În mod incontestabil, prosperitatea și libertatea societății contemporane depind într-o proporție covârșitoare de tehnologiile digitale. Avansul așa-numitului „Internet al lucrurilor” (Internet of things) ilustrează tocmai modul în care sistemele și rețelele informatice tind să ne acapareze viața cotidiană. Chiar și recenta ediție a Forumului Economic Mondial de la Davos a stat sub semnul tehnologiilor inovatoare precum inteligența artificială, imprimarea 3D, nano și biotehnologia, vorbindu-se tot mai mult despre „a patra revoluție industrială”. Având una dintre cele mai avansate economii din lume, Uniunea Europeană (UE) nu poate ignora avansul tehnologic și riscurile de securitate pe care le presupune dependența de tehnologia informațională. Mai mult, chiar unele modele de afaceri de succes pornesc astăzi tocmai de la premiza accesului constant la Internet.
În același timp, rețelele și sistemele informatice pot fi afectate într-o măsură tot mai mare de incidente care cresc în amploare, frecvență și complexitate, provocate atât prin atacuri malițioase, cât și prin erori umane, dezastre naturale sau pur și simplu prin eșecuri tehnice. Toată această multitudine de amenințări cibernetice au determinat Uniunea să conștientizeze că un nivel ridicat al securității cibernetice este în măsură să mențină atât încrederea consumatorilor în economia europeană, cât și să consolideze piața internă și creșterea economică.
Ținând cont de această evoluție, instituțiile centrale ale UE și statele membre și-au asumat în ultimii ani o serie de direcții de acțiune pentru consolidarea securității în mediul online european.
Primul pas a constat în elaborarea unor documente programatice care definesc acțiunile UE în domeniul securității cibernetice și al combaterii criminalității cibernetice, înscrise în marja Agendei Digitale a UE. Aceasta din urmă stabilește 7 domenii de acțiune esențiale pentru ameliorarea gradului de reziliență în fața atacurilor cibernetice, domenii ce au în vedere:
– realizarea pieței digitale unice – ținând cont de faptul că tot mai mulți dintre cetățenii europeni își gestionează viața cotidiană cu ajutorul resurselor online, obiectiv pentru care este nevoie de uniformizarea serviciilor digitale de înaltă calitate la nivelul întregii Uniuni;
– stimularea interoperabilității sistemelor informatice și a standardizării tehnologice – pentru ca dispozitivele, aplicațiile, serviciile și rețelele informatice să poată funcționa în orice stat membru UE;
– consolidarea încrederii și a securității online – prin combaterea criminalității cibernetice și a breșelor în securitatea datelor cu caracter personal;
– promovarea accesului nediscriminatoriu la Internet de mare viteză – acesta urmând să fie asigurat tuturor cetățenilor europeni la prețuri accesibile și competitive;
– investiții în cercetare și inovare – pentru o creștere economică sustenabilă, inclusiv prin parteneriate între sectorul public și cel privat;
– promovarea alfabetizării digitale – având în vedere că unii dintre cetățenii europeni nu sunt expuși mediului digital, cu toate că Internetul este tot mai prezent în viața noastră de zi cu zi;
– exploatarea potențialului tehnologiilor IT&C – în domenii precum schimbările climatice, îmbătrânirea populației, digitalizarea conținutului sau sistemele inteligente de transport.
În continuarea principiilor asumate de către UE prin Agenda Digitală, legislația europeană a dobândit în ultimii ani două acte normative de o importanță deosebită, respectiv Strategia de securitate cibernetică a UE și Proiectul Directivei privind securitatea rețelelor și a informației (Network and Information Security/ NIS). Ambele documente au ca obiectiv principal stabilirea măsurilor legale și a stimulentelor necesare pentru ca mediul online din Europa să devină unul dintre cele mai sigure din lume.
O strategie pentru securitatea cibernetică a UE
Adoptată în 2013, Strategia de securitate cibernetică a UE este în primul rând rezultatul conștientizării schimbărilor profunde pe care le-a produs evoluția tehnologică în societățile europene. Spațiul cibernetic deschis și liber a produs deja efecte tangibile în termeni de incluziune socială și politică în întreaga lume, a înlăturat o mare parte din simbolismul frontierelor dintre state, comunități și cetățeni și a permis schimbul liber de idei și informații la nivel global. Mai mult, Internetul a permis crearea unui spațiu de exprimare liberă și de exercitare a drepturilor fundamentale, schimbare vizibilă în fenomene precum Primăvara arabă.
În acest nou context tehnologic, a devenit evident faptul că UE trebuie să aplice inclusiv online valorile și principiile pe care le apără offline, precum respectarea drepturilor fundamentale, a democrației și a statului de drept. Libertatea online necesită un nivel constant de securitate cibernetică, motiv pentru care, în viziunea Strategiei, guvernele statelor membre sunt cele care trebuie să își asume rolul central în protecția împotriva incidentelor și a activităților malițioase. Doar în acest fel ne putem propune garantarea eficientă a drepturilor fundamentale în spațiul cibernetic. Pe de altă parte, Strategia recunoaște rolul important al sectorului privat, care deține sau operează o parte semnificativă a infrastructurilor ce susțin mediul online.
Cu toții conștientizăm faptul că Internetul a devenit coloana vertebrală a creșterii economice. Tehnologia informațională este astăzi una dintre resursele critice de care depind toate celelalte sectoare economice-cheie, precum sistemul financiar, cel energetic și de transport. Mai mult, o mare parte dintre noile modele de afaceri pornesc tocmai de la premiza furnizării neîntrerupte a serviciilor de Internet.
Pe de altă parte, Strategia de securitate cibernetică a UE amintește de faptul că, potrivit „2012 Special Eurobarometer 390 on Cybersecurity”, aproximativ o treime dintre cetățenii europeni nu au încredere în folosirea Internetului pentru servicii bancare sau de cumpărături online. Mai mult, majoritatea cetățenilor europeni evită să își divulge datele personale online din rațiuni ce țin de securitatea cibernetică. Potrivit statisticilor europene, peste 10% dintre utilizatorii europeni au fost deja victime ale fraudelor online.
Cifrele îngrijorătoare ale anvergurii criminalității cibernetice ilustrează tocmai modul în care digitalizarea societăților dezvoltate aduce atât beneficii economice enorme, cât și vulnerabilități neașteptate la adresa unor servicii publice esențiale precum rețelele de apă, sănătatea publică, furnizarea energiei electrice sau telecomunicațiile.
O directivă pentru un mediu online mai sigur
Ca urmare a adoptării Strategiei de securitate cibernetică a UE, în iunie 2013, Comisia Europeană (CE) a demarat procedura de adoptare a unei directive care să asigure un nivel comun de securitate cibernetică în toate statele membre. Practic, Directiva NIS este principala linie de acțiune a Strategiei de securitate cibernetică a UE. Pe lângă încurajarea cooperării dintre statele membre și a gradului de pregătire la nivel național pentru incidente de securitate cibernetică, Directiva își propune să introducă inclusiv obligativitatea operatorilor de infrastructuri critice de a notifica incidentele de securitate către autoritățile naționale competente. Astăzi, o mare parte dintre incidentele NIS nu ajung la cunoștința autorităților și nu pot conduce la adoptarea măsurilor adecvate pentru contracararea amenințărilor cibernetice.
Propunerea de directivă pornește de la două premise îngrijorătoare: pe de-o parte, se poate constata cu ușurință ineficiența demonstrată până în prezent de către mecanismele voluntare de raportare a incidentelor cibernetice în statele membre, iar pe de altă parte, aceleași state membre înregistrează grade diferite de pregătire în privința securității cibernetice.
Mai mult, Internetul nu cunoaște frontiere geografice. În absența limitelor spațiului cibernetic, este lesne de înțeles cum un stat european cu un nivel scăzut de securitate cibernetică poate fi o vulnerabilitate pentru celelalte state membre și chiar pentru Uniune, în ansamblu.
Astfel, fără un mecanism european coerent pentru o cooperare eficientă și pentru un schimb de informații bazat pe încredere, CE estimează că Uniunea va continua să se confrunte cu reglementări necoordonate și cu standarde divergente. În consecință, ne-am putea confrunta în continuare cu un nivel tot mai scăzut al securității cibernetice. Mai mult, fără un nivel adecvat de protecție în fața incidentelor de această natură, este posibilă chiar reapariția unor bariere în interiorul pieței unice europene, fragmentare care va aduce costuri suplimentare pentru cetățenii europeni și pentru companiile care activează în mai multe state membre.
Abstract
The rise of the “Internet of things” and the unavoidable “4th industrial revolution” determine the EU to aim for a better regulation of the cyberspace. As IT networks and systems are increasingly targeted by more frequent, wide and complex incidents, the EU common market can stay functional only through a proper level of cybersecurity.
Given the constant technological evolution and the fact that an increasing number of European start-ups are based on a business model that takes the Internet for granted, the EU has undertaken several steps along the European Digital Agenda. In practice, this approach has led to the adoption of an EU Cybersecurity Strategy and an EU Directive for Network and Information Security (NIS).
Autor: Mihai Dinescu
