În ultimii ani, amenințărilor convenționale le sunt asociate, din ce în ce mai frecvent, cele de tip asimetric, care operează cu strategii și obiective punctuale, în funcție de palierul vizat. Riscurile, vulnerabilitățile, amenințările sau pericolele s-au transformat în acest nou secol, atât din punct de vedere calitativ, cât și cantitativ.
Dintre acestea, se detașează net, încă de la primele dezbateri pe care le-au generat, amenințarea la adresa securității infrastructurilor critice, care a devenit, prin amploarea problematicii abordate și a implicațiilor pe care aceasta le produce în sfera economică, politică și socială, prioritate pe agenda statelor și organizațiilor internaționale.
Articolul vizează două aspecte aflate în dezbaterea comunității internaționale: amenințarea cibernetică la adresa securității și stabilirea de parteneriate public-privat (PPP), în contextul protecției infrastructurilor critice.
Amenințarea cibernetică
Probabilitatea ca rețelele de telecomunicații să fie lovite de un blocaj major, în următorii 10 ani, a fost estimată la 10% până la 20%. Pe fondul dezastrelor naturale, blocării sistemelor informatice, avarierii cablurilor submarine sau acțiunilor umane, cum ar fi terorismul sau atacurile cibernetice, s-au preconizat a fi înregistrate pierderi a căror cifră se ridică la miliarde de euro.
Din această paletă de amenințări menționată, atacurile cibernetice reprezintă o prioritate datorită impactului acestora asupra mai multor sectoare de activitate, aflate într-o relație strânsă de interconectare, prin blocarea plăților electronice, disruperea sau sistarea livrărilor de energie, afectarea sistemelor guvernamentale sau militare de comunicații, a traficului feroviar sau aerian etc.
La nivelul Statelor Unite ale Americii, analiza riscului unui atac cibernetic asupra elementelor de infrastructură critică a demonstrat că evoluțiile înregistrate de amenințarea ce vine din spațiul virtual se situează pe paliere valorice diferite, funcție de impact și resursele necesare procesului de recuperare a pierderilor.
La începutul lunii ianuarie 2010, cei mai importanți comandanți ai Pentagonului s-au reunit pentru un exercițiu de simulare a unui atac cibernetic complex, care ar avea ca obiectiv paralizarea rețelei energetice a Statelor Unite, a sistemelor de comunicații și a celor financiare.
Concluziile exercițiului au fost descurajante, datorită ascendentului de invizibilitate, anonimat și imprevizibilitate al atacatorilor. Cu toate acestea, la începutul lunii noiembrie 2010, conform declarațiilor Pentagonului, Armata americană se declară pregătită pentru un război cibernetic, prin constituirea, implementarea și operaționalizarea unui Comandament cibernetic, în ale cărui atribuții intră protecția a peste 15.000 de rețele militare.
Ministrul britanic al apărării, Nick Harvey, sublinia, în luna noiembrie 2010, faptul că amenințarea reprezentată de atacurile cibernetice este la fel de importantă ca terorismul internațional sau ca dezastrele naturale majore, fapt concretizat prin includerea acesteia în textul Strategiei de Securitate a Marii Britanii, adoptată în martie 2010, alături de terorism sau pandemii.
În ceea ce priveăte Alianța Nord-Atlantică, Noul Concept Strategic, fundament strategic pentru acțiunile statelor membre, recunoaște în mod oficial amenințarea neconvențională la adresa infrastructurilor critice, cum ar fi cea cibernetică. În contextul creșterii numărului și complexității atacurilor de acest tip, precum și a pagubelor materiale produse asupra elementelor sau infrastructurilor critice, Alianța Nord-Atlantică a decis intensificarea demersurilor privind creșterea capabilităților de apărare cibernetică.
Atacurile cibernetice sunt percepute drept amenințări la adresa prosperității, securității și stabilității euroatlantice. Astfel, în sensul protecției sistemelor sale de comunicații împotriva atacurilor din spațiul virtual și a accesului ilegal la informațiile vehiculate la nivelul Alianței și al statelor membre, s-a dispus alocarea suplimentară de fonduri și resurse umane.
Având în vedere aceste aspecte, Alianța anunță, în textul Conceptului Strategic, promovat cu ocazia Summit-ului de la Lisabona, că „va dezvolta capacitatea de prevenire, identificare, apărare și recuperare după incidentele cibernetice, utilizând, în acest sens, procesul de planificare al NATO pentru sporirea și coordonarea capacităților naționale de apărare și protejare cibernetică centralizată a tuturor organismelor aparținând NATO, precum și creșterea nivelului de conștientizare a acestui tip de amenințare, în rândul opiniei publice.”
În același context, Uniunea Europeană și-a intensificat demersurile de armonizare legislativă, în această direcție. În anul 2009, Comisia Europeană a facut apel la reunirea eforturilor privind protecția infrastructurii informatice, prin îmbunătățirea capacității de pregătire și reziliență a UE la atacurile cibernetice, precum și în alte cazuri de distrugere a elementelor aparținând acestui domeniu.
Abordările diferite ale țărilor membre ale Uniunii în această privință pot cauza vulnerabilități suplimentare terților, iar lipsa coordonării acțiunilor comune reduce eficiența măsurilor de contracarare. Prin urmare, Comisia Europeană a solicitat sprijinul Agenției Europene pentru Securitatea Rețelelor și a Informației (ENISA) pentru intensificarea dialogului între părți și creșterea nivelului de cooperare. La mijlocul lunii noiembrie 2010, la nivelul Uniunii Europene a fost organizat, pentru prima dată, un exercițiu de simulare a unui război cibernetic, al cărui obiectiv a fost verificarea integrității și securității serviciilor online din Europa.
La simulare, au participat, pe lânga țările Uniunii, Islanda, Norvegia si Elveția. Conform comisarului european Neelie Kroes, vicepreședinte al Comisiei Europene și responsabilă pentru proiectele și programele derulate în vederea asigurării coerenței pentru Agenda Digitală, exercițiul a reprezentat primul pas important în domeniul colaborării în lupta împotriva amenințărilor din spațiul virtual. Ulterior acestui eveniment, au fost voci din Parlamentul European care au susținut necesitatea înființării unui centru cibernetic care să funcționeze în cadrul Europol.
Parteneriatul public-privat în domeniul securității reprezintă o zonă de interes atât pentru teoreticieni, cât și pentru organizațiile de securitate, precum Organizația Națiunilor Unite și Organizația pentru Securitate și Cooperare în Europa.
Organizația Națiunilor Unite, prin intermediul Institutului Interregional de Cercetări în domeniul Criminalității și Justiției (UNICRI), consideră că PPP poate reprezenta motorul progresului în activitatea părților angrenate, prin asigurarea unui plus de cunoaștere, continuitate și coerență, reducând probabilitatea de apariție și manifestare a riscurilor și a amenințărilor. La nivel internațional, implicarea reprezentanților sectorului priat în demersurile de asigurare a securității a devenit o necesitate.
În acest context, OSCE susține clauza parteneriatelor dintre actorii implicați (instituționali și civici) în asigurarea rezilienței infrastructurilor și a siguranței energetice, pe fondul prognozei de creștere a riscului de atac terorist, în special din partea actorilor non-statali.
În acest demers, statele sunt încurajate să-și evalueze vulnerabilitățile, inclusiv cele cibernetice și modalitățile de abordare a acestei provocări, astfel încât nivelul de risc să fie redus la un prag acceptabil, suportabil din punct de vedere al costurilor pentru intervenție și refacere.
Aceste obiective pot fi îndeplinite pe baza elaborării unei platforme de cooperare eficientă, cladită pe diferite paliere de competențe, responsabilități și expertiză, rezultată din reunirea autorităților cu pondere în arcul interinstituțional, public-privat și internațional, favorizând, în acest fel, implementarea conceptelor de prevenire și protecție.
În context, în ultimii ani, România a înregistrat un parcurs pozitiv în sensul asigurării protecției infrastructurilor critice, reunind eforturi din diferite sectoare de activitate, dintre care se impune a fi menționate: înființarea, în anul 2009, a Centrului de Expertiză în Domeniul Securității Informatice (CERT RO) și adoptarea, în anul 2010, a cadrului legislativ aferent protecției infrastructurilor critice.
Centrul de Expertiză în Domeniul Securității Informatice (CERT RO) este un departament înființat sub autoritatea Ministerului Comunicațiilor și Tehnologiei Informației, în cadrul Institutului Național de Cercetare -Dezvoltare în Informatică.
Acesta reprezintă un centru de excelență în domeniul securității informațiilor, echipamentelor, rețelelor și sistemelor informatice, care reunește experți din mai multe instituții, pentru asigurarea securității spațiului virtual din România.
Prin crearea acestui centru, s-a urmărit crearea unei infrastructuri tehnice, a unui cadru informațional și operațional necesar pentru cooperarea în caz de incident survenit în rețelele IT&C, cu accent pe infrastructura critică, precum și eliminarea sincopelor din procesul educațional al societății, prin elaborarea unui set de informații accesibile și capabile să acopere breșele din educație, în special pe cele care privesc accesarea spațiului virtual.
După cum menționam anterior, în anul 2010, cadrul legal național a fost consolidat prin adoptarea, în concordanță cu Directiva CE 114/ 2008, Ordonanței de Urgență a Guvernului nr.98 cu privire la identificarea, desemnarea și protecția infrastructurilor critice, cu intrare în vigoare la data 12 noiembrie 2010. În cadrul acestei Ordonanțe, Serviciul Român de Informații a fost desemnat, alături de alte instituții, ca autoritate în domeniul tehnologiei informației și a comunicațiilor și în cel al securității naționale.
Acest cadru legislativ dovedește și susține afirmația privind legăturile existente între segmentele aflate în analiză, datorită sedimentării domeniilor de competență, pe structuri implicate.
În acest context, un alt element legislativ de actualitate este reprezentat de Legea nr.178/2010 a parteneriatului public-privat, care are drept scop reglementarea inițierii și realizării de proiecte de PPP pentru lucrări publice în diverse sectoare de activitate, stabilind principiile de bază ale acestui parteneriat.
Competențe ale SRI în domeniul protecției infrastructurilor critice
Din perspectiva atribuțiilor legale de identificare, analiză, prognoză și contracarare a amenințărilor vizând securitatea națională, Serviciul Român de Informații aduce un plus de cunoaștere, consolidându-și poziția de actor principal în prevenirea și combaterea terorismului, a amenințărilor cibernetice și coordonator al activităților de protecție a informațiilor clasificate din zona infrastructurilor critice. SRI fundamentează, în plan intern, dar și extern, prin intermediul parteneriatelor externe, deciziile autorităților responsabile pentru asigurarea protecției acestora, prin integrarea în analize multisursă a informațiilor secrete (HUMINT), a surselor deschise (OSINT) și tehnice (SIGINT), identificând potențialul de risc, vulnerabilități și amenințări din zona securității economice, cibernetice ș.a.
Dar securitatea reprezintă un bun public la care nu mai contribuie doar statul, ci și actorii privați, fapt pentru care parteneriatul între cele două părți este esențial. În vederea îmbunătățirii nivelului de absorbție a termenilor din acest domeniu la nivelul cetățenilor și sensibilizarea acestora față de dubla lor calitate, de beneficiari și furnizori ai stării de securitate națională, Serviciul Român de Informații susține și dezvoltă canale de dialog cu societatea civilă.
Astfel, începând cu anul 2009, SRI derulează un proiect de comunicare publică dedicat protecției infrastructurilor critice, intitulat „Protecția infrastructurilor critice direcție prioritară pentru realizarea securității naționale”, detaliind premisele, specifice acestui domeniu, în realizarea stării de securitate națională.
Concluzie
În contextul interconectării subtile dintre infrastructuri, pe de-o parte, și al conexiunilor acestora cu securitatea națională, pe de altă parte, este prioritară abordarea comprehensivă, reunind activitatea de intelligence, cercetarea și dezvoltarea, cooperarea la nivel național și internațional și deloc în ultimul rând demersurile de promovare a culturii de securitate, concretizată prin dezvoltarea unor parteneriate viabile între autoritățile publice cu responsabilități specializate și sectorul privat.
“Fără construirea unor parteneriate solide public-privat, nu se va putea ajunge la crearea unei adevărate rețele de securitate capabile să protejeze statul și societatea față de atacuri care vin de multe ori din zona non-statală (teroriști, hackeri, crackeri, organizații mafiote etc.)”
Autor: Cristian Iordan
