Anul 1989 a reprezentat, pentru jumătatea estică a Europei, un nou început. Prăbuşirea succesivă a regimurilor comuniste în Polonia, Ungaria, Bulgaria și România a generat un val de schimbări pe întregul continent. Tranziția de la totalitarism la democrație nu a fost ușoară, iar costurile acestui proces se resimt și astăzi. Noile democrații au fost supuse unui proces intens de adaptare la realitățile și ritmul din vestul Europei. Parcursul către occidentalizare a cunoscut diverse impedimente, generate, printre altele, și de decalajul tehnologic, în condiţiile în care atingerea standardelor vestice a fost unul dintre obiectivele principale.
Contribuția popoarelor lipsite, până în 1989, de libertățile fundamentale s-a resimțit și în ceea ce privește viteza cu care s-au dezvoltat tehnologiile momentului. Anul 1989 a reprezentat un punct de cotitură inclusiv din perspectiva domeniului cercetării și inovării, realizând trecerea de la domeniul militar, cu accent pe dezvoltarea de noi arme de distrugere în masă și tehnologii militare, către alte ramuri civile, printre care și domeniul comunicaţiilor şi tehnologiei informaţiilor (IT&C).
Evoluția amenințărilor
În ultimii 30 de ani, prin eforturile depuse, statul român a obţinut încrederea structurilor europene și nord-atlantice. Pentru atingerea acestui obiectiv, instituțiile statului au suferit o serie de reorganizări în vederea conformării la standardele occidentale. Simultan, au apărut noi instituții concepute pentru a răspunde provocărilor create de noile tipuri de amenințări la adresa României.
Schimbarea de regim din decembrie 1989, urmată de aderarea României la Organizaţia Tratatului Atlanticului de Nord (NATO) și Uniunea Europeană (UE), s-a reflectat în numeroase beneficii pentru statul român, din punct de vedere economic, cultural, social, dar și tehnologic. Deschiderea granițelor a permis atât deplasarea românilor în străinătate, cât și pătrunderea în România a capitalului, investițiilor și tehnologiei evoluate a vestului. Noile realităţi au determinat instituțiile statului să acorde o atenție specială inclusiv amenințărilor manifestate în spațiul cibernetic.
Treptat, în ultimele 3 decenii, computerele, internetul, telefoanele mobile și ulterior dispozitivele inteligente au început să ajungă în casele și birourile românilor îndeplinind funcții esențiale în desfășurarea activității unor instituții, organizații și companii. Însă, odată cu acestea, a apărut o nouă ameninţare, de natură cibernetică, venită din partea unor actori statali care urmăresc atingerea unor obiective strategice prin intermediul spațiului cibernetic, din partea grupărilor de criminalitate cibernetică aflate constant în căutarea unor metode de câştig cu eforturi și riscuri minime, dar și din partea unor actori motivați ideologic, promotori ai unor idei, opinii religioase, politice, social-culturale etc.
Adaptarea la noile provocări
Accesul facil la tehnologia informației și comunicațiilor reprezintă una dintre caracteristicile societății moderne. Activitatea derulată la nivel instituțional devine din ce în ce mai dependentă de tehnologie. Aproape toate instituțiile publice funcționează cu ajutorul sistemelor informatice care procesează un volum mare de informații, fie că este vorba de rețele cu circuit închis sau platforme online. Existența vulnerabilităților sistemelor informatice, ce pot fi exploatate de grupări organizate, face ca asigurarea securității spațiului cibernetic să constituie o preocupare majoră. Rolul statului este de a proteja atât utilizatorii individuali, cât și instituțiile. Statutul României de membru NATO și UE presupune asumarea unor responsabilități și adoptarea unor măsuri proactive și reactive menite să descurajeze atacatorii.
O acțiune importantă în acest sens a fost semnarea Convenției de la Budapesta, din 23 noiembrie 2001, la care au participat statele membre ale Consiliului Europei și în cadrul căreia a fost abordată criminalitatea informatică. Documentul prevede colaborarea între statele semnatare în scopul coordonării măsurilor legislative pentru a incrimina infracțiunile cibernetice, precum frauda informatică, falsificarea informatică, interceptarea ilegală sau afectarea integrității sistemelor și datelor.
În România, infracțiunile informatice, precum și infracțiunile contra confidențialității și integrității datelor și sistemelor informatice sunt definite în Legea nr. 161/2003.
Strategia de Securitate Cibernetică a României, publicată în Monitorul Oficial în mai 2013, defineşte conceptele, direcţiile de acţiune şi cadrul instituţional, necesare „asigurării securităţii cibernetice” şi „promovării intereselor, valorilor şi obiectivelor naţionale în spaţiul cibernetic”. În calitate de membră a UE şi NATO, demersurile României sunt armonizate cu iniţiativele acestor organizaţii în domeniul securităţii cibernetice.
Cadrul cooperării la nivel naţional pentru asigurarea securităţii cibernetice, reglementat în Strategie, este reprezentat prin Sistemul Naţional de Securitate Cibernetică (SNSC), descris ca „mecanism unitar de relaţionare şi cooperare interinstituţională”, a cărui misiune este „cunoaşterea, prevenirea şi contracararea ameninţărilor, vulnerabilităţilor şi riscurilor” la adresa infrastructurilor cibernetice. Pentru coordonarea, la nivel naţional, a acţiunilor destinate securităţii spaţiului cibernetic, Sistemul reuneşte autorităţi şi instituţii care au responsabilităţi şi capabilităţi în acest domeniu.
Instituţiile securităţii cibernetice
Între direcţiile de acţiune prevăzute în Strategia de Securitate Cibernetică a României se numără şi dezvoltarea unor entităţi de tip CERT (Computer Emergency Response Team). O astfel de structură, CERT-RO (Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică), a fost înfiinţată prin Hotărârea nr. 271/2013 din 11.05.2011.
Din 1 ianuarie 2019, CERT-RO a devenit Autoritate competentă la nivel național pentru securitatea rețelelor și sistemelor informatice (ANSRSI).
Autoritatea naţională în domeniul cyberintelligence, desemnată de Consiliul Suprem de Apărare a Ţării (CSAT), este Serviciul Român de Informații (SRI) care îşi exercită atribuţiile în acest domeniu prin Centrul Național Cyberint (CNC). Misiunea Centrului constă în cunoaşterea, prevenirea şi contracararea vulnerabilităţilor, riscurilor şi ameninţărilor la adresa securităţii cibernetice a României. De asemenea, CNC contribuie la dezvoltarea culturii de securitate în rândul beneficiarilor şi utilizatorilor promovând măsurile necesare prevenirii, limitării sau stopării consecinţelor agresiunilor cibernetice.
Centrul Național Cyberint contribuie la protejarea unui număr de 54 de instituţii publice împotriva ameninţărilor cibernetice prin Sistemul naţional de protecţie a infrastructurilor IT&C de interes naţional („ȚIȚEICA 1”).
Ca parte a demersurilor de asumare a rolului de furnizor de securitate în flancul estic al NATO, în data de 13 iunie 2019, România a devenit națiune-sponsor la Centrul NATO de Excelență pentru Apărarea Cibernetică prin Cooperare (CCDCoE) de la Tallinn, prin Serviciul Român de Informații și Ministerul Apărării Naționale. Demersurile de aderare au fost inițiate de SRI încă de la începutul anului 2016.
CCDCoE are ca scop consolidarea cooperării, a capabilităților și a schimbului de informații în domeniul securității cibernetice între statele membre NATO. Centrul organizează exerciții cibernetice, seminarii și conferințe pe teme legislative, de policy, precum și cursuri tehnice destinate pregătirii statelor membre pentru identificarea și combaterea atacurilor cibernetice.
Demersuri legislative
În plan legislativ, în iulie 2016 a fost elaborată Directiva UE 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (Directiva NIS). Documentul confirmă preocupările constante pe linia creșterii rezilienței infrastructurilor IT&C aparținând operatorilor de servicii esențiale și furnizorilor de servicii digitale din statele membre. Directiva NIS a fost transpusă în legislația națională prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, intrată în vigoare pe 12 ianuarie 2019.
Tot în domeniul legislativ, trebuie menţionată adoptarea, în aprilie 2016, de către Parlamentul European, a Regulamentului General privind Protecția Datelor Personale – GDPR (UE 679/2016), care conține un set de prevederi direct aplicabile în statele membre începând cu data de 25 mai 2018. Regulamentul se aplică tuturor celor care procesează date cu caracter personal.
În ultimele trei decenii, ritmul rapid de dezvoltare a tehnologiei și fenomenul globalizării au facilitat accesul populației la dispozitive și inovații tehnologice, precum și incorporarea acestora în viața de zi cu zi. Acest lucru a determinat apariția și răspândirea amenințării cibernetice, materializată prin utilizarea tehnologiei pentru obținerea unor avantaje strategice sau economice, promovarea unor idei, influențarea unor procese sociale sau afectarea activității unui stat sau unei instituții.
Astfel, pentru asigurarea unui nivel ridicat de securitate cibernetică, este necesară crearea unui cadru de lucru bazat pe cooperarea între autoritățile responsabile, pe înțelegerea și cunoașterea celor mai noi evoluţii din domeniul IT&C. Toate acestea trebuie să fie consolidate printr-o adaptare continuă a legislației la noii vectori de amenințare.
Abstract
Over the last three decades, the cyber threat has become one of the most persistent and dynamic threats against Romania`s national security, from a quantitative point of view, considering the number of cyber attacks, and also from the complexity of engaged methods. Given the dynamic characteristics of the technological and cyber threats environments, efforts are necessary in terms of developing cooperation between interested and affected entities and in the direction of creating an adapted legal framework.
Autori: Tania Costovici, Cătălin Panait, Cătălina Pisargiac