SPIONAJUL SI EFECTELE LUI ASUPRA SECURITATII ROMANIEI

 

Introducere

De-a lungul timpului, globalizării i s-au dat diferite accepţiuni, ajungându-se chiar la introducerea în uz a verbului a globaliza – pentru prima dată apărut în anul 1944, în Merriam Webster Dictionary. Anterior existau doar conceptele global şi globalizare. Prin global se înţelegea o extensie a legăturilor de diverse tipuri dintre localităţi, dând naştere unui nou fenomen, dar şi unui atribut special. Apar conceptele de spaţiu global sau geografie globală care elimină influenţele nefaste ale distanţelor dintre localităţi şi le leagă unele de altele, schiţându-se noi hărţi pe care liniile vor marca sensuri ale deplasărilor, migrărilor, mutărilor, comunicaţiilor, schimburilor ş.a.

Aplicarea globalului în domeniul geografic, conducând la expansiunea fizică a acestuia, a generat globalizarea, ceea ce a însemnat o creştere a numărului şi volumului fluxurilor globale, dar şi o creştere a impactului forţelor globale asupra vieţii locale. Principalele momente şi forţe ale expansiunii marchează punctele de cotitură şi reperele din istoria globalizării.
Globalizarea, odată cu avantajele şi transformările pozitive pe care le aduce la nivelul naţiunilor, nu este lipsită de aspecte ce ridică, de multe ori, probleme şi îngrijorare, între care un loc don ce în ce mai important îl ocupă problematica securizării spaţiilor cibernetice, cu atât mai mult cu cât fenomenul terorismului a luat o amploare fără precedent, inclusiv terorismul informaţional.
Ca rezultat al globalizării factorilor economici, politici şi militari, al expansiunii reţelelor şi sistemelor informaţionale globale, guvernele lumii, organizaţiile internaţionale sunt nevoite să-şi concentreze şi mai mult eforturile spre asigurarea unei securităţi globale, pentru că acum riscurile sunt mult mai mari, datorită efectului de propagare în lanţ. Dacă până la apariţia reţelei globale, asigurarea securităţii sistemelor informaţionale era o problemă de politică naţională, în momentul de faţă la stabilirea strategiilor şi politicilor de securizare a spaţiului cibernetic trebuie luate în considerare şi aspectele de compatibilizare şi standardizare la nivel global.
Globalizarea spaţiului cibernetic determină factorii decizionali să-şi concentreze atenţia şi asupra caracteristicilor sistemelor informaţionale globale, a noilor ameninţări care planează în legătură cu potenţialele riscuri la care sunt expuse, ameninţări care se pot transforma într-un adevărat război informaţional,. De aceea, se impune revizuirea modului de asigurare a securităţii informaţiilor prin clasificarea acestora şi, nu în ultimul rând, dezvoltarea unor strategii viabile de securizare a spaţiului cibernetic.

Sisteme informaţionale globale
Sistemele informaţionale globale îşi propun să studieze interferenţa dintre sistemele informaţionale şi tendinţele de globalizare mondială. Se recunoaşte că mulţi factori joacă un rol important în stabilirea trendului globalizării, dar specialiştii sistemelor informaţionale globale consideră că tehnologiile informaţionale se află printre factorii dominanţi ai acesteia şi îşi propun să stabilească în ce relaţii se află cu ceilalţi factori de influenţă.
Sistemele informaţionale globale afectează globalizarea pe trei planuri: infrastructural, operaţional şi organizaţional.
Aspectele infrastructurale se referă la informaţii, prelucrarea automată a datelor, standardele şi tehnologiile din telecomunicaţii şi standardele Internet – toate acestea ajutând la depăşirea graniţelor tradiţionale ale relaţiilor dintre diferite sisteme, îndeosebi naţionale.
Problemele operaţionale se referă la aspectele naţionale ale culturii, educaţiei şi instruirii, ale mangementului personalului, guvernării, structurilor legale şi factorilor organizaţionali.
Aspectul organizaţional joacă un rol esenţial pentru succesul sistemelor informaţionale globale la nivelul organizaţiilor. În cazul corporaţiilor multinaţionale este nevoie de realizarea complementarităţii între strategia de utilizare a sistemelor informaţionale cu cea a afacerii, astfel încât să fie atinse obiectivele urmărite.
Pentru sistemele informaţionale globale, literatura de specialitate mai apelează şi la alţi termeni, cum sunt:
Global Information Technology (Tehnologii informaţionale globale);
Global Information Technology Management (Managementul tehnologiilor informaţionale globale);
International Information Systems (Sisteme informaţionale internaţionale);
Global Management Information Systems (Sisteme informaţionale ale managementului global);
Cooperative Information Systems (Sisteme  informaţionale în cooperare);
Global Information Infrastructure (Infrastructura informaţională globală).
Se preconizează că rolul sistemelor informaţionale globale va spori şi mai mult în mileniul III, în care este definită noua societate, a cunoaşterii. În ea, informaţiile şi cunoştinţele vor înlocui bunurile materiale, ca sursă principală a susţinerii competitivităţii în lumea afacerilor. Afacerile vor avea, în primul rând, o dimensiune informaţională, puterea constând în eforturile întreprinse pe această linie. Chiar în prezent, numeroase afaceri, din diverse domenii de activitate, alocă prelucrării informaţiilor între 30-40% din structura costurilor. Sunt numeroase domenii de activitate în care informaţia joacă rolul principal în stabilirea ierarhiilor pe piaţă (educaţie, transporturi aeriene, comerţul cu amănuntul ş.a.).
Cercetările întreprinse de echipe coordonate de Dr. Prashant Palvia au condus la gruparea ţărilor în trei categorii: ţări avansate, ţări mai puţin dezvoltate şi ţări subdezvoltate. Problemele sistemelor informaţionale globale sunt diferite în funcţie de apartenenţa la o categorie sau alta [4]. Astfel, ţările avansate orientează sistemul informaţional global în următoarele direcţii:
folosirea sistemului informaţional pentru obţinerea unui avantaj competiţional;
sincronizarea sistemului informaţional cu scopul organizaţiei;
planificarea strategică a sistemului informaţional;
creşterea productivităţii sistemului informaţional;
securizarea datelor.
Ţările mai puţin dezvoltate vizează:
planificarea strategică a sistemelor informaţionale;
aspecte operaţionale;
preocupări pe linia contribuţiei sistemelor informaţionale pentru conducere la progresul organizaţiei;
calitatea datelor de intrare;
utilizarea şi securizarea datelor;
standarde ale echipamentelor şi software-ului;
utilizarea prietenoasă a sistemelor;
îmbunătăţirea productivităţii sistemelor informaţionale.
În ţările subdezvoltate sunt vizate:
gradul de învechire a echipamentelor şi software-ului;
disponibilitatea şi perfecţionarea personalului specializat în sisteme informaţionale pentru conducere;
îmbunătăţirea productivităţii muncii.

Securitatea în mediul global de lucru
La cursurile intensive organizate de Microsoft Research Cambridge, la finele lunii martie 2003, unul dintre evenimentele-semnal a fost şi lansarea celei de-a doua ediţii a cărţii Writing Secure Code [3], a autorilor Michael Howard şi David LeBlanc, evenimentul fiind marcat de ultimul dintre cei doi autori. În plus, acesta a susţinut două prelegeri al căror subiect a fost, firesc, tema cărţii. Evenimentul nu a însemnat o simplă lansare de carte, ci a marcat contextul în care ea avut loc. Utilizatorii produselor Microsoft au observat că anul 2002 a fost unul lipsit de lansări ale noilor produse ale companiei şi chiar de îmbunătăţiri ale versiunilor anterioare, aceasta şi datorită unei intervenţii categorice a lui Bill Gates, în ianuarie 2002, ceea ce nu se mai întâmplase decât în decembrie 1995. Mesajul lui, adresat miilor de angajaţi Microsoft, era unul foarte clar: importanţa securităţii informatice. Cu alte cuvinte, revizuirea problemelor securităţii produselor corporaţiei. Astfel a ieşit prima ediţie a cărţii Writing Secure Code, cu subtitlul Tehnici şi strategii practice de securizare a codurilor aplicaţiilor într-o lume a reţelelor, iar sub acesta, pe copertă, apare mesajul lui Bill Gates, care într-o interpretare liberă s-ar putea citi „Bibliografie obligatorie pentru toţi angajaţii Microsoft” (în original – „Required Reading at Microsoft”). Că este un eveniment-semnal reiese şi din studiul publicat de The Economist [6], în 26 octombrie 2002, care începe cu trimiterea la mesajul lui Bill Gates. Întregul studiu, la rândul său, este altă formă de atenţionare. Titlul este semnificativ – Securizarea norilor: Un studiu al securităţii digitale.
Într-adevăr, subiectul este de o maximă importanţă, îndeosebi după incidentul de la 11 septembrie 2001, din SUA, obligând statele lumii să acţioneze împreună împotriva unui posibil atac terorist mondial, acesta putându-se declanşa prin cyberspace, spaţiul cibernetic al planetei. Poate şi din cauza ameninţării la care sunt expuse, dar şi datorită experienţei tragice trăite în septembrie 2001, SUA au lansat, în februarie 2003, cel mai categoric semnal, prin The National Strategy to SECURE CYBERSPACE [8]. În cuvântul adresat naţiunii, preşedintele SUA, George W. Bush, în introducerea strategiei amintite declară: „Temelia strategiei de securitate a spaţiului cibernetic al Americii este şi va rămâne parteneriatul public-privat pentru implementarea acestei strategii. Numai acţionând împreună putem construi un viitor mai sigur în spaţiul cibernetic.” Înaintea acestei afirmaţii, preşedintele marchează importanţa strategiei la nivelul întregii societăţi: „Securizarea spaţiului cibernetic este un deziderat strategic extraordinar de dificil care necesită un efort coordonat şi concentrat din partea întregii noastre societăţi – guvernul federal, guvernele statale şi locale, sectorul privat, precum şi al cetăţenilor americani”. Edificator este şi faptul că, atunci când sunt definite priorităţile naţionale de securizare a spaţiului cibernetic, una dintre acestea este intitulată: „Securitatea naţională şi cooperarea internaţională pentru securizarea spaţiului cibernetic”, ceea ce demonstrează că americanii recunosc faptul că securitatea oricărei ţări depinde de securitatea planetară, iar componenta esenţială este, în ultimul timp, spaţiul cibernetic sau, cum plastic a intitulat The Economist, Securitatea norilor sau securitatea digitală. La ea ne vom referi în cele ce urmează.
Din studiile întreprinse în ţările dezvoltate s-a ajuns la concluzia că, după atacul terorist din 11 septembrie 2001, softul de securitate, care se afla pe o poziţie aproape neglijabilă (în cele mai bune situaţii situându-se pe locul cinci), a devenit prioritatea numărul unu.
Cheltuielile mondiale cu tehnologiile de asigurare a securităţii au crescut în anul 2001 cu 28% faţă de anul 2000. În anii următori se va înregistra o creştere şi mai mare. Dacă în anul 2001 statele lumii au alocat 6 miliarde de dolari, în anul 2005 se vor cheltui peste 13 miliarde pentru securizarea Internetului. Unii specialişti chiar se tem de proporţiile investiţiilor în securitatea informatică, atenţionând că vânzătorii de software vând teamă, iar teama şi sexul au devenit două lucruri exagerate care conduc la cumpărături iraţionale ale oamenilor. Alţii, în schimb, nu ajung la aceeaşi concluzie, fiindcă apreciază că baza de pornire (cheltuielile anterioare cu securitatea) era foarte mică, destul de apropriată de zero. Cele mai multe firme, susţin ei, alocă securităţii 3% din bugetul alocat tehnologiei, iar aceasta din urmă primeşte 3% din venituri, ceea ce înseamnă 3% aplicat la 3%, adică 0,09% – mai puţin decât îi costă cafeaua într-un an, spun ei cu maliţiozitate.
Din analizele realizate de CSI/FBI, rezultă că, la nivelul anului 2002, deşi 80% dintre respondenţi au recunoscut că au înregistrat pierderi financiare, numai 40% au putut cuantifica pierderile. În intervalul 1997-2001, cele 503 organizaţii analizate au înregistrat pierderi cauzate de crime informatice în valoare de aproximativ 1,5 miliarde de dolari, iar în anul 2002, de 456 milioane de dolari.
Sub aspectul ameninţărilor „globale”, pentru al patrulea an consecutiv, s-au formulat întrebări referitoare la site-urile www. Dintre respondenţi, 98% au declarat că au astfel de site-uri, iar 52% dintre ei efectuează operaţiuni de comerţ electronic prin intermediul site-urilor. De asemenea, 38% dintre ei au fost victimele accesului neautorizat sau ale folosirii neadecvate a site-urilor în ultimele 12 luni.
Cele mai multe atacuri sunt orientate spre domeniile .com, ceea ce înseamnă 30% din atacurile site-urilor Web. Urmează, ca frecvenţă a atacurilor, cele orientate spre nume de domenii ale unor ţări (.cn pentru China; .tw, pentru Taiwan – ambele înregistrând 9% din atacurile mondiale).
Domeniile .gov au înregistrat o creştere a atacurilor cu 38%, iar cele militare (.mil) au înregistrat o creştere de 128% faţă de anul precedent.
Numele de domeniu .il (Israel) a fost victima unei creşteri a atacurilor cu 220%; .in (India) cu 250%, .pk (Pakistan) cu 300%, iar în top s-a aflat domeniul gov.uk (guvernul din Marea Britanie), cu 378%.
Cu uşurinţă se poate observa că bombardamentele din spaţiul cibernetic global se orientează spre anumite zone planetare şi anumite domenii, ceea ce conduce la ideea că se declanşează, de fapt, adevărat războaie informaţionale, despre care vom discuta în paragraful următor.

Informaţie şi război informaţional
Înaintea prezentării preocupărilor fiinţei umane pe planul războiului informaţional, credem că se cuvine să menţionăm doare câteva exemple din lumea celor care nu cuvântă, dovedindu-se astfel că, aşa cum zis-a Ahazverus, nimic nu-i nou sub soare. Literatura din domeniu începe seria exemplelor cu năstruşniciile cucului. Se ştie că acesta îşi depune ouăle în cuiburile altor păsări, dar pare de necrezut cum reuşeşte să păcălească 180 de alte specii de zburătoare. Totul îi reuşeşte prin manipulare informaţională şi exploatarea vulnerabilităţii sistemelor de protecţie ale altora. Este o adevărată „inginerie” modul în care el reuşeşte să schimbe culoarea ouălor în funcţie de cuibul în care le depune, ceea ce presupune mai întâi identificarea exactă a „proprietarului” cuibului, şi apoi trecerea peste sistemele de securitate ale acestuia, distrugând integritatea mediului respectiv. Mai putem spune, precum versul popular, „umblă cucu’ ca năucu’“!?!. Tehnicii lui i-a răspuns, într-un mod special, pupăza. Mai mult, şi pentru a le veni de hac celor de teapa lui Nică a lui Ştefan Apetrei, creează un mediu insuportabil altora, confecţionându-şi cuibul în scorburi foarte adânci pe care le garniseşte cu materii fecale. „Tehnica” aceasta au preluat-o japonezii în secoulul XXI, presărând pe lângă căile ferate ale trenurilor rapide excremente de leu pentru a speria animalele din păduri şi a nu le lăsa să se mai expună accidentelor feroviare. Experimentul are mare succes prin această farsă informaţională, fiind mult mai ieftin decât barierele fizice de protecţie. Şi corbul utilizează o şiretenie pentru a-şi ademeni prada, apelând la o simulare a trăirii ultimelor clipe, prin zbateri specifice şi sunete impresionante, până la apropierea vânatului, când declanşează atacul decisiv. Exemplele pot continua cu diverse moduri de apărare sau de atac, dar nu putem încheia scurta incursiune fără să comparăm două sisteme total diferite. Unul se bazează pe o mulţime de şiretlicuri, pe care le-am putea numi „inginerii sociale” sau psiop-uri (operaţiuni psihologice), lansate de vulpe, în ipostaza de atacant, iar celălalt se bazează pe o singură metodă de „protecţie fizică”, transformându-se într-un bulgăre de ghimpi – cu scop de apărare –, acesta fiind ariciul. În selectarea uneia dintre cele două metode, majoritatea realizatorilor de sisteme de securitate a averilor informaţionale aleg varianta ariciului.
Istoria ne oferă o mulţime de exemple referitoare la măsurile de protecţie sau de apărare a valorilor informaţionale. Nu vom mai zăbovi asupra lor, căci prezentul ne oferă o gamă atât de diversificată, greu de surprins prin multitudinea cazurilor înregistrate. Tocmai din această cauză vom încerca să surprindem esenţialul sau regulile generale ale luptei prin sau pentru informaţie, ceea ce a condus la apariţia conceptului de război informaţional.
Războiul informaţional constă în acele acţiuni realizate cu scopul de a proteja, exploata, corupe, respinge sau distruge informaţii sau resurse informaţionale, având ca finalitate obţinerea unui avantaj, atingerea unui obiectiv sau câştigarea unei victorii majore asupra adversarului [5].
Operaţiunile declanşate prin război informaţional pot fi din următoarele categorii: penetrarea calculatoarelor, spioni umani, sateliţi spioni, interceptări, camere de supraveghere video, război electronic, distrugerea fizică a componentelor de comunicaţii sau a sistemelor energetice, falsificări de documente, managementul percepţiei, operaţiuni psihologice, viruşi, viermi, cai troieni, viruşi falşi, furtul de secrete comerciale, interceptarea datelor personale, contrafacerea de e-mail-uri şi multe altele.
Din simpla lor enumerare, putem trage concluzia că ele se pot înfăptui în timpul războaielor reale (cum au fost cele din Irak, Iugoslavia, Afganistan) sau al aşa-ziselor războaie reci. În funcţie de circumstanţe, unele dintre ele sunt catalogate drept crime, altele sunt legale, dar condamnabile la capitolul etică. Unele părţi sau guverne le consideră practici normale. În domeniul militar sunt asimilate conflictelor. În orice caz, tot ceea ce au ele în comun este ţinta urmărită, de a exploata resursele informaţionale în avantajul atacantului şi dezavantajul celeilalte părţi, atacatul sau apărătorul. Astfel, putem să împărţim şi operaţiunile în operaţiuni de atac şi altele de apărare.
Operaţiunile de atac urmăresc mărirea valorii unei resurse-ţintă în favoarea atacantului şi diminuarea valorii ei pentru apărător, în timp ce operaţiunile de apărare vizează contracararea potenţialelor atacuri, pentru preîntâmpinarea sau diminuarea eventualelor pierderi. Se poate spune că nu este o luptă cu sumă zero, ci cu învingători şi învinşi. Valorile obţinute nu sunt întotdeauna monetare sau materiale, ci militare sau convenţionale, sau de altă natură.
Valoarea resurselor informaţionale pentru un actor/jucător este o funcţie de şase factori [1]. Primul vizează relevenţa resursei prin prisma preocupărilor şi angajamentului jucătorului. Al doilea se referă la aptitudinile jucătorului. El poate să aibă cunoştinţe, abilităţi şi mijloace de utilizare eficientă a resursei. Al treilea factor este disponibilitatea resursei pentru jucător. Cel de-al patrulea se referă la disponibilitatea resursei pentru alţi jucători. Dacă un document secret intră în posesia unui jucător, valoarea câştigată de acesta este imensă, mai mare decât era la proprietar. Al cincilea factor evidenţiază integritatea resursei, ceea ce înseamnă completitudine, corectitudine, autenticitate şi calitate în ansamblu. Dacă un atacant transmite pe canalele de televiziune ale altei ţări informaţii prin care aceasta din urmă este discreditată este un real avantaj al atacantului. Al şaselea factor se referă la factorul timp. Valoarea unei resurse informaţionale poate spori sau diminua în timp.
Operaţiunile războaielor informaţionale de atac produc rezultate de genul învins-învingător, prin alterarea disponibilităţii şi integrităţii resurselor informaţionale, în favoarea atacantului şi defavoarea apărătorului. Se poate vorbi despre obţinerea a trei rezultate în urma unui atac:
1.atacantul obţine un acces mai mare la resursele informaţionale;
2.apărarea pierde accesul total sau parţial la resurse;
3.integritatea resurselor este diminuată.
Operaţiunile de apărare încearcă să protejeze resursele informaţionale împotriva potenţialelor atacuri. Scopul lor este de păstrare a valorii resurselor sau, în caz de atac încununat cu succes, să recupereze valorile pierdute. Defensiva sau apărarea poate fi văzută ca un tot format din cinci părţi: prevenirea, descurajarea, indicaţii şi atenţionări, detectarea, preparative în caz de urgenţă şi răspunsul. Operaţiunile întreprinse şi tehnologiile utilizate se pot încadra în mai multe domenii dintre cele enumerate.
Securitatea informaţională se apropie mult de războiul informaţional defensiv, dar nu se confundă cu acesta, deoarece securitatea informaţională vizează, în principal, resursele proprii şi măsurile de protecţie împotriva erorilor, accidentelor şi dezastrelor naturale, dar şi a actelor săvârşite cu intenţie. Războiul informaţional defensiv se adresează resurselor fără proprietar, îndeosebi a celor din domeniul public, şi nu se preocupă de acte neintenţionate.
Atât securitatea informaţională, cât şi războiul informaţional defensiv, deseori, sunt cuprinse în termenul asigurare informaţională.
Războaiele informaţionale implică nu numai calculatoarele şi reţelele de calculatoare, ci şi informaţiile sub orice formă şi transmisia lor pe orice cale. Ele acoperă toate operaţiunile declanşate împotriva conţinutului informaţiilor şi a sistemelor în care se află, inclusiv hard, soft şi practici umane.
Resursele informaţionale
Resursele informaţionale pot fi împărţite în cinci clase, după funcţia pe care o au: containere, transportori, senzori, aparate de înregistrat şi procesoare. Nu se poate face o referire netă la includerea unei resurse într-o singură clasă, deoarece ea se poate regăsi în mai multe. Edificatoare sunt calculatoarele şi oamenii, greu de încadrat într-o anumită clasă.
Containerele sunt suporturi informaţionale pe care sunt păstrate informaţiile sau pseudo-informaţiile, când e cazul. Fiecare obiect este purtătorul propriilor informaţii, al acelora ce-i descriu structura, putându-se spune că fiecare obiect este un container de informaţii. De un interes aparte se bucură obiectele care au un conţinut informaţional suplimentar. Printre ele se află memoria omului, a calculatoarelor, suporturile media, benzi, discuri ş.a. Containerele pot fi incluse unul în altul, cum ar fi cazul documentelor incluse în dosare, la rândul lor incluse în bibliorafturi, acestea depuse în dulapuri, şi ele încuiate în birouri ş.a.m.d. În cazul suporturilor informatice, datele sunt păstrate în fişiere, ele fiind incluse în directoare. În lumea reală, a avea acces la o informaţie necesită trecerea peste anumite niveluri de protecţie, poate în ordinea inversă a descrierii anterioare, dar în lumea electronică este posibilă trecerea peste aceste straturi realizate prin software – de exemplu, un disc poate fi citit direct, fără să fie deschis un fişier anume.
Transportorii sunt obiecte şi sisteme de comunicaţii care transmit sau transferă informaţiile dintr-un loc în altul. Ei pot fi persoane, vehicole şi sisteme fizice de transport (camioane, planuri înclinate, benzi transportoare, tuburi cu vacuum ş.a.), sisteme poştale, sisteme de telecomunicaţii, inclusiv sistemele de telefonie şi telegrafie, sistemele de radio şi televiziune, reţelele de calculatoare, inclusiv Internet, Intranet şi Extranet.
Senzorii sunt echipamente care extrag informaţiile din alte obiecte şi din medii diverse. Aici sunt incluşi senzorii umani, camerele de luat vederi, microfoanele, scannerele şi radarele.
Aparatele de înregistrat sunt echipamente prin intermediul cărora sunt plasate informaţiile în containere. Aici se încadrează procesele umane, imprimantele, magnetofoanele/casetofoanele/repertofoanele şi inscriptoarele de discuri.
Procesoarele de informaţii sunt obiecte care manipulează informaţii, de genul oamenilor, microprocesoarelor, precum şi softul şi hardul sistemelor informatice.
Termenul de infrastructură informaţională se referă la resursele informaţionale, inclusiv sistemele de comunicaţie, instituţii sau persoane din domeniu. Se poate vorbi despre infrastructura informaţională a apărării, infrastructura informaţională naţională şi infrastructura informaţională globală.
Spaţiul informaţional se referă la agregarea tuturor resurselor informaţionale aflate la dispoziţia unei unităţi. Într-o firmă, el cuprinde angajaţii, documentele tipărite, sistemele informatice şi de comunicaţii, plus toate informaţiile structurate existente în unitate sau în mediul ei de lucru.
Spaţiul cibernetic, cyberspace, este spaţiul informaţional care însumează totalitatea reţelelor de calculatoare, cunoscut şi ca reţeaua reţelelor.
Spaţiul de bătaie/luptă este un spaţiu aparte, specific doar pe timp de război, şi constă în tot ceea ce se află în spaţiul fizic, inclusiv semnalele comunicaţiilor din eter.
Valoarea resurselor informaţionale are două componente: o valoare de schimb şi una operaţională. Valoarea de schimb este stabilită de piaţă şi este cuantificabilă, reprezentând preţul pe care îl oferă cineva pentru acea resursă. Valoarea operaţională este dată de avantajele obţinute în urma utilizării acelei resurse. Poate fi cuantificabilă, dar nu e o regulă generală.
Valoarea unei resurse pentru o parte nu este aceeaşi şi pentru cealaltă parte. Pentru un anumit jucător, după cum am afirmat anterior, valoarea este o funcţie de şase factori: proecuparea şi angajamentul jucătorului, aptitudinile jucătorului, disponibilitatea resurselor pentru jucător, disponibilitatea resurselor pentru alţi jucători, integritatea resurselor şi timpul.
Jucătorii
Într-un război informaţional participă doi jucători: unul ofensiv şi altul defensiv. Primul, atacantul sau jucătorul ofensiv, este cel ce lansează o anumită operaţiune asupra unei resurse informaţionale, iar cel de-al doilea, apărătorul sau jucătorul defensiv, îşi propune să se apere de operaţiunea declanşată de atacant.
De regulă, atacantul este „zmeul” sau „balaurul” sau „băiatul cel rău”, dar o astfel de catalogare nu este valabilă în toate cazurile.
Jucătorii din ambele tabere pot acţiona individual sau în grupuri organizate (structurate) şi neorganizate (nestructurate). Ei pot acţiona la nivelul unui stat sau nu, putând fi sau nu finanţaţi. Pentru intrarea într-un război informaţional, un jucător trebuie să aibă un motiv, să dispună de mijloace şi să i se ofere posibilitatea de a o face.
Jucătorii ofensivi pot fi grupaţi în câteva clase generale: interni, hackeri, criminali, corporaţii, guverne şi terorişti.
Jucătorii defensivi sunt persoane fizice, organizaţii sau guverne. La nivelul persoanelor, apărarea constă în tot ceea ce se întreprinde pentru păstrarea secretului datelor cu caracter personal, a resurselor proprii, a menţinerii unei poziţii competitive pe piaţă ş.a. Organizaţiile vizează păstrarea unei poziţii competitive şi a resurselor lor. Pentru guverne, eforturile vor fi concentrate spre asigurarea securităţii informaţionale, a securităţii economice, siguranţei publice, a cadrului juridic ş.a. Guvernului îi revin obligaţii din următoarele categorii: identificarea, investigarea şi sancţionarea actelor criminale, servicii de contra-informaţii, apărare naţională, crearea cadrului protecţiei legale, definirea standardelor, precum şi inventarea şi realizarea noilor tehnologii de apărare.
Părţile angajate într-un război informaţional pot juca ambele roluri, de apărător şi atacant.
Războiul informaţional poate afecta şi România?!
Potrivit Strategiei de Securitate Naţională a României, şi pentru ţara noastră se conturează noi factori de risc, respectiv ci asimetrici nonclasici, între care mai importanţi sunt [7]:
terorismul politic transnaţional şi internaţional, inclusiv sub formă informatică;
acţiuni ce atentează la siguranţa infrastructurii critice a României;
accesarea ilegală a sistemelor informatice;
acţiunile premeditate de afectare a imaginii României pe plan internaţional;
agresiunea economico-financiară;
provocarea deliberată de catastrofe ecologice.
Dintre principalele tipuri de vulnerabilităţi legate de informaţii şi sisteme informaţionale, pentru care trebuie luate măsuri de prevenire şi contracarare sunt enumerate: menţinerea la un nivel scăzut a insfrastructurii informaţionale şi întârzieri în realizarea acesteia la standardele impuse de dinamica globalizării; deficienţe în protecţia informaţiilor clasificate.
Strategia militară a României evidenţiază existenţa riscurilor privind războiul informaţional, dar acest lucru nu este suficient pentru a elimina efectele apariţiei unui astfel de fenomen. Potrivit strategiei, războiul informaţional ar avea ca prim obiectiv izolarea României în societatea globală, prin lipsa infrastrucrurii, tehnologiei şi personalului specializat.
Potrivit unor analize [2], România este în momentul de faţă ţinta unui război informaţional agresiv declanşat din exterior cu sprijin intern, ţintele principale fiind sistemul financiar, sistemul fiscal, sistemele de telecomunicaţii. Afectarea infrastructurii acestor sisteme se consideră că este cauzată de neglijenţă, lipsa unor strategii naţionale coerente de asigurare a securităţii infrastructurilor critice ale României, lipsa politicilor de securitate la nivelul instituţiilor guvernamentale, financiare, de învăţământ etc.

Protecţia informaţiilor prin clasificarea lor
Dacă după cel de-al doilea război mondial au rămas atâtea amintiri neplăcute, se cuvine, totuşi, să recunoaştem şi câteva moşteniri teribile. Ne gândim la cercetarea operaţională, a lui Claude Shannon, transferată din domeniul militar în cel economic, dar şi la ceea ce ne interesează pe noi mai mult, marcarea documentelor cu regim special. NATO are meritul principal în dezvoltarea acestui sistem, al clasificării. Clasificare înseamnă etichetări crescătoare ale documentelor sau informaţiilor, de la cel mai de jos nivel, unde se situează informaţiile deschise (open) sau neclasificate (unclassified), la cele confidenţiale, urcând spre informaţii secrete şi strict secrete (top secret).
Iniţial, s-a pornit de la ideea că informaţiile care prin compromitere pot costa vieţi umane sunt marcate „secrete”, în timp ce informaţiile a căror compromitere costă pierderea multor vieţi umane sunt definite „top secret” (strict secrete). Angajaţii în domeniul securităţii sistemelor sunt investiţi cu responsabilităţi diverse, dar şi cu dreptul de a lucra cu anumite categorii de informaţii. Se poate vorbi de o strânsă legătură între responsabilităţi şi categoriile de informaţii cu care se dă dreptul de a lucra. În SUA, dreptul de verificare a fişierelor cu amprente ale FBI este acordat doar pentru verificarea unor informaţii secrete, în timp ce o verificare de tip „top secret” dă dreptul de accesare a tuturor datelor despre locurile de muncă din ultimii 5 până la 15 ani.
Pe linia accesului la unele categorii de informaţii, pentru exercitarea controlului lucrurile sunt mai clare: un oficial poate citi documentele dintr-o anumită categorie numai dacă el are cel puţin împuternicirea de accesare a informaţiilor din categoria respectivă sau dintr-una superioară. De exemplu, un împuternicit să acceseze informaţii „strict secrete” poate citi informaţii confidenţiale, secrete şi strict secrete, iar unul cu drept de accesare a informaţiilor secrete nu le poate accesa pe cele „strict secrete”. Regula este că informaţiile pot circula doar în sus, de la confidenţial la secret şi strict secret, în timp ce invers, de sus în jos, pot circula doar dacă o persoană autorizată ia în mod deliberat decizia de a le declasifica.
De asemenea, s-au stabilit reguli de păstrare a documentelor, după cum urmează: documentele confidenţiale sunt păstrate în dulapuri cu cheie, în orice birou guvernamental, în timp ce documentele din categoriile superioare necesită seifuri de un anumit tip, uşi păzite şi control asupra copiatoarelor şi a celorlalte echipamente electronice.
Sunt foarte puţine unităţi care au proceduri stricte pe linia asigurării securităţii informaţiilor. Pe de altă parte, la nivel naţional există proceduri foarte riguroase privind secretul de stat. De regulă, există o ierarhie a ceea ce este cunoscut sub numele de clasificare, prin care orice document şi alte elemente importante sunt încadrate într-o anumită categorie.
Se practică două strategii de bază pe linia securităţii naţionale:
1. Tot ceea ce nu este interzis este permis.
2. Tot ceea ce nu este permis este interzis.
În Statele Unite ale Americii, prima strategie este cea care guvernează accesul la informaţiile guvernamentale. În multe ţări de pe glob, accesul la informaţiile naţionale este controlat prin legi privind secretul de stat, folosindu-se cea de-a doua strategie. Un angajat loial şi devotat firmei nu discută afacerile acesteia până când nu are convingerea că problema respectivă poate să fie făcută publică.
Se apelează la două tactici de implementare a strategiei fundamentale privind protejarea informaţiilor deosebite: controlul discreţionar al accesului, controlul legal al accesului.
Prima tactică de control al accesului implementează principiul celui mai mic privilegiu: nici o persoană, în virtutea rangului sau a poziţiei ce o deţine, nu are drepturi nelimitate de a vedea informaţiile deosebite, iar persoanele care au o astfel de facilitate trebuie să le vadă numai pe cele care intră în sfera lor de activitate. Controlul discreţionar al accesului este aplicat printr-o matrice de control. Pentru fiecare persoană (subiect) aflată pe listă şi pentru fiecare informaţie (obiect), matricea arată ceea ce poate face fiecare subiect cu obiectele din listă: citire, scriere, execuţie, aprobare ş.a.
Controlul legal al accesului îşi exercită forţa pe baza legilor existente (legea securităţii naţionale, legea energiei atomice ş.a.). În SUA, prin lege, sunt stabilite două tipuri de structuri de control: ierarhizate şi neierarhizate.
Structura ierarhizată încadrează informaţiile senzitive în patru categorii: strict secrete, secrete, confidenţiale şi neclasificate. Primele trei categorii sunt referite printr-o denumire generică: informaţii clasificate. În alte ţări NATO, inclusiv Canada, a patra categorie este cunoscută sub numele de informaţii restrictive.
În structura neierarhizată sunt două categorii: compartimentate şi cu obiecţii sau ascunse vederii unor categorii de persoane. Compartimentările pot avea nume scurte, suficient de sugestive, care să scoată în relief aspecte cum sunt: SECOM (securitatea comunicaţiei), CRIPTA (criptare), COMSEC (comunicaţii secrete), HUMINT (Human INTeligence), SIGINT (SIGnal INTeligence), IMINT (IMage INTeligence) ş.a. Categoria „cu obiecţii” priveşte îndeosebi naţionalitatea potenţialilor cititori şi autori ai obiectelor. În SUA, contestaţiile (obiecţiile) sunt: NOFOR (no foreign = neaccesibile străinilor), US/UK EYES ONLY (de văzut numai de către englezi sau americani) ş.a.
Informaţiile strict secrete, care sunt într-o anumită compartimentare, se numesc informaţii senzitive compartimentate şi presupun o atenţie deosebită la întrebuinţare. Doar o categorie este superioară acesteia din urmă. Este vorba despre informaţiile din planul operativ integrat unic sau răspunsul naţional în caz de război.
Atunci când informaţiile au fost împărţite în două mari categorii, clasificate şi neclasificate, s-a ţinut cont de anumite principii.
Guvernele pornesc de la o altă clasificare mai largă, împărţind informaţiile în două mari tipuri: informaţii subiective şi informaţii obiective. Anterior a operat o altă clasificare: informaţii „operaţionale” şi informaţii „ştiinţifice”. Unii chiar au menţionat un al treilea tip de informaţii clasificate de guverne – informaţii „tehnice”, însă în multe materiale, informaţiile tehnice şi cele ştiinţifice sunt submulţimi ale informaţiilor obiective.
Atunci când o informaţie trebuie să fie clasificată ei i se va atribui un nivel de clasificare, ceea ce va evidenţia importanţa relativă a informaţiei clasificate în sistemul naţional de securitate, specificându-se cerinţele minime pe care trebuie să le îndeplinească acea informaţie.
Un sistem de clasificare eficient trebuie să se bazeze pe niveluri de clasificare definite cu mare claritate.
În sistemul american de clasificare a informaţiilor există trei niveluri de clasificare: top secret (strict secret), secret şi confidenţial. Informaţiile neclasificate constituie o altă categorie. În Legea 182/2002 privind protecţia informaţiilor clasificate, din România, informaţiile clasificate din clasa secretelor de stat sunt încadrate în trei niveluri, astfel: strict secrete de importanţă deosebită, strict secrete şi secrete.
Informaţiile strict secrete (SUA), cărora le corespund informaţiile strict secrete de importanţă deosebită (România), sunt informaţiile a căror divulgare neautorizată este de natură să producă daune de o gravitate excepţională securităţii naţionale.
Informaţiile secrete (SUA), ceea ce echivalează cu informaţiile strict secrete (România), sunt informaţiile a căror divulgare neautorizată este de natură să producă daune grave securităţii naţionale.
Informaţiile confidenţiale (SUA), corespunzătoare informaţiilor secrete (România), sunt informaţiile a căror divulgare neautorizată este de natură să producă daune securităţii naţionale.
Apreciem că o nesincronizare a nivelurilor de clasificare din sistemul românesc cu cel american este o probă de neinspiraţie, cu atât mai mult cu cât intrarea în NATO va genera multe disfuncţionalităţi circulaţiei informaţiilor clasificate. Considerăm că, în timp, nivelurile securizării din România vor fi schimbate tocmai pentru eliminarea neajunsurilor menţionate anterior.

Aspecte principale pe linia securizării spaţiului cibernetic
Vorbind despre spaţiul cibernetic, se cuvine să prezentăm câteva probleme şi cauze ce conduc la insecuritatea globală a planetei:
lipsa unui nivel suplimentar de securitate orientat spre angajaţii organizaţiilor (s-a constat că 73% dintre companii n-au cerut vreodată angajaţilor proprii să citească sau recitească politicile de securitate după angajare, iar 2/3 nu verifică nicicând dacă angajaţii lor au citit politicile de securitate);
apelarea la „honeypots” (furnicare), pe post de servere false, adevărate captatoare de urme ale atacatorilor de sisteme;
dificultatea combaterii atacurilor din interior prin mijloace tehnice demonstrează că securitatea este, în principal, o problemă umană – evidenţiind faptul că în lume există un prost management (se recomandă separarea obligaţiilor de serviciu, plecarea anuală a tuturor angajaţilor în concediu);
o prea mare deschidere a reţelelor din organizaţii;
proliferarea sistemelor bazate pe calculatoare miniaturizate (handheld) fără o prea bună securizare;
decât să vezi reţelele organizaţiilor ca pe nişte castele, mai bine le vezi ca pe nişte aeroporturi – oamenii vin şi pleacă tot timpul, unele zone sunt mai securizate decât altele, iar oamenii când trec dintr-o parte în alta trebuie să prezinte proba (bilet, tichet de îmbarcare, paşaport etc);
folosirea unei mari baze de date care să conţină informaţii despre cine poate să facă ce să facă, ce va asigura că utilizatorii pot să facă numai lucrurile îndreptăţite să le facă – aceasta va duce la supravegherea activităţilor pe linia securităţii de către manageri, ca obligaţii de zi cu zi;
nu blocarea atacanţilor, ci lăsarea lor să acţioneze pentru a le putea urmări modul de acţiune;
aproape inexistente asigurările în spaţiul cibernetic, din cauza complexităţii noilor reţele ce fac dificilă evaluarea riscurilor;
societăţile de asigurare vor impune companiilor tipurile de echipamente pe care trebuie să le aibă pentru a fi admise pe lista asiguraţilor sau pentru a beneficia de reduceri substanţiale ale primelor de asigurare;
revizuirea iniţiativelor lansate cu mult entuziasm în privinţa biometriei (ochi, faţă, amprenta digitală ş.a.);
11 septembrie 2001 a demonstrat că nu problema colectării datelor a condus la acest dezastru, ci neîmpărtăşirea şi proasta lor interpretare;
de revizuit rolul factorului uman (HUMINT) în culegerea de informaţii;
terorismul din spaţiul cibernetic poate fi mai periculos decât cel tradiţional (câteva clicări de mouse pot să conducă la distrugerea economiei şi afectarea multor vieţi omeneşti – un mouse poate fi mai periculos decât un glonţ sau o bombă);
de evitat un posibil Pearl Harbour electronic – pentru asta, în SUA, sunt necesare cel puţin cinci ani şi 200 milioane de dolari. Sunt căi mai simple şi mai ieftine de atacat infrastructurile principale: telefoane false, automobile-capcană, piraţi ai aerului;
analogie în abordarea securităţii sistemului cu sistemul de lobby din domeniul mediului (gen Green Peace).
Iată doar câteva dintre semnalele disperate ale omenirii faţă de globalizarea informaţională. Statele foarte dezvoltate au ajuns să depindă de informaţii mai mult decât de resursele naturale. Unele dintre ele, dacă nu mai au controlul informaţiilor, pot supravieţui fără instaurarea haosului doar câteva ore – SUA, doar şase ore.
Spaţiul cibernetic – sistemul central al infrastructurii naţionale
Un prim pas în asigurarea securităţii informaţiilor vehiculate la nivelul sistemului informaţional global constă în elaborarea unei strategii de securizare a infrastructurilor de importanţă vitală.
Infrastructura oricărei naţiuni este compusă din instituţii publice şi private din sectoarele agricol, alimentar, apă, sănătate publică, transport, finanţe şi bănci, industria chimică şi a altor substanţe speciale, servicii poştale şi maritime. Sistemul central al acestei infrastructuri îl constituie spaţiul cibernetic – de mii de calculatoare interconectate, servere, rutere, comutatoare (switch-uri), precum şi din cablurile de fibră optică ce permit infrastructurii principale să fie perfect interconectată. Astfel, funcţionarea sănătoasă a spaţiului cibernetic este esenţială pentru orice economie şi pentru securitatea naţională [8].
Fiecare ţară este nevoită să-şi dezvolte o strategie proprie de securizare a spaţiului cibernetic, având în vedere explozia pe care a înregistrat-o utilizarea reţelelor informatice globale. În momentul actual, eforturile nu trebuie orientate numai către spaţiul cibernetic al naţiunii, ci trebuie conjugate la nivel global, având în vedere că s-a ajuns la un grad destul de ridicat al depedenţei funcţionării întregii infrastructuri de funcţionare reţelei globale. Riscurile securităţii informaţiilor sunt mult mai mari, sunt la nivel global. Prin atacarea unei reţele naţionale este afectată reţeaua globală.
Securizarea spaţiului cibernetic este o misiune strategică dificilă, care necesită coordonarea şi concentrarea eforturilor întregii societăţi, guvernele fiind nevoite să lucreze împreună la identificarea ameninţărilor, a vulnerabilităţilor sistemelor, precum şi la stabilirea măsurilor de îmbunătăţire a securităţii spaţiului cibernetic.
Viteza cu care se realizează atacurile din spaţiul cibernetic, anonimatul lor le fac greu de atribuit unor acţiuni teroriste, criminale sau la nivel de stat – sarcină ce apare deseori după ce s-a înfăptuit atacul. De aceea, elaborarea şi aplicarea unor strategii naţionale şi internaţionale de securizare a spaţiului cibernetic poate ajuta la reducerea vulnerabilităţii în faţa atacurilor devastatoare declanşate împotriva infrastructurilor informaţionale critice sau a averilor/bunurilor fizice care stau la baza acesteia.
Plecând de la exemplul american, care aplică deja o Strategie Naţională de Securizare a Spaţiului Cibernetic, se pot identifica obiectivele strategice care ar trebui avute în vedere de orice naţiune în acest domeniu:
prevenirea atacurilor cibernetice împotriva infrastructurilor critice;
reducerea vulnerabilităţii naţionale în faţa atacurilor cibernetice;
minimizarea daunelor şi a timpului de reconstituire a sistemului în urma eventualelor atacuri cibernetice, dacă apar.
Ameninţări şi vulnerabilităţi
Economia şi securitatea naţională sunt total dependente de tehnologiile informaţionale şi de infrastructura informaţională. În centrul infrastructurii informaţionale, de care depinde omenirea, se află Internetul, un sistem conceput iniţial pentru folosirea în comun a cercetărilor neclasificate între oamenii de ştiinţă care nu erau suspectaţi de folosirea abuzivă a reţelei. Este acelaşi Internet care astăzi conectează milioane de calculatoare din diferite reţele, rezolvând cele mai multe servicii de bază ale naţiunilor şi conducând la funcţionarea infrastructurilor.
Aceste reţele de calculatoare, de asemenea, controlează obiecte fizice, cum sunt transformatoarele electrice, trenurile, staţiile de pompare, containerele chimice, radarele, bursele de valori – toate existând dincolo de spaţiul cibernetic.
O mare varietate de actori rău intenţionaţi pot declanşa atacuri împotriva structurii informaţionale critice. Unii deja au făcut-o. O preocupare majoră trebuie să fie orientată spre atacurile cibernetice organizate, capabile să cauzeze destabilizarea infrastructurii Naţionale critice, a economiei sau a securităţii naţionale. Complexitatea tehnică solicitată pentru înfăptuirea unui astfel de atac este destul de ridicată şi, parţial, explică de ce încă nu s-au înregistrat astfel de atacuri până acum. Totuşi, nu trebuie să fim prea încrezători. Au fost cazuri în care atacanţii organizaţi au exploatat unele vulnerabilităţi care ne-au demonstrat că dispun de capacităţi distructive şi mai mari. Incertitudinea există, precum şi intenţia şi performanţele tehnice necesare, după cum au dovedit-o câteva atacuri anterioare. Analizele ameninţărilor cibernetice sunt strict necesare pentru identificarea tendinţelor pe termen lung ale ameninţărilor şi vulnerabilităţilor. Ceea ce se ştie este faptul că instrumentele şi metodologiile înfăpturii atacurilor sunt larg răspândite, iar capacităţile tehnice şi complexitatea utilizatorilor porniţi pe provocarea unui adevărat dezastru se află în creştere.
Pe timp de pace, duşmanii pot declanşa acte de spionaj asupra guvernului, centrelor de cercetare ştiinţifică universitară şi companiilor private. De asemenea, ei încearcă să pregătească terenul pentru administrarea loviturilor din spaţiul cibernetic în cazul unei confruntări, prin cartografierea sistemelor informaţionale ale unui stat, identificând principalele ţinte şi plasând în infrastructura naţională porţi ascunse de intrare şi alte mijloace de acces. Pe timp de război sau criză, adversarii vor încerca să intimideze liderii politici naţionali prin atacarea infrastructurilor critice şi a funcţiilor de bază ale economiei sau erodarea încrederii publice în sistemele informaţionale.
Atacurile cibernetice asupra reţelelor informaţionale ale oricărei ţări pot avea consecinţe grave, cum ar fi întreruperea funcţionării unor componente cheie, provocarea pierderilor de venituri şi proprietăţi intelectuale sau chiar pierderea vieţilor omeneşti. Contracararea unor astfel de atacuri necesită realizarea unor componente riguroase cum încă nu există în prezent, dacă se doreşte reducerea vulnerabilităţilor şi prevenirea sau diminuarea forţei capacităţilor îndreptate împotriva infrastructurilor critice.
Rolul guvernului în securizarea spaţiului cibernetic
În general, sectorul privat este cel mai bine structurat şi echipat pentru a răspunde la un eventual atac cibernetic. Privind în interior, asigurarea continuităţii activităţii guvernului presupune asigurarea siguranţei propriei sale infrastructuri cibernetice şi a activelor necesare pentru atingerea misiunii şi exercitarea serviciilor. Pe plan extern, rolul unui guvern pe linia securităţii cibernetice este acela al garantării cazurilor în care costurile tranzacţiilor sunt ridicate sau atunci când barierele legale conduc la probleme ce necesită o coordonare deosebită; cazurile în care guvernele operează în absenţa forţelor sectorului privat; creşterea conştientizării.
Angajarea parteneriatului public-privat este componenta de bază a strategiei de securizare a spaţiului cibernetic. Acesta este adevărul din câteva motive. Parteneriatul se confruntă cu problema coordonării. Partenerii pot îmbunătăţi, în mod semnificativ, schimbul de informaţii şi cooperarea. Angajamentul public-privat va lua o mare varietate de forme şi se va adresa conştientizării nevoii de instruire, performanţelor tehnologice, remedierii vulnerabilităţii şi operaţiunilor de reconstituire a sistemului.
Rolul guvernului în aceste cazuri şi în altele este justificat doar atunci când beneficiile intervenţiei depăşesc costurile asociate. Acest standard este important doar în cazurile în care există soluţii viabile din partea sectorului privat pentru remedierea potenţialelor ameninţări şi vulnerabilităţi. Pentru fiecare caz, trebuie să se acorde atenţie costurilor şi impactului unei acţiuni anume a guvernului, comparativ cu alte acţiuni complementare, non-acţiuni, luând în considerare şi soluţiile prezente şi viitoare ale sectorului privat.
Acţiunile guvernamentale de securizare a spaţiului cibernetic sunt justificate din mai multe motive: al jurisdicţiei şi încadrării atacurilor, protecţiei reţelelor şi sistemelor critice pentru securitatea naţională, al recomandărilor şi atenţionărilor, precum şi al protecţiei împotriva atacurilor organizate capabile să producă daune economiei. Activităţile instituţiilor guvernamentale trebuie, de asemenea, să susţină cercetarea şi dezvoltarea tehnologică pentru a permite sectorului privat să asigure o mai bună securizare a unei părţi din infrastructura principală a naţiunii.
Ca orice strategie, şi cea de securizare a spaţiului cibernetic ar trebui să-şi definească o serie de priorităţi, care, potrivit guvernului american, ar putea fi:
1.un sistem naţional de răspuns pe linia securităţii spaţiului cibernetic;
2.un program naţional de reducere a vulnerabilităţii şi ameninţărilor securităţii spaţiului cibernetic;
3.un program naţional de instruire şi conştientizare privind securitatea spaţiului cibernetic;
4.securizarea spaţiului cibernetic guvernamental;
5.securitatea naţională şi cooperarea internaţională privind securitatea spaţiului cibernetic.
Prima prioritate vizează îmbunătăţirea răspunsului la incidentele cibernetice şi la reducerea potenţialelor daune produse de astfel de evenimente. Priorităţile a doua, a treia şi a patra vizează reducerea ameninţărilor şi vulnerabilităţilor în faţa potenţialelor atacuri cibernetice. A cincea prioritate este de prevenire a atacurilor cibernetice care pot avea impact asupra activelor naţionale de securitate şi de îmbunătăţire a managementului internaţional al răspunsurilor la astfel de atacuri.
Cadrul legislativ românesc privind securitatea informaţiilor
La nivelul României, în ultimii ani, au început să apară din ce în ce mai multe reglementări legislative privind protecţia şi securitatea informaţiilor. Lucrurile s-au schimbat odată cu proliferarea şi pe teritoriul ţării a tehnologiilor informaţionale şi de comunicaţii, care au eliminat barierele de timp, spaţiu şi localizare a prelucrării, stocării şi transmiterii informaţiilor. Chiar dacă sunt încă multe lacune în această privinţă, se poate spune că este un început bun pentru trecerea României la societatea informaţională şi a cunoaşterii.
Printre cele mai importante legi care reglementează, direct sau indirect, protejarea informaţiilor, mecanismele de prelucrare, stocare şi transmitere, se pot enumera:
Legea 51/1991 privind siguranţa naţională a României;
Ordonanţa de Guvern 124/2000 pentru completarea cadrului juridic privind dreptul de autor şi drepturile conexe, prin adoptarea de măsuri pentru combaterea pirateriei în domeniile audio şi video, precum şi a programelor pentru calculator. Ordonanţa este prezentată la paragraful drepturilor de autor;
Legea 455/iulie 2001 privind semnătura electronică;
Legea 544/2001 privind accesul la informaţia publică;
Legea 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor;
Legea 677/21 noiembrie 2001 privind protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
Legea 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;
Ordinul Ministerului Finanţelor Publice 875/2001 pentru aprobarea Regulamentului privind operaţiunile cu titluri de stat emise în formă dematerializată;
Legea 182/2002 privind protecţia informaţiilor clasificate, însoţită de Hotărârea de Guvern 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România;
Legea 365/2002 privind comerţul electronic;
Ordonanţa de Guvern 34/2002 privind accesul la reţelele de telecomunicaţii electronice şi la infrastructura asociată, precum şi interconectarea acestora;
Hotărârea de Guvern 781/2002 privind protecţia informaţiilor secrete de serviciu;
Regulamentul Băncii Naţionale a României 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii;
Ordonanţa de Guvern 24/2002 privind încasarea prin mijloace electronice a impozitelor şi taxelor locale;
Ordinul Avocatului Poporului 75/2002 privind stabilirea unor măsuri şi proceduri specifice care să asigure un nivel satisfăcător de protecţie a drepturilor persoanelor ale căror date cu caracter personal fac obiectul prelucrărilor.
Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, care conţine componenta de prevenire şi combatere a criminalităţii informatice, în Titlul III.
S-ar putea spune că, cel puţin din vedere legislativ, România se apropie de climatul juridic internaţional şi al ţărilor dezvoltate în privinţa securităţii informaţiilor. Însă, mai sunt multe aspecte de rezolvat, care ţin de procedurile de aplicare a legislaţiei, de educaţia şi instruirea în acest domeniu, de conştientizarea factorilor decizionali în privinţa riscurilor la care sunt supuse sistemele informatice ale organismelor pe care le conduc. De asemenea, nu există o strategie elaborată în privinţa securizării spaţiului cibernetic, în care să fie definite foarte clar obiectivele, priorităţile, măsurile şi actorii responsabili, elemente de această natură regăsindu-se doar pe alocuri în Strategia de Securitate Naţională, Doctrina naţională a informaţiilor pentru securitate, Legea siguranţei naţionale şi celelalte legi care reglementează securitatea informaţiilor, a activităţilor care apelează la mijloace electronice de prelucrare a datelor etc.

Concluzii
Informaţia, a treia formă de manifestare a Existenţei Fundamentale, la confluenţa dintre milenii, a devenit cea mai apreciată comoară a omenirii. Cu mult temei, s-a făcut afirmaţia de către japonezi că fericiţii stăpâni ai informaţiei de la sfârşitul secolului XX vor fi şi stăpânii lumii. Nu energiile controlate de om, oricât de puternice ar fi ele sau efectele lor, nu aurul şi alte averi materiale, sub orice formă ar exista acestea, ci informaţia va fi semnul puterii. Aşadar, nu sceptrul de aur, ci aureola informaţională.
Acum, la începutul mileniului trei, prea multe nu s-au schimbat pe planul operaţiunilor de protejare şi securizare a informaţiilor, ci doar tehnicile şi mediile de lucru, firesc, sunt altele. Până şi tradiţionalul sistem bazat pe un calculator central a devenit desuet, vorbindu-se în orice colţ al planetei despre Internet, Intranet, Extranet, despre includerea în structura lor a calculatoarelor personale (PDA), a diverselor generaţii de telefonie şi multe altele, inclusiv despre reţeaua reţelelor, ceea ce dă noi dimensiuni spaţiului cibernetic. Pe planul globalizării, o tendinţă este evidentă, a preocupărilor comune, public-privat, pentru securizarea spaţiului cibernetic global, îndeosebi după 11 septembrie 2001. Dependenţa de informaţie este tot mai mare, chiar periculoasă. Sunt state care depind total de informaţiile oferite de componentele spaţiului cibernetic naţional. Blocarea acestuia timp de câteva ore poate să conducă la instaurarea haosului în ţara respectivă, afectând, în bună măsură, şi securitatea sistemului informaţional global planetar.
Iată de ce se impune cu mai multă acuitate acordarea unei atenţii sporite securităţii informaţiilor, în primul rând, prin asigurarea unei corecte clasificări a lor, dar şi prin elaborarea unor strategii coerente de securizare a spaţiului cibernetic.

Bibliografie
1.D.E. Denning, Information Warfare and Security, Addison-Wesley, Reading, Massachusetts, 1999
2.D. Dragomir „Război informaţional agresiv asupra sistemului bancar”, Cotidianul, 29 mai 2004
3.M. Howard, D. LeBlanc, Writing Secure Code, 2nd Edition, Microsoft Press, Redmond, Washington, 2003
4.M. Igbaria, M. Anandarajan, C.C.-H Chen, „Global Information Systems”, in Encyclopedia of Information Systems, Academic Press, San Diego, CA, 2003, vol. 2, pp. 443-458
5.W. Schwartan, Information Warfare, 2nd edition, Thunder’s Mouth Press, New York, 1996
6.„Securing the Cloud. A Survey of Digital Security”, in The Economist, October 26th-November 1st, 2002, Volume 365, Number 8296
7.Strategia de securitate Naţională a României, www.mapn.ro/ strategia securitate
8.The National Strategy to SECURE CYBERSPACE, February 2003, The White House, Washington, whitehouse. gov/ pcipb /cyberspace_strategy

Lucrare elaborata de

BALACIU NICA

Anunțuri

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s