Un prim pas în asigurarea securitatii informatiilor vehiculate la nivelul sistemului informational global consta în el 111d31b aborarea unei strategii de securizare a infrastructurilor de importanta vitala.
Infrastructura oricarei natiuni este compusa din institutii publice si private din sectoarele agricol, alimentar, apa, sanatate publica, transport, finante si banci, industria chimica si a altor substante speciale, servicii postale si maritime. Sistemul central al acestei infrastructuri îl constituie spatiul cibernetic - de mii de calculatoare interconectate, servere, rutere, comutatoare (switch-uri), precum si din cablurile de fibra optica ce permit infrastructurii principale sa fie perfect interconectata. Astfel, functionarea sanatoasa a spatiului cibernetic este esentiala pentru orice economie si pentru securitatea nationala [8].
Fiecare tara este nevoita sa-si dezvolte o strategie proprie de securizare a spatiului cibernetic, având în vedere explozia pe care a înregistrat-o utilizarea retelelor informatice globale. În momentul actual, eforturile nu trebuie orientate numai catre spatiul cibernetic al natiunii, ci trebuie conjugate la nivel global, având în vedere ca s-a ajuns la un grad destul de ridicat al depedentei functionarii întregii infrastructuri de functionare retelei globale. Riscurile securitatii informatiilor sunt mult mai mari, sunt la nivel global. Prin atacarea unei retele nationale este afectata reteaua globala.
Securizarea spatiului cibernetic este o misiune strategica dificila, care necesita coordonarea si concentrarea eforturilor întregii societati, guvernele fiind nevoite sa lucreze împreuna la identificarea amenintarilor, a vulnerabilitatilor sistemelor, precum si la stabilirea masurilor de îmbunatatire a securitatii spatiului cibernetic.
Viteza cu care se realizeaza atacurile din spatiul cibernetic, anonimatul lor le fac greu de atribuit unor actiuni teroriste, criminale sau la nivel de stat - sarcina ce apare deseori dupa ce s-a înfaptuit atacul. De aceea, elaborarea si aplicarea unor strategii nationale si internationale de securizare a spatiului cibernetic poate ajuta la reducerea vulnerabilitatii în fata atacurilor devastatoare declansate împotriva infrastructurilor informationale critice sau a averilor/bunurilor fizice care stau la baza acesteia.
Plecând de la exemplul american, care aplica deja o Strategie Nationala de Securizare a Spatiului Cibernetic, se pot identifica obiectivele strategice care ar trebui avute în vedere de orice natiune în acest domeniu:
prevenirea atacurilor cibernetice împotriva infrastructurilor critice;
reducerea vulnerabilitatii nationale în fata atacurilor cibernetice;
minimizarea daunelor si a timpului de reconstituire a sistemului în urma eventualelor atacuri cibernetice, daca apar.
Economia si securitatea nationala sunt total dependente de tehnologiile informationale si de infrastructura informationala. În centrul infrastructurii informationale, de care depinde omenirea, se afla Internetul, un sistem conceput initial pentru folosirea în comun a cercetarilor neclasificate între oamenii de stiinta care nu erau suspectati de folosirea abuziva a retelei. Este acelasi Internet care astazi conecteaza milioane de calculatoare din diferite retele, rezolvând cele mai multe servicii de baza ale natiunilor si conducând la functionarea infrastructurilor.
Aceste retele de calculatoare, de asemenea, controleaza obiecte fizice, cum sunt transformatoarele electrice, trenurile, statiile de pompare, containerele chimice, radarele, bursele de valori - toate existând dincolo de spatiul cibernetic.
O mare varietate de actori rau intentionati pot declansa atacuri împotriva structurii informationale critice. Unii deja au facut-o. O preocupare majora trebuie sa fie orientata spre atacurile cibernetice organizate, capabile sa cauzeze destabilizarea infrastructurii Nationale critice, a economiei sau a securitatii nationale. Complexitatea tehnica solicitata pentru înfaptuirea unui astfel de atac este destul de ridicata si, partial, explica de ce înca nu s-au înregistrat astfel de atacuri pâna acum. Totusi, nu trebuie sa fim prea încrezatori. Au fost cazuri în care atacantii organizati au exploatat unele vulnerabilitati care ne-au demonstrat ca dispun de capacitati distructive si mai mari. Incertitudinea exista, precum si intentia si performantele tehnice necesare, dupa cum au dovedit-o câteva atacuri anterioare. Analizele amenintarilor cibernetice sunt strict necesare pentru identificarea tendintelor pe termen lung ale amenintarilor si vulnerabilitatilor. Ceea ce se stie este faptul ca instrumentele si metodologiile înfapturii atacurilor sunt larg raspândite, iar capacitatile tehnice si complexitatea utilizatorilor porniti pe provocarea unui adevarat dezastru se afla în crestere.
Pe timp de pace, dusmanii pot declansa acte de spionaj asupra guvernului, centrelor de cercetare stiintifica universitara si companiilor private. De asemenea, ei încearca sa pregateasca terenul pentru administrarea loviturilor din spatiul cibernetic în cazul unei confruntari, prin cartografierea sistemelor informationale ale unui stat, identificând principalele tinte si plasând în infrastructura nationala porti ascunse de intrare si alte mijloace de acces. Pe timp de razboi sau criza, adversarii vor încerca sa intimideze liderii politici nationali prin atacarea infrastructurilor critice si a functiilor de baza ale economiei sau erodarea încrederii publice în sistemele informationale.
Atacurile cibernetice asupra retelelor informationale ale oricarei tari pot avea consecinte grave, cum ar fi întreruperea functionarii unor componente cheie, provocarea pierderilor de venituri si proprietati intelectuale sau chiar pierderea vietilor omenesti. Contracararea unor astfel de atacuri necesita realizarea unor componente riguroase cum înca nu exista în prezent, daca se doreste reducerea vulnerabilitatilor si prevenirea sau diminuarea fortei capacitatilor îndreptate împotriva infrastructurilor critice.
În general, sectorul privat este cel mai bine structurat si echipat pentru a raspunde la un eventual atac cibernetic. Privind în interior, asigurarea continuitatii activitatii guvernului presupune asigurarea sigurantei propriei sale infrastructuri cibernetice si a activelor necesare pentru atingerea misiunii si exercitarea serviciilor. Pe plan extern, rolul unui guvern pe linia securitatii cibernetice este acela al garantarii cazurilor în care costurile tranzactiilor sunt ridicate sau atunci când barierele legale conduc la probleme ce necesita o coordonare deosebita; cazurile în care guvernele opereaza în absenta fortelor sectorului privat; cresterea constientizarii.
Angajarea parteneriatului public-privat este componenta de baza a strategiei de securizare a spatiului cibernetic. Acesta este adevarul din câteva motive. Parteneriatul se confrunta cu problema coordonarii. Partenerii pot îmbunatati, în mod semnificativ, schimbul de informatii si cooperarea. Angajamentul public-privat va lua o mare varietate de forme si se va adresa constientizarii nevoii de instruire, performantelor tehnologice, remedierii vulnerabilitatii si operatiunilor de reconstituire a sistemului.
Rolul guvernului în aceste cazuri si în altele este justificat doar atunci când beneficiile interventiei depasesc costurile asociate. Acest standard este important doar în cazurile în care exista solutii viabile din partea sectorului privat pentru remedierea potentialelor amenintari si vulnerabilitati. Pentru fiecare caz, trebuie sa se acorde atentie costurilor si impactului unei actiuni anume a guvernului, comparativ cu alte actiuni complementare, non-actiuni, luând în considerare si solutiile prezente si viitoare ale sectorului privat.
Actiunile guvernamentale de securizare a spatiului cibernetic sunt justificate din mai multe motive: al jurisdictiei si încadrarii atacurilor, protectiei retelelor si sistemelor critice pentru securitatea nationala, al recomandarilor si atentionarilor, precum si al protectiei împotriva atacurilor organizate capabile sa produca daune economiei. Activitatile institutiilor guvernamentale trebuie, de asemenea, sa sustina cercetarea si dezvoltarea tehnologica pentru a permite sectorului privat sa asigure o mai buna securizare a unei parti din infrastructura principala a natiunii.
Ca orice strategie, si cea de securizare a spatiului cibernetic ar trebui sa-si defineasca o serie de prioritati, care, potrivit guvernului american, ar putea fi:
un sistem national de raspuns pe linia securitatii spatiului cibernetic;
un program national de reducere a vulnerabilitatii si amenintarilor securitatii spatiului cibernetic;
un program national de instruire si constientizare privind securitatea spatiului cibernetic;
securizarea spatiului cibernetic guvernamental;
securitatea nationala si cooperarea internationala privind securitatea spatiului cibernetic.
Prima prioritate vizeaza îmbunatatirea raspunsului la incidentele cibernetice si la reducerea potentialelor daune produse de astfel de evenimente. Prioritatile a doua, a treia si a patra vizeaza reducerea amenintarilor si vulnerabilitatilor în fata potentialelor atacuri cibernetice. A cincea prioritate este de prevenire a atacurilor cibernetice care pot avea impact asupra activelor nationale de securitate si de îmbunatatire a managementului international al raspunsurilor la astfel de atacuri.
La nivelul României, în ultimii ani, au început sa apara din ce în ce mai multe reglementari legislative privind protectia si securitatea informatiilor. Lucrurile s-au schimbat odata cu proliferarea si pe teritoriul tarii a tehnologiilor informationale si de comunicatii, care au eliminat barierele de timp, spatiu si localizare a prelucrarii, stocarii si transmiterii informatiilor. Chiar daca sunt înca multe lacune în aceasta privinta, se poate spune ca este un început bun pentru trecerea României la societatea informationala si a cunoasterii.
Printre cele mai importante legi care reglementeaza, direct sau indirect, protejarea informatiilor, mecanismele de prelucrare, stocare si transmitere, se pot enumera:
Legea 51/1991 privind siguranta nationala a României;
Ordonanta de Guvern 124/2000 pentru completarea cadrului juridic privind dreptul de autor si drepturile conexe, prin adoptarea de masuri pentru combaterea pirateriei în domeniile audio si video, precum si a programelor pentru calculator. Ordonanta este prezentata la paragraful drepturilor de autor;
Legea 455/iulie 2001 privind semnatura electronica;
Legea 544/2001 privind accesul la informatia publica;
Legea 676/2001 privind prelucrarea datelor cu caracter personal si protectia vietii private în sectorul telecomunicatiilor;
Legea 677/21 noiembrie 2001 privind protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date;
Legea 682/2001 privind ratificarea Conventiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981;
Ordinul Ministerului Finantelor Publice 875/2001 pentru aprobarea Regulamentului privind operatiunile cu titluri de stat emise în forma dematerializata;
Legea 182/2002 privind protectia informatiilor clasificate, însotita de Hotarârea de Guvern 585/2002 pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate în România;
Legea 365/2002 privind comertul electronic;
Ordonanta de Guvern 34/2002 privind accesul la retelele de telecomunicatii electronice si la infrastructura asociata, precum si interconectarea acestora;
Hotarârea de Guvern 781/2002 privind protectia informatiilor secrete de serviciu;
Regulamentul Bancii Nationale a României 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata electronica si relatiile dintre participantii la aceste tranzactii;
Ordonanta de Guvern 24/2002 privind încasarea prin mijloace electronice a impozitelor si taxelor locale;
Ordinul Avocatului Poporului 75/2002 privind stabilirea unor masuri si proceduri specifice care sa asigure un nivel satisfacator de protectie a drepturilor persoanelor ale caror date cu caracter personal fac obiectul prelucrarilor.
Lege nr. 161 din 19 aprilie 2003 privind unele masuri pentru asigurarea transparentei în exercitarea demnitatilor publice, a functiilor publice si în mediul de afaceri, prevenirea si sanctionarea coruptiei, care contine componenta de prevenire si combatere a criminalitatii informatice, în Titlul III.
S-ar putea spune ca, cel putin din vedere legislativ, România se apropie de climatul juridic international si al tarilor dezvoltate în privinta securitatii informatiilor. Însa, mai sunt multe aspecte de rezolvat, care tin de procedurile de aplicare a legislatiei, de educatia si instruirea în acest domeniu, de constientizarea factorilor decizionali în privinta riscurilor la care sunt supuse sistemele informatice ale organismelor pe care le conduc. De asemenea, nu exista o strategie elaborata în privinta securizarii spatiului cibernetic, în care sa fie definite foarte clar obiectivele, prioritatile, masurile si actorii responsabili, elemente de aceasta natura regasindu-se doar pe alocuri în Strategia de Securitate Nationala, Doctrina nationala a informatiilor pentru securitate, Legea sigurantei nationale si celelalte legi care reglementeaza securitatea informatiilor, a activitatilor care apeleaza la mijloace electronice de prelucrare a datelor etc.
Informatia, a treia forma de manifestare a Existentei Fundamentale, la confluenta dintre milenii, a devenit cea mai apreciata comoara a omenirii. Cu mult temei, s-a facut afirmatia de catre japonezi ca fericitii stapâni ai informatiei de la sfârsitul secolului XX vor fi si stapânii lumii. Nu energiile controlate de om, oricât de puternice ar fi ele sau efectele lor, nu aurul si alte averi materiale, sub orice forma ar exista acestea, ci informatia va fi semnul puterii. Asadar, nu sceptrul de aur, ci aureola informationala.
Acum, la începutul mileniului trei, prea multe nu s-au schimbat pe planul operatiunilor de protejare si securizare a informatiilor, ci doar tehnicile si mediile de lucru, firesc, sunt altele. Pâna si traditionalul sistem bazat pe un calculator central a devenit desuet, vorbindu-se în orice colt al planetei despre Internet, Intranet, Extranet, despre includerea în structura lor a calculatoarelor personale (PDA), a diverselor generatii de telefonie si multe altele, inclusiv despre reteaua retelelor, ceea ce da noi dimensiuni spatiului cibernetic. Pe planul globalizarii, o tendinta este evidenta, a preocuparilor comune, public-privat, pentru securizarea spatiului cibernetic global, îndeosebi dupa 11 septembrie 2001. Dependenta de informatie este tot mai mare, chiar periculoasa. Sunt state care depind total de informatiile oferite de componentele spatiului cibernetic national. Blocarea acestuia timp de câteva ore poate sa conduca la instaurarea haosului în tara respectiva, afectând, în buna masura, si securitatea sistemului informational global planetar.
Iata de ce se impune cu mai multa acuitate acordarea unei atentii sporite securitatii informatiilor, în primul rând, prin asigurarea unei corecte clasificari a lor, dar si prin elaborarea unor strategii coerente de securizare a spatiului cibernetic.
D.E. Denning, Information
Warfare and Security, Addison-Wesley,
D. Dragomir "Razboi informational agresiv asupra sistemului bancar", Cotidianul, 29 mai 2004
M. Howard, D. LeBlanc, Writing Secure Code, 2nd Edition, Microsoft Press,
M. Igbaria, M. Anandarajan, C.C.-H Chen, "Global Information Systems", in Encyclopedia of Information Systems, Academic Press, San Diego, CA, 2003, vol. 2, pp. 443-458
W. Schwartan, Information
Warfare, 2nd edition, Thunder's Mouth Press,
"Securing the Cloud. A Survey of Digital Security", in
The Economist, October 26th-
Strategia de securitate Nationala a României, www.mapn.ro/ strategia securitate
The National Strategy to SECURE CYBERSPACE, February 2003, The White House, Washington, whitehouse. gov/ pcipb /cyberspace_strategy
|
