Comunica experienta
MonitorulJuridic.ro
──────────
Aprobată prin HOTĂRÂREA nr. 1.321 din 30 decembrie 2021, publicată în Monitorul Oficial, Partea I, nr. 2 din 3 ianuarie 2022.
──────────
Având la bază o viziune care ia în considerare experienţa acumulată şi rezultatele obţinute din implementarea Strategiei de Securitate Cibernetică a României şi a Planului de Acţiune la nivel naţional pentru implementarea Sistemului Naţional de Securitate Cibernetică din 2013, noul document are ca scop stabilirea principalelor linii directoare şi a abordărilor generale privind domeniul securităţii cibernetice. Noua Strategie va promova o viziune actualizată, care să vină în ajutorul întregii societăţi: autorităţi şi instituţii ale administraţiei publice şi entităţi private, mediul academic, cetăţeni.
Implementarea şi aplicarea prevederilor Strategiei de către toţi actorii relevanţi va sprijini pe de o parte îndeplinirea obiectivelor naţionale de securitate şi angajamentelor asumate de România la nivel NATO şi UE, iar pe de altă parte va crea premisele necesare dezvoltării mediului de afaceri, economiei naţionale şi zonei educaţionale şi de cercetare.
Noua Strategie se înscrie în demersurile întreprinse la nivel naţional în scopul implementării unui cadru de securitate coerent pe toate dimensiunile vieţii economice şi sociale, sens în care acest document asigură complementaritatea cu documente de natură strategică asumate până în prezent.
Cuprins
1. Introducere
1.1. Sumar
1.2. Context şi importanţa securităţii cibernetice
1.3. Ameninţarea cibernetică la adresa României
1.4. Factori potenţatori ai ameninţării cibernetice
2. Viziunea pentru 2022-2027
3. Principii
4. Obiectivele Strategiei de Securitate Cibernetica a României 2.0
4.1. Reţele şi sisteme informatice sigure şi reziliente
4.2. Cadru normativ şi instituţional consolidat
4.3. Parteneriat public-privat pragmatic
4.4. Rezilienta prin abordare proactivă şi descurajare
4.5. România - actor relevant în arhitectura internaţională de cooperare
5. Concepte, definiţii şi termeni
1. Introducere
1.1. Sumar
Evoluţia rapidă a domeniului tehnologic şi dinamica ameninţării cibernetice sunt condiţii determinante pentru actualizarea şi dezvoltarea permanentă a cadrului normativ şi instituţional pe componenta gestionării ameninţărilor cibernetice şi asigurării securităţii cibernetice.
România este prezentă pe harta ţintelor atacurilor cibernetice, confruntându-se permanent, atât cu atacuri complexe, care au ca scop obţinerea unor avantaje strategice sau a unor beneficii financiare, cu potenţial impact major la adresa securităţii naţionale, societăţii şi economiei, cât şi cu atacuri "clasice", care folosesc malware comun şi exploatează vulnerabilităţi larg răspândite şi cunoscute, şi care, deşi au un potenţial redus de a aduce atingere securităţii naţionale, afectează economia şi societatea.
Un impact major asupra evoluţiilor în modul de abordare a securităţii cibernetice în plan naţional este generat şi de demersurile de la nivelul ONU, NATO şi UE, unde protecţia spaţiului cibernetic reprezintă o prioritate.
Continuând demersul în plan normativ iniţiat prin Strategia de Securitate Cibernetică a României din 2013, Strategia de Securitate Cibernetică a României 2.0 va reprezenta documentul de bază pentru planificarea acţiunilor subsumate securităţii cibernetice a României, în acord cu documentele de natură strategică asumate până în prezent, îndeosebi Strategia Naţională de Apărare a Ţării.
În acest sens, Strategia de Securitate Cibernetică a României, pentru perioada 2022-2027, precum şi a Planului de Acţiune pentru implementarea Strategiei de Securitate Cibernetică a României, pentru perioada 2022-2027 identifică 5 obiective de importanţă naţională a căror implementare conjugată, printr-o coordonare şi cooperare adecvată între autorităţi şi instituţii ale administraţiei publice cu responsabilităţi în domeniu, sectorul privat, mediul academic şi cetăţeni, este menită să consolideze deopotrivă securitatea cibernetică naţională şi rolul României în plan regional, european şi internaţional şi să dezvolte un ecosistem digital performant.
La nivel internaţional pot fi amintite:
1. demersurile UE de implementare a prevederilor noii Strategii de securitate cibernetică a UE pentru decada digitală, Directivei UE privind măsurile de asigurare a unui nivel comun ridicat de securitate a reţelelor şi a informaţiei şi Actului privind Securitatea Cibernetică ,precum şi iniţiativele recente de revizuire a acestora;
2. abordarea NATO care a declarat spaţiul cibernetic ca spaţiu operaţional, a încurajat statele membre să-şi dezvolte capabilităţile de apărare şi descurajare şi a întreprins demersuri pentru revizuirea politicii de apărare în domeniul cibernetic;
3. demersurile la nivel ONU privind definirea şi adaptarea cadrului normativ aferent comportamentului responsabil al statelor în spaţiul cibernetic.
Cele 5 obiective de importanţă strategică pentru 2022-2027 în domeniul securităţii cibernetice sunt:
1. Reţele şi sisteme informatice sigure şi reziliente
2. Cadru normativ şi instituţional consolidat
3. Parteneriat public-privat pragmatic
4. Rezilienta prin abordare proactivă şi descurajare
5. România - actor relevant în arhitectura internaţională de cooperare Măsurile concrete ce trebuie întreprinse pentru atingerea obiectivelor sunt cuprinse în Planul de Acţiune pentru implementarea Strategiei de Securitate Cibernetică a României, pentru perioada 2022-2027 şi reprezintă o responsabilitate comună a tuturor actorilor implicaţi.
1.2. Context şi importanţa securităţii cibernetice
Dezvoltarea continuă a tehnologiilor informaţiilor şi comunicaţiilor şi nivelul din ce în ce mai ridicat de interconectivitate şi interoperabilitate între sisteme contribuie semnificativ la schimbarea percepţiei asupra riscurilor, vulnerabilităţilor şi ameninţărilor provenite din spaţiul cibernetic.
Atacurile cibernetice se află într-o evoluţie continuă, atât din punct de vedere al numărului, cât şi al complexităţii metodelor specifice utilizate. Acestea vizează un număr mare şi o varietate de reţele şi sisteme informatice, de la cele care deservesc persoane fizice, autorităţi şi instituţii ale administraţiei publice sau entităţi private, până la cele care deservesc entităţi a căror activitate se încadrează în ecuaţia securităţii naţionale.
Totodată, atacurile cibernetice, în special asupra serviciilor esenţiale ori a infrastructurilor critice pot avea, datorită interconectivităţii, impact asupra serviciilor furnizate la nivel regional sau internaţional, cu efecte destabilizatoare regionale sau internaţionale, în plan economic şi social, şi cu potenţiale repercusiuni la adresa păcii şi stabilităţii.
Un spaţiu cibernetic sigur este atât responsabilitatea statului, prin autorităţile competente, cât şi a sectorului privat şi a societăţii civile. Consolidarea parteneriatelor între autorităţile şi instituţiile administraţiei publice şi societatea civilă, respectiv mediul privat, precum şi a celor între state şi organizaţii internaţionale este un punct esenţial de atins în obţinerea unui spaţiu cibernetic mondial, deschis şi sigur.
Dezvoltarea accelerată a tehnologiilor şi lipsa unor standarde şi reglementări care să impună producătorilor implementarea conceptului de securizare integrată a acestora, se transpun într-un nivel precar al securităţii cibernetice şi într-un interes sporit al atacatorilor cibernetici. Securitatea cibernetică a tehnologiilor a devenit astfel un aspect de importanţă strategică.
În acelaşi timp, noile tehnologii şi implementarea rapidă a unei interconectivităţi sporite în domenii esenţiale oferă oportunităţi reale de creştere economică şi dezvoltare socială în România, generând evoluţia securităţii cibernetice ca domeniu de afaceri. Tehnologiile emergente, precum internetul obiectelor {Internet of Things), inteligenţa artificială {Artificial Intelligence), tehnicile de învăţare automată {Machine Learning) şi tehnologii de comunicaţii de bandă (5G şi generaţii viitoare), se pot constitui în oportunităţi de lansare a unor investiţii în contextul dezvoltării procesului industriei 4.0, tehnologiei medicale şi mobilităţii 4.0, precum şi al creşterii competitivităţii economice, atât pe plan naţional, cât şi internaţional.
De asemenea, găzduirea la Bucureşti a Centrului de competenţe european industrial, tehnologic şi de cercetare în materie de securitate cibernetică, va avea un rol important în conectarea actorilor relevanţi de la nivel public cu cei din cercetare şi industrie. Centrul va derula investiţiile viitoare ale UE în domeniul securităţii cibernetice, cu sprijinul unei reţele de Centre Naţionale de Coordonare, ce vor fi create sau selectate ulterior de către fiecare stat membru. Mai mult, va fi un catalizator al inovării, cercetării şi colaborării din domeniul securităţii cibernetice şi va contribui decisiv la dezvoltarea ecosistemului în domeniu, atât la nivel european, cât şi naţional.
1.3. Ameninţările cibernetice la adresa României
Pentru a putea stabili obiective şi măsuri adecvate de securitate cibernetică şi de creştere a rezilienţei în raport cu ameninţarea cibernetică este importantă cunoaşterea şi înţelegerea ameninţării la nivelul tuturor actorilor implicaţi, fie ei autorităţi şi instituţii ale administraţiei publice, entităţi private sau societate civilă.
La nivel naţional, ameninţarea cibernetică se situează în prezent pe un trend ascendent, principala provocare la adresa securităţii cibernetice fiind reprezentată de atacurile cibernetice derulate în special de trei categorii de atacatori:
● persoane şi entităţi asociate unor actori statali;
● persoane şi grupări care derulează activităţi de criminalitate cibernetică;
● persoane şi grupări de hackeri cu motivaţie ideologică, politică sau extremist-teroristă.
Atacatorii cibernetici deţin capabilităţi tehnologice şi resurse diferite folosite pentru derularea de atacuri având motivaţii diferite.
O altă provocare la adresa securităţii cibernetice este reprezentată de exploatarea unor reţele şi sisteme informatice de pe teritoriul României pentru utilizarea lor în atacuri cibernetice îndreptate împotriva unor entităţi din alte state. Astfel, atacatorii utilizează elemente de infrastructură de pe teritoriul României, în special pentru crearea de servere de comandă şi control sau pentru crearea unor puncte intermediare în cadrul infrastructurii de atac, care le permit acestora o mai bună anonimizare a activităţilor ostile.
Entităţi asociate unor actori statali
Ameninţarea cibernetică generată de entităţi asociate unor actori statali reprezintă cea mai importantă formă de ameninţare la adresa securităţii cibernetice a României şi are un impact ridicat asupra securităţii naţionale. Ţintele vizate sunt reţele şi sisteme informatice cu valenţe critice pentru securitatea naţională, îndeosebi din domeniul diplomatic, militar, economic şi social.
Atacurile cibernetice derulate de actori statali sunt de regulă de tip Advanced Persistent Threat (APT). Au un nivel tehnologic ridicat, atât în ceea ce priveşte modul de operare, cât şi din punct de vedere al aplicaţiilor malware folosite, actualizate permanent în vederea eludării mecanismelor de detecţie şi menţinerii persistenţei pentru o perioadă îndelungată de timp. Instrumentarul cibernetic folosit de atacatori este divers, adaptat scopurilor operaţionale ale acestora.
În ceea ce priveşte România, atacurile cibernetice derulate de entităţi asociate actorilor statali au vizat reţele şi sisteme informatice ale unor autorităţi şi instituţii ale administraţiei publice, obiectivul principal fiind exfiltrarea de informaţii strategice din domenii de interes. Având în vedere că un astfel de atac are cel mai probabil în spate o entitate adversă României, exfiltrarea unor astfel de informaţii ar putea avea implicaţii majore pentru securitatea naţională, efectele fiind multiplicate exponenţial în plan operaţional, strategic şi de imagine într-un interval de timp ce nu poate fi stabilit.
Motivaţia atacurilor cibernetice derulate de entităţi asociate unor actori statali este una strategică, aceştia urmărind preluarea şi menţinerea sub control a reţelelor şi sistemelor informatice atacate cu scopul de a:
1. exfiltra sau a încerca să exfiltreze informaţii de interes, cu valenţe strategice (spionaj cibernetic)',
2. perturba sau chiar întrerupe funcţionalitatea unor infrastructuri critice de tipul unor facilităţi industriale sau în domeniul serviciilor publice de importanţă strategică (sabotaj cibernetic)'
3. influenţa procese socio-politice pentru a genera dezechilibre la nivelul societăţii.
Grupări de criminalitate cibernetică
Ameninţarea generată de atacurile cibernetice derulate de grupările de criminalitate cibernetică a cunoscut în ultimii ani o amploare deosebită, fapt generat atât de creşterea numărului şi complexităţii atacurilor, cât şi de diversificarea ţintelor vizate.
Motivaţia acestor atacuri este, de regulă, una financiară, obiectivul grupărilor de criminalitate cibernetică fiind reprezentat de obţinerea de beneficii financiare sau de informaţii care să le asigure câştiguri financiare pe viitor.
Referitor la activitatea grupărilor de criminalitate cibernetică, se pot distinge două categorii:
1. Cyber - enabled crime - activităţi care presupun folosirea spaţiului cibernetic pentru îndeplinirea obiectivelor;
2. cyber - dependent crime - activităţi desfăşurate exclusiv în spaţiul
Astfel de atacuri generează pe de o parte riscuri de compromitere a datelor stocate pe aceste sisteme şi de afectare, cel puţin temporară, a activităţii entităţilor respective, iar pe de altă parte pot avea un impact financiar major atât la nivelul entităţilor vizate, cât şi la nivel naţional.
Peisajul autohton a fost dominat în ultimii ani de atacuri cibernetice cu aplicaţii malware de tip ransomware, infostealer sau cryptojacking, care au vizat reţele şi sisteme informatice aparţinând unor autorităţi şi instituţii ale administraţiei publice sau entităţi private. De asemenea, se remarcă intensificarea atacurilor cibernetice din ce în ce mai complexe, inclusiv de tip APT, dedicate exploatării sistemelor informatice din domeniul financiar-bancar.
Grupări de hackeri cu motivaţie ideologică, politica sau extremist-teroristă
Atacurile derulate de aceste tipologii de actori, a căror motivaţie este una ideologică, politică sau extremist-teroristă au în continuare un nivel tehnologic relativ redus şi vizează sisteme cu nivel scăzut de securitate cibernetică.
Exponenţii acestor categorii de atacatori derulează de regulă atacuri cibernetice de tip defacement, Distributed Denial of Service (DDoS) şi SQL Injection pentru a indisponibiliza sau afecta funcţionalitatea unor reţele şi sisteme informatice. Ţintele vizate sunt reprezentate îndeosebi de autorităţi şi instituţii ale administraţiei publice, dar şi de entităţi private sau academice.
Evoluţia acestei ameninţări este una dinamică, potenţată de existenţa unor evenimente pe scena politică şi socială, naţională şi internaţională, care prezintă interes pe agenda grupărilor şi imprevizibilă în cazul în care astfel de atacatori ar obţine acces la capabilităţi tehnologice ridicate pentru a putea exploata eventuale vulnerabilităţi ale unor reţele şi sisteme informatice de interes pentru securitatea naţională.
1.4. Factori potenţatori ai ameninţării cibernetice
Derularea de atacuri cibernetice la adresa reţelelor şi sistemelor informatice este potenţată de factori precum:
1. existenţa unor vulnerabilităţi de ordin tehnologic, procedural şi uman ce se manifestă la nivelul reţelelor şi sistemelor informatice vizate
Succesul unor atacuri cibernetice este asigurat şi prin exploatarea unor vulnerabilităţi care nu au fost remediate. Deseori vulnerabilităţile sunt cunoscute, iar producătorii şi firmele de securitate cibernetică publică atenţionări cu privire la acestea, precum şi soluţii de remediere, însă, pe fondul unui nivel scăzut al culturii de securitate cibernetică a utilizatorilor şi a unei pregătiri deficitare a administratorilor, atacatorii continuă să îşi îndeplinească scopurile prin exploatarea lor.
De asemenea, implementarea deficitară a unor politici de securitate cibernetică, precum şi utilizarea în continuare a unor reţele şi sisteme informatice cu versiuni vechi de software, care nu mai poate fi actualizat sau optimizat din punct de vedere al securităţii cibernetice, creează noi oportunităţi de exploatare pentru potenţialii atacatori cibernetici.
2. disponibilitatea şi accesibilitatea resurselor de hacking
În prezent, instrumente şi cunoştinţe necesare derulării de atacuri cibernetice pot fi obţinute cu uşurinţă din mediul online (platforme de specialitate, forumuri de criminalitate cibernetică. Având în vedere costul scăzut şi accesul facil, de aceste resurse pot beneficia inclusiv persoane cu minime cunoştinţe tehnice, generând, pe de o parte, o creştere cantitativă şi calitativă a atacurilor, şi accentuând, pe de altă parte, dificultatea cu care acţiunile din spaţiul cibernetic pot fi atribuite.
3. nivelul scăzut de cultură de securitate cibernetică şi de igienă în spaţiul cibernetic
Rezilienţa reţelelor şi sistemelor informatice şi capacitatea unei organizaţii de a preveni şi contracara atacurile cibernetice sunt dependente, într-o mare măsură, de gradul de conştientizare cu privire la ameninţarea cibernetică. De asemenea, o bună igienă în spaţiul cibernetic şi o cultură de securitate cibernetică adecvată deţinute de utilizatori se pot transpune proporţional la nivelul instituţiilor, organizaţiilor sau companiilor.
4. insuficienta pregătire şi specializare în domeniul securităţii cibernetice a angajaţilor şi a managerilor
În contextul tehnologiilor emergente şi a evoluţiei rapide a acestora, este dificilă consolidarea unui nivel de pregătire adecvat pentru asigurarea securităţii cibernetice în autorităţi şi instituţii ale administraţiei publice şi entităţi private. Elementul de noutate caracteristic spaţiului cibernetic şi domeniului securităţii cibernetice generează o nevoie constantă de pregătire a personalului. De această pregătire trebuie să beneficieze şi palierul managerial, pentru buna înţelegere a riscurilor de securitate cibernetică, a impactului pe care atacurile cibernetice îl pot avea în raport cu activitatea desfăşurată, dar şi a măsurilor ce trebuie aplicate pentru a evita producerea unor astfel de evenimente cibernetice.
5. carenţe normative şi procedurale
Având în vedere toate provocările din domeniul securităţii cibernetice, cadrul normativ şi procedural trebuie să sprijine autorităţile responsabile în prevenirea, contracararea, investigarea şi diminuarea riscurilor generate prin derularea de atacuri cibernetice la adresa reţelelor şi sistemelor informatice. Totodată, cadrul normativ şi procedural în domeniu trebuie să asigure un mediu organizat şi eficient, atât printr-o abordare cuprinzătoare la nivel guvernamental, cât şi printr-o abordare multi-sectorială.
Cadrul normativ trebuie să respecte obligaţiile care revin României în temeiul dreptului internaţional şi să ofere instrumentele necesare unui nivel ridicat de securitate cibernetică şi de reprezentare adecvată şi coerentă la nivel internaţional.
6. extinderea gamei de dispozitive
Implementarea soluţiilor de interconectare şi dezvoltarea internetului obiectelor, atât la nivel industrial, cât şi la nivelul întregii societăţi, conduc la creşterea şi diversificarea impactului atacurilor cibernetice, care poate consta în daune fizice sau afectarea sănătăţii sau vieţii cetăţenilor.
Prin urmare, la momentul actual, trebuie avute în vedere nu numai daunele produse în spaţiul cibernetic, cauzate de o securitate cibernetică inadecvată a sistemelor proprii, ci şi cele cauzate de ameninţări la adresa sistemelor interconectate, care sunt fundamentale pentru societate.
7. lipsa cadrului de reglementare şi a politicilor de management al riscurilor de natură cibernetică ale lanţului de aprovizionare
Managementul riscurilor de natură cibernetică ale lanţului de aprovizionare trebuie să constituie o prioritate la nivel naţional şi să fie abordat pe întreg ciclul de viaţă al produselor şi serviciilor, începând cu faza de proiectare şi continuând cu dezvoltarea, livrarea, exploatarea, mentenanţa şi scoaterea din funcţiune.
2. Viziunea pentru 2022-2027
România are capacitatea de a detecta atacuri cibernetice la adresa reţelelor şi sistemelor informatice de pe teritoriul naţional şi de a diminua efectele acestora. Viziunea Strategiei de Securitate Cibernetică a României, pentru perioada 2022-2027, precum şi a Planului de Acţiune pentru implementarea Strategiei de Securitate Cibernetică a României, pentru perioada 2022-2027 este ca, în faţa unei ameninţări cibernetice din ce în ce mai complexe, România să îşi dezvolte şi consolideze capabilităţile de prevenire, descurajare şi răspuns, precum şi rezilienţa, inclusiv printr-o abordare proactivă, adecvată cadrului internaţional de cooperare în domeniu.
Acţiunile conjugate ale actorilor implicaţi trebuie să vizeze:
- prevenire şi descurajare - dezvoltarea permanentă a capabilităţilor de detecţie, investigare, combatere şi atribuire a atacurilor cibernetice;
– apărare şi contracarare - dezvoltarea şi implementarea unor capabilităţi eficiente de apărare şi a unor mecanisme proactive, de răspuns la atacuri cibernetice curente şi emergente;
– dezvoltare şi consolidare - creşterea nivelului de securitate cibernetică şi rezilienţă prin:
1. prioritizarea investiţiilor în domeniul securităţii cibernetice;
2. dezvoltarea programelor educaţionale;
3. consolidarea culturii de securitate cibernetică;
4. dezvoltarea cercetării şi inovării în domeniu;
5. definirea şi promovarea unui model naţional de rezilienţă cibernetică;
6. cooperarea la nivel naţional, european şi internaţional.
Filosofia de protecţie în spaţiul cibernetic nu se rezumă numai la proceduri şi măsuri reactive, condiţie necesară, însă nu şi suficientă pentru a face faţă evoluţiilor în domeniul ameninţărilor cibernetice. Noua viziune trebuie să aibă în vedere şi abordări proactive, care permit detectarea ameninţării înainte de a ajunge în reţelele şi sistemele informatice din România şi dezvoltarea unor mecanisme adecvate de răspuns în acord cu respectarea dreptului internaţional. Abordarea se regăseşte în strategiile actuale ale mai multor state partenere şi conferă un cadru mult mai larg de acţiune care să contribuie la prevenirea şi descurajarea ameninţărilor provenite din spaţiul cibernetic şi la asigurarea securităţii cibernetice.
3. Principii
În vederea asigurării securităţii cibernetice a României trebuie respectate următoarele principii:
1. Securitatea cibernetică, parte integrantă a securităţii naţionale extinse, este responsabilitatea tuturor actorilor implicaţi: autorităţi şi instituţii ale administraţiei publice, entităţi private şi cetăţeni
Atacurile cibernetice vizează reţelele şi sistemele informatice de pe teritoriul României, inclusiv cele cu impact la adresa securităţii naţionale. Având în vedere interconectarea şi interdependenţa dintre acestea, precum şi faptul că se află atât în responsabilitatea autorităţilor şi instituţiilor administraţiei publice, cât şi a entităţilor private, securitatea cibernetică poate fi asigurată numai prin cooperare şi dialog.
Gestionarea riscurilor de securitate cibernetică trebuie să devină parte integrantă a specificului organizaţional al fiecărei entităţi, fie ea publică sau privată.
Partajarea oportună a informaţiilor privind riscurile, ameninţările, vulnerabilităţile sau soluţiile de securitate cibernetică, atât la nivel inter-instituţional, cât şi în cadrul parteneriatului public-privat, reprezintă un element cheie al consolidării coerente a rezilienţei reţelelor şi sistemelor informatice naţionale.
Autorităţile guvernamentale cu responsabilităţi în domeniul securităţii cibernetice au, printre altele, rolul de a:
- informa mediul public, mediul privat şi societatea civilă cu privire la importanţa securităţii cibernetice, necesitatea utilizării responsabile a noilor tehnologii sau servicii digitale şi obligaţiile ce revin României prin aplicarea în spaţiul cibernetic a dreptului internaţional existent;
– coordona asigurarea securităţii cibernetice la nivel naţional, prin crearea precondiţiilor necesare şi facilitarea cooperării în acest sens.
Toate entităţile, publice sau private, sunt responsabile pentru asigurarea securităţii cibernetice a reţelelor şi sistemelor informatice pe care le deţin, menţinerea funcţionării normale a serviciilor pe care le oferă şi înglobarea unui nivel de securitate cibernetică ridicat pentru produsele pe care le proiectează şi comercializează.
Nu în ultimul rând, cetăţenii, în calitate de utilizatori finali, trebuie să aibă o responsabilitate civică individuală de asigurare a securităţii cibernetice, în sensul aplicării unei igiene în spaţiul cibernetic, prin promovarea unui comportament responsabil în utilizarea tehnologiilor, a reţelelor şi sistemelor informatice.
2. Securitatea cibernetică sprijină funcţionarea statului şi a societăţii, creşterea competitivităţii economiei naţionale, dezvoltarea capabilităţilor naţionale de cercetare-dezvoltare şi inovare
În ultimii ani, domeniul tehnologiei informaţiilor şi comunicaţiilor are o componentă din ce în ce mai consistentă de securitate cibernetică. Trebuie susţinute iniţiativele de cercetare, inovare şi dezvoltare în domeniul securităţii cibernetice, care se pot constitui în oportunităţi de creştere a competitivităţii economiei naţionale şi de recuperare a unor decalaje economice faţă de alte state, de creare şi menţinere în România a unei resurse umane înalt specializată în domeniul securităţii cibernetice, precum şi de creştere a capabilităţilor naţionale de cercetare-dezvoltare şi inovare.
Se va urmări asigurarea coerenţei între aceste iniţiative şi eforturile de consolidare a rezilienţei cibernetice printr-o coordonare eficientă a politicilor în domeniu.
3. Securitatea cibernetică se bazează pe stabilirea unui cadru normativ adecvat
Actualizarea şi adaptarea constantă a cadrului normativ şi procedural sunt necesare pentru îndeplinirea obiectivelor de securitate cibernetică, având în vedere evoluţia permanentă a tehnologiei şi reglementărilor în materie, de la nivel internaţional.
Dezvoltarea cadrului normativ se va realiza în baza acquis-ului european şi cu luarea în considerare a obligaţiilor ce revin României în temeiul dreptului internaţional, inclusiv în materie de drepturi şi libertăţi ale omului.
4. Securitatea cibernetică este consolidată printr-o cooperare pragmatică la nivel internaţional
Spaţiul cibernetic nu este limitat de graniţe, astfel încât securitatea cibernetică trebuie gândită şi asigurată la nivel internaţional. în acest sens, atingerea obiectivelor naţionale, europene şi internaţionale necesită cooperarea tuturor actorilor implicaţi.
Cadrul normativ la nivel internaţional oferă un set de norme, reguli, principii şi obligaţii de drept internaţional, care stabilesc limitele unui comportament responsabil statal în relaţiile internaţionale.
România trebuie să continue să joace un rol activ şi relevant în structurile şi iniţiativele majore pe plan internaţional legate de acţiunile din domeniul digital şi al securităţii cibernetice şi să îşi consolideze poziţia de centru de excelenţă şi actor relevant pentru securitatea cibernetică europeană şi internaţională.
5. În asigurarea securităţii cibernetice este garantată menţinerea unui spaţiu cibernetic deschis, liber, stabil şi sigur, cu aplicarea deplină a drepturilor omului şi libertăţilor fundamentale şi a statului de drept, precum şi protejarea libertăţilor individuale şi a datelor cu caracter personal.
Asigurarea securităţii cibernetice presupune aplicarea în spaţiul cibernetic a aceloraşi norme şi valori ca în spaţiul fizic şi trebuie să se bazeze pe respectarea, promovarea şi protejarea exerciţiului drepturilor omului şi a libertăţilor fundamentale, în special în ceea ce priveşte libertatea de opinie, libertatea de exprimare, dreptul de a accesa şi de a primi informaţii, precum şi pe protejarea datelor cu caracter personal şi a dreptului la viaţă privată, atât în mediul online, cât şi offline.
Eforturile României în domeniul asigurării şi gestionării securităţii cibernetice vor fi definite în acord cu obligaţiile care decurg din aplicarea în spaţiul cibernetic a dreptului internaţional existent, inclusiv Carta ONU şi dreptul internaţional umanitar şi a normelor vizând un comportament responsabil la nivel de stat în spaţiul cibernetic aferente dezbaterilor la nivelul ONU pentru menţinerea unui spaţiu cibernetic şi al tehnologiei informaţiilor şi comunicaţiilor care să fie deschis, sigur, stabil şi accesibil.
Totodată, o atenţie particulară va fi acordată de către România dezbaterilor la nivel ue în ceea ce priveşte "mediul digital şi drepturile omului" şi "inteligenţa artificială şi drepturile omului".
4. Obiectivele Strategiei de Securitate Cibernetica a României 2.0
4.1. Reţele şi sisteme informatice sigure şi reziliente
Pentru România este prioritară securitatea cibernetică a reţelelor şi sistemelor informatice, îndeosebi a celor din domenii aferente serviciilor esenţiale, precum şi a celor cu valenţe critice pentru securitatea naţională. Menţinerea în parametri optimi a disponibilităţii, continuităţii şi integrităţii şi asigurarea rezilienţei acestora contribuie la susţinerea în condiţii optime a tuturor domeniilor vieţii economice şi sociale.
Autorităţile şi instituţiile administraţiei publice şi entităţile private trebuie să implementeze şi să operaţionalizeze politici de securitate cibernetică adecvate. Acest deziderat presupune inclusiv realizarea de investiţii în domeniul tehnologic şi alocarea de resursă umană cu pregătire de specialitate. Totodată este necesară impunerea şi respectarea unui set de standarde calitative pentru produsele şi serviciile utilizate în cadrul acestor reţele şi sisteme.
Măsuri:
4.1.1. Implementarea de politici şi măsuri de securitate cibernetică
Pentru a putea avea reţele şi sisteme informatice sigure este dezirabilă crearea şi implementarea corectă, de către întregul personal al unei entităţi, a unui set minim de politici şi măsuri de securitate cibernetică. Acestea trebuie să fie adaptabile, permanent corelate cu nivelul ameninţării cibernetice şi cu trendul rapid de dezvoltare al tehnologiilor.
De asemenea, aceste politici trebuie să fie însoţite de implementarea unor planuri de recuperare în caz de atac cibernetic şi de măsuri tehnice şi organizaţionale, menite să contribuie la creşterea atât a capacităţii de reacţie la atacuri şi incidente de securitate cibernetică, cât şi a rezilienţei infrastructurilor.
În plus, este necesar ca fiecare operator de reţele şi sisteme cu impact la adresa securităţii naţionale, inclusiv cei desemnaţi prin legislaţia de transpunere a Directivelor NIS, să elaboreze proceduri de testare şi auditare periodică a nivelului de securitate cibernetică, ca parte integrantă a procesului de evaluare a riscurilor, şi să actualizeze permanent tehnologiile hardware şi software folosite în cadrul infrastructurilor.
În acelaşi timp, autorităţile şi institiuţiile administraţiei publice cu responsabilităţi în asigurarea securităţii cibernetice trebuie să încurajeze şi să susţină implementarea de politici şi măsuri de securitate cibernetică prin crearea unui cadru de lucru unitar, oferirea pregătirii necesare şi coagularea unei comunităţi de experţi în domeniu.
4.1.2. Dezvoltarea capabilităţilor naţionale de detectare, investigare şi contracarare a atacurilor cibernetice
Pentru a avea reţele şi sisteme informatice sigure şi reziliente este necesară dezvoltarea şi adaptarea permanentă a capabilităţilor de detecţie şi investigare. Acest lucru trebuie să fie făcut în concordanţă atât cu evoluţiile tehnologice, cât şi cu schimbările mediului de securitate cibernetică, printr-o cooperare între autorităţi şi instituţii ale administraţiei publice şi entităţi private.
Cunoaşterea obţinută ca urmare a investigaţiilor derulate reprezintă un element important în contracararea şi, ulterior, în atribuirea atacurilor cibernetice.
4.1.3. Alocarea eficientă a resurselor financiare, tehnologice şi umane
Având în vedere diversitatea domeniilor în care se regăsesc reţele şi sisteme informatice şi interconectarea dintre acestea, este importantă promovarea şi conştientizarea în rândul operatorilor, autorităţi şi instituţii ale administraţiei publice sau entităţi private, a necesităţii realizării de investiţii în tehnologii.
Aceste investiţii trebuie să fie susţinute prin demersuri de specializare a personalului din domeniu, care să fie pregătit pentru a:
● înţelege ameninţarea provenită din spaţiul cibernetic;
● cunoaşte evoluţiile din domeniul tehnologic;
● dobândi cunoştinţele necesare pentru o reacţie adecvată în cazul unui atac cibernetic sau a unui incident de securitate cibernetică.
O cooperare permanentă între autorităţile şi instituţiile administraţiei publice cu responsabilităţi în domeniul securităţii cibernetice, precum şi între acestea şi mediul de afaceri şi industrie este dezirabilă în sensul partajării cunoaşterii, de exemplu prin elaborarea de ghiduri de bune practici, recomandări pe domenii de activitate, identificării celor mai bune soluţii de asigurare a protecţiei reţelelor şi sistemelor informatice, precum şi alocării eficiente şi complementare a resurselor.
4.1.4. Consolidarea mecanismului de raportare a incidentelor de securitate cibernetică
Un sistem de management centralizat al incidentelor de securitate cibernetică oferă imaginea de ansamblu asupra ameninţării cibernetice la adresa unei infrastructuri, a unui domeniu de activitate şi chiar a securităţii naţionale. Totodată, un mecanism de raportare eficient contribuie la asigurarea unui răspuns concret la ameninţările provenite din spaţiul cibernetic.
Este necesară elaborarea unui set de măsuri şi mecanisme de raportare a incidentelor, îndeosebi la nivelul entităţilor care operează reţele şi sisteme informatice din domenii aferente serviciilor esenţiale sau cu valenţe critice pentru securitatea naţională. Operatorii trebuie să înţeleagă şi să îşi asume rolul de facto şi atribuţiile care le revin şi să optimizeze fluxul subsumat mecanismului de raportare a incidentelor de securitate cibernetică, în conformitate cu recomandările şi reglementările UE şi cu legislaţia naţională.
4.1.5. Crearea unor mecanisme de certificare, conformitate şi standardizare în domeniul securităţii cibernetice
Calitatea şi nivelul de securitate cibernetică al produselor hardware şi software folosite sunt deosebit de importante pentru menţinerea unor reţele şi sisteme informatice sigure şi reziliente în faţa ameninţărilor cibernetice şi trebuie să prevaleze aspectelor restrictive de ordin bugetar.
În acest sens, este necesară crearea unor mecanisme la nivel naţional de certificare, conformitate şi standardizare în domeniul securităţii cibernetice, care să aibă în vedere un set strict de criterii (tehnice, non-tehnice, inclusiv prin raportare la aspecte ce ţin de securitate naţională) şi care să permită identificarea riscurilor şi vulnerabilităţilor de securitate cibernetică existente la nivelul produselor hardware şi software.
De asemenea, este necesară crearea cadrului normativ şi a mecanismelor necesare astfel încât în cadrul programelor şi proiectelor să fie respectat principiul "securizare din etapa de proiectare", având în vedere că, produsele şi capabilităţile sunt proiectate pentru a corespunde standardelor din domeniul securităţii cibernetice
4.1.6. Securizarea lanţului de aprovizionare
Trebuie menţinută în atenţie securizarea lanţului de aprovizionare, prin impunerea implementării unor mecanisme de securitate cibernetică la toate componentele acestui ecosistem. Este necesară definirea criteriilor de încredere pentru furnizorii de echipamente hardware, software şi servicii, în special pentru sistemele ce ţin de securitatea naţională.
4.2. Cadru normativ şi instituţional consolidat
Pentru diminuarea riscurilor generate de atacuri cibernetice şi consolidarea nivelului de securitate cibernetică a României, este esenţial să fie dezvoltate şi eficientizate formate de cooperare, de nivel strategic, tactic şi operaţional, între toate părţile interesate relevante în domeniu. în plus, este importantă optimizarea relaţionării şi schimbului de informaţii dintre mediul public şi cel privat în vederea asigurării unei conştientizări comune a situaţiei.
Cadrul general de cooperare, reprezentat de Sistemului Naţional de Securitate Cibernetică , denumit în continuare SNSC, prin Consiliul Operativ de Securitate Cibernetică (COSC), a avut rolul de a conştientiza şi cristaliza la nivelul autorităţilor şi instituţiilor administraţiei publice şi societăţii că o condiţie sine qua non în abordarea elementelor de cunoaştere, prevenire, descurajare şi răspuns la ameninţările cibernetice la adresa României o reprezintă cooperarea consolidată la nivelul tuturor actorilor naţionali.
Activităţile în domeniul securităţii cibernetice la nivelul SNSC au demonstrat utilitatea şi viabilitatea acestui mecanism de cooperare la nivel strategic, însă au relevat necesitatea unei consolidări a rolului COSC şi unor abordări tactic-operaţionale flexibile şi eficiente la nivel naţional prin crearea unei entităţi care să asigure arhitectura de cooperare necesară.
Măsuri:
4.2.1. Consolidarea cadrului normativ
Unul dintre principalele elemente care condiţionează îndeplinirea obiectivelor de securitate cibernetică este reprezentat de asigurarea unui cadru normativ adaptat în permanenţă evoluţiilor tehnologice şi armonizat cu reglementările în materie la nivel internaţional. în acest sens, se va urmări modernizarea cadrului legislativ actual şi asigurarea procedurilor şi mecanismelor de cooperare la nivel naţional.
Este necesară adoptarea Legii privind Securitatea şi Apărarea Cibernetică, prin care sunt stabilite: cadrul necesar privind organizarea şi desfăşurarea activităţilor din domeniile securitate şi apărare cibernetică, mecanismele de cooperare şi responsabilităţile autorităţilor şi instituţiilor administraţiei publice cu atribuţii în domeniile menţionate, precum şi alte aspecte relevante.
Elaborarea politicilor, strategiilor, planurilor de acţiune legate de securitatea cibernetică şi punerea lor în aplicare se va realiza de manieră compatibilă cu normele internaţionale de comportament responsabil în spaţiul cibernetic, cu respectarea dreptului internaţional şi cu minimizarea posibilului impact negativ asupra activităţii societăţii civile.
După caz, legislaţia ar trebui să prevadă mecanisme destinate asigurării transparenţei, tragerii la răspundere a persoanelor vinovate de comiterea abuzurilor şi compensării victimelor abuzurilor.
4.2.2. Consolidarea cadrului instituţional
Consolidarea rolului COSC
Consiliul Operativ de Securitate Cibernetică (COSC) rămâne mecanismul de cooperare inter-instituţională, care coordonează unitar, la nivel operaţional, activităţile SNSC. Activităţile, componenţa şi responsabilităţile COSC trebuie stabilite în cadrul Legii privind Securitatea şi Apărarea Cibernetică.
De la înfiinţarea sa, COSC a avut un rol esenţial în susţinerea unor demersuri în domeniul securităţii cibernetice cu impact atât la nivel naţional, cât şi internaţional. COSC trebuie să rămână formatul în care să fie actualizate constant priorităţile, în funcţie de rezultatele obţinute anterior, şi adoptate deciziile care să fie transpuse ulterior în măsuri concrete de nivel procedural, operaţional, tactic şi strategic.
În urma analizei şi evaluării stării de securitate cibernetică la nivel naţional, COSC trebuie să adopte decizii, transpuse în propuneri înaintate Consiliului Suprem de Apărare a Ţării (CSAT), privind nivelurile de alertă cibernetică naţionale, planuri şi direcţii de acţiune, dezvoltare şi investiţii, precum şi linii de mandat referitoare la decizii şi documente de politică externă în domeniul securităţii cibernetice.
În acest sens, pentru o coordonare optimă între deciziile adoptate şi măsurile identificate şi o impulsionare a implementării acestora, este necesar ca activitatea COSC să fie organizată după un calendar prestabilit.
Consolidarea rolului Directoratului Naţional de Securitate Cibernetica
În contextul actual, s-a impus înfiinţarea unei instituţii noi, cea a Directoratului Naţional de Securitate Cibernetică (DNSC), potrivit Ordonanţa de Urgenţă a Guvernului nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică, care a preluat atribuţiile CERT-RO şi care poate face faţă în mod dinamic provocărilor în domeniul securităţii cibernetice prin mecanisme, proceduri şi capabilităţi performante, flexibile şi proactive.
În activitatea derulată, DNSC are în vedere îndeplinirea următoarelor obiective majore:
● asigurarea securităţii, confidenţialităţii, integrităţii, disponibilităţii, rezilienţei elementelor din spaţiul cibernetic naţional civil, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniu;
● asigurarea cadrului de strategii, politici şi reglementări care să susţină implementarea viziunii naţionale în domeniul securităţii cibernetice;
● crearea cadrului naţional de cooperare între instituţii din domeniul public, privat, de educaţie şi cercetare, pentru asigurarea unei viziuni şi abordări realiste, comune şi coerente privitor la securitatea cibernetică a României;
● crearea şi operarea unei platforme naţionale de colaborare care să permită schimbul de informaţii între constituenţi, instituţii ale statului, mediul academic şi mediul privat în domeniul incidentelor, vulnerabilităţilor şi crizelor de natură cibernetică;
● crearea cadrului naţional de certificare în domeniul securităţii cibernetice, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniu;
● crearea cadrului naţional de instruire în domeniul securităţii cibernetice, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniu;
● promovarea şi susţinerea pe plan internaţional a strategiei naţionale în domeniul securităţii cibernetice;
● crearea cadrului naţional destinat evaluării noilor tehnologii şi impactului acestora asupra securităţii cibernetice a României;
● dezvoltarea capacităţii de atragere de fonduri de finanţare pentru realizarea obiectivelor instituţionale;
● elaborarea şi coordonarea planului de management al crizelor de securitate cibernetică la nivel naţional, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniul managementului crizelor, precum şi prin colaborare cu ceilalţi membri permanenţi din COSC.
De asemenea, DNSC reprezintă o interfaţă a instituţiilor membre COSC pentru cooperarea cu societatea civilă, mediul privat şi cel academic, constituindu-se cadrul optim pentru a crea şi dezvolta parteneriate eficiente în domeniul securităţii cibernetice.
4.3. Parteneriat public-privat pragmatic
Un parteneriat public-privat pragmatic, între autorităţi şi instituţii ale administraţiei publice, entităţi private, mediul academic şi de cercetare şi cetăţeni reprezintă o necesitate în condiţiile în care atacurile cibernetice vizează un număr mare şi un spectru larg de reţele şi sisteme informatice.
Pentru a putea preveni materializarea unor atacuri cibernetice este important ca subiectul securităţii cibernetice să fie adus în atenţia întregii societăţi, prin derularea unor programe de conştientizare publică, de creştere a nivelului de cultură de securitate cibernetică şi de promovare a unor măsuri de igienă în spaţiul cibernetic.
De asemenea, un element de interes comun îl reprezintă dezvoltarea şi implementarea unor programe de învăţământ şi formate de pregătire în domeniul securităţii cibernetice.
Toate aceste măsuri generează beneficii economico-sociale majore: existenţa resursei umane calificate şi chiar înalt specializate, capabile să răspundă provocărilor mediului de securitate cibernetică, creşterea contribuţiei industriei tehnologiei informaţiilor şi comunicaţiilor şi de securitate cibernetică la PIB-ul naţional.
Masuri:
4.3.1. Derularea unor programe de conştientizare publică şi de creştere a nivelului de cultură de securitate cibernetică
Este importantă crearea de programe de creştere a nivelului culturii de securitate cibernetică atât la nivelul entităţilor publice şi private, prin campanii specializate derulate de autorităţi şi instituţii ale administraţiei publice cu responsabilităţi, cât şi la nivelul publicului larg, sub forma unor campanii de informare prin programe media, broşuri, website-uri dedicate, ghiduri de igienă în spaţiul cibernetic.
De asemenea, este importantă introducerea unor noţiuni de bază privind igiena în spaţiul cibernetic încă din ciclul primar de învăţământ şi dezvoltarea unor programe educaţionale în domeniul securităţii cibernetice.
Subiectul securităţii cibernetice trebuie adus în atenţia a cât mai mulţi utilizatori, din toate domeniile de activitate {autorităţi şi instituţii ale administraţiei publice, entităţi private, mediul academic şi de cercetare, cetăţeni). Pentru a determina o creştere a nivelului de cultură de securitate cibernetică vor continua să fie organizate, în parteneriat public-privat, o serie de evenimente publice şi dezbateri.
4.3.2. Dezvoltarea de programe educaţionale în domeniul securităţii cibernetice
Autorităţile şi instituţiile administraţiei publice, mediul privat şi cel academic trebuie să conlucreze pentru susţinerea, dezvoltarea şi finanţarea programelor de studii preuniversitare, universitare şi postuniversitare în domeniul securităţii cibernetice, menite să asigure crearea unei mase critice de specialişti în acest domeniu.
Paşi semnificativi au fost deja întreprinşi în zona postuniversitară, iar aceştia trebuie susţinuţi şi continuaţi prin:
- dezvoltarea continuă, prin adaptare şi racordare la evoluţiile domeniului, a programelor de pregătire, inclusiv în etapele premergătoare - studii universitare de licenţă şi preuniversitare;
– pregătirea şi instruirea cadrelor didactice şi consolidarea bazei materiale, prin accesarea de finanţare externă şi prin maximizarea cooperării cu mediul privat.
4.3.3. Derularea unor programe de formare profesională pentru cei care desfăşoară activităţi în domeniul securităţii cibernetice
Este necesară dezvoltarea unor programe de pregătire pentru cei care desfăşoară activităţi în domeniul securităţii cibernetice, în sensul: consolidării nivelului de expertiză tehnică, în raport cu evoluţia ameninţării şi în conformitate cu dezvoltarea tehnologică şi dezvoltării unui comportament profesional eficient în prevenirea, contracararea şi reacţia la atacuri cibernetice şi incidente de securitate cibernetică.
În cadrul Centrului de instruire în domeniul securităţii cibernetice vor fi continuate programele de pregătire continuă a specialiştilor în domeniul securităţii cibernetice, cu precădere administratorii responsabili cu securitatea reţelelor şi sistemelor informatice, a căror afectare poate avea impact negativ la adresa securităţii naţionale. De asemenea, Centrul oferă cadrul adecvat programelor de formare a formatorilor, asigurându-se astfel transferul de cunoştinţe necesar.
4.3.4. Dezvoltarea şi consolidarea cercetării şi inovării în domeniul securităţii cibernetice
Implementarea noilor tehnologii necesită încurajarea cercetării, inovării şi dezvoltării în domeniul securităţii cibernetice pentru a putea beneficia de expertiză şi resursă umană capabilă să facă faţă noilor provocări ce pot apărea.
Prin expertiza şi resursele deţinute, mediul privat poate contribui decisiv la creşterea nivelului de securitate cibernetică la nivelul României, prin conlucrarea cu specialiştii din mediul public şi academic în cadrul unor iniţiative comune sau al unor platforme mixte de cercetare şi inovare în domeniul securităţii cibernetice.
Se va avea în vedere inclusiv susţinerea comunităţii implicate în cercetare şi inovare să formeze reţele la nivel European şi să participe la programe de cercetare, inclusiv prin sprijinirea activităţilor Centrului de competenţe european industrial, tehnologic şi de cercetare în materie de securitate cibernetică.
Totodată, având în vedere că domeniul securităţii cibernetice este unul de interes major pentru organizaţiile internaţionale din care România face parte, este importantă atât creşterea gradului de alocare a resurselor din PIB către acest domeniu, cât şi absorbţia de finanţări pentru dezvoltarea şi consolidarea cercetării şi inovării în domeniul securităţii cibernetice.
4.3.5. Dezvoltarea industriei naţionale de securitate cibernetică
O industrie de securitate cibernetică prolifică şi inovativă reprezintă o necesitate pentru dezvoltarea normală a economiei naţionale într-un viitor marcat din ce în ce mai mult de digitalizare şi evoluţii tehnologice rapide.
Autorităţile şi instituţiile administraţiei publice trebuie să impulsioneze şi să susţină demersuri ale mediului de afaceri şi zonei academice pentru a dezvolta incubatoare de afaceri şi firme noi - start-up - în domeniul securităţii cibernetice.
În sprijinul unui parteneriat public-privat pragmatic şi de succes este important să fie acordate facilităţi fiscale necesare impulsionării domeniului.
De asemenea, trebuie definite şi asumate la nivel naţional mecanisme pentru motivarea, păstrarea şi atragerea în ţară a specialiştilor în domeniul securităţii cibernetice, ceea ce va determina o dezvoltare sustenabilă a acestui domeniu.
4.4. Rezilienţă prin abordare proactivă şi descurajare
În faţa ameninţărilor cibernetice România trebuie:
- să fie pregătită să pună în aplicare toate măsurile proactive necesare, care au ca finalitate asigurarea rezilienţei reţelelor şi sistemelor informatice;
– să deţină capabilităţi şi mecanisme pentru a descuraja atacurile cibernetice care afectează societatea sau interesele naţionale de securitate.
Măsuri:
4.4.1. Dezvoltarea de CERT-uri şi SOC-uri sectoriale*1)
*1) Fără a ne restrânge la acestea
Crearea unor structuri independente, de tip CERT şi SOC, în domenii aferente serviciilor esenţiale, va avea un rol important pentru o mai bună cunoaştere atât a ameninţării, cât şi a vulnerabilităţilor şi deficienţelor dintr-un anumit domeniu şi va putea genera măsuri adecvate, a căror implementare să asigure rezilienţa reţelelor şi sistemelor informatice.
Totodată, astfel de entităţi vor reprezenta un centru de expertiză cibernetică pentru un anumit domeniu şi vor avea un rol important prin:
- crearea de norme şi proceduri unitare în domeniul securităţii cibernetice pentru toţi operatorii de reţele şi sisteme informatice dintr-un anumit domeniu;
– transfer de expertiză şi bune practici între operatorii de reţele şi sisteme informatice asociaţi aceluiaşi domeniu.
Demersul înfiinţării CERT-urilor şi SOC- urilor sectoriale poate reprezenta atât o iniţiativă naţională, însă poate fi pusă în practică şi în domeniul privat. Totodată, iniţiativa înfiinţării unor astfel de structuri poate face obiectul unor proiecte cu finanţare europeană.
4.4.2. Derularea de exerciţii cu aplicabilitate practică ridicată
Exerciţiile de securitate cibernetică de acest tip au un rol proactiv în asigurarea rezilienţei, reprezentând cadrul în care pot fi testate şi îmbunătăţite: capabilităţile de rezilienţă şi răspuns, mecanismele de intervenţie rapidă, procedurile de cooperare în cazul unor atacuri cibernetice sau incidente de securitate cibernetică.
În continuarea demersurilor începute la nivel naţional, autorităţile şi instituţiile administraţiei publice cu responsabilităţi în domeniul securităţii cibernetice sunt încurajate să organizeze şi să coordoneze, în cooperare cu mediul privat şi academic, exerciţii naţionale şi internaţionale de securitate cibernetică şi răspuns la incidente.
4.4.3. Dezvoltarea unor capabilităţi proactive, reactive şi de descurajare
Pentru asigurarea securităţii şi apărării cibernetice a României este important să fie dezvoltate atât capabilităţi proactive, care să permită cunoaşterea anticipativă a ameninţării, cât şi capabilităţi de răspuns ofensiv, în mod individual sau ca parte dintr-o coaliţie, în caz de atacuri cibernetice care contravin dreptului internaţional. în acest sens, se va urmări alocarea de resurse umane şi tehnologice, caracterizate prin flexibilitate şi adaptabilitate, în acord cu normele aplicabile la nivel naţional şi internaţional privind comportamentul responsabil al statelor în spaţiul cibernetic, prin a căror desfăşurare să fie descurajată activitatea actorilor cibernetici ostili intereselor naţionale, europene şi aliate.
România trebuie să devină o ţintă dificil de atacat în spaţiul cibernetic. Acest deziderat poate fi atins inclusiv prin dezvoltarea unor capabilităţi de securizare şi descurajare care să determine costuri ridicate pentru atacatori.
4.5. România - actor relevant în arhitectura internaţională de cooperare
Având în vedere că ameninţarea cibernetică nu cunoaşte graniţe, va fi urmărită angajarea României în acţiuni coordonate şi eficiente la nivel internaţional pentru:
- abordarea şi modelarea evoluţiilor spaţiului cibernetic în vederea asigurării şi promovării unui internet global, liber, deschis, stabil şi sigur şi a unui comportament responsabil al statelor în spaţiul cibernetic;
– dezvoltarea şi operaţionalizarea unor mecanisme eficiente de cooperare la nivel internaţional, atât în cadrul organismelor şi organizaţiilor internaţionale din care ţara noastră face parte, cât şi în dialogul bilateral cu state partenere care deţin capabilităţi pe zona securităţii cibernetice.
Activitatea României în cadrul organismelor şi organizaţiilor internaţionale din care face parte, contribuţia activă la promovarea şi implementarea iniţiativelor şi politicilor în domeniul securităţii cibernetice, consolidarea unei participări active în dialogul cu partenerii strategici în domeniu, coroborat cu evoluţiile înregistrate în plan economic, social şi tehnologic în domeniul securităţii cibernetice la nivel naţional, reprezintă factori potenţatori pentru consolidarea rolului României de actor relevant în arhitectura internaţională de cooperare în domeniul securităţii cibernetice.
Masuri:
4.5.1. Consolidarea rolului României la nivel global
La nivel global, România va urmări menţinerea unui angajament favorabil promovării noţiunii de spaţiu cibernetic global, deschis, stabil şi sigur, unde drepturile omului, libertăţile fundamentale şi ordinea de drept se aplică pe deplin.
În susţinerea acestui rol, România va apela la instrumente de diplomaţie cibernetică, în special prin:
- angajament în procesele de stabilire a normelor în organizaţiile cu vocaţie globală, precum ONU, prin sprijinirea promovării şi implementării cadrului normelor de comportament responsabil statal în spaţiul cibernetic, a modului de aplicare a dreptului internaţional în spaţiul cibernetic, a creşterii încrederii între state şi a capacităţii acestora;
– participarea activă la dialog şi consultări cu partenerii strategici la nivel internaţional şi în cadrul iniţiativelor internaţionale;
– promovarea participării la consultări şi iniţiative internaţionale a mai multor părţi interesate şi actori diferiţi, inclusiv sectorul public şi privat, precum şi societatea civilă şi mediul academic pentru a adresa acest domeniu la nivel multisectorial şi multidisciplinar.
4.5.2. Consolidarea rolului României la nivel regional şi pe plan bilateral
În calitate de membru al UE şi al organizaţiilor de tip regional (OSCE, NATO, Consiliul Europei), se va urmări consolidarea poziţiei României de actor activ în acest domeniu prin promovarea de măsuri destinate să conducă la:
- dezvoltarea şi implementarea noii Strategii de securitate cibernetică a UE pentru decada digitală şi susţinerea acordării unei atenţii sporite securităţii cibernetice la nivelul Politicii Externe şi de Securitate Comună a UE;
– aplicarea şi implementarea măsurilor prevăzute în EU Cyber Diplomacy Toolbox;
– operaţionalizarea măsurilor de creştere a încrederii între state ("Confidence Building Measures" - CBMs) la nivel OSCE;
– dezvoltarea în continuare a politicii de apărare cibernetică a NATO, consolidarea rezilienţei Alianţei în întregime şi a aliaţilor, a capabilităţilor cibernetice de descurajare şi apărare.
România va urmări să îşi consolideze relaţiile de cooperare cu state cu viziuni strategice congruente şi să fructifice oportunităţile de nivel strategic care să o transforme în centru european de expertiză în domeniul securităţii cibernetice, inclusiv prin sprijinirea activităţilor Centrului de competenţe european industrial, tehnologic şi de cercetare în materie de securitate cibernetică de la Bucureşti.
Asocierea mai multor state şi organizaţii partenere în atribuirea unui atac şi comunicarea publică a sursei sau a responsabilităţii atacului, îndeosebi în cazul acţiunilor ofensive coordonate sau sponsorizate de actori statali, are efecte în planul afectării reputaţiei internaţionale a atacatorului şi descurajării adversarului în continuarea acestui tip de acţiuni, în sensul limitării comportamentului ofensiv al acestora şi consolidării securităţii cibernetice colective.
În contextul promovării şi implementării cadrului ONU de comportament responsabil statal în spaţiul cibernetic şi a EU Cyber Diplomacy Toolbox, România va urmări, de asemenea, promovarea principiului de "descurajare cibernetică" prin valorificarea oportunităţilor oferite de posibilitatea de raliere la iniţiative de tip condamnare publică în caz de atribuire a unui atac cibernetic.
4.5.3. Consolidarea rolului diplomaţiei cibernetice
România acordă o importanţă ridicată activităţilor subsumate diplomaţiei cibernetice. Interesul naţional cu privire la securitatea cibernetică poate fi sprijinit şi promovat la nivel internaţional printr-o diplomaţie cibernetică proactivă şi prin poziţionarea reţelei diplomatice într-o manieră coordonată ce va asigura managementul optim al resurselor disponibile.
Se va urmări crearea unei poziţii de reprezentare diplomatică de nivel înalt, pentru securitate cibernetică, cu rol activ în coordonarea eforturilor României de reprezentare internaţională, în probleme aferente aspectelor la nivel de strategii, reglementări, standarde, conflicte şi practici de securitate cibernetică.
Activitatea va fi sprijinită de autorităţile competente în domeniul securităţii cibernetice pentru asigurarea coordonării şi a dialogului interinstituţional în vederea asigurării unei reprezentări adecvate şi a unui mesaj coerent în acţiunea externă a României, printr-o diplomaţie cibernetică eficientă.
De asemenea, se va urmări consolidarea capacităţii de acţiune în domeniul politicilor de securitate cibernetică la nivelul misiunilor diplomatice ale României în capitalele statelor partenere şi al reprezentanţelor permanente la nivelul UE, NATO şi ONU.
4.5.4. Consolidarea capacităţii de transfer de expertiză la nivel regional
Este importantă dezvoltarea unor relaţii de cooperare în domeniul securităţii cibernetice la nivel regional în vederea consolidării nivelului de securitate cibernetică şi atingerii obiectivului de a deveni un lider regional în domeniu.
În acest sens, România va avea un rol activ prin demararea unor proiecte şi iniţiative cu impact regional dedicate securităţii cibernetice, prin care autorităţi şi instituţii ale administraţiei publice din România cu responsabilităţi în domeniul securităţii cibernetice, în parteneriat cu mediul privat şi academic, să asigure transfer de cunoştinţe şi expertiză în acest domeniu către statele din regiune în susţinerea dezvoltării strategiilor de securitate cibernetică, legislaţiei, instituţiilor, cercetării, proiectelor şi programelor de pregătire în domeniu şi iniţiativelor regionale în acest sens, precum şi sprijin în caz de atac cibernetic.
România va urmări să servească drept punct de referinţă pentru consolidarea în regiunea est şi sud-est europeană a cadrului normativ internaţional şi respectarea valorilor democratice în mediul online şi offline.
5. Concepte, definiţii şi termeni
- Ameninţare cibernetică - orice circumstanţă, eveniment sau acţiune potenţială care ar putea cauza daune sau perturbări la nivelul reţelelor şi al sistemelor informatice, precum şi la nivelul utilizatorilor unor astfel de sisteme şi al altor persoane sau care poate avea un alt fel de impact negativ asupra acestora;
– Advanced Persistent Threat (APT) - atac cibernetic complex, ce utilizează resurse importante, precum şi tehnici, tactici şi proceduri avansate pentru a exfiltra date de interes strategic şi pentru a rămâne neobservat o perioadă îndelungată de timp;
– Atac cibernetic - acţiune ostilă desfăşurată în spaţiul cibernetic de natură să afecteze securitatea cibernetică;
– Audit de securitate cibernetică - activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unor reţele şi sisteme informatice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora;
– CERT (Echipă de răspuns la incidente de securitate cibernetică) - entitate organizaţională specializată care dispune de capacitatea necesară pentru prevenirea, analiza, identificarea şi reacţia la incidentele cibernetice;
– Cryptojacking - utilizarea neautorizată a resurselor unui alt dispozitiv pentru minarea de monedă virtuală;
– Defacement - atac asupra unui website care constă în înlocuirea neautorizată a interfeţei acestuia prin exploatarea unor vulnerabilităţi ale serverului ce îl găzduieşte;
– Diplomaţie cibernetică - acţiunile diplomatice desfăşurate în scopul promovării, susţinerii, apărării şi protejării, prin dialog internaţional şi cooperare cu ţările partenere şi organizaţiile internaţionale a unui spaţiu cibernetic global, deschis, liber, stabil şi sigur, în care drepturile omului, libertăţile fundamentale şi statul de drept se aplică pe deplin pentru bunăstarea socială, creşterea economică, prosperitatea şi integritatea societăţii libere şi democratice şi care contribuie la prevenirea conflictelor, atenuarea ameninţărilor la adresa securităţii cibernetice şi la o mai mare stabilitate în relaţiile internaţionale;
– Distributed Denial of Service (DDoS) - atac prin care se urmăreşte indisponibilizarea, blocarea sau epuizarea resurselor unui sistem informatic, reţea sau componentă a acesteia;
– Igienă în spaţiul cibernetic - aplicarea unui set de practici şi deprinderi în materie de securitate cibernetică, necesare pentru desfăşurarea în siguranţă a activităţilor zilnice întreprinse de utilizatori;
– Incident de securitate cibernetică - eveniment survenit în spaţiul cibernetic care perturbă funcţionarea uneia sau mai multor reţele şi sisteme informatice şi ale cărui consecinţe sunt de natură a afecta securitatea cibernetică;
– Infostealer - aplicaţie malware utilizată pentru a fura informaţii (cel mai des credenţiale de autentificare) dintr-un sistem informatic compromis;
– Malware - software realizat pentru a deteriora sau a se infiltra într-un computer sau reţea de computere, fără acordul sau cunoştinţa proprietarului, pentru a îndeplini scopuri nelegitime;
– Politici de securitate cibernetică - principii şi reguli generale necesar a fi îndeplinite pentru asigurarea securităţii reţelelor şi sistemelor informatice;
– Ransomware - formă de software nelegitim care restricţionează accesul şi utilizarea dispozitivului până când este plătită o recompensă;
– Reţele şi sisteme informatice - infrastructuri de tehnologia informaţiei şi comunicaţiilor, constând în echipamente, aplicaţii şi reţele de comunicaţii digitale;
– Rezilienţă în spaţiul cibernetic - capacitatea unei reţele sau sistem informatic de a rezista unui incident sau atac cibernetic şi de a reveni la starea de normalitate;
– Risc de securitate cibernetică - probabilitatea ca o ameninţare să se materializeze, exploatând o vulnerabilitate specifică reţelelor şi sistemelor informatice;
– Securitate cibernetică - stare de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi non-repudierea informaţiilor în format electronic a resurselor şi serviciilor publice sau private din spaţiul cibernetic;
– SOC (Centru Operaţional de Securitate) - echipă de experţi în securitate cibernetică, ce are rolul de a monitoriza, analiza şi răspunde la incidentele de securitate cibernetică;
– SQL (Structured Query Language) injection - tehnică utilizată de atacatorii cibernetici, prin care se urmăreşte exploatarea vulnerabilităţilor unui website şi inserarea unui script de tip SQL;
– Vulnerabilitate în spaţiul cibernetic - slăbiciune în proiectarea şi implementarea reţelelor şi sistemelor informatice sau a măsurilor de securitate aferente, care poate fi exploatată de către o ameninţare.
Prezenta strategie naţională se implementează prin Planul de Acţiune pentru implementarea Strategiei de Securitate Cibernetică a României, pentru perioada 2022-2027, prevăzut în anexa care face parte integrantă din aceasta.
-------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect: