Securitate cibernetică

Problematica securităţii cibernetice în cadrul organizaţiilor internaţionale şi implicarea României ca membru al acestora

 

Uniunea Europeană

Principalele valori europene – libertate, democraţie, demnitate, egalitate, solidaritate, statul de drept – sunt aplicabile în mod egal atât realităţii fizice cât şi celei virtuale, iar mecanismele care urmează să fie implementate în domeniul cibernetic trebuie să respecte în totalitate aceste principii.
 

Strategia UE pentru securitate cibernetică

Documentele existente la nivel UE în domeniul securităţii cibernetice privesc pachetul securităţii cibernetice[1] („Cybersecurity package”) care include Strategia UE pentru Securitate Cibernetică actualizată în 2017 („Council Conclusions on the Joint Communication to the European Parliament and the Council: Resilience, Deterrence and Defence: Building strong cybersecurity for the EU” care actualizează Concluziile Consiliului din iulie 2013 privind « Strategia de securitate cibernetică a Uniunii Europene: un spaţiu cibernetic deschis, sigur şi securizat ») şi Cadrul Strategic UE privind Drepturile Omului şi Democraţia.

Strategia UE pentru securitate cibernetică din 2013 a sprijinit viziunea globală a UE asupra celor mai bune modalităţi de a preveni şi de a gestiona perturbările şi atacurile cibernetice. Strategia defineşte viziunea UE în materie de securitate cibernetică prin intermediul a cinci priorităţi:

  1. Obţinerea unei rezilienţe a infrastructurilor cibernetice;
  2. Reducerea drastică a criminalităţii informatice;
  3. Dezvoltarea unei politici de apărare împotriva atacurilor cibernetice şi a capacităţilor necesare în contextul politicii de securitate şi apărare comună (PSAC = CSDP - Common Security and Defence Policy);
  4. Dezvoltarea resurselor industriale şi tehnologice necesare pentru securitatea cibernetică;
  5. Stabilirea unei politici internaţionale coerente a Uniunii Europene privind spaţiul cibernetic şi promovarea valorilor fundamentale ale UE.

Pachetul privind securitatea cibernetică din 2017, care cuprinde Strategia actualizată – „Concluziile Consiliului privind Comunicarea Comună “Rezilienţa, descurajarea şi apărarea: Dezvoltarea unei securităţi cibernetice puternice la nivelul UE”, conține mai multe paliere:

- revizuirea mandatului ENISA și crearea noii agenții europene de securitate cibernetică împreună cu un nou sistem european de certificare a produselor şi serviciilor, sub „Actul privind Securitatea Cibernetică UE” (intrat în vigoare în 28 iunie 2019 ;

- crearea unui Centru european de cercetare și competență în materie de securitate cibernetică (în continuare în dezbatere), cu rol de completare a eforturilor SM în domeniu;

- activarea unui nou Fond de intervenție de urgență în materie de securitate cibernetică, similar Mecanismului de protecție civilă al UE;

- consolidarea capacităților de apărare cibernetică, în cadrul cooperării structurate permanente (PESCO) și al Fondului european de apărare, pentru a sprijini proiectele domeniu, cu încurajarea, în paralel, a cooperării pe această dimensiune între UE și NATO;

- oferirea unui răspuns politic adecvat atacurilor cibernetice, prin implementarea cadrului pentru un răspuns diplomatic comun al UE la operațiuni cibernetice ostile („EU Cyber Toolbox[2]”) și, în paralel, consolidarea capacităților de apărare cibernetică a statelor terțe;

- recomandarea Comisiei privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare („Blueprint[3]).
 

Directiva privind securitatea rețelelor și sistemelor informatice

Prima versiune a strategiei a fost însoțită de inițiativa legislativă a Comisiei care a dus la adoptarea Directivei privind securitatea rețelelor și sistemelor informatice (Directiva Uniunii Europene (UE) 2016/1148 ), cunoscută și ca Directiva NIS, care a stabilit cerințele minime pentru pregătirea cibernetică a statelor membre și a impus obligativitatea asigurării protecției cibernetice a celor mai importante servicii și infrastructuri. Termenul de transpunere a Directivei (UE) 2016/1148 a fost data de 9 mai 2018.

Directiva a stabilit pentru statele membre obligaţii precum:

  • adoptarea unei strategii NIS; participarea în mecanismele de cooperare şi răspuns la nivel european;
  • stabilirea de cerinţe de securitate şi notificare a incidentelor survenite pentru operatorii de servicii esenţiale[4] şi pentru furnizorii de servicii digitale[5] precum şi obligaţii de desemnare a:
    • Autorităţii competente la nivel naţional - rol de supraveghere a implementării directivei, controlul respectării obligaţiilor, cooperare la nivel european;
    • Punctului unic de contact - rol de transmitere a cererilor şi solicitărilor pe problematici NIS între statele membre;
    • Echipei CSIRT naţionale cu atribuţii legate de securitatea reţelelor şi a sistemelor informatice la nivel naţional - asigură primirea notificărilor de incident, coordonarea răspunsului, evaluarea impactului transfrontalier şi participarea la răspunsul comun.

Grupul de cooperare NIS instituit la nivelul UE în temeiul directivei NIS are rolul de a sprijini și a facilita cooperarea strategică și schimbul de informații între statele membre, pentru a consolida încrederea și a armoniza practica la nivelul Uniunii. Abordări și iniţiative ale grupului precum dezvoltarea unei taxonomii comune pentru descrierea incidentelor sunt testate subsecvent prin exerciții.

Rețeaua echipelor naționale CSIRT (rețeaua CSIRT), cel deal doilea format de cooperare instituit de Directiva NIS adresează cooperarea operațională a echipelor naționale în cadrul incidentelor transfrontaliere, asistența reciprocă și răspunsul comun rapid.
 

Cyber Diplomacy Toolbox

Concluziile Consiliului din 2015 privind diplomația cibernetică promovează o serie de obiective și principii legate de angajamentul cibernetic al UE la nivel mondial:

  • promovarea și protejarea drepturilor omului în spațiul cibernetic;
  • normele de comportament și aplicarea dreptului internațional existent în domeniul securității internaționale;
  • guvernarea internetului;
  • sporirea competitivității și a prosperității;
  • consolidarea și dezvoltarea capacităților;
  • implicarea strategică a partenerilor-cheie și a organizațiilor internaționale;

Adoptarea în iunie 2017 a cadrului pentru un răspuns diplomatic comun al UE la activitățile cibernetice rău intenționate – „Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities” (setul de instrumente pentru diplomația cibernetică - “cyber diplomacy toolbox”) a fost un important pas înainte în termeni operaționali, stabilind măsurile restrictive care pot fi utilizate pentru a consolida răspunsul UE la activitățile care dăunează intereselor sale politice, de securitate și economice. Concluziile Consiliului din 2017 privind "Cyber Diplomacy Toolbox" afirmă disponibilitatea UE de a utiliza întreaga gamă de măsuri a Politicii Externe şi de Securitate Comună PESC (CFSP), inclusiv cele restrictive (cum ar fi sancțiunile), pentru a răspunde în mod proporțional atacurilor cibernetice, pentru a proteja Uniunea și pentru a-și atinge obiectivele de politică externă.

Uniunea Europeană poate impune sancţiuni economice oricărei persoane sau entităţi care atacă reţele informatice ale statelor membre UE, aceasta fiind o măsură a blocului comunitar de a descuraja comiterea de atacuri cibernetice. “Un răspuns comun al UE la activităţi cibernetice infracţionale ar fi proporţional cu domeniul, amploarea, durata, intensitatea, complexitatea, nivelul de dificultate şi impactul activităţii cibernetice”.

În același timp, Recomandarea UE pentru un Răspuns Coordonat la Incidente și Crize cibernetice pe scară largă („Blueprint“) din 19 septembrie 2017 a stabilit modul în care cooperarea ar trebui să funcționeze între statele membre și diferiții actori europeni atunci când răspund unui atac cibernetic la scară largă, transfrontalier. Aceasta subliniază rolul esențial al conștientizării situației pentru o coordonare eficientă la nivelele tehnic, operațional și strategic/politic.

În continuarea acestor demersuri, în aprilie 2018, Consiliul Afaceri Externe/CAE a adoptat Concluziile cu privire la activitățile cibernetice maliţioase care au condamnat cu fermitate utilizarea rău intenționată a tehnologiilor informatice și de comunicații, inclusiv în atacurile Wannacry și NotPetya, care au cauzat prejudicii semnificative și pierderi economice în UE și în afara acesteia. UE subliniază că respectarea obligațiilor care decurg din dreptul internațional, inclusiv a Cartei ONU și aderarea la normele voluntare, fără caracter obligatoriu, ale unui comportament responsabil al statului sunt esențiale pentru menținerea păcii și stabilității și pentru promovarea unui spațiu cibernetic liber, deschis şi sigur. În acest sens, statele nu trebuie să folosească proxy-uri pentru a comite acte ilicite la nivel internațional prin utilizarea tehnologiilor informației și comunicațiilor și ar trebui să depună eforturi ca să se asigure că teritoriul lor nu este utilizat de actorii nestatali pentru comiterea unor astfel de acte.

Parte a demersurilor în cadrul “cyber diplomacy toolbox”, în luna mai 2019 a fost adoptat regimul UE de sancţiuni cibernetice prin care UE poate impune restricții de călătorie și înghețarea fondurilor și a resurselor economice ale persoanelor și entităților responsabile pentru atacuri cibernetice sau tentative de atacuri cibernetice sau care au o formă de participație anume determinată la asemenea atacuri sau tentative (Decizia (PESC) 2019/797 a Consiliului din 17 mai 2019 și Regulamentul (UE) 2019/796 al Consiliului din 17 mai 2019).

Regimul de sancțiuni pentru atacuri cibernetice al UE este un element important al punerii în aplicare a cadrului privind un răspuns diplomatic comun al UE la activitățile cibernetice răuvoitoare. Prin acest regim, UE a stabilit un instrument puternic și eficace prin care să se răspundă în mod adecvat și specific la amenințările din spațiul cibernetic.

Aceste măsuri au un regim diferit de cel al atribuirii unui atac cibernetic, atribuirea fiind o decizie politică ce ține de suveranitate. Însă, UE și statele membre trebuie să își îmbunătățească capacitatea de a atribui atacurile cibernetice, nu în ultimul rând prin schimbul de informații consolidate. Atribuirea ar descuraja potențialii agresori și ar crește șansele ca cei responsabili să fie desemnați, în mod corespunzător, răspunzători. Creșterea efectului de descurajare este un obiectiv-cheie al abordării strategice a Comisiei față de îmbunătățirea securității cibernetice.

În continuare, SEAE a făcut apel să se implementeze setul de instrumente pentru diplomația cibernetică inclusiv prin stabilirea unor mesaje comune ale SM de răspuns în eventualitatea unor atacuri (atribuirea coordonată la nivelul UE).
 

Cybersecurity Act

Noua versiune a Strategiei de securitate cibernetică a inclus propunerea de Act în domeniul Securității Cibernetice („Cybersecurity Act”) care acoperă noul regulament privind ENISA - EU Agency for Network and Information and Security, "Agenția UE privind securitatea cibernetică" (și de abrogare a Regulamentului (UE) 526/2013), precum şi privind certificarea în domeniul securității cibernetice ICT. Acesta se referă la o Agenție de Securitate Cibernetică  a UE mai puternică și modernizată și un cadru de certificare UE pentru produsele și serviciile ICT pentru consolidarea încrederii consumatorilor.

Statele membre au susținut acordarea unui mandat permanent pentru ENISA, pentru a fi un punct de referință în ecosistemul UE de securitate cibernetică, acționând în strânsă cooperare cu toate celelalte organisme relevante. De asemenea, statele membre au fost de acord cu instituirea unui cadru european de certificare a securității cibernetice care stabilește guvernanța pentru o abordare armonizată la nivelul UE a sistemelor europene de certificare a securității cibernetice şi crearea unei piețe unice digitale pentru procesele, produsele și serviciile ICT. Statele membre și industria trebuie să aibă un rol sporit în vederea adoptării de sisteme de certificare cibernetică.

„Cybersecuriy Act” a intrat în vigoare la 27 iunie 2019, stabilind astfel un nou mandat pentru ENISA şi un cadru european de certificare a securităţii cibernetice.
 

Propunerea de regulament al Parlamentului European și al Consiliului de instituire a Centrului de Competențe European Industrial, Tehnologic și de Cercetare în materie de Securitate Cibernetică și a Rețelei de Centre Naționale de Coordonare

La 12 septembrie 2018, Comisia a transmis  propunerea de regulament al Parlamentului European și al Consiliului de instituire a Centrului de competențe european industrial, tehnologic și de cercetare în materie de securitate cibernetică și a Rețelei de centre naționale de coordonare.

Centrul de competențe ar trebui să fie principalul instrument de care dispune Uniunea pentru a pune în comun investițiile în cercetarea, tehnologia și dezvoltarea industrială în materie de securitate cibernetică și pentru a pune în aplicare proiectele și inițiativele relevante, împreună cu Rețeaua de competențe în materie de securitate cibernetică. Acesta ar trebui să ofere sprijin financiar în materie de securitate cibernetică din programele Orizont Europa și Europa digitală și ar trebui să fie deschis, după caz, Fondului european de dezvoltare regională și altor programe.

Regulamentul propus va contribui la rezolvarea următoarelor probleme: cooperarea insuficientă dintre sectoarele cererii și sectoarele furnizoare în materie de securitate cibernetică, lipsa unui mecanism eficient de cooperare între statele membre în vederea consolidării capacităților industriale, cooperarea insuficientă în/din cadrul comunităților din industrie și cercetare, cooperarea insuficientă între comunitățile de cercetare și inovare civile și cele de apărare din domeniul securității cibernetice etc.

 

5G în Uniunea Europeană

Preocupările în privința amenințărilor de securitate la adresa conectării sistemelor prin rețele 5 G cu impact asupra infrastructurilor critice a condus la necesitatea unei abordări concertate a securității rețelelor 5G, exprimată cu ocazia Consiliului European din 22 martie 2019. Astfel, Comisia Europeană a recomandat la 26 martie 2019 un set de acțiuni concrete pentru evaluarea riscurilor de securitate cibernetică ale rețelelor 5G și pentru consolidarea măsurilor preventive, inclusiv realizarea unui „Toolbox Risk Management”.

La nivelul Grupului de cooperare NIS a fost demarat un mecanism activ de cooperare, în perspectiva atingerii termenelor limită stabilite în Recomandare, anume 30 iunie 2019 pentru finalizarea evaluărilor naționale ale riscurilor, pregătirea până la 1 octombrie 2019 a evaluării riscurilor de la nivelul UE, urmând ca, până la 31 decembrie 2019, Grupul de cooperare NIS să convină asupra măsurilor de reducere a riscurilor la adresa securității cibernetice identificate la nivel național și la nivelul UE. Până la 1 octombrie 2020, statele membre, în cooperare cu Comisia Europeană, trebuie să evalueze efectele recomandării pentru a stabili dacă sunt necesare măsuri suplimentare. Această evaluare trebuie să țină seama de rezultatul evaluării coordonate a riscurilor la nivel european și de eficacitatea setului de instrumente.
 

Președinția României la Consiliul UE/PRES RO în domeniul securităţii cibernetice (sem. I 2019)

În cadrul programului PRES RO, asigurarea securității cibernetice a constituit o prioritate, fiind o condiție a dezvoltării durabile a economiei digitale și a societății.

În cadrul agendei de lucru teme precum combaterea atacurilor cibernetice au fost prioritare, îmbunătățirea mecanismelor europene existente precum Cyber Diplomacy Toolbox având rolul de creștere a încrederii cetățenilor în mediul cibernetic.

Pe parcursul PRES RO au avut loc următoarele principale etape în domeniul securităţii cibernetice:

  • A fost adoptat regimul UE privind măsurile restrictive/sancţiunile împotriva atacurilor cibernetice ce amenință UE sau statele sale membre, pachet ce stabilește un set de restricții ce au ca scop descurajarea atacurilor cibernetice cu un potențial impact semnificativ asupra Uniunii;
  • Au fost adoptate Concluziile Consiliului privind capacitatea și capabilitățile de securitate cibernetică în UE. Acestea invită statele membre să continue să dezvolte competențe specifice în cadrul autorităților de aplicare a legii pentru combaterea eficientă a criminalității cibernetice la nivelul UE, cu sprijinul Comisiei, pentru a dezvolta inițiative de cercetare în domeniul securității cibernetice în contextul nevoilor societale și de integrare a rezultatelor cercetării în piaţă;
  • Lansarea negocierilor Regulamentului privind Centrul de Competențe European Industrial, Tehnologic și de Cercetare în materie de Securitate Cibernetică și a Rețelei de Centre Naționale de Coordonare. După o activitate intensă, Președinția română a reușit să organizeze două trialoguri cu PE și o serie de reuniuni tehnice cu PE și Comisia, depășindu-și astfel obiectivele stabilite inițial, anume obținerea abordării generale;
  • Adoptarea de către Comisia Europeană a recomandărilor privind setul de pași operaționali și măsurilor pentru asigurarea unui nivel ridicat de securitate a rețelelor 5G pe teritoriul UE;
  • Intrare în vigoare la 28 iunie 2019 a „EU Cyber Security Act” – care instituie prin intermediul ENISA sistemul de certificare în domeniul securității cibernetice la nivelul UE.
 

[4] Operatorii de servicii esenţiale sunt cei activi în sectoarele critice, cum ar fi energia, transporturile, sănătatea și sectorul financiar-bancar.

[5] Serviciile digitale acoperă pieţele electronice, motoarele de căutare și serviciile de „cloud-computing”