Comisia Europeana a publicat strategia in domeniul securitatii cibernetice

Reducerea drastica a criminalitatii informatice si dezvoltarea unei politici de aparare impotriva atacurilor cibernetice si a capacitatilor necesare sunt printre prioritatile UE in materie de securitate cibernetica. In acest sens, strategia urmareste dezvoltarea si finantarea unei retele de centre nationale de excelenta pentru combaterea criminalitatii informatice, care sa faciliteze formarea profesionala si consolidarea capacitatilor.

Comisia Europeana a publicat, impreuna cu Inaltul Reprezentant al Uniunii pentru afaceri externe si politica de securitate, o strategie in domeniul securitatii cibernetice, precum si o propunere de directiva a Comisiei privind securitatea retelelor si a informatiei (NIS). Aceste masuri reprezinta planul UE in domeniul securitatii cibernetice pentru protejarea internetului deschis, a libertatii online si a oportunitatilor generate de internet.

Strategia in domeniul securitatii cibernetice, „Un spatiu cibernetic deschis, sigur si securizat”, reprezinta viziunea globala a UE asupra celor mai bune modalitati de a preveni si de a gestiona perturbarile si atacurile cibernetice. Scopul sau este acela de a promova valorile europene de libertate si democratie si de a garanta o crestere a economiei digitale in conditii de siguranta. Sunt prevazute o serie de actiuni specifice care au ca obiectiv cresterea nivelului de rezilienta a infrastructurilor cibernetice, reducerea criminalitatii informatice si consolidarea politicii internationale a UE in materie de securitate cibernetica si de aparare impotriva atacurilor cibernetice.

Strategia defineste viziunea UE in materie de securitate cibernetica prin intermediul a cinci prioritati:

1. Obtinerea unei reziliente a infrastructurilor cibernetice
2. Reducerea drastica a criminalitatii informatice
3. Dezvoltarea unei politici de aparare impotriva atacurilor cibernetice si a capacitatilor necesare in contextul politicii de securitate si aparare comuna (PSAC)
4. Dezvoltarea resurselor industriale si tehnologice necesare pentru securitatea cibernetica
5. Stabilirea unei politici internationale coerente a Uniunii Europene privind spatiul cibernetic si promovarea valorilor fundamentale ale UE

Politica internationala a UE privind spatiul cibernetic promoveaza respectarea valorilor fundamentale ale UE, stabileste norme aplicabile comportamentului responsabil, sprijina aplicarea in spatiul cibernetic a legislației internationale existente, acordand, in acelasi timp, asistenta tarilor din afara UE in ceea ce priveste consolidarea capacitatilor in materie de securitate cibernetica si promovand cooperarea internationala in acest domeniu.

UE a facut progrese importante in materie de protejare a cetatenilor impotriva infractiunilor online, inclusiv prin instituirea unui Centru european de combatere a criminalitatii informatice (IP/13/13), prin propuneri legislative privind atacurile impotriva sistemelor informatice (IP/10/1239) si prin lansarea unei aliante mondiale impotriva abuzurilor sexuale asupra copiilor comise prin intermediul internetului (IP/12/1308). De asemenea, strategia urmareste dezvoltarea si finantarea unei retele de centre nationale de excelenta pentru combaterea criminalitatii informatice, care sa faciliteze formarea profesionala si consolidarea capacitatilor.

Directiva propusa in materie de securitate a retelelor si a informatiei reprezinta componenta-cheie a strategiei globale si ar impune tuturor statelor membre, principalilor operatori de servicii internet, operatorilor de infrastructura critica (de exemplu, platformele de comert electronic si retelele sociale) si operatorilor de servicii in domeniile energiei, transporturilor, asistentei medicale, precum si in domeniul bancar obligatia de a asigura un mediu digital securizat si fiabil in întreaga UE. Printre masurile prevazute in directiva propusa se numara urmatoarele:

(a) Statele membre trebuie sa adopte o strategie in materie de securitate a retelelor si a informatiei si sa desemneze o autoritate competenta nationala in acest domeniu care sa dispuna de resursele financiare si umane adecvate pentru a preveni, gestiona si solutiona riscurile si incidentele NIS;

(b) Crearea unui mecanism de cooperare intre statele membre si Comisie pentru emiterea din timp a unor avertismente referitoare la riscuri si incidente printr-o infrastructura securizata, pentru a coopera si pentru a organiza evaluari periodice inter pares;

(c) Operatorii de infrastructuri critice din anumite sectoare (servicii financiare, transporturi, energie, sanatate), operatorii de servicii ale societatii informationale (si anume: magazine de aplicatii, platforme de comert electronic, plati pe internet, cloud computing, motoare de cautare, retele sociale) si administratiile publice trebuie sa adopte practici de management al riscurilor si sa raporteze incidentele majore de securitate privind serviciile lor de baza.

Neelie Kroes, vicepresedinta Comisiei Europene responsabila cu agenda digitala, a declarat:

„Oamenii, cu cat depind mai mult de internet, cu atat mai mult se bazeaza pe faptul ca este securizat. Securizarea internetului protejeaza drepturile si libertatile noastre, precum si capacitatea noastra de a desfasura activități economice. A venit momentul sa luam masuri coordonate – ne costa mult mai mult daca nu actionam deloc.”

Catherine Ashton, Inaltul Reprezentant al Uniunii pentru afaceri externe si politica de securitate, vicepresedinte al Comisiei Europene, a afirmat:

„Pentru ca spatiul cibernetic sa ramana deschis si gratuit, aceleasi norme, principii si valori pe care UE le sustine offline, ar trebui sa se aplice, de asemenea, on-line. Drepturile fundamentale, democratia si statul de drept trebuie sa fie protejate in spatiul cibernetic. UE colaboreaza cu partenerii sai internationali, precum si cu societatea civila si sectorul privat pentru a promova aceste drepturi la nivel mondial.”

Cecilia Malmström, comisarul european pentru afaceri interne, a declarat:

„Strategia evidentiaza actiunile noastre concrete pentru reducerea drastica a criminalitatii cibernetice. Numeroase state membre ale UE nu dispun de instrumentele necesare pentru a depista si combate criminalitatea organizata online. Toate statele membre ar trebui sa infiinteze unitati nationale eficiente de combatere a criminalitatii informatice care sa poata beneficia de expertiza si sprijinul Centrului european de combatere a criminalitatii informatice, EC3. ”

Context

Incidentele de securitate informatica au capatat o frecventa si o amploare din ce in ce mai mari, devenind mai complexe si netinand seama de frontiere. Ele pot provoca daune majore sigurantei si economiei. Eforturile de prevenire, de cooperare si de asigurare a unei transparente mai mari cu privire la incidentele cibernetice trebuie imbunatatite.

Eforturile anterioare depuse de Comisia Europeana si de statele membre individuale au fost prea fragmentate pentru a raspunde la aceasta provocare care capata proportii din ce in ce mai mari.

Informatii cu privire la securitatea cibernetica in prezent

1. Exista aproximativ 150 000 de virusi informatici care circula in fiecare zi si 148 000 de calculatoare compromise zilnic.
2. Conform Forumului economic mondial, exista o probabilitate de aproximativ 10 % ca in urmatorii zece ani sa se produca o avariere a infrastructurilor critice de informatie, ceea ce ar putea provoca daune de 250 de miliarde de dolari.
3. Criminalitatea informatica provoaca o mare parte din incidentele in materie de securitate informatica. Symantec estimeaza ca victimele criminalitatii informatice la nivel mondial pierd aproximativ 290 de miliarde EUR in fiecare an, in timp ce un studiu McAfee evalueaza profiturile criminalitatii informatice la 750 de miliarde EUR pe an.
4. Sondajul Eurobarometru privind securitatea cibernetica din 2012 a aratat faptul ca 38 % dintre utilizatorii internetului din UE si-au schimbat comportamentul din cauza preocuparilor legate de securitatea cibernetica: 18 % sunt mai putin dispusi sa cumpere bunuri online, iar 15 % sunt mai putin dispusi sa utilizeze serviciile bancare online. Sondajul mai arata ca 74 % dintre respondenți au fost de acord cu faptul ca riscul de a deveni victima a crescut, 12 % dintre ei au fost deja victime ale fraudei online, iar 89 % evita sa divulge informatii cu caracter personal.
5. Potrivit consultarii publice in materie de securitate a retelelor si a informatiei, 56,8 % dintre respondenti au suferit anul trecut incidente in acest domeniu, cu un impact grav asupra activitatilor lor.
6. In acelasi timp, cifrele Eurostat arata ca, pana in ianuarie 2012, numai 26 % din intreprinderile din UE au definit in mod formal o politica de securitate a TIC.

Update

CSAT a aprobat, în şedinţa de marţi (5 februarie a.c.), Strategia de Securitate Cibernetică, document care vizează protecţia infrastructurilor cibernetice „în concordanţă cu noile concepte şi politici din domeniul apărării cibernetice elaborate şi adoptate la nivelul NATO şi al Uniunii Europene”.

Preşedintele Traian Basescu declara, pe 21 ianuarie a.c., că în perioada care a trecut „România a fost supusă unui atac cibernetic fără precedent”, căruia a reuşit să-i facă faţă graţie pregătirii care a început în urmă cu trei ani, când în CSAT s-a făcut o prioritate din protejarea sistemelor informatice.

„În perioada care a trecut, România a fost supusă unui atac cibernetic fără precedent”, a spus Băsescu, la întâlnirea anuală cu şefii misiunilor diplomatice acreditaţi în România.

„Octombrie Roşu” a fost cel mai puternic atac cibernetic la adresa României în ultimii 20 de ani, SRI identificând entităţi cibernetice ostile care urmăresc culegerea de informaţii confidenţiale inclusiv despre resursele naturale româneşti, a afirmat purtătorul de cuvânt al Serviciului, Sorin Sava.

In Romania, una dintre intitutiile implicate in definitivarea strategiei nationale cibernetice este Asociaţia Națională pentru Securitatea Sistemelor Informatice. ANSSI este constituita ca persoană juridică română, fiind o organizatie de drept privat, nonprofit, fără scop patrimonial, fara scop lucrativ, neguvernamentală, profesională, independenta, formată in scopul coagularii eforturilor si experientelor relevante in sensul promovarii standardelor si bunelor practici in domeniul securitatii informatiilor.