezvoltarea conceptului BBP 3.0
–
Bugetarea
bazată
pe
Performan
ță
(„
Better Buying Power
–
BB
P 3.0
”)
166
care prevede
faptul
că
noile
capacită
ți
materiale trebuie dezvoltate având conceptul de securitate
cibernetică
integrată
în
designul lor încă
de la primele cicluri de via
ță
, acest lucru
reprezentând o abordare
diferită
de celelalte documente strat
egice premergătoare
deoarece recunoa
ște
faptul că
implementarea securită
ții cibernetice nu începe după
ce produsul final este dezvoltat, practica securizării re
țelelor ICT hibride ale DOD
din ultimii ani
arătând
faptul
că
este destul de dificil
și
uneori f
oarte costisitor
să
se
securizeze caract
eristicile cheie al unui sistem
, fie
că
este sistem logistic sau sistem
de arme, după ce elementele sale de proiectare majore au fost produse.
Comparativ cu documentele premergătoare acestei strategii, din punct de
v
edere al aten
ției acordate dezvoltării forțelor
și
capabilită
ților cibernetice, ale
DOD, aceasta strategie are o abordare semnificativ
diferită
atât
datorită
faptului
că
în
mediul contemporan de securitate activele cibernetice sunt un element
indispensabil
cheie pentru apărarea SUA împotriva amenin
țări
lor hibride, apărarea
împotriva
VEO
,
cât
și
un mod eficient
și
atractiv de a câ
știga noi parteneri
și
alia
ți.
165
http://www.jcs.mil/Portals/36/Documents/Publ
ications/2015_National_Military_Strategy.pdf
accesat la data de 28.05.2016.
166
Ibidem
.
NECLASIFICAT
NECLASIFICAT
115
din
284
1.3.1.7. ORDINUL EXECUTIV AL PRE
ȘEDINTELUI STATELOR UNITE
PENTRU ELABORAREA UNEI STRATEGII PENTR
U ÎMBUNĂTĂ
ȚIREA
SECURITĂ
ȚII CIBERNETICE A INFRASTRUCTURII CRITICE
Rolul guvernului federal
în
securitatea
cibernetică
a fost
în
ultimul deceniu
un subiect principal de discu
ții și dezbateri
în
special
datorită
faptului
că
în
ciuda
efortului Congresului de
a aloca fonduri pentru programele destinate
să
îmbunătă
țească securitatea
cibernetică
a
infrastructurii critice a SUA
,
în
prezen
t,
nu există
o legisla
ție unitară
,
destinată
la nivel strategic, care
să
se refere
în
mod
specific la această
chestiune.
În
efo
rtul de a aborda aceasta
problemă
și
în
lipsa unei legisla
ții adoptate de
Congres, Casa
Albă
a emis
în
f
ebruarie 2013 „Ordinul Executiv 13636
–
Îmbunătă
țirea Securității Cibernetice a Infrastructurilor Critice” (
„
Executive Order
13636
–
Improving Critical
Infrastructure Cybersecurity
”
)
167
. Acest ordin este o
încercare de a spori securitatea
și reziliența infrastructurii
critice a SU
A
, care
implică
în
primul rând prin
colaborarea voluntară
a agen
țiilor federale cu operatorii
infrastructurilor critice din domen
iul privat
și
,
în
al doilea rând
,
prin implicarea
autorită
ților de reglementare federale deja existente.
Odată cu emiterea acestui Ordin, Pre
ședintele Obama a mai emis și
„Directiv
a de Politică
Preziden
țială 21 (PPD 21)
–
Securitatea
și Reziliența
Infrast
ructurii Critice” (
„
Presidential Policy Directive 21 (PPD 21), Critical
Infrastructure Security and Resilience
”
)
168
.
Emiterea acestui Ordin Executiv pe baza l
ipsei de ac
țiune al Congresului
invocând multiplele atacuri cibernetice asupra infra
structurii cri
tice a SUA
ridică
mai multe probleme, cum ar fi identificarea
tipurilor de amenin
țări la adresa
167
Executive Order 13636, “Improving Critical Infrastructure Cybersecurity,” Federal Register
78, no. 33 (19 februarie 2013): 11737
–
11744, disponibil online la
https://www.whitehouse.gov/the
–
press
–
office/2013/02/12/executive
–
order
–
improving
–
critical
–
infrastructure
–
cybersecurity
,
accesat la
data de 18.04.2016.
168
The White House, “Critical Infrastructure Security and Resilience,” Presidential Policy
Directive 21, 12 February 2013, online la
https://www.whitehouse.gov/the
–
press
–
office/2013/02/12/presidential
–
policy
–
directive
–
critical
–
infrastructure
–
security
–
and
–
resil
,
accesat
la data de 18.04.2016.
NECLASIFICAT
NECLASIFICAT
116
din
284
securită
ții naționale și a intereselor economice ale Statelor Unite la care se
referă
acest
Ordinul Executiv, de ce
măsuri
este nevoie pentru abordarea acestor
amenin
țări sau c
are este autoritatea legislativă
și constituțională a acestui ordin.
În
acest Ordin E
xecutiv au fost abordate
în
principal cele
două
teme prezente
în
majoritatea documentelor strategice anterioare,
și anume
schimbul de informa
ții
legate de
securitatea cibernetică în cadrul
și
între organiza
țiile responsabile,
precum
și
securitatea informatică a sectoarelor din infrastructura critică a SUA,
în
special a sistemelor federale. Au mai fost abordate
,
de
asemenea
,
și alte teme cum
ar fi
:
a
)
e
xtinderea
schimbului de informa
ții și colaborarea
între
organiza
țiile
guvernamentale
și sectorul privat, inclusiv schimbul de informații clasificate pe
baza unui program dezvolt
at de DIB pentru
alte sectoare din infrastructura
critică.
O
mai bună
partajare a inform
a
țiilor relativ la amenințările ciber
netice,
vulnerabilită
ți, modelele
atacuri
lor
și a schemelor de prevenire și răspuns atât
în
interiorul sectoarelor guvernamentale responsabile de operarea
și dezvoltarea
infrastructurii critice
,
cât
și
între
aceste sect
oare
și guvern, este considerat de cei
mai mul
ți specialiști ca fiind elementul critic pentru îmbunătățirea securității
cibernetice. Practica a arătat însă
că
această
colaborare este
plină
de bariere
și
incertitudinii legate
în
special de
aspecte privind
r
espectarea vie
ții private, costuri
reputa
țiunile, protecția informațiilor care se
referă
la proprietatea intelectuală,
reglementările antitrust
și
,
nu
în
ultimul rând
,
utilizarea
abuzivă
a informa
țiilor
partajate.
b
)
d
ezvoltarea
voluntară
a unui cadru format
din standarde de securitate
cibernetică
și manuale de
bună
practică
pentru protec
ția infrastructurii critice
printr
–
un efort public/
privat.
Pentru
dezvoltarea standardelor de securitate
cibernetică
, Ordinul Executiv
13636 s
e bazează
în
special pe implica
rea
Institutului Na
țional
pentru Standarde
și
Tehnologie
.
(
National Institute of Standards and Technology
)
169
NIST, acesta
având
în
statut responsabilitatea de a lucra atât cu guvernul
,
cât
și cu sectorul privat
169
http://www.nist.gov/cyberframework/, accesat la data d
e 18.04.2016.
NECLASIFICAT
NECLASIFICAT
117
din
284
la diverse aspecte care
țin de standarde și te
hnologie
170
. Astfel la acest aspect
ordinul are cerin
țe specifice către
fiecare sector astfel
:
1
.
NIST
–
conduce elaborarea cadrului pentru securitate
cibernetică
, ca
și un
proces transparent
și consultativ atât
în
mediul guvernamental
,
cât
și
în
mediul
privat
în scopul de
a reduce riscurile securită
ții cibernetice,
focalizând aten
ția pe
standarde voluntare consens
uale
și
de
bune practici.
2
.
Secretarul pentru Securitate Interna (
„
Secretary of Homeland Security
”
)
va stabili obiectivele
și indicatorii de
performan
ț
ă
pentru acest set de standarde, va
stabili un calendar de adoptare al acestuia
și
,
de asemenea
,
va stabili
responsabilită
ți
în
procesul de adoptare.
3
.
Agen
țiile de specialitate sectoriale
–
vor coordona adaptarea standardelor
pe specificul sectoarelor de re
sponsabilitate
și vor raporta
anual
Pre
ședintelui SUA
privind gradul de acoperire al standardului pe fiecare sectoare
în
parte.
4
.
Agen
țiile de reglementare
în
infrastructura
critică
–
sunt responsabile de
ini
țierea procesului consultativ pentru adoptarea cad
rului atât cu zona
guvernamentală
,
cât
și cu sectorul privat,
ele
decid
dacă
gradul de securitate
cibernetică
stabilit prin standarde este adecvat, raportează Pre
ședintelui SUA
dacă
agen
țiile au autoritatea
necesară
de a stabili suficiente cerin
țe pentru a
coperirea
adecvată
a riscurilor
și
propun
dacă este necesar, o autoritate suplimentară
.
Trebuie men
ționat
faptul că
acest ordin executiv nu prevede înfiin
țarea
niciunei autorită
ți de reglementare
în
plus,
fa
ță
de ce
le existente
și nici nu modifică
autorita
tea vreuneia existente.
Cu toate că,
la emiterea lui
, acest ordin a fost criticat
171
în
special
datorită
faptului
că
îmbunătă
țește mult prea puțin procesele și responsabilitățile existente,
170
DEPARTMENT OF COMMERCE AND NATIONAL INSTITUTE OF STANDARDS AND
TECHNOLOGY
–
Views on the Framework for Improving
–
Docket No. 151103999
–
5999
–
01
Critical Infrastructure Cybersecurity, disponibil online la
http://csrc.nist.gov/
cyberframework/rfi_comments_02_2016/20160218_Coalition_for_Cybersecurity_Policy_and_L
aw.pdf
,
accesat la data de 18.04.2016.
171
Paul Rosenzweig
and David Inserra, Obama’s Cybersecurity Executive Order Falls Short,
Issue Brief #3852, 14 februarie 2013, disponibil online la
http://www.he
ritage.org/
research/reports/2013/02/obama
–
s
–
cybersecurity
–
executiveorder
–
falls
–
short
,
accesat la data de
18.04.2016.
NECLASIFICAT
NECLASIFICAT
118
din
284
că
emiterea lui face ca adoptarea unei legisla
ții
să
fie mai
difici
lă
, sus
ținătorii
acestui ordin
172
au subliniat
faptul că
oferă o
bază
consensuală
comună
pentru
dezvoltarea non
tehnică
a unui cadru care
să
se aproprie cel mai bine de nevoile
securită
ții cibernetice a infrastructuri
lor
critice a
le
Statelor Unite.
În
concluz
ie
,
putem afirma
că
Ordinul Executiv 13636
–
Îmbunătă
țirea
Securită
ții Cibernetice a Infrastructurilor Critice”, a fost elaborat
pentru a oferi
operatorilor economici o abordare bazată pe
performan
ță
și rentabilitate
economică
a securită
ții cibernetice tra
ns
–
sectoriale
,
să
identifica
cadrul legal,
a evalua
și
gestiona
riscurile prin elaborarea unor standarde
și orientări neutre din punct de
vedere tehnologic, dar aplicabile
în
mod unitar diverselor sectoare ale
infrastructurii critice a SUA.
1.4. ANALIZA
POLITICII DE SECURITATE CIBERNETIĂ A CANADEI
ȘI
CONTRIBU
ȚIA ACESTEIA LA NIVELUL DE SECURITATE
AL SPA
ȚIULUI NORD
–
ATLANTIC
Ca
și
în cazul altor componente cu caracter economic sau militar ale SUA,
și
în spa
țiul cibernetic există o puternică integrare între
infrastructura cibernetică a
acestei
țări
și
cea a Canadei; aceasta integrare fiind valabilă nu numai la nivel
tehnologic, dar
și
la nivel procedural
și
institu
țional, ambele națiuni având beneficii
din cooperarea în domeniul securită
ții cibernetice. Cana
da atrage un beneficiu net
din cooperarea cu Statele Unite în spa
țiul cibernetic deoarece atât natura evoluției
amenin
țărilor
,
cât
și
costul combaterii acestor amenin
țări sunt din ce în ce mai
dificil de suportat pe cont propriu.
În acela
și
timp, pe lâng
ă cooperarea cu SUA
și
cu
al
ți aliați apropiați,
guvernul canadian se confruntă cu provocarea găsirii unui echilibru între
securitatea cibernetică
și definiția proprie a drepturilor și
libertă
ților individuale.
172
Jack Whitsitt, “Framing the Future,” CForum, 5 decembrie, 2014, disponibil online la
http://cyber.securityframework.org/blog/11/entry
–
10
–
framing
–
the
–
future/
, accesat la data de
18.04.2016.
NECLASIFICAT
NECLASIFICAT
119
din
284
Camera Comunelor d
in Parlamentul Canadei cons
ideră
prin nenumărate luări de
pozi
ție faptul că
în perspectiva gestionării riscurilor cibernetice, datorită unei
activită
ți de cooperare mai intense între agențiile guvernamentale care asigură
securitatea cibernetică
și
cele cu specific în intelligence, a
cestea pot avea puteri
extinse pentru coordonarea contracarării atacurilor cibernetice împreună cu
agen
țiile americane
și
cu alte agen
ții
aliate. În acela
și timp considera
că
această
sarcină nu trebuie lăsată la latitudinea agen
țiilor specializate fără o s
upr
aveghere a
reprezentan
ților ale
și
.
Elementul de specificitate în domeniul securită
ții cibernetice al Canadei este
acela
că
odată cu sporirea capacită
ții tehnice
și
operative pentru a face fa
ță
amenin
țărilor din spațiul cibernetic, această țară sporește
și
capacitatea Camerei
Comunelor de supraveghere a structurilor create
și
a
le
ac
țiunilor principale ale
acestora. Ideea unui Comitet reprezentat din tot spectrul politic, care să aibă avizul
de securitate necesar
și
capacitatea de a chema martori în cuno
ș
tin
ță de cauz
ă
pentru a asigura echilibrul între activită
țile care țin de securitatea cibernetică
și
valorile na
ționale ale statului de drept privind drepturile
și
libertă
țile individuale,
sus
ținută de unii membrii ai Partidului Liberal Canadian se bucură
de o largă
sus
ținere
și
în rândul celorlalte partide. Prin mecanismul unor verificări
și
bilan
țuri
amănun
țite, periodice
și
eficiente asupra rolului
și
activită
ților acestor agenții,
Parlamentul Canadian consideră că se poate realiza o îmbunătă
țire semnifi
cativă a
securită
ții
și
rezilien
ței infrastructurilor cibernetice, în timp ce intruziunile în
libertatea individuală
pot fi reduse
la minimum.
Un alt aspect al sistemului de securita
te cibernetică al Canadei derivă
din
natura cooperării canadiano
–
americană
în
domeniul global al securită
ții și
în
particular al securită
ții cibernetice. Deși cele
două
țări
sunt puternic integrate atât
în
domeniul cooperării economice, sociale sau militare,
în
ultimul deceniu SUA au
ac
ționat
în
mod energic pentru combaterea ame
nin
țărilor interne sau externe asupra
securită
ții sale, inclusiv
în
zona securită
ții cibernetice, prin dezvoltarea unor
tehnologii, mecanisme
și strategii economice și militare. Deși cum am mai
subliniat anterior Canada beneficiază
în
mod clar de pe urma i
ntegrării cu
NECLASIFICAT
NECLASIFICAT
120
din
284
arhitectura de securitate
a SUA
,
datorită
diferen
țelor privind drepturile și libertățile
individuale pe de o parte
și caracteristicile sistemului economic canadian, agențiile
canadiene implicate
în
securitatea
cibernetică
nu pot asimila decât
o parte din
aceste tehnologii
și mecanisme, lăsând părți ale infrastructurii cibernetice
canadiene vulnerabile, iar un eventual atac, care de
și nu va ținti
în
mod direct
aceste infrastructuri poate provoca daune semnificative.
Din punct de vedere strategi
c,
în
anul
2010 au fost aprobate
două
strategii,
„Strategia Na
țională de Protecție a Infrastructurii Critice” și „Strategia Canadei
pentru Securitate
Cibernetică
–
Pentru o Canadă mai Puternică
și Prosperă
” având
următoarele
obiective
:
–
s
ecurizarea sistemel
or cibernetice guvernamentale
și a celor clasificate ca
făcând parte din infrastructura
critică
. Acest obiectiv stabile
ște roluri și
responsabilită
ți clare nu numai cu privire la asigurarea securității și rezilienței
sistemelor cibernetice guvernamentale,
dar
și pent
ru sporirea nivelului de cultură
de securitate
cibernetică
în
cadrul sistemului public
.
–
a
sigurarea sistemelor cibernetice care nu apar
țin guvernului federal prin
parteneriate public
–
private, acesta acoperind un număr de parteneriate
în
cadrul
p
rovinciilor
și teritoriilor, implicând atât actorii economici care explo
atează
infrastructuri critice
, mediul privat
,
cât
și mediul academic de cercetare
în
domeniul securită
ții cibernetice.
–
a
sigurarea suportului pentru dezvoltarea unei culturi de securita
te
și
securizare a mediului online pentru cetă
ț
enii canadieni, obiectiv care să reducă
infrac
ționalitatea
cibernetică
, protejarea cetă
țenilor canadieni
în
mediul virtual
și
confiden
țialitatea datelor personale.
În
concep
ția
Strategiei de Securitate Ciberne
tică a
Canadei
(„
Canada's
Cyber Security Strategy
)”
173
, capabilitatea de securitate
cibernetică
reprezintă atât
puterea de a determina efectele op
era
ționale dorite într
–
o anumită
zon
ă
,
cât
și
men
ținerea acestor efecte pe o perioada premeditată, aceasta fiind
un efect
173
http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr
–
scrt
–
strtgy/index
–
eng.aspx,
accesat la
data
de
10.05.2016.
NECLASIFICAT
NECLASIFICAT
121
din
284
combinat,
în
care sistemele de in
telligence de care dispune ajută
la determinarea
unor anumite efecte particulare.
În
viziunea
acestui document
, capabilitatea de apărare
cibernetică
nu numai
că
se
întinde dincolo de echipamente, infrastructuri
ș
i sisteme software, ci mai
degrabă include elemente de conexiune
între
aceste componente, care fac ca o
capabilitate de apărare
cibernetică
să
determine un efect opera
țional precis.
Aceste componente care dau forma capabilită
ț
ilor sunt descrise
folosind
a
lgoritmul
PRICIE
174
, echivalentul american al DOTMLPF
–
Doctrina,
Organiza
ție, Pregătire, Material, Leadership
și
Educa
ție
, Personal
și
Facilită
ți
(
Doctrine, Organization, Training, Materiel, Leadership and Education, Personnel
and Facilities
)
175
care descompu
ne capabilită
țile
în
domenii de responsabilită
ți
func
ționale
și
care se aliniază pe structura organiza
țională astfel
:
Personalul (Personnel)
;
Cercetarea/Dezvoltarea (Research & Development)
;
Infrastructura
și Organizația (Infrastructure & Organization)
;
C
oncepte,
Doctrine
și Instrucția Colectivă
(Concepts, Doctrine &
Collective Training)
;
Infrastructura de Comunica
ții și IT (IT&C Infrastructure)
;
Echipamente, Logistică
și Servicii (Equipment, Logistics & Services).
Planul de Ac
țiune 2010
–
2015 din cadrul St
rategiei pentru Securitate
Cibernetică
al Canadei („
Action Plan 2010
–
2015 for Canada's Cyber Security
Strategy
”)
176
prezintă
planul guvernului pentru a implementa strategia
și
a îndeplini
obiectivul final al acesteia, acela de a asigura un nivel de securitat
e
cibernetică
174
Clive Kerr, Robert Phaal, David Probert, „A Framework For Strategic Military Capabilities,
in Defense Transformation”, 11th International Command and Control Research and Technology
Symposium ‘Coalition Command and Control in the Networked Era’, Cambridge
26
–
28
septembrie 2006.
175
Department of the Army Headquarters, United States Army Training and Doctrine Command
Fort Eustis, Virginia 23604
–
5700, *TRADOC Regulation 71
–
20
–
CONCEPT
DEVELOPMENT, CAPABILITIES DETERMINATION, AND CAPABILITIES
INTEGRATION, 28 i
unie 2013.
176
Action Plan 2010
–
2015 for Canada’s Cyber Security Strategy, disponibil online pe
http://www.securitepublique.gc.ca/cnt/rsrcs/pblctns/ctn
–
pln
–
cbr
–
scrt/ctn
–
pln
–
cbr
–
scrt
–
eng.pdf,
accesat la data de 10.05.2016.
NECLASIFICAT
NECLASIFICAT
122
din
284
adecvat
în
beneficiul cetă
țenilor canadieni
și
al economiei
acestei
țări
. Premergător
elaborării acestei strategii guvernul canadian a elaborat
și
implementat o serie de
măsuri
sectoriale care la momentul respectiv răspundeau punctual la comp
lexul de
amenin
țări
în
domeniul cibernetic
, însă ni
ci
una dintre aceste
măsuri
nu aveau
caracterul unei strategii na
ționale. Dintre aceste
măsuri
putem aminti
:
În
anul 2011 a fost lansat „
Shared Services Canada (SSC)”
177
,
pentru a
simplifica modul în care guv
ernul gestionează sistemele federale de
telecomunica
ții
și
IT, centre de date
și servicii de e
–
mail. El a fost gândit ca
furnizor de servicii integrate
ICT
la nivelul întregii administra
ții canadiene având
ca scop atât optimizarea costurilor de implementar
e
și
operare a infrastructurii
ICT
guvernamentale, dar
și
pentru aplicarea unei politici de securitate
cibernetică
eficient
ă
pentru infrastructura
ICT
a întregului sistem de administra
ție canadian.
În
anul 2011 Guvernul a definit rolurile
și mandatele pent
ru Structura de
Securitate a Comunica
țiilor Canadei („
Communications Security Establishment
Canada CSEC”)
178
și
pentru Centrul Canadian pentru Răspuns la Incidente
Cibernetice („
Canadian Cyber Incident Response Centre
–
CCIRC”
)
179
, acestea
fiind încorporate în
Agen
ția de Securitate Publică
(„
Public Safety Canada
–
PS
”)
180
,
în
scopul a îmbunătă
țirii capacității de a identifica, preveni și gestiona
incide
ntele de securitate cibernetică
.
În anul 2011, a fost lansat „
GetCyberSafe
181
”, un site creat de Guvernul
Canadei
în
scopul de a creste gradul de con
știentizare al amenințărilor online și de
a informa cetă
țenii canadieni relativ la problematica securității cibernetice, acesta
fiind mai mult o colec
ție de videoclipuri interactive și informații despre hărțuirea
cibernet
ică pentru părin
ți
și
adolescen
ți.
177
http://www.ssc
–
spc.gc.ca/index
–
en
g.html, accesat la
data de
10.05.2016.
178
https://www.cse
–
cst.gc.ca/en
,
accesat la
data de
10.05.2016.
179
http://www.publicsafety.gc.ca/cnt/ntnl
–
scrt/cbr
–
scrt/ccirc
–
ccric
–
en.aspx
,
accesat la
data de
10.05.2016.
180
http://www.publicsafety.gc.ca/index
–
eng.aspx
,
accesat la
data de
10.05.2016.
181
http://www.getcybersafe.gc.ca/index
–
eng.aspx
,
accesat la
data de
10.05.2016.
NECLASIFICAT
NECLASIFICAT
123
din
284
În
anul
2012, Canada a semnat un Planul de Ac
țiune Pentru Securitatea
Cibernetică
(„
Cyber Security Action Plan”)
182
, în cadrul Planului de Ac
țiune
Dincolo
de Frontieră
(„
Beyond the Border Action Plan
”)
183
ini
țiat de
Departame
ntul Apărării al Statelor Unite ale Americii, în scopul consolidării
cooperării în probleme de securitate cibernetică între cele două
țări. Acest plan de
ac
țiune inițiat de către SUA
în
conformitate strategia de cooperare
în
domeniul
securită
ții cibernetic
e
recunoa
ște importanța protejării infrastructurii digitale critice
partajate între SUA
și Canada
și
cre
șterea capacității de răspuns la
incidente
cibernetice. Prin semnarea acestui document ambele
țări
recunosc
faptul că
partajează infrastruct
uri critice
care au o componentă
cibernetică
importantă
,
iar
disfunc
ționalitatea
unei componente, indiferent unde s
–
ar afla, afectează parametrii
de func
ționare al celorlalte.
În
anul
2012, guvernul canadian a anun
țat semnarea unui parteneriat
public privat între Agen
ția de Securitate Public
ă
ca
și
entitate
și
STOP.THINK.CONNECT., o coali
ție de co
mpanii private din sectorul non
profit
și
organiza
ții guvernamentale. Această coaliție a fost creată la inițiativa
Departamentului Apărării al SUA
și
a devenit
în
SUA o campani
e na
țională de
con
știentizare publică care vizează amenințările cibernetice la adresa publicului
american. Acest parteneriat a ajutat la alinierea campaniilor de con
știentizare a
publicului în Canada
și SUA.
Abordarea securită
ții cibernetice la nivel stra
tegic a Canadei este complet
diferită
fa
ță
de cea a Statelor Unite, de
și la nivel operațional,
influen
ța
standardelor
și
procedurilor DOD este
majoră
. Astfel Canada ac
ționează sincronizat, de la
nivelul cabinetului primului ministru prin coordonarea
direct
ă
a activită
ții
următoarelor organiza
ții:
1
.
Agen
ția de Securitate Public
ă
–
este organiza
ția mandatată
să
asigure
securitatea c
etă
țenilor canadieni la o paletă
largă
de riscuri din categoria
182
http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ctn
–
pln
–
cbr
–
scrt/index
–
en.aspx, accesat la
data
de
10.05.2016.
183
https://www.dhs.gov/action
–
pla
n, accesat la
data de
10.05.2016.
NECLASIFICAT
NECLASIFICAT
124
din
284
dezastrelor naturale, criminalită
ții
și
terorismului. Departamentul
are
în
subordine
Centrul Opera
țional Guvernamental („
Government Operations Centre
–
GOC
)”
184
ca
și
hub pentru Sistemul National de Răspuns la
Urgențe
(„
National Emergency
Response System
–
NERS”
)
185
.
Astfel
în
cazul unor incidente cibernetice majore
care au i
mpact semnificativ la nivel na
țional CCIRC
,
escaladează către GOC
managementul acestor incidente, iar coordonarea capabilită
ților de răspuns
și
refacere va fi făcută de la nivelul NERS, acest lucru permi
țând o mobilizare rapid
ă
a capacita
ților de răspuns l
a incidente cibernetice majore atât al celor
guvernamentale,
celor
din sectorul privat
,
dar
și
activarea unor capacita
ți puse la
dispozi
ție de către DOD al SUA prin parteneriatele mai sus menționate.
2
.
Structura de Securitate a Comunica
țiilor Canadei
–
CSEC
este a
gen
ția de
criptografie canadiană responsabilă
cu analiza
și
sinteza datelor criptografice
și
cu
cifrul Canadei. CSEC monitorizează
și apără rețelele guvernamentale canadiene
prin detectarea, descoperirea
și răspunsul la amenințările cibernetice compl
exe.
3
.
Poli
ția Federală Canadiană
–
RCMP conduce
și
efectuează investiga
țiile
judiciare atât la incidente cibernetice
,
cât
și
la alte acte penale care au ca
și
componentă
a ac
țiunii criminale tehnologia
ICT
. Are mandat de a conduce
investiga
ții penale la inc
idente de securitate
cibernetică
na
ționale de și de a asista
partenerii interni
și internaționali, atât
în
ceea ce prive
ște combaterea unor
amenin
țări cibernetice
,
dar
și
în
ac
țiuni de combatere a utilizării sistemelor
ICT
de
către grupurile de criminalita
te
organizată
.
4
.
Serviciul de Informa
ții
și
Securitate Canadian
–
CSIS efectuează
investiga
ții asupra riscurilor, amenințărilor
și
vulnerabilită
ților din spațiul
cibernetic care au impact direct asupra securită
ții naționale
și
raportează
guvernului canadian
,
la nivelul primului ministru, orice activitate care constituie o
amenin
țare la securitatea Canadei așa cum este
definită
de Legea Canadiana pentru
184
http://www.publicsafety.gc.ca/cnt/mrgnc
–
mngmnt/rspndng
–
mrgnc
–
vnts/gvrnmnt
–
prtns
–
cntr
–
en.aspx, accesat la
data de
10.05.2016.
185
http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ntnl
–
rspns
–
sstm/index
–
eng.aspx, accesat la
da
ta de
10.05.2016.
NECLASIFICAT
NECLASIFICAT
125
din
284
Serviciul de Informa
ții („
Canadian Security Intelligence Service Act”)
186
.
CSIS
este responsabilă
de elaborare
a de analize
și
sinteze către guvernul Canadian
privind amenin
țările cibernetice, intențiile și capabilitățile actorilor din spațiu
cibernetic care operează atât în Canada
,
cât
și în străinătate
și
care reprezintă o
amenin
țare la adresa securității statulu
i canadian
și
al intereselor sale.
Această
structură guvernamentală este mandatată
de guvernul federal de a lua toate
măsuri
le necesare pentru a preveni
și
combate spionajul cibernetic ca
și
orice alta
amenin
țare din domeniul cibernetic la adresa infrastru
cturilor critice ale Canadei.
5
.
Departamentul Apărării Na
ționale al Canadei (DND)
–
este structura
responsabilă
pentru asigurarea capabilită
ților de
apărare
și
intelligence pentru
apărarea
cibernetic
ă
. DND contribuie la managementul incidentelor cibernetice
prin utilizarea capabilită
ților cibernetice proprii
,
cât
și
ale alia
ților săi, cum ar fi de
exemplu DOD al SUA,
în
procesul de monitorizare
și analiza al incidentelor
cibernetice majore de către NE
RS. De asemenea
,
asistă
cabinetul primului ministru
pentru
analiza op
țiunilor pentru un potențial răspuns militar la agresiunile din
spa
țiul cibernetic
și
ac
ționează ca
și
legătură
între
guvernul canadian
și
alia
ții săi
militari.
6
.
Centrul Canadian Anti
–
Fraud
ă
–
CAFC este depozitarul central pentru
date, informa
ții
și
resurse materiale referitoare la fraude. CAFC trebuie
să
furnizeze către partenerii guvernamentali, companiile comerciale
și
cetă
țenii
canadieni
în
timp util informa
ții precise
și
utile
în
sprijinul aplicării legisla
ției
economice canadiene.
De asemenea
, e
xistă numeroase departamente guvernamentale federale care
joacă un rol activ în coordonarea unui răspuns la incidentele informatice,
însă din
punct de vedere operativ coordonarea acestora se realizează
în
cele mai multe
cazuri prin intermediul CCIRC, ac
esta fiind centru na
țional de coordonare pentru
prevenirea,
răspunsul
și
recuperarea pentru incidentele Cibernetice.
În
cele mai
multe cazuri, primul contac
t pe care o organiza
ție afectată
o are cu structurile
186
Canadian Security Intelligence Service Act, 24 mai 2016, disponibil online la http://lois
–
laws.justice.gc.ca/PDF/C
–
23.pdf, accesat la
data de
10.05.2016.
NECLASIFICAT
NECLASIFICAT
126
din
284
guvernului federal
și
componentele sale de răs
puns
și
recuperare la incidentele
cibernetice va fi prin intermediul CCIRC. Ca parte
a Agen
ției de Securitate
Publică
, a stabilit rela
ții de lucru la nivel federal cu RCMP, CSIS, CSEC,
și
alte
agen
ții federale. Fluxul de raportare al unui incide
nt cibernet
ic cu consecin
țe
non
cibernetice este prezentat
în
figura nr.
1.
5
187
, fiind organizat pe trei nivele
logice, decizia
și
urmărirea
procesului
de escaladare fiind
în
responsabilitatea
CCIRC.
CCIRC fiind me
mbru al FIRST
–
Forumul Interna
țional
al Echipelor de
R
ăspuns la Incidente de Securitate Cibernetică
(„Forum of Incident Response and
Security Teams”)
188
încă din
anul
2003
și
în
prezent
operând
cu 12 echipe
189
,
colaborează
în
mod direct cu
:
US
–
CERT
–
Centrul de Răspuns la Incidente de Securitate
Cibernetică
al
SU
A
190
.
CERT
–
UK
–
Centrul de Răspuns la Incidente de Securitate
Cibernetică
al
Regatului Unit al Marii Britanii
191
.
CERT Australia
–
Centrul de Răspuns la Incidente de Securitate
Cibernetică
al Australiei
192
.
CCIRC colaborează
în
mod direct
și
cu NATO N
–
CIRC, Capa
bilitatea de
Răspuns la Incidente Cibernetice al NATO („
NATO Computer Incident Response
Capability
”)
193
pentru prevenirea
și
combaterea
incidentelor cibernetice majore.
187
https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr
–
ncdnt
–
frmwrk/index
–
en.aspx
,
accesat la
data de
10.05.2016.
188
https://www.first.org/about/mission
,
accesat la
data de
10.05.2016.
189
https://www.first.org/members/map#canada
,
accesat la
data de
10.05.2016.
190
https://www.us
–
cert.gov/
,
accesat la
data de
10.05.2016.
191
https://www.cert.gov.uk/
,
accesat la
data de
10.05.2016.
192
https://www.cert.gov.au/
,
accesat la
data de
10.05.2016.
193
http://www.nato.int/cps/en/natohq/topics_78170.htm accesat, la
data de
10.05.20
16.
NECLASIFICAT
NECLASIFICAT
127
din
284
Coordonare la nivel
Guvern
Provincii si Teritorii
Coordonare la nivel
Guvern
Federal
Organizații de
Management al
Urgentelor
Provincii si Teritorii
Centrul Operațional al
Guvernului Federal
Politie Locala
Autoritati de
reglementare
Provincii si Teritorii
Centrul Canadian de
Răspuns la Incidente
Cibernetice
Parteneri la nivelul
Guvernului
Federal
Infrastructura Critica
,
Sector Public sau
Privat
,
alte nivele ale
Guvernului
Primul Nivel de
Raportare
Al doilea Nivel
de Raportare
Al treilea nivel
de raportare
Analiza Incidente
Cibernetice majore
Cooperare
Internationala
Figura
nr.
1.
5
:
Fluxul de raportare al unui incide
nt c
iber
netic cu consecin
țe
non
cibernetice
C
onceptual, din analiza
bibliografică
,
am desprins concluzia
că
strategia de
securitate
cibernetică
a
Canadei
păstrează caracterul de
țară
democratică
liberală
,
documentele strategice din domeniu păstrând principiile
și
măsuri
le de protec
ție
ale drepturilor
și
libertă
ților individuale înscrise
în
Constitu
ția Canadei. Din
perspectiva acestei strategii, spa
țiul cibernetic este un ecosistem deschis
și
NECLASIFICAT
NECLASIFICAT
128
din
284
distribuit
și
este privit ca o resursă
comună
mixtă
în
care însă ce
a mai m
are parte
este gestionată
de sectorul privat.
Din punctul de vedere atât al guvernului canadian
,
cât
și
al societă
ții
canadiene
în
ansamblu ei, securitatea
cibernetică
este mai mult decât o
problemă
tehnică
, fiind
privită
ca securitatea unui întreg ecosis
tem de comunica
ții, acesta
fiind suportul pentru schimbul de informa
ții publice
și
private, pentru comunicare
și
rela
ții sociale.
Securitatea
cibernetică
nu este
definită
de către strategi
știi canadieni ca un
scop
în
sine, ci ca o utilitate sau necesitate
,
acesta fiind
și
punctul de vedere al
economistul politic canadian Robert Cox
„…Există mai multe moduri diferite de a
asigura spa
țiul virtual, în funcție de preferințele politice și valorile la ceea ce
trebuie să fie protejate în primul rând. Securitatea
cibernetică este, prin urmare,
în mod inerent o discu
ție despre filosofie politică
”.
194
D
e remarcat
faptul că
domeniul de aplicare al mandatului CSEC nu este
limitat la re
țelele militare sau al celor guvernamentale, însă prin legea de
organizare
și
func
ționa
re al CSEC
–
„
Canadian Security Intelligence Service
Act
”
195
, este autoritatea legislativă
pentru a proteja
și
apăra orice informa
ții sau
infrastructuri informa
ționale
de importan
ță
pentru guvernul Canadei, indiferent
dacă
acestea sunt de
ținute de către guve
rn sau entită
ți private. Componenta de
protec
ție a informațiilor din legea de organizare
și
func
ționare poate extinde
ac
țiunile CSEC
și
la nivelul cetă
țenilor canadieni sau a străinilor prezenți pe
teritoriul canadian.
Dezvoltarea securită
ții cibernetice î
n Canada este, de asemenea, strâns le
gată
de pozi
ția sa geostrategică
și
geopolitică
care o plasează
în materie de securitate
și
apărare
cibernetică
în spa
țiul de
influen
ța
nord
–
american. Această legătură a
determinat
în
ultimul deceniu evolu
ția a politici
lor de apărare
și securitate
na
țională ale Canadei, precum și în dezvoltarea ulterioară a infrastructurii de
194
Robert W. Cox, “Social Forces, States and World Orders: Beyond International Relations
Theory.”, in Robert O. Keohane, ed., Neorealism and Its Critics, New York: Columbia
University Press, 1986, pp. 204
–
254.
195
http://laws
–
lois.justice.gc.ca/PDF/C
–
23.
pdf, accesat la
data de
10.05.2016.
NECLASIFICAT
NECLASIFICAT
129
din
284
securitate cibernetică na
țională a țării. Semnificația acestei legături este explicată
prin faptul că dezvoltarea securită
ții naționale cibernetice
este în mare măsură
determinată de nivelul de importan
ță pe care guvernului federal canadian o acordă
securită
ții naționale și internaționale,
iar
acestea
din
urmă
fiind
influen
țat de
nivelul
și
forma
rela
țiilor
sale cu vecinul său imediat, Statele Unite
ale Americii.
De
și de
–
a lungul timpului, rela
țiile de colaborare
în
ceea ce prive
ște securitatea
cibernetică
SUA
–
Canada s
–
au calificat, în general, ca excep
ționale, acestea au fost
totu
și, marcate de tensiuni, în special în ceea ce privește abordarea
în
ti
mpul
opera
țiilor cibernetice comune a diferențelor privind drepturile
și
libertă
țile
individuale versus nevoia de securitate sau metodele
și
mijloacele utilizate
în
îndeplinirea acestor misiuni comune, ceea ce face din Canada un critic obi
șnuit al
SUA
rela
tiv la
opera
țiunile de spionaj cibernetic.
Influen
ț
a istorică
a M
arii Britanii, fosta patrie mamă
și
unul dintre cei mai
importan
ți actori economici
și
militari globa
li, a cărei contribu
ție istorică
la
men
ținerea suvera
nită
ții Canadei este recunoscută
de
strategii canadieni prin
păstrarea unor rela
ții privilegiate
și
în
domeniul asigurării securită
ții cibernetice.
196
În paralel cu aceste evolu
ții, în ceea ce privește securitatea
ICT
, sfâr
șitul
războiului rece a avut repercusiuni asupra cooperării Canada
–
SUA
în domeniul
apărării, unul dintre ele fiind reducerea importantei NORAD
în
politica de apărare
regionala care a constituit o scădere puterii Canadei în ceea ce prive
ște
și
apărarea
cibernetică
.
Din punct de vedere politic, sosirea unui guvern majoritar f
ederal în
nul
2015, condus de către liberalul Justin Trudeau
și recunoașterea vulnerabilității
Canadei în ceea ce prive
ște securitatea cibernetică
datorită
lipsei unei industrii
autohtone care
să
ofere componenta de rezilien
ță
a infrastructurii canadiene d
e
apărare
cibernetică
,
în următorii ani
va accelera
cel mai probabil
procesul de sprijin
al cercetării
și
dezvoltării
în
domeniu, chiar
și
la nivel federal.
196
B. Gagnon, “Informatique et cyberterrorisme”, in LEMAN
–
LANGLOIS S. and BRODEUR
J.
–
P., Terrorisme et Antiterrorisme au Canada, Les Presses de l’Université de Montréal, 2009.
NECLASIFICAT
NECLASIFICAT
130
din
284
1.5. CADRUL LEGAL ÎN DOMENIUL SECURITĂ
ȚII CIBERNETICE
Securitate
a
cibernetică
va dobândi
în
următorii ani o importanta din ce
în
ce
mai mare, iar spectrul amenin
țărilor nu
va
mai
fi
format exclusiv din grupuri de
hackeri adolescen
ți, ci și di
n persoane motivate ideologic (hacktivist
), actori statali,
organiza
ții terori
ste sau grupuri de criminalitate organizate cu întindere
transna
țională, având
în
special ca
și
cauz
ă
principală
faptul că
tehnologiile
cibernetice sunt ieftine
și
relativ u
șor de achiziționat, astfel statele mai slabe sau
chiar actori
nonstatal
i capătă po
ten
țialul de a provoca daune considerabile unor
țări
cu putere
militară
conven
țională considerabilă
.
Criminalitatea
cibernetică
, războiul cibernetic
și
terorismului cibernetic sunt
printre fenomene emergente la care legea are nevoie pentru a se adapta. Ris
curile
cibernetice se pot manifesta pe diferite niveluri, începând de la cele na
ționale și
transna
ționale, cum ar fi de exemplu criminalitatea informat
ică
și terorismul
cibernetic
până la
nivele
interna
ționale,
cum ar fi de exemplu
războiul cibernetic.
În
mod colectiv, aceste preocupări su
nt descrise de conceptul umbrelă
al securită
ții
cibernetice.
La nivel na
țional și transnațional, aspectele de securitate cibernetică se
referă în principal
ca
materie penală, principalele aspecte fiind eviden
țiate prin
fra
gmentarea legisla
ției
penale na
ționale atât de fond,
cât
și
de procedură, precum
și
de eforturile făcute pentru armonizarea
acestora. Diversitatea legisla
țiilor
na
ționale este unul dintre principalele motive ale vulnerabilităților
generate de
fenomenul cri
minalită
ții
informatice la nivel mondial,
în
primul rând datorita
motivului
că
o astfel de diversitate nu permite dezvoltarea unui răspuns legislativ
unic la fenomenul global.
La nivel interna
țional, securitatea
cibernetică
este
preocupată
de aplicarea
dre
ptului interna
țional la realitățile tehnologiilor ICT, inclusiv posibilitatea
utilizării lor în războiul moder
n. Atribuirea comportamentului
–
diferen
țierea
infractorului între actorii de stat
ali
sau
nonstatal
i
–
și identificarea jurisdicției
infractorului
sunt provocări semnificative.
NECLASIFICAT
NECLASIFICAT
131
din
284
1.5.1. CONCEPTELE
LEGISLA
ȚIEI INTERNAȚIONALE REFERITOARE
LA OPERA
ȚIUNILOR CIBERNETICE
O
dată cu dezvoltarea internetului
și
a re
țelelor de comunicații globale, civile
și
militare, amenin
țările cibernetice au devenit preocupăr
i ale organismelor
interna
ționale atât pe nivel politic, diplomatic
,
cât
și
pe nivel juridic, mai ales
datorită
faptului ca statele care dispun de putere
militară
considerabilă
au un apetit
crescut pentru răspunsurile non
cibernetice la agresiuni cibernetic
e.
Adunarea General
ă
a Na
țiunilor Unite, subliniind
faptul că
„
difuzarea
și
utilizarea tehnologiilor informa
ționale și mijloacelor cibernetice
în
mod criminal
afectează interesele întregii comunită
ți internaționale ….. aceste tehnologii
prezintă poten
țial
ul de a fi folosite
în
scopuri care nu sunt
în
acord cu obiectivele
men
ținerii unui climat de stabilitate
și
pace
”
197
, a emis
,
la 22 i
anuarie 2001
,
rezolu
ția 55/63 a Uniunii Internaționale a Telecomunicațiilor
ITU
, agen
ția
specializată
a Na
țiunilor Unite pen
tru comunica
ții
și
tehnologia informa
țiilor
,
prin
care se solicită
opinia statelor membre asupra securită
ții cibernetice
și
stabile
ște
trei grupuri de exper
ți guvernamentali pentru examinarea amenințărilor din
spa
țiul
198
cibernetic
și
măsuri
le de cooperare n
ecesare pentru abordarea lor.
Conceptul statelor
și
al organiza
țiilor internaționale cu vocație
în
domeniul
se
curită
ții prin care se consideră
spa
ț
iu cibernetic ca spa
țiu de luptă
este de
natură
a
crea tensiuni
în
structura de procedură
a elementelor de d
rept interna
țional care
reglementează utilizarea for
ței. Astfel unii actori prefera
să
ignore legisla
ția
interna
țională
în
conflictele cibernetice
, motivând
faptul că
nu este practic posibil
să
se identifice elementele constitutive ale unei agresiuni
în
te
rmenii defini
ți de
197
United Nations
–
Resolution adopted by the
General Assembly, 55/63. Combating the
criminal misuse of information technologies, disponibil online la https://www.itu.int/ITU
–
D/cyb/cybersecurity/docs/UN_resolution_55_63.pdf, accesat la data de 16.05.2016.
198
În timp ce primul grup, înfiin
țat în 2004, n
u a produs un raport substan
țial, al doilea, creat în
anul 2009, a emis un raport în 2010 (ONU Doc A / 65/201, 30 iulie 2010). Un al treilea grup a
fost constituit între anii 2012
și 2013 și a adoptat, de asemenea, un raport final care conține un
s
et de re
comandări (ONU Doc A/
68/98 24 iunie 2013)
NECLASIFICAT
NECLASIFICAT
132
din
284
dreptul interna
țional, alții deși accepta legislația
în
domeniu, au interpretări proprii
ale dreptului interna
țional
în
moduri care exclud
de facto aplicarea acestuia.
În
m
ai 2011, pre
ședintele Obama a declarat la publicarea „Strategiei
Interna
ționale Pentru Spațiul Cibernetic”
199
că
de
și legislația internațională
poate
să
joace un rol major
în
planificar
ea securită
ții cibernetice a SUA
, dreptul
interna
țional permite Statelor Unite
libertatea de a recurge la for
ță
, astfel „
Atunci
când se ju
stifică, Statele Unite vor răspunde la acte ostile în spa
țiul cibernetic așa
cum s
–
ar proceda pentru orice altă amenin
țare la adresa țării noastre. Toate
statele posedă un drept inerent la autoapărare,
și recunoaștem faptul că anumite
acte ostile desfă
șura
te prin spa
țiul virtual ne
–
ar putea la constrânge ac
țiuni în
cadrul angajamentelor pe care le avem cu partenerii no
ștri militari
”
200
.
În
acest discurs pre
ședintele interpretează Articolul 51 al Cartei Națiunilor
Unite
în
care apare termenul expres „
in cazul
în
care se produce un atac armat
”
201
,
asimilând din punct de vedere juridic
atacul cibernetic cu unul armat
. De
și citarea
de către administra
ția americană
a legisla
ției internaționale poate constitui un
element de c
onfort, propria activitate arată
că
respec
tarea dreptului interna
țional în
probleme de securitate militară,
în
special pe spa
țiul cibernetic este departe de a fi
exemplară, iar prin folosirea virusului STUXNET
202
exista un precedent
în
dorin
ța
de a încălca dreptul interna
țional în spațiul cibernetic
. De
și STUXNET este o armă
care ac
ționează
în
spa
ț
iul cibernetic, prolema juridică
se
manifestă
în
lumea reală
,
acest caz având elementele pentru a f
i considerat mai mult o problemă
din
categoria apărării cibernetice din zona
militară. De observat
însă
fap
tul că
Iranul nu
199
https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspa
ce.pdf, accesat la data de 16.05.2016.
200
Department of Defense Cyberspace Policy Report, A Report to Congress Pursuant t
o the
National Defense Authorization Act for Fiscal Year 2011, Section 934, November 2011, p. 2
,
disponibil online la
https://fas.org/irp/eprint/dod
–
cyber.pdf, accesat la data de 16.05.2016.
201
Carta Organiza
ției Națiunilor Unite, disponibil online pe http:
//www.anr.gov.ro/docs/
legislatie/internationala/Carta_Organizatiei_Natiunilor_Unite_ONU_.pdf, accesat la data de
16.05.2016.
202
Ralph Langner,
To Kill a Centrifuge
–
A Technical Analysis of What Stuxnet’s Creators Tried
to Achieve,
The Langner Group, Novem
ber 2013, disponibil online la
http://www.langner.com/en/wp
–
content/uploads/2013/11/To
–
kill
–
a
–
centrifuge.pdf accesat la data
de 16.05.2016.
NECLASIFICAT
NECLASIFICAT
133
din
284
ar fi
în
măsura
să
îndeplinească mai multe condi
ții juridice pentru a folosi forța
în
legitimă
apărare. Exemplul STUXNET pledează pentru o interpretare mai
largă
a
dreptului interna
țional
în
materie de utilizare a for
ței, însă exista dific
ultă
ți
în
a
defini modul
în
care for
ța
militară
poate răspunde
în
mod legal la agresiunile
cibernetice.
1.5.2. ANALIZA MECANISMELOR JURIDICE DE REGLEMENTARE
INTERNA
ȚIONALĂ A CONFLICTELOR CIBERNETICE
Deoarece legea poate fi privită
în
primul rând ca o for
ma de cooperare,
condi
țiile necesare pentru
existența
unui cadru interna
țional de reglementare al
spa
țiului cibernetic pot exista atunci când
mecanismele de cooperare există
și
sunt
în
func
țiune, este stabilit un consens al majorității actorilor importanți
asupra
valori
lor fundamentale, iar costul ne
cooperării este major. Astfel
,
putem afirma
faptul că
avem alinierea intereselor individuale
și
colective, normele sociale au
capacitatea
să
genereze norme legale. Acestea
sunt
o parte din condi
țiile necesare
pe
ntru a promova apari
ția
și
dezvoltarea unor norme legale pentru a genera apari
ția
unor constrângeri legale care
să
fie prezente î
ntr
–
un grad suficient de mare pentru a
sprijini
în
continuare normele interna
ționale care reglementează
,
în
final
,
conflictul
c
ibernetic.
Diferen
ța
fa
ță
de modul natural de generare al unui cadru interna
țional de
reglementare prezentat mai sus
și
opinia noastră despre modul
în
care fost generat
actualul cadru
,
provine din
faptul că
actualele norme care reglementează conflictul
cib
ernetic au generate
în
trecut pentru a reglementa opera
țiunile clandestine sau a
celor acoperite
din domeniul
de intelligence unde activitatea
cibernetică
reprezenta
numai
o parte. Odată cu cre
șterea ponderii componentei cibernetice
în
conflictele
militare
și
nonmilitar
e, se poate observa nu numai apari
ția condițiilor inițiale care
duc
la generarea unor norme legale
, dar
și
dorin
ța actorilor relevanți din mediul
interna
țional p
entru integrarea acestor norme î
ntr
–
un cadru coerent de reglementare
al spa
țiului
cibernetic.
NECLASIFICAT
NECLASIFICAT
134
din
284
De
și atunci când statele sau organizațiile internaționale
relevante
cu voca
ție
militară
posedă
capacită
ți militare egale pe spațiul conflictului cibernetic limitele
legale nu pot fi privite din perspectiva echilibrului avantaj
și
dezavantaj
da
torită
dificultă
ții cu care se pot evalua capabilitățile cibernetice, aceasta evalu
are fiind
eminamente speculativă
și
datorită
faptului
că
„
armele cibernetice ofensive sunt
protejate de mecanisme puternice de secretizare atât
datorită
faptului
că
ob
ținere
a
cuno
ștințelor despre aceste arme ar permite construirea de capacități defensive
cât
și
în
țelegerea capabilităților de atac ar dezvălui multe despre capacitățile de
exploatare
”
203
.
Astfel actorii cu
influen
ță
rămân fără posibilitatea de a evalua
în
prealabi
l
aparen
ța
unor avantaje
și
dezavantaje pe care noile norme juridice le
–
ar
putea reglementa
și
ca urmare ace
știa nu pot reglementa intereselor fundamentale
de securitate pe baza unor specula
ții, deși presiunile internaționale sunt
în
continuă
cre
ștere, gen
erând ini
țiative cum ar fi propunerea Rusiei pentru interzicerea
armelor cibernetice
204
.
E
volu
ția unor norme internaționale obișnuite car
e prin adaptarea lor
consensuală
să
poată reglementa
în
mod eficient conflictele cibernetice este pu
țin
probabilă
,
în
spe
cial
datorită
faptului
că
dreptul interna
țional cutumiar depinde
în
principal de interconectarea precedentelor istorice a căror interpretare
comună
a
fost stabilită
în
mod consensual de către principalii actori implica
ți, aceste
precedente f
ormând astfel m
odele de practică, ace
ști actori
evitând a vorbi public
de incidentele informatice
în
care au fost implica
ți. Datorită
faptul că
implicarea
componentei cibernetice
în
conflicte va creste semnificativ
în
viitor, statele se
confruntă
cu un stimulent mai mare
pentru a veni cu un sistem de reguli reciproc
avantajoase cum ar fi interpretarea pe spa
țiul cibernetic a interdicției Cartei
203
Jack Goldsmith,
Cybersecurity Treaties: A Skeptical View
, in FUTURE CHALLENGES IN
NATIONAL SECURITY AND LAW (Peter
Berkowitz ed., 2011), disponibil online la
http://media.hoover.org/sites/default/files/documents/FutureChallenges_Goldsmith.pdf, accesat
la data de 18.05.2016
204
U.N. GAOR, Scrisoarea din 23 septembrie 1998 a reprezentantului permanent al Federa
ției
Ruse l
a Na
țiunile Unite către Secretarul General relativ la punctul 63 de pe agenda ONU
A/C.1/53/3 (Sept. 30, 1998), disponibil online la https://disarmament
–
library.un.org/UNODA/Library.nsf/1c90cfa42bbb0d6985257631004ff541/663e6453bdaa2e2285
25765000550277/$FILE
/A
–
C1
–
53
–
3_russia.pdf, accesat la data de 18.05.2016.
NECLASIFICAT
NECLASIFICAT
135
din
284
Na
țiunilor Unite de
utilizare nondefensivă
a for
ței
205
, însă
și
în
acest
caz
reglementarea este limitată
de
faptul că
sponsorul unu
i atac cibernetic este foarte
greu identificabil
deoarece sponsorizarea atacului
sau chiar atacul
în
sine sunt
foarte bine protejate
și
ca urmare nici
una dintre păr
ți nu va fi practic subiectul unor
penalită
ți sau compensări,
deci
reglementările nu vor put
ea practic impune
nicio
pedeapsă
.
Abordarea agresorului
în
cadrului de reglementare al conflictelor cibernetice
prin prisma principiului de atributabilitate al atacurilor permit
e identificarea
transgresorilor
, sau a agresorilor intermediari defini
ți ca ele
mente deviante care
violează deliberat o normă a cărei legitimitate o recunosc
și
nu ac
ționează din
principiu
,
ci din interes sau din oportunism, astfel daunele
și
penalită
țile pot fi
evaluate, represaliile
și
descurajarea sunt posibile
,
iar cadrul de regl
ementare poate
func
ționa. Extinderea principiului de atribuire permite
alocarea
responsabilită
ții
și
în
final prim mecanismul normelor de aplicare, de stabilire a represaliilor,
pedepselor
și
stimulentelor de conformitate.
Prin urmare atributabilitatea ag
resiunilor cibernetice permite un recurs legal
împotriva transgresorilor nu numai
în
Curtea Penală
Interna
țională,
ca prima
și
,
totodată
,
singura curte p
enală
interna
țională permanentă, ci și în instanțele interne
ale na
țiunilor care respectă obligația lor
interna
țională de a investiga și urmări
crimele de război. Rămâne însă problema identificării sponsorului unei agresiuni
cibernetice, care face practic
imposibilă
atribuirea acestei agresiuni
și
prin urmare
și
celelalte elemente ale acestui mod de abordar
e, cum ar fi verificarea
conformită
ții
și
descurajarea, devin ineficiente, acesta fiind motivul principal
datorită căruia noi
considerăm
că
în
prezent nu exista
niciun
acord interna
țional
care
să
reglementeze scrierea sau depozitarea programelor de calcula
tor utile
pentru lansarea unui ata
c cibernetic clandestin. Astfel
, capacitatea unei na
țiuni țintă
de a identifica
și
amenin
ța sponsorii, inițiatorii sau transgresorii atacurilor
205
Carta Na
țiunilor Unite, Cap. 1 Articolul 2, Paragraful 4, disponibil online la
http://www.anr.gov.ro/docs/legislatie/internationala/Carta_Organizatiei_Natiunilor_Unite_ONU
_.pdf, accesat la data de 18.
05.2016.
NECLASIFICAT
NECLASIFICAT
136
din
284
cibernetice sta la baza întregului edificiu juridic care reglementează aria
co
nflictelor cibernetice.
În
realitate, pentru a atribui un atac cibernetic unui stat,
este necesar stabilirea pe
bază
unui probatoriu fără echivoc ce calculator s
–
a
utilizat, cine a operat acel calculator
și
pentru ce organiza
ție sau guvern a lucrat
persoan
a respectiv
ă
, însă tot
în
realitate, putem observa
că
atacurile cibernetice
sofisticate de tipul celor lansate de către entită
ți guvernamentale sunt extrem de
dificil de probat pe oricare din aceste nivele, cei mai mul
ți experți considerând
că
posibilitate
a de anonimizare al acestor atacuri rezida însă
și
în
structura conceptuală
a internetului
și
nu poate fi eliminata
în
niciun
fel
206
. Astfel, relativ la atribuirea
unor atacuri cibernetice din ultimii ani, evidentele circumstan
țiale
și
elemente
deductive ale
motiva
ției acestora au condus la susceptibilitatea originii acestor
atacuri, însă imposibilitatea constituirii unui material probatoriu suficient nu a
furnizat nivelul de probabilitate necesar pentru a justifica represalii militare.
Din aceste motive, noi
suntem de părere
că
în
mod practic respectarea
legisla
ției existente
în
materie de reglementare a conflictelor armate
în
cazurile
care au
componentă
cibernetică
dominantă
va depinde
în
mare măsură de condi
țiile
de fond
și
de imputabilitate aferente, iar a
cest cadru nu va fi rafinat
în
viitor pentru
a reglementa
în
mod specific opera
țiuni cibernetice.
1.
5.3.
LIMITĂRILE CONCEPTUALE ALE COOPERĂRII INTERNA
ȚIONALE
PENTRU SECURITATEA SPA
ȚIULUI CIBERNETIC
Deoarece atacurile cibernetice
și
exploatarea ilegală
a
capacita
ților ICT
din
întreaga lume sunt
în
cre
ștere
în
număr, rafinament
și
complexitate, guvernele,
în
special cele care adera la respectarea valorilor fundamentale ale umanită
ții își
măresc eforturile de cooperare pentru a face
fa
ță
acestor tipuri de am
enin
țări.
206
Susan W. Brenner,
At Light Speed: Attribution and Response to
Cybercrime/Terrorism/Warfare
, 97 J. CRIM. L. & CRIMINOLOGY 379 (2007), disponibil
online la http://scholarlycommons.law.northwestern.edu/cgi/viewcontent.cgi?article=7260&
context=jclc
, accesat la data de 18.05.2016.
NECLASIFICAT
NECLASIFICAT
137
din
284
Organiza
țiile care au rol
în
apărarea infrastructurilor
țintă au ca
și
misiunea
nu numai neutralizarea atacurilor, eliminarea efectelor
și
restabilirea parametrilor
nominali de func
ționare al infrastructurilor atacate, dar de multe ori au
și
obli
ga
ția
de a furniza proprietarului sau entită
ții statale deținătoare a infrastructurii țintă,
elemente care
să
ajute la identificarea sponsorului sau sursei atacului. Astfel
în
scopul protec
ției intereselor lor vitale,
țările
și
organiza
țiile internaționale
dependente de ICT se concentrează nu numai pe organizarea politicilor lor de
securitate
cibernetică
, dar
și
pe definirea
și
armonizarea acestor principii
în
acord
cu cele ale altor state aliate sau poten
țial partenere, compatibile din punct de
vedere tehn
ologic sau care împărtă
șesc aceleași valori fundamentale.
U
nele
țări
au inclus
în
strategiile lor de apărare
cibernetică
,
măsuri
juridice
și
militare na
ționale
;
însă
fără o cooperare interna
țională aceste
măsuri
sunt
inadecvate împotriva amenin
țărilor mode
rne gene
rate de inamici fără o structură
juridică
identificabilă
și
recunoscută
interna
țional, cu organizare de tip rețea și
având ca strategie de
luptă
terorismul cibernetic. Parteneriatele regionale, de
asemenea
,
nu oferă o securitate
cibernetică
adecvat
ă
, deoarece pe lângă
faptul că
în
asocierea la un astfel de acord primează criteriul geografic
,
iar diferen
țele
tehnologice sau al doctrinelor de apărare pot genera interese divergente sau
atacurile cibernetice pot fi ini
țiate dintr
–
o regiune sau dintr
–
o
ț
ară
care nu este
acoperita de un astfel de parteneriat. Colectarea de informa
ții este atât punctul de
plecare
,
cât
și
elementul cheie al construirii unui parteneriat interna
țional, care nu
numai
să
permită identificarea unor poten
țiali agresori folosind me
canisme de tip
„early warning”
,
dar
și
să
furnizeze elementele probatorii pentru aplicarea unor
măsuri
de răspuns nerepudiabile interna
țional sau utilizarea sistemului de justiție
interna
țională pentru impunerea de sancțiuni asupra agresorului.
Dacă
în
ca
zul activită
ților de criminalitate
cibernetică
organiza
țiile
interna
ționale, cum este de exemplul INTERPOL
207
,
ș
i
–
au constituit rapid
capacită
ți de a identifica elementele probatorii ale unei agresiuni cibernetice chiar
în
cazurile
în
care rolul tehnologiei
nu este imediat evident
și
ulterior mecanisme
207
http://www.interpol.int/, accesat la data de 18.05.2016.
NECLASIFICAT
NECLASIFICAT
138
din
284
de cooperare agreate de către comunitatea interna
țională
pentru a distribui aceste
dovezi făr
ă a le altera valoarea judiciară
,
în
cazul conflictelor cibernetice, statele
care depind
în
mare măsură de ICT
contin
uă
să
abordeze conflictele cibernetice
care implica atât actori statali
,
cât
și
nestatali prin prisma dreptului exclusiv al
puterilor suverane de a aborda aceste conflicte
în
conformitate cu propriile sisteme
juridice sau prin prisma acordurilor bilaterale
sau multilaterale cu alte state.
Deoarece atât infrastructura
,
cât
și
con
ținutul
spa
țiului cibernetic rămân, potrivit
legisla
ției actuale
și
în
concep
ția majorității legiuitorilor, sunt supuse jurisdicției
na
ționale, putem afirma
că
eficienta acestor regl
ementari o chestiune mai degrabă
de implementare
juridică
și
tehnică
decât una de atribuire a adevărului
și
a
dreptă
ții. Astfel,
că
și
în
alte aspecte juridice transna
ționale, pentru a apăra
drepturile de proprietate
și
interesele cetă
țenilor lor, unele st
ate pot fi tentate ini
țial
să
invoce co
mpetente extrateritoriale urmate
de extinderea autorită
ții suverane
asupra resurselor neexclusive din spa
țiul cibernetic.
Atâta timp cât majoritatea ac
țiunilor
și
dezvoltărilor care au impact în spa
țiul
virtual tind s
ă ignore grani
țele fizice, eforturile unilaterale ale unor actori statali
tind să fie costisitoare sau ineficiente. Una din
tre
abordările ini
țiale ale securității
cibernetice la începuturile expansiunii internetului a fost aceea a izolării diverselor
infra
structuri sau controlul interconexiunilor acestuia.
În
zilele noastre
,
datorită
globalizării proceselor economice sociale
și
politice care utilizează internetul
ca
suport, evolu
ția tehnologică
care a permis expansiunea sistemelor ICT
în
fiecare
componentă
a vie
ții de zi cu zi
și
interconectarea acestora prin re
țelele de tip
„wireless”, acesta abordare nu ma
i este evident o op
țiune viabilă
, iar
în
acest caz
cooperarea
fiind
esen
țială pentru asigurarea securității cibernetice.
Institutul SANS afirma
208
ca o par
te importantă
a acestei provocări este
orientarea
actorilor relevan
ți din spațiul cibernetic internațional
să
îndeplineasc
ă
cel pu
țin, următoarele roluri
:
208
Dan Robel,
International Cybercrime Treaty: Looking Beyond Ratification
, SANS Institute
InfoSec Reading Room disponibil online la https://www.sans.org/reading
–
roo
m/whitepapers/incident/international
–
cybercrime
–
treaty
–
ratification
–
1756, accesat la data de
18.05.2016.
NECLASIFICAT
NECLASIFICAT
139
din
284
1
.
r
eglementează
și
limitează ac
țiunile pe un stat le poate îndrepta împotriva
altui stat
în domeniul ci
bernetic, indiferent de tipul ac
țiunii.
2
.
i
mpune statelor semnatare îndatoriri pentru a se asigura că actorii priva
ți
din cadrul frontierelor lor nu se angajează
, nu colaborează sau nu asistă
pasiv în
anumite acte informatice cu caracter ofensator sau distru
ctiv.
3
.
s
tabile
ște mecanisme de cooperarea interstatale pentru a urmări și
combate opera
țiuni cibernetice rău intenționate;
4
.
d
efine
ște
și
clarifică conceptele care caracterizează spa
țiul cibernetic
în
scopul de a preveni interpretări gre
șite care pot duce la
o escaladare a violen
ț
ei
în
spa
țiul cibernetic sau amplificarea
măsuri
lor de răspuns prin utilizarea mijloacelor
non
–
cibernetice.
Un tratat interna
țional privind securitatea cibernetică ar putea acoperi orice
număr de subiecte de fond, variind de la contro
lul armelor cibernetice la
criminalitatea informatică
și asistență reciprocă.
În
viziunea generalului Michael
Hayden care
în
anul
2008 îndeplinea func
ția de director al Agenției Centrale de
Informa
ții, susține că un tratat cibernetic ar trebui să interzică
atacurile cibernetice
asupra unor
ținte civile, dar nu și asupra unor ținte militare
și
nici
pentru
opera
țiunile de spionaj cibernetic. Un astfel de tratat „
ar proteja re
țelele
vulnerabile, aflate în proprietate privată din Statele Unite
și
ar permite
țăr
ii să
men
țină poziția de lider în războiul cibernetic împotriva țintelor militare.”
209
Extinderea acestui concept este făcută de Richard A. Clarke fost coordonator
na
țional pentru securitate, protecția infrastructurii
și
anti
terorism
în
mandatul
pre
ședintelu
i Bush, argumentează
faptul că
activită
țile de spionaj nu trebuie
interzise deoarece Statele Unite „
depind foarte mult de mijloacele electronice
legate de spionaj
în
mecanismele de analiză
și
identificare al amenin
țărilor
și
agresiunilor asupra sa
și
în
or
ice caz, verificarea
și
atribuirea ac
țiunilor de
spionaj cibernetic sunt prea dificil de realizat
”
210
, însă ambii autori cita
ți mai sus
209
Michael V. Hayden,
Playing to the Edge: American Intelligence in the Age of Terror
, Kindle
Edition, Penguin Press, 23 februarie 2016.
210
Richard A. Cl
arke, Robert Knake,
Cyber War: The Next Threat to National Security and
What to Do About It
, Paperback, April, 2012, ISBN
–
10: 9780061962240.
NECLASIFICAT
NECLASIFICAT
140
din
284
recunosc
faptul că
spionajul cibernetic poate fi foarte u
șor confundat cu atacul
militar
și
în
acest fel poate fi derutant
și
dificil de izolat.
În
general entită
țile statale,
în
special statele puternic dependente de ICT,
de
și
agreează
cooperarea interna
țională
în
scopul promovării securită
ții cibernetice,
se opun unui acord de limitare
și
control al mijloacelor
și
mecanisme
lor utilizate
în
spionajul cibernetic, ele preferând
să
ac
ționeze unilateral
, cum este exemplul
Statelor Unite unde administra
ția Obama
,
prin strategia
sa
încercând
să
determine
o schimbare interna
țională a atitudinii cu privire la furtul secretului comerc
ial,
în
special cea realizată
prin intermediul ICT, prin exercitarea unor presiuni
economice
și
mediatice crescânde asupra Chinei.
211
1.5.4. ANALIZA NO
ȚIUNII DE BUN PUBLIC AL SPAȚIULUI CIBERNETIC
De
și noțiunea de resursă neexclusivă
sau de
bun global nu e
ste interpretată
în
mod constant prin acelea
și elemente descriptive, ea provine din interacțiunea a
două
discipline, dreptul interna
țional
și
economia politică
. Pentru a se stabili
măsura în care spa
țiul virtual ar putea în mod eficace să fie considerat ca
un bun
comun la nivel mondial, el trebuie definit mai întâi atât cadrul de aplicare al
tratatelor interna
ționale care reglementează
a
șa
–
numitele bunuri comune, cum ar fi
de exemplu, marea liberă, spa
țiu, sau Antarctica
212
, cât
și din punct de vedere al
crit
eriilor logice care trebuie să existe pentru a justifica
existen
ța
unor institu
ții
211
Greg Austin,
China’s Cyberespionage: The National Security Distinction and U.S.
Diplomacy
, disponibil online la h
ttp://thediplomat.com/wp
–
content/uploads/2015/05/
thediplomat_2015
–
05
–
21_22
–
14
–
05.pdf, accesat la data de 18.05.2016.
212
–
Conven
ția Națiunilor Unite cu privire la Legea Marii, pct. VII, 10 Dec 1982, disponibil la
https://treaties.un.org/doc/Publication/UNT
S/Volume%201833/volume
–
1833
–
A
–
31363
–
English.pdf, accesat la 18.05.2016;
–
Acordul care guvernează activitatea statelor pe Lună
și a celorlalte corpuri cerești, adoptat
în 5 dec. 1979, 1363 U.N.T.S., disponibil la https://treaties.un.org/doc/
Publication/U
NTS/Volume%201363/volume
–
1363
–
I
–
23002
–
English.pdf accesat la data de
18.05.2016;
–
Tratatul asupra Antarcticii, 1 dec. 1959, 12 U.S.T. 794, 402 U.N.T.S., disponibil la
https://www1
.umn.edu/humanrts/peace/docs/antarcticnuc.html
, accesat la data de
18.05.2016.
NECLASIFICAT
NECLASIFICAT
141
din
284
specializate (cum ar fi acordurile colective
și normele culturale) care să asigure
accesul la resurse comune
în
mod particular.
În
ce
ea ce prive
ște abordarea clasică
privin
d reglementarea interna
țională a
bunurilor comune, trebuie avut
în
vedere
faptul că
omenirea a ajuns la acele
regiuni pre
–
existente prin descoperire, iar oamenii nu au avut
niciun
rol
în
crearea
sau dezvoltarea lor, prin urmare nu au fost puse
în
discu
ție
legalitatea intereselor
patrimoniale, prin urmare u
tilizarea acestei abordări intră
în
conflict cu însă
și
natura spa
țiului cibernetic, creație eminamente
umană
, unde drepturile
patrimoniale primează
,
iar
definirea unor bunuri
comune tine mai mult de
consen
sul interna
ți
onal decât de un status quo pre
existent.
În
studiul bibliografiei
recomandate, am identificat
două
considera
ții critice atunci când se definește
spa
țiul cibernetic prin prisma principiilor de reglementare internațională al
bunurilor comune.
În
primul rând, mediul
în
sine, de
și face obiectul legilor naturale
ale fizicii,
în
esen
ță a fost generat de omenire.
În
al doilea rând chiar
și
bunurile
comune recunoscute, nu sunt tratate ca atare
în
integralitatea lor, astfel
în
scopul
judecării crean
țelo
r concurente ale oricărei descoperiri
științifice care devine
componentă
a spa
țiului cibernetic, orice arbitru legal, stabilit la nivel internațional,
ar avea nevoie de a trece peste drepturile stabilite cu mult timp de suveranitate
și
proprietate recunosc
ute de numeroase jurisdic
ții interne ale statelor pe teritoriul sau
în
jurisdic
ția cărora se
manifestă
sau se poate manifesta aceasta descoperire sau
efectele ei.
În
cazul
în
care suveranitatea sau drepturile de proprietate trebuie să fie
recunoscute pent
ru anumite por
țiuni sau aplicații ale spațiului virtual,
prin efect
și
obiceiurile
și normele de comportament internaționale vor trebui să fie convenite
pentru tranzitul sau pentru operarea în cadrul acelor elemente de infrastructură
de
ținute de facto de a
lte state sau organiza
ții. Însă chiar înainte de a se putea
încerca elaborarea de norme de cooperare pentru fiecare noua valoare
comună
care
se
manifestă
în
spa
țiul cibernetic ar trebui mai întâi
să
se determine
dacă
circumstan
țele logice justifica efortur
ile pentru o astfel de desemnare, principiul de
bază
pentru economi
știi politici fiind acela a preveni exploatarea excesivă a
NECLASIFICAT
NECLASIFICAT
142
din
284
resurselor în cazul în care
niciun
actor individual nu are structura de stimulente
necesare pentru a plăti costul furnizării unui
bun colectiv sau căile necesare pentru
a constrânge ac
țiunile sale pentru a conserva
în
viitor disponibilitatea unei resurse
comune, acest principiu fiind enun
țat plastic de către
Garrett Hardin prin afirma
ția
că
„
ruina este destina
ția spre care toți oamen
ii se grăbesc, fiecare urmărind
propriul său cel mai bun interes într
–
o societate care crede în libertatea bunurilor
comune
”
213
.
Având
în
vedere cele afirmate anterior, din punct de vedere politico
–
economic, spa
țiul cibernetic
în
actuala
să
formă
de existen
ță
nu îndepline
ște cele
două
criterii logice pentru a fi considerat ca un bun comun deoarece,
în
primul rând
resursele fizice care stau la
bază
să
rămân
ă
supuse drepturilor de proprietate
privată
și
în
al doilea rând,
identificarea pozitivă a utilizatorilo
r legitimi la fel ca
și
excluderea celor ilegitimi nu este încă posibilă, prevenind astfel impunerea oricăror
reglementari stabilite ini
țial sau a unor soluții colective.
De asemenea
, luarea
în
considerare sau declararea
unilaterală
de unele state sa
u acto
ri
nonstatal
i cu
anvergură
interna
țională a spațiului cibernetic ca un bun comun
la nivel mondial,
ar necesita subordonarea par
țială a suveranității
și
a drepturilor de proprietate
stabilite
în
numeroase jurisdic
ții
și
prin urmare orice structură
de guvern
are
colectivă
pentru spa
țiul cibernetic ar necesita o distincție
juridică
consensuală
între
activele posesiei
și
bunurile comune, ace
ști factori având un impact major asupra
construc
ției unor noi paradigme strategice
și
juridice
în
domeniul securită
ții
cib
ernetice.
213
Garrett Hardin,
The Tragedy of the Commons
, Revista Science, Serie Noua, Vol. 162, No.
3859, 13 Dec. 1968, pp. 1243
–
124, publicat de Asocia
ția Americană pentru Științe Avansa
te.
NECLASIFICAT
NECLASIFICAT
143
din
284
Capitolul 2
POLITICA REGIONALĂ A UNIUNII EUROPENE
PENTRU ASIGURAREA SECURITĂ
ȚII CIBERNETICE
De
–
a lungul ultimului deceniu, la nivelul Uniunii Europene securitatea
cibernet
ică
a atras aten
ția atât a presei,
cât și al exper
ților, iar particularitatea
abordării termenilor, conceptelor și strategiilor analizate de noi rezultă din
redefinirea analoagă, însă nu identică, a acestora prin prisma particularită
ților
acestor termeni,
concepte și strategii la nivelul na
țiunilor dominante din punct de
vedere tehnologic din Uniunea
Europeană
.
Dacă începând cu anii 1990 tema securită
ții cibernetice la nivelul statelor
Uniunii Europene a fost deja amplu dezbătută
și tratată, doar de la înc
eputul anilor
2000 termenii, conceptele și strategiile elaborate
în
zona academică de pe spa
țiul
Statelor Unite ale Americii și Canadei au început să primească corespondente
analoage, de
și nu identice, în mediul academic dominant al Uniunii Europene.
La el
aborarea acestui
demers
, în decursul activită
ții de cercetare și
documentare, am plecat de la observa
ția că deși legătura tradițională a Marii
Britanii cu continentul Nord
–
American și folosirea limbii engleze ca limbă
universală
în
domeniul ICT a avut o in
fluen
ță majoră asupra adoptării acestui
complex de termeni, concepte și strategii într
–
o forma
cât mai apropiată de
semantica ini
țială, influenta modelelor conceptuale particulare din domeniul
securită
ții cibernetice prezente în mediul academic francez, ge
rman și est
–
european, ultimul fiind puternic dominat de modelul de securitate și apărare post
–
sovietic, a determinat un clivaj al acestui complex din domeniul securită
ții
NECLASIFICAT
NECLASIFICAT
144
din
284
cibernetice în diferite direc
ții, dependente de modelul conceptual dominat, clivaj
es
tompat
în
special de rolul de integrator al conceptului de apărare colectivă,
caracteristic NATO, cu impact în mod direct asupra strategiilor de apărarea
cibernetică al unor state componente ale Uniunii Europene.
Pentru a putea i
nterpreta corect aceste inf
luen
ț
e vectoriale asupra
complexului de termeni, concepte și strategii din domeniul securită
ții cibernetice la
ni
velul Uniunii Europene, influen
ț
e care variază în mod natural de la o orientare
care favorizează posibilită
țile de cooperare până la una care p
oate determina
dom
inan
ța relațiilor conflictuale î
ntre actorii statali și
nonstatal
i care se manifestă
pe spa
țiul Uniunii, în studiul nostru am apelat la interpretările oferite de „Teoria
Cooperării și Competi
ției”
214
a lui Morton Deutsch, care, în opinia sa
, o orientare a
păr
ților înspre adoptarea conceptelor și strategiilor care au la bază cooperarea, va
facilita solu
ționarea diferendelor, deoarece această orientare permite în primul rând
în
țelegerea interdependențelor pozitive dintre elementele determinant
e ale
conflictului și acceptarea acestuia drept o problemă comună, de
și inițial, atitudinea
concuren
țială a părților inhibă comunicarea și coordonarea, alimentează
suspiciunile și determină dorin
ța de dominare reciprocă.
În opinia lui Morton Deutsch, dori
n
ța de soluționare a conflictului, ulterior
acceptării acestuia ca o problemă comună de către păr
țile implicate, este alimentată
și de alternativa faptului că orice atitudine rigidă va produce în mod au
tomat
interdependen
țe negative î
ntre obiectivele păr
ți
lor, în sensul condi
ționării
succesului unei păr
ți de eșecul celorlalte, acestea fiind o cauză determinantă a
efectului distructiv asupra solu
ționării diferendelor în ceea ce privește adoptarea
unui model comun de rezolvare a conflictului.
În elaborarea ac
estui
capitol
nu am recurs la o descriere explicită a acestei
teorii și nici la testarea valabilită
ții acesteia, aplicând
–
o la practicile Uniunii
Europene privind managementul apărării cibernetice, ci am folosit elementele
214
Morton Deutsch,
Cooperation and Competition
, în Morton Deutsch, Peter T. Coleman (eds.),
The Handbook of Conflict Resolution: Theory and Practice, Jossey
–
Bas Publishers, San
Francisco, 2000.
NECLASIFICAT
NECLASIFICAT
145
din
284
metodologice, descriptive și anal
itice pentru îndeplinirea obiectivelor de cercetare
ale prezentului
capitol
.
2.1. ASPECTE ALE CONCEPTULUI DE SECURITATE CIBERNETICĂ
PE SPA
ȚIUL UNIUNII EUROPENE
În pofida interesului tot mai mare în problema securită
ții și apărării
cibernetice manifestat
de către diversele agen
ții guvernamentale de pe spațiul
Uniunii Europene
și proliferarea inițiativelor în acest sens din partea tarilor
Uniunii, în decursul cercetării noastre, am observat că modelele conceptuale ale
strategiilor de apărare și securitate a
doptate la nivelul Comisiei Europene,
referitoare la domeniul cibernetic sunt utilizate într
–
o manieră destul ambiguă, fără
ca să existe o definire comună în ceea ce prive
ște clasificarea amenințărilor și
riscurilor cibernetice deja adoptate la nivel na
țio
nal de către
țările membre ale
Uniunii.
Terminologia este o problemă importantă în dezbaterea academică
referitoare la subiectele din domeniul securită
ții cibernetice, însă deoarece o
definire comun acceptată a securită
ții cibernetice încă lipsește, genere
ază o
diferen
ță notabilă între politicile elaborate de Comisia Europeană, determinate în
special de către organismele subordonate, cum ar fi ENISA
–
„
Agen
ția Uniunii
Europene pentru Securitatea Re
țelelor și a Informațiilor” (European Union
Agency for Netwo
rk and Information Security)
215
sau cele partenere, cum ar fi
„
Centrul
de Excelen
ță
NATO în domeniul cibernetic
de la Tallinn
”
216
și politicile
de securitate cibernetică interne ale diverselor
țări din componența Uniunii.
Guvernele acestora au abordat adesea c
onstruc
ția un mediu on
–
line în condi
ții de
siguran
ță prin intermediul așa
–
numitelor politici de securitate cibernetică, însă, în
215
About ENISA, disponibil online la
https://www.enisa.europa.eu/about
–
enisa
accesat la data de
26.10.2016.
216
The NATO Cooperative Cyber Defence Centre of Excellence supports its member nations
and NATO with cyber defence expertise in the fields of technology,
strategy, operations and law.
disponibil online la https://ccdcoe.org/, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
146
din
284
timp ce securitatea informatică cuprinde mai multe aspecte ale securită
ții ITC în
mediul on
–
line și off
–
line, siguran
ța pe I
nte
rnet este considerată doar o parte
minoră a agendei de securitate cibernetică. Adesea fiind prezentă ca un obiectiv
adi
țional
în strategiile de apărare și securitate
țărilor din Uniune, siguranța pe
internet se referă, de regulă, la o cultură de con
știenti
zare, responsabilitate
și de
pregătire a indivizilor și organiza
țiilor pentru a face față amenințărilor on
–
line.
În urma deliberărilor Summit
ului Mondial privind Societatea Informa
țională
(WSIS)
217
din
anul
2005, Uniunea Interna
țională a Telecomunicațiilor (
ITU), ca
agen
ția responsabilă de ITC a Națiunilor Unite, a primit mandatul de a coordona
eforturile interna
ționale în domeniul securității cibernetice. În
anul
2010,
Conferin
ța plenipotențiară ITU în Guadalajara, Mexic, a consolidat acest mandat,
prin
Rezo
lu
ția 130
218
.
În ciuda con
ținutului recomandării ITU
–
T X.1205
219
, care cuprindea un
concept extins de securitate cibernetică care s
–
a dorit a fi utilizat ca referin
ță pe
plan interna
țional, statele au vorbit de securitate cibernetică fără a ajunge la un
limbaj
comun, fapt generat fie pentru lipsa de interes a acestora în consolidarea
unei autorită
ții internaționale în domeniul guvernanței internetului sau a
incapacită
ții Națiunilor Unite de a implica societatea civilă, aceasta concentrându
–
se
în principal de a
influen
ța la factorii de decizie politică. Ca și consecință, țările au
stabilit politicile privind securitatea cibernetică în func
ție de nevoile individuale
ale acestora, iar în decursul acest proces, fiind acordată prea pu
țină atenție
construirii unei def
ini
ții fiabile la nivel internațional a securității cibernetice, fapt
pentru care
în
țelegerea termenului variază de la țară la țară.
Nevoia unei în
țelegeri comune asupra securității cibernetice este unul din
obiectivele principale asumate de către ENISA, f
apt dovedit de publicarea în
217
The World Summit on the Information Society (WSIS), disponibil online la
http://www.itu.int/net/wsis/, accesat la data de 26.10.2016.
218
RESOLUTION 130
(Rev. Guadalajara, 2010) Strengthening the role of ITU in building
confidence and security in the use of information and communication technologies, disponibil
online la https://www.itu.int/osg/csd/cybersecurity/WSIS/RESOLUTION_130.pdf, accesat la
data de
26.10.2016.
219
ITU
–
T X.1205 (04/2008), disponibil online la https://www.itu.int/itu
–
t/recommendations/rec.aspx?id=9136, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
147
din
284
d
ecembrie 2015 a raportului
„Def
ini
ția Securității Cibernetice
–
Lacune și
suprapuneri în domeniul standardizării
” (Definition of Cybersecurity
–
Gaps and
overlaps in standardization)
220
. Cu toate acestea, raportul „
Securitatea C
ibernetică
a Uniunii Europene” (Cybersecurity in the European Union and Beyond:
Exploring the Threats and Policy Responses)
221
lansat de către Directoratul
General pentru Politici Interne
222
al Comisiei Europene nu a reu
șit să ofere o
defini
ție clară a securit
ă
ții cibernetice și să oblige statele membre să introducă
politici armonizate.
Î
n schimb,
această
cercetare
științifică
s
–
a concentrat pe
stabilirea unor principii generale de acces și
responsabilitate, pe drepturile
fundamentale
și guvernarea democratică
și în plus fa
ță de definirea rolului
guvernelor în combaterea criminalită
ții informatice, de consolidarea apărării
na
ționale și a cooperării internaționale. În considerația noastră, omisiunea poate fi
explicată prin lipsa de interes și încredere la nivelul
politic al Comisiei Europene,
relativ la o zonă care se presupune a face parte din securitatea na
țională a
membrilor.
Ca și consecin
ță, în timp ce caracterul global al internetului necesită o
abordare coerentă la nivelul Uniunii, starea generală de securi
tate cibernetică a UE
este fragmentată. Pe de o parte, statele membre ale căror economie și infrastructură
depind în mare măsură de ITC au luat măsuri cu mult înainte de introducerea
strategiei, iar
,
pe de altă parte
,
unii membri încă se luptă să pună în a
plicare măsuri
de bază fa
ță de securitatea informatică, cum ar fi legislația specifică și echipele
na
ționale de răspuns CERT. Prin urmare, putem afirma că politicile eterogene de
securitate cibernetică și nivelurile inegale de protec
ție coexistă în interio
rul UE,
220
Definition of Cybersecurity
–
Gaps and overlaps in
standardization V1.0 DECEMBER 2015
–
ENISA European
Union Agency for Network and Information Security, Catalogue Number TP
–
01
–
15
–
934
–
EN
–
N, ISBN: 978
–
92
–
9204
–
155
–
7 DOI: 10.2824/4069.
221
DIRECTORATE GENERAL FOR INTERNAL POLICIES POLICY DEPARTMENT C:
CITIZENS’ RIGHTS AND CONSTITUTIONAL AFFAIRS disponibil online
la
http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536470/IPOL_STU(2015)536470_
EN.pdf, accesat la data de data de 26.10.2016.
222
The Directorate
–
General for Internal Policies of the Union, disponibil online la
http://www.europarl.europa.eu/the
–
secre
tary
–
general/en/organisation/directorate
–
general
–
internal
–
policies
–
of
–
the
–
union, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
148
din
284
generând vulnerabilită
ți imposibil de evaluat pentru infrastructurile critice integrate
la nivelul Uniunii, cum ar fi re
țelele de transport, rețelele energetice sau sistemul
de vize pentru cetă
țenii străini.
În viziunea
Agen
ției Naționale pentru Se
curitate Cibernetică a Fran
ței
–
ANSSI (Agence Nationale De La Sécurité Des Systèmes D’information)
223
,
înfiin
țată î
n
anul
2009 prin reorganizarea Directoratului Central pentru Securitatea
Re
țelelor
și Informa
țiilor
–
DCSSI
se subliniază caracterul vag al se
curită
ții
cibernetice,
aceasta fiind caracterizată ca „termen general”
, care cuprinde nevoia
de apărare cibernetică și securitatea sistemului informa
țional, alături de lupta
împotriva criminalită
ții informatice. Acest imprecizie terminologică a devenit
evi
dentă în strategia „Strategia Na
țională a Franței pentru Securitate Digitală”
224
,
care relevă, alegerea Fran
ței pentru o abordare a decisă de guvern, astfel statul
având rolul principal în asigurarea securită
ții și apărării cibernetice, iar decizia
privind m
ăsurile și contramăsurile la un atac cibernetic fiind la nivelul Primului
Ministru.
Marea Britanie, de
și puternic influențată de viziunea Statelor Unite privind
apărarea cibernetică prin perspectiva protec
ției infrastructurii critice, are o viziune
similar
ă prin
„Strategia Na
țională de Securitate din Cibernetică 2016
–
2021”
(National Cyber Security Strategy 2016
–
2021)
225
. Marea Britanie
sugerează că, în
ciuda importan
ței sectorului privat și al societății în ansamblul ei, securitatea
informatică rămâne un subi
ect de securitate na
țională și prin urmare, o parte
importantă a agendei guvernamentale interne.
În
țelegând nevoia de parametri specifici și participare multipli, Olanda a
stabilit propriul concept de securitate cibernetică și a decis să abordeze problema
223
L’Agence nationale de la sécurité des systèmes d’information (ANSSI), disponibil online la
https://www.ssi.gouv.fr/, accesat la data de 26.10.
2016.
224
French National Digital Security Strategy, disponibil online la
https://www.enisa.europa.eu/topics/national
–
cyber
–
security
–
strategies/ncss
–
map/France_Cyber_Security_Strategy.pdf, accesat la data de 26.10.2016.
225
„NATIONAL CYBER SECURITY STRATEGY 20
16
–
2021”, disponibil la
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/567242/national_
cyber_security_strategy_2016.pdf, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
149
din
284
cu „parteneri de cooperare”
, acest sistem colaborativ fiind integrat în conceptul
olandez de apărare denumit
„
rezisten
ță prin cooperare
”
226
.
Această caracteristică se observă
și în Germania, strategia acesteia având o
dezvoltare mult mai mare puternică în p
rezentarea conceptelor de securitate
cibernetică, fiind distribuite de
–
a lungul verticalelor de interes civile, na
ționale,
globale
și militare. Cu toate acestea,
în
„Strategia de Securitate a Germaniei”
(„Cyber Security Strategy for Germany”)
227
, conceptul d
e securitate cibernetică
este definit, în opinia noastră, în termeni largi, acesta fiind diluat atât din punct de
vedere al responsabilită
ții de decizie cât și al standardizării între guvernul federal și
guvernele land
–
urilor, fără o delimitare clară a res
ponsabilită
ții acestora. O astfel
de definire nu numai că subminează valoarea și aplicarea termenului, dar deschi
de
și multiple posibilită
ți ca „
securitatea ciber
netică”
să fie utilizată în scopuri
multiple
și fără discernământ.
2.2. STRA
TEGIA DE SECURITATE CIBERNETICĂ
A UNIUNII EUROPENE
În f
ebruarie 2013, Comisia Europeană a adoptat „
Strategia de Securitate
Cibernetica a Uniunii Europene
”
228
, în scopul de a reduce și a preveni eficient
criminalitatea informatică.
226
Margriet Drent, Dick Zandee, Lo Casteleijn
–
„Defence Cooperation in Cluste
rs Identifying
the Next Steps”, Clingendael report, October 2014, disponibil online la
https://www.clingendael.nl/sites/default/files/Defence%20Cooperation%20in%20Clusters_web.p
df, accesat la data de 26.10.2016.
227
Federal Ministry of the Interior, Departme
nt IT 3, Cyber Security Strategy for Germany,
disponibil la https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/
CyberSecurity/Cyber_Security_Strategy_for_Germany.pdf?__blob=publicationFile, accesat la
data de 26.10.2016.
228
JOINT COMMUNICATION
TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE
EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE
REGIONS, Cybersecurity Strategy of the European Union: An Open, Safe and Secure
Cyberspace, disponibil online la https://ec.europa.eu/home
–
affairs
/sites/homeaffairs/files/e
–
library/documents/policies/organized
–
crime
–
and
–
human
–
trafficking/cybercrime/docs/join_
2013_1_en.pdf, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
15
0
din
284
Au fost
identificate trei motiva
ții generale domină agenda acestei strategii,
prima temă fiind cea economică, prosperitatea UE fiind tot mai dependentă de
puterea sistemului informa
țional și al sistemelor de comunicații, iar o creștere
economică nu este viabilă fă
ră un spa
țiu cibernetic
„
deschis, în condi
ții de
siguran
ță, și sigur
”
229
. Cea de a doua motiva
ție se referă la obiectivele sale
politice, acela de a proiecta și
de a
adopta
,
în mod corespunzător
,
un model de
guvernan
ță cibernetică multiculturală care să redu
că decalajul european al
diverselor
țări componente în
asigurarea unei coeren
țe inter
operative și al unui
nivel confortabil al capacită
ții de apărare cibernetică. A treia motivație se referă la
faptul că normele și principiile care
țin de protejarea dreptu
rilor fundamentale, a
democra
ției și al statului de drept în UE trebuie să se aplice în mod egal și spațiului
virtual său.
Astfel, în opinia noastră, la elaborarea acestei Strategii, obiectivele
principale ale Comisiei în domeniul securită
ții cibernetice a
u fost:
a) Cre
șterea capacității securității cibernetice și a cooperării în scopul
prevenirii riscurilor și amenin
țărilor. Obiectivul urmărit este de a aduce
capabilită
țile de asigurare a unui nivel confortabil al securității cibernetice la
acela
și nivel
de dezvoltare în toate statele membre ale UE și de a dezvolta un cadru
conceptual care să asigure faptul că schimburile de informa
ții și cooperarea sunt
eficiente inclusiv la nivel transfrontalier. În acest domeniu, „
Directiva privind
Securitatea Sistemelo
r și Re
țelelor Informatice
”
(The Directive on security of
network and information systems)
230
–
numită și directiva NIS este principalul
instrument de sus
ținere a rezilienței cibernetice a Europei.
b) Transformarea UE într
–
un jucător puternic în securitatea
cibernetică.
Prin
acest obiectiv se subliniază faptul că
Uniunea Europeană trebuie să î
și amplifice
229
European Commission. 2013a. Joint Communication to the European Parliament, the
Council, the E
uropean Economic and Social Committee and the Committee of the Regions
–
Cyberstrategy of the European Union: An Open, Safe and Secure Cyberspace. JOIN (2013) 1
Final. As of 12 October 2015
, disponibil online la http://eeas.europa.eu/policies/eu
–
cyber
–
secu
rity/cybsec_comm_en.pdf, accesat la data de 26.10.2016.
230
DIRECTIVA (UE) 2016/1148 A PARLAMENTULUI EUROPEAN
ȘI A CONSILIULUI din
6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a re
țelelor și a sistemelor
informatice în Uniune, disp
onibil online la http://eur
–
lex.europa.eu/legal
–
content/RO/TXT/PDF/?uri=CELEX:32016L1148&from=EN, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
151
din
284
eforturile în cultivarea unui avantaj competitiv în domeniul securită
ții cibernetice,
pentru a se asigura că cetă
țenii europeni, organizațiile comerciale,
sistemul
administra
ției publice și componentele de apărare au acces la cele mai recente
tehnologii de securitate digitală, interoperabile, competitive, având un nivel de
încredere ridicat
și care sunt dezvoltate și implementate pe baza unor politici care
r
espectă drepturile fundamentale ale cetă
țenilor, inclusiv dreptul la viață privată.
De asemenea, se sus
ține dezvoltarea capacităților de cooperare economică, pentru
a se profita de expansiunea pie
ței de servicii
în
domeniul securită
ții cibernetice, la
nive
l mondial. Pentru a realiza acest lucru, Europa are nevoie să depă
șească
fragmentarea actuală a pie
ței de securitate cibernetică și să stimuleze industria
europeană de securitate cibernetică, Comisia Europeană având ca obiectiv strategic
consolidarea capac
ită
ților industriale din Europa, specifice domeniului.
c) Integrarea securită
ții cibernetice în cadrul politicilor viitoare ale Uniunii
Europene. Obiectivul este acela de a asigura cadrul procedural necesar încorporării
elementelor privind securitatea cibe
rnetică în viitoarele ini
țiative politice ale UE
încă din faza de elaborare, în special relativ la noile tehnologii
și sectoare
emergente.
Mai mult decât atât, unul dintre punctele cheie ale Strategiei a fost ini
țierea
adoptării unei directive comune care
se ocupă cu securitatea re
țelelor ITC între
statele membre, directivă ce va deveni ulterior directiva NIS.
De
și aceste obiective nu au fost unicele asumate la elaborarea strategiei și
având în vedere implica
țiile discrepanțelor ample în capacitatea, coeren
ța și
interoperabilitatea capacită
ților de apărare și securitate cibernetică a statelor
membre, tema globală este dominată de accentul pus pe armonizarea și
coordonarea eforturilor și politicilor statelor membre pentru a depă
și aceste
fragmentări.
Din anal
iza noastră, acest lucru s
–
a manifestat în diverse eforturi,
principalele identificate de noi fiind:
1
.
stabilirea unor agen
ții pan
europene cu voca
ție
în
apărarea și securitatea
cibernetică,
2
.
consolidarea legisla
ției europene care se referă la securitatea ci
bernetică
și suportul acordat statelor membre în scopul sporirii capacită
ților juridice interne.
NECLASIFICAT
NECLASIFICAT
152
din
284
Provocarea este de a stabili marjele corespunzătoare ale puterii legislative
care urmează să fie delegată autorită
ților interne ale țărilor componente, în ace
la
și
timp cu coordonarea punerii în aplicare a unei agende europene de securitate
cibernetică.
Din perspectiva temei principale, axată pe obiectivele de armonizare
și
coordonare, am identificat cinci direc
ții de dezvoltare:
1
.
r
ealizarea unei rezilien
țe ciber
netice unitare, controlabile și având un nivel
confortabil la nivelul întregii Uniuni.
2
.
r
educerea drastică a criminalită
ții cibernetice și a celorlalte fenomene
asociate.
3
.
d
ezvoltarea politicilor și capabilită
ților de apărare cibernetică
în
concordan
ță cu „
P
olitica C
omună de Apărare și Securitate
–
CSDP
”
(COMMON
SECURITY AND DEFENCE POLICY)
231
.
4
.
d
ezvoltarea unei infrastructuri tehnologice industriale și de cercetare a
resurselor din domeniul securită
ții cibernetice.
5
.
s
tabilirea pentru Uniunea Europeană a unor pol
itici coerente de cooperare
interna
țională în spațiul virtual în același timp cu promovarea valorilor sale
fundamentale.
Cre
șterea angajamentului Comisiei Europene de a extinde resursele
industriale și colaborarea cu actorii interna
ționali sunt considerate
elemente critice,
deoarece acestea joacă un rol determinant în realizarea rezilien
ței cibernetice,
reducerea criminalită
ții informatice și consolidarea sistemului european de apărare
cibernetică.
În ceea ce prive
ște activitatea diplomatică din domeniul ap
ărării cibernetice,
S
trategia Uniunii Europene afirma continuarea, împreună cu partenerii statali, cu
organiza
țiile globale cu vocație
în
domeniu, a extinderii și în spa
țiul virtual a
valorilor de bază ale democra
ției, drepturilor omului și a statului de d
rept, prin
promovarea tezei care are la bază faptul că dreptul interna
țional existent se aplică
și online,
în
acela
și mod
în
care el se aplica offline.
„Serviciul de Ac
țiuni Externe
231
The Common Security and Defence Policy (CSDP), disponibil online la
http://www.europarl.europa.eu/ftu/pdf/en/FTU_6.1.2.pdf, a
ccesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
153
din
284
al Uniunii Europene (European External Action Service
–
EEAS)”
232
, ca mecani
sm
diplomatic al Uniunii Europene, este împuternicit de către actuala strategie să
coordoneze discu
țiile cu partenerii internaționali privind definirea normelor și
principiilor comportamentului responsabil al statelor în domeniul cibernetic,
stabilind ca m
andat pentru EEAS, sus
ținerea adoptării unor norme internaționale
de comportament în spa
țiu cibernetic acceptate de toți actorii internaționali
relevan
ți, norme care să contribuie la sporirea transparenței și predictibilității
comportamentului statelor
și,
prin urmare, a stabilită
ții în spațiul cibernetic.
2.3. DIRECTIVA
PRIVIND SECURITATEA SISTEMELOR
ȘI RE
ȚELELOR INFORMATICE
–
DIRECTIVA NI
S
Textul pentru o directivă privind securitatea re
țelelor și a sistemelor
informati
ce a fost propusă spre aprobare de Comisia Europeană în
anul
2013, însă
aceasta a fost aprobată în Parlamentul European, Consiliu
și Comisie abia la
7 decembrie 2015, în urma unei negocieri lungi. Astfel, ceea ce se nume
ște Directiva
NIS sau „
Directiva pr
ivind Securitatea Sistemelor și Re
țelelor Informatice
”
(
DIRECTIVA UE 2016/1148 A PARLAMENTULUI EUROPEAN
ȘI A
CONSILIULUI din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de
securitate a re
țelelor și a sistemelor informatice în Uniune
)
233
a fost
adoptată în mod
oficial, de către cele 28 de state m
embre ale Uniunii Europene, la
6 iulie 2016.
Prezenta directivă conferă statelor membre 21 de luni pentru a o transpune în
propriile sisteme na
ționale, fiind admise șase luni suplimentare pentru a identif
ica
operatorii de servicii esen
țiale. Articolul 5 din directivă precizează criteriile de
identificare a principalilor operatori după cum urmează:
„
(a) o entitate furnizează
un serviciu care este esen
țial pentru menținerea activităților critice ale societăț
ii
și
sau economice; (b) furnizarea acestui serviciu depinde de infrastructura de re
țea
și de cea prelucrătoare de informații; și (c) un incident ar avea efecte
232
European External Action Service (EEAS), disponibil online la
https://eeas.europa.eu/headquarters/headquarters
–
homepage/82/about
–
the
–
european
–
external
–
action
–
service
–
eeas_en, accesat la data de 26.10.2016.
233
DIRECTIVA (UE)
2016/1148 A PARLAMENTULUI EUROPEAN
ȘI A CONSILIULUI din
6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a re
țelelor și a sistemelor
informatice în Uniune, disponibil online la http://eur
–
lex.europa.eu/legal
–
content/RO/TXT/PDF/?uri=C
ELEX:32016L1148&from=EN, accesat la data de 26.10.2016
NECLASIFICAT
NECLASIFICAT
154
din
284
perturbatoare semnificative asupra furnizarea serviciului
”
234
. Scopul de bază al
directivei este
acela de a realiza o armonizare minimă al capabilită
ților de
securitate cibernetică dezvoltate de către statele Uniunii Europene.
În cuprinsul directivei NIS, noi am identificat trei ac
țiuni principale, ale
căror obiective pot constitui o bază de plecare p
entru elaborarea unui mecanism de
implementare al obiectivelor din „
Strategia de Securitate Cibernetica a Uniunii
Europene
” din
anul
2013.
În primul rând, o „Echipă de Răspuns la Incidente de Securitate” (Computer
Security Incident Response Teams
)
–
CSIR
T este creată pe întreg teritoriul UE,
având rolul și sarcinile lor în raport cu strategia definite la articolul 9 și anexa I la
directivă (L 194/13), în scopul de a oferi un răspuns mai rapid
și mai eficient la
amenin
țările cibernetice sau la acțiunile os
tile derulate prin intermediul spa
țiului
cibernetic.
În al doilea rând, directiva încurajează crearea unui
„
Grup de Cooperare
”
,
având rolul de a garanta o
„
cooperare strategică
și schimbul de informații între
statele membre
și să dezvolte încredere între
ei
”
235
,
acest grup fiind sus
ținut de o
„re
țea CSIRT”
cu scopul de a facilita o cooperare opera
țională relativ la atacurile
cibernetice specifice sau incidentelor cibernetice.
În al
treilea rând, este promovată o „cultură a securită
ții”
în rândul
întreprinde
rilor europene care au fost identificate ca furnizori de infrastructură
critică.
Conform capitolului IV al Directivei NIS, st
atele sunt obligate să men
țină
un
nivel minim al capabilită
ților naționale de securitate cibernetică. Acest lucru
presupune proiect
area și punerea în aplicare a unor strategii na
ționale NIS,
înfiin
țarea autorităților naționale competente NIS, numite
în
Directivă și „puncte
234
European Council and European Parliament, Directive concerning measures for a high
common level of security of network and information systems across the Union, L 194/13, 6 July
2016, Brussels, arti
cle 5(2), disponibil online la http://eur
–
lex.europa.eu/legal
–
content/EN/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc=OJ:L:2016:194:TOC,
accesat la data de 26.10.2016.
235
Ahmed Baladi, Lawson Caisley, Catherine Di Lorenzo, Peter Eijsvoogel, Philip M
ansfield,
EU Directive On Cybersecurity Agreed, disponibil online la
http://www.jdsupra.com/post/contentViewerEmbed.aspx?fid=e9de2ee1
–
e04d
–
4123
–
b8a7
–
2add7ea9d3ca, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
155
din
284
unice de contact”
, instituirea echipelor de interven
ție CERT pentru cazurile de
urgen
ță, aceste entități având ob
liga
ția de a monitoriza
îndeplinirea cerin
țelor
minime de securitate
și de raportare a incidentelor de către societăț
ile private
interne, numite și „operatori de pe pia
ță”
și de a colabora cu omologii lor europeni,
cum ar fi „
Agen
ția Uniunii Europene pentr
u Securitatea Re
țelelor și a Informațiilor
(ENISA)” și
CERT
–
UE.
Un aspect surprinzător al directivei NIS identificat de noi, este faptul că
dispozi
țiile sale se aplică și anumitor furnizori de servicii digitale, fiind identificate
trei categorii principale
de astfel de furnizori:
1
.
Pie
țe online
O „pia
ță online”
este definită ca fiind
„
un serviciu digital care permite
consumatorilor
și/sau comercianților …
pentru a încheia vânzări on
–
line și
contracte de servicii cu comercian
ți, fie de pe site
–
ul pie
ței on
line sau pe site
–
ul
unui comerciant care utilizează serviciile de ITC oferite de pia
ța online.
”
236
Aceasta este o defini
ție extrem de largă, care ar putea include sub efectul ei un
spectru larg de agen
ți economici, de la cei mai mari furnizori de e
–
Commerce
până
la mici companii de servicii, care î
și oferă produsele prin intermediul site
–
urile lor,
în măsura în care aceste societă
ți nu intră categoriile de excludere a micro
–
întreprinderilor. Această categorie poate include pie
țe care se angajează în B2C
(Busi
ness to Commerce)
precum și tranzac
țiile B2B
(Business to Business)
. De
remarcat faptul că magazinele de aplica
ții sunt considerate ca fiind în domeniul de
aplicare, însă site
–
urile web care oferă servicii de compara
ție a prețurilor nu sunt
incluse în acea
stă categorie.
2
.
Motoarele de căutare online.
Un „motor de căutare on
–
line”
este definit, în accep
țiunea prezentei
Directive, ca fiind
„
un serviciu digital care permite utilizatorilor să efectueze
căutări de, în principiu, pe toate site
–
urile din spa
țiul c
ibernetic sau pe site
–
urile
într
–
o anumită limbă, pe baza unei interogări cu privire la orice subiect sub forma
236
The European Commission's Platforms Communication, disponib
il online la
https://ec.europa.eu/digital
–
single
–
market/en/online
–
platforms
–
digital
–
single
–
market, accesat la
data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
156
din
284
unui cuvânt cheie, o expresie sau o altă intrare și returnează link
–
uri în care
informa
țiile referitoare la conținutul solicitat poate fi găsit
”
237
. Este clar faptul că
motoarele de căutare mari, cum ar fi Google și Bing vor cădea sub inciden
ța
acestei defini
ții, însă Directiva privind NIS nu clarifică dacă va face sau nu
obiectul directivei, situa
ția în care motoarele de căutare acționează doar înt
r
–
un
anumit site.
3
.
Servicii de „cloud computing”.
Cea de a treia și probabil cea mai largă categorie de servicii digitale
reglementate de directiva NIS sunt serviciile de „cloud computing”. Un serviciu de
„cloud computing” este definit ca fiind
„
un servici
u digital care permite accesul la
un mediu scalabil și elastic al resurselor de
calcul, care poate fi partajat î
ntre
multipli utilizatori.
”
238
De
și există diverse interpretări cu pr
ivire la sensurile
expresiilor „resurse de calcul”, „scalabile”
și „
mediu
ela
stic care poate fi partajat”
,
această defini
ție ar putea să se aplice serviciilor prestate de o gamă largă de
organiza
ții private sau guvernamentale.
O problemă cheie identificată de noi se referă la legisla
ția statului membru
care se va aplica companiilor
care se găsesc în domeniul de aplicare al directivei
NIS. De
și, furnizorii de servicii esențiale nu se vor confrunta cu această problemă,
deoarece ace
știa vor fi identificați pe listă publicată de către acel statul membru în
care furnizorul este declarat,
un furnizor de servicii digitale se va supune legii
stat
ului membru în care acesta are „sediu principal”
, acesta fiind în principiu statul
membru în care se află sediul central al acelui furnizor. Cu toate că, în opinia
noastră, se inten
ționează
ca doar u
n singur stat membru să
aibă competen
ță de
supraveghere asupra unui furnizor de servicii digitale, definirea loca
ției în care
acesta are sediul principal poate fi neclară pentru companiile care au opera
țiuni în
mai multe state membre.
237
DIRECTIVE EU 2016/1148
–
security of NIS, disponibil online la
http://www.lewik.org/term/12306/online
–
search
–
engine
–
article
–
4
–
directive
–
eu
–
2016
–
1148
–
security
–
of
–
nis/, accesat la data de 26.10.2016.
238
Dr. Evangelos Ouzounis, Cloud and Critical Information Infrastructures
–
Cloud computing in
ENISA, disponibil online la
http://www.cloudforeurope.eu/documents/10179/23929/CloudforEurope+
–
+Evangelos+Ouzounis+
–
+ENISA.pdf, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
157
din
284
O altă categorie car
e, în opinia noastră, poate genera neclarită
ți de
interpretare este exemplificată prin cazul unui furnizor de servicii digitale, care nu
este stabilit într
–
un stat membru, dar oferă o parte din servicii în cadrul UE, dacă se
supune Directivei NIS
la toate
serviciile oferite și în caz afirmativ, care este
legisla
ția statului membru care se aplică acestei societăți.
În cazul în care un furnizor de servicii digitale nu este stabilit într
–
un stat
membru, dar oferă servicii în cadrul UE, directiva impune societ
ă
ții respective doar
să numească un reprezentant în unul dintre acele state membre în care serviciile
sale sunt oferite.
Spre deosebire de cerin
ța ca statele membre să identifice furnizorii de
servicii de bază, statele membre nu vor fi obligate să publice
listele de societă
ți
considerate furnizori de servicii digitale, companiile care oferă servicii online vor
trebui să se determine pentru ei în
șiși dacă acestea sunt furnizori de servic
ii digitale
și prin urmare, dacă
sunt sub inciden
ța cerințelor de securi
tate
și de notificare.
Cu toate acestea,
directiva NIS scute
ște micro
–
întreprinderile și în general
companiile care angajează mai pu
țin de 50 de persoane sau a cărora căror cifră de
afaceri
și/sau totalul bilanțului anual este mai mic de 10 milioane €, de
la cerin
țele
sale de conformitate.
Mediul de afaceri joacă un rol
–
cheie în cadrul strategiei, pe baza acestei
Directive fiind semnat un parteneriat public
–
privat (cPPP) între
Organiza
ția
Europeană Cyber Security
(European
Cyber
Security
Organisation)
239
–
E
CSO,
organiza
ție nonguvernamentală, non
profit, fond
ată sub legisla
ția belgiană în i
unie
2016, ea reprezentând păr
țile interesate în securitatea informatică și Comisia
Europeană. Prin acest parteneriat se preconizează triplarea investi
țiilor în domeniul
cer
cetării
și inovării, această sumă ajungând în
anul
2016, conform raportului
„
Horizon 2020 First results
”
240
al Directoratului General pentru Cercetare și
Inovare al Comisiei Europene, la 450 de milioane de euro, în cadrul programului
„Orizont 2020”.
239
A PARTNERSHIP FOR CYBER SECURITY IN EUROPE BUILDING T
OGETHER A
EUROPEAN CYBER ECOSYSTEM, disponibil online la https://www.ecs
–
org.eu/, accesat la
data de 26.10.2016
240
Directorate
–
General for Research and Innovation, Horizon 2020 First results 2015, disponibil
online la https://ec.europa.eu/programmes/horizo
n2020/sites/horizon2020/files/horizon_
2020_first_results.pdf, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
158
din
284
Astfel
,
securitatea cibernetică poate fi folosită de
țările Uniunii pentru a
ob
ține un avantaj competitiv, atât ca și jucător important în mediul internațional de
securitate
,
dar și din perspectiva dezvoltării economice. O analiză eficientă a
tentativelor anterio
are de penetrare și compromitere a infrastructurii ITC, ar putea
determina rezultate mai bune în prevenirea încălcări viitoare, decât o simplă
cre
ștere a numărului în sistemele de apărare ale rețelei. Identificarea și
monitorizarea comportamentelor on
–
line
ale poten
țialilor intruși precum și ai
utilizatorilor legitimi ar putea deveni un instrument util pentru a în
țelege mai bine
mediul de afaceri a unei companii.
O alt
ă
consecin
ță a acestei directive este abilitarea organismelor Comisiei
Europene pentru el
aborarea unui set de standarde și a unui cadru de certificare
european pentru serviciile și produsele ITC, în scopul de a depă
și dificultățile
reprezentate de o pia
ță de securitate cibernetică fragmentată. În plus față de această
ini
țiativă, un sistem de e
tichetare voluntară având normele elaborate la nivelul
Comisiei este de a
șteptat să crească securitatea produselor ITC.
Directiva prevede pentru securitatea cibernetică un n
ivel de „armonizare
minimă”
și permite statelor membre să adopte legi care ating un
nivel mai ridicat
de securitate cibernetică decât cel prevăzut în Directiva NIS. Sistemele na
ționale ar
trebui să se conformeze cu cerin
țele directivei, dar statele membre au libertatea și
pot impune cerin
țe mai stricte operatorilor aflați sub jurisdicția
lor. Considerând
cele de mai sus, am observat necesitatea analizării și faptului că riscul este generat
în mare măsură
de operatorii de servicii trans
europeni, care se găsesc confrunta
ți
cu variate de standarde divergente privind asigurarea securită
ții și
rezilien
ței
cibernetice.
2.4.
AGEN
ȚIA UNIUNII EUROPENE PENTRU SECURITATEA
RE
ȚELELOR ȘI A INFORMAȚIILOR (ENISA)
Agen
ția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor
–
ENISA este un centru de expertiză pentru securitatea informa
țiilor
și a re
țelelor
ITC atât pentru organismele UE, pentru cele ale statelor sale membre, a sectorul
privat transeuropean cât și individual, pentru cetă
țenii Europei, agenția cooperând
cu aceste grupuri pentru dezvoltarea normativelor și recomandărilor cu privi
re la
bunele practici în securitatea informa
țiilor.
NECLASIFICAT
NECLASIFICAT
159
din
284
În conformitate cu mandatul său, ENISA joacă un rol important în facilitarea
consolidării rezilien
ței cibernetice
în
UE, în special în ceea ce prive
ște reducerea
decalajelor între capacită
țile tehnice și
opera
ționale a statelor membre.
ENISA a fost creată ini
țial la 10 martie 2004
241
ca o entitate pur
complementară a Comisiei Europene, pentru a ajuta la prevenirea, analiza și
răspunsul Comisiei la probleme de securitate cibernetică pe spa
țiul UE.
Datorită
evolu
ției
în
ultima decadă a spa
țiului cibernetic și odată cu acesta a
modelului de vulnerabilită
ți, riscuri și amenințări manifestate spațiului cibernetic,
cât și a faptului ca Uniunea Europeană, ca expresie a voin
ței integrate a statelor
componente, a vă
zut în aceasta dezvoltare o oportunitate pe care dore
ște să o
transforme într
–
un avantaj competitiv strategic
economic, cultural sau chiar social
ENISA a trecut
în
ultimii ani printr
–
o serie de schimbări. Astfel durata mandatului
său a fost extins în
anul
2008
242
și
anul
2011
243
, iar atunci când Cadrul Directivă a
fost modificat în
anul
2002
244
și amendat în
anul
2009
245
, limitele mandatului
ENISA au fos
t extinse în mod semnificativ, „
….c
omisia,
ținând seama în cea mai
mare măsură de avizul ENISA, poate adopta mă
suri tehnice de punere în aplicare
241
European Commission. 2004. „Establishment of the European Network and Information
Security Agency” Regulation (EC) no. 460/2004. As of 12 October 2015, disponib
il online la
http://eur
–
lex.europa.eu/legalcontent/EN/TXT/?uri=celex:32004R0460, accesat la data de
26.10.2016.
242
European Parliament and Council of the European Union. 2008. Amending Regulation (EC)
No 460/2004 establishing the European Network and Infor
mation Security Agency as regards its
duration. Regulation (EC) no. 1007/2008, 24 September. As of 12 October 2015, disponibil
online la http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:293:0001:0002
:EN:PDF accesat la data de 26.10.2016.
243
E
uropean Parliament and Council of the European Union. 2011. Amending Regulation (EC)
No 460/2004
„Establishing the European Network and Information Security Agency as regards its duration.”
Regulation (EU) No 580/2011, 8 June. As of 12 October 2015, dispo
nibil online la
https://www.enisa.europa.eu/media/news
–
items/extension
–
ofenisa2019s
–
mandate
–
published
–
1,
accesat la data de 26.10.2016.
244
European Parliament and the Council of the European Union. 2002. Common regulatory
framework for electronic communicat
ions networks and services (Framework Directive).
Directive 2002/21/EC, 7 March. As of 12 October 2015, disponibil online la http://eur
–
lex.europa.eu/legal
–
content/EN/ALL/?uri=CELEX:32002L0021
,
accesat la data de 26.10.2016.
245
European Parliament and Coun
cil of the European Union. 2009. Amending Directives
2002/21/EC on a common regulatory framework for electronic communications networks and
services, 2002/19/EC on access to, and interconnection of, electronic communications networks
and associated facilit
ies, and 2002/20/EC on the authorization of electronic communications
networks and services. Directive 2009/140/EC, 25 November. As of 12 October 2015, disponibil
online la http://eur
–
lex.europa.eu/legal
–
content/EN/TXT/?uri=celex:32009L0140, accesat la dat
a
de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
160
din
284
corespunzătoare în vederea
în
vederea elaborării masurilor de armonizare…
”
246
.
Ca și consecin
ță imediată a acestor decizii, ENISA a fost înzestrată de către
Comisie cu autoritatea de a pune în aplicare deciziile acesteia,
iar recomandările
ENISA formează în prezent nucleul strategiei de armonizare elaborate de Comisia
Europeană.
Alte responsabilită
ți vitale ale ENISA sunt prezentate în noul regulament de
bază privind func
ționarea Agenția Uniunii Europene pentru Securitatea
Re
țelelor și
a Informa
țiilor (ENISA) și de abrogare a Regulamentului (CE) nr. 460/2004
247
,
astfel ca și organism de expertiză, sarcinile sale principale sunt de a consilia
Comisia și statele membre cu privire la aspectele legate de Directiva NIS, de a
colec
ta și analiza datele pentru a identificarea riscurilor emergente cu manifestări
relevante pe spa
țiul cibernetic, de a promova și exploata metodele de prevenire și
combatere a agresiunilor de pe spa
țiu implementate cu succes un unele țări
europene
și de a î
ncuraja cooperarea între diferitele păr
ți interesate, în special prin
„
promovarea parteneriatelor public
–
private între industria de securitate
cibernetică europeană și autorită
țile administrației publice
”
248
. De fapt, din cauza
naturii vulnerabilită
ților cib
ernetice, care se pot manifesta în întreg spa
țiu virtual și
care generează mecanisme de risc care până în prezent s
–
au dovedit neguvernabile,
consolidarea rezilien
ței cibernetice și atenuarea impactului acestor riscuri de
necesită o abordare multilaterală.
În această privin
ță putem concluziona faptul că
ENISA, prin forma de organizare, îmbunătă
țește schimbul de informații între
diver
și actori, acționând ca intermediar între diversele echipe de experți, pentru
246
European Parliament and Council of the European Union 2009.
Commission Staff Working
Document
–
Impact Assessmen
t
–
Accompanying the document Proposal for a Directive of the
European Parliament and of the Council Concerning measures to e
nsure a high level of network
and information security across the Union, Strasbourg, 7.2.2013, SWD(2013) 32 final, disponibil
online la http://eur
–
lex.europa.eu/legal
–
content/EN/TXT/PDF/?uri=CELEX:52013SC0032&from
=EN, accesat la data de 26.10.2016.
247
REG
ULAMENTUL (UE) NR. 526/2013 AL PARLAMENTULUI EUROPEAN
ȘI AL
CONSILIULUI din 21 mai 2013 privind Agen
ția Uniunii Europene pentru Securitatea Rețelelor
și a Informațiilor (ENISA) și de abrogare a Regulamentului (CE) nr. 460/2004, disponibil online
la http://
eur
–
lex.europa.eu/legal
–
content/RO/TXT/PDF/?uri=CELEX:32013R0526&from=EN,
accesat la data de 26.10.2016.
248
European Union Agency for Network and Information Security (ENISA). ‘What does ENISA
do?’ As of 12 October 2015, disponibil online la http://www.enis
a.europa.eu/about
–
enisa/activities, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
161
din
284
evaluarea capabilită
ților de apărare și răspuns
la incidente de securitate cu
manifestare dominantă în spa
țiul cibernetic, identificarea lacunelor strategice sau
opera
ționale ale acestor capabilități și de evaluarea a politicilor pentru modelarea
schemelor de apărare și răspuns la nivel na
țional și euro
pean.
De asemenea
,
ENISA asistă statele membre ale UE la punerea în aplicare a
legisla
ției și recomandărilor relevante ale UE, în scopul de a îmbunătăți reziliența
infrastructurilor critice informa
ționale ale Europei, iar ca și agenție a Comisiei
Europene,
prin mandatul dat de Directiva NIS, facilitează și monitorizează atât
schimbul de experien
ță între CERT
–
UE și organiza
țiile CERT din țările Uniunii,
dar și derularea de programe pentru sprijinirea dezvoltării transfrontaliere a
comunită
ților de specialișt
i, dedicate îmbunătă
țirii securității rețelelor și a
sistemelor de procesare a informa
țiilor în întreaga Uniune.
În domeniul rezilien
ței cibernetice, ENISA este jucătorul principal la nivelul
Uniunii, aceasta fiind însărcinată cu studiul și elaborarea stra
tegiilor pentru
reducerea fragmentării existente în abordarea europeană a securită
ții cibernetice,
mai ales prin derularea de programe de dezvoltare pentru reducerea decalajelor de
capacită
ți ale statelor membre.
Strategia din
anul
2012 referitoare la cons
truc
ția unui „
Cloud Computing
”
249
la nivel european, denumită și „
Strategia Europeană pentru Cloud
” (
European
Cloud
Strategy
)
250
a Uniunii Europene
și viziunea produsă de către „
Parteneriatul
European pentru Cloud
” (
European
Cloud
Partnership
)
251
–
ECP, a pozi
ți
onat
ENISA, ca și centru de expertiză responsabilă pentru elaborarea cadrului
procedural pentru construc
ția unui comitet, coordonat de „
Institutul European
pentru standarde în Telecomunica
ții” (European Telecommunications Standards
249
How Cloud Computing Works, disponibil online la
http://www.webopedia.com/TERM/C/cloud_computing.html, accesat la data de 26.10.2016.
250
European Cloud Strategy 2012, disponibil online la h
ttps://ec.europa.eu/digital
–
single
–
market/en/european
–
cloud
–
computing
–
strategy, accesat la data de 26.10.2016.
251
The European Cloud Partnership (ECP), disponibil online la https://ec.europa.eu/digital
–
single
–
market/en/european
–
cloud
–
partnership, accesat la
data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
162
din
284
Institute)
–
ETSI
252
,
resp
onsabil de elaborarea propunerilor către Comisia
Europeană
pentru standardele tehnologice și a cadrului juridic
referitor la
„cloud
computing”.
ENISA este agen
ția europeană
responsabilă pentru elaborarea, revizuirea
anuală și propunerea spre avizare de că
tre Comisia Europeană a „
Listei Cadrul de
Certificare Cloud
”
–
CCSL (
Cloud Computing Certification
)
253
, care reune
ște sub
un cadru unic de compatibilitate, schemele de certificare ale autorită
ților
recunoscute pe teritoriul UE.
În mod ideal, evolu
ția privin
d capacită
țile de a răspunde în mod direct la
amenin
țările care au componentă cibernetică majoră și eficacitatea unui răspuns
unitar al UE, poate fi măsurată prin interpretarea schimbărilor în timp, vizibile, în
mecanismele amenin
țărilor și în evoluția cap
abilită
ților organizațiilor care
manifestă ostilitate în spa
țiul cibernetic, de a înțelege riscurile și de a exploata
vulnerabilită
țile infrastructurilor cibernetice de pe spațiul european. Cu toate
acestea, spre deosebire de cazul Statelor Unite unde aces
te tipuri de evaluări
reprezintă instrumentul principal pe baza cărora se elaborează strategiile de apărare
cibernetică a infrastructurii critice, la nivelul Uniunii Europene o astfel de evaluare
nu este nici posibilă și nici fezabilă, atât datorită faptul
ui că nu există disponibile
suficiente informa
ții integrate la nivelul organismelor UE relativ la problematica
domeniului cât și datorită inexisten
ței unui mecanism de integrare și evaluare al
informa
țiilor, al modului de derulare și al impactului diferite
lor atacuri cibernetice
asupra infrastructurilor ICT de pe spa
țiul UE.
Prima constatare importantă în decursul documentării noastre, în ceea ce
prive
ște eficacitatea percepută a răspunsului organismelor Uniunii la atacurile
cibernetice derulate atât asupra
sistemelor ITC gestionate de acestea, dar mai ales
asupra infrastructurilor critice cu componentă cibernetică majoră ale
țărilor uniunii,
este faptul că de
și există încă foarte multă fragmentare la compunerea unui
252
ETSI, the European Telecommunications Standards Institute, disponibil online la
http://www.etsi.org/about, accesat la data de 26.10.2016.
253
CCSL
–
the Cloud Certification Schemes List, disponibil online la
https://resilience.enisa.eu
ropa.eu/cloud
–
computing
–
certification, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
163
din
284
răspuns, există, de asemenea, o îmbunătă
ț
ire perceptibilă la nivelul cooperării,
schimbului de informa
ții și mai ales la punerea în comun a capacităților ITC
na
ționale ale statelor Uniunii, pentru generarea unui răspuns coerent, comparabil
cu cel din doctrina de descurajare a Statelor Unite ale A
mericii. Relativ la acest
aspect, este demn de remarcat acordul de cooperare strategică între ENISA
și
„
Centrul European pentru Criminalitate Cibernetică
” (European Cyber Crime
Centre)
254
EC3, componentă specializată a Europol, acord care are ca scop
coopera
rea CERT
–
UE, organiza
țiile CERT naționale și Europol, în scopul
combaterii criminalită
ții cibernetice transfrontaliere.
„
DIRECTIVA 2013/40/UE A PARLAMENTULUI EUROPEAN
ȘI A
CONSILIULUI din 12 august 2013 privind atacurile împotriva sistemelor
informatice
și
de înlocuire a Deciziei
–
cadru 2005/222/JAI a Consiliului
”
255
,
stabile
ște două obiective:
1) stabilirea de standarde minime pentru definirea infrac
țiunilor penale și a
sanc
țiunilor corespunzătoare.
2) promovarea cooperării între pia
ța internă, agențiile de
aplicare a legii
și
organele specializate ale Uniunii,
și anume Europol, EC3, Eurojust și ENISA.
În ceea ce prive
ște standardizarea infracțiunilor, directiva introduce patru
categorii comune de infrac
țiuni cu caracter penal:
a.
a
ccesul ilegal la sisteme
le informa
ții,
b.
i
n
terferen
ța ilegală cu un sistem informatic
c.
m
odificarea sau alterarea ilegală de date
d.
i
nterceptarea ilegală
O aten
ție deosebită a fost acordată și prin
introducerea unor sanc
țiuni penale
împotriva atacurilor de tip „botnet”.
254
EUROPEAN CYBERCRIME CENTRE
–
EC3, disponibil online la
https://www.europol.europa.eu/about
–
europol/european
–
cybercrime
–
centre
–
ec3, accesat la data
de 26.10.2016.
255
European Parliament
and Council of the European Union. 2013a.
On attacks against
information systems and replacing Council Framework Decision 2005/222 JHA
. Directive
2013/40/EU, 12 August. As of 12 October, disponibil online la http://eur
–
lex.europa.eu/legal
–
content/RO/TXT/PD
F/?uri=CELEX:32013L0040&from=EN, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
164
din
284
În c
eea ce prive
ște consolidarea cooperării, directiva subliniază importanța
construc
ției punctelor de contact în fiecare stat membru și subliniază necesitatea de
a alimenta Europol
și ENISA cu informații relevante. De asemenea
,
se afirma
calitatea de centru U
E de cyber
–
intelligence a EC3.
De
și negocierile tripartite dintre Comisia Europeană, Parlamentul European
și Consiliul Uniunii Europene continuă, iar în ultimii ani fiind făcute progrese
notabile atât prin dezvoltarea cooperării între instrumentele propri
i de prevenire și
combatere riscurilor și amenin
țărilor din spațiul cibernetic
,
cât și prin cooperarea
cu partenerii externi, în special SUA sau NATO, pentru eliminarea incoeren
ței și
inconsisten
ței în modalitatea de luare a deciziei privind politica de pr
evenire și
răspuns la amenin
țările din spa
țiul cibernetic, devine din ce î
n ce mai mult evident
faptul că este necesară construc
ția unui organism având capacitate de decizie la
nivelul Consiliului European, împuternicit de către Comisia Europeană pentru a
armoniza și concentra decizia capacită
ților operaționale relevante pe spațiul
Uniunii Europene, în
țelegerea și adoptarea de către statele Uniunii a unui model și
a unei strategii unice privind apărarea și securitatea cibernetică.
2.5. CENTRUL DE RĂSPUNS P
ENTRU INCIDENTE INFORMATICE
–
CERT
–
EU
După o fază pilot de un an
și o evaluare de constituționalitate încheiată cu
succes, institu
țiile UE au decis să înființeze o echipă permanentă de ră
spuns la
incidente informatice
–
CERT
–
UE pentru institu
țiile UE, age
n
țiile și organismele
sale asociate, decizia fiind luată la 11 septembrie 2012. Echipa este formată din
exper
ți de securitate IT din principalele instituții ale Uniunii Europene, astfel :
–
Comisia Europeană;
–
Secretariatul General al Consiliului
;
–
Parlament
ul European;
–
Comitetul Regiunilor;
–
Comitetul Economic
și Social
;
NECLASIFICAT
NECLASIFICAT
165
din
284
–
Banca Europeană de Investi
ții
;
–
Curtea de Justi
ție a Uniunii Europene
;
–
Banca Centrală Europeană
De asemenea, institu
țional CERT
–
UE cooperează strâns cu atât cu alte
organiza
ții CERT din stat
ele membre
,
cât și din afara acesteia,
precum
și cu firme
specializate de securitate ITC.
CERT
–
UE furnizează servicii de securitate ITC, cum ar fi:
avertismente
și
anun
țuri, alerte, incidente coordonarea răspunsului) pentru a sprijini instituțiile UE,
age
n
țiile și organismele acesteia, pentru protejarea bunurilor IT împotriva
atacurilor cibernetice.
Pentru îndeplinirea cu succes a misiunii sale și livrarea acestor
servicii la un
nivel confortabil de calitate, CERT
–
UE are ca principal obiectiv stabilirea și
opera
ționalizarea canalelor de cooperare
și
feedback din partea majorită
ții actorilor
relevan
ți din spațiul cibernetic de interes pentru instituțiile Uniunii Eur
opene.
Coordonarea răspunsului la incidente
și alerte impune tuturor instituțiilor să joace
un rol activ, de exemplu, prin informarea în timp util a CERT
–
UE în legătură cu
incidentele care apar.
P
entru opera
ționalizarea acestor parteneriate a fost necesar
ă stabilirea unui
set minim de bune practici pentru optimizarea furnizării de servicii,
și păstrării
caracterul de confiden
țialitate
și
conformitate cu principiile de proprietate a
datelor, în con
trolul informa
țiilor schimbate î
ntre CERT
–
UE și institu
țiile
beneficiare ale
Uniunii.
Una dintre responsabilită
țile de bază ale CERT
–
UE este difuzarea adecvată a
informa
țiilor despre atacurile cibernetice în curs de desfășurare sau a unor noi
vulnerabilită
ți critice care afectează instituțiile UE. Conform RFC 2350
256
privind
bunele practici ale CERT
–
UE, ca și surse de informa
ții pentru detectarea acestor
atacurilor
și modele pentru declanșarea acestor alerte pot fi considerate:
256
CERT
–
EU RFC 2350, disponibil la http://cert.europa.eu/static/RFC2350/RFC2350.pdf,
accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
166
din
284
–
a
lerte primite de la alte entită
ți de tip
CERT sau organiza
ții care au ca și
scop monitor
izarea și identificarea
amenin
țărilor de tip cibernetic;
–
i
nformarea din surse
deschise sau surse specializate;
–
i
ncidentele raportate de către institu
țiile UE, agențiile europene sau
organismele acesteia.
Atunci când raportează un incident, de exemplu un at
ac în desfă
șurare, o
infec
ție cu malware sau chiar pur și simplu o încercare de inginerie socială
direc
ționată prin e
–
mail, nu numai avertizorul în sine, ci
și toți ceilalți vor beneficia
de alerta rezultată prin CERT
–
UE din diverse motive:
–
o
rganiza
ția car
e de raportează poate face parte dintr
–
o campanie mai mare
de atacuri cibernetice direc
ționate împotriva instituțiilor Uniunii Europene
sau asupra alto
r agen
ții și organisme asociate;
–
m
odelul de atac nu ar fi putut fi detectat de către celelalte institu
ți
i
, agen
ții
organisme ale UE;
–
n
oile semnături și modele de atac nu pot fi detectate prin instrumente anti
–
malware, acestea fiind implementate doar du
pă ce sunt clasificate ca atare;
–
CERT
–
UE men
ține o listă cuprinzătoare de informații de contact atât
pentru t
oate organiza
țiile cărora le furnizează servicii de răspuns la
incidente informatice
,
cât
și
ale altor organiza
ții relevante care operează în
spa
țiul cibernetic de interes pentru Uniunea Europeană, astfel încât acestea
împreună cu CERT
–
UE pot coordona în m
od eficient atât răspunsul unitar
la aceste incidente
,
cât și difuzarea de informa
țiilor cu privire la aceste
incidente.
Conform evaluărilor noastre privind politica Uniunii Europene, CERT
–
UE
va extinde în următorii ani, treptat serviciile sale, pe baza ce
rin
țelor venite din
partea beneficiarilor,
ținând cont de competențele disponibile, resursele și
parteneriatele pe care acesta le are.
NECLASIFICAT
NECLASIFICAT
167
din
284
2.6.
POLITICA DE APĂRARE CIBERNETICĂ
A AGEN
ȚIEI EUROPENE DE APĂRARE
Agenda de apărare cibernetică a UE oferă posibilit
atea de a pune întrebări cu
privire la ceea ce ar putea face Uniunea în stabilirea priorită
ților de securitate. Mai
mult decât atât, ca un posibil domeniu de cooperare, ac
țiunile de apărare
cibernetică împreună cu logistica militară de
țin particularitatea
de a fi o capacitate
comună care nu necesită condi
ții explicite de război pentru a își demonstra
utilitatea. De
și diversitatea și complexitatea mediului amenințărilor cibernetice,
cuplate cu provocările legate de atribuire sugerează contrariul, capabilită
ț
ile
militare de apărare cibernetică ar putea oferi o mai bună valoare, din punct de
vedere al costurilor de oportunitate
și
al costului resurselor folosite, în timp de
pace, mai degrabă decât în vremuri de război.
Dezvoltarea capacită
ților militare ciberne
tice de apărare ale Uniunii
Europene este încă și astăzi considerată ca fiind într
–
o fază de încep
ut atât pentru
Comisia Europeană,
cât și pentru Consiliul Europei.
Odată cu reviziunea „
Planului de Dezvoltare al Capacită
ților”(
Capability
Development Plan
)
–
CDP
257
–
aprobată în 2011
–
a apărut dorin
ța realizării unui
un acord între statele membre participante, cu privire la necesitatea de a trata
apărarea cibernetică ca o prioritate de top.
Începând cu acest moment, „
Serviciul European de Ac
țiune Externă”
(
European External Action Service
)
–
EEAS
și în cadrul acesteia „
Statul Major al
Uniunii Europene
” (
The European Union Military Staff
)
258
–
EUMS, Agen
ția
Europeană de Apă
rare (European Defence Agency)
–
EDA
și Comisia Europeană
au cooperat alături de alte păr
ți interesate, atât în
cadrul UE, cât
și la nivel
interna
țional, pentru materializarea unei serii de inițiative, EDA și EUMS fiind
257
Capability Development Plan (CDP)
–
European Defense Agency, disponibil onl
ine la
http://www.eda.europa.eu/docs/documents/factsheet_cdp.pdf, accesat la data de 26.10.2016.
258
The European Union Military Staff (EUMS), disponibil online la
https://eeas.europa.eu/headquarters/headquarters
–
homepage_en/5436/The%20European%
20Union%20Mi
litary%20Staff%20(EUMS), accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
168
din
284
principalii actori în coordonarea acestora. Astfel de ini
țiative au fost într
–
o mare
măsură, concentrate pe implementarea cer
in
țelor directivei NIS și a obiectivelor
din
„
Strategia de Securitate Cibernetica a Uniunii Europene
” (EU Cyber Security
Strategy)
–
EUCSS, care a avut prima evaluare în luna februarie 2014, fiind
eviden
țiat faptul că aceasta a avut o contribuție majoră la
formularea deciziilor
Consiliul European din decembrie 2014 privind apărarea, deoarece a grupat
diferitele contribu
ții la apărare, justiție penală, capacitatea de adaptare și zona de
afaceri externe în cadrul unei singure abordări, pentru securitatea info
rmatică.
Î
ncepând din
anul
2010, CDP a inclus un concept de apărare cibernetică
pentru opera
țiunile definite prin „
Politica de Securitate
și Apărare Comună a UE”
(
Commo
n Security and Defence Policy)
–
CSDP
259
,
condusă de către UE
și a
planurilor interne priv
ind rolul pe care EDA ar trebui să îl joace în sprijinirea
dezvoltării capacită
ților de apărare cibernetică la nivelul statelor membre.
La un nivel mai practic, la nivelul diverselor entită
ți din comunitatea militară
a UE în cursul documentării am identif
icat progrese notabile cu privire la:
–
d
efinirea și derularea de programe de formare
și exerciții cu componentă
de apărare cibernetică majoră
;
–
s
chimburi de
informa
ții, metode tehnice
și
abordări tactice pentru
opera
țiunile de contracarare a amenințărilor c
ibernetic
;
–
r
ealizarea de acorduri formale de cooperare cu organiza
țiile partenere,
precum
„Centrul de Excelen
ță NATO pentru Cooperare în Apărarea
Cibernetică
(NATO Cooperative Cyber Defence Centre of Excellence)
–
CCDCoE”
260
de la Tallinn.
EDA este
,
de aseme
nea
,
implicată în ini
țiative mai largi, cum ar fi
exercitarea statutului de observator în cadrul experimentelor de punere în aplicare a
doctrinelor interna
ționale privind apărarea cibernetică sau includerea apărării
259
Politica de securitate
și apărare comună a UE, disponibil online la http://eur
–
lex.europa.eu/legal
–
content/RO/TXT/HTML/?uri=URISERV:ai0026&from=RO, accesat la data
de 26.10.2016.
260
NATO Cooperative
Cyber Defence Centre of Excellence, disponibil online la
https://ccdcoe.org/, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
169
din
284
cibernetice în propunerile specifice con
venite în cadrul reuniunii Consiliului
European din decembrie 2014.
În cadrul acestei reuniuni, Înaltul Reprezentant al Uniunii Europene pentru
Rela
ții Externe
și
Politica de Securitate, Catherine Ashton, în cooperare cu
Comisia Europeană
și EDA, a fost î
nsărcinat să pregătească un document cadru
privind politica de apărare cibernetică a UE în
anul
2014, bazat pe
șase direcții de
ac
țiune, astfel:
–
î
mbunătă
țirea capacităților de cercetare și implementare a tehnologiilor de
apărare cibernetică a statelor memb
re prin dezvoltarea
și punerea în aplicare a unei
foi de parcurs cuprinzătoare.
–
c
onsolidarea protec
ției sistemelor de comunicații și informații ITC, în
sprijinul structurilor CSDP, misiunilor
și operațiilor.
–
i
ntegrarea securită
ții cibernetice în politica p
rivind gestionarea crizelor de
către UE.
–
î
mbunătă
țirea formării specialiștilor din domeniul apărării cibernetice,
precum
și susținerea oportunităților privind educația și derularea de exerciții în
domeniul apărării cibernetice.
–
c
r
earea de sinergii cu al
ți
actori relevan
ți din domeniul securității
cibernetice din Europa.
–
c
onsolidarea cooperării cu partenerii relevan
ți.
În opina noastră ,în prezent există un curent de opinie, a cărui popularitate
este în cre
ștere, privind abor
darea apărării cibernetice a UE
,
care afirmă că de
și în
multe dintre statele membre s
–
au făcut pa
și mari în dezvoltarea capacităților lor de
apărare cibernetică, obiectivul atingerii unui nivel suficient de confort este încă
departe, fiind mult loc pentru îmbunătă
țiri, iar eforturile de s
prijinire a dezvoltării
acestor capacită
ți fiind esențiale, mai ales având în vedere natura unică a
contextului european prin care generarea
și pregătirea forței militare sunt mai mult
atribute na
ționale, mai degrabă decât în zona de competență a organisme
lor
centrale ale UE, iar multe
țări fiind în continuare ancorate în modele conceptuale și
doctrinare învechite privind rolul for
țelor militare în apărarea spațiul cibernetic.
NECLASIFICAT
NECLASIFICAT
170
din
284
În afară de responsabilitatea de a proteja propria infrastructură, am
identifica
t existen
ța multor păreri divergente cu privire la definirea portofoliului
politic adecvat pentru actorii tradi
ționali de securitate națională.
În cazul actorilor cu rol dominant în apărare, rela
ția dintre strategiile
na
ționale de securitate cibernetică,
în care se poate sublinia în mod natural rolul
for
țelor armate, și doctrinele sau strategiile de apărare cibernetică elaborate în
cadrul for
țelor armate respective, este
,
de asemenea
,
oarecum neclar. Cu toate
acestea însă, multe structuri militare au creat
echipele de răspuns la incidente
cibernetice de tip CERT
–
Mil
,
iar câteva state, cum ar fi Olanda, Fran
ța sau Regatul
Unit al Marii sunt în proces de evaluare sau de implementare a mai multor
organiza
ții integrate de apărare cibernetică.
În ceea ce prive
ș
te formarea speciali
știlor în apărare cibernetică, comparativ
cu spa
țiul Statelor Unite ale Americii sau NATO, pe cel al Uniunii Europene
eforturile par să fie prea generale, centrate pe obiectivul de a promova
sensibilizarea generală de securitate ciberne
tică în rândul utilizatorului mediu final,
sau excesiv de specifice, fiind direc
ționate pe pregătirea individuală de personal și
cursuri colective pentru personalul CERT
–
Mil, iar dezbaterea problemelor de
recrutare sub un standard comun la nivelul UE, este
,
de asemenea
,
un proces lent,
în special în ceea ce prive
ște reglementarea juridică integrată la nivelul Uniunii,
privind recrutarea și reten
ția specialiștilor în apărare cibernetică din structurile
militare în raport cu domeniile civile, acestea din urmă
având un caracter mai
profitabil.
În privin
ța resurselor materiale și logisticii, rolul sectorului privat în
furni
zarea de echipamente, atât în
ceea ce prive
ște crearea unor furnizori
eminamente europeni, pe toata verticala de cercetare, dezvoltare și pr
oduc
ție, cât și
crearea mecanismelor necesare sus
ținerii și integrării acestei infrastructuri la nivel
european, este încă în fază de deziderat politic.
Datorită faptului că măsura în care statele membre fac uz de sectorul privat
variază, iar în unele cazu
ri pot include dependen
ța extinsă asupra
telecomunica
țiilor deținute și operate în mod privat, structurile cu vocație în
NECLASIFICAT
NECLASIFICAT
171
din
284
apărarea cibernetică din multe
țări ale Uniunii sunt în căutarea unor instrumente și
facilită
ți formale, puse la dispoziție de sectorul
privat, pentru a simula efectele
atacurilor într
–
un mediu sigur și controlat. De exemplu, un număr de contractori
din industria de apărare oferă acum scenarii
și
instrumente pentru jocurile de
război cu componentă cibernetică pentru a testa capacită
țile d
efensive ale
structurilor militare.
Din punct de vedere al Comisiei Uniunii Europene, rolul armatei în
răspunsul la situa
ții de criză cu caracter dominant cibernetic, este încă neclar și
depinde foarte mult de legisla
ția specifică din fiecare țară compone
ntă, iar în cele
din urmă, după cum se poate observa
și în alte domenii ale politicii de securitate,
legate de utilizarea ITC, multe întrebări de interoperabilitate rămân fără și în
prezent fără răspuns.
O prioritate suplimentară gravitează în jurul consol
idării protec
ției rețelelor
de comunica
ții pentru ale structurilor CSDP, pe timpul executării diferitelor
misiuni
și operații. Astfel, în decursul cercetării noastre, am identificat unele
probleme extrem de complexe, de la modul de reconciliere privind
res
ponsabilitatea unui stat membru pentru protec
ția infrastructurii critice,
și
obiectivele misiunilor CSDP sau la modul în care, conform legisla
ției interne, un
stat membru poate se angajeze resurse sau cooperare cu sectorul privat, deoarece,
spre deosebire
de NATO, UE nu dispune de propriile sale active organice.
Prin urmare, în timpul fazelor strategice de planificare
și generare de forță,
este esen
țial să înțelegem modul în care infrastructura utilizată în timpul misiunilor
CSDP poate fi protejată în mod
adecvat, cu suport, fie din partea statelor membre
participante, fie cu sprijin din partea sectorului privat.
Problematica integrării procedurale devine mai clară atunci când apare
necesitatea unor canale de comunica
ții robuste, disponibile și stabile pen
tru
opera
țiunile desfășurate în medii ostile, unde de fapt, sectorul privat se dovedește
deseori a fi un partener valoros fie prin asigurarea de comun
ica
ții satelitare, linii
fixe
terestre sau mijloace mobile de comunicare, de
și din punct de vedere al
secu
rită
ții cibernetice acest lucru ridică probleme în gestionarea riscurilor,
NECLASIFICAT
NECLASIFICAT
172
din
284
aplicarea standardelor de securitate
și asigurarea serviciilor pentru aplicațiile
critice.
De
și la nivel european, upgrade
–
urile continue ale capacită
ților operaționale
de securita
te ale infrastructurilor critice ale EUMS
și ale Consiliului, în paralel cu
cre
șterea gradului de maturizare a CERT
–
UE, demonstrează progresul capacită
ților
organiza
ționale, astfel Directiva Cadru 2002/21/EC abordează problema securității
cibernetice în ti
mpul gestionării crizelor, în special prin includerea sa în procesul
de planificare a EUMS
și prin aspectele civil
–
militare de planificare de gestionare a
crizelor. Luând act de cadrul complexului în procesele de planificare EUMS, care
implică interac
țiuni
extinse între diferitele comitete strategice
și comandantul
opera
țional desemnat, în ultimii ani securitatea cibernetică a în
ceput să fie abordată
atât în
faza de evaluare strategică, caz în care sunt estimate posibilele evolu
ții de
ac
țiune ale actorilor
implica
ți, cât și în faza de generare a forțelor, rezultând o
în
țelegere mai bună privind motivația și modul în care actorii pot încerca să
exploateze spa
țiul virtual, în scopul de a afecta sau influența o operațiune EUMS
condusă de UE, această cunoa
ștere
fiind deseori derivată dintr
–
un amestec de
muncă de informa
ții clasică și analize tehnice sofisticate.
În ceea ce prive
ște generarea de forță, analiza noastră a evidențiat practica
comandantului opera
țional, ca după luarea deciziei de a efectua o operațiu
ne, să
ceară o coordonare a
ofertelor de active de capacită
ți cibernetice din alte state
membre, găsind deseori un echilibru satisfăcător între aspectele de securitate
cibernetică ale contextului opera
țional, inclusiv al actorilor cu vocație de securitate
cibernetică locală, fiecare având propriile lor motiva
ții, maturitatea relativă a
capacită
ților de apărare cibernetică ale acelor state membre care oferă active,
precum
și a obiectivelor generale ale misiunii. În cele din urmă însă, se simte
nevoia unui ca
dru procedural valabil la nivelul Uniunii și centrat pe
politica de
securitate promovată de aceasta, care va trebui să stabilească o responsabilitate
clară pentru modul în care comandantul opera
țional decide să gestioneze posibilele
riscuri cibernetice de
securitate la o opera
țiune de gestionare a crizelor.
NECLASIFICAT
NECLASIFICAT
173
din
284
„
Strategia de Securitate Cibernetica a Uniunii Europene
” publicată
în
anul
2013
oferă după părerea noastră, un cadru comun de cooperare, pentru o abordare
cuprinzătoare, care să reunească domeniile de p
olitică de securitate a informa
țiilor,
a rezilien
ței rețelelor, Politica de Securitate și Apărare Comună a UE, justiția
penală,
și afacerile externe, însă și aici se observă necesitatea existenței unui set
omogen de instrumente politice care ar putea ajuta
la focalizarea unui astfel de
efort.
Alte domenii care se pretează la o astfel de cooperare includ atingerea unei
mai bune în
țelegeri a modului în care actorii pot să profite de pe urma dezvoltării
unei agende de cercetare coerente
și
integrate la nivel e
uropean, care explorează
tehnologii din domeniul securită
ții cibernetice cu dublă utilizare și facilitarea unei
cooperări mai eficiente între operatorii sau proprietarii infrastructurilo
r critice
și
diferi
ți actori UE
.
Cu toate acestea, acest lucru necesit
ă asigurarea faptului că orice eforturi de
cooperare sunt în concordan
ță cu valorile europene, cum ar fi libertatea de
exprimare sau dreptul la protec
ția datelor cu caracter personal, cu respectarea
separ
ării domeniilor de intelligence
, de aplicare a legii
și domeniile apărării în
acela
și timp, obiectiv deosebit de sensibil
și
greu de realizat, având în vedere
cre
șterea interesului politic și în același timp controlul capabilităților la nivel de
stat care operează în spa
țiul virtual.
În cele din urmă
și în
sens mai larg, UE construie
ște cooperarea cu alți
parteneri interna
ționali, atât la nivel bilateral, cât și prin alte instrumente și
organiza
ții regionale. În cursul documentării noastre am identificat trei mecanisme
prin care se construie
ște această coope
rare. În primul rând, cooperarea bilaterală cu
țările terțe, în special „
Grupul de lucru UE
–
SUA
”
261
privind securitatea cibernetică
și
criminalitatea informatică, cât
și prin alte angajamente bilaterale cu India,
Brazilia
și China. În al doilea rând, implica
rea în alte platforme interna
ționale, de
261
EU
–
US cooperation on cyber security and cyberspace, Brussels, 26 March 2014, 140326/01,
disponibil la http://www.eeas.europa.eu/archives/docs/sta
tements/docs/2014/140326_01_en.pdf,
accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
174
din
284
exemplu, a
șa
–
numitul
„
Proces de la Londra
”
262
, care a produs trei confer
in
țe
diplomatice la nivel înalt
: Londra în
anul
2011, Budapesta în
anul
2012
și Seul în
anul
2013, acestea fiind convocate pentru a discuta despr
e normele de conduită în
spa
țiul virtual. Aceste platforme sunt atractive, deoarece acestea oferă o modalitate
rentabilă de a continua cooperarea cu o serie de actori interna
ționali, iar în cazul
celor care promovează ideea de spa
țiul virtual ca domeniu li
ber la nivel mondial,
aceste platforme pot sprijini proiectarea mesajelor
–
cheie pe scena interna
țională.
În al treilea rând, politica de apărare cibernetică dezvoltată prin „
Politica
Cadru pentru Apărare Cibernetică
” (EU CYBER DEFENCE POLICY
FRAMEWORK)
263
–
ECDPF
,
din
anul
2014, este menită să consolideze în
continuare
cooperarea cu NATO, organiza
ție care în calitate de furnizor de
securitate pe
plan interna
țional este aflată î
ntr
–
un un fel de criză de identitate, a
construit capacită
țile sale de apărare cibe
rnetică folosind un concept specific
adaptat unei plaje largi de amenin
țări cibernetice, folosind un plan de acțiune
coerent și detaliat.
La nivel institu
țional, NATO a introdus în operare echipe de re
ac
ție la
incidente cibernetice
–
RRT
și a adus Capabil
itatea de Răspuns la Incidente
Cibernetice
–
NCIRC la capacitatea opera
țională deplină, fiind pregătită de a lucra
alături de Autoritatea de Managem
ent pentru Apărare Cibernetică
–
CDMA.
În afara structurilor formale de comandă
și control NATO, Centrul NAT
O
de Excelen
ță pentru Cooperare în Apărarea Cibernetică
–
CCDCoE este întărit cu
participarea unor
țări din afara NATO. Centrul însuși a publicat un document de
re
ferin
ță cunoscut sub numele de „Manualul Tallinn”
cu privire la interpretarea
legii care se r
eferă la apărarea cibernetică în conflictul armat.
Având în vedere tipurile de capacită
ți existente sau emergente în cadrul
Alian
ței, un aspect cheie al „Politicii Cadru pentru Apărare Cibernetică” privind
262
GCCS2015, THE HAGUE, The Netherlands, 15 April 2015 disponibil online la
https://www.apc.org/en/node/20372, accesat la data de 26.10.2016.
263
EU Cyber Defence Policy Framework, as adopted
by the Council on 18 November 2014,
disponibil online la http://www.europarl.europa.eu/meetdocs/2014_2019/documents/sede/
dv/sede160315eucyberdefencepolicyframework_/sede160315eucyberdefencepolicyframework_e
n.pdf, accesat la data de 26.10.2016.
NECLASIFICAT
NECLASIFICAT
175
din
284
cooperarea dintre NATO
și
UE, este dat de modul î
n care cooperarea în domeniile
de complementaritate între cei doi actori poate avea ca rezultat o mai bună utilizare
a resurselor. De exemplu
,
exploatarea acordurilor de tip „Berlin plus”
la accesarea
capacită
ților organice pentru operațiuni de apărare cib
ernetică ale UE și NATO ar
putea fi o astfel de cale de cooperare practică.
Având în vedere analiza mecanismelor care determină comportamentul
strategic al Uniunii Europene în abordarea securită
ții
și
apărării cibernetice suntem
de părere ca următoarele te
ze vor domina în perioada următoare agenda atât al
vectorilor de influen
ță, dar și a
l factorilor de decizie, astfel
:
–
Focalizarea dezvoltării conceptului de apărare colectivă, asupra atacurilor
cibernetice care au la origine na
țiunile stat. În urma atacul
ui cibernetic asupra
Bundestag
–
ul german din
anul
2015, a re
țeaua ITC internă a Camerei Inferioare a
Parlamentului German a fost scoasă din func
țiune mai multe zile, în timp ce
auto
rită
țile federale au încercat să
determine ini
țiatorii și modul în care a f
ost
derulat atacul. În luna mai 2016, Oficiul Federal
pentru Protec
ția Constituției
–
BFV a anun
țat faptul că grupul rus Sofacy, specializat în atacuri de tip APT și care
este
sponsorizat de stat a fost în spatele atacului. Într
–
o declara
ție după atac,
dir
ectorul BFV, Hans
–
Georg Maassen a afirmat faptul că
„
Spa
țiul cibernetic este
un teatru de război hibrid. Acesta oferă noi oportunită
ți de spionaj și sabotaj …
însă cel mai periculos este faptul că agen
țiile de informații din Rusia arată, de
asemenea, dis
ponibilitatea pentru a efectua acte de sabotaj, care pot afecta nu
numai
țintele inițiale
,
dar și orice alte sisteme care sunt interconectate cu acestea,
f
ie ele militare, dar și civile.
“
264
.
–
Dezvoltarea mecanismelor tehnologice, organiza
ționale, politice
și militare
pentru prevenirea și combaterea atacurilor cibernetice asupra infrastructurilor
critice. Atacurile cibernetice asupra infrastructurilor critice de tip SCADA permit
accesul și exploatarea sistemelor de control industrial (ICS), punând în pericol
264
Germany S
ays Russian Government Was Behind ‘Aggressive’ Hack Of Its Government
Systems, USAFEATURESMEDIA MAY 16, 2016, disponibil online la
http://www.cyberwar.news/2016
–
05
–
16
–
germany
–
says
–
russian
–
government
–
was
–
behind
–
aggressive
–
hack
–
of
–
its
–
government
–
systems.html
, accesat la data de 05.03.2017.
NECLASIFICAT
NECLASIFICAT
176
din
284
industriile care societatea depinde în pericol. Numărul, tipul și caracteristicile
infrastructurilor critice se dezvoltă în mod continuu,
în
ritm cu introducerea
accelerată a noilor tehnologii ITC, atât
în
complexitate
,
cât și
în
volum și care pot
cuprind
e elementele industriale de fabrica
ție, logistică, transport, energie, utilități,
cum ar fi apa, petrol
și electricitate, telecomunicații, agricultură și industria
alimentară, dar
și servicii de distribuție, iar breșelor de securitate la aceste sisteme
pot
avea efecte devastatoare.
–
Încercarea de reglementare unitară la nivelul UE a problemelor privind
confiden
țialitatea datelor în spațiul cibernetic. Intimitatea este o piatra de temelie a
drepturilor constitu
ționale ale cetățenilor din toate statele Uniu
nii Europene, iar
protejarea proprietă
ții este una din tezele fundamentale pe care a fost întemeiată
Uniunea Europeană. Astfel, conform noilor norme privind protec
ția datelor în din
Regulamentul Privind Protec
ția Datelor (GDPR) aprobat de către Parlamentul
European la începutul
anu
lui 2016, începând cu anul 2018, companiile care nu
reu
șesc să asigure o protecție adecvată a datelor cetățenilor se vor confrunta cu
amenzi de până la 4 procente din cifra de afaceri, companiile cu sediul social din
afara UE, dar
care au opera
țiuni în tarile acesteia, vor fi supuse acelorași penalități.
Acest set unic de norme va simplifica reglementarea datelor în cadrul UE, oferind
cetă
țenilor din nou controlul asupra datelor lor, însă aceste regulamente au generat
noi dezbateri
aprinse privind modul în care trebuie tra
tată la nivelul UE, echilibrul
î
ntre dreptul la o via
ță privată al cetățenilor și cerințele de supraveghere ale
sistemelor de apărare ale diferitelor
țări, care invocă în contrapartidă obligația
constitu
țională de
a asigura securitatea cibernetica a propriilor cetă
țeni în modul și
utilizând mecanismele cu care sunt împuternicite de legisla
ția națională.
2.7. POLITICA NA
ȚIONALĂ PENTRU ASIGURAREA SECURITĂȚII
ȘI APĂRĂRII CIBERNETICE ÎN FRAN
ȚA, GERMANIA ȘI AUSTRIA
S
pa
țiul virtual oferă o oportunitate importantă pentru creșterea economică și
dezvoltarea socială, iar preocupările legate de securitatea acestui domeniu devin o
NECLASIFICAT
NECLASIFICAT
177
din
284
problemă din ce în ce presantă și complicată. Astfel, atât liderii de afaceri
,
cât
și
oficialii
guvernamentali, intervieva
ți la Forumul Economic Mondial în 2013
265
,au
plasat riscurile de securitate cibernetică ca având un impact economic mai mare
decât al celor legate de terorism.
Conform prev
iziunilor Comisiei Europene în „
Agenda Digitală pentru
Eur
opa
”
266
din
anul
2010, securitatea este o preocupare importantă pentru 50%
dintre cetă
țenii UE până în
anul
2015, cu scopul de a se anga
ja în e
–
Commerce
și
e
–
guvernare
,
cât
și pentru aproximativ o treime din mici întreprinderi mici și
mijlocii cu scopul a of
eri servicii on
–
line. În cazul în care cetă
țenii și proprietarii de
afaceri nu au încredere în securitate, este evident motivul pentru care ei evită
participarea la activită
ți on
–
line, inhibând astfel noi oportunită
ți de dezvoltare pe
spa
țiul cibernetic.
A
vând
în
vedere multiculturalitatea socială, economică și tehnologică care se
manifestă pe spa
țiul Uniunii Europene, cât și diferențele de dezvoltare tehnologică
între diversele
țări, este dificil de analizat și descris politica de apărare cibernetică
a Uni
unii Europene, fără a face o analiză a na
țiunilor lider a căror politică de
securitate cibernetică poate influenta
în
mod vizibil politica de securitate
cibernetică a UE, aceasta fiind, după cum am argumentat în capitolul anterior,
rezultatul unei dualită
ț
i între decizia politică și necesitatea unei politici de apărare
coerente la nivelul Uniunii.
Astfel, pentru a identifica vectorii de influen
ță în modelarea politicii de
securitate a UE se va analiza în continuare politica de securitate cibernetică a
Repu
blici Franceze, a Germaniei și a Republicii Austria.
Fran
ța, ca
ș
i centru al coali
ției francofone din Europa, fiind posesoare
a unei
infrastructuri militare
ș
i industriale dezvoltate, și
–
a definit
cinci
misiuni prioritare
de politică externă, unul din
tre el
e fiind, după opinia euro
parlamentarului român
265
World Economic Forum (2013) Global Risks Report Eighth Edition; p4 Global Risks
Landscape 2013 versus 2012; Zurich, Switzerland, disponibil la http://www3.weforum.org/
docs/WEF_GlobalRisks_Report_2013.pdf, accesat la data
de 24.11.2016.
266
Communication from the Commission of 19 May 2010 to the European Parliament, the
Council, the European Economic and Social Committee and the Committee of the Regions
–
A
Digital Agenda for Europe, COM(2010) 245 final.
NECLASIFICAT
NECLASIFICAT
178
din
284
Victor Boștinaru, promovarea modelului administrativ francez către structurile
centrale ale Uniunii Europene
267
. De asemenea,
securitatea cibernetică fost o
prioritate majoră pentru guvernul francez pentru ultim
ii trei ani, la Forumul
International pentru Securitate Cibernetică din ianuarie 2015, ministrul de interne
francez Bernard Cazeneuve a subliniat importan
ța
„
de adaptare a politicii de
securitate în concordan
ță cu noile probleme din domeniul digital.
”
268
Fra
n
ța este
singurul stat european cu posesiuni teritoriale pe toate continentele, cu excep
ția
regiunii arctice, de
ține un loc permanent în Consiliul de Securitate al Organizației
Na
țiunilor Unite și prin urmare nivelul de ambiție al proiectării politicii ext
erne
franceze este la nivel mondial. Cu elitele sale coerente, alimentate de un sistem
educa
țional puternic și o anumită continuitate a tradițiil
or sale militare, Fran
ța are o
„comunitate strategică”
care merită acest nume și prin urmare, gândirea strategi
că
franceză este considerată printre cele mai elaborate din lume.
Germania, în opinia anali
știlor de la Santander, „
este cea mai mare
economie a Europei, fiind
,
de asemenea
, principala putere industrială
ș
i
exportatoare, produsul intern brut al Germaniei
fiind estimat la nivelul anului
2016 la 2,7 trilioane de euro, considerat ca fiind echivalent cu 30% din cel al
celorlalte
țări al Uniunii Europene care folosesc moneda euro
”
269
. Influen
ța
Germaniei în UE s
–
a amplificat în ultimii 5 ani în principal ca urmar
e a rolului de
principal finan
țator în programele europene de asistență.
Din cauza proximită
ții geografice Franța și Germania au practic același
mediu de securitate, însă abordările ale celor două
țări în cadrul politicii de
securitate
și apărare sunt, în
esen
ță diferite.
267
Victor Bostinaru,
Despre descentralizare
–
modelul francez
, disponibil la
http://victorbostinaru.ro/resurse/Descentralizare
–
ModelulFrancez.pdf, accesat la data de
24.11.2016.
268
Discours de M. Bernard Cazeneuve, ministre de l’Intérieur, au Forum international de la
cybersécu
rité
–
Lille, le 26 janvier 2016, disponibil online la http://www.interieur.gouv.fr/
Archives/Archives
–
ministre
–
de
–
l
–
interieur/Archives
–
Bernard
–
Cazeneuve
–
avril
–
2014
–
decembre
–
2016/Interventions
–
du
–
ministre/26.01.2016
–
Forum
–
international
–
de
–
la
–
cybersecurite,
accesat la
data de 24.11.2016.
269
GERMANY: ECONOMIC AND POLITICAL OUTLINE, disponibil online la
https://en.portal.santandertrade.com/analyse
–
markets/germany/economic
–
political
–
outline,
accesat la data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
179
din
284
În ciuda tuturor retoricilor privind strânsa prietenie
și cooperare, la Paris și la
Berlin factorii de decizie politică par să trăiască în lumi diferite, în ceea ce prive
ște
securitatea cibernetică. După cum a fost de multe ori observat,
Fran
ța și Germania
sunt, de fapt, rareori pe aceea
și pagină atunci când este vorba de fundamentele de
securitate
și de domeniul apărării
270
.
Germania a adoptat o strategie de securitate cibernetică de abia în
anul
2011
271
, solicitările pentru stabilirea unei
astfel de strategii, fiind până atunci
respinse de către guvernul federal, astfel încât situa
ția actuală este, în mod implicit,
rezultatul unei alegeri deliberate, iar abordarea doctrinară germană a securită
ții, în
consecin
ță, este în contrast puternic cu
francezii. În lipsa unei comunită
ți strategice
adevărate, cercul de oameni care dezbat doctrinar politica de securitate cibernetică
este prin urmare destul de mic. În contrast cu abordarea politică a securită
ții
cibernetice, sectorul privat poate fi consi
derat ca fiind la fel de dezvoltat ca
și
cel
din alte state europene, economia germană depinzând de exportul de bunuri de
înaltă tehnologie, procesele de produc
ție și securitatea cibernetică a acestora
trebuind să fie cât mai eficiente posibil, în scopul d
e a men
ține competitivitatea
industriei germane, prin urmare infrastructura critică industrială are un nivel de
rezilien
ță foarte ridicat.
„
Austria va proiecta politica sa de securitate cibernetică predominant în
cadrul ONU, UE, OSCE, în parteneriatele sal
e cu NATO
și în cadrul Consiliului
Europei
”
, se arată în „Strategia de Securitate a Austriei” (Austrian Security
Strategy
–
Security in a new decade
–
Shaping Security)
272
, adoptată prin rezolu
ția
270
Riecke Henning, November 2011, «La cul
ture stratégique de la politique étrangère
allemande», Note du Cerfa n° 90, Institut français des relations internationales (IFRI); Charilllon
F., November 2011, disponibil online la http://www.zukunftsdialog.eu/fileadmin/
user_upload/pdfs/IFRI_noteducerfa
90hriecke.pdf, accesat la data de 24.11.2016.
271
Cyber Security Strategy for Germany
–
Federal Ministry of Interior, Department IT 3,
February 2011, disponibil online la https://www.bsi.bund.de/SharedDocs/Downloads/
EN/BSI/Publications/CyberSecurity/Cyber_S
ecurity_Strategy_for_Germany.pdf?__blob=public
ationFile, accesat la data de 24.11.2016.
272
Austrian Securiy Strategy
–
Security in a new decade
–
Shaping Security, Federal Chancellery
of the Republic of Austria, disponibil online la https://www.bmeia.gv.at/
fileadmin/
user_upload/Zentrale/Aussenpolitik/Austrian_Security_Strategy.pdf, accesat la data de
24.11.2016.
NECLASIFICAT
NECLASIFICAT
180
din
284
Parlamentului Austriei la 3
i
ulie 2013. Astfel Austria, fără
a poseda o comunitate
academică având reputa
ția
și
tradi
ția celei franceze sau un sector industrial
dezvoltat ca cel al Germaniei, a reu
șit
în
ultimii 10 ani, printr
–
un program ambi
țios
de informatizare al structurilor guvernamentale, să î
și construiască u
na din
tre
cele
mai eficiente infrastructuri critice de comunica
ții și prelucrări de date, care treptat a
conectat toate sectoarele economice, de la turism până la cel de servicii retail.
Având o dependen
ță mare de această infrastructură ITC, atât pentru
de
zvoltarea economică
,
cât și pentru func
ționarea serviciilor guvernamentale,
Cance
laria Federală a fost for
țată să
adopte încă de la începuturile programului
na
țional de informatizare de informatizare o politică de securitate cibernetică
agresivă. În genera
l, Austria promovează la nivel interna
țional libertatea accesului
la internet, accentuând necesitatea de a asigura punerea în aplicare a tuturor
drepturilor omului și în spa
țiu virtual. Deși la nivelul „
Strategiei de Securitate ITC
a Austriei
” (National IC
T Security Strategy Austria)
273
adoptată în anul 2012, se
consideră faptul că pentru a putea asigura un nivel de rezilien
ță
și
securitate
confortabil
„
O re
țea densă de securitate cibernetică trebuie acopere toate
domeniile de activitate…
.”, abordarea doctr
inară din Strategia de Securitate,
adoptată ulterior, consideră că este important să se găsească un echilibru între
interesele ce
țin de urmărirea penală a infracțiunilor cibernetice și respectarea
drepturilor fundamentale ale omului, precum dreptul de a l
ibertatea de exprimare
și
de informare sau dreptul la o via
ță privată.
2.7.1.
POLITICA NA
ȚIONAL
Ă PENTRU ASIGURAREA SECURITĂ
ȚII
ȘI APĂRĂRII CIBERNETICE ÎN FRAN
ȚA
Noile practici distructive detectate în spa
țiul cibernetic al ultimilor ani au
dezvoltat pe
lângă criminalitatea informatică, noi metode de spionaj cibernetic în
273
National ICT Security Strategy Austria
–
Digital Austria, Federal Chancellery, 2012,
disponibil online la https://www.enisa.europa.eu/topics/nati
onal
–
cyber
–
security
–
strategies/ncss
–
map/Austria_Cyber_Security_strategy.pdf, accesat la data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
181
din
284
scopuri politice sau economice, precum
și atacuri sofisticate asupra infrastructurii
critice de transport, energie sau comunicare, în scopul de sabotaj.
Acestea au ca scop să pună în per
icol buna func
ționare a sistemelor de
comunica
ții și informații (CIS) utilizate de către cetățeni, întreprinderi și
administra
ții, chiar și integritatea fizică a infrastructurii, care este de importanță
crucială pentru securitatea na
țională.
Securitatea c
ibernetică acoperă ansamblul de măsuri de securitate care ar
putea fi luate pentru a se apăra împotriva acestor atacuri. Cre
șterea spectaculoasă
în sofisticare
și intensitatea atacurilor cibernetice, a forțat în ultimii ani ca cele mai
dezvoltate
țări să
–
ș
i întărească capacitatea de adaptare
și să adopte strategii
na
ționale de securitate cibernetică.
Pozi
țiile strategice luate în ultimii ani la cel mai înalt nivel politic, au
consacrat subiectul securită
ții cibernetică ca o prioritate a acțiunii guvernului,
Fran
ța efectuând o revizuire profundă a apărării sale și a politicii de securitate
na
țională în „
Carta Albă a Securită
ții
și Apărării Na
ționale a Franței
–
2008
”
(Défense et Sécurité nationale
–
Le Livre blanc 2008)
274
din iunie 2008
și „
Carta
Albă a Securi
tă
ții
și Apărării Na
ționale a Franței
–
2013
” (Le Livre blanc sur la
Défense et la Sécurité Nationale
–
2013)
275
unde noile priorită
ți în domeniul
securită
ții și apărării cibernetice au fost definite și validate de către Președintele
Republicii Franceze.
Pri
ntre acestea se numără prevenirea
și răspunsul la atacurile cibernetice
asupra infrastructurilor critice, acestea fiind identificate ca fiind o prioritate majoră
în organizarea securită
ții naționale.
În viziunea doctrinei de securitate și apărare a Fran
ței
, sistemele de
prelucrare a informa
țiilor împreună cu rețelele de comunicații digitale au fost în
274
Odile Jacob Défense et Sécurité nationale
–
Le Livre blanc 2008, disponibil online la
http://www.ladocumentationfrancaise.fr/var/storage/rapports
–
publics/084000341.pdf, accesat la
data de 24.11.2016.
275
Le Livre blanc sur la défense et la sécurité nationale 2013, Direction de l’information légale
et administrative, Paris, 2013 ISBN: 978
–
2
–
11
–
009358
–
5, disponibil online la http://www
–
dam.cea.fr/missio
ns/docs/Livre
–
blanc
–
sur
–
la
–
Defense
–
et
–
la
–
Securite
–
nationale
–
2013.pdf, la
accesat la data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
182
din
284
ultimii 20 de ani în centrul strategiilor de securitate
și apărare, afirmând explicit
faptul că asigurarea prelucrării și transmiterii informa
țiilor sensibile
a fost una
dintre cele mai mari priorită
ți pentru lideri, în special pe domeniile militar și
guvernamental.
Ca rezultat, în comunitatea de securitate franceză, se discută în prezent de
două discipline: securitatea cibernetică
și apărarea cibernetică, amb
ele având
scopul de a proteja spa
țiul cibernetic. Securitatea cibernetică este considerată de
modelul strategic francez ca fiind o
preocupare pentru toată lumea
–
de la individ,
la organiza
țiile economice și infrastructurile guvernamentale, iar apărarea
ci
bernetică este domeniul care î
și propune să contracareze prin toate mijloacele,
inclusiv militare, ac
țiunile indivizilor, actori nestatali, și chiar alte altor state care
amenin
ță interesele vitale ale Franței prin utilizarea spațiului
cibernetic.
La al 7
–
lea Forum Interna
țional de Securitate Cibernetică de la Lille,
desfă
șurat la 20 ianuarie 2015, ministrul francez de interne, Bernard Cazeneuve, a
enun
țat
cele trei provocări în domeniul securită
ții cibernetice, pe care mediul de
securitate francez trebuie
să le facă fată:
–
ap
rovizionarea unui nivel confortabil al apărării cibernetice, capabil de a
proteja institu
țiile naționale și interesele Franței.
–
a
sigurarea unui nivel ridicat de securitate a sistemelor ITC atât în sectorul
public cât și în cel privat.
–
l
upta împotriva criminalită
ții informatice.
Ministrul Cazeneuve a sus
ținut că
„
Spa
țiul cibernetic este acum o arenă fără
nicio
frontieră, în care amenin
țările la adresa societății noastre sunt în creștere,
deoarece este un instrument care poate fi utiliza
t în mod abuziv în scopuri rău
inten
ționate de către persoane fizice și organizații. Pe spațiul teritoriilor digitale,
ca
și în alte părți, responsabilitatea statului este de a proteja ferm interesul
cetă
țenilor, de a anticipa amenințările și reprima actel
e criminale atunci când
acestea apar……
Noi trebuie să facem tot ce putem pentru a ne asigura că spa
țiul
virtual este un loc în care se exercită libertă
țile fundamentale și, insist, faptul că
protec
ția vieții private este garantată. …
Securitatea în s
pa
țiile digitale trebuie,
NECLASIFICAT
NECLASIFICAT
183
din
284
prin urmare, să fie prezentă cu cât mai multă determinare în ora
șele noastre și
toate teritoriile noastre.
”
276
Două atacuri recente cibernetice au subliniat necesitatea pentru care agen
țiile
de securitate și apărare cibernetică din
Fran
ța trebuie să rămână vigilențe. În
i
anuarie 2015 valul de atacuri teroriste din Fran
ța, care a început cu atacul
împotriva revistei Charlie Hebdo, au fost înso
țite de o creștere fără precedent al
atacurilor cibernetice asupra site
–
uri web de stat
și pr
ivate, hackeri extremi
ști și
organiza
ții religioase radicale fiind implicați, după opinia publicației independente
euObserver,
„
în mai mult de 1.500 de atacuri în această perioadă
”
277
. Un atac
cibernetic având un caracter simbolic, a fost executat la 8 april
ie 2015, atunci când
canalul de
știri de televiziune TV5 Monde a fost compromis, rezultând într
–
un
ecran gol, concomitent cu difuzarea unor mesaje pe re
țelele sociale care pretind că
provin de la TV5 Monde și promovau
,
dar sus
ținerea Franței pentru așa
–
num
itele
state islamice.
Securitatea
și apărarea cibernetică au apărut ca o priorități distincte de
securitate na
țională în „
Carta Albă a Securită
ții
și Apărării Na
ționale a Franței
–
2008
”, unde se individualizează apărarea și securitatea cibernetică, împreu
nă cu
domeniul descurajării nucleare, al rachetelor balistice
și al submarinelor alimentate
nuclear, ca și dom
enii prioritare în care Fran
ța „
….
ca să
–
și păstreze zonele sale de
suveranitate, se concentrează pe capacitatea strategică
și politică necesară
pentru
men
ținerea autonomia națiunii.
”
278
Carta Albă din 2008 a mandatat dezvoltarea unui nou concept de apărare
cibernetică
și crearea unor capacități ofensive de război cibernetic, în urma acestei
revizuiri strategice, Fran
ța îmbunătățind constant politic
ile
și capabilitățile sale
cibernetice, care până atunci erau considerate ca fiind moderate.
276
Bernard Cazeneuve, International Cybersecurity Forum, Lille, 20 January 2015, “FIC2015
Discours de Bernard Cazeneuve et Thomas De Meziere”, Internatio
nal Forum on Cybersecurity,
disponibil online la https://www.youtube.com/watch?v=v9NPGaVHqmU, accesat la data de
24.11.2016.
277
disponibil online la https://euobserver.com/static/about, accesat la data de 24.11.2016.
278
Odile Jacob, Défense et Sécurité natio
nale
–
Le Livre blanc 2008, disponibil online la
http://www.ladocumentationfrancaise.fr/var/storage/rapports
–
publics/084000341.pdf, accesat la
data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
184
din
284
Un alt rezultat important din Cartea Albă din
anul
2008 a fost crearea unor
noi institu
ții de apărare și securitate cibernetică, printre care cea mai importantă
or
ganiza
ție de securitate și apărare cibernetică de a țării „
Agen
ția Națională pentru
Securitatea Sistemelor Informatice
”
(L’Agence nationale de la sécurité des
systèmes d’information)
279
–
ANSSI, cu un nivel de jurisdic
ție național, direct
subordonată Secreta
rului General pentru Apărare și Securitate Na
țională
(
Secrétaire Général de la Défen
se et de la Sécurité Nationale
–
SGDSN
)
280
, care la
început serve
ște ca o organiza
ție inter
ministerială a Cabinetului Primului Ministru,
responsabil de coordonarea efortului
na
țional de securitate cibernetică în sectorul
militar, industrii
–
cheie
și agenții publice.
Bugetul agen
ției pentru anul 2014 s
–
a ridicat la 80 milioane de euro, din care
30 milioane euro au reprezentat cheltuieli salarialei. La sfâr
șitul anului 2014,
agen
ția a avut peste 420 de angajați, cu obiectivul de 500 de angajați până la
sfâr
șitul anului 2015
281
. Fa
ță de momentul înființării, misiunea ANSSI este de
patru ori mai mare, astfel agen
ția trebuie să pună în funcțiune și să opereze
mecanisme de tip „early wa
rning” pentru detec
ția atacurilor cibernetice și punerea
în aplicare a unui set reac
ții timpurii la aceste atacuri, să sprijine dezvoltarea de
produse
și servicii de încredere pentru instituțiile statului și actorilor economici, să
sprijine institu
țiile de
stat
și operatorii infrastructurilor vitale pentru dezvoltarea
mecanismelor de securitate cibernetică, precum
și să susțină
în mod activ a
activită
țile de comunicare și sensibilizare privind amenințările cibernetice.
A
SSI este împăr
țită în patru subdirecț
ii sau sub
directorate astfel
:
–
„Centrul Opera
țional pentru Securitatea Sistemelor Informatice (Le
Centre opérationnel de la sécurité des Systemes d'informa
țion)”
–
COSSI
282
este
279
Agence nationale de la sécurité des systèmes d’information
–
ANSSI, disponibil online la
ht
tps://www.ssi.gouv.fr/en/, accesat la data de 24.11.2016.
280
ANSSI’s Executive Office, disponibil online la https://www.ssi.gouv.fr/en/organisation/
executive
–
office/, accesat la data de 24.11.2016.
281
Psacal Bragetto, National Cyber Security Organisation: F
rance, Tallinn 2015, Kadri Kaska
(Researcher, NATO CCD COE), disponibil online la https://ccdcoe.org/sites/default/files/
multimedia/pdf/CS_organisation_FRANCE_032015.pdf, accesat la data de 24.11.2016.
282
Centre opérationnel de sécurité des systèmes d’info
rmation (COSSI / CERT
–
FR), Agence
nationale de la sécurité des systèmes d’information, disponibil online la
https://www.ssi.gouv.fr/uploads/2014/10/20160712_fiche_contact_cossi_web_v1b.pdf, accesat
la data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
185
din
284
responsabil de analiza amenin
țărilor, identificarea vulnerabilităților, și răspun
sul la
atacurile cibernetice în curs de desfă
șurare, prin identificarea modelului și al
caracteristicilor atacului, proiectarea contramăsurilor,
și suportul la rezolvarea
acestora. COSSI găzduie
ște CERT
–
FR
și Centrul pentru Apărare Cibernetică
–
CSIRT sub
coordonarea poli
ției judiciare franceze, care lucrează în strânsă
colaborare cu „
Centrul de Analiză pentru Opera
țiuni de Apărare Cibernetică din
cadrul Ministerului Apărării (Le Centre d'analiza de Lutte Informatique
Defensiv)”
–
CALID
283
.
–
Sub
directoratul Ex
pertiză,
(La Sous
–
direction Expertise)
–
SDE
284
este
responsabil atât cu men
ținerea ASSI la un nivel ridicat de informare și expertiză
tehnică, cât și cu aplicarea ultimelor tehnologii în cadrul sistemelor agen
ției
și
a
partenerilor acesteia.
–
Sub
directoratul
„
Sisteme pentru Securizarea Sistemelor Informatice (La
Sous
–
direc
ție Syst
èmes d'informa
ții sécurisés
)”
–
SIS
285
proiectează, propune
și
oferă sisteme de informa
ții securizate pentru instituțiile de stat și operatorii din
infrastructura critică.
–
Subd
irectora
tul pentru „
Coordonare a Rela
țiilor Externe (La Sous
–
direc
ție
Rela
ții extérieures et coordonare)”
286
–
RELEC coordonează rela
țiile ASSI cu
institu
țiile de stat, sectorul de afaceri, parteneri internaționali, precum și cu
publicul.
283
Calid: des ordinateurs et des hom
mes, disponibil online la http://www.defense.gouv.fr/portail
–
defense/mediatheque/photos/recherche
–
et
–
innovations/calid
–
des
–
ordinateurs
–
et
–
des
–
hommes,
accesat la data de 24.11.2016.
284
La sous
–
direction Expertise (SDE), disponibil online la
https://www.ssi.g
ouv.fr/agence/organisation/les
–
sous
–
directions/la
–
sous
–
direction
–
expertise/,
accesat la data de 24.11.2016.
285
La sous
–
direction Systèmes d’information sécurisés (SIS), disponibil online la
https://www.ssi.gouv.fr/agence/organisation/les
–
sous
–
directions/la
–
sous
–
direction
–
systemes
–
dinformation
–
securises/, accesat la data de 24.11.2016.
286
La sous
–
direction Relations extérieures et coordination (RELEC), disponibil online la
https://www.ssi.gouv.fr/agence/organisation/les
–
sous
–
directions/la
–
sous
–
direction
–
rela
tions
–
exterieures
–
et
–
coordination/, accesat la data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
186
din
284
Mai mult decât atât, ANSSI
se poate implica în ac
țiunile pe care le derulează
și Centrul de Transmisiuni Guvernului, care asigură securitatea comunica
țiilor
guvernamentale.
În
anul
2011, ANSSI a publicat prima strategie na
țională cibernetică a
Fran
ței, intitulată „
Strategia de secur
itate și Apărare a Sistemelor Informatice
–
Strategia Fran
ței
” (
Informatio
n Systems Defence and Security
–
France’s Strategy
2011
)
287
, aceasta fiind considerată documentul fundamental de orientare politică
pentru securitatea informatică
și apărarea ciberneti
că. Odată cu publicarea acestui
document ANSSI este desemnat în mod oficial ca autoritatea na
țională de apărare a
re
țelelor și sistemelor informaționale critice atât în sectoarele publice
,
cât
și în cele
private.
Strategia din 2011 a subliniat patru obiect
ive majore:
–
a
cela de a deveni un lider mondial în domeniul apărării cibernetice.
–
a
părarea capacită
ții de luare a deciziilor prin protecția informațiilor legate
de suveranitate.
–
c
onsolidarea securită
ții cibernetice a infrastructurilor critice.
–
a
sigurarea s
ecurită
ții în spațiul cibernetic, furnizorilor de servicii publice
noncritice, sectorului privat
și al cetățenilor, care trebuie să opereze într
–
un spa
țiu
cibernetic rezonabil securizat.
De asemenea
,
Strategia a identificat
ș
apte zone prioritare de ac
țiune
:
–
con
știentizarea situației existente;
–
dezvoltarea capacită
ților de detecție, alertă și răspuns;
–
dezvoltarea capabilită
ților științifice, tehnice, industriale și umane;
–
protec
ția sistemelor informaționale de stat și a operatorilor de importanță
vitală;
–
adaptarea legisla
ției;
–
cooperarea interna
țională;
287
Prime Minister of the French Republic, Information Systems Defence and Security: France’s
Strategy, 2011, disponibil online la https://www.ssi.gouv.fr/uploads/IMG/pdf/2011
–
02
–
15_Informati
on_system_defence_and_security_
–
_France_s_strategy.pdf, accesat la data de
24.11.2016.
NECLASIFICAT
NECLASIFICAT
187
din
284
–
comunicarea publică.
Eforturile sus
ținute de dezvoltare a culturii de securitate din Franța au
determinat nu numai o dezvoltare a conceptelor de secu
ritate din zona academică,
dar
ș
i o dezvoltare industrial
ă interpolată cu aducerea nivelului de rezilien
ță
cibernetică a infrastructurii critice la un nivel unitar la nivelul întregii
țări,
generând un adevărat ecosistem digital
288
.
Aceste eforturi nu au încetinit cu
schimbarea pre
ședintelui în
anul
2012, consolid
area pozi
ției Franței în spațiul
cibernetic rămânând o ambi
ție împărtășită de majoritatea partidelor politice.
În consecin
ță, concentrarea asupra securității cibernetice și a apărării a fost
considerabil întărită în
anul
2013 cu Carta Albă
289
a noului guver
n.
Carta Albă din
anul
2
013, porne
ște de la premisa că „
o
cre
ștere continuă a
amenin
țării cibernetice, a importanței sistemelor informaționale în viața
societă
ților noastre și dezvoltarea rapidă a tehnologiilor, ne cer mutarea pe un
nivel superior al măsur
ilor și capacită
ților de protecție și de apărare, astfel încât
să răspundă acestor schimbări.
”
290
Reexaminarea strategică care sus
ține
„
o cre
ștere substanțială a nivelului de
securitate
și a mijloacelor necesare pentru apărarea sistemele noastre de
informa
ți
i.
291
”
, afirmă abilitatea Fran
ței de a detecta și de a se proteja împotriva
atacurile cibernetice, iar identificarea originii și executan
ților acestor atacuri a
devenit o parte integrantă a modului în care Fran
ța își exercită suveranitatea
na
țională.
288
The development of the digital ecosystem, a strategic issue for France
–
disponibil online la
http://www.diplomatie.gouv.fr/en/french
–
foreign
–
policy/economic
–
diplomacy
–
foreign
–
trade/supporting
–
french
–
businesses
–
7569/strategic
–
sector
–
support/the
–
development
–
of
–
the
–
digital,
accesat la data de 24.11.2016.
289
President of the Republic, The French White Paper: Defence and National Security, 2013
disponibil online la https://w
ww.google.ro/url?q=http://www.defense.gouv.fr/
content/download/215253/2394121/file/White%2520paper%2520on%2520defense%2520%252
02013.pdf&sa=U&ved=0ahUKEwjJ8MuEpp3SAhXsCJoKHeqRAxsQFggTMAA&sig2=g4Fv3t
8d1mG5FZSr3QZ_
–
Q&usg=AFQjCNFuvLjj7hPIGPer
–
4x
–
nz2uVma91Q.
290
http://www.arduph.ro/domenii/diu
–
si
–
terorismul/despre
–
statutul
–
mercenarilor
–
si
–
al
–
angajatilorcompaniilor
–
militarede
–
securitate
–
private/, accesat la data de 05.06.2016.
291
Ibidem
.
NECLASIFICAT
NECLASIFICAT
188
din
284
Ca rezu
ltat al acestei analize, Carta Albă din
anul
2013 recomandă
consolidarea capacită
ții resurselor umane consacrate securității și apărării
cibernetice, în scopul de a ajunge la paritate cu alia
ții săi britanici și germani.
Acesta subliniază și necesitatea în
tăririi eforturilor de cercetare, proiectare
și
produc
ție a sistemelor de securitate cibernetică, inițiativă sprijinită de alocări
substan
țiale la buget, acordând o atenție deosebită rețelelor de comunicații
electronice.
Cartea Albă afirmă, de asemenea, o
politică ambi
țioasă de protejare a
sistemelor informatice ale statului, prin men
ținerea unui nivel de criptare ridicat al
re
țelelor de comunicații între instituțiile de stat, implementarea unor politici
adecvate de achizi
ții publice, precum și gestionarea
adecvată a vulnerabilită
ților
echipamentelor de comunica
ții mobile. Politica este completată prin sensibilizarea
administra
țiilor publice descentralizate, instituțiilor regionale, precum și
principalilor utilizatori ai spa
țiului cibernetic.
Datorită fapt
ului că securitatea cibernetică a statului francez depinde
și de
securitatea furnizorilor de bunuri
și servicii, Carta Albă susține cerința elaborării
legisla
ției astfel încât o clauză în acest sens să fie inserată în contractele comerciale
ale acestor fur
nizori. Mai mult, Carta Albă sus
ține guvernul și parlamentul pentru
definirea de standarde privind securitatea informatică pentru operatorii de
infrastructuri critice, prin explicitarea legală a drepturilor
și responsabilitățile
acestora.
Carta Albă recoma
ndă, de asemenea, sensibilizarea publicului prin campanii
de informare și sensibilizare, pentru schimbarea comportamentului
și obiceiurilor
cetă
țenilor, susținând integrarea domeniului securității cibernetice în toate formele
de învă
țământul superior care
depind de utilizarea ITC. În cele din urmă, Carta
Albă reafirmă sprijinul Fran
ței pentru instituirea unei politici europene, pentru
consolidarea protec
ției infrastructurilor critice și a rețelelor de comunicații
electronice.
A
șa cum se solicită prin adopta
rea Cartei din
anul
2013, „
Legea de
Planificare Militară pentru anii 2014
–
2019 (La Loi de programmation militaire)
”
NECLASIFICAT
NECLASIFICAT
189
din
284
–
LPM
292
a stabilit o
legisla
ție explicită cu privire la standardele pentru securitatea
cibernetică, în special pentru re
țelele guvernamentale
și a operatorilor privați
importan
ța vitală.
Operatorii de importan
ță vitală sunt calificați ca atare de statul francez pe
baza unor proceduri u
șor diferite față de modelul american de clasificare al
infrastructurii critice, în prezent fiind califica
ți c
a atare un număr de peste 200
de
operatori.
Astfel „
Codul de Apărare Francez (Code
de la Défense)”
îi define
ște ca
„
operatori publici sau priva
ți care exploatează anumite sau dețin instalații sau
facilită
ți ale căror indisponibilitate ar compromite grav ră
zboiul sau capacită
țile
economice, securitatea sau supravie
țuirea națiunii.
[…].
Ace
ști operatori trebuie
să coopereze pe propria lor cheltuială, în scopul de a proteja aceste instala
ții,
structuri sau facilită
ți împotriva oricărei amenințări, în special
a terorismului.
”
293
Prin mandatul LPM, ANSSI poate stabili norme obligatorii de securitate
pentru sistemele critice ale operatorilor de importan
ță vitală. De asemenea
,
agen
ția
trebuie să fie notificată cu privire la incidentele care apar în sistemele critic
e ale
operatorilor de importan
ță vitală, ea poate mandata inspecții de securitate și
impune măsuri specifice în cazul unor crize majore. Aceste sarcini sunt îndeplinite
pe baza a trei decrete lansat de ANSSI
în
martie 2015
294
.
Această abordare intruzivă a op
eratorilor de importan
ță vitală în ceea ce
prive
ște securitatea cibernetică, poate fi considerată în contrast cu abordările mai
292
LOI n° 2013
–
1168 du 18 décembre 2013 relative à la programmation militaire
pour les années
2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale
DEFX1317084L disponibil online la https://www.legifrance.gouv.fr/affichTexte.do?
cidTexte=JORFTEXT000028338825&dateTexte=&categorieLien=id, accesat
la accesat la data
de 24.11.2016.
293
Article L2331
–
1 En savoir plus sur cet article, Modifié par Ordonnance n°2013
–
518 du 20
juin 2013
–
art. 3, disponibil online la https://www.legifrance.gouv.fr/affichCode.do;
jsessionid=955F82E7A418B3644DCFAACACB9B88A1.
tpdila13v_1?idSectionTA=LEGISCT
A000006166935&cidTexte=LEGITEXT000006071307&dateTexte=20150901, accesat la
accesat la data de 24.11.2016.
294
Prime Minister of the French Republic, Information Systems Defence and Security: France’s
Strategy, 2011, disponibil
online la http://www.ssi.gouv.fr/uploads/IMG/pdf/2011
–
02
–
15_Information_system_defence_and_ security_
–
_France_s_strategy.pdf, accesat la data de
24.11.2016.
NECLASIFICAT
NECLASIFICAT
190
din
284
m
ultor state de pe spa
țiul euroa
tlantic, care, a
șa cum a fost subliniat și în
rapoartele
de cercetare
, lucrează adesea cu standa
rdele convenite în industrie sau cu
informa
ții voluntare, mai ales
în
ceea ce prive
ște schimbul de informații relativ la
amenin
țările și atacurile cibernetice. Inutil să mai spunem, pentru a îndeplini aceste
cerin
țe, operatorii de infrastructuri vitale vor
trebui să cheltuiască sume de bani
substan
țiale pentru securitate cibernetică, dar guvernul francez consideră că
beneficiile pentru companiile franceze vor sunt mai mari decât costurile.
Lupta împotriva noului tip de terorism cu manifestare puternică în
spa
țiul
cibernetic promovat de o ramură a grupării teroriste Al
–
Qaeda, Organiza
ția Al
–
Qaeda din Maghrebul Islamic
–
AQIM, constituită oficial la 25 ianuarie 2007,
reprezintă un exemplu de amenin
țare majoră care a determinat statul francez să
adauge la nive
l strategic componenta de intelligence ca parte integrantă din politica
de securitate
și
apărare cibernetică, abordare care se dovede
ște dificilă deoarece
intelligence
–
ul, în opinia fostului prim
–
ministru Michel Rocard,
„
este perceput, ca
o constrângere și
nu ca un instrument necesar dezvoltării
țării precum și a
ambi
țiilor sale, într
–
o lume unde Fran
ța trebuie să înfrunte o mare diversitate de
amenin
țări teroriste sau economice
”
295
.
După cum am subliniat deja, una dintre modalită
țile prin care Franța doreșt
e
să devină lider în domeniul securită
ții și apărării cibernetice, este prin
opera
ționalizarea unei industrii naționale dinamice pentru sectorul ITC, pe care
ANSSI o promovează în mod integrat cu celelalte strategii de dezvoltare a
R
epublicii Franceze. Ast
fel, în s
eptembrie 2013, ministrul Economiei, Industriei
și
Mediului de Afaceri Digital a lansat strategia
„
O Nouă Franță Industrială
(Priorité Aux Systèmes Industriels)”
296
în care 33 din cele 34 de planuri de
ini
țiativă se referă la securitatea informatică
. Coordonată de directorul general al
295
Klaus Becher, Bernard Molard,Frédéric Oberson and Alessandro Politi, Towards a European
intellige
nce policy, Institute for Security Studies of WEU 2014, ISSN 1017
–
7566, accesat la data
de 24.11.2016.
296
“Communiqués de Presse, Ouverture des assises de la sécurité 2013
–
Patrick Pailloux:
«Priorité aux Systèmes Industriels»” ANSSI, disponibil online la
https://www.ssi.gouv.fr/publication/ouverture
–
des
–
assises
–
de
–
la
–
securite
–
2013
–
patrick
–
pailloux
–
priorite
–
aux
–
systemes
–
industriels/, accesat la data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
191
din
284
ANSSI, strategia urmăre
ște să crească în mod semnificativ cererea și oferta internă
pentru solu
ții din domeniul securității informatice, să ajute companiile franceze din
domeniul securită
ții informatice de a câștiga pr
oiecte cât mai mari pe pie
țele
externe
și de a consolida interdependența dintre companiile franceze din domeniu.
Ca
și
prim rezultat al acestei strategii este
crearea etichetei „
France
Cybersecurity
”
297
, o etichetă acordată unor solu
ții de înaltă securitate
concepute
și
opera
ționalizate în Franța. La începutul anului 2015, primele 24
de
solu
ții de
securitate cibernetică au primit această etichetă.
Ministerul Apărării francez (
Ministère de La Defense)
–
MOD dezvoltă
și
operează sisteme de comunica
ții și preluc
rare a informa
țiilor complexe, în special
cele legate de cele mai sofisticate arme, cum ar fi arsenalul nuclear al
țării. Pe ca
le
de consecin
ță, MOD trebuie să
aibă propria securitate cibernetică pentru structurile
de apărare. La fel ca celelalte agen
ții c
u voca
ție în domeniul apărării de pe spațiile
studiate de noi până în prezent, MOD francez vede spa
țiul cibernetic ca un
domeniu militar de sine stătător, pe lângă domeniile terestru, maritim, aerian
și
spa
țial, fiind convins că orice operațiune militară v
iitoare va avea o dimensiune
cibernetică consistentă. Astfel, apărarea spa
țiul cibernetic este, în viziunea
strategilor francezi, o necesitate continuă, MOD având nevoie de securitate și
apărare cibernetică pentru a garanta eficacitatea for
țele armate, suc
cesul misiunilor
sale, precum
și funcționarea sigură a MOD ca
și
structură administrativă
guvernamentală.
Ministerul a introdus conceptul de misiune de apărare cibernetică în centrul
strategiei sale militare în
anul
2011, când a publicat „
Conceptul Comun
pentru
Apărare Cibernetică (Concept Interarmées de Cyberdéfense)
”
298
, unde se definesc
cadrul, principiile
și capabilitățile necesare pentru operațiunile militare în spațiul
cibernetic, urmată apoi de „
Doctrina Comună pentru Apărare Cibernetică
” în care
MOD
stabilit organizarea apărării cibernetice și a creat func
ția unui ofițer general,
297
Le label «France Cybersecurity», disponibil online la http://www.francecybersecurity.fr/,
a
ccesat la data de 24.11.2016.
298
CICDE, Concept interarmées de cyberdéfense (CIA
–
6.3), July 2011 disponibil online la
http://www.cicde.defense.gouv.fr/spip.php?article968, accesat la data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
192
din
284
responsabil de apărare cibernetică
.
Pozi
ția este deținută în prezent de Vice
–
Admiralul
Arnaud Coustillière
299
care operează în vârful lan
țului de comandă
opera
țională pentru se
curitate cibernetică
și de apărare în forțele armate franceze,
îndeplinind două roluri. În primul rând, el are un rol opera
țional în cadrul
„
Centrului de Planificare
și Operațiuni” (Le Centre de planificare et de Conduite
des opérations)
–
CPCO, fiind resp
onsabil pentru planificarea, coordonarea
și
desfă
șurarea apărării cibernetice pentru sistemele informaționale ale forțelor
armate ale MOD, dar
și a operațiunilor cibernetice desfășurate de terțe părți în
sprijinul opera
țiunilor militare desfășurate de forț
ele militare franceze sau de alte
for
țe sub coordonarea MOD francez. În al doilea rând, el este responsabil de
coordonarea dezvoltării apărării cibernetice ale sistemelor proprii MOD
,
precum și
a altor sisteme și servicii de care acestea depind în mod crit
ic.
MOD operează CALID, care se ocupă de supraveghere, detectare
și răspuns
rapid în cazul atacurilor cibernetice, aceasta fiind de fapt o structură de tip CSIRT
proprie a MOD, care lucrează în strânsă colaborare cu COSSI, precum cu
și
CSIRT
–
urile militar
e aliate. Începând cu februarie 2014, COSSI
și CALID au fost
amplasate în aceea
și clădire din Paris, ceea ce face ca relațiile strânse existente
între cele două entită
ți să fie chiar și mai ușor de întreținut.
La data de 7 ianuarie 2014, ministrul apărării
Jean
–
Yves Le Drian
a
prezentat o nouă ini
țiativă pentru apărare cibernetică a
MOD, denumită „
Pactul
Cyber Defence” (Pacte Défense Cyber: 50 mesures pour changerd’échelle)
”
300
, cu
un buget de 1 mld euro,
î
și propune nu numai să dezvolte capacitățile cibernet
ice
defensive și ofensive ale MOD la un nivel de disponibilitate și rezilien
ță cel puțin
la nivelul cel mai înalt, dar
și să le facă disponibile societății franceze ca un tot
unitar
301
.
299
Pascal Brangetto, Is NATO Ready to Cross the Rubicon
on Cyber Defence?, Cyber Policy
Brief, disponibil online la https://ccdcoe.org/sites/default/files/multimedia/pdf/NATO%
20CCD%20COE%20policy%20paper.pdf, accesat la data de 24.11.2016.
300
Ministry of Defence of the French Republic, “Pacte Défense Cyber: 50
mesures pour changer
d’échelle,” 2014, disponibil online la www.defense.gouv.fr/content/download/237702/2704402/
file/Pacte%20D%C3%A9fense%20Cyber
–
1.pdf, accesat la data de 24.11.2016.
301
Hérodote, Hérodote 2014/1 (No 152
–
153), La Découverte, ISBN: 9782707
178985, pp. 67
–
81.
NECLASIFICAT
NECLASIFICAT
193
din
284
Având
șase linii de dezvoltare strategică, cu un total de cincizeci iniț
iative,
Pactul are ca scop:
–
r
idicarea nivelului de securitate al sistemului informa
țional și a resurselor
MOD pentru opera
țiuni militare de apărare c
ibernetică
și asociate acestora;
–
i
ntensificarea
dezvoltării tehnice, a programelor de cercetare academică
ș
i
implementarea opera
țională în scopul sprijin
irii bazei industriale franceze;
–
c
onsolidarea sistemelor de resursele uman
e dedicate apărării cibernetice;
–
d
ezvoltarea în continuare a Centrului de excelen
ță Pentru A
părare
Cibernetică din Bretania;
–
s
us
ținerea
și promovarea apari
ției unei comunități n
a
ționale de apărare
cibernetică;
–
c
ultivarea unei re
țele de parteneri străini, în special în Europa, dar și în
NATO, în domenii de interes strategic care posedă componentă cibernetică
determinantă.
Principala provoca
re pentru acest Pact rămâne lipsa continuă a resurselor
umane, atât resursele financiare fiind încă insuficiente pentru a crea noi locuri de
muncă, dar
și calitatea programelor de formare pentru solicitanți fiind evaluată încă
la un nivel insuficient și tr
ebuind crescută. Două măsuri prezente în Pact merită o
aten
ție mai deosebită, acestea fiind crearea „
Centrului de Excelen
ță de Apărare
Cibernetică
”
și inițiativa „
Apărarea Cibernetică Cetă
țenească
”.
În f
ebruarie 2014 MOD lansat oficial
Centrul de Excelen
ț
ă de Apărare
Cibernetică
” în cooperare cu „
Université de
Bretagne
–
Sud
”, amplasat în aceia
și
loca
ție operațională cu Directoratul General pentru Armamente și Securitatea
Informa
țiilor, structură importantă în sistemul de apărare francez, care integrează
abi
lită
țile cibernetice ale MOD în ceea ce privește formarea, cercetarea și
dezvoltarea tehnologică
și dezvoltarea industriei cibernetice din Franța. Suportul
industriei ITC franceze pe segmentul de apărare cibernetică este un alt obiectiv
important al centru
lui, institu
țiile din segmentul de apărare
urmărind
ca să creeze
în regiunea Rennes un nod tehnologic cibernetic cu rol de lider în Fran
ța și Europa.
NECLASIFICAT
NECLASIFICAT
194
din
284
Astfel, în regiunea Rennes se reune
ște într
–
o corela
ție puternică, Centrul de
Excelen
ță, Directoratul Gen
eral,
Școala Militară de Telecomunicații, Școala
Specială Militară Saint
–
Cyr, precum
și universități civile și agenți economici din
sectorul de securitate cibernetică.
Un alt efort inovator al MOD în colaborare cu Jandarmeria Franceză,
„
Apărarea Cibernetic
ă Cetă
țenească
”
(Le Réseau cyberdéfense de la Réserve
citoyenne)
302
–
CCR, oferă o re
țea de experți în securitate cibernetică. CRC își
propune să facă din apărarea cibernetică o prioritate a societă
ții, prin programe de
sensibilizare care reunesc profesioni
ș
ti, studen
ți avansați și alte categorii sociale cu
experien
ță în sectorul cibernetic.
CRC are
șase grupuri de lucru:
–
un grup de reprezentan
ți aleși și jurnaliști;
–
un grup de studen
ți și tineri profesioniști;
–
un grup de
cetă
țeni pe bază de angajament
, care
contribuie la discu
țiile
privind o posibilă rezervă specifică de apărare cibernetică ;
–
un grup de „think
–
tank
–
uri” de gândire strategică;
–
un grup care reprezintă întreprinderile mici
și mijlocii și
,
în
general
,
industria locală.
–
un grup de oameni de afac
eri care reprezintă corpora
țiile mari.
În afara de MOD și
„Ministerul de Inte
rne (Ministere de l'Intérieur)”
–
MOI
303
este în mod natural afectat de amenin
țarea cibernetică în creștere, în special
în zona responsabilită
ților sale de luptă împotriva terorismu
lui
și a criminalității.
Deoarece responsabilită
țile sale privind asigurarea securității cibernetice și
sarcinile de combatere a criminalită
ții cibernetice
nu sunt la fel de clare ca pentru
ANSSI
și MOD, ministrul Cazeneuve a creat în iunie 2014, cu scopu
l de a aduce
coeren
ță eforturilor MOI pentru lupta împotriva criminalității cibernetice, funcția
302
Le réseau de la réserve citoyenne cyberdéfense, 26/02/2014
–
Dirección: EMA, Ministère de
la Défense, disponibil online la http://www.defense.gouv.fr/espanol/portal
–
de
–
la
–
defensa/desafios/la
–
cyberdefense/la
–
cyberdefense/bilan
–
et
–
evenem
ents/bilan
–
cyberdefense
–
de
–
l
–
annee
–
2013/le
–
reseau
–
de
–
la
–
reserve
–
citoyenne
–
cyberdefense, accesat la data de 24.11.2016.
303
Le ministère de l'Intérieur, disponibil online la http://www.interieur.gouv.fr/Accueil, accesat
la data de 24.11.2016.
NECLASIFICAT
NECLASIFICAT
195
din
284
unui „prefect cibernetic”
, astfel, în ianuarie 2015, Jean
–
Yves Latournerie devenind
primul „prefect cibernetic” sub autoritatea directă a Ministrului de Intern
e.
Acesta este în contact permanent cu toate păr
țile MOI răspunzătoare de
aspecte ale securită
ții cibernetice și a apărării, precum și cu omologii săi din alte
ministere, misiunea sa principală fiind aceea de a îmbunătă
ți structura instituțională
a MOI pen
tru un răspuns mai eficient la amenin
țările cu componentă cibernetică,
mergând dacă este necesar, până la reforme organiza
ționale. El este, de asemenea,
responsabil de crearea de sinergii, integrarea ini
țiativelor cibernetice MOI în acord
cu a celorlalte c
omponente guvernamentale franceze, asigurând faptul că aceste
strategii se încadrează nu numai în cadrul strategiei generale de securitate
și
apărare cibernetică a Fran
ței
,
dar și în ini
țiativele europene și internaționale la care
Fran
ța ia parte.
Mai mult
e structuri ale MOI au responsabilită
ți asupra prevenirii
și
combaterii amenin
țărilor cibernetice, cele mai importante fiind;
–
Directoratul General al For
țelor de Securitate Internă;
–
Directoratul General al Poli
ției Naționale, care și
–
a stabilit recent un
d
epartament de luptă împotriva criminalită
ții cibernetice;
–
Directoratul General la Jandarmeriei Na
ționale, care are propriul său
centrul
pentru lupta împotriva criminalită
ții digitale.
Eforturile MOI, au fost
,
de asemenea, consolidate prin două ini
țiative î
n
anii
2014
și 2015, astfel
,
în noiembrie 2014, guvernul a adoptat o lege prin care a
consolidat eforturile sale de combatere a terorismului prin intensificar
ea luptei
împotriva utilizării I
nternetului pentru răspândirea de informa
ții false în scopul
desta
bilizării
, a fost introdusă no
țiunea de „
amenin
țare prin spațiul cibernetic” și a
introdus din punct de vedere legal conceptul „patrulelor cibernetice” ca instrument
de luptă împotriva criminalită
ții organizate, a introdus pedepse mai mari pentru
hâr
țuirea
în spa
țiul cibernetic, conceptul de furt de date digitale ca infracțiune
pedepsită de Codul Penal și sanc
țiuni foarte aspre pentru atacurile asupra
sistemelor automatizate de prelucrare a datelor guvernamental
e de către grupările
organizate.
NECLASIFICAT
NECLASIFICAT
196
din
284
În ianuarie 2
015, Ministrul de Interne a clarificat atribu
țiile și
responsabilită
țile MOI în ceea ce privește politica de apărare și securitate
cibernetică, sus
ținând un plan de acțiune construit în jurul a șase linii strategice de
ac
țiune
304
, „Prefectul cibernetic”
avân
d obliga
ția de a institui un sistem statistic
adecvat pentru a măsura criminalitatea informatică și de a emite un raport anual
privind amenin
țările cibernetice. În al doilea rând, MOI își va consolida
capacită
țile sale analitice și operaționale de răspuns
și crearea de sinergii în
schimbul de informa
ții cu alte entități din zona de intelligence
na
țional
.
În sens mai larg, lupta împotriva amenin
țărilor cibernetice face parte din
planul pentru modernizare al MOI, acesta având un buget de investi
ții între
ani
i
2015
și 2017, de peste 100 de euro
de
milioane, în special prin dotarea cu
echipament tehnic al
for
țelor de securitate internă și pentru derularea unor
campanii de sensibilizare
și comunicări publice mai bune.
2.7.2. POLITICA NA
ȚIONAL
Ă PENTRU ASIGURAREA
SECURITĂ
ȚII
ȘI APĂRĂRII CIBERNETICE ÎN GERMANIA
Internetul a fost introdus pentru prima dată în Germania în 1983, folosind
Bildshirmtext (BXT)
305
–
un serviciu primitiv de re
țea de date oferite de Deutsche
Telekom, o companie de
ținută și operată de guvern,
de altfel singurul furnizor de
servicii de Internet în Germania până în
anul
1995. După privatizarea Deutsche
Telekom, statul german, prin guvernele federale, a continuat să controleze
aproximativ o treime din ac
țiunile sale
,
iar compania este încă ISP
–
ul
dominant în
țară
306
.
304
Allocution de
Mr Bernard Cazeneuve ministre de l'intérieur de la République Française at
7’th International Cybersecurity Forum, disponibil online la
https://www.youtube.com/watch?v=s7p0PXUFzPs, accesat la data de 24.11.2016.
305
Bildschirmtext
–
ein tolles Netz!
, disponi
bil online la http://www.mailbox
–
internet.de/bildschirmtext.html, accesat la accesat la data de 10.12.2016.
306
Deutsche Telekom, “Shareholder Structure,” disponibil online la
https://www.telekom.com/shareholder
–
structure, accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
197
din
284
Astăzi, ca urmare a unor cheltuieli intensive de capital din ultima decadă,
Germania este na
țiunea care dispune de unele dintre cele mai avansate sisteme de
telecomunica
ții,
iar rata de penetrare
a internetului este de peste 84
%
307
. Germa
nia
a fost, de asemenea
,
prima
țară din lume care a digitizat bibliotecile sale după
introducerea pe scară largă a „
World Wide Web
”
–
www.
Strategia digitală a Germaniei este orientată foarte clar spre stimularea
competitivită
ții, a creșterii economice și
bunăstării sociale a
țării. Aceasta
subliniază faptul că îmbunătă
țirea capacității și securității rețelelor de mare viteză
va cre
ște
„
exploatarea poten
țialului de inovare, în scopul de a obține în continuare
o cre
ștere economică și al unui grad ridicat de
ocupare a for
ței de muncă.
”
308
Strategia prevede polarizarea eforturilor Germaniei pentru a deveni o
țară
lider în economia bazată pe internet, folosind cre
șterea gradului de digitizare și
automatizare în produc
ția industrială, precum și promovarea investiț
iilor ITC în
aplica
ții industriale, stimularea cercetării în domeniul securității cibernetice,
microelectronicii, precum
și a altor servicii digitale, astfel dimensiunea pieței ITC
din Germania fiind în prezent cotată ca cea mai mare din Europa
și a patra
din
lume, ea facilitând planul ambi
țios al guvernului german.
Cu toate acestea, „
C
arta Albă Apărării” (WEISSBUCH
–
Zur
Sicherheitspolitik Und Zur Zukunft Der Bundeswer)
309
din
anul
2016, recunoa
ște
provocarea majoră a Germaniei în faptul că de
și în prezent e
ste a patra cea mai
mare economie din lume, ea rămâne
,
totu
și
,
o
țară de dimensiuni medii, atât
geografic
,
cât
și demografic, aflată într
–
un mediu economic și de securitate care se
307
“I
nternet user penetration”, disponibil online la http://www.internetsociety.org/map/global
–
internet
–
report/?gclid=Cj0KEQiAlsrFBRCAxcCB54XElLEBEiQA_
ei0DIkkbaazGT0aMS91SGPvaZYTElEGMSkOpCU0oS8o9s0aArta8P8HAQ#global
–
internet
–
penetration, accesat la data de 10.
12.2016.
308
The Federal Government, “Digital Agenda 2014
–
2017”, disponibil online la
https://www.digitale
–
agenda.de/Content/DE/_Anlagen/2014/08/2014
–
08
–
20
–
digitale
–
agenda
–
engl.pdf?__blob=publicationFile&v=6, accesat la data de 10.12.2016.
309
Bundesministeri
um der Verteidigung, WEISSBUCH
–
Zur Sicherheitspolitik Und Zur
Zukunft Der Bundeswehr, Berlin 2016, disponibil online la
https://www.bmvg.de/resource/resource/MzEzNTM4MmUzMzMyMmUzMTM1MzMyZTM2M
zIzMDMwMzAzMDMwMzAzMDY5NzE3MzM0Nzc2YzYyMzcyMDIwMjAyMDIw/Weissbu
ch2016_barrierefrei.pdf, accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
198
din
284
schimbă rapid, iar fără o strategie care să exploateze oportunită
țile și av
antajele pe
care economia germană le are, este improbabil
„
că pe termen lung … va păstra
pozi
ția sa.
„
310
Documentul recunoa
ște legătura directă dintre securitatea națională
și cea economică, utilizând în mod inovativ conceptul de „
economie prin
cunoa
ștere
”
, a
șa cum este definit
Andreas
Crede
311
, împreună cu cel al securită
ții
intereselor, rezultând o doctrină în care
„
cunoa
șterea este o resursă strategică
pentru Germania,
din cauza dependen
ței sale specifice, de rute sigure de
aprovizionare,de pie
țe stabile ș
i de func
ționarea sistemelor de comunicare și
informare,….,iar această dependen
ță va continua să crească.
”
312
Din 2011, guvernul german a pornit ce putem numi „
a patra revolu
ție
industrială
”, sub stindardul „
Industrie 4.0
”
313
–
ca parte a Strategiei HighTech
–
2020. Această ini
țiativă încurajează companiile producătoare să se adapteze la
tehnologii și aplica
ții din categoria „
internet of things
”
–
IOT
314
, în special cei 3,6
milioane de mici producătorilor mici și mijlocii, care oferă mai mult de 60 de
procente d
in totalul locurilor de muncă
și reprezintă aproximativ două treimi din
economia Germaniei.
315
Ca lider mondial în dezvoltarea
și adoptarea ITC, Germania se confruntă în
prezent cu nivele ridicate ale criminalită
ții cibernetice, spionaj industrial,
perturbar
ea serviciilor critice și chiar atacuri asupra infrastructurii critice. În
anul
310
https://www.whitehouse.gov/the
–
press
–
office/remarks
–
president
–
securing
–
our
–
nati
ons
–
cyber
–
infrastructure
, accesat la
data de 22.03.2016.
311
C. Andreas, M. Robin,
Knowledge societies in a nutshell
, International Research
Development Center, Ottawa, 1998.
312
Matthew Karnitschnig,
Why Europe’s Largest Economy Resists New Industrial Revol
ution
,
Politico, July 6, 2016, disponibil online la http://www.politico.eu/article/why
–
europes
–
largest
–
economy
–
resists
–
new
–
industrial
–
revolution
–
factories
–
of
–
the
–
future
–
special
–
report/, accesat la data
de 10.12.2016.
313
INDUSTRIE 4.0, disponibil online la h
ttps://industrie4.0.gtai.de/INDUSTRIE40/Navigation
/EN/industrie
–
4
–
0, accesat la data de 10.12.2016.
314
Fokusthemen und Schwerpunkte, disponibil online la http://www.gigatronik.com/leistungen/
fokusthemen
–
u
–
schwerpunkte.html?gclid=Cj0KEQiAlsrFBRCAxcCB54XElL
EBEiQA_
ei0DHUqKIk5PNGpCQ4PrF7X2ELzt8QeUy4j3WTVgNmzQAQaAl2J8P8HAQ, accesat la data
de 10.12.2016.
315
Federal Ministry for Economic Affairs and Energy, “Introducing the German Mittelstand,”
disponibil online la
http://www.make
–
it
–
in
–
germany.com/en/for
–
qualif
ied
–
professionals/
working/mittelstand,
accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
199
din
284
2012, asocia
ția industrială „eMarkete” a estimat că Germania a pierdut cel puțin
1,5 la sută din PIB prin furtul de proprietate intelectuală, iar în
data de
2013, doi din
cinci
utilizatori de Internet din Germania au fost victime ale criminalită
ții
cibernetice, iar un număr alarmant de companii
și agenții guvernamentale au
suferit atacuri cibernetice majore
316
.
Ca răspuns la cre
șterea alarmantă a volumului și complexității ameninț
ărilor
cibernetice, liderii guvernamentali germani au declarat inten
ția lor de a proteja
valoarea investi
țiilor digitale din Germania, pentru domeniile securității naționale
și infrastructurii economice, în special cu privire la confidențialitatea și prote
c
ția
datelor
317
.
Cu toate acestea, Industrie 4.0 are în prezent eforturile direc
ționate doar
către securitatea cibernetică
și tehnologiile inovatoare, investiții considerate de
către directorul Institutului pentru Societatea Digitală, Dr. Sandro Gaycken ca f
i
ind
„
insuficiente pentru ca Germania să fie pregătită pentru noile amenin
țări
emergente care vor utiliza spa
țiul cibernetic ca spațiu de desfășurare, în următorii
10 ani
”.
318
Germania conduce în prezent dialogul european în ceea ce prive
ște nevoia
de protec
ție a datelor, permițând în același timp libera circulație a mărfurilor,
serviciilor, persoanelor, capitalului
și a datelor, la nivel transfrontalier, aceste
obiective fiind o piatră de temelie a ini
țiativei germane privind piața digitală
europeană unică
ș
i sunt esen
țiale pentru sănătatea economică și bunăstarea Europei
și implicit a Germaniei.
316
“Two in Five Internet Users in Germany Hit by Cybercrime in 2013,” eMarketer, 21 May
2014, disponibil online la
http://www.emarketer.com/ Article/Two
–
Five
–
Internet
–
Users
–
GermanyHit
–
by
–
Cybercrime
–
2013/1010845
, accesat la data de 10.12.2016.
317
“Merkel: ‘Difficulties Yet to Overcome’ in US Spy Scandal,” CBS DC, May 2, 2014,
disponibil online la http://washington.cbslocal.com/2014/05/02/merkel
–
difficulties
–
yet
–
to
–
overcome
–
in
–
us
–
spy
–
scandal
/, accesat la data de 10.12.2016
318
Melissa Hathaway’s interview with Dr. Sandro Gaycken, Director of the Digital Society
Institute, ESMT Berlin, September 20, 2016, disponibil online la https://www.esmt.org/faculty
–
research/centers
–
chairs
–
and
–
institutes/di
gital
–
society
–
institute
–
dsi/inside
–
dsi/sandro, accesat la
data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
200
din
284
În anul 2008, guvernul german a răspuns la numărul tot mai mare de
dispozitive infectate conectate la Internet
și al cazurilor de criminalitate
informatică, oferind
gratuit cetă
țenilor un CD
–
ROM, pentru a le ajuta să cure
țe
fi
șierele infectate din dispozitivele de stocare și computerele lor personale, aceasta
ac
țiune fiind una din
tre
pu
ținele măsuri pe care guvernul federal le
–
a luat în acea
perioadă în domeniul secu
rită
ții cibernetice.
De abia în
anul
2011 guvernul german a adoptat o abordare mai sistemică
și
sprijinită la nivel central, odată cu lansarea publică a primei sale
„
Strategii de
Securitate Cibernetică pentru Germania.
”
(Cyber Security Strategy for
Germany
)
319
, documentul identificând interconexiunile dintre dezvoltarea ITC,
cre
șterea economică și socială, precum și calificarea infrastructurii de internet a
Germaniei, ca și infrastructura critică
320
.
Strategia na
țională de securitate cibernetică a definit mai
multe obiective și
domenii strategice, care trebuie introduse într
–
un mecanism unitar de protec
ție, în
scopul combaterii cu succes a amenin
țărilor venite din mediul cibernetic, între care
putem enumera:
–
protec
ția infrastructurilor critice și a sistemelor
ITC care deservesc aceste
infrastructuri.
–
consolidarea securită
ții infrastructurii cibernetice care deservește
administra
ția publice, prin a
doptarea unui concept de „re
țea federală”
construită pe
principiile uniformită
ții nivelului de servicii, soluțiilor
tehnice și furnizorilor, atât
din punct de vedere hardware cât și software.
–
crearea unui „Centru National de Răs
puns la Incidente Cibernetice”
–
CERT pentru răspuns la incidente
și îmbunătățirea a gradului de reziliență
cibernetică.
319
Federal Ministry of the Interior, “Cyber Security Strategy for Germany,” (2011), disponibil
online la https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CyberSecu
rity/
Cyber_Security_Strategy_for_Germany.pdf?__blob=publicationFile, accesat la data de
10.12.2016.
320
Flippa von Stackelberg, “Germany Prepares for Cyber War,” New Security Learning,
disponibil online la
http://www.newsecuritylearning.com/index.php/featur
e/88
–
germany
–
prepares
–
for
–
a
–
cyber
–
war,
accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
201
din
284
–
instituirea unui „
Cons
iliu Na
țional de Securitate Cibernetică”
(
Cyber
–
Sicherheitsrat Deutschland
)
321
, având ca scop facilitarea unei mai bune cooperări
între sectorul public
și entitățile din sectorul privat.
–
promovarea leadership
–
ului institu
țiilor germane în ceea ce privește
co
laborarea interna
țională pentru prevenirea și combaterea amenințărilor cu
componentă cibernetică determinantă, dezvoltarea cooperării pe sectorul de
cercetare/dezvoltare ITC, mecanisme interna
ționale de recrutare și formare a
speciali
știlor și a personalul
ui calificat ITC în institu
ții de învățământ germane,
precum
și utilizarea eficientă a instrumentelor din sectorul public, cum ar fi
competen
țele statutare. pentru a combaterea atacurilor cibernetice.
Mai mult decât atât, documentul
desemnează
„Biroul Fede
ral German
pentru Securitatea
Informa
ției
(Bundesamt für Sicherhe
it in der
Informationstechnik)”
–
BSI
322
,
ca și autoritate na
țională de securitate cibernetică,
responsabilă, pentru implementarea acestei strategii.
323
BSI înfiin
țat în
anul
1991,
inițial pentru
a oferi pentru a oferi servicii de securitate cibernetică pentru guvernul
federal, producătorilor ITC care a operau contracte guvernamentale, dar și
utilizatorilor priva
ți sau societăți comerciale. Pe măsură ce obiectivele din strategie
au căpătat substan
ță, BSI a crescut asemenea în importanță
și
a opera
ționalizat
„
Centrul Na
țional de Apărare Cibernetică (Nationales Cyber
–
Abwehrzentrum)
”
–
NCAZ
324
, responsabil pentru detectarea, analizarea
și elaborarea măsurilor
necesare pentru a dezactiva amenin
țările din
spa
țiul cibernetic.
În conformitate cu strategia de securitate cibernetică na
țională din
anul
2011,
a
fost creat Consiliul Na
ț
ional pentru Securitate Cibernetică, pentru a permite
321
Cyber
–
Security Council Germany, disponibil online la
http://www.cybersicherheitsrat.de/english/about
–
us/, accesat la data de 10.12.2016.
322
Bundesamtes für Sicherheit in der Informations
technik (BSI), disponibil online la
https://www.bsi.bund.de/DE/Home/home_node.html, accesat la data de 10.12.2016.
323
Federal Ministry of the Interior, “Cyber Security Strategy for Germany” disponibil online la
https://www.bsi.bund.de/SharedDocs/Downloads/E
N/BSI/Publications/CyberSecurity/Cyber_Se
curity_Strategy_for_Germany.pdf?__blob=publicationFile, accesat la data de 10.12.2016
.
324
Nationales Cyber
–
Abwehrzentrum, disponibil online la
http://www.bmi.bund.de/DE/Themen/Sicherheit/IT
–
Cybersicherheit/Cyber
–
Abwe
hrzentrum/cyber
–
abwehrzentrum.html, accesat la data de 10.12.2016
.
NECLASIFICAT
NECLASIFICAT
202
din
284
secretarilor de stat abordarea în comun a problemelor de securitate ciberne
tică în
toate componentele administra
ției federale germane. Consiliul își propune să
coordoneze
instrumentele de prevenire
și să
coordoneze abordările
interdisciplinare din segmentul securită
ții cibernetică între sectorul public și cel
privat. În plus fa
ță
de Cancelaria Federală
și reprezentanții landurilor federale, un
secretar de stat de la fiecare dintre ministerele federale (inclusiv Ministerul
Apărării, Ministerul de Interne, Ministerul Econo
miei
și Tehnologii
etc
.
), participă
la
ședințele consiliului
ca și membrii permanen
ți, iar reprezentanții mediului de
afaceri sunt invita
ți în mod regulat, în calitate de membri asociați. Pentru a sprijini
această abordare politică amplă a fost creat în
anul
2012 un organism cu rol de
integrare, denumit „
Alian
ța pen
tru Securitate Cibernetică” (Allianz für Cyber
–
Sicherheit)
325
, organizat ca o institu
ție non
profit, de către BSI în colaborare cu
Asocia
ția Federală pentru Tehnologia Informației, Telecomunicații
(Digitalverband Deutschlands)
326
–
BITKOM. Misiunea sa principal
ă este de a
crea un cadru de colaborare între institu
țiile federale cu vocație în securitate și
apărare, cele la nivelul landurilor responsabile cu securitatea cibernetică și
combaterea criminalită
ții cibernetice și sectorul privat aferent, având ca obiect
iv
principal consolidarea rezilien
ței cibernetice și a
capacită
ții de adaptare a țării la
atacurile cibernetice masive
327
.
De la înfiin
țarea sa
,
în
anul
2012, Alian
ța a crescut
în mod semnificativ, atât
în
calită
ții membrilor
,
dar
și în numărul și complexit
atea parteneriatelor.
Strategia digitală a Germaniei din 2014,
„
Agenda digitală 2014
–
2017
(Digital Agenda 2014
–
2017)
”
328
, con
ține ecouri ale Strategiei Naționale de
Securitate Cibernetică din
anul
2012, atât prin păstrarea importan
ței sectorului ITC
ca
și
motor la cre
șterii economice, dar și prin recunoașterea nevoii de securitate
325
Die Allianz für Cyber
–
Sicherheit, disponibil online la https://www.allianz
–
fuer
cybersicherheit.de/ACS/DE/Home/startseite.html, accesat la data de 10.12.2016.
326
Bitkom e.V., disponibil on
line la https://www.bitkom.org/, accesat la data de 10.12.2016.
327
TÜViT, “Alliance for Cyber Security”, disponibil online la https://www.tuvit.de/en/cyber
–
security/alliance
–
for
–
cyber
–
security
–
2352.htm, accesat la 10.12.2016.
328
Digital Agenda 2014
–
2017, P
Rpetuum GmbH, München, August 2014 disponibil online la
https://www.digitale
–
agenda.de/Content/DE/_Anlagen/2014/08/2014
–
08
–
20
–
digitale
–
agenda
–
engl.pdf?__blob=publicationFile&v=6, accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
203
din
284
sporită în spa
țiul virtual, încrederea în sistemele ITC fiind esențială pentru
comunicarea digitală, eCommerce, precum
și pentru realizarea pieței unice digitale
europene, guvern
ul fiind preocupat să introducă diferite măsuri pentru
îmbunătă
țirea încrederii prin creșterea securității pe Internet pentru cetățeni.
În i
ulie 2015, BSI a inițiat și sus
ținut aprobarea de către parlamentul german
a
„Legii pentru Securitate Cibernetică (I
T
–
Sicherheitsgesetz)”
329
, aceasta fiind un
element central al strategiei digitale na
ționale și a eforturilor sale de a proteja
infrastructurile critice de importan
ță națională.
Legea se adresează în sp
ecial institu
țiilor listate ca „infrastructuri critice”
,
cum ar fi transportul, sănătatea, utilită
ți de apă, furnizorii de telecomunicații,
precum
și firmele din domeniul financiar și asigurări, oferind organizațiilor care
de
țin aceste infrastructuri o perioadă de grație de doi ani pentru a introduce măsuri
de s
ecuritate cibernetică, în caz contrar acestea fiind penalizate financiar. De
asemenea, această lege mai obligă firmele
și agențiile federale să își certifice la
BSI sistemele ITC relativ la respectarea unor standarde minime de securitate
informatică.
„Stra
tegia Na
țională de Securitate Cibernetică” din
anul
2011 a pledat pentru
o intensificare a cercetării în domeniul securită
ții ITC și a infrastructurilor critice
asociate acestui d
omeniu ca priorită
ți strategice
, însă în
anul
2014 „Agenda
Digitală Na
țională
al Germaniei” a trasat ca priorită
ți necesitatea unor investiții
importante în securitatea aplica
țiilor ITC industriale, cercetarea academică în
domeniul securită
ții, dezvoltarea standardelor de securitate pentru microelectronică
și implementarea unor nor
me de securitate minimă a serviciilor digitale, integrând
un plan de cercetare și dezvoltare la nivel na
țional.
În martie 2015, guvernul german a lansat un plan pentru promovarea
cercetării
și dezvoltării securității ITC, intitulat
„
Autodeterminare
și sig
uran
ță în
Lumea Digitală 2015
–
2020 (Selbstbestimmt und sicher in der digitalen Welt 2015
–
329
Das IT
–
Sicherheitsgesetz
–
Kritische Infrast
rukturen schützen, Bundesamt für Sicherheit in
der Informationstechnik
–
BSI, BSI
–
ITSIG16/602, Februar 2016.
NECLASIFICAT
NECLASIFICAT
204
din
284
2020)
”
330
, cu un buget de 180
de
milioane
€ până în
anul
2020, destinat promovării
tehnologiilor de criptare
și protecției datelor cu caracter personal și a serviciilor
de
comunica
ții. Planul este axat pe patru domenii
–
cheie:
–
noile tehnologii emergente;
–
sisteme de informare
și comunicare sigure și reziliente;
–
domenii de aplicare ale securită
ții ITC;
–
protec
ția datelor și a vieții private;
În scopul de a coordona activi
tă
țile de cercetare și dezvoltare
guvernamentale, Ministerul german al Educa
ției și Cercetării (BMBF) a stabilit trei
centre de competentă pentru securitatea ITC în trei universită
ți diferite:
–
Centrul de cercetare privind securitatea sistemelor ITC, confi
den
țialitatea
datelor și rezilien
ță cibernetică (CISPA) în Saarbrücken;
–
Centrul European de Cercetare și Proiectare pentru Securitate
și
Criptografie (EC
–
SPRIDE) în Darmstadt;
–
Centrul de Competen
ță pentru de Securitate Tehnologică Aplicată
(KASTEL) din K
arlsruhe.
Mai mult decât atât, guvernul a recunoscut faptul că pentru a asigura
durabilitatea cercetării Germaniei în domeniul securită
ții cibernetice este nevoie de
programe de instruire continuă a personalului calificat, astfel centrul de competen
ță
KAS
TEL derulează programe de instruire finan
țate de BMBF, în care studenții
sunt încuraja
ți să obțină un certificat ca specialist în domeniul securității IT,
comparabil cu o diplomă de master specializat.
„Technische Universität” Darmstadt oferă din
anul
2010
, un program de
„Master of Science” (MSi), în domeniul securită
ții IT, iar în parteneriat public
–
privat cu sectorul economic, „Centrul pentru Cercetări Avansate pentru Securitate
Cibernetică”
–
(CASED) din Darmstadt. CASED oferă cursuri în fundamentele de
330
Selbstbestimmt und sicher in der digitalen Welt 2015
–
2020, The German Government's
research framework programme on IT security, disponibil onlin
e la
https://www.bmbf.de/pub/IT_Security.pdf, accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
205
din
284
securitate cibernetică pentru angaja
ții companiilor, aceștia obținând un certificat
în
domeniul securită
ții IT
de la
„Technische Universität Darmstadt”.
În timp ce Germania de
ține președinția G
–
20
și se pregătește să găzduiască
Summitul
de la Hamburg în
a
nul
2017, guvernul german este decis să demonstreze
rolul de lider în cercetare
și inovare în domeniul securității ITC, investind masiv
resurse financiare
în
acest sens. Astfel, în iunie 2016, Universitatea din Hamburg a
primit 1 mil euro, din fonduri UE p
entru un proiect de cercetare în domeniul
securită
ții cibernetice și împreună cu „
Centrul Independent Schleswig
–
Holstein
pentru Protec
ția datelor personale (Unabhängiges
Landeszentrum für
Datenschutz)
–
ULD
” și alte nouă institu
ții din șapte țări, deruleaz
ă acest proiect
care are ca obiectiv cercetarea modului în care pot fi abordate în mod echilibrat și
unitar conceptele securită
ții cibernetice, cele ale drepturilor și libertăților
individuale
și valorile democratice fundamentale, în trei domenii principal
e de
aplicare: sectorul sănătă
ții, sistemele financiare și cele de securitate națională.
331
În luna iulie 2016, Ministerul german a
l Apărării (MOD) a lansat noua
„
Cartă Albă privind Politica de Securitate germ
ană
și Viitorul Bundeswehr
–
ului”
(White Paper on
German Security Policy and the Future of the Bundeswehr)
332
,
document programatic în domeniul apărării na
ționale, în care se evidențiază
riscurile informatice ca o amenin
țare națională prim rang.
Carta Albă a Apărării recunoa
ște că
„
domeniul cibernetic
și al
prelucrării
informa
țiilor a devenit un domeniu de importanță strategică internațională, care
practic nu are limite, iar semnifica
ția lui va continua să crească.
”
333
Noua politică
a
guvernului vede Germania ca un „jucător cheie”
în Eur
opa
și subliniază
Germa
nia are „
….
responsabilitatea de a ajuta în mod activ la modelarea ordinii
globale.
”
334
331
“1 Million Euro for Cyber Security Project at Hamburg University,” Hamburg News, June 21,
2016, disponibil online la http://www.hamburg
–
news.hamburg/en/cluster/media
–
it/eu
–
funds
–
research
–
project
–
ethical
–
cyberspace/, accesat la data de 10.12.2016.
332
“White Paper on German Security Policy and the Future of the Bundeswehr”, June 2016,
Published by Federal Ministry of Defence.
333
National Infrastructure Protection Plan 2009, disponibi
l online la
www.dhs.gov/xlibrary/
assets/NIPP_Plan.pdf
, accesat la data de data de 11.04.2016.
334
Ibidem
.
NECLASIFICAT
NECLASIFICAT
206
din
284
În acest document se precizează foarte clar faptul că toate aspectele care
țin
administra
ția securității și apărării cibernetice a infrastructurilor cibernetice
militar
e germane, sunt definite ca sarcini de bază ale Ministerului Federal al
Apărării
și Bundeswehr, acesta din urmă cuprinzând
atât armata, sau for
țele
militare de luptă ale
Germaniei
,
cât
și personalul civil administrativ. Mai mult
decât atât, MOD este respon
sabil pentru dezvoltarea capacită
ților naționale, acesta
fiind împuternicit să
„
promoveze o abordare la nivelul întregului guvern
și să
cooperează cu institu
ții de
cercetare, industrie
și diverși alți parteneri, pentru
îndeplinirea acestor obiective
.”
335
P
â
n
ă
în
anul
2016, Bundeswehr
–
ul, ca și majoritatea armatelor moderne a
divizat misiunile cu componentă cibernetică între unită
țile specializate în execuția
opera
țiunilor cibernetice și unități care operau structuri ITC. Având o nouă
abordare, care fuzionează
aceste unită
ți sub comandă unică, fiind adăugate și
capacită
ți extinse de sinteză, într
–
un model similar folosit de Marina SUA la
structura organiza
țională a „
US Navy’s Fleet Cyber/C10F
”
336
, Bundeswehr
–
ul se
a
șteaptă la o îmbunătățire semnificativă a eficac
ită
ții operative în spațiul virtual.
Viteza de implementare
și structura sa inovatoare, este considerată de către
anali
știi de intelligence internaționali un pas foarte neobișnuit MOD
–
ul german,
aceasta indicând foarte clar inten
ția guvernului atât de a îș
i extinde capacită
țile
cibernetice
la un nivel capabil pentru efectuarea
cu succes a unor opera
țiuni
non
cinetice ofensive, cât
și
de a î
și extinde capacitatea de operare organizațională
la un nivel interna
țional, confirmând intenția guvernului de a avea o
influen
ță mai
mare asupra problematicii apărării cibernetice interna
ționale.
În luna aprilie 2016, Germania a început acest proces de consolidare a
capabilită
ților de război cibernetic și informațional sub o comandă unică imediat
după ce ministrul Apărării
, Ursula von der Leyen a anun
țat această intenție în
335
Ibidem
.
336
Fleet Cyber Command/10th Fleet (FLTCYBERCOM/C10F), disponibil online la
ht
tp://www.iwcsync.org/about/fccc10f, accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
207
din
284
septembrie 2015
337
.
Noua organiza
ție, „
Comandamentul Cibernetic și
Informațional (Kommando Cyber und Informationsraum, KCIR)
”
338
, fuzionează
sub comanda sa unită
țile pentru operațiuni cibernetice existente î
n Bundeswehr cu
diverse unită
ți cu specializare în analiza/sinteză a informațiilor militare, unități
responsabile pentru securitate cibernetică, exploatarea și între
ținerea
sistemelor
ITC (re
țele), geo
informare
și comunicare operativă. Centrul este aștepta
t să fie pe
deplin opera
țional până la data de 1 aprilie 2017, va fi condus de un general
locotenent și inten
ționează să dețină un personal operativ la nivelul de 13.500 de
speciali
ști proveniți în primul rând din rândul personalului existent în alte servi
cii
și organizații militare, al institutelor de învățământ militar
,
dar și speciali
ști
recruta
ți din sectorul civil, din rândurile comunității ITC internaționale.
Organiza
țional, centrul va fi compus din două secțiuni, una specializată în
opera
țiuni cibern
etice
și una în securitate cibernetică.
Găsirea de un număr suficient de speciali
ști ITC calificați este o sarcină la
fel de dificilă pentru Bundeswehr ca și pentru orice altă agen
ție publică, însă
nemaiavând restric
ția de a recruta specialiști numai din r
ândul celor cu cetă
țenie
germană, acesta speră să atragă încă 800 de exper
ți până la sfârșitul anului în curs,
folosind sloganul recrutare
„
Apărarea Libertă
ții Germaniei în spațiul
cibernetic.
”
339
337
Federal Ministry of Defense, “Keynote Address by Minister von der Leyen at Cyber
–
Workshop,” September 17, 2015, disponibil online la https://ccdcoe.org/ursula
–
von
–
der
–
leyen
–
cyber
–
be
–
bette
r
–
integrated
–
defence.html, accesat la data de 10.12.2016.
338
Abschlussbericht Aufbaustab Cyber
–
und Informationsraum, Empfehlungen zur
Neuorganisation von Verantwortlichkeiten, Kompetenzen und Aufgaben im Cyber
–
und
Informationsraum sowie ergänzende Maßnahm
en zur Umsetzung der Strategischen Leitlinie
Cyber
–
Verteidigung, April 2016, disponibil online la https://www.google.ro/
url?q=https://www.bmvg.de/resource/resource/MzEzNTM4MmUzMzMyMmUzMTM1MzMyZ
TM2MzIzMDMwMzAzMDMwMzAzMDY5NmU2ODYyNzc2MzY5NzMyMDIwMjAyMDIw
/Ab
schlussbericht%2520Aufbaustab%2520CIR.pdf&sa=U&ved=0ahUKEwja25vdxbzSAhUBrR
QKHRVqCpAQFggbMAI&sig2=pzLZTroBCOi6mlvFDgYcYw&usg=AFQjCNE41BnbB1d7hq
02XyakZN0zG4kK5g, accesat la data de 10.12.2016.
339
Christoph Hickmann, “Call to Arms for Cyber War, Trying to Poac
h Private Sector Recruits”,
Süddeutsche Zeitung, April 18, 2016, disponibil online la
http://international.sueddeutsche.de/post/143005903195/call
–
to
–
arms
–
for
–
cyber
–
war
–
trying
–
to
–
poach, accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
208
din
284
Astfel, în spiritul celor afirmate, MOD german dore
ște ca Bun
deswehr să
aibă capaci
tatea de a executa lovituri non
cinetice sau de a oferi o componentă de
avantaj tactic al celor cinetice, independent și cu propria for
ță cibernetică și
prevede ca acest nou comandament cibernetic, KCIR, să permită Germaniei să
coopere
ze în opera
țiuni multinaționale la același nivel cu alte națiuni, cum ar fi de
exemplu Statele Unite ale Americii. Astfel, Departamentul de Informa
ții și
Opera
țiuni Cibernetice, din cadrul Unității de Cercetare Strategică a Bundeswehr
–
ului, este axat pe de
zvoltarea și operarea unor capacită
ți în mare măsură defensive,
însă în urma unei analize juridice ext
inse începută în anul 2000, MOD
–
u
l german a
ini
țiat în
anul
2005 dezvoltarea unor capacită
ți cu potențial ofensiv, cum ar fi
echipe de tip „Red Team”, afi
rmând faptul că abilită
țile acestor unități specializate
în război cibernetic secret, ar fi folosite numai în scopuri defensive
340
.
MOD este, de asemenea, implicat într
–
un proces de căutare și selec
ție a unor
institu
țiilor de învățământ, cum ar fi Școala Eur
opeană de Management
și
Tehnologie (ESMT) din Berlin, pentru a sprijini cerin
țele sale pentru cercetare
avansată
și de formare specializată.
Ca și strategie generală, guvernul german preferă să păstreze eforturile
defensive de securitate cibernetică, separ
at de serviciile sale de informa
ții, astfel
guvernul german a înfiin
țat
,
în
anul
2011
,
un Centru Na
țional de Răspuns la
Incidente Cibernetice
–
CERT,
în cadrul Ministerului de Interne. Centrul combină
resurse din diverse agen
ții guvernamentale, inclusiv di
n cadrul poli
ției federale și
„Serviciilor Federale de Informa
ții (
Bundesnachrichtendienst)
–
BND”
341
și chiar
din industrie, fiind dotat ini
țial un personal limitat provenind din BSI,
„Oficiul
German pentru Protec
ția Constituției (Bundesamt für Verfassungss
chutz)
–
340
“Germany Reveals Offensive Cyberwarfar
e Capability,” Atlantic Council, 8 June 2012,
disponibil online la http://www.atlanticcouncil.org/blogs/natosource/germany
–
reveals
–
offensive
–
cyberwarfare
–
capability, accesat la data de 10.12.2016.
341
Bundesnachrichtendienst, disponibil online la http://www
.bnd.bund.de/EN/_Home/
home_node.html, accesat la data de 10.12.2016.
NECLASIFICAT
NECLASIFICAT
209
din
284
BFV”
342
și
„Oficiul Federal pentru Protecție Civilă și Asistență la Dezastre (
Das
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
)
–
BBK
343
.
De la înfiin
țarea sa, Poliția Federală, Biroul Federal de Investigații
Criminale, Serviciul Na
țional d
e Informa
ții German (BND), Bundeswehr
–
ul,
și
Oficiul Vamal Investiga
ții Penale (ZKA) au plasat experți toate în centrele de tip
CERT ale Germaniei
344
.
„Consiliul Na
țional pentru Securitate Cibernetică (Cyber
–
Sicherheitsrat
Deutschland)”
345
este
,
de asemenea
,
responsabil pentru elaborarea regulilor de
angajare, coordonare a tehnicilor de apărare
și a politicii de securitate cibernetică,
în rândul personalului fiind inclu
și și reprezentanții militari de rang înalt.
În decu
rsul documentării noastre
, am remarcat f
aptul că în timp ce
capacită
țile MOD în spațiul cibernetic și în general capacitatea de apărare
cibernetică a Germaniei au fost crescute
și extinse în semnificație, guvernul să
înăspre
ște controalele asupra BND și impune noi restricții legale cu privire la
activită
țile sale de supraveghere. Aceste reforme juridice, care la acest moment
sunt în curs de finalizare în parlamentul german, ar interzice BND
–
ului activită
ți de
spionaj în
țări și asupra cetățenilor și instituțiilor din UE, cu excepția cazului
suspe
ctării unor activită
ți teroriste
346
.
Aces
t pachet de legi solicită
șefu
lui BND, Cancelariei germane, precum
și
unui grup independent de judecători să aprobe în comun, prin consens, activită
țile
strategice de spionaj extern, în special cele de cercetare a spa
țiului cibernetic
bazate pe liste de cuvinte cheie.
342
Bundesamt für Verfassungsschutz, disponibil online la https://www.verfassungsschutz.de/,
accesat la data de 10.12.2016.
343
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, d
isponibil online la
http://www.bbk.bund.de/EN/Home/home_node.html, accesat la data de 10.12.2016.
344
James Lewis and Katrina Timlin, “Cybersecurity and Cyberwarfare,” Center for Strategic and
International Studies, (2011), pp. 12
–
13, disponibil online la
ht
tps://www.files.ethz.ch/isn/134215/pdf
–
1
–
92
–
9045
–
011
–
J
–
en.pdf, accesat la data de 10.12.2016.
345
Cyber
–
Sicherheitsrat Deutschland e.V., disponibil online la
http://www.cybersicherheitsrat.de/, accesat la data de 10.12.2016.
346
Thorsten Severin and Andrea Sha
lal, “German Government Agrees to Reform BND Spy
Agency
–
Sources,” Reuters, June 3, 2016, disponibil online la http://uk.reuters.com/article/uk
–
germany
–
spying
–
idUKKCN0YP2KG, accesat la data de 8.01.2017.
NECLASIFICAT
NECLASIFICAT
210
din
284
Astfel, după opinia noastră, această abordare diferă de abordarea altor
țări,
unde pentru activită
țile de spionaj cibernetic pe spațiul extern, leagă în mod direct
serviciile de informa
ții cu capacitățil
e cibernetice ale serviciilor de informa
ții
militare.
2.7.3. POLITICA NA
ȚIONAL
Ă PENTRU ASIGURAREA SECURITĂ
ȚII
ȘI APĂRĂRII CIBERNETICE ÎN REPUBLICA AUSTRIA
„Strategia de Securitate Cibernetică (Austrian Cyber Security Strategy)”
347
a
ITC a Republicii Federa
le Austria a fost aprobată în
anul
2013, obiectivele
principale ale Strategiei de securitate ITC fiind securitatea și apărarea
infrastructurilor critice cibernetice (CII). Strategia abordează o gamă la
rgă de
direcții
–
de la diferitele aspecte ale analizei
, sintezei și modelării cuno
ștințelor din
domeniul securită
ții cibernetice, până la mecanismele de conștientizare a securității
ITC pentru gestionarea reactivă
și proactivă a incidentelor cibernetice.
Obiective strategice
și măsurile de punere în aplicare
a conceptelor de
securitate cibernetică a Austriei pot fi împăr
țite în cinci domenii cheie:
–
structuri
și părțile interesate,
–
infrastructurile critice,
–
managementul riscului
și status quo
–
ul,
–
educa
ție și cercetare,
–
sensibilizare.
În compara
ție cu strate
giile de securitate cibernetică anterioare, cum ar fi cea
din
anul
2012, cea din
anul
2013 are câteva elemente de noutate, astfel
348
:
–
amenin
țările și provocările la adresa securității tradiționale sunt din ce în
ce mai pu
țin iminente, însă apar noi amenințăr
i complexe și provocări cu impact
347
Austrian Cyber Security Strategy, Federal Chancel
lery of the Republic of Austria, Vienna,
March 2013, disponibil online la http://archiv.bundeskanzleramt.at/DocView.axd?CobId=50999,
accesat la data de
0
8.01.2017.
348
Federal Chancellery of the republic of Austria, “National ICT Security Strategy Austria,”
Federal Chancellery, Digital Austria, Vienna, 2012, disponibil online la
https://www.digitales.oesterreich.gv.at/documents/22124/30428/National_ICT_Security_Strateg
y_Austria_2012_print.pdf/a9a58512
–
b382
–
414d
–
a572
–
99d312f7ca88, accesat la data de
0
8.01.2017
.
NECLASIFICAT
NECLASIFICAT
211
din
284
din ce în ce mai important asupra mecanismelor de interese interne și externe ale
Austriei;
–
în timp ce rolul și importan
ța actorilor de stat pe spațiul securității
cibernetice este în scădere, cel al organiza
țiilor interna
ționale este în creștere;
–
este necesară o abordare globală, în conformitate cu
„principiul
avantajelor comparative”
349
, a tuturor actorilor relevan
ți pentru spațiul cibernetic,
atât la nivel interna
țional
,
cât
și regional;
–
pentru gestionarea riscurilor și vu
lnerabilită
ților sistemelor critice ITC și
diminuarea amenin
țărilor din spațiul cibernetic, este necesară o abordare mai
dinamică
și integrată la nivel intern, între sectorul civil și cel militar, concept
asemănător cu cel a lui Arnold Wolfers relativ la a
bordarea comprehensivă de către
guvern a securită
ții naționale, astfel „…..
securitatea, în sens obiectiv, înseamnă
lipsa amenin
țărilor la adresa valorilor, iar în sens subiectiv absența temerii că
aceste valori vor fi atacate.
”
350
–
Conceptul de securitate c
ibernetică se adresează din ce în ce mai mult
aspectelor economice, sociale, mecanismelor de dezvoltare, dar
și aspectelor care
țin de securitatea internă.
„Strategia Na
țională de Securitate a Austriei din 2013 (Austrian Security
Strategy, Security in a ne
w decade
–
Shaping security)”
351
con
ține un angajament
de a aplica recomandăr
ile UE în materie de management
ul crizelor, inclusiv clauza
care obligă statele membre să î
și îmbunătățească capacitățile de prevenire
și
răspuns
și să pună aceste capacități la dis
pozi
ția UE. De aici, putem investiga
ipoteza prin care Austria este un puternic sus
ținător al conceptului strategic de
apărare cibernetică comună, construită pe baza principiilor subsidiarită
ții,
propor
ționalității și proximității, în spiritul prevederilor
articolului 10 din Tratatul
349
David Ricardo, F. W. Kolthammer
The Principle of Political Economy and Taxation
,
Cosimo, Inc., Sep 1, 2006, ISBN:1
–
59605
–
941
–
9.
350
Arnold Wolfers, „
National Security, as an Ambiguous Symbol”, Political Science Quarterly,
Vol. 67, No. 4 (Dec., 1952), pp.
481
–
502, Published by: The Academy of Political Science.
351
Austrian Security Strategy, Security in a new decade
–
Shaping security, Published by
Federal Chancellery of the Republic of Austria, disponibil online la
https://www.bka.gv.at/DocView.axd?CobId=5
2251, accesat la data de
0
8.01.2017.
NECLASIFICAT
NECLASIFICAT
212
din
284
UE
352
. Faptul că Austria are
,
în acest moment
,
unul dintre cele mai informatizate
mecanisme de administra
ție publică, care poate fi calificat cu succes ca una dintre
cele mai critice infrastructuri ale
țării și a cărui întindere
și complexitate depă
șește
cu mult capacitatea tehnologică,
științifică
și
militară de apărare cu mijloace
proprii a acesteia, poate justifica faptul ca Austria î
și dorește construcția unui
sistem de securitate și apărare cibernetică construit și coordonat
de către institu
ții
subordonate Comisiei UE.
Î
n ambele strategii, Austria sus
ține „Conceptul strategic al NATO”
353
din
2010, inclusiv cre
șterea ambițiilor NATO privind implicarea în gestionarea
crizelor interna
ționale, în domeniul securității prin cooperare,
în abordarea noilor
provocări de securitate, precum
și în modernizarea parteneriatelor sale.
în
conformitate cu Strategia de Securitate Na
țională, politica de securitate cibernetică
se încadrează în principal, în cadrul general al politicii UE, cu include
rea
principiilor și mecanismelor derivate din parteneriatele cu OSCE
și NATO. Este
demn de men
ționat că în
anul
2014, Austria a coordonat primul schimb de
informa
ții între cele 57 de state OSCE în domeniul securității
cibernetice, a
impactului indicatorilo
r de cre
ștere a încrederii, evaluarea riscurilor identificate la
nivel na
țional și regional, și a mecanismelor și modelelor de combatere a acestora.
Strategia de Securitate Cibernetică declară continuarea cooperării
institu
țiilor federale ale Austriei în c
adrul acestor organiza
ții și mandatează
contribu
țiile austriece la eforturile privind instituirea unor mecanisme regionale și
interna
ționale de combatere a amenințărilor din spațiu cibernetic, iar participarea la
misiunile de gestionare a crizelor sau la o
pera
țiunile internaționale cu specific de
preven
ție este înțeleasă ca element esențial al acestei politici.
352
„Versiune consolidată a tratatului privind Uniunea Europeană și a tratatului privind
funcționarea uniunii europene”, 6655/2/08 REV 2, Bruxelles, 28 mai 2010, (OR. fr) disponibil
online la https://www.google.ro/url?q=h
ttps://www.consilium.europa.eu/uedocs/
cmsUpload/st06655
–
re02.ro08.doc&sa=U&ved=0ahUKEwibjsDrkb_SAhXIaRQKHd
YpDIgQFggXMAE&sig2=ujo57
–
mC24aupQP9pZ9TEw&usg=AFQjCNENFqNdr2djlq56Xbw_
ut65StGq9g, accesat la data de
0
8.01.2017.
353
New NATO Strategic Concept at t
he Lisbon Summit, disponibil online la
http://www.nato.int/strategic
–
concept/, accesat la data de
0
8.01.2017.
NECLASIFICAT
NECLASIFICAT
213
din
284
Politica de apărare cibernetică este definită ca o parte integrantă din procesul
de transformare a sistemului de apărare austriac prin trecerea de
la o „
Apărare
Na
țională
Integrată (Comprehensive
National Defense)”
354
la
„Furnizarea unei
Securită
ți Integrate (Comprehensive
Security Provision)”
355
cuprinzătoare, fiind
necesară armonizarea politicilor de securitate interne cu cele externe, relativ la
următ
oarele direc
ții:
–
apărarea suveranită
ții și integrității teritoriale;
–
protec
ția instituțiilor constituționale și a infrastructurii critice cibernetice;
–
protec
ția populației, inclusiv în cazul unor atacuri cibernetice majore cu
efecte
în
plan fizic, califi
cate la nivel de dezastru;
–
contribu
ția la asigurarea funcționării instituțiilor statului;
–
participarea la de gestionarea a crizelor interna
ționale care au componentă
cibernetică;
–
contribu
ția la politica integrată de securitate și apărare cibernetică a U
E.
Noile provocări de securitate pot duce la noi sarcini pentru for
țele armate
austriece
și a altor instituții și organisme oficiale din sistemul de apărare
cibernetică, astfel Austria este poate prima
țara a Uniunii Europene care a
eviden
țiat într
–
o stra
tegie de securitate cibernetică, faptul că schimbările
și
progresele tehnologice, în special în domeniul tehnolog
iei IT, nu se întâmplă în
ritm „birocratic”
, ci
exponen
țial mai repede, riscurile și pericolele implicate având
viteză de cre
ștere ca și inovaț
iile în sine. Acest lucru pune guvernul austriac într
–
o
foarte
dificilă
situa
ție, datorită faptului că administrațiile de stat sunt, prin definiție
mai mult sau mai pu
țin lente în deciziile privind adaptarea infrastructurii și
proceselor interne, decât ind
ustriile inovatoare. Dar, de asemenea, datorită
principiului consensualită
ții pe care se întemeiază
„Constitu
ția Republicii
354
The Role of the Austrian Armed Forces in Homeland Security, CONNECTIONS, Volume
IV, Number 3, disponibil online la http://www.bundesheer.at/pdf_
pool/publikationen/frank.pdf,
accesat la data de
0
8.01.2017.
355
Rosemarie Stangl, Comprehensive security research to contribute to critical infrastructure
protection, 12th Congress INTERPRAEVENT 2012
–
Grenoble/France Conference Proceedings,
disponibil onli
ne la https://scholarsphere.psu.edu/downloads/pv63g115p, accesat la data de
0
8.01.2017.
NECLASIFICAT
NECLASIFICAT
21
4
din
284
Austria”
356
,
ac
țiunea de stat trebuie să se sprijine pe o amplă politică consensuală,
cel pu
țin a majorității parlamentare, iar în com
ponentele securită
ții cibernetice care
aduc atingere drepturilor și libertă
ților individuale, consensul trebuie extins la
majoritatea societă
ții. De asemeni, în procesul de elaborare și în conținutul său,
orice politică de securitate și apărare cibernetică
trebuie să respecte principiile
fundamentale ale societă
ții austriece, precum statul de drept, separarea
competen
țelor, libertăților individuale etc.
Este evident că nici
un singur minister sau chiar agen
ție guvernamentală
unică nu poate îndeplini aceste s
arcini singură, din acest motiv, strategii austrieci
au extins abordarea conceptului de apărare și securitate cibernetică de
„la nivelul
întregului guvern” la o abordare „
la nivelul întregii na
ț
iuni”
, cu implicarea
actorilor priva
ți.
Implicarea actorilor s
tatali sau priva
ți din sectorul de securitate și apărare
cibernetică pe care Austria se exprimă nu poate fi eficientă fără o cooperare
interna
țională, aceasta devenind tot mai mult un pivot care alătură proiecției
principiilor fundamentale ale societă
ții a
ustriece, organiza
țiile internaționale
relevante și corpora
țiile cu specific ITC care joacă un rol tot mai mare în
modelarea inovării în sectorul de securitate cibernetică, concept strategic subliniat
în practic toate documentele doctrinare recente ale sta
telor
și organizațiilor
interna
ționale studiate de către noi.
Din punct de vedere al angajamentului guvernului austriac în domeniul
securită
ții cibernetice, competența de coordonare revine Cancelariei Federale, care
în
anul
2008 pus bazele unei instituții
de tip CERT (Computer Emergency
Response Team) guvernamentale denumită
„GovCERT
Austria
”
357
, în scopul de a
integra eforturile de securitate cibernetică din sectorul public
și cel privat.
Cancelaria Federală coordonează gestionarea crizelor cibernetice, în u
rma
356
Conf. univ. dr. Silviu Gabriel Barbu,
Constituția Republicii Austria
–
Prezentare generală
,
disponibil online la http://codex.just.ro/Tari/Download/AT, accesat la dat
a de 08.01.2017.
357
GovCERT in Österreich, disponibil online la http://www.govcert.gv.at/index_en.html, accesat
la data de 08.01.2017.
NECLASIFICAT
NECLASIFICAT
215
din
284
consultării cu exper
ții din ministerele de Interne și Apărare, împreună cu CERT și
alte organizații guvernamentale interesate.
În
anul
2010,
„
Ofensiva Internet a Austriei (INTERNETOFFENSIVE
ÖSTERREICH)”
358
–
formată ca o ini
țiativă comună a majorității p
ăr
ților interesate
în domeniul ITC din Austria,
în
spe
ță mai multe companii locale importante în
domeniul ITC, institu
ții de cercetare și grupuri de interese, a dezvoltat o strategie
na
țională în domeniul ITC, denumită
„
Declara
ția pentru Internet a Austrie
i
”
359
.
În
anul
2014, Austria a instituit un program de parteneriat public
–
privat
pentru protec
ția infrastructurii critice,
„Programul Austriac pentru Protec
ția
Infrastructurilor Critice (APCIP)”
360
, având obiectivul de a dezvolta nu numai o
strategie cuprinzăt
oare
,
dar și un set de măsuri detaliate în scopul de a aduce toate
organiza
țiile publice și private relevante din domeniul securității cibernetice
împreună cu operatorii de infrastructură, sub un singur acoperi
ș conceptual comun.
Ministerul Apărării î
și de
zvoltă în continuare capacită
țile de apărare
cibernetică, prin crearea unui CERT cu orientare militară, iar Ministerul de Interne
a început să elaboreze o matrice de analiză a riscurilor din spa
țiul cibernetic,
implicând diverse autorită
ți din zona academi
că, mediul de afaceri, administra
ția
și
organiza
țiile politice, iar
,
în final
,
activită
țile individuale desfășurate de diverse
ministere
și agenții fiind consolidate printr
–
un concept na
țional de securitate
cibernetică.
Prin Strategia de Securitate Cibern
etică din
anul
2013, Cancelaria Austriacă
planifică să pună bazele a noi organisme, în scopul de a consolida securitatea și
apărarea cibernetică a infrastructurii critice și al spa
țiului său de interese, însă
contactul central pentru probleme de securitate
cibernetică publică este creat prin
stabilirea pozi
ției unui
„Responsabil
Șef cu Securitatea Cibernetică”
, în
358
Die INTERNETOFFENSIVE ÖSTERREICH, disponibil online la
https://www.internetoffensive.at/, accesat la data de 08.01.2017.
359
e
–
SKILLS IN EUROPE, AUSTRIA COUNTRY REPORT JANUARY 2014, disponibil
online la http://eskills
–
monitor2013.eu/fileadmin/monitor2013/documents/country_reports/
country_report_austria_th.pdf, accesat la data de 08.01.2017.
360
Austrian Program for Critical In
frastructure Protection (APCIP), disponibil online la
https://www.onlinesicherheit.gv.at/nationale_sicherheitsinitiativen/schutz_strategischer_infrastru
kturen/71359.html, accesat la data de 08.01.2017.
NECLASIFICAT
NECLASIFICAT
216
din
284
subordinea
„Chief Information Officer
–
ul Republicii Federale Austria”
din cadrul
Cancelariei Federale
,
astfel gestionarea crizelor generate de ag
resiuni din spa
țiul
cibernetic va fi
făcută
de entită
ți formate din reprezentanți ai statului. Din acest
motiv, este nevoie ca statul să emită un set de reguli
și proceduri convenite cu
mediul politic, pentru a facilita cooperarea dintre centrul de criză g
uvernamental
și
entită
țile private interesate. Astfel, planurile de gestionare a crizelor sunt adoptate
de
„Grupul de Coordonare pentru Securitate Cibernetică”
361
care are
responsabilitatea să definească modul în care organismele de gestionare a crizelor
tre
buie să se ocupe de cele mai importante amenin
țări cibernetice, acesta fiind
înfiin
țat ca organ consultativ central al guvernului federal, pentru toate problemele
care implică securitatea cibernetică a Austriei.
Grupul se concentrează pe abordări integrat
e, elaborarea unor strategii de
gestionare a crizelor, cooperarea interguvernamentală
și participarea activă a
Austriei în probleme care implică securitatea cibernetică, adoptă masurile necesare
și monitorizează punerea în aplicare Strategiei de Securitate
Cibernetică, având
dreptul să instituie dacă este necesar măsuri corective.
În OSCE, Austria este printre grupul de state participante care promovează
probleme de securitate cibernetică în cadrul acestei organiza
ții, aceasta susținând
dezvoltarea încreder
ii
și măsurile de consolidare a rezilienței cibernetice și
generarea unor activită
ți de formare a specialiștilor în misiuni de teren.
În Consiliul Europei, Austria, de
ține poziția de coordonator tematic privind
politica de informare
în
ceea ce prive
ște gu
vernan
ța internetului, jucând un rol
important în elaborarea Strategiei Consiliului Europei privind guvernan
ța pe
Internet din
anul
2012.
361
Cyber Security Steering Group, Cyber Security Report
2014, Federal Chancellery of the
Republic of Austria, Department IV, disponibil online la
http://www.digital.austria.gv.at/DocView.axd?CobId=56982, accesat la data de 08.01.2017.
NECLASIFICAT
NECLASIFICAT
217
din
284
C
apitolul
3
MODELAREA RISCURILOR ȘI AMENIN
ȚĂRILOR
LA ANALIZA SISTEMELOR CIBERNETICE
Ca și concept, riscurile
de securitate ale sistemelor cibernetice reprezintă o
problemă tot mai mare pentru organiza
țiile mari, cum ar fi organizațiile
guvernamentale care gestionează infrastructura critică la nivel de stat sau la nivelul
unor agen
ți economici transnaționali
mai i
ntensă a tehnologiei informa
ției
deplasează lucrările manuale și repetitive. De asemenea, aceasta trebuie să
răspundă cererii tot mai mari a păr
ților interesate pentru servicii mai rapide, pentru
a supravie
țui în mediul dur și competitiv al pieței mondiale
.
În concordan
ță cu această tendință de creștere a cererii, livrarea de către
furnizori
și producători de noi instrumente, echipamente și tehnici inovatoare
devine un element competi
țional demn de luat în seamă. Acum este evidențiat și de
„
Global Media Re
port 2015
”
362
, în urma crizei economice globale din
anul
2008
industria financiară a trecut la digitalizarea serviciilor opera
ționale, introducând
astfel în cel mai sensibil și mai dinamic sector economic foarte multe tehnici
novatoare, atât în segmentul de
analiză și sinteză a datelor, dar și pe dimensiunea
de disponibilitate și independen
ță față de platformele tehnologice ITC.
362
Global Media Report 2015
, Global Industry Overview, Global Media and Enter
tainment
Practice, September 2015, Copyright © McKinsey & Company, disponibil online la
https://www.google.ro/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwiXnefar
8XWAhWBWRoKHWxxDmcQFggqMAE&url=https%3A%2F%2Fwww.mckinsey.com%2F~
%2Fmedia%2FMcKinsey%2F
dotcom%2Fclient_service%2FMedia%2520and%2520Entertainm
ent%2FPDFs%2FMcKinsey%2520Global%2520Report%25202015_UK_October_2015.ashx&u
sg=AFQjCNEzn0gQYxOIUJLvBash66LvCuIYUg, accesat la data de 26.06.2017.
NECLASIFICAT
NECLASIFICAT
218
din
284
Cu toate acestea, nici
o inova
ție tehnologică nu prezintă riscuri, iar istoria
ultimului deceniu sugerează că foarte organiza
ții guv
ernamentale sau agen
ți
economici transna
ționali au înregistrat pierderi economice și de reputație grave din
cauza e
șeculu
i lor în echilibrarea rela
ției î
ntre risc
și recompensă, în special atunci
când digitalizează activită
țile lor operaționale.
Gartner su
gerează prin publicarea în
anul
2017 a raportului „
2017 Magic
Quadrant for Data Science Platforms
”
363
, sugerează că în ultimii 10 ani, 30% din
pierderile istorice estimate ale organiza
țiilor guvernamentale din zona strategică și
al agen
ților economici transn
a
ționali au avut loc atât din cauza atacurilor
distructive cu componentă cibernetică majoră, războiului cibernetic, spionajul
guvernamental sau sponsorizat indirect de către entită
ți statale, operațiunilor de
spionaj corporativ cu componentă cibernetică de
terminantă, dar și datorită
ac
țiunilor țintite la nivel de individ, cum ar fi furtul și impres
i
onarea adreselor de
e
–
mail, furtul sau alterarea de acreditări de autentificare, carduri de credit, furtul de
date financiare și date medicale.
3.1.
MODELAREA R
ISCURILOR CIBERNETICE
În acest
demers
de cercetare propunem un concept teoretic de modelare al
riscurilor generate de criminalitatea informatică și testarea managementului
riscului de criminalitate cibernetică de către organiza
ții. Aplicăm conceptul de
„
t
eorie a utilită
ților așteptate
”
364
pentru a explica comportamentul hackerilor
și
luarea de decizii defensive de către manageri în prezen
ța riscului și incertitudinii.
363
2017 Magic Quadrant for Data Science Platforms
, GARTNE
R RESEARCH, disponibil
online la https://pages.alteryx.com/Gartner
–
2017
–
MQ
–
Data
–
Science.html?lsm=google&utm_source=
google&utm_medium=CPC&utm_campaign=2017_Gartner_MQ_AA_
–
_ROEMEA&utm_
source=google&lsm=google&utm_medium=cpc&utm_campaign=2017%2520Gartner%25
20M
Q%2520AA%2520
–
%2520UK&utm_content=AR&utm_term=gartner%2520research&utm
_adid=209924140446, accesat la data de 26.06.2017.
364
Alexandra Gheondea
–
Eladi,
Teoria raționalității în sociologie: un argument metodologic
,
METODOLOGII CALITATIVE ÎN DOMENIUL SOCIO
LOGIC, disponibil online la
http://www.revistadesociologie.ro/pdf
–
uri/nr.3
–
4
–
2013/20
–
AEladi.pdf, accesat la data de
26.06.2017.
NECLASIFICAT
NECLASIFICAT
219
din
284
Este evident că, în multe situa
ții, hackerii sunt obligați să fie cel puțin parțial de
succ
es, iar diminuarea riscurilor prin solu
ții tehnologice nu poate elimina complet
riscul cibernetic. Acest lucru se datorează faptului că hackerii posedă cuno
ștințe și
abilită
ți superioare privind tehnologia modernă față de managerii organizațiilor.
Hackerii
sunt întotdeauna capabili să dezvolte modalită
ți alternative de hacking a
sistemelor on
–
line, indiferent de sofisticarea tehnologică folosită pentru a atenua
riscul cibernetic.
De asemenea, trebuie
ținut cont de faptul că organizațiile funcționează
adese
a sub constrângeri practice din afara domeniului tehnic, cum ar fi cele
economice, politica guvernamentală, tradi
ții și doctrina de securitate sau politica și
angajamentele interna
ționale ale statului sau organizației respective, care limitează
posibilită
ț
ile de gestiune a expunerilor cu risc cibernetic. În plus, solu
țiile
tehnologice sunt temporare, deoarece hackerii î
și schimbă pozițiile, strategia și
tehnicile, ceea ce face ca gestionarea riscului cibernetic să devină și mai dificilă
pentru aceste organi
za
ții. În consecință, este important să analizăm motivațiile
hackerilor și strategia opera
țională a hackerilor și din perspectiva economiei
comportamentale.
Lăsând deoparte motivarea de ordin psihologic. religios sau social, în urma
studierii materialului
bibliografic suntem de părere că motiva
ția principală pentru
ini
țierea, desfășurarea și exploatarea rezultatului unui atac cibernetic, indiferent de
profilul atacatorului sau configura
ția țintei, este dată de complexul motivațional
generat de gradul de atr
activitate al compromisului dintre risc și recompensă.
Pentru simplificarea analizei, vom porni de la ipoteza că hackerii monitorizează în
mod constant
și rapid mișcările țintelor lor, așteptând ocazia de a iniția, desfășura
și exploata un atac cibernetic,
însă într
–
un mod care să asigure o probabilitate
scăzută de detectare, identificare, captură
și urmăriți în justiție.
În sfera cibernetică, multe atacuri pot fi executate relativ ieftin. Sofisticarea
dispozitivelor electronice cu costuri reduse, precum sm
artphone
–
urile și tabletele,
lărge
ște domeniul de atac al hackerilor. În plus, tendința spre digitizarea procesului
de afaceri, a func
țiilor și externalizare a serviciilor în locații îndepărtate fac
NECLASIFICAT
NECLASIFICAT
220
din
284
sistemul vulnerabil la riscul cibernetic. Abuzul de inova
ții tehnologice, asociat cu
fraudele interne comise de angaja
ți, a crescut în multe cazuri frecvența și
dimensiunile atacurilor cibernetice, aceste elemente fiind de luat în seamă ca și
factor agravant.
În consecin
ță, este foarte important să investigheze
elementul uman relevant
pentru criminalitatea informatică pentru orice fel de modelare care are ca scop
func
țional diminuarea riscul cibernetic, însă ipotezele de la care se pleacă în
această modelare trebuie să limiteze comportamentul uman la un model ma
tematic
finit și coerent, care
,
în final
,
elimină comportamentul impredictibil al componentei
umane.
In cazul în care acest comportament este o caracteristică principală a
modelului, poate fi utilizat un model analog „efectului fluturelui”
365
, studiat de
Edw
ard Lorentz, în care
comportamentul haotic
aparent întâmplător și
imprevizibil, este guvernat de legi deterministe nelineare, fiind în principal
rezultanta unui sistem de func
ții care manifestă o sensibilitate mare față de
condi
țiile inițiale. Motivul pent
ru care acest element este limitat de către noi în
această analiză la un model matematic linear finit, rezidă în obiectivul noastre de a
elabora unui model care să fie nu numai predictibil
,
dar și repetabil, aplicabil la o
plaja cât mai variată de organiza
ții. În cazul sistemelor nelineare o mică modificare
nerepetitivă a unei ipoteze ini
țiale sau cauze, produce o variație substanțială a
efectului, iar practic fluctua
ții mic
i ale interac
țiunilor între sub
sistemele locale
schimbă în mod major comportarea sis
temului considerat și face dificilă sau chiar
imposibilă predic
ția.
Odată cu cre
șterea atacurilor cibernetice, mai multe autorități de
reglementare de stat și regionale au ini
țiat elaborarea și aplicarea de proceduri
pentru controlul proceselor și
activită
ților organizaționale care utilizează
tehnologia ITC pentru a preveni
, controla și combate frecven
ța și gravitatea
365
Étienne Ghys,
The butterfly effect
, CNRS
–
UMPA ENS, Lyon, 12th International Congress on
Mathematical Education, disponibil onl
ine la http://perso.ens
–
lyon.fr/ghys/articles/
butterflyeffect.pdf, accesat la data de 26.06.2017.
NECLASIFICAT
NECLASIFICAT
221
din
284
evenimentelor cibernetice. Însă, noua genera
ție de reglementări în domenii
relevante, cum ar fi de exemplu
,
proprietatea intelectuală a limit
at capacitatea
organiza
țiilor de a proteja pe deplin datele și confidențialitatea părților interesate,
dar aceasta limitare are caracteristicile unui prag de efort, motiv pentru care am
considerat că nu influen
țează în dinamic comportamentul unui model de
risc sau
model de amenin
țare cibernetică.
Modelul propus de noi pentru analiza riscurilor și amenin
țărilor cibernetice
presupune că există trei jucători: o organiza
ție, care poate fi o organizație (o),
guvernamentală la nivel de stat sau un actor economic
care gestionează o
infrastructură critică la nivel de stat,
un hacker (c), și statul. Organiza
ția are un
drept de proprietate asupra unor bunuri care oferă utilitate, ea având dimensiunile
și caracteristicile unei companii private, unei organiza
ții din sec
torul public sau
chiar a unei persoane fizice. Acelea
și bunuri sunt, de asemenea, atractive pentru
hacker și va încerca să achizi
ționeze ilegal o parte din acestea,.Prin valoare privim
orice venit comercializat din activitatea organiza
ției.
Acest lucru poa
te fi, evident,
„numerar”
care poate fi mutat de hacker de la un cont la altul sau diverse bunuri
pot fi expediate sau direc
ționat greșit fără plata corespunzătoare. Valoarea poate
include, de asemenea, achizi
ționarea de date cu valoare intelectuală cum ar
fi,
detalii despre produs, detalii ale clien
ților, conturi financiare, fie achiziționate
direct de un concurent, fie în numele acestuia de către o ter
ță parte. Hacker
–
ul
poate oferi organiza
ției returnate bunuri furate în schimbul unei plăți în numerar.
O
biectivul hacker
–
ului poate fi acela de a ob
ține un beneficiu din atacul și
penetrarea infrastructurii ITC a
organiza
ției, fie prin drenarea acesteia, fie prin
distrugerea reputa
ției acesteia. Această prestație poate fi
pecuniară
, de exemplu
eliminarea unu
i concurent comercial sau a unei agen
ții guvernamentale de
securitate cu voca
ție în apărarea cibernetică și combaterea criminalității cibernetice
sau
non
pecuniară
, cum ar fi eliminarea unui rival politic sau a unei organiza
ții de
reglementare. Este interes
ant de observat faptul că dacă privim prin perspectiva
hackerului, putem converti orice beneficiu la utilitate și viceversa.
NECLASIFICAT
NECLASIFICAT
222
din
284
Statul, în calitate de sus
ținător al legii, obține utilitatea de a urmări cu succes
și de a pedepsi hackerul detectat de organiza
ție în timp ce încearcă să fure bunurile.
Având în vedere cele de mai sus, se poate presupune că to
ți jucătorii au
aceea
și funcție generală de saturație prin care se poate caracteriza utilitatea:
U(X) = a
unde
(0 <
a
< 1:0 <
y
< 1)
Cre
șterea tot
ală a utilită
ții funcție de
X
se face cu o rată descrescătoare, adică
utilitatea marginală tinde spre zero, pe măsură ce fiecare unitate suplimentară a lui
X este ob
ținută. Aceasta stabilește o limită superioară la suma care trebuie furată
într
–
o singură o
pera
ție. Suma achiziționată și în speță, utilitatea asociată derivată,
poate fi suficientă pentru totdeauna sau poate fi consumată în timp, ceea ce
înseamnă că hackerul va trebui să se întoarcă pentru a încerca să repete faptele
anterioare.
Fiecare jucător
are propria sa func
ție de utilitate specifică:
[1.1]
[1.2]
[1.3]
Pe măsură ce jucătorii operează într
–
o lume a incertitudinii, fiecare trebuie să
optimizeze utilitatea a
șteptată care decurge din acțiunile lor:
U
�
X
�
�
�
�
h
�
X
�
U
�
X
�
unde
h(X)
este func
ția de densitate a probabilității "succesului" fiecărui
jucător în atingerea obiectivului său, fie prin prevenirea, dobândirea sau pedepsirea
(furtului) valorii bunurilor furate,
X
.
Christopher Bliss
366
sugerează o formă
func
țională,
H(X)
366
Christopher Bliss,
The Smash
–
and
–
Grab Game
, 2000 Annual Conference of the Royal
Economic Society, St. Andrews, 2000, disponibil online la https://www.nuffi
eld.ox.ac.uk/
economics/papers/2000/w20/smash.pdf, accesat la data de 26.06.2017.
NECLASIFICAT
NECLASIFICAT
223
din
284
care prezintă aceea
și formă generală ca și funcția de utilitate totală, cu o limită
superioară de 100%. Fiecare jucător selectează o valoare sub controlul lor (
X*)
care optimizează în mod condi
ționat utilitatea lor așteptată,
U
�
X
*
�
�
�
astfel:
[2.1]
[2.2]
[2.3]
Acum luăm în considerare fiecare dintre motivele jucătorilor
și acțiunile de
optimizare la rândul lor, precum și natura interdependen
ței condiționate dintre
acestea.
Organiza
ția are, în
orice moment, drepturi de proprietate asupra activelor la
valoare
X
, care sunt vulnerabile la furtul cibernetic. Poate să contrapună una sau
mai multe etape de apărare.
(
i
)
Prevenirea
și/sau
(
ii
)
Detectarea sau Combaterea
Unele încercări ale hackerului de a ach
izi
ționa ilegal bunurile vor fi oprite la
etapa de prevenire, altele vor evita cu succes acea etapă și vor încerca să
achizi
ționeze o parte din active, dar unele dintre acestea vor fi detectate și blocate.
Alte încercări, totu
și, vor fi sufi
cient de sofist
icate, sau doar „norocoase”
pentru a
evita detectarea
și pentru a permite hackerului să fure unele din activele cu
valoarea X (extrac
ție).
NECLASIFICAT
NECLASIFICAT
224
din
284
Atacuri
Prevenire
Detecție
/
Combatere
Extracție
Figura 3.1
:
Prevenirea și detectarea atacurilor
Prevenirea urmăre
ște să protejeze un
procent din activele aflate în zona de
risc. Organiza
ția alocă o anumită sumă de
X
efortului de prevenire, care determină
apoi procentul de active care vor fi complet protejate împotriva atacurilor
cibernetice efectuate de hacker. Se presupune că va deven
i din ce în ce mai dificilă
cre
șterea nivelului de protecție, necesitând tot mai multă resursă suplimentară
pentru a proteja activele cele mai accesibile. Astfel, rela
ția generală dintre
cheltuielile de protec
ție și gradul de protecție are aceeași natură c
u func
ția de
satura
ție a utilității așa cum este prezentată în
Figura 3.1,
astfel tot mai multă
resursă suplimentară trebuie să fie dedicată protec
ției activelor, care vor fi tot mai
greu de protejat, fiind stabilită o limită superioară la suma pe care org
aniza
ția o va
dedica prevenirii apărării.
Detec
ția și combaterea pe segmentul apărării vizează identificarea și negarea
incidentelor care au reu
șit să depășească efortul de prevenire, înainte de a extrage
activele vizate. Se presupune că, cu cât este mai m
are resursa dedicată detec
ției
(
D
), vor fi detectate și combătute încercările mai probabile
,
iar hackerul va fi
pedepsit de stat. Se presupune, de asemenea, că probabilitatea nu este liniară în pe
spa
țiul detecției/combaterii (
D)
, dar poate cre
ște la o rat
ă tot mai scăzută, care nu
atinge niciodată 100%.
NECLASIFICAT
NECLASIFICAT
225
din
284
O formă plauzibilă pentru func
ția de detecție
H(D)
poate fi:
[3.1]
și corolarul său, funcția de evitare, H´(D) = 1
–
H (D) astfel,
[3.2]
unde
sunt parametrii care
se referă la suma cheltuită pentru detectare
și
propor
ția de active protejate.
Luate împreună, se pare că asigurarea unei securită
ți cibernetice totale
asupra tuturor activelor organiza
ției este imposibilă și prin urmare este inevitabil ca
hackerul să se
bucure de un succes în achizi
ționarea ilicită a unei părți din activele
organiza
ției în urma atacurilor sale.
Astfel obiectivul principal al organiza
ției devine selectarea valorilor
optimizatoare ale P și D care, împreună, maximizează utilitatea a
șteptat
ă din
pierderea a
șteptată a unei părți din activele sale.
Ca urmare, ecua
ția [2.1] devine:
cu limitarea că
și unde
și
, iar
este cantitatea de valori protejate,
este cantitatea de
valori neprotejate, iar
este coeficientul de încredere care exprimă convingerea actuală a organiza
ției cu
privire la propor
ția de
pe care hackerul va încerca să o achizi
ționeze.
Un punct cheie este faptul că alegerile organiza
ți
ei de
P
și
D
sunt
condi
ționate de
și limitate de valoarea condiționată de
Se presupune faptul că organiza
ția poate obține
cu suficientă
precizie. Cu toate acestea, orice neconcordan
ță între
și propor
ți
a actuală pe care
hackerul încearcă să o fure (
)
implică faptul că valorile calculate pentru
P*
și D*
se vor dovedi a fi sub
optimale, având în vedere inten
țiile hackerului.
NECLASIFICAT
NECLASIFICAT
226
din
284
Motiva
ția hackerului în încercarea sa
de a extrage valoarea de la orga
niza
ție
a fost deja luat în considerare,
și anume optimizarea unei versiuni a ecuației [2.2].
Hackerul
știe că organizația va căuta atât să protejeze o parte din activele
sale, în spe
ță pe cele pe care le consideră expuse la riscuri. Hackerul va încerca să
achizi
ționeze o parte din aceste active expuse (
)
în speran
ța că poate evita
detectarea cu o probabilitate determinată de ecua
ția [3.2].
În cazul în care atacurile sale vor fi depistate, hackerul nu va reu
și să
achizi
ționeze niciunul dintre
active confruntându
–
se cu riscul unei pedepse impuse
de stat, dacă este condamnat. Astfel, el trebuie să formeze convingeri cu privire la
sumele pe care organiza
ția le cheltuiește pentru protecție
pe
detectare/combatere
și severi
tatea pedepsei, măsurată prin percep
ția hackerului
asupra raportului de pedeapsă
–
crimă al statului,
.
Astfel hacker
–
ul va calcula ceea ce el cred că este propor
ția optimă a
activelor achizi
ționate
dat fiind convingerea lui cu pri
vire la utilitatea
(valoarea percepută a activelor) a
șteptată, astfel încerca să fure doar puțin mai
multă avere din partea organiza
ției împotriva probabilității așteptate de a fi
descoperit și valoarea pedepsei care va fi aplicată în cazul în care va fi p
rins.
Astfel, din perspectiva
hacker
–
ului ecua
ția [2.2] se exprimă astfel:
Ca și în cazul modelului de comportament al organiza
ției, orice potrivire
gre
șită între aceste convingeri și real
itate va implica o selec
ție sub
optimă a lui
.
Din p
erspectiva statului, obiectivul principal este simplu de formulat, și
poate fi descris prin maximizarea valorii utilită
ții așteptate a societății de a
condamna
și pedepsi hackerii detectați de organizație. Statul determină valoarea
pedepsei ca un multiplu
al valorii furtului (încercat),
R
unde
R
poate avea orice
valoare î
ntre (0 <R <
∞).
NECLASIFICAT
NECLASIFICAT
227
din
284
În ipoteza noastră vom presupune, totu
și, că probabilitatea unei condamnări
exprimată prin
(H (C))
scade pe măsură ce
R
cre
ște, datorită faptului că hackerii și
avoca
ții lo
r se vor apăra cu atât mai puternic, cu atât mai gravă va fi pedeapsa
poten
țială, acțiunile acestora variind de la simple proceduri juridice până inclusiv
la sustragerea de la judecată prin părăsirea teritoriului juridic
și / sau că de la o
valoare a
ștepta
tă a condamnării, societatea poate considera pedeapsa excesivă (de
exemplu, pedeapsa cu moartea), elemente care vor plafona valoarea a
șteptată a
pedepselor pedepsele. Evident, reac
ția societății trebuie luată în calcul în ca
zul
unui regim considerat prea „
moale”
și vor cere o cre
ștere a
R
la un nivel
satisfăcător.
Statul trebuie să încorporeze în convingerile sale actuale percep
ția sa asupra
organiza
ției și asupra hacker
–
ului, p
entru a putea selecta raportul „optim”
pentru
nivelul pedepsei
exprimată prin (R
*). Deoarece nu poate să condamne decât
hackerii care au fost
detecta
ți, statul va încerca să
optimizeze propria sa versiune a
ecua
ției
[2.3], însă cu men
țiunea că la elaborarea acestui model vom presupune că
statul folose
ște aceeași convingere sau nivel c
a și hackerul în ceea ce prive
ște
parametrul organiza
ției
.
Din perspectiva statului
, ecua
ția [2.3] va arata astfel
:
unde
este probabilitatea maximă a unei condamnări, ea însă
și o funcție a
calită
ții sistemului juridic. Ca
și în cazul organiza
ției și al hackerului, orice
confuzie între convingerile statului cu privire la parametrii hacker
–
ului sau ale
organiza
ției va d
uce la un regim de pedeapsă sub
optim.
În scopuri ilustrative, presupunem că, în absen
ța oricăror informații
gre
șite,
organiza
ția formează convingerea naivă că hackerul va încerca să achiziționeze
toate activele neprotejate, astfel că
.
NECLASIFICAT
NECLASIFICAT
228
din
284
Vom analiza în continuare dacă acest model poate furniza un rezultat care să
fie verificabil printr
–
un echilibru an
alog celui ob
ținut prin aplicarea teoriei
jocurilor bazate pe informa
ți
i incomplete de tip Bayers
–
Nash
367
.
În acela
și timp, hacker
–
ul creează o credin
ță naivă cu privire la proporția
activelor care îi vor fi accesibile: 5% (
≠ 99,6%) și că
= 40 (
de
și în realitate, este
de 50) și că statul are o rată de condamnare a criminalită
ții (hacker
identificat)/(hacker condamnat)
,
(R) este 1
–
1 (iar în realitate când este, de fapt,
0.999
–
1). Hacker
–
ul va considera optimă încercarea de a achizi
ționa 0,842% din
active, comparativ cu valoarea 100% pe care organiza
ția consideră că acesta va
încerca să o achizi
ționeze.
Astfel, utilitatea condi
ționată maximă așteptată este
=0,013.
Statul nu are nici
un stimulent deosebit să
–
și ascundă parametrii și
,
pri
n
urmare, având în vedere aceste convingeri despre organiza
ție și hacker, stabilește
raportul de acuzare/condamnare la 0.999 și ob
ține un câștig de utilitate așteptat
Pe durata acestei analize, am investigat dacă analizând modelul din
perspec
tiva pe organiza
ției și al hacker
–
ului, aceste optimizări de prim pas
reprezintă un echilibru de tip Bayers
–
Nash.
În opinia noastră, rezultatul acestei investiga
ții este negativ, deoarece dacă
organiza
ția și
–
a dat seama că hackerul inten
ționa să fure doar
0,842% din activele
neprotejate și nu 100%, ar fi considerat optim pentru a cheltui 0,006 pentru
apărarea preventivă (≠ 0,007)
și 0,002 la detectare (≠ 0.225). Astfel
,
ar fi ob
ținut o
utilitate optimă a
șteptată de
(
≠
–
0,319).
În mod simila
r, hackerul supraevaluează propor
ția de active pe care
organiza
ția o va proteja (5% versus 0.406%), având în vedere percepția sa greșită
asupra
și a lui
R
. În consecin
ță, ar fi trebuit să stabilească
= 0.479% (
≠
367
Debraj Ray,
Bayesian Games
, November 2006, disponibil online la
https://www.econ.nyu.edu/user/debraj/Courses/GameTheory2006/Notes/lect08.pdf, accesat la
data de 26.06.2017.
NECLASIFICAT
NECLASIFICAT
229
din
284
0.842%), ceea ce
ar fi avut ca rezultat un câ
știg de utilitate așteptat de
fa
ță de (≠ 0.013).
Dacă jocul este repetat prin aplicarea iterativă a modelului, în sensul că
jucătorii observă rezultatul de la prima trecere, î
și dau seama de percepțiile lor
gre
șite
cu privire la parametrii celorlal
ți și își actualizează credințele, ne putem
a
ștepta ca ei să se repete din ce în ce mai aproape unul de altul, până la un punct
unde realizăm un echilibru Bayes
–
Nash, adică credin
țele jucătorilor sunt în
concordan
ță cu par
ametrii actuali
și se optimizează, având în vedere acțiunile
celorlal
ți. Câte iterații sunt necesare pentru a aduce toți jucătorii la acest punc
t
depinde de lungimea fiecărei „runde”
, cât de bine înva
ță fiecare despre parametrii
celorlal
ți și în ce măsură
î
și revizuiesc credințele pentru următoarea piesă.
Figu
rile 3.2
și 3
.3
desc
riu traiectoriile de utilitate „optimă”
a
șteptate pentru
organiza
ție și pentru hackeri, în timp ce închid decalajele dintre ele.
De
și aceste rezultate se datorează în
principal ipotezelor făcute în model,
inclusiv parametrizările ilustrative, varia
țiile acestora nu vor influența logica
rezultatului. Spre exemplu s
–
ar putea argumenta că hackerul nu are motive să
–
și
actualizeze convingerile fa
ță de ceilalți jucători, însă
un argument în favoarea
Figura 3.2
:
Diferen
ța
de percep
ție a organizației
(
Figura 3.3
:
Diferen
ța de percepție
a hacker
–
ului (% de bunuri
protejate)
NECLASIFICAT
NECLASIFICAT
230
din
284
concluziei noastre, este generat principul din teoria jocurilor
368
, că întotdeauna
orice ac
țiune care derivă din credințele incorecte nu poate face parte dintr
–
un
rezultat de echilibru stabil
și că, în realitate, toți jucătorii vor f
i
,
eventual
, for
țați să
conveargă spre valorile de echilibru împreună.
Problema cr
iminalită
ții cibernetice, prin „hacking
–
ul”
sistemelor informatice
ale victimelor, este o problemă tot mai mare, indiferent de tipul, dimensiunea sau
configura
ția acestora. D
e
și aspectele tehnice ale acestor crime sunt relativ noi,
stimulentele de bază ale jucătorilor implica
ți sunt vechi de secole. Pentru hacker,
utilitatea poate fi ob
ținută din procentul de avere dobândită, luând în considerare
sanc
țiunile pentru a fi prins.
Pentru organiza
ție, este utilitatea câștigată din activele
pe care le apără cu succes de furt. Statul ob
ține utilitate de la reținerea hackerilor și
men
ținerea legii și ordinului pe teritoriul său. Fiecare dintre cei trei jucători își
optimizează în mod c
ondi
ționat propria utilitate, bazându
–
se pe convingerea lor
actuală despre modul în care vor juca ceilal
ți: pentru hacker, ei formează
convingeri cu privire la efortul pe care organiza
ția îl va folosi pentru a
–
și proteja
averile și mo
dul în care statul o v
a pedepsi
, dacă este re
ținut și condamnat.
Organiza
ția va estima funcția de utilitate a hackerilor, care va determina suma pe
care vor încerca să o fure.
Modelul prezentat de noi, cu parametri sintetici, dar plauzibili, arată faptul
că în principiu, convin
gerile eronate ale jucătorilor nu pot să ducă la un rezultat
stabil de echilibru, dar cu itera
ții repetate ale jocului, ele se vor focaliza în cele din
urmă. Însă oricare ar fi echilibrul, se poate presupune că o anumită sumă de active
va fi achizi
ționată
ilegal de hacker, deoarece atât organiza
ția, cât și statul nu o
consideră optimă pentru a reduce la zero.
368
Muhamet Yildiz, Game Theory Lecture Notes
, Economic Applications of Game Theory
,
lecture notes disponibil online la http://web.mit.edu/14.12/www/02F_lecture1518.pdf, accesat la
data de 26.06.2017.
NECLASIFICAT
NECLASIFICAT
231
din
284
3.2.
METRICA REZILIEN
Ț
EI SISTEMELOR CIBERNETICE
De
și reziliența cibernetică este acceptată pe scară largă de către comunitățile
de cercetare, indust
rie
și clasa politică ca o proprietate de sistem, pe parcursul
demersului nostru de cercetare nu am reu
șit să identificăm metrici scalabile și
flexibile pentr
u rezilien
ța cibernetică care să
fie specifice sistemelor cibernetice
fizice („
Cybernetic Physical
Systems
”
–
CPS) considerând natura
multidimensională a performan
ței în aceste sisteme.Pentru a proiecta și a evalua
rezilien
ța sistemelor CPS, este necesară o metrică scalabilă, flexibilă și
computabilă pentru rezilien
ța. O metrică este considerată scalab
ilă, dacă
complexitatea acesteia poate fi adaptată la nevoile curente, adică ne putem abate de
la anumite aspecte care nu sunt de interes.
Astfel pentru a evalua un CPS pot fi utilizate diferite măsuri de performan
ță,
o metrică flexibilă fiind cea care po
ate fi utilizată pentru a analiza un sistem cu
privire la diferite măsuri de performan
ță, în timp ce se iau în considerare
interdependen
țele dintre măsurile de performanță și provocările externe. Pentru a
proiecta o astfel de metrică este necesar să în
țele
gem principiile de proiectare,
domeniile și interac
țiunea dintre aceste domenii pentru CPS. Dependența dintre
măsurile de performan
ță este critică, deoarece acestea pot fi folosite pentru a
identifica cauzele unei rezilien
țe scăzute și pentru a motiva schi
mbările din sistem.
În acest capitol, am încercat să
elaborăm un cadru metric de rezilien
ță, în
scopul de a ghida proiectarea unor metrici de rezilien
ță flexibile și scalabile prin
intermediul a trei proprietă
ți cheie:
În primul rând, permite evaluarea re
zilien
ței în ceea ce privește diferitele
dimensiuni ale performan
ței, cum ar fi de exemplu
,
pierderile monetare
și
disponibilitatea sistemului.
În al doilea rând, complexitatea inutilă a sistemului poate fi ignorată sau
simplificată deliberat în metric, p
entru a răspunde la întrebări specifice despre
sistem. De exemplu, vremea este o provocare pentru unele măsuri de performan
ță
într
–
o re
țea electrică, însă probabil că nu este direct relevantă pentru rezistența sa la
atacurile cibernetice.
NECLASIFICAT
NECLASIFICAT
232
din
284
Prin capacitatea
de a ignora această complexitate inutilă a sistemului, cadrul
devine mai scalabil.
În cele din urmă, cadrul sprijină identificarea cauzelor unei rezisten
țe
reduse, care poate fi utilizată pentru a îmbunătă
ți proiectarea sistemului.
Pentru a ob
ține un mode
l matematic pentru rezilien
ța CPS, este necesară
stabilirea unei în
țelegeri comune a sistemului, iar în cadrul prezentat, reziliența este
considerată o proprietate direct rela
ționată cu performanța sistemului. Performanța
sistemului este compusă din atât d
in caracteristici de performan
ță diferite care sunt
influen
țate una de cealaltă
,
cât și de provocări externe, iar fiecare caracteristică de
performan
ță este proprietatea unui domeniu din CPS
–
ul total.
Identificăm astfel că modelul nostru de sistem poate f
i bazat pe o abordare în
trei etape:
1
.
Identificarea domeniilor
CPS, pentru sistemele complexe unice, care sunt
compuse din domenii diferite care interac
ționează pentru a furniza un serviciu. În
acela
și mod ca și Reza Arghandeh
369
, am identificat trei domenii:
domenii fizice,
cibernetice și de control.
2
.
Extrac
ția de funcții
–
fiecare domeniu contribuie cu un set de
caracteristici de performan
ță. Pentru a produce aceste caracteristici, domeniul
valorifică capacită
țile unor domenii. Aceste caracteristici sunt gene
rice
și trebuie
perfec
ționate pentru fiecare sistem concret și domeniul de analiză, pentru a obține
o reprezentare semnificativă și măsurabilă a acestui sistem.
3
.
Corelarea i
mpactului
–
f
iecare domeniu este afectat de provocări care pot
fi interne sau extern
e sistemului. Provocările externe provin din afara domeniului
de aplicare a evaluării CPS
,
cum ar fi de exemplu, condi
țiile meteorologice, iar
cele interne provin din interiorul sistemului și se manifestă ca o degradare a
performan
ței unei caracteristici d
e performan
ță. Astfel, este în primul rând necesar
369
Reza Arghandeh, Alexandra von Meier, Laura Mehrmanesh,
Lamine Mili,
On the Definition
of Cyber
–
Physical Resilience in Power Systems
, California Institute for Energy and Environment
Electrical Engineering and Computer Science Department University of California
–
Berkeley
Berkeley, CA, disponibil online la https
://arxiv.org/ftp/arxiv/papers/1504/1504.05916.pdf,
accesat la data de 26.06.2017.
NECLASIFICAT
NECLASIFICAT
233
din
284
să identificăm provocările externe, apoi pentru fiecare domeniu, sunt identificate
provocările, atât cele interne cât și cele externe, care afectează performan
ța
domeniului respectiv.
Datorită naturii mult
idimensionale a performan
ței în CPS, trebuie să existe o
decizie clară cu privire la ceea ce ar trebui măsurat, de aceea caracteristică de
performan
ță reprezintă o dimensiune a performanței și depinde de alte
caracteristici de performan
ță, precum și de pro
vocările externe. Având în vedere că
fiecare caracteristică de performan
ță are o performanță nominală
și este
descrisă de o func
ție
p
în raport cu timpul, putem măsura rezisten
ța
R
ca
suprafa
ță între performanța reală și performa
n
ța nominală, rezultând o singură
valoare numerică între 0
–
fără rezilien
ță și 1
–
rezilien
ță perfectă. Astfel:
(EQ 1)
Această metrică poate fi utilizată direct pentru un sistem în func
țiune, dacă
p
este măsurabilă, însă nu p
ermite să se tragă concluzii cu privire la cauzele
scăderii performan
ței. Pentru a permite o utilizare semnificativă a rezilienței
cibernetice, metrica trebuie să modeleze influen
țele asupra performanței în scopul
de a identifica cauzele scăderii performan
ței.
Potrivit lui teoriilor publicate de Jean Arlat, Michel Diaz și Mohamed
Kaâniche, cercetători principali echipa proiectului ADREAM
370
de la Universitatea
din Toulouse, în 2016, rezilien
ța cibernetică într
–
un sistem este înrădăcinată în
două poten
țiale.
1
.
P
oten
țialul de absorbție
–
este gradul în care provocările pot fi tratate
fără degradarea performan
ței.
2
.
Poten
țialul de recuperare
–
descrie capacitatea unui sistem de a restabili
func
ționarea normală în fața provocărilor.
370
Jean Arlat, Michel Diaz and Mohamed Kaâniche,
Towards Resilient Cyber
–
Physical Systems:
The ADREAM Project
, LAAS
–
CNRS and Université de Toulouse, 7, Av. du Colonel Roche, B
P
54200, disponibil online la https://homepages.laas.fr/arlat/drupal/sites/homepages.laas.fr.
arlat/files/u78/pdf/publications/14220.pdf, accesat la data de 28.07.2017.
NECLASIFICAT
NECLASIFICAT
234
din
284
Modificarea performan
ței poate fi
descrisă în legătură cu aceste două
poten
țiale, precum și cu severitatea provocărilor. Ecuația (EQ 2) oferă o
reprezentare generală a acestei ecua
ții diferențiale, care este rezolvată ca o
problemă de valoare ini
țială (IVP), unde
, (EQ 2) dev
enind
Aici,
f
reprezintă poten
țialul de recuperare care are un impact pozitiv asupra
performan
ței. Depinde de timpul
t
, o rată de recuperare
r
care trebuie identificată
pentru fiecare sistem și care poate fi o func
ție scalară sau mai complexă,
perf
orman
ța actuală
p (t)
și performanța nominală
care nu poate fi niciodată
depă
șită.
Pe de altă parte,
g
reprezintă impactul negativ al provocărilor asupra
performan
ței și este similar cu potențialul de absorbție al lui Arghandeh. Depinde
de ti
mp, de un set de provocări
și performanța curentă
p(t)
. Mai mult,
descrie setul de factori normativi pentru fiecare provocare. Ace
știa trebuie definiți
pentru fiecare provocare
și este necesar să fie mărimi comparabile, iar
,
în
final
,
ei
reprezintă impactul fiecărei provocări asupra per
forman
ței. În cele din urmă,
Θ [p (t)]
este o func
ție „Funcția treaptă Heaviside”
371
sau cum mai este denumită o
func
ție treaptă unitate care descrie pragul de performanță
sub care sis
temul este
considerat colaps. Odată ce s
–
a prăbu
șit, un sistem are un potențial de recuperare
de 0
și nu poate restabili performanța.
Func
ția este d
efinită de (EQ. 3)
:
Un exemplu de ecua
ție concretă pentru potențialul de recuperare poate fi
găsit în (E
Q 4), care un proces de recuperare care are performan
ța nominală ca
371
Step Function
, disponibil online la http://mathworld.wolfram.com/
HeavisideStepFuncti
on.html, accesat la data de 28.07.2017.
(EQ 3)
(EQ 2)
NECLASIFICAT
NECLASIFICAT
235
din
284
solu
ție de echilibru. Viteza de recuperare depinde de rata de recuperare specifică
sistemului
r.
După cum am afirmat mai devreme, fiecare domeniu este expus unui set de
provocări. Acest
e provocări construiesc _c (t) și pot fi externe sau interne.
Pentru a în
țelege mai bine impactul lor asupra performanței, care este descris
numai în mod formal prin
g
, pot fi identificate patru tipuri de provocări de bază.
Ecua
țiile (EQ 5)
–
(EQ 8) descr
iu matematic aceste tipuri de bază;
Pentru a descrie mai detaliat diferitele tipuri de provocări, va fi folosită
analogia cu un ex
emplu descris de Reza Arghandeh
372
din domeniul re
țelei
electrice de tip „
grid
” inteligente. Este evident că un exemp
lu semnificativ nu
poate fi dat doar de o provocare, pentru o imagine completă, trebuie descrisă rela
ția
dintre o provocare și o caracteristică de performan
ță specifică, care este afectată de
acea provocare.
372
R. Arghandeh, A. von Meier, L. Mehrmanesh, and L. Mili,
On the definition of cyberphysical
resilience in power systems
, Renewable and Sustainable Energy Reviews, 2016, disponibil
online la https://pdfs.semanticscho
lar.org/378c/a0b6eb6a581c7f700b370342b0ccd45ee658.pdf,
accesat la data de 28.07.2017.
(EQ 4)
(EQ 5)
(EQ 6)
(EQ 7)
(EQ 8)
NECLASIFICAT
NECLASIFICAT
236
din
284
În primul caz, corespunzător (EQ 5), scăderea p
erforman
ței este imediată și
propor
țională cu severitatea provocării. Un exemplu pentru acest tip este dat de
rela
ția dintre cantitatea de energie produsă de un panou solar și acoperirea soarelui.
Dacă lumina soarelui este blocată, produc
ția de energie sca
de imediat. În acela
și
mod, performan
ța va crește din nou, deoarece crește cantitatea de lumină solară
care atinge panoul.
(EQ 6)
descrie cazul în care impactul unei provocări asupra performan
ței
rămâne prezent chiar
și după ce provocarea s
–
a diminuat sau
a dispărut. O
provocare se poate manifesta ca o scurtă explozie scurtă, cu un impact de lungă
durată.
De exemplu, un operator este interesat de numărul de componente din
sistemul de distribu
ție care sunt operaționale pentru a se asigura că nu este încălc
at
criteriul
N
–
1
. Vântul este o provocare pentru aceste componente și având cre
ștere
în viteza vântului, un copac ar putea cădea pe o linie electrică și ar putea să prindă
linia. Măsura de performan
ță definită de numărul componentelor operaționale este
red
usă prin provocare, chiar dacă viteza vântului scade ulterior.
Cel de
–
al treilea tip corespunzător (EQ 7), descrie rela
țiile de performanță
provocatoare în care impactul depinde de istoricul provocărilor recente. Spre
deosebire de tipul doi, impactul va sc
ădea în timp, totu
și, spre deosebire de tipul
unu, acesta nu depinde doar de nivelul actual de provocare. Un exemplu este un
controler care minimizează armonicile în semnalul de putere distribuită. Este
provocat de un atac de integritate asupra valorii de
feedback și
,
în consecin
ță,
controlerul va introduce armonici în sistem. Odată ce atacul este atenuat și
controlorul recuperează gradul de con
știentizare a statutului, va funcționa pentru a
minimiza din nou armonicile introduse. Cu toate acestea, acest luc
ru va dura timp
în func
ție de gradul de armonici prezente în sistem după atac.
Cazul final este corespunzător (EQ 8), unde
impactul unei provocări asupra
performan
ței nu poate depăși un anumit prag, la un moment dat, chiar dacă nivelul
de provocare cre
ște
în continuare, el nu mai are impact asupra performan
ței. De
exemplu, putem presupune un controler în timp real care impune constrângeri de
NECLASIFICAT
NECLASIFICAT
237
din
284
timp stricte în măsurătorile de feedback. O cre
ștere a timpului de întârziere în
re
țeaua de comunicații va provoca m
ai întâi câteva ratări pierdute prin feedback.
Cu toate acestea, odată ce toate ferestrele sunt ratate, o altă întârziere nu va
determina scăderea în continuare a performan
ței.
Din aceste patru tipuri, se pot trage câteva concluzii, prima fiind că fiecare
provocare poate fi modelată printr
–
un singur tip sau printr
–
o combina
ție de mai
multe tipuri. Apoi,
g
este suma efectelor negative ale fiecărei provocări asupra
performan
ței, iar în cazul în care o provocare este internă, scăderea performanței
unei caracte
ristici de performan
ță reprezintă o provocare pentru alte funcții de
performan
ță. Ecuația (EQ 9) oferă o formulă generică pentru a converti o scădere a
performan
ței într
–
o cre
ștere a nivelului de provocare
p(t)
în raport cu performan
ța
nominală
, iar x descrie factorul de normalizare pentru a se potrivi cu unitatea de
performan
ță cu celelalte unități de provocare.
Proiectarea cadrului se bazează pe o defini
ția rezilienței de către Reza
Arghandeh, care a fost adaptată, prin analogie, pentru
a servi obiectivelor noastre
de cercetare, adică capabilitatea de a estima rezilien
ța cibernetică a unui sistem
fizic.
Acest cadru poate sus
ține proiectarea unei metrici de reziliență care poate
evalua un sistem cu privire la diferitele dimensiuni ale per
forman
ței pe care le
numim caracteristici de performan
ță, astfel poate fi construită o metrică mai
flexibilă deoarece obiectivul evaluării poate fi mai bine reprezentat de metric, iar o
metrică proiectată cu acest cadru nu descrie doar o caracteristică de
performan
ță
specifică, dar și modelează dependen
ța dintre performanța măsurată și provocările
externe și interne.
Astfel de metrici pot fi folosite pentru a ra
ționa despre cauzele scăderii
rezisten
ței și, ulterior, pentru îmbunătățirea designului sistemulu
i, fie că este vorba
de un sistem fizic, o infrastructură locală sau o infrastructură critică na
țională,
(EQ 9)
NECLASIFICAT
NECLASIFICAT
238
din
284
deoarece cadrul încurajează proiectantul metric să dezvolte o în
țelegere detaliată a
sistemului.
Cu această în
țelegere, măsurătorile proiectate pot fi
mai flexibile, deoarece
permit decizii informate
și deliberate cu privire la simplificări ale măsurătorilor,
element care prezintă o importan
ță deosebită deoarece pentru a gestiona
complexitatea sistemului, modelele CPS ar trebui să prezinte abstrac
ții
se
mnificative.
NECLASIFICAT
NECLASIFICAT
239
din
284
CONCLUZII
Din analiza abordării strategice
a
problematicii securită
ții cibernetice atât
la
nivelul
NATO
,
cât
și
la nivelul
SUA
și Canada
, rezultă faptul că amenin
țările de
natură informatică asupra spa
țiului cibernetic s
–
au diversifica
t, fiind relevate
tendin
țe evolutive, atât din perspectivă cantitativă, cât și din punct de vedere al
complexită
ții tehnice. Astfel spațiul cibernetic, deși exista dificultăți juridice în a fi
definit ca atare, a devenit nu numai un bun public de a cărui
b
ună
securitate
și
viabilitate depinde func
ționarea societății în ansamblu, dar a devenit uneori și
oglinda conflictelor aflate în desfă
șurare în diverse locuri în lume.
Strategiile de apărare cibernetică atât ale SUA
,
cât
și ale Canadei au evoluat
în sensu
l nelimitării apărării cibernetice doar la „ac
țiuni”, ci implicând
„dispozitive”, „proceduri”, „tehnici” aplicate unui sistem informatic sau/
și
informa
țiilor procesate, stocate sau care pot tranzita un sistem ICT. De asemenea
,
ele au evoluat de la un compo
rtament pur defensiv până la calificarea atacurilor
cibernetice majore ca agresiuni în zona Articolului 5 pentru NATO, sau ca
agresiuni cu răspuns cinetic non cibernetic pentru Statele Unite.
A
șa cum am afirmat
în
Capitolul 1
, fiecare perspectivă
din
care
este analizat
spa
țiul cibernetic creează practic
câte
un mandat pentru securitatea cibernetică,
însă din analiza efectuată asupra spa
țiului de interes național și internațional al
SUA, Canada
și NATO am observat faptul că deși ele au la baza aceiași realit
ate
–
securizarea spa
țiului cibernetic din zona de interes
–
interpretarea acestei realită
ți
de fiecare mandat este diferită, fiecare fiind tratat
în
mod diferit de grupurile sau
organiza
țiile responsabile, nu numai în cadrul guvernului, ci și în sectorul
privat
.
De
și la nivel normativ,
în
cazul SUA, toate aceste mandate sunt definite
NECLASIFICAT
NECLASIFICAT
240
din
284
holistic prin standardele elaborate de NIST, la nivelul fiecărui mandat accentul este
pus
în
mod diferit, pe baze oportuniste, cum este cazul sectorului privat asociat
în
mod
direct industriei de apărare sau celui asociat dezvoltării
și întreținerii
infrastructurii critice, ori pe baza asocierii
și susținerii misiunii generale a structurii
din care face organiza
ția responsabilă de securitatea cibernetică, cum este cazul
DOD. Ac
eastă
stare de fapt are un impact major asupra conceptului strategic de
apărare cibernetică, fiind o cauză majora a faptului că
în
decursul ultimului deceniu
strategia de apărare
Cibernetică
a SUA
ș
i
–
a modificat obiectivele prin varia
ția
ponderii unor mand
ate, varia
ție determinată de anumite evenimente, incidente sau
crize care au avut ca
și componentă majoră mediul cibernetic. Comp
arativ cu
NATO
și Canada, care ș
i
–
au formalizat mai târziu strategiile de apărare cibernetică,
pentru SUA, alinierea strategiei
de apărare cibernetică
în
func
ție de mandatul
strategic al diverselor administra
ții nu poate
fi considerată
o evolu
ție pozitivă în
sensul dezvoltării unei perspective na
ționale cuprinzătoare
în
domeniul securită
ții
cibernetice
,
ci
,
mai degrabă
,
o încercar
e uneori reu
șită de a își sincroniza aparatul
defensiv în raport cu modelul amenin
țărilor.
La nivelul NATO, elaborarea unei
strategii de apărare
c
ibernetică
care
să
fie suficientă
și cuprinzătoare, este grevată
nu numai de eterogenitatea abordării securită
ții cibernetice de către națiunile
componente, ci mai ales din cauza lipsei de resurse pentru adoptarea unei politici
de securitate cibernetică comună, care
să
integreze
și
să
compa
tibilizeze nu numai
strategiile
, programele
și
sistemele na
țiunilor lider
î
n
domeniu
,
dar
și
să proiecteze
în
mod unitar
și
suficient un nivel confortabil de rezilien
ță, atât asupra structurilor
proprii NATO, dar
și
ale tuturor na
țiunilor componente.
Chiar dacă pe fiecare
spa
țiu analizat există organizații responsabile de integra
rea fiecărui mandat
pentru
securitate cibernetică î
ntr
–
un mecanism holistic, cum ar fi NIST pentru SUA
Comandamentul Aliat pentru Transformare (ACT pentru NATO sau CCIRC
pentru Canada
)
,
realitatea din zona opera
țională arată faptul că
în
cazul fiecăruia
di
n aceste mandate s
–
a dezvoltat
câte
un set propriu de termeni de specialitate
și
priorită
ți, fiind găsite uneori diferențe de enunț chiar
în
zona principiilor de bază.
Ca efect imediat, vizibil mai ales pe spa
țiul SUA, pentru o organizație care are ca
NECLASIFICAT
NECLASIFICAT
241
din
284
obie
ctiv îndeplinirea unui mandat pentru securitate cibernetică, centrat
în
principal
pe unul dintre palierele spa
țiului cibernetic este considerat un fapt neobișnuit să
interac
ționeze cu mai mult de un alt mandat, astfel
că
orice încercare de a crea o
organiz
a
ție care
să
implementeze o strategie na
țională pentru securitate cibernetică
na
țională prin unificarea responsabilității de îndeplinire a tuturor acestor mandate,
prin urmare ac
ționând
în
mod direct asupra securită
ții tuturor palierelor spațiului
cibernet
ic, a devenit
în
ultimii ani o provocare pentru structurile guvernamentale
responsabile, nefinalizată printr
–
o exprimare practică func
țională.
Analiza strategiilor na
ționale de securitate cibernetică ale SUA
și
Canada
din ultimii ani relevă o evolu
ție fund
amentală în elaborarea politicilor
guvernamentale, securitatea
și
rezilien
ța cibernetică fiind considerată printre
primele cinci priorită
ți guvernamentale.
În conformitate cu aceste strategii se poate
afirma faptul că ele prezintă două elemente de viziune
comună:
a
)
Internetul
și ITC sunt esențiale atât pentru dezvoltarea economică și
socială,
cât
și
pentru
existen
ța
unei o infrastructuri critice pentru sus
ținerea acestor
două
deziderate. Într
–
un context general de recesiune economică, accesul liber
și
nediscr
iminatoriu la internet
și ITC reprezintă atât o nouă sursă de creștere
,
cât
și
un motor pentru inovare, bunăstare socială
și exprimare individuală. Pe măsură ce
procesele economice se bazează din ce
în
ce mai mult pe folosirea internetului,
întreaga societ
ate, inclusiv guvernele, devin din ce în ce mai dependente de această
infrastructură digitală pentru îndeplinirea func
țiilor esențiale.
b
)
Amenin
țările cibernetice evoluează
în
complexitate
și
volum într
–
un ritm
rapid. De
și încă majoritatea lor sunt situate
î
n
zona criminalită
ții cibernetice
triviale
și
sunt ini
țiate de către indivizi izolați sau organizați
în
diverse grupuri,
în
ultimul timp au început să apară atacuri a căror
ținte, mod de sofisticare
și
util
izarea unor instrumente non
cibernetice din zona de
intelligence fac ca ini
țiatorii
acestor atacuri să fie localiza
ți
în
zona actorilor statali
și grupurilor politice cu
capacită
ți de exprimare internațională,
care
pot avea alte motiva
ții decât cel de a
face bani, ca
și
exe
mple fiind diversele tipuri de „h
acktivism”
(Anonymus),
destabilizarea administrativă
și
a mecanismelor macro
–
economice (Estonia în
anul
NECLASIFICAT
NECLASIFICAT
242
din
284
2007), spionajul cibernetic, sabotajul (Stuxnet),
și chiar și operațiuni militare unde
componenta ofensivă cibernetică este dominantă. Ace
ști actori sun
t mult mai bine
organiza
ți, având capacități extinse de mascare a originii
și
modului de execu
ție,
atacurile au un grad superior de sofisticare tehnică
,
iar efectele acestora pot fi
exploatate politic
și
diplomatic. Construc
ția acestor atacuri, care așa cu
m am mai
afirmat pe parcursul acestui
demers de cercetare
științifică,
prezintă semne clare de
profesionalizare, fiind executate cu foarte mare precizie
și
detectate sau din
întâmplare sau atunci când este prea târziu.
Ca o consecin
ță, domeniul de aplicare
a aproape tuturor noilor strategii
analizate
,
cât
și nivelul de confort
în
asigurarea securită
ții cibernetice au evoluat de
la protejarea exclusiv a indivizilor
și organizațiilor ca actori distincți, către
asigurarea unui nivel de rezilien
ță
și
securitate
cibernetică a societă
ții în ansamblu
ei. Această modificare
în
abordarea
SUA sau Canada este transpusă din ce
în
ce
mai vizibil
în
documentele strategice
mai ales d
acă
analizăm fenomenul prin
prisma
impactul
ui
și
ritmul
ui
evolu
ției rolului internetului în
societate. În faza
ini
țială, când internetul a fost pur și simplu o platformă utilă pentru persoane și
organiza
ții, consecințele eșecurilor au fost ușor de gestionat, la nivelul fiecărui
individ
și organizație, iar strategia guvernului a fost
doar
de a aj
uta diverse
organiza
ții guvernamentale sau private să prevină și să gestioneze astfel de
incidente.
Pe măsură ce Internetul a devenit esen
țial pentru economie și societate, iar
consecin
țele eșecurilor pot avea un impact direct societății în ansamblu, stra
tegiile
care au
în
componen
ță
securitatea cibernetică
,
vizează realizarea a
două obiective
interdependente, primul fiind
consolidarea securită
ții cibernetice pentru economia
internetului, pentru a conduce în continuare prosperitatea economică
și socială și
al
doilea fiind focalizat pe
protejarea organiza
țiilor dependente de spațiul cibernetic
împotriva amenin
țările cibernetice. Gestionarea complexității de realizare a acestor
două obiective în paralel, men
ținând în același timp libertatea valorilor
fundamen
tale
în
spa
țiul internetului este
în
prezent preocuparea principală
atât a
NECLASIFICAT
NECLASIFICAT
243
din
284
liderilor politici responsabili de elaborarea programelor de guvernare
,
cât
și
al
speciali
știlor
în
domeniul apărării
și
siguran
ței publice.
Similar cu alte domenii ale guvernării i
nternetului, rolul societă
ții civile în
elaborarea strategiilor na
ționale privind securitatea cibernetică a început
să
fie din
ce
în
ce mai important
pe spa
țiul de exprimare politică
al SUA, acesta incluzând nu
numai teritoriul propriu
–
zis
,
ci
și
statele s
au organiza
țiile internaționale unde
aceasta are o influentă majoră. Pe de o parte, grupurile societă
ții civile au făcut
presiuni pentru includerea în continuare la discu
ții și reuniuni internaționale de
elaborare a politicilor de securitate cibernetică, i
ar
, pe de altă
parte
,
cer ca
societatea civilă să creeze propria lor agendă pozitivă pentru aceasta politică.
în
ansamblu,
în
cazul Canadei
și
mai ales
în
cel al SUA, societatea civilă si
–
a asumat
în
mod public, un rol unic
în
a fi capabilă de a pleda pent
ru politicile de securitate
cibernetică
și
atingerea unui nivel confortabil de rezilien
ță al infrastructurilor
cibernetice pornind de la o abordare bazată pe drepturile omului
și
păstrarea
libertă
ților fundamentale
în
spa
țiul cibernetic, contrabalansând as
tfel politica
agen
țiilor de forță ale guvernului, care pledează spre o intensificare a masurilor de
securitate
și
o simplificare a controlului politic sau juridic pentru impunerea
măsurilor
de prevenire
și
combatere a unui atac cibernetic.
Î
n abordarea co
nceptului de securitate al spa
țiului cibernetic,
în
special
în
cazul SUA, o trăsătură
majoră
este
dată de rolul sectorul
privat, acesta fiind
responsabil pentru cercetarea, proiectarea, dezvoltarea
și fabricarea
a
majorită
ții
software
–
ului
și hardware
–
ul u
tilizat în domeniul
securită
ții
TIC. De
și SUA a
transferat
în
Japonia, Taiwan
și în
ultimii ani
în
China, produc
ția de echipamente
hardware, din analiza politicilor economice ale guvernului central
în
domeniul
dezvoltării spa
țiului cibernetic
și
transpuner
ea acestor politici la nivelul guvernelor
locale, se
poate observa nu numai faptul că
cercetarea
în
domeniul securită
ții
cibernetice care
să
aibă ca obiect de studiu protejarea infrastructurii critice atât prin
elaborarea
și
patentarea unor noi tehnologii
,
dar
și
prin elaborarea de politici
și
metode de îmbunătă
țire a rezilienței capacitaților existente,
este desfă
șurată într
–
o
propor
ție covârșitoare
în
interiorul grani
țelor SUA
și
de către universită
ți
sau
NECLASIFICAT
NECLASIFICAT
244
din
284
companii private,
în
special
în
cadrul unor progra
me finan
țate de către guvernul
central.
Din analiza noastră a rezultat faptul ca atât
în
cazul SUA
,
cât și în
cazul
Canadei, guvernele au un interes clar în sprijinirea sectorului privat prin protejarea
serviciilor esen
țiale care au ca suport infrastructu
ra cibernetică, bogă
ția și
poten
țialul de creștere al națiunii, cum ar fi de exemplu, protecția proprietății
intelectuale, dar căile
și mijloacele prin care se exprima această asistență sunt
diferite
în
cazul celor două
țări
.
Dacă
în
cazul Canadei, guvernu
l central a ales să
reglementeze furnizorii de infrastructuri critice prin impunerea unor standarde
minime de securitate cibernetică, lăsând implementarea tehnologiilor de protec
ție a
spa
țiului cibernetic, controalele de securitate internă, precum și a pla
nurilor de
recuperare în caz de dezastru
și de continuitate a activității la latitudinea acestor
furnizori,
în
cazul SUA, op
țiunile de intervenție guvernamentale se bazează
în
special pe furnizarea de stimulente fiscale pentru investi
țiile
în
securitate
ci
bernetică, subven
ții de stimulare pentru activitatea de cercetare
și
pentru cea de
cooperare
între
industrie
și
mediul universitar, împrumuturi low
–
cost sau
implementarea fără costuri a unor tehnologii, sisteme
și
proceduri dezvoltate de
agen
țiile guvernam
entale, subven
țiile guvernamentale pentru programele de
pregătire a personalului, de asigurări
și chiar protecția răspunderii,
aceste
stimulente fiind menite nu numai să încurajeze participarea industriei la realizarea
obiectivelor de protec
ție împotriva a
tacurilor cibernetice a infrastructurii critice,
dar
și
coordonarea de către guvernul central al SUA a participării sectorului privat
și
a celui de cercetare la crearea unei reziliente coerente a infrastructurii critice
și
în
ultima instan
ță a unei culturi
de securitate cibernetică la nivelul întregii societă
ți.
Aceste m
ă
suri sunt înso
țite atât
în
cazul SUA sau al Canadei de încurajarea
evolu
ției codurilor de conduită voluntare, crearea de arhive cu cele mai bune
practici, precum
și încurajarea inițiativelo
r sectorului privat
în scopul de
a testa în
mod regulat nivelul de securitate al sistemelor cibernetice
și exersa mecanismele,
procesele
și procedurile de recuperare al acestor sisteme
în
caz de
compromitere,
fiecare dintre aceste ini
țiative având ca indic
ator de
performan
ță
NECLASIFICAT
NECLASIFICAT
245
din
284
nivelul
încrederii
și cooperării între și în cadrul parteneriatului și mai ales
în
cazul
Canadei,
promovarea educa
ția și sensibilizarea privind cultura de securitate
cibernetică în întreaga na
țiune.
Î
n
ceea ce prive
ște politica de apăra
re
Cibernetică
a
NATO, tema
centrală
a strategiei se bazează pe faptul că securitatea cibernetică
este o responsabilitate comună a tuturor na
țiunilor semnatare ale tratatului.
În
scopul de a face
fa
ță
la noile mecanisme de amenin
țări care au ca
și
caracter
istică
principală viteza de desfă
șurare
sau
rapiditatea schimbării modelului de
manifestare
și să mențină o apărare cibernetice solidă, NATO a adoptat o nouă
politică consolidată, care a fost aprobat
ă
de către mini
ștrii apărării
ale
țărilor
aliate
în iunie
2014. Politica stabile
ște că
apărarea
cibernetică face parte din sarcina de
bază a Alian
ței
prin prisma principiului
apărării colective, confirmă faptul că
dreptul interna
țional se aplică în spațiul virtual și intensifică cooperarea NATO cu
industria, pri
oritatea majoră fiind protejarea sistemelor de comunica
ții deținute și
operate de către Alian
ță. Noua politică reflectă, de asemenea, aspecte privind
compatibilizarea
și
alinierea politicilor de apărare cibernetică privind guvernarea
electronic
ă
între
stat
ele membre NATO, procedurile de asisten
ță la incidente
cibernetice acordată na
țiunilor aliate, precum și integrarea apărării cibernetice în
planificarea opera
țională, inclusiv planificarea asistentei la situațiile de urgență
civilă. Mai mult, politica defi
ne
ște modalități de a conștientizare, educație, formare
și de derulare a exercițiilor practice și încurajează diverse inițiative de cooperare,
inclusiv cu
țările partenere NATO și cu organizațiile internaționale.
Dezvoltarea rapidă către o societate intel
igentă, având caracteristicile unei
adhocra
ții, în sensul descris de A. Toffler
373
, caracterizată prin ubicuitatea
tehnologiilor ITC la nivel economic, politic, cultural social, modifică în mod
continuu percep
ția societății asupra securității și apărării cib
ernetice. Această
evolu
ție care
vizează valorile și interesele sociale în ansamblul lor, necesitând o
abordare integrată atât din perspectivă internă, puternic dependentă atât de modelul
social, economic și tehnologic al statului, dar și din perspectivă in
terna
țională
datorită interdependentelor create de efectul de globalizare al spa
țiului cibernetic și
373
Alvin Toffler,
Future Shock
, Published by Random House, 1970, ISBN 0
–
394
–
42586
–
3.
NECLASIFICAT
NECLASIFICAT
246
din
284
implicit, a majorită
ții proceselor economice, sociale și militare care îl folosesc ca
spa
țiu de manifestare.
În
demers
științific
am analizat, în contextu
l principalelor teme ale abordate
de către
„Str
ategia de Securitate Cibernetică
a Uniunii Europene” din
anul
2013, în
spe
ță capacitatea de adaptare, combaterea criminalității informatice, capabilitățile
sistemelor de apărare și securitate cibernetică, prot
ec
ția infrastructurilor critice și
modul de abordare al educa
ției și cooperării internaționale și modul în care aceste
teme rela
ționează biunivoc cu temele corespondente
în
strategiile de securitate și
apărare cibernetică ale Fran
ței, Germaniei și Austriei
.
Astfel, am constatat faptul ca strategia la nivelul UE prezintă elemente
majore de fragmentare, lucru în mare măsura a
șteptat, atât datorită faptului că
fiecare
țară a UE are stabilit în propria strategie națională de securitate și apărare
cibernetică o
biectivul de a deveni lider european pe acest domeniu, dar și de faptul
că impactul strategiei na
ționale de securitate cibernetica a fiecărei țări membre UE
este puternic influen
țată de propriile sale priorități și probleme.
În analiza abordării doctrinare
a securită
ții
și
apărării cibernetice al celor trei
state membre ale UE analizate în prezentul
demers de cercetare
științific
au fost
identificare următoarele dimensiuni comune, care de
și conțin definiri care pot fi
interpretate diferit, prezintă o aceia
ș
i pondere și arie
de impact, ilustrată în figura
următoare
.
NECLASIFICAT
NECLASIFICAT
247
din
284
Abordarea dimensiunilor securită
ții și apărării cibernetice
La nivel guvernamental, a fost observată ca o practică obi
șnuită faptul ca
diferite departamente sau agen
ții
să î
și revendice responsabilitatea pentru
securitatea cibernetică na
țională, în diverse forme de aplicare a legii, inclusiv
militare, forme judiciare, comer
ț, infrastructură de telecomunicații, afaceri interne,
intelligence, precum
și a altor organisme gu
vernamentale, revendicare determinată
în principal de amploarea
și profunzimea unei Strategii de Securitate și Apărare
Cibernetică, care în toate cele trei
țări analizate conduce la dificultăți considerabile
în stabilirea unei ac
țiuni coerente cu efecte vi
zibile la nivel interna
țional, sau în
particular la formarea unui vector coerent de influen
ță doctrinară la nivelul
Comisiei Europene.
Acest fapt este considerat de către mediul politic al celor trei
țări o provocare
majoră pentru propriile Strategii de S
ecuritate și Apărare Cibernetică, de
și tema
politică dominantă a ultimelor documente strategice o constituie îmbunătă
țirea
Dimensiunea Internațională
Dimensiunea Națională
Dimensiunea
Guvernamentală
Protecția
Infrastructurii
Critice
Strategia
Națională de
Apărare
Cetățeni
NECLASIFICAT
NECLASIFICAT
248
din
284
coordonării dintre ace
ști actori guvernamentali, modul de abordare variază de la
consolidarea coordonării responsabilită
ții în divers
e zone de decizie strategică cum
este cazul Fran
ței, până la concentrarea responsabilității
în
jurul domeniilor de
interes economice, cum este cazul Germaniei. Considerând însă caracterul vast al
securită
ții cibernetice, realizarea unei astfel de sinergii
la nivelul guvernului
necesită mult mai mult efort decât practic orice altă provocare de securitate.
Practic, nici
un document strategic elaborat de către cei trei actori analiza
ți
sau de către organismele specializate ale UE nu ignoră dimensiunea interna
ți
onală,
acest fapt fiind rezultanta următorilor factori:
–
impactul fenomenului de globalizare asupra tuturor proceselor care au la
bază utilizarea spa
țiului cibernetic, de la comerț, manifestarea
fenomenelor sociale până la ac
țiuni de spionaj sau
pur militar
e, cu
caracter non
cinetic.
–
apari
ția în mod automat a unei dimensiuni internaționale ca urmare a unei
forme de exprimare na
țională a voinței unei structuri guvernamentale
care are o componentă semnificativă în spa
țiul cibernetic, indiferent de
zona de respo
nsabilitate pe care se manifestă aceasta voin
ță.
–
influen
ța mediului economic transnațional, care pentru a își desfășura
activitatea are nevoie atât de un anumit nivel de coeren
ță relativ la modul
de abordare al securită
ții cibernetice pe întreg spațiul de
exprimare al
interesului economic cât și de colaborarea unor rela
ții de parteneriat cu o
gamă largă de parteneri interna
ționali, care să opereze cu aceleași valori
și concepte în ceea ce prive
ște securizarea spațiului cibernetic.
Descrierea evolu
ției strat
egiilor de securitate cibernetică prezentate în acest
demers
a arătat faptul că de
și fiecare strategie a fost generată concentrându
–
se doar
pe
un subset mai mic de obiective
, acestea au recunoscut celelalte mandate sau
dimensiuni ale zonelor de securitate
cibernetică. Astfel au fost identificate:
A) Trei dimensiuni principale, focalizate în special pe activită
țile
guvernamentale na
ționale, dar care țin cont și de celelalte părți interesate la nivel
na
țional și internațional.
Î
n viitor, aceste ultime două co
mponente sunt susceptibile
NECLASIFICAT
NECLASIFICAT
249
din
284
să crească în importan
ță, rolul actorilor internaționali și nestatali fiind din ce în ce
mai important.
–
d
imensiunea
g
uvernamentală
–
necesită o abordare de ansamblu a
strategiei de securitate și apărare cibernetică a guvernului î
n scopul îmbunătă
țirea
coordonării actorilor guvernamentali.
–
d
imensiunea
i
nterna
țională
–
necesită o abordare sistemică de ansamblu
în scopul îmbunătă
țirii cooperării internaționale pentru combaterea criminalității
cibernetice transfrontaliere și îmbunătă
ț
irea eficien
ței combaterii amenințărilor
cibernetice prin schimbul de informa
ții.
–
d
imensiunea
n
a
țională
–
necesită o abordare integrată la nivelul întregii
na
țiuni, centrată pe cooperarea cu actorii naționali interni nestatali, atât din partea
societă
ții c
ivile cât și al furnizorilor de infrastructură critică.
B) Cinci
Mandate
–
În plus fa
ță de analiza cele trei dimensiuni ale acțiunilor
guvernamentale, interna
ționale și naționale, în strategiile naționale de securitate și
apărare cibernetică sunt luate în
consid
erare cele cinci obiective sau „mandate”
principale ale guvernelor în spa
țiul cibernetic, iar strategiile cele mai recente
con
ținând obiectivele politice, strategice
,
dar
și organizațiile responsabile de
implementare pentru toate cele cinci obiectiv
e.
–
Mandatul de
Apărare Cibernetică Militară
–
u
n obiectiv de apărare
cibernetică militară nu trebuie numai apărarea propriei infrastructuri la incidente
cibernetice, dar trebuie să ia în considerare și modul de utilizare a capacită
ților
cibernetice în ac
ți
uni ofensive. De
și în prezent apărarea cibernetică este
considerată
,
de obicei
,
prima prioritate, în viitor capacită
țile ofensive vor fi tot mai
importante.
–
Mandatul de Combatere al Criminalită
ții Cibernetice
–
lupta împotriva
criminalită
ții cibernetice și
reducerea impactului acesteia în special în zona socială
reprezintă una din temele centrale ale strategiilor de securitate cibernetică.
–
Mandatul de Spionaj și Contras
pionaj
–
utilizarea spa
țiului cibernetic
pentru spionaj și împiedicarea adversarilor de a
efectua astfel de activită
ți
NECLASIFICAT
NECLASIFICAT
250
din
284
împotriva propriilor interese în spa
țiul cibernetic, are o importantă din ce în ce
mai mare pentru strategiile na
ționale ale statelor analizate.
–
Mandatul pentru protec
ția infrastructurilor critice și Managementul
Crizelor Na
ți
onale
–
include cre
șterea rezilienței cibernetice a
sectoarelor cheie și
dezvoltarea structurilor institu
ționale în scopul unei mai bune cooperări pentru
generarea unui răspuns eficient la crizele cibernetice.
–
Mandatul pentru Diploma
ție Cibernetică și Guve
rnan
ța Internetului
–
adaptarea diploma
ției clasice la noul mediu informațional global și managementul
dezvoltării viitoare al internetului.
C) Cinci dileme
–
privind
luarea de decizii explicite sau implicite la mai
multe domenii
–
cheie, care pot fi văzute
în calitate de compromisuri între două
alegeri divergente.
–
Stimularea economiei sau îmbunătă
țirea securității cibernetice naționale,
dilemă determinată în special de existen
ța unei tensiuni inerente între deschiderea
guvernamentală necesară pentru inovare
și cerințele de securitate publică.
–
Modernizarea infrastructurii versus protec
ția infrastructurilor critice,
generată de faptul că organiza
țiile
economice sunt motivate profit în decizia de a
adopta noi tehnologii, care induc
,
de obicei
,
cre
șteri pe term
en scurt al riscurilor
de securitate.
–
Focalizarea politicilor de securitate pe sectorul privat sau pe sectorul de
stat, are ca și cauză principală faptul că guvernul are în majoritatea cazurilor un
rol cheie în securitatea cibernetică, el trebuind să decid
ă între abordarea
reglementată a securită
ții cibernetice, care avantajează sectorul public
și
o
abordare voluntară a protec
ției infrastructurilor critice, preferată de sectorul privat.
–
Protec
ția datelor sau schimbul de informații. În timp ce schimbul de
in
forma
ții este absolut esențial pentru implementarea unei strategii naționale de
securitate cibernetică, în practică legisla
ția privind protecția datelor complică
aceste eforturi.
–
Libertatea de exprimare versus stabilitatea politică, guvernele având
delicat
a misiune verifice în ce măsură, limitarea exercitării drepturilor și
NECLASIFICAT
NECLASIFICAT
251
din
284
libertă
ților în spațiul cibernetic este justificată de siguranța publică. Această
dilema se manifestă în special
în
cazul statelor care au structură federală, cum este
Germania, unde mec
anismul care previne conflictul de interese între
responsabilitatea politică a guvernului de land de sus
ținere a drepturilor și
libertă
ților individuale ale cetățenilor sau al drepturilor de utilizare a internetului
de către sectorul privat și responsabili
tatea guvernului federal pentru
implementarea unei strategii de securitate cibernetică la nivel na
țional capabilă să
realizeze o rezilien
ță confortabilă a infrastructurii critice naționale.
Un alt element comun rezultat din cercetarea noastră este ridicar
ea la nivel
strategic, de către deciden
ții politici la nivel național pe toate spațiile analizate, al
accentului deosebit pus pe colaborarea cu to
ți actorii relevanți, statali și mai ales
nonstatal
i în domeniul „guvernan
ței internetului”. Deși diverși deci
den
ți politici au
realizat faptul că dezvoltarea economică și promovarea propriilor interese
economice în spa
țiul internațional se pot face mult mai lesne și mai eficient prin
stabilirea unor rela
ții cu entități din afara zonei guvernamentale, o astfel de
abordare necesită din partea propriului guvern stabilirea unui singur actor organizat
la nivel guvernamental, care să fie însă suficient de flexibil pentru a se angaja în
cooperare cu diverse organiza
ții internaționale relevante pentru domeniul
reglementăr
ii securită
ții și apărării cibernetice.
Pe fiecare din spa
țiile analizate, în documentele rezultate din strategiile de
apărare și securitate cibernetică, angajamentul dintre contractorii de securitate
și
companiile de infrastructură critică este considera
t esen
țial pentru securitatea
na
țională, astfel expansiunea constantă a numărului de actori relevanți pentru
securitatea cibernetică na
țională, în cadrul unei națiuni, în cazurile analizate, a avut
ca efect decizia guvernelor de a face ca strategia lor de
apărare
și securitate
cibernetică să
devină „cuprinzătoare”, prin introducerea elementelor de globalitate
care permit nu numai proiectarea modelelor interne de securitate și apărare
cibernetică la un nivel global, dar permit și expansiunea economică pe fon
dul
adoptării de către alte ter
țe state sau organizații a modelelor tehnologice de
NECLASIFICAT
NECLASIFICAT
252
din
284
securitate cibernetică, cu beneficii care se extind și
în
alte zone cum ar fi cea
politică sau diplomatică.
O astfel de abordare de ansamblu se caracterizează prin faptul c
ă încearcă să
depă
șească limitările date de resursele de securitate disponibile la nivel național,
caracterizate chiar și în rândul
țărilor avansate, cum este Austria, de relații
cu un
număr mic de contractan
ți de securitate specifici.
In cazul Fran
ței sa
u Germaniei, abordarea strategică comprehensivă încearcă
să încurajeze o gamă largă de actori nestatali, în special societă
ți private, instituții
de cercetare
și societatea civilă să coopereze cu guvernul pe probleme de securitate
cibernetică.
In timp ce
guvernel
e încearcă să
extindă din ce în ce mai mult op
țiunile
juridice la nivelul organiza
țiilor regionale sau chiar la nivelul Comisiei Europene,
principiul general prezent în toate docu
mentele strategice din ultimii cinci
ani
este
acela că este necesară
o „
coo
perare”
specifică cu fiecare categorie de astfel de
actori nestatali, iar o abordare legislativă pură ar fi imposibil de realizat în
majoritatea democra
țiilor.
Pentru a încuraja această cooperare, toate
țările analizate au introdus, deși în
mod dife
rit, la nivelul abordării comprehensive a securită
ții și apărării cibernetice,
stimulente care sprijină în mod direct dezvoltarea pe baze de oportunitate
economică, a unui mediu de contractori de securitate, care pot fi evalua
ți și
gestiona
ți de către stru
cturile guvernamentale cu responsabilită
ți în domeniul
securită
ții cibernetice, sau prin acțiuni indirecte care oferă oportunități comerciale
unor organiza
ții economice străine de a stabili centre de expertiză în parteneriat cu
institu
țiile guvernamentale
de profil.
În contextul general al discu
țiilor privind subiectul securității cibernetice
na
ționale, la nivelul Comisiei Europene consideră foarte este important faptul că
acesta nu este o singură zonă subiect, organismele din
subordinea acesteia
preferând
să
separe problema Strategiei de Securitate Cibernetică
a UE în cinci
perspective sau „mandate”
distincte, fiecare dintre acestea abordate de către
diferite departamente sau organiza
ții având diferite grade
și
modalită
ți de
NECLASIFICAT
NECLASIFICAT
253
din
284
subordonare fa
ță de Comisia Eur
opeană. Această divizare nu este o stare ideală,
dar este o realitate generată de complexitatea
și profunzimea securității cibernetice
în ansamblul său.
Fiecare mandat a dezvoltat propriul său accent
și chiar propriul său lexicon,
în ciuda faptului că toa
te acestea sunt pur
și simplu fațete diferite ale aceleiași
probleme. De asemeni, există în mod frecvent o lipsă semnificativă de coordonare
între aceste mandate, iar această lipsă de coordonare este, probabil, una dintre cele
mai serioase provocări organi
za
ționale în domeniul securității informatice atât la
nivelul Uniunii, cât și la nivelul diverselor
țări componente.
Toate guvernele analizate în prezentul
demers
de cercetare, au declarat în
diverse documente strategice, necesitatea construc
ției capacităț
ilor necesare de a
duce un război cibernetic. Aceste capacită
ți pot fi interpretate atât în cazul Austriei
dar și al Fran
ței și Germaniei, ca un instrument eminamente militar, având reguli
precise de angajare, care poate fi utilizat numai în cadrul unei mi
siuni militare
tactice clar definite, cum ar fi de exemplu închiderea unui sistem de apărare
aeriană.
Aceste activită
ți cibernetice militare, cuprind în general patru sarcini diferite:
–
protejarea propriilor lor re
țele de apărare,
–
constituirea și consoli
darea capacită
ților de rețea de tip Network Centric
Warfare (NCW)
374
,
–
sus
ținerea operațiilor clasice în câmpul de luptă sau executarea misiunilor
de război cibernetic tactic,
–
derularea și sus
ținerea activităților caracteristice unui război cibernetic
strate
gic.
M
ajoritatea documentelor doctrinare subliniază caracterul eminamente
defensiv al acestor capacită
ți
;
Fran
ța și Germania își reorganizează rapid
capacită
țile guvernamentale de management administrativ, interconectând
374
David S. Alberts, John J. Garstka, Frederick P. Stein, „
NETWORK CENTRIC WARFARE:
Dev
eloping and Leveraging Information Superiority”, 2nd Edition (Revised), DoD C4ISR
Cooperative Research Program, 1999
Library of Congress Cataloging
–
in
–
Publication Data, ISBN
1
–
57906
–
019
–
6.
NECLASIFICAT
NECLASIFICAT
254
din
284
structurile militare care au compo
nente capabile de ac
țiune în spațiul cibernetic cu
celelalte structuri de intelligence care tradi
țional au spațiul cibernetic ca și câmp
tactic.
De
și tentația folosirii capabilităților cibernetice în operațiuni de intelligence
este mare, riscurile specifi
ce implicate, fie că este vorba de alterarea majoră a
drepturilor
și
libertă
ților individuale așa cum sunt ele prevăzute
în
Constitu
ție, fie
că este vorba de pericolul alterării și manipulării serviciilor de intelligence, având
ca efect direct utilizarea c
apabilită
ților militare cibernetice „s
ub steag străin”, atât
Germania
, Fran
ța și
,
mai ales
, Austria
ș
i
–
au asigurat masurile administrative și
politice necesare pentru a s
e evita astfel de situa
ții. Dacă
în cazul Fran
ței,
integrarea celor două categorii de
capabilită
ți nu se face decât la nivelul Primului
Ministru, pentru cazuri bine definite și cu implicarea mediului politic dominant,
Germania modifică legisla
ția de control pentru serviciile sale de intelligence în
acela
și ritm cu integrarea și interconecta
rea capabilită
ților militare de război
cibernetic cu organiza
țiile de intelligence.
În domeniul afacerilor interne, criminalitatea cibernetică poate include o arie
largă de activită
ți criminale care au un impact direct atât asupra cetățeanului, cum
ar fi f
urtul de identitate, dar și asupra organiza
țiilor economice și al mediului de
afaceri cum este de exemplu, furtul de proprietate intelectuală. Astfel toate
documentele doctrinare analizate consideră la fel de importantă pentru securitatea
na
țională capacit
atea de suport logistic pe care organiza
țiile cu vocație
în
domeniul
securită
ții și apărării cibernetice o pot oferi nu numai structurilor guvernamentale
implicate în lupta împotriva criminalită
ții, mai ales a celei organizate
transfrontaliere
,
dar și oric
ărei persoane interesate în protejarea împotriva
atacurilor cibernetice.
De asemeni o temă comuna dezbătută atât de anali
știi strategici din zona
analizată este modul în care criminalitatea informatică interac
ționează nu numai cu
activită
țile informatice
militare, dar și cu terorismul cibernetic, pe spa
țiul Franței și
al Germaniei fiind detectate un număr tot mai mare de acte criminale, inclusiv
încercări de perturbare în masă a comunica
țiilor, acest lucru indicând mediului de
NECLASIFICAT
NECLASIFICAT
255
din
284
analiză strategică, faptul că
terorismul cibernetic este o amenin
țare cu potențial de
cre
ștere în timp.
De asemenea
,
diferen
țierea doctrinară a spionajului cibernetic față de
activită
țile cibernetice militare
și
a celor din sfera criminalită
ții cibernetice este un
subiect controversat
, de
și toate categoriile depind de vectori de atac și tehnologii
similare, în viziunea franceză ele sunt diferen
țiate numai de modul în care sunt
angajate capabilită
țile logistice de susținere. În practica celor trei țări analizate,
cazurile grave de spion
aj, mai ales în ceea ce prive
ște proprietatea intelectuală, sau
secretul de stat sunt încadrate într
–
o clasă proprie, datorită faptului că este foarte
dificil să se stabilească cu certitudine dacă făptuitorul este un stat, un grup criminal
care operează în
numele unui stat sau care operează într
–
adevăr pe cont propriu. În
viziunea factorilor de decizie germani oricine este de fapt în spatele atacului sau al
activită
ții de spionaj cibernetic reprezintă, reprezintă un element de amenințare la
adresa securită
ț
ii și apărării
țării, fiind tratat ca atare.
Protec
ția infrastructurilor critice a devenit în percepția Franței, Germaniei și
Austriei o direc
ție strategică generală, care urmărește să implice furnizorii de
servicii esen
țiale ale unei țări într
–
un cadru d
e securitate na
țională. Dat fiind că
majoritatea furnizorilor de servicii, cum ar fi utilită
țile publice, sistemele financiare
sau re
țelele de telecomunicații sunt în sectorul privat, unii dintre ei având întindere
pe întreg spa
țiul Uniunii Europene, Comis
ia Europeană consideră faptul că este
necesar să se extindă sprijinul atât le nivelul Comisiei, cât și din partea guvernelor,
pentru a ajuta ace
ști furnizori și serviciile esențiale să se poată proteja față de
amenin
țările cibernetice moderne. În
tre
timp
,
Fran
ța obligă acești furnizori la
coeren
ță și investiții în securitatea sistemelor informatice prin masuri legislative la
nivel na
țional, Germania sprijină realizarea rezilienței cibernetice a
infrastructurilor critice prin masuri de stimulare economică fi
nan
țate atât la nivelul
Guvernului Federal cât și la nivel local, prin sus
ținerea programelor de investiții
finan
țate din fonduri europene.
Austria, fiind în imposibilitate de a î
și securiza prin capabilități interne vasta
re
țea de servicii administrative
puternic informatizate, având în paralel o abordare
NECLASIFICAT
NECLASIFICAT
256
din
284
la nivel constitu
țional mult mai bine definită a drepturilor și libertăților individuale,
este principalul promotor al gestionării securită
ții și apărării cibernetice
infrastructurilor critice de la nive
lul institu
țiilor Comisiei Europene, printr
–
un efort
comun al tuturor statelor uniunii.
Austria este de asemeni principalul sponsor ideologic al tezei prin care
strategia gestionării de către organisme la nivelul Uniunii Europene a situa
țiilor de
criză na
ț
ionale, care pe fondul drepturilor și libertă
ților exprimate în Tratatul
Uniunii Europene, pot fi extinse în afara grani
țelor europene, trebuie completate
cu
o componentă suplimentară de apărare cibernetică. Totu
și, în prezent, din punct de
vedere juridic,
la nivelul celor trei
țări, acțiunile cibernetice ilegale asupra
infrastructurii critice sunt considerate mai degrabă activită
ți din zona criminalității
cibernetice decât din zona spionajului cibernetic, în acest context legisla
ția celor
trei
țări fiind a
semănătoare atât în privin
ța definirii infracțiunilor
,
cât și
în
privin
ța
structurării pedepselor,
niciun
a dintre
țări nefiind interesate de promovarea acestui
aspect la nivelul UE sau al altor organiza
ții de pe spațiul european.
În ceea ce prive
ște dimens
iunea diplomatică a strategiilor de securitate și
apărare cibernetic
ă analizate
este centrată pe modul
în care se face schimbul de
informa
ții între state, iar la nivelul Uniunii putem afirma faptul că aceasta are ca
temă principală „
modul în care diploma
ți
a cibernetică se adaptează la noua ordine
globală de informa
ții”
375
.
În acest context, promovarea unor obiective, cum ar fi
normele
și standardele pentru comportament cibernetic sau obiectivul de a
introduce măsuri de consolidare a încrederii între na
țiuni î
n spa
țiul virtual, trebuie
să fie în
țeleasă în mod diferit la nivelul intern al țărilor analizate față de abordarea
promovată de acelea
și țări la nivelul Consiliului. Astfel dacă la nivelul Consiliului
sau al Comisiei Europene aceasta este percepută ca o a
ctivitate preponderent
bilaterală concentrată pe guvernan
ța internetului și gestionarea crizelor cu
manifestare preponderentă în spa
țiu cibernetic, în schimb la nivel național este
375
Jan Melissen, „Studies in Diplomacy and International Relations”,
Macmillan Distribution
Ltd, Houndmills, Basingstoke, Hampshire RG21 6XS, England, Series Standing Order ISBN 0
–
333
–
71495
–
4, disponibil online la http://culturaldiplomacy.org/academy/pdf/research/
books/soft_power/The_New_Public_Diplomacy.pdf, accesat la
d
ata de
08.01.2017.
NECLASIFICAT
NECLASIFICAT
257
din
284
considerată în mare măsură o activitate multilaterală, implicând comportame
nt
diplomatic, actori, parteneri și interese uneori aflate
în
divergen
ță cu alte țări din
Uniune, fiind probabil cel mai interna
țional mandat existent
în
cadrul Strategiilor
de Securitate și Apărare Cibernetică la nivelul
țărilor analizate în prezentul
dem
ers
de cercetare
științifică
.
Segmentarea de mai sus este o încercare de a oferi o viziune structurată
asupra domeniului de aplicare al securită
ții și apărării cibernetice naționale. În
urma acestei analize,
putem afirma faptul că realitatea acestor mandat
e exprimată
în strategiile analizate diferă, fiind gestionate
fiecare de diferite organiza
ții, nu
numai în cadrul guvernului, ci
și în cadrul sectorului nestatal.
De
și din punct de vedere mod normativ, în cazul în care urmează să fie
dezvoltată o perspecti
vă europeană asupra securită
ții și apărării cibernetice, toate
aceste mandate ar trebui să fie angajate holistic, ac
țiune finalizată printr
–
o strategie
aplicabilă la nivelul tuturor statelor Uniunii, până în acest moment nu au fost
identificate ac
țiuni str
ategice, atât din partea statelor Uniunii
,
cât
și
a organismelor
Comisiei Europene, care să aibă ca obiectiv acest deziderat.
NECLASIFICAT
NECLASIFICAT
258
din
284
Pagină albă
NECLASIFICAT
NECLASIFICAT
259
din
284
LISTA
CU ABREVIERI
ȘI
ACRONIME
APT
–
Amenin
țări Persistente Avansate
BBP 3.0
–
Bugetarea
bazată
pe
P
erformanță
3.0
CAF
C
–
Centrul Canadian Anti
–
Fraudă
CCDCOE
–
Centrul NATO de Excelen
ță pentru Cooperare în Apărarea
Cibernetică
CCIRC
–
Centrul Canadian pentru Răspuns la Incidente Cibernetice
CDCSC
–
Centrul de Coordonare
și
Suport pentru Apărare Ciberneti
că
CDMA
–
NATO
–
Autoritatea de Management pentru Apărare Cibernetică
CERT Australia
–
Centrul de Răspuns la Incidente de Securitate
Cibernetică
al
Australiei
CERT
–
UK
–
Centrul de Răspuns la Incidente de Securitate
Cibernetică
al
Regatului Unit al Marii Br
itanii
CMF
–
For
ța pentru Misiuni Cibernetice
CNCI
–
Ini
țiativa
Multilaterală
Na
țională
de
Securitate Cibernetică
CSEC
–
Structura de Securitate a Comunica
țiilor Canadei
CSIS
–
Serviciul de Informa
ții și Securitate Canadian
CSS
–
Serviciul National de Secu
ritate al SUA
CSTARC
–
Centrul pentru Urmărirea, Analiza
și Răspunsul la Inc
idente de
Securitate Cibernetică
DARPA
–
Agen
ția pentru Proiecte Avansate în Apărare a SUA
DHS
–
Homeland Security
–
Departa
mentul Siguran
ței Teritoriului
–
SUA
DIB
–
Baza Industr
i
ală
de Apărare a SUA
DND
–
Departamentul Apărării Na
ționale al Canadei
DOD
–
Departamentul Apărării al SUA
DOTMLPF
–
Doctrina, Organiza
ție, Pregătire, M
aterial, Leadership
și Educație
,
Personal
și Facilitați
NECLASIFICAT
NECLASIFICAT
260
din
284
FBI
–
Biroul Federal de Investiga
ții al SUA
FIRS
T
–
Forumul
Internațional
al Echipelor de Răspuns la Incidente de
Securitate Cibernetică
GAO
–
Biroului Guvernamental de Contabilitate al SUA
GOC
–
Centrul Opera
țional Guvernamental al Canadei
IAIP
–
Directoratul pentru Analiza Informa
țiilor și Protecția I
nfrastructurii al
SUA
ICS
–
Sisteme de control industrial
ICT
–
Sisteme de Comunica
ții și Tehnologia Informației
INTERPOL
–
Internat
ional
Criminal Police Organization
ISIS
–
Statul Islamic
în
Irak
și
Siria
IT
–
Tehnologia Informa
ției
ITU
–
Uniunea Interna
ț
ională a Telecomunica
țiilor
NASA
–
Agen
ția Aerospațială Americană
NATO
–
Organiza
ția Tratatului Atlanticului de Nord
NATO N
–
CIRC
–
Capabilitatea de Răspuns la Incidente Cibernetice al NATO
NCIA
–
Agen
ția NATO de Comunicații și Informații
NCIRC
–
Capabilita
tea NATO pentru Răspuns la Incidente Cibernetice
NCIRC
–
TC NATO
–
Centrul Tehnic NCIRC
NCSA
–
NATO
–
Agen
ția de Comunicații și Informații NATO
NCSD
–
Divizia Na
ționa
lă pentru Securitate Cibernetică
NERS
–
Canada
–
Sistemul Na
ț
ional de Răspuns la
Urgențe
NIS
T
–
Institutul
National pentru Standarde
și Tehnologie al SUA
NMO
–
Obiective Militare Na
ționale
NMS
–
Strategia Militară Na
țională a Statele Unite ale Americii 2015
NORAD
–
Comandamentul Nord
–
American de Apărare Aerospa
țială
NSA
–
Agen
ția Națională de Sec
uritate a SUA
NSC
–
Consiliul Securită
ții Naționale al SUA
ONU
–
Organiza
ția Națiunilor Unite
NECLASIFICAT
NECLASIFICAT
261
din
284
PPD 21
–
Directiva de Politică
Preziden
țială 21
PS
–
Agen
ția de Securitate Public
ă
a Canadei
RCMP
–
Poli
ția Federală Canadiană
RRT
–
NATO
–
Echipelor de Reac
ție R
apidă
SNORT
–
Sisteme de detec
ție și prevenire a intruziunilor într
–
o re
țea cibernetică
SSC
–
Shared Services Canada
TM
–
Threat modeling
–
Model de tratare al amenin
țărilor cibernetice
US
–
CERT
–
Centrul de Răspuns la Incidente de Securitate
Cibernetică
al
SUA
USCYBERCOM
–
Comandamentului Cibernetic al SUA
USSOCOM
–
Comandamentul pentru Opera
țiuni Speciale al SUA
USSTRATCOM
–
Comandamentul Strategic al SUA
VEO
–
Organiza
ții Extremist
e Violente
NECLASIFICAT
NECLASIFICAT
262
din
284
P
agină albă
NECLASIFICAT
NECLASIFICAT
263
din
284
BIBLIOGRAFIE
I
.
LEGI, ORDONANȚE
ȘI
HOT
ĂRÂRI DE GUVERN
ȘI
LEGISLA
ȚIE
INTERNAȚIONAL
Ă
1
*** Constitu
ția României
, Monitorul Oficial al României, partea I, nr. 767,
Bucure
ști, 2003, cota 71363.
2
*** Strategia de Securitate Na
țională a României
(SSNR, 2007).
3
*** Strategia Na
țională de Apărare a Ț
ării
, Bucure
ști, 2008
.
4
***Strategia Na
țională de Apărare a Țării pentru perioada 2015
–
2019
.
5
*** Legea nr. 51/1991 privind Securitatea Na
țională
, cu modificările
și
completările ulterioare.
6
*** Legea nr. 18/2011
privind protec
ția infrastructurilor critice
.
7
***
UN Resolution 58/199
–
Creation of a global culture of cyber security and
the protection of critical information structures,
2003
.
8
***
Carta Na
țiunilor Unite
, San Francisco, 1945
.
9
*** Council Framework Decision 2005/222/JHA
on attacks against
information s
ystems, European Council, 2005
.
10
*** Resolution on Cyber Security and Cyber Crime
, Parliamentary Assembly
“Astana”, OSCE, 2008
.
11
*** The National Strategy to Secure Cyberspace
, February 2003
.
12
*** Department of Defense Strategy for Operating
în
Cyberspace
,
July 2011
.
13
*** ITU, 2009, Cybersecurity
: The Role and Responsibilities of an Effective
Regulator
.
14
*** ISO/IEC 27002:2013 Information technology
–
Security techniques
–
Code of practice for information security
.
NECLASIFICAT
NECLASIFICAT
264
din
284
15
*** INTER NATIONAL STRATEGY FOR CYBERSPACE
–
MAI 2011
, USA
The Whitehouse
.
16
***
U.S. Government Accountability Office, “
Cybersecurity: Challenges
în
Securing the Electricity Grid
,” GAO
–
12
–
926T, July 17, 2012
.
17
*** National Strategy for Homeland Security
, i
ulie 2002
.
18
*** The Physical Protection of Crit
ical Infrastructures and Key Assets
f
ebruarie 2003
.
19
*** PUBLIC LAW 107
–
296
—
NOV. 25, 2002
.
20
*** National Cyber Security Division Resilient Accord Read Ahead
.
21
***
The Comprehensive National Cybersecurity Initiative, USA, The
Whitehouse
.
22
***
INTERNAȚIONAL
STRA
TEGY FOR CYBERSPACE
Mai 2011, USA ,The
Whitehouse
.
23
*** National Military Strategy for Cyberspace Operations
.
24
*** The National Strategy To Secure
Cyberspace
.
25
*** The National Military Strategy of the United States of America
,
2004
.
26
*** The National Military
Strategy for Cyberspace Operations
.
27
*** National Infrastructure Protection Plan
,
2009
.
28
***
Quadrennial Defense Review Report
.
29
*** National Security Strategy
,
m
ai 2010
.
30
***
Internațional
Strategy fo Cyberspace
, m
ai 2011
.
31
*** MEMORANDUM OF AGREEMENT BETWEE
N THE DEPARTMENT OF
HOMELAND SECURITY AND THE DEPARTMENT OF DEFENSE
REGARDING CYBERSECURITY
, Office of Security Review Department of
Defense
,
Oct
.
2010
.
32
*** The National Military Strategy of the United States of America 2015
.
33
*** Executive Order 13636,
“Im
proving Critical Infrastructure Cybersecurity,”
Federal Register 78, no. 33 (19
f
ebruarie 2013): 11737
–
11744
.
34
***
The White House, “Critical Infrastructure Security and Resilience,”
Presidential Policy Directive 21,
(12 February 2013)
.
NECLASIFICAT
NECLASIFICAT
265
din
284
35
***
DEPARTMENT OF CO
MMERCE AND NATIONAL INSTITUTE OF
STANDARDS AND TECHNOLOGY
–
Views on the Framework for
Improving
–
Docket No. 151103999
–
5999
–
01 Critical Infrastructure
Cybersecurity
.
36
*** Action Plan 2010
–
2015 for Canada’s Cyber Security Strategy
.
37
*** Canadian Securit
y Int
elligence Service Act,
24 m
ai 2016
.
38
***
United Nations
–
Resolution adopted by the General Assembly, 55/63
.
Combating the criminal misuse of information technologies
.
39
***
ONU Doc A/
65/201, 30 iulie 2010
.
40
***
ONU Doc A/
68/98
,
24 iunie 2013
.
41
***
U.N. GAOR,
S
crisoarea din 23 s
eptembrie 1998 a reprezentantului
permanent al Federa
ției Ruse la Națiunile Unite către Secretarul General
relativ la punctul 63 de pe agenda ONU A/C.1/53/3
(Sept. 30, 1998)
.
42
*** Conven
ția Națiunilor Unite cu privire la Legea Marii
, pct.
VII, 10 Dec
.
1982
.
43
*** Acordul care guvernează activitatea statelor pe Lună
și a celorlalte
corpuri cere
ști
, adoptat
în
5 Dec. 1979, 1363 U.N.T.S.
44
*** Tratatul asupra Antarcticii
, 1 Dec. 1959, 12 U.S.T. 794, 402 U.N.T.S
45
*** ISO/IEC 2382
–
1:1993, “Informati
on technology
–
Vocabulary
–
Part 1:
Fundamental terms
.”, disponibil online pe
http://www.iso.org/iso/catalogue_detail.htm?csnumber=7229 accesat la
22.04.2016
.
II
.
REGULAMENTE
ȘI
INSTRUCȚIUNI MILITARE ROMÂNEȘTI
1
***
Doctrina Armatei României
, Statul Major Ge
neral, 2011
.
2
***
AC/35
–
D/2002 Directiva NATO pentru Securitatea Informațiilor
.
3
***
Doctrina pentru Planificarea Operațiilor întrunite
, S.M.G./
PF
–
3/2003
.
NECLASIFICAT
NECLASIFICAT
266
din
284
III
.
REGULAMENTE
ȘI
INSTRUCȚIUNI MILITARE STRĂINE
LUCRĂRI DE AUTORI ROMÂNI
1
.
*** DCSINT Handbook
1.02, Cyb
er Operations and Cyber Terrorism, 2005
.
2
.
***
The National Military Strategy of the United States of America
(Strategia militară națională a SUA), Washington, 2011.
3
.
***
The National security strategy of the United States of America
(Strategia
de securitate
națională a SUA), Wahington, 2010.
4
.
***
Tratatul Atlanticului de Nord
, Washington DC, 4 aprilie 1949.
5
.
***
DoD dictionary of Military and Related Terms
, iunie 2003
.
6
.
***
AAP
–
6
–
NATO Glossary of Terms and Definitions
, NATO HQ,
Brussels, 2010
.
7
.
***
Internationa
l Strategy for Cyberspace
, Strategia Internațională pe
ntru
spațiul cibernetic a SUA
, Washington, 2011
.
8
.
***
La Stratégie de cybersécurité du Canada
, Strategia de securitate
cibernetică a Canadei, 2010
.
9
.
*** National Cyber Security Framework Manual
. NATO CCD
COE
P
ublications; Decembrie 2012. p.
12
.
10
.
Geir Hallingstad and Luc Dandurand,
Cyber Defence Capability Framework
–
Revision 2. Reference Document RD
–
3060
(The Hague: NATO C3
Agency, 2010).
11
.
*** GAO,
Defense Department Cyber Efforts
. More Detailed Guidance
N
eeded to Ensure Military Services Develop Appropriate Cyberspace
Capabiliti
es, (Washington, DC: GAO, 2011).
12
.
*** The United States Army’s Cyberspace Operations Concept Capability
Plan 2
016
–
2028, 22 f
ebruarie 2010, p
. 6.
13
.
***
Strategic Concept for the Defenc
e and Security of the Members of the
North Atlantic Treaty Organization
, p. 12.
NECLASIFICAT
NECLASIFICAT
267
din
284
14
.
***
Wales Summit Declaration
–
Issued by the Heads of State and
Government participating
în
the meeting of the North Atlantic Council
i
n
Wales
.
15
.
***
UK Ministry of Defence
–
Red
Tea
ming Guide, dated January 2013
–
The Development, Concepts and Doctrine Centre Shriven
ham SWINDON,
Wiltshire, SN6 8RF.
16
.
***
Department of Defense Strategy for Operating
i
n
Cyberspace
(2011),
US DoD
.
17
.
***
Defence Against Terrorism Review
, Vol.
3, No. 2, F
all 2010, pp. 23
–
36
,
Copyright © COE
–
DAT ISSN: 1307
–
9190
.
18
.
***
173 DSCFC 09 E BIS
–
NATO AND CYBER DEFENCE
.
19
.
*** Transatlantic Policy Briefs, “Coming to Terms with a New Tre
at:
NATO and Cyber Security” p. 3, i
anuarie 2013
.
20
.
***
ALLIED COMMAND OPERATIONS COMPR
EHENSIVE
OPERATIONS PLANNING DIRECTIVE COPD INTERIM V1.0
.
21
.
***
What is Transformation?
–
An Introduction to Allied Command
Transformation
, NATO UNC
LASSIFIED
–
PUBLICLY DISCLOSED
,
i
anuarie 2015
.
22
.
*** White House,
2009
,
Cyberspace Policy Review
–
Assuring a Tr
usted
and Resilient Information and Communication Infrastructure.
23
.
*** US GAO, 2013,
A Better Defined and Implemented National Strategy Is
Needed to Address Persistent Challenges
.
24
.
***
DEPARTMENT OF DEFENSE STRATEGY FOR OPERATING
în
CYBERSPACE
,
DOD USA, i
uli
e 2011
.
25
.
*** „
CYBERSECURITY A Better Defined and Implemented National
Strategy Is Needed to Address Persistent Challenges
–
Statement of Gregory
C. Wilshusen, Director Information Security Issues before the Committee on
Commerce, Science, and Transportation
and the Committee on Homeland
Security and Governmental Affairs, U.S. Senate
.
NECLASIFICAT
NECLASIFICAT
268
din
284
26
.
***
FACT SHEET: THE DEPARTMENT OF DEFENSE (DOD) CYBER
STRATEGY
,
APRIL 2015
.
27
.
*** Presidential Policy Directive PPF
–
20
.
28
.
***
E
UROPEAN REASSURANCE INITIATIVE
–
Department of Defense
Budget Fiscal Year (FY) 2017, RefID: 9
–
5128E2F
.
29
.
***
Capstone Concept for Joint Operations
(CCJO)
.
30
.
***
Department of Defense INSTRUCTION NUMBER 8530.01
, 7 m
artie
2016
.
31
.
*** Department of the Army Headquarters,
United States Army Training
and Doctrine Comman
d
Fort Eustis, Virginia 23604
–
5700, *TRADOC
Regulation 71
–
20
–
CONCEPT DEVELOPMENT, CAPABILITIES
DETERMINATION, AN
D CAPABILITIES INTEGRATION, 28 i
unie
2013
.
32
.
***
Department of Defense Cyberspace Policy Report
, A Report to
Congress Pursuant to the National D
efense Authorization Act for Fiscal
Year 2011, Section 934, November 2011
.
33
.
***
National Security Presidential Directive 54: Cyber Security and
Monitoring (NSPD
–
54)
/
Homeland Security Presidential Directive 23: Cyber
Security and Monitoring
(HSPD
–
23).
34
.
*** Pu
blic Safety and Homeland Security Bureau, “
Tech Topic 20: Cyber
Security and Communications,
” FCC, disponibil online pe
http://transition.fcc.gov/pshs/techtopics/tec
htopics20.html,
accesat la
data de
22.04.2016
.
35
.
Klimburg
Alexander,
National Cyber Security
Framework Manual, NATO
Cooperative Cyber Defence Centre of Excellence, 2012
, disponibil online pe
https://ccdcoe.org/publications/books/NationalCyberSecurityFrameworkMa
nual.pdf
,
accesat la
data de
22.04.2016
.
NECLASIFICAT
NECLASIFICAT
269
din
284
IV
.
LUCRĂRI DE AUTORI
ROMÂNI
1
.
Alexandrescu C., Al
exandrescu G., Boaru Gh.,
Sisteme informaționale
–
servicii și tehnologie
, Editura Universității Naționale de Apărare „Carol I”,
București, 2010
.
2
.
Andrew M. C., Lech J.J.,
Introducere în Războiul cibernetic și terorismul
cibernetic
, Editura Information Scie
nce Reference, 2007
.
3
.
Arădăvoaice G., Stancu V.,
Războaiele de azi și de mâine agresiuni
nonconventionale
, Editura Militară, București, 1999
.
4
.
Cezar Vasilescu,
Cyber Attacks: Emerging Threats to the 21st Century
Criti
cal Information Infrastructures, a
prilie
2012 ISSN 1802
–
7199
.
5
.
Frunzeti T., Mureșan M., Văduva Gh.,
Război și haos
, Editura Centrului
Tehnic
–
Editorial al Armatei, București, 2009
.
6
.
Frunzeti, Teodor; Zodian, Vladimir (coord.),
Lumea 2009
. Enciclopedie
politică și militară (Studii strategice și de se
curitate), Editura Centrului
Tehnic
–
Editorial al Armatei, București, 2009.
7
.
Frunzeti, Teodor; Zodian, Vladimir (coord.),
Lumea 2011
. Enciclopedie
politică și militară (Studii strategice și de securitate), Editura RAO,
București, 2011
.
8
.
Frunzeti, Teodor; Zodi
an, Vladimir (coord.),
Lumea 2013
. Enciclopedie
politică și militară (Studii strategice și de securitate), Editura RAO,
București, 2013
.
9
.
Frunzeti, Teodor; Zodian, Vladimir (coord.),
Lumea 2015
. Enciclopedie
politică și militară (Studii strategice și de sec
uritate), Editura RAO,
București, 2015
.
10
.
Năbârjoiu N., Lăpușneanu F.,
Fizionomia acțiunilor militare în cadrul
conflictelor asimetrice
, Editura C
TEA, București, 2006
.
11
.
Paraschiv Gavril
,
conferențiar univ. dr.,
„
Creșterea pericolului pornografiei
infantile pe
internet
”
,
disponibil online pe
http://www.ugb.ro/Juridica/
NECLASIFICAT
NECLASIFICAT
270
din
284
Issue22013/9._Cresterea_pericolului_pornografiei_infantile_pe_internet.Ga
vril_Paraschiv.RO.pdf
,
accesat la
data de
22.04.2016
.
12
.
Topor S., Călin I., Nițu C.,
Despre informații și sisteme informațio
nale
militare
, Editura BREN, București, 2008
.
13
.
Topor S.,
Operația informațională
–
concept fundamental al desfășurării
conflictului,
Sesiunea de comunicări științifice Strategii XXI”, 9
–
10 aprilie
2009, Secțiunea „Sisteme Informaționale”.
14
.
Turcu D.,
Războiul
bazat pe rețea și influența acestora asupra sistemelor de
comunicații și informatice
, Editura Universității Naționale de Apărare
„Carol I”, București, 2007
.
15
.
Văduva G.,
Capabilități facilitate de Rețea
, Editura Universității Naționale
de Apărare
„Carol I”
,
București, 2009
.
16
.
Zamfir, Dumitru,
Respectarea drepturilor omului în activitatea serviciilor
de informații
,
Editura RAO International Publishing Company
, București,
2007
.
V
.
LUCRĂRI DE AUTORI STRĂINI
1
.
*** Code of Practice for Information Security Management
,
ISO/IEC
17799, International Organization for Standardization (ISO).
2
.
*** Cyber Storm: Securing Cyber Space
, Washington, DC: Department of
Homeland Security
.
3
.
*** House of Commons
–
Defence Committee
–
Sixth Report of Session
2012
–
13, Published on 9 Janua
ry 2013 by authority of the House of
Commons London: The Stationery Office Limited
.
4
.
*** Occupying the Information High Ground: Chinese Capabilities for
Computer Network Operations and Cyber Espionage, U.S.
–
China Economic
and Security Review Commission, Ba
ltimore
, MD: Northrop Grumman
Corp, 7 m
artie 2012
.
NECLASIFICAT
NECLASIFICAT
271
din
284
5
.
*** Tallinn Manual on the International Law Applicable to Cyber Warfare
,
Cambridge University Press, m
artie 2013
.
6
.
Andress Jason
and Steve Winterfeld,
Cyber Warfare (Second Edition)
Techniques, Tactics and
Tools for Security Practitioners
, ISBN: 978
–
0
–
12
–
416672
–
1, Copyright © 2014 Elsevier Inc.
7
.
Austin Greg,
China’s Cyberespionage: The National Security Distinction
and U.S. Diplomacy,
Oxford University Press, Forthcoming, 2016/1
.
8
.
Brenner Susan W., “
At Light S
peed: Attribution and Response to
Cybercrime/Terrorism/Warfare
”, 97 J. CRIM. L. & CRIMINOLOGY 379
(2007)
.
9
.
Buzan B
arry, Ole Wæver, Jaap de Wilde,
Security:
A New Framework for
Analysis
, Lynne Rienner Publishers, 1998
.
10
.
Buzan Barry,
People, States and Fear: A
n Agenda for
International Security
Studies i
n the Post
–
Cold War
, London: Harvester Wheatsheaf, 1991.
11
.
Cavelty Myriam Dunn and Vic
tor Mauer,
The Routledge Handbook of
Security Studies
,
Routledge,
2010,
ISBN 0
–
203
–
86676
–
2
.
12
.
Cavelty Myriam Dunn,
Cyber
–
Allies
–
Strengths and weaknesses of NATO’s
cyberdefense postur
e, ETH Zurich,
Center for Security Studies Februarie
2012
.
13
.
Clark David, “
Characterizing cyberspace: past, present and future
”
,
MIT/CSAIL Working Paper, 12 March 2010, disponibil online pe
https://proje
cts.csail.mit.edu/ecir/wiki/images/7/77/Clark_Characterizing_cy
berspace_1
–
2r.pdf
,
accesat la
data de
22.04.2016
.
14
.
Clarke Richard A.
, Robert Knake,
Cyber War: The Next Threat to National
Security and What to Do About It
, Paperback,
April, 2012, ISBN
–
10:
9780
061962240
.
15
.
Clift A. Denis,
Intelligence i
n the Internet
,
Edit
ura Teora, București, 2003.
16
.
Cox Robert W.,
Social Forces, States and World Orders: Beyond
International Relations Theory
, i
n Robert O. Keohane, ed.,
Neorealism and
Its Critics
, New Yor
k: Columbia
University Press, 1986, pp
. 204
–
254.
NECLASIFICAT
NECLASIFICAT
272
din
284
17
.
Döge Jenny,
Cyber Warfare
–
Challenges for the Applicability of the
Traditional Laws of War Regime, Archiv des Völkerrechts, Volumul 48
,
numărul 4, decembrie 2010, pp
. 486
–
501
.
18
.
Dombrowski Peter,
America’s Third Offset
Strategy
:
New Military
Technologies and Implications for the Asia Pacific
, Nanyang Technological
University Press
,
2015.
19
.
Drexel Godfrey J.E.
,
Ethics i
n intelligence
,
Jan Goldman (ed.)
Ethics of
Spying: a Reader for the Intelligence Professional
,
vol
. 1 Lan
ham,
Maryland.
20
.
Fox Peter,
Domestic Cybersecurity Requires Clearer Federal Roles and
Responsibilities
, m
artie 2012
.
21
.
Gagnon B.,
Informatique et cyberterrorisme
, i
n LEMAN
–
LANGLOIS S.
and BRODEUR J.
–
P.,
Terrorisme et Antiterrorisme au Canada
, Les Presses
de l’
Université de Montréal, 2009.
22
.
Garcez de Oliviera,
LEGAL OPINION ON “THE NEPTUNE SPEAR
OPERATION” THAT LED TO THE DEATH OF BIN LADEN
, University of
Oslo, Faculty of Law
.
23
.
Gasser
Hans
–
Peter,
International Humanitarian Law
–
An introduction,
Humanity for all
,
Henry Dunant Institute, 1993, p.
509.
24
.
Gates Robert M.,
Submitted Statement to Senate Armed Services Committee
,
Audiere în fa
ța Senatului SUA,
27 ianuarie 2009, p
. 8.
25
.
Goldsmith Jack,
Cybersecurity Treaties: A Skeptical View
, i
n
FUTURE
CHALLENGES în NATIONAL
SECURITY AND LAW
(Peter Berkowitz ed.,
2011)
.
26
.
Goncalves Marcus,
Internet Strict Secret
,
Editura Teora, București, 2000.
27
.
Granit Amos,
Cyb
erspace as a Military Domain
–
I
n What Sense?
,
Institute
for Intelligence Studies at IDF Mil
itary Intelligence, martie
2010.
28
.
Gray C.,
International Law and the Use of Force
, Oxford University Press,
2000, p
p. 7
–
8.
NECLASIFICAT
NECLASIFICAT
273
din
284
29
.
Gurpreet Dhillon,
Principles of Information Systems Security: Texts and
Cases
, septembrie 2010, ISBN
: 978
–
0
–
470
–
55978
–
9
.
30
.
Hayden Michael V.,
Playing to t
he Edge:
American Intelligence i
n the Age
of Terror
, Kin
dle Edition, Penguin Press (23 f
ebruarie, 2016)
.
31
.
Healey Jason
,
„
A Fierce Domain: Con
flict i
n Cyberspace 1986
” (Kindle
Edition)
, publicată
în 2013 de către
Cyber Conflict Studies Association
,
ISBN13: 9780989327
411
.
32
.
IETF RFC 4677,
The Tao of IETF: A Novice’s Guide to the Internet
Engineering Task Force
,
September 2006, disponibil online pe
http://tools.ietf.org/html/rfc4677
,
accesat la
data de
22.04.2016
.
33
.
Kalshoven
Frits and Liesbeth Zegveld
,
Constraints on the W
aging of War.
An Introduction to International Humanitarian Law
, Cambridge University
Press; A
ugust 2011
.
34
.
Kerr Clive, Robert Phaal, David Probert,
A Framework For Strategic
Military Capabilities În Defense Transformation
, 11
th
International
Command and Con
trol Research and Technology Symposium ‘Coalition
Command and Control în
the Networked Era’, Cambridge, 26
–
28 s
eptembrie
2006
.
35
.
Kirk Jeremy,
5 Indicted in Long
–
running Cybercrime Operation
, CSO
Online, 2 September 2009,
disponibil online pe
http://www.compu
terworld.com/article/2527877/security0/five
–
indicted
–
in
–
long
–
running
–
cybercrime
–
operation.html
,
accesat la
data de
22.04.2016
.
36
.
Klimburg Alexander,
National Cyber Security Framework Manual
, NATO
Cooperative Cyber Defence Centre of Excellence, 2012
.
37
.
Kramer F
ranklin D., Stuart H. Starr, and Larry Wentz, eds.,
Cyber Power
and National Security
,
Washington
, DC: National Defence UP, 2009.
38
.
Langner Ralph
,
To Kill a Centrifuge
–
A Technical Analysis of What
Stuxnet’s Creators Tried to Achieve
, The Langner Group, Nov
ember 2013
.
39
.
LeBlanc David, Michael Howard,
Writing Secure Code
,
(2nd Edition),
Microsoft Press 2003,
ISBN
–
13: 978
–
0735617223
.
NECLASIFICAT
NECLASIFICAT
274
din
284
40
.
Lessig Lawrence,
The Future of Ideas. The Fate of the Commons in a
Connected World
, (New York: Random House, 2001), disponibil la
http://www.the
–
future
–
of
–
ideas.com/download/lessig_FOI.pdf
,
accesat la
data de
22.04.2016
.
41
.
Libicki Martin C.
,
Crisis and Escalation in Cyberspace
, Santa Monica
,
California RAND Corporation, July 2012
.
42
.
Lindsay Jon R.,
Tai Ming Cheung,
From Exploitation to I
nnovation:
Acquisition, Absorption, and Application
,
Oxford University Press,
Forthcoming, 2014/15
.
43
.
Maurer
Tim,
Cyber norm e
mergence at the United Nations
–
An Analysis of
the Activities at the UN regarding Cyber
–
Security
, Belfer Center for Science
and Int
ernational Affairs, Harvard Kennedy School, Discussion Paper 2011
–
11
.
44
.
Mitnick Kevin, Simon Williams, Wozniak Steve,
The Art of Deception
, John
Wilwz &
Sons, 2002.
45
.
Muckin Michael, Scott C. Fitch,
A Threat
–
Driven Approach to Cyber
Security
–
Methodologies, P
ractices and Tools to Enable a Functionally
Integrated Cyber Security Organization
, Lockheed Martin Corporation
.
46
.
Murray Alan T.,
Tony Grubesic
,
Critical Infrastructure: Reliability and
Vulnerability
, ISBN 978
–
3
–
540
–
68056
–
7
.
47
.
Năstase Adrian,
Aurescu, Bogdan
(ed.),
Drept internațional contemporan.
Texte esențiale,
Mon
itorul Oficial, București, 2000.
48
.
Nielsen M.A. and Chuang
I.L.
,
Quantum Computation and Quantum
Information
,
Cambridge University Press, 2000, ISBN 0
–
521
–
63503
–
9
49
.
Norbert Wiener,
Cybernetic
s or Cont
rol and Communication i
n the Animal
and the Machine,
1948 MIT Press
.
50
.
Owens William A., Kenn
eth W. Dam, and Herbert S. Lin,
Technology,
Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack
Capabilities
.
NECLASIFICAT
NECLASIFICAT
275
din
284
51
.
Potter Evan H., ed.
,
Cyber
–
Diplom
acy:
Managing Foreign Policy in the
Twenty
–
First Century
,
(Quebec: McGill
–
Queen’s University Press, 2002)
,
di
s
ponibil online la
https://books.google.ro/books?id=czDUykpkc
–
0C&printsec=frontcover&source=gbs_ge_summary_r&cad=0#v=onepage&
q&f=false
,
accesat la
data de
18.02.2016
.
52
.
Robel Dan
,
International Cybercrime Treaty: Looking Beyond Ratification
,
SANS Institute InfoSec Reading Room
.
53
.
Rosenzweig Paul and David Inserra,
Obama’s Cybersecurity Executive
Order Falls Short
, Issue Brief #3852, 14 f
ebruarie 2013
.
54
.
Ru
pert Ticehurst,
The Martens Clause and the Laws of Armed Conflict
,
The
International Committee of the Red Cross (ICRC), April 2012
.
55
.
Schmidt Lara,
Perspective on 2015 DoD Cyber Strategy,
RAND Office of
External Affairs, CT
–
439, September 2015, Testimony pre
sented before the
House Armed Services Committee on September 29, 2015
.
56
.
Sebastian M. Convertino II, Lou Anne DeMattei, Tammy M. Knierim,
Flying and Fighting i
n Cyberspace
(Alabama: A
ir University Press, iulie
2007.
57
.
Snyder Don, James D. Powers, Elizabeth Bo
dine
–
Baron, Bernard Fox,
Lauren Kendrick, Michael H. Pow
ell,
Improving the Cybersecurity of U.S.
Air Force Military Syste
ms Throughout Their Life Cycles
–
research
reported here was prepared for the United States Air Force
,
Library of
Congress Control Numb
er: 20159
52790, ISBN: 978
–
0
–
8330
–
8900
–
7,
Copyright 2015 RAND Corporation.
58
.
Todd Arnlo
d, Rob Harrison, Gregory Conti,
Professionalizing the Army’s
Cyber Officer Force
, United States Military Academy, West Point NY
10996
.
59
.
Tromparent Patrice,
French Cyberdefen
ce Policy
, Delegation for Strategic
Affairs Ministry of Defense Paris, France
,
presentation for 2012
,
4
th
International Conference on Cyber Conflict
.
NECLASIFICAT
NECLASIFICAT
276
din
284
60
.
Whitman Michael E., Herbert J. Mattord,
Principles of Information Security
,
2011, p
. 8, Cengage Learning,
ISBN 1111138214
.
61
.
William Gibson,
Neuromancer
, Mass Marke
t Paperback,
August 15, 1986
.
VI
.
SURSE WEB
1
.
http://www.darpa.mil/
2
.
http://www.iso.org/iso/catalogue_detail.htm?csnumber=39066
3
.
http://faculty.babson.edu/krollag/org_s
ite/encyclop/parsons.html
4
.
http://www.itu.int/en/about/Pages/default.aspx
5
.
https://www.ncia.nato.int/About/Pages/Abo
ut
–
the
–
NCI
–
Agency.aspx
6
.
http://www.nato.int/cps/en/natohq/topics_78170.htm
7
.
http://www.nato.int/nato_static_fl2014/assets/pdf/pdf_publications/2012021
4_strategic
–
concept
–
2010
–
eng.pdf
8
.
https://ccdcoe.org/sites/default/files/do
cuments/NATO
–
101120
StrategicConcept.pdf
9
.
http://www.publications.parliament.uk/pa/cm201213/cmselect/cmdfence/10
6/106.pdf
10
.
https://ccdcoe.org/nato
–
summit
–
updates
–
cyber
–
defence
–
p
olicy.html
11
.
https://ccdcoe.org/sites/default/files/documents/NATO
–
140905
–
WalesSummitDeclaration.pdf
12
.
https://ccdcoe.org/cycon/2012/proceedings/d2r3s2_tromparent.pdf
13
.
http://www.nato.int/nato_static_fl2014
/assets/pdf/pdf_publications/2014100
8_140108SummitGuideWales2014
–
eng.pdf
14
.
https://www.gov.uk/government/uploads/system/uploads/atta
chment_data/fil
e/142533/20130301_red_teaming_ed2.pdf
15
.
http://www.westpoint.edu/acc/SiteAssets/SitePages/Reports/PACOF.pdf
16
.
http://csrc.nist.gov/groups/SMA/ispab/documents/DOD
–
Strategy
–
for
–
Operating
–
in
–
Cyberspace.pdf
17
.
http://www.defence
andstrategy.eu/filemanager/files/file.php?file=73464
NECLASIFICAT
NECLASIFICAT
277
din
284
18
.
http://www.coedat.nato.int/publication/datr/volume6/03How_Cyberterrorists
_Could_Be_Living_Inside_Your_Systems.pdf
19
.
http://warontherocks.com/2015/09/is
–
the
–
islamic
–
state
–
a
–
cyber
–
threat/
20
.
https://www.ncia.nato.int/About/Pages/About
–
the
–
NCI
–
Agency.aspx
21
.
http://www.cepolicy.org/sites/cepolicy.org/files/attac
hments/08_
–
_tpb_cyber_terlikowski_vyskoc11.pdf
22
.
https://info.publicintelligence.net/NATO
–
COPD.pdf
23
.
http://breakingdefense.com/2014/08/natos
–
september
–
summit
–
must
–
confront
–
cyber
–
threats/
24
.
https://www.icrc.org/eng/resources/documents/misc/57jnhy.htm
25
.
https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strat
egy_for_cyberspace.pdf
26
.
http://www.arduph.ro/domenii/diu
–
si
–
terorismul/despre
–
statutul
–
mercenarilor
–
si
–
al
–
angajatilor
–
companiilor
–
militarede
–
securitate
–
private/
27
.
www.spodas.ro/revista/index.php/revista/article/download/181/166 accesat
la 05.06.2016
28
.
http://www.ieee.es/Galerias/fichero/OtrasPublicaciones/Internacional/2015/
NATO_Introduction_AlliedCommand_Transformation_Jan2015.pdf
29
.
http://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID1997153_code1782288.p
df?abstractid=1997153&mirid=1
30
.
http://blogs.wsj.com/washwire/2011/06/10/transcript
–
of
–
defense
–
secretary
–
gatess
–
speech
–
on
–
natos
–
future/
31
.
https://www.whitehouse
.gov/sites/default/files/docs/2015_national_security
_strategy.pdf
32
.
https://www.us
–
cert.gov/sites/default/files/publications/cyberspace_strategy.pdf
33
.
https://www.dhs.gov/sites/default/files/publications/Cyberspace_Policy_Rev
iew_final_0.pdf
34
.
https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strat
egy_for_cyberspace.pdf
NECLASIFICAT
NECLASIFICAT
27
8
din
284
35
.
https://www.us
–
cert.gov/sites/default/files/publications/cyberspace_strategy.pdf
36
.
https://www.dhs.gov/sites/default/files/publications/nat
–
strat
–
hls
–
2002.pdf
37
.
https://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf
38
.
https://www.dhs.gov/xlibrary/assets/hr_5005_enr.pdf
39
.
https://www.uscis.gov/ilink/docView/DHSFR/HTML/DHSFR/0
–
0
–
0
–
1/0
–
0
–
0
–
9444/0
–
0
–
0
–
9466/0
–
0
–
0
–
9846.html
40
.
h
ttps://www.dhs.gov/office
–
operations
–
coordination
41
.
https://www.hdiac.org/
42
.
https://www.dhs.gov/office
–
infrastructure
–
protection
43
.
https://www.fbiic.gov/public/2010/sep/NCSD_Information_for_Resilient_A
ccord_20100310_v00.pdf
44
.
https://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_
final.pdf
45
.
https://www.whitehouse.gov/the
–
press
–
o
ffice/remarks
–
president
–
securing
–
our
–
nations
–
cyber
–
infrastructure
46
.
https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf
47
.
https://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_
final.pdf
48
.
https://www.whitehouse.gov/
issues/foreign
–
policy/cybersecurity/national
–
initiative
49
.
http://www.gao.gov/assets/660/652817.pdf
50
.
http://www.gao.gov/
51
.
https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strat
egy_for_cyberspace.pdf
52
.
http://www.state.gov/s/cy
berissues/strategy/
53
.
http://www.state.gov/s/l/releases/remarks/197924.htm
54
.
http://www.defense.gov/
55
.
http://csrc.nist.gov/groups/SMA/ispab/documents/DOD
–
Strategy
–
for
–
Operating
–
in
–
Cyberspace.pdf
NECLASIFICAT
NECLASIFICAT
279
din
284
56
.
http://nsarchive.gwu.edu/NS
AEBB/NSAEBB424/docs/Cyber
–
023.pdf
57
.
www.us cert.gov/reading_room/cyberspace_strategy.pdf
58
.
http://archive.defense.gov/news/Mar2005/d20050318nms.pdf
59
.
http://nsarchive.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber
–
023.pdf
60
.
http://www.rferl.org/content/p
entagon_unveils_new_offensive_cybersecurit
y_strategy/24266548.html
61
.
https://www.dhs.gov/xlibrary/assets/20101013
–
dod
–
dhs
–
cyber
–
moa.pdf
62
.
https://www.dhs.gov/cyber
–
storm
,
63
.
http://www.digitalattackmap.com/understanding
–
ddos/
64
.
http://origin.www.uscc.gov/sites/default/files/Research/USCC_Report_Chin
ese_Capabilities_for_Computer_Network_Operations_and_Cyber_%20Espi
onage.pdf
65
.
http://www.iar
–
gwu.org/node/65
66
.
http://www.defense.gov/Portals/1/features/2015/0415_cyber
–
strategy/Department_of_
Defense_Cyber_Strategy_Fact_Sheet.pdf
67
.
https://www.nationalguard.com/
68
.
https://epic.org/privacy/cybersecurity/presidential
–
directives/presiden
tial
–
policy
–
directive
–
20.pdf
69
.
https://epic.org/privacy/cybersecurity/presidential
–
directives/presidential
–
policy
–
directive
–
20.pdf
70
.
http://sites.nationalacademies.org/cs/groups/cstbsite/documents/webpage/cst
b_050541.pdf
71
.
http://www.ca.com/cn/~/media/Files/eBooks/defending
–
against
–
advanced
–
persistent
–
threats.pdf
72
.
https://www.congress.gov/bill/114th
–
congress/house
–
bil
l/1735
73
.
http://comptroller.defense.gov/Portals/45/Documents/defbudget/fy2017/FY2
017_ERI_J
–
Book.pdf
74
.
https://www.duo.uio.no/bitstream/handle/10852/34059/GARCEZxDExOLI
VEIRA_Masterxxcorrectedxfilex.pdf?sequence=3
75
.
http://www.afcea.org/events/pastevents/documents/M424Aug.pdf
NECLASIFICAT
NECLASIFICAT
280
din
284
76
.
http://cisac.fsi.stanford.edu/news/secreta
ry
–
defense
–
ashton
–
carter
–
unveils
–
cyber
–
strategy
–
calls
–
renewed
–
partnership
–
silicon
–
valley
77
.
https://www.rsis.edu.sg/wp
–
content/uploads/2015/06/PR150
608_Americas
–
Third
–
Offset
–
Strategy.pdf
78
.
http://breakingdefense.com/2016/02/its
–
not
–
about
–
technology
–
bob
–
work
–
on
–
the
–
3rd
–
offset
–
strategy/
79
.
https://www.usnwc.edu/Lucent/OpenPdf.aspx?id=95
80
.
http://www.jcs.mil/Portals/36/Documents/Publi
cations/2015_National_Milit
ary_Strategy.pdf
81
.
http://www.marshallcenter.org/MCPUBLICWEB/MCDocs/files/College/F_
Publication
s/perConcordiam/pC_V7_SpecialEdition_en.pdf
82
.
83
.
http://www.defenseinnovationmarketplace.mi
l/resources/JV2020_Capstone.
pdf
84
.
http://www.dtic.mil/whs/directives/corres/pdf/853001p.pdf
85
.
http://www.nist.gov/cyberframework/
86
.
http://csrc.nist.gov/cyberframework/rfi_comments_02_2016/20160218_Coal
ition_for_Cybersecurity_Policy_and_Law.pdf
87
.
http://www.heritage.org/research/reports/2013/02/obama
–
s
–
cybersecurity
–
executiveorder
–
falls
–
short
88
.
http://cyber.securityframework.org/blog/11/entry
–
10
–
framing
–
the
–
future/
89
.
http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr
–
scrt
–
strtgy
/index
–
eng.aspx
90
.
https://www.cse
–
cst.gc.ca/en
91
.
http://www.publicsafety.gc.ca/cnt/ntnl
–
scrt/cbr
–
scrt/ccirc
–
ccric
–
en.aspx
92
.
http://www.publicsafety.gc.ca/index
–
eng.aspx
93
.
http://www.getcybersafe.gc.ca/index
–
eng.aspx
94
.
http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ctn
–
pln
–
cbr
–
scrt/index
–
en.aspx
95
.
https://www.dhs.gov/action
–
plan
NECLASIFICAT
NECLASIFICAT
281
din
284
96
.
http://www.publicsafety.gc.ca/cnt/mrgnc
–
mngmnt/rspndng
–
mrgnc
–
vnts/gvrnmnt
–
prtns
–
cntr
–
en.aspx
97
.
http://ww
w.publicsafety.gc.ca/cnt/rsrcs/pblctns/ntnl
–
rspns
–
sstm/index
–
eng.aspx
98
.
http://lois
–
laws.justice.gc.ca/PDF/C
–
23.pdf
99
.
https://www.first.o
rg/members/map#canada
100
.
https://www.first.org/about/mission
101
.
https://www.us
–
cert.gov/
102
.
https://www.cert.gov.uk/
103
.
https://www.cert.gov.au/
104
.
http://www.nato.int/cps/en/natohq/topics_78170.htm
105
.
https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr
–
ncdnt
–
frmwrk/index
–
en.aspx
106
.
http://laws
–
lois.justice.gc.ca/PDF/C
–
23.pdf
107
.
https://www.whitehouse.gov/sites/default/files/rss_viewer/international_str
ategy_for_cyberspace.pdf
108
.
https://fas.org/irp/eprint/dod
–
cyber.pdf
109
.
http://www.anr.gov.ro/docs/legislatie/internationala/Carta_Organizatiei_N
atiunilor_Unite_ONU_.pdf
110
.
http://media.hoover.org/sites/default/files/documents/FutureChallenges_G
oldsmith.pdf
111
.
https://disarmament
–
library.un.org/UNODA/Library.nsf/1c90cfa42bbb0d6985257631004ff541/
663e6453bdaa2e228525765000550
277/$FILE/A
–
C1
–
53
–
3_russia.pdf
112
.
http://scholarlycommons.law.northwestern.edu/cgi/viewcontent.cgi?article
=7260&context=jclc
113
.
http://www.interpol.int/
114
.
https://www.sans.org/reading
–
room/whitepapers/incident/international
–
cybercrime
–
treaty
–
ratificati
on
–
1756
NECLASIFICAT
NECLASIFICAT
282
din
284
115
.
http://thediplomat.com/wp
–
content/uploads/2015/05/thediplomat_2015
–
05
–
21_22
–
14
–
05.pdf
116
.
https://treaties.un.org/doc/Publication/UNTS/Volume%201833/volume
–
1833
–
A
–
31363
–
English.pdf
117
.
https://tr
eaties.un.org/doc/Publication/UNTS/Volume%201363/volume
–
1363
–
I
–
23002
–
English.pdf
118
.
https://www1.umn.edu/humanrts/peace/docs/antarcticnuc.html
119
.
http://www.internetsociety.org/what
–
we
–
do/internet
–
issues/internet
governance?gclid=Cj0KEQjw9IS
–
BRC4qZXagbLs6uMBEiQAYHBh
–
6HxtVU10vCNrLIshn
–
rqRHKyZgnvU968T6HWs6jujIaAodu8P8HAQ
VII
.
REVISTE
1
.
Gândirea Militară Românească
, colec
ția din anii 2012
–
2015.
2
.
Journal of Defense Resources Management
(JoDRM) 2
015
.
3
.
InfoSfera
,
colec
ția din anii 2009
–
2015
.
4
.
Romanian Defence
, colec
ția din anii 2013
–
2015
.
5
.
Impact Strategic
, colec
ția din anii 2002
–
2016
.
6
.
Buletinul Unive
rsită
ții Naționale de Apărare „
Carol I
”
, colec
ția din anii
2004
–
2016.
7
.
MTA Review
, colec
ția din anii 20
07
–
2015
.
8
.
Revista Română de Studii de Intelligence
, numerele 1
–
13
.
9
.
Dan
–
Șuteu Ștefan
–
Antonio
,
l
t.col. instr.sup.drd.,
Apărarea cibernetică în
concepția unor armate moderne
,
Buletinul Universității Na
ționale de
Apărare „Carol I“, s
eptembrie 2015
.
10
.
Hardin Garre
tt,
The Tragedy of the Commons
, Revista Science, Serie Nouă
,
Vol. 162, No. 3859
,
13 De
c. 1968, pp. 1243
–
1248, publicată
de Asocia
ția
Americană
pentru
Științe Avansate.
11
.
Ioniță Liviu
, c
ol.drd.,
Dimensiunea hibridă a conflictului
ruso
–
ucrainean,
Buletinul Uni
versității Naționale de Apărare „Carol I“,
s
eptembrie, 2015
.
NECLASIFICAT
NECLASIFICAT
283
din
284
12
.
Markoff
J
. and Sanger
D.,
Obama Outlines Coordinated Cybersecurity Plan
,
The New York Times, May 2009
.
13
.
Rauhofer
Judith
and Mac Sithigh, Daithi (2014),
The Data Retention
Directive that Never Exis
ted
,
SCRIPTed, 2014, 11(1); Edinbur
gh School of
Law Research Paper.
14
.
Vigna Giovanni, William Robertson, Vishal Kher, Richard A. Kemmerer,
Stateful Intrusion Detection System for World
–
Wide Web Servers
, ACSAC
'03: Proceedings of the 19
th
Annual Computer Secu
rity Ap
plications
Conference, 2003, p
. 34.
VIII
.
DOCUMENTE DE REFERINȚĂ
1
.
Dic
ționarul explicativ al limbii române
, E
di
ția a II
–
a,
Editura Academiei,
Bucure
ști, 1996.
2
.
Dic
ționar enciclopedic ilustrat
, Editura Codex 2000 SRL, București, 1999,
Biblioteca Universită
ț
ii Na
ționale de Apărare „Carol I”, cota 69195.
3
.
ITU TOOLKIT FOR CYBERCRIME LEGISLATION, ITU
–
D ICT,
February 2010 Applications and Cybersecurity Division
.
4
.
NATO Wales Summ
it Guide, NATO Publishing House
,
MATO Office for
Information and Press
,
2014
.
NECLASIFICAT
NECLASIFICAT
284
din
284
Pagină albă
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Teza Eugen Prelucrata 15.02.2018 [632048] (ID: 632048)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.