| CATEGORII DOCUMENTE |
Globalizarea, fenomen amplu dezbatut, nu putea sa nu influenteze aspectele legate de securitatea nationala, de amenintarile privind siguranta oamenilor si informatiilor, a institutiilor nationale si internationale. Extinderea la scara globala a utilizarii diferitelor mecanisme de prelucrare si comunicare a informatiilor, de control al activitatilor a condus si la nevoia de a lua in considerare noile aspecte ce influenteaza securitatea spatiului cibernetic global.
Lucrarea de fata isi propune sa abordeze problematica securitatii intr-un mediu de lucru global, a noului concept de razboi informational, a securitatii informatiilor prin clasificarea lor si, nu in ultimul rand, incearca sa scoata in evidenta nevoia dezvoltarii unei strategii de securizare a spatiului cibernetic. In contextul general, se face o trecere in revista si a principalelor preocupari ale institutiilor statului roman in acest domeniu.
Key words: globalizare, razboi informational, sistem informational
De-a lungul timpului, globalizarii i s-au dat diferite acceptiuni, ajungandu-se chiar la introducerea in uz a verbului a globaliza - pentru prima data aparut in anul 1944, in Merriam Webster Dictionary. Anterior existau doar conceptele global si globalizare. Prin global se intelegea o extensie a legaturilor de diverse tipuri dintre localitati, dand nastere unui nou fenomen, dar si unui atribut special. Apar conceptele de spatiu global sau geografie globala care elimina influentele nefaste ale distantelor dintre localitati si le leaga unele de altele, schitandu-se noi harti pe care liniile vor marca sensuri ale deplasarilor, migrarilor, mutarilor, comunicatiilor, schimburilor s.a. Aplicarea globalului in domeniul geografic, conducand la expansiunea fizica a acestuia, a generat globalizarea, ceea ce a insemnat o crestere a numarului si volumului fluxurilor globale, dar si o crestere a impactului fortelor globale asupra vietii locale. Principalele momente si forte ale expansiunii marcheaza punctele de cotitura si reperele din istoria globalizarii.
Globalizarea, odata cu avantajele si transformarile pozitive pe care le aduce la nivelul natiunilor, nu este lipsita de aspecte ce ridica, de multe ori, probleme si ingrijorare, intre care un loc don ce in ce mai important il ocupa problematica securizarii spatiilor cibernetice, cu atat mai mult cu cat fenomenul terorismului a luat o amploare fara precedent, inclusiv terorismul informational.
Ca rezultat al globalizarii factorilor economici, politici si militari, al expansiunii retelelor si sistemelor informationale globale, guvernele lumii, organizatiile internationale sunt nevoite sa-si concentreze si mai mult eforturile spre asigurarea unei securitati globale, pentru ca acum riscurile sunt mult mai mari, datorita efectului de propagare in lant. Daca pana la aparitia retelei globale, asigurarea securitatii sistemelor informationale era o problema de politica nationala, in momentul de fata la stabilirea strategiilor si politicilor de securizare a spatiului cibernetic trebuie luate in considerare si aspectele de compatibilizare si standardizare la nivel global.
Globalizarea spatiului cibernetic determina factorii decizionali sa-si concentreze atentia si asupra caracteristicilor sistemelor informationale globale, a noilor amenintari care planeaza in legatura cu potentialele riscuri la care sunt expuse, amenintari care se pot transforma intr-un adevarat razboi informational,. De aceea, se impune revizuirea modului de asigurare a securitatii informatiilor prin clasificarea acestora si, nu in ultimul rand, dezvoltarea unor strategii viabile de securizare a spatiului cibernetic.
Sistemele informationale globale isi propun sa studieze interferenta dintre sistemele informationale si tendintele de globalizare mondiala. Se recunoaste ca multi factori joaca un rol important in stabilirea trendului globalizarii, dar specialistii sistemelor informationale globale considera ca tehnologiile informationale se afla printre factorii dominanti ai acesteia si isi propun sa stabileasca in ce relatii se afla cu ceilalti factori de influenta.
Sistemele informationale globale afecteaza globalizarea pe trei planuri: infrastructural, operational si organizational.
Aspectele infrastructurale se refera la informatii, prelucrarea automata a datelor, standardele si tehnologiile din telecomunicatii si standardele Internet - toate acestea ajutand la depasirea granitelor traditionale ale relatiilor dintre diferite sisteme, indeosebi nationale.
Problemele operationale se refera la aspectele nationale ale culturii, educatiei si instruirii, ale mangementului personalului, guvernarii, structurilor legale si factorilor organizationali.
Aspectul organizational joaca un rol esential pentru succesul sistemelor informationale globale la nivelul organizatiilor. In cazul corporatiilor multinationale este nevoie de realizarea complementaritatii intre strategia de utilizare a sistemelor informationale cu cea a afacerii, astfel incat sa fie atinse obiectivele urmarite.
Pentru sistemele informationale globale, literatura de specialitate mai apeleaza si la alti termeni, cum sunt:
Global Information Technology (Tehnologii informationale globale);
Global Information Technology Management (Managementul tehnologiilor informationale globale);
International Information Systems (Sisteme informationale internationale);
Global Management Information Systems (Sisteme informationale ale managementului global);
Cooperative Information Systems (Sisteme informationale in cooperare);
Global Information Infrastructure (Infrastructura informationala globala).
Se preconizeaza ca rolul sistemelor informationale globale va spori si mai mult in mileniul III, in care este definita noua societate, a cunoasterii. In ea, informatiile si cunostintele vor inlocui bunurile materiale, ca sursa principala a sustinerii competitivitatii in lumea afacerilor. Afacerile vor avea, in primul rand, o dimensiune informationala, puterea constand in eforturile intreprinse pe aceasta linie. Chiar in prezent, numeroase afaceri, din diverse domenii de activitate, aloca prelucrarii informatiilor intre 30-40% din structura costurilor. Sunt numeroase domenii de activitate in care informatia joaca rolul principal in stabilirea ierarhiilor pe piata (educatie, transporturi aeriene, comertul cu amanuntul s.a.).
Cercetarile intreprinse de echipe coordonate de Dr. Prashant Palvia au condus la gruparea tarilor in trei categorii: tari avansate, tari mai putin dezvoltate si tari subdezvoltate. Problemele sistemelor informationale globale sunt diferite in functie de apartenenta la o categorie sau alta [4]. Astfel, tarile avansate orienteaza sistemul informational global in urmatoarele directii:
folosirea sistemului informational pentru obtinerea unui avantaj competitional;
sincronizarea sistemului informational cu scopul organizatiei;
planificarea strategica a sistemului informational;
cresterea productivitatii sistemului informational;
securizarea datelor.
Tarile mai putin dezvoltate vizeaza:
planificarea strategica a sistemelor informationale;
aspecte operationale;
preocupari pe linia contributiei sistemelor informationale pentru conducere la progresul organizatiei;
calitatea datelor de intrare;
utilizarea si securizarea datelor;
standarde ale echipamentelor si software-ului;
utilizarea prietenoasa a sistemelor;
imbunatatirea productivitatii sistemelor informationale.
In tarile subdezvoltate sunt vizate:
gradul de invechire a echipamentelor si software-ului;
disponibilitatea si perfectionarea personalului specializat in sisteme informationale pentru conducere;
imbunatatirea productivitatii muncii.
La cursurile intensive organizate de Microsoft Research Cambridge, la finele lunii martie 2003, unul dintre evenimentele-semnal a fost si lansarea celei de-a doua editii a cartii Writing Secure Code [3], a autorilor Michael Howard si David LeBlanc, evenimentul fiind marcat de ultimul dintre cei doi autori. In plus, acesta a sustinut doua prelegeri al caror subiect a fost, firesc, tema cartii. Evenimentul nu a insemnat o simpla lansare de carte, ci a marcat contextul in care ea avut loc. Utilizatorii produselor Microsoft au observat ca anul 2002 a fost unul lipsit de lansari ale noilor produse ale companiei si chiar de imbunatatiri ale versiunilor anterioare, aceasta si datorita unei interventii categorice a lui Bill Gates, in ianuarie 2002, ceea ce nu se mai intamplase decat in decembrie 1995. Mesajul lui, adresat miilor de angajati Microsoft, era unul foarte clar: importanta securitatii informatice. Cu alte cuvinte, revizuirea problemelor securitatii produselor corporatiei. Astfel a iesit prima editie a cartii Writing Secure Code, cu subtitlul Tehnici si strategii practice de securizare a codurilor aplicatiilor intr-o lume a retelelor, iar sub acesta, pe coperta, apare mesajul lui Bill Gates, care intr-o interpretare libera s-ar putea citi "Bibliografie obligatorie pentru toti angajatii Microsoft" (in original - "Required Reading at Microsoft"). Ca este un eveniment-semnal reiese si din studiul publicat de The Economist [6], in 26 octombrie 2002, care incepe cu trimiterea la mesajul lui Bill Gates. Intregul studiu, la randul sau, este alta forma de atentionare. Titlul este semnificativ - Securizarea norilor: Un studiu al securitatii digitale.
Intr-adevar, subiectul este de o maxima importanta, indeosebi dupa incidentul de la 11 septembrie 2001, din SUA, obligand statele lumii sa actioneze impreuna impotriva unui posibil atac terorist mondial, acesta putandu-se declansa prin cyberspace, spatiul cibernetic al planetei. Poate si din cauza amenintarii la care sunt expuse, dar si datorita experientei tragice traite in septembrie 2001, SUA au lansat, in februarie 2003, cel mai categoric semnal, prin The National Strategy to SECURE CYBERSPACE [8]. In cuvantul adresat natiunii, presedintele SUA, George W. Bush, in introducerea strategiei amintite declara: "Temelia strategiei de securitate a spatiului cibernetic al Americii este si va ramane parteneriatul public-privat pentru implementarea acestei strategii. Numai actionand impreuna putem construi un viitor mai sigur in spatiul cibernetic." Inaintea acestei afirmatii, presedintele marcheaza importanta strategiei la nivelul intregii societati: "Securizarea spatiului cibernetic este un deziderat strategic extraordinar de dificil care necesita un efort coordonat si concentrat din partea intregii noastre societati - guvernul federal, guvernele statale si locale, sectorul privat, precum si al cetatenilor americani". Edificator este si faptul ca, atunci cand sunt definite prioritatile nationale de securizare a spatiului cibernetic, una dintre acestea este intitulata: "Securitatea nationala si cooperarea internationala pentru securizarea spatiului cibernetic", ceea ce demonstreaza ca americanii recunosc faptul ca securitatea oricarei tari depinde de securitatea planetara, iar componenta esentiala este, in ultimul timp, spatiul cibernetic sau, cum plastic a intitulat The Economist, Securitatea norilor sau securitatea digitala. La ea ne vom referi in cele ce urmeaza.
Din studiile intreprinse in tarile dezvoltate s-a ajuns la concluzia ca, dupa atacul terorist din 11 septembrie 2001, softul de securitate, care se afla pe o pozitie aproape neglijabila (in cele mai bune situatii situandu-se pe locul cinci), a devenit prioritatea numarul unu.
Cheltuielile mondiale cu tehnologiile de asigurare a securitatii au crescut in anul 2001 cu 28% fata de anul 2000. In anii urmatori se va inregistra o crestere si mai mare. Daca in anul 2001 statele lumii au alocat 6 miliarde de dolari, in anul 2005 se vor cheltui peste 13 miliarde pentru securizarea Internetului. Unii specialisti chiar se tem de proportiile investitiilor in securitatea informatica, atentionand ca vanzatorii de software vand teama, iar teama si sexul au devenit doua lucruri exagerate care conduc la cumparaturi irationale ale oamenilor. Altii, in schimb, nu ajung la aceeasi concluzie, fiindca apreciaza ca baza de pornire (cheltuielile anterioare cu securitatea) era foarte mica, destul de apropriata de zero. Cele mai multe firme, sustin ei, aloca securitatii 3% din bugetul alocat tehnologiei, iar aceasta din urma primeste 3% din venituri, ceea ce inseamna 3% aplicat la 3%, adica 0,09% - mai putin decat ii costa cafeaua intr-un an, spun ei cu malitiozitate.
Din analizele realizate de CSI/FBI, rezulta ca, la nivelul anului 2002, desi 80% dintre respondenti au recunoscut ca au inregistrat pierderi financiare, numai 40% au putut cuantifica pierderile. In intervalul 1997-2001, cele 503 organizatii analizate au inregistrat pierderi cauzate de crime informatice in valoare de aproximativ 1,5 miliarde de dolari, iar in anul 2002, de 456 milioane de dolari.
Sub aspectul amenintarilor "globale", pentru al patrulea an consecutiv, s-au formulat intrebari referitoare la site-urile www. Dintre respondenti, 98% au declarat ca au astfel de site-uri, iar 52% dintre ei efectueaza operatiuni de comert electronic prin intermediul site-urilor. De asemenea, 38% dintre ei au fost victimele accesului neautorizat sau ale folosirii neadecvate a site-urilor in ultimele 12 luni.
Cele mai multe atacuri sunt orientate spre domeniile .com, ceea ce inseamna 30% din atacurile site-urilor Web. Urmeaza, ca frecventa a atacurilor, cele orientate spre nume de domenii ale unor tari (.cn pentru China; .tw, pentru Taiwan - ambele inregistrand 9% din atacurile mondiale).
Domeniile .gov au inregistrat o crestere a atacurilor cu 38%, iar cele militare (.mil) au inregistrat o crestere de 128% fata de anul precedent.
Numele de domeniu .il (Israel) a fost victima unei cresteri a atacurilor cu 220%; .in (India) cu 250%, .pk (Pakistan) cu 300%, iar in top s-a aflat domeniul gov.uk (guvernul din Marea Britanie), cu 378%.
Cu usurinta se poate observa ca bombardamentele din spatiul cibernetic global se orienteaza spre anumite zone planetare si anumite domenii, ceea ce conduce la ideea ca se declanseaza, de fapt, adevarat razboaie informationale, despre care vom discuta in paragraful urmator.
Inaintea prezentarii preocuparilor fiintei umane pe planul razboiului informational, credem ca se cuvine sa mentionam doare cateva exemple din lumea celor care nu cuvanta, dovedindu-se astfel ca, asa cum zis-a Ahazverus, nimic nu-i nou sub soare. Literatura din domeniu incepe seria exemplelor cu nastrusniciile cucului. Se stie ca acesta isi depune ouale in cuiburile altor pasari, dar pare de necrezut cum reuseste sa pacaleasca 180 de alte specii de zburatoare. Totul ii reuseste prin manipulare informationala si exploatarea vulnerabilitatii sistemelor de protectie ale altora. Este o adevarata "inginerie" modul in care el reuseste sa schimbe culoarea oualor in functie de cuibul in care le depune, ceea ce presupune mai intai identificarea exacta a "proprietarului" cuibului, si apoi trecerea peste sistemele de securitate ale acestuia, distrugand integritatea mediului respectiv. Mai putem spune, precum versul popular, "umbla cucu' ca naucu'"!?!. Tehnicii lui i-a raspuns, intr-un mod special, pupaza. Mai mult, si pentru a le veni de hac celor de teapa lui Nica a lui Stefan Apetrei, creeaza un mediu insuportabil altora, confectionandu-si cuibul in scorburi foarte adanci pe care le garniseste cu materii fecale. "Tehnica" aceasta au preluat-o japonezii in secoulul XXI, presarand pe langa caile ferate ale trenurilor rapide excremente de leu pentru a speria animalele din paduri si a nu le lasa sa se mai expuna accidentelor feroviare. Experimentul are mare succes prin aceasta farsa informationala, fiind mult mai ieftin decat barierele fizice de protectie. Si corbul utilizeaza o siretenie pentru a-si ademeni prada, apeland la o simulare a trairii ultimelor clipe, prin zbateri specifice si sunete impresionante, pana la apropierea vanatului, cand declanseaza atacul decisiv. Exemplele pot continua cu diverse moduri de aparare sau de atac, dar nu putem incheia scurta incursiune fara sa comparam doua sisteme total diferite. Unul se bazeaza pe o multime de siretlicuri, pe care le-am putea numi "inginerii sociale" sau psiop-uri (operatiuni psihologice), lansate de vulpe, in ipostaza de atacant, iar celalalt se bazeaza pe o singura metoda de "protectie fizica", transformandu-se intr-un bulgare de ghimpi - cu scop de aparare -, acesta fiind ariciul. In selectarea uneia dintre cele doua metode, majoritatea realizatorilor de sisteme de securitate a averilor informationale aleg varianta ariciului.
Istoria ne ofera o multime de exemple referitoare la masurile de protectie sau de aparare a valorilor informationale. Nu vom mai zabovi asupra lor, caci prezentul ne ofera o gama atat de diversificata, greu de surprins prin multitudinea cazurilor inregistrate. Tocmai din aceasta cauza vom incerca sa surprindem esentialul sau regulile generale ale luptei prin sau pentru informatie, ceea ce a condus la aparitia conceptului de razboi informational.
Razboiul informational consta in acele actiuni realizate cu scopul de a proteja, exploata, corupe, respinge sau distruge informatii sau resurse informationale, avand ca finalitate obtinerea unui avantaj, atingerea unui obiectiv sau castigarea unei victorii majore asupra adversarului [5].
Operatiunile declansate prin razboi informational pot fi din urmatoarele categorii: penetrarea calculatoarelor, spioni umani, sateliti spioni, interceptari, camere de supraveghere video, razboi electronic, distrugerea fizica a componentelor de comunicatii sau a sistemelor energetice, falsificari de documente, managementul perceptiei, operatiuni psihologice, virusi, viermi, cai troieni, virusi falsi, furtul de secrete comerciale, interceptarea datelor personale, contrafacerea de e-mail-uri si multe altele.
Din simpla lor enumerare, putem trage concluzia ca ele se pot infaptui in timpul razboaielor reale (cum au fost cele din Irak, Iugoslavia, Afganistan) sau al asa-ziselor razboaie reci. In functie de circumstante, unele dintre ele sunt catalogate drept crime, altele sunt legale, dar condamnabile la capitolul etica. Unele parti sau guverne le considera practici normale. In domeniul militar sunt asimilate conflictelor. In orice caz, tot ceea ce au ele in comun este tinta urmarita, de a exploata resursele informationale in avantajul atacantului si dezavantajul celeilalte parti, atacatul sau aparatorul. Astfel, putem sa impartim si operatiunile in operatiuni de atac si altele de aparare.
Operatiunile de atac urmaresc marirea valorii unei resurse-tinta in favoarea atacantului si diminuarea valorii ei pentru aparator, in timp ce operatiunile de aparare vizeaza contracararea potentialelor atacuri, pentru preintampinarea sau diminuarea eventualelor pierderi. Se poate spune ca nu este o lupta cu suma zero, ci cu invingatori si invinsi. Valorile obtinute nu sunt intotdeauna monetare sau materiale, ci militare sau conventionale, sau de alta natura.
Valoarea resurselor informationale pentru un actor/jucator este o functie de sase factori [1]. Primul vizeaza releventa resursei prin prisma preocuparilor si angajamentului jucatorului. Al doilea se refera la aptitudinile jucatorului. El poate sa aiba cunostinte, abilitati si mijloace de utilizare eficienta a resursei. Al treilea factor este disponibilitatea resursei pentru jucator. Cel de-al patrulea se refera la disponibilitatea resursei pentru alti jucatori. Daca un document secret intra in posesia unui jucator, valoarea castigata de acesta este imensa, mai mare decat era la proprietar. Al cincilea factor evidentiaza integritatea resursei, ceea ce inseamna completitudine, corectitudine, autenticitate si calitate in ansamblu. Daca un atacant transmite pe canalele de televiziune ale altei tari informatii prin care aceasta din urma este discreditata este un real avantaj al atacantului. Al saselea factor se refera la factorul timp. Valoarea unei resurse informationale poate spori sau diminua in timp.
Operatiunile razboaielor informationale de atac produc rezultate de genul invins-invingator, prin alterarea disponibilitatii si integritatii resurselor informationale, in favoarea atacantului si defavoarea aparatorului. Se poate vorbi despre obtinerea a trei rezultate in urma unui atac:
atacantul obtine un acces mai mare la resursele informationale;
apararea pierde accesul total sau partial la resurse;
integritatea resurselor este diminuata.
Operatiunile de aparare incearca sa protejeze resursele informationale impotriva potentialelor atacuri. Scopul lor este de pastrare a valorii resurselor sau, in caz de atac incununat cu succes, sa recupereze valorile pierdute. Defensiva sau apararea poate fi vazuta ca un tot format din cinci parti: prevenirea, descurajarea, indicatii si atentionari, detectarea, preparative in caz de urgenta si raspunsul. Operatiunile intreprinse si tehnologiile utilizate se pot incadra in mai multe domenii dintre cele enumerate.
Securitatea informationala se apropie mult de razboiul informational defensiv, dar nu se confunda cu acesta, deoarece securitatea informationala vizeaza, in principal, resursele proprii si masurile de protectie impotriva erorilor, accidentelor si dezastrelor naturale, dar si a actelor savarsite cu intentie. Razboiul informational defensiv se adreseaza resurselor fara proprietar, indeosebi a celor din domeniul public, si nu se preocupa de acte neintentionate.
Atat securitatea informationala, cat si razboiul informational defensiv, deseori, sunt cuprinse in termenul asigurare informationala.
Razboaiele informationale implica nu numai calculatoarele si retelele de calculatoare, ci si informatiile sub orice forma si transmisia lor pe orice cale. Ele acopera toate operatiunile declansate impotriva continutului informatiilor si a sistemelor in care se afla, inclusiv hard, soft si practici umane.
Resursele informationale pot fi impartite in cinci clase, dupa functia pe care o au: containere, transportori, senzori, aparate de inregistrat si procesoare. Nu se poate face o referire neta la includerea unei resurse intr-o singura clasa, deoarece ea se poate regasi in mai multe. Edificatoare sunt calculatoarele si oamenii, greu de incadrat intr-o anumita clasa.
Containerele sunt suporturi informationale pe care sunt pastrate informatiile sau pseudo-informatiile, cand e cazul. Fiecare obiect este purtatorul propriilor informatii, al acelora ce-i descriu structura, putandu-se spune ca fiecare obiect este un container de informatii. De un interes aparte se bucura obiectele care au un continut informational suplimentar. Printre ele se afla memoria omului, a calculatoarelor, suporturile media, benzi, discuri s.a. Containerele pot fi incluse unul in altul, cum ar fi cazul documentelor incluse in dosare, la randul lor incluse in bibliorafturi, acestea depuse in dulapuri, si ele incuiate in birouri s.a.m.d. In cazul suporturilor informatice, datele sunt pastrate in fisiere, ele fiind incluse in directoare. In lumea reala, a avea acces la o informatie necesita trecerea peste anumite niveluri de protectie, poate in ordinea inversa a descrierii anterioare, dar in lumea electronica este posibila trecerea peste aceste straturi realizate prin software - de exemplu, un disc poate fi citit direct, fara sa fie deschis un fisier anume.
Transportorii sunt obiecte si sisteme de comunicatii care transmit sau transfera informatiile dintr-un loc in altul. Ei pot fi persoane, vehicole si sisteme fizice de transport (camioane, planuri inclinate, benzi transportoare, tuburi cu vacuum s.a.), sisteme postale, sisteme de telecomunicatii, inclusiv sistemele de telefonie si telegrafie, sistemele de radio si televiziune, retelele de calculatoare, inclusiv Internet, Intranet si Extranet.
Senzorii sunt echipamente care extrag informatiile din alte obiecte si din medii diverse. Aici sunt inclusi senzorii umani, camerele de luat vederi, microfoanele, scannerele si radarele.
Aparatele de inregistrat sunt echipamente prin intermediul carora sunt plasate informatiile in containere. Aici se incadreaza procesele umane, imprimantele, magnetofoanele/casetofoanele/repertofoanele si inscriptoarele de discuri.
Procesoarele de informatii sunt obiecte care manipuleaza informatii, de genul oamenilor, microprocesoarelor, precum si softul si hardul sistemelor informatice.
Termenul de infrastructura informationala se refera la resursele informationale, inclusiv sistemele de comunicatie, institutii sau persoane din domeniu. Se poate vorbi despre infrastructura informationala a apararii, infrastructura informationala nationala si infrastructura informationala globala.
Spatiul informational se refera la agregarea tuturor resurselor informationale aflate la dispozitia unei unitati. Intr-o firma, el cuprinde angajatii, documentele tiparite, sistemele informatice si de comunicatii, plus toate informatiile structurate existente in unitate sau in mediul ei de lucru.
Spatiul cibernetic, cyberspace, este spatiul informational care insumeaza totalitatea retelelor de calculatoare, cunoscut si ca reteaua retelelor.
Spatiul de bataie/lupta este un spatiu aparte, specific doar pe timp de razboi, si consta in tot ceea ce se afla in spatiul fizic, inclusiv semnalele comunicatiilor din eter.
Valoarea resurselor informationale are doua componente: o valoare de schimb si una operationala. Valoarea de schimb este stabilita de piata si este cuantificabila, reprezentand pretul pe care il ofera cineva pentru acea resursa. Valoarea operationala este data de avantajele obtinute in urma utilizarii acelei resurse. Poate fi cuantificabila, dar nu e o regula generala.
Valoarea unei resurse pentru o parte nu este aceeasi si pentru cealalta parte. Pentru un anumit jucator, dupa cum am afirmat anterior, valoarea este o functie de sase factori: proecuparea si angajamentul jucatorului, aptitudinile jucatorului, disponibilitatea resurselor pentru jucator, disponibilitatea resurselor pentru alti jucatori, integritatea resurselor si timpul.
Intr-un razboi informational participa doi jucatori: unul ofensiv si altul defensiv. Primul, atacantul sau jucatorul ofensiv, este cel ce lanseaza o anumita operatiune asupra unei resurse informationale, iar cel de-al doilea, aparatorul sau jucatorul defensiv, isi propune sa se apere de operatiunea declansata de atacant.
De regula, atacantul este "zmeul" sau "balaurul" sau "baiatul cel rau", dar o astfel de catalogare nu este valabila in toate cazurile.
Jucatorii din ambele tabere pot actiona individual sau in grupuri organizate (structurate) si neorganizate (nestructurate). Ei pot actiona la nivelul unui stat sau nu, putand fi sau nu finantati. Pentru intrarea intr-un razboi informational, un jucator trebuie sa aiba un motiv, sa dispuna de mijloace si sa i se ofere posibilitatea de a o face.
Jucatorii ofensivi pot fi grupati in cateva clase generale: interni, hackeri, criminali, corporatii, guverne si teroristi.
Jucatorii defensivi sunt persoane fizice, organizatii sau guverne. La nivelul persoanelor, apararea consta in tot ceea ce se intreprinde pentru pastrarea secretului datelor cu caracter personal, a resurselor proprii, a mentinerii unei pozitii competitive pe piata s.a. Organizatiile vizeaza pastrarea unei pozitii competitive si a resurselor lor. Pentru guverne, eforturile vor fi concentrate spre asigurarea securitatii informationale, a securitatii economice, sigurantei publice, a cadrului juridic s.a. Guvernului ii revin obligatii din urmatoarele categorii: identificarea, investigarea si sanctionarea actelor criminale, servicii de contra-informatii, aparare nationala, crearea cadrului protectiei legale, definirea standardelor, precum si inventarea si realizarea noilor tehnologii de aparare.
Partile angajate intr-un razboi informational pot juca ambele roluri, de aparator si atacant.
Potrivit Strategiei de Securitate Nationala a Romaniei, si pentru tara noastra se contureaza noi factori de risc, respectiv ci asimetrici nonclasici, intre care mai importanti sunt [7]:
terorismul politic transnational si international, inclusiv sub forma informatica;
actiuni ce atenteaza la siguranta infrastructurii critice a Romaniei;
accesarea ilegala a sistemelor informatice;
actiunile premeditate de afectare a imaginii Romaniei pe plan international;
agresiunea economico-financiara;
provocarea deliberata de catastrofe ecologice.
Dintre principalele tipuri de vulnerabilitati legate de informatii si sisteme informationale, pentru care trebuie luate masuri de prevenire si contracarare sunt enumerate: mentinerea la un nivel scazut a insfrastructurii informationale si intarzieri in realizarea acesteia la standardele impuse de dinamica globalizarii; deficiente in protectia informatiilor clasificate.
Strategia militara a Romaniei evidentiaza existenta riscurilor privind razboiul informational, dar acest lucru nu este suficient pentru a elimina efectele aparitiei unui astfel de fenomen. Potrivit strategiei, razboiul informational ar avea ca prim obiectiv izolarea Romaniei in societatea globala, prin lipsa infrastrucrurii, tehnologiei si personalului specializat.
Potrivit unor analize [2], Romania este in momentul de fata tinta unui razboi informational agresiv declansat din exterior cu sprijin intern, tintele principale fiind sistemul financiar, sistemul fiscal, sistemele de telecomunicatii. Afectarea infrastructurii acestor sisteme se considera ca este cauzata de neglijenta, lipsa unor strategii nationale coerente de asigurare a securitatii infrastructurilor critice ale Romaniei, lipsa politicilor de securitate la nivelul institutiilor guvernamentale, financiare, de invatamant etc.
Daca dupa cel de-al doilea razboi mondial au ramas atatea amintiri neplacute, se cuvine, totusi, sa recunoastem si cateva mosteniri teribile. Ne gandim la cercetarea operationala, a lui Claude Shannon, transferata din domeniul militar in cel economic, dar si la ceea ce ne intereseaza pe noi mai mult, marcarea documentelor cu regim special. NATO are meritul principal in dezvoltarea acestui sistem, al clasificarii. Clasificare inseamna etichetari crescatoare ale documentelor sau informatiilor, de la cel mai de jos nivel, unde se situeaza informatiile deschise (open) sau neclasificate (unclassified), la cele confidentiale, urcand spre informatii secrete si strict secrete (top secret).
Initial, s-a pornit de la ideea ca informatiile care prin compromitere pot costa vieti umane sunt marcate "secrete", in timp ce informatiile a caror compromitere costa pierderea multor vieti umane sunt definite "top secret" (strict secrete). Angajatii in domeniul securitatii sistemelor sunt investiti cu responsabilitati diverse, dar si cu dreptul de a lucra cu anumite categorii de informatii. Se poate vorbi de o stransa legatura intre responsabilitati si categoriile de informatii cu care se da dreptul de a lucra. In SUA, dreptul de verificare a fisierelor cu amprente ale FBI este acordat doar pentru verificarea unor informatii secrete, in timp ce o verificare de tip "top secret" da dreptul de accesare a tuturor datelor despre locurile de munca din ultimii 5 pana la 15 ani.
Pe linia accesului la unele categorii de informatii, pentru exercitarea controlului lucrurile sunt mai clare: un oficial poate citi documentele dintr-o anumita categorie numai daca el are cel putin imputernicirea de accesare a informatiilor din categoria respectiva sau dintr-una superioara. De exemplu, un imputernicit sa acceseze informatii "strict secrete" poate citi informatii confidentiale, secrete si strict secrete, iar unul cu drept de accesare a informatiilor secrete nu le poate accesa pe cele "strict secrete". Regula este ca informatiile pot circula doar in sus, de la confidential la secret si strict secret, in timp ce invers, de sus in jos, pot circula doar daca o persoana autorizata ia in mod deliberat decizia de a le declasifica.
De asemenea, s-au stabilit reguli de pastrare a documentelor, dupa cum urmeaza: documentele confidentiale sunt pastrate in dulapuri cu cheie, in orice birou guvernamental, in timp ce documentele din categoriile superioare necesita seifuri de un anumit tip, usi pazite si control asupra copiatoarelor si a celorlalte echipamente electronice.
Sunt foarte putine unitati care au proceduri stricte pe linia asigurarii securitatii informatiilor. Pe de alta parte, la nivel national exista proceduri foarte riguroase privind secretul de stat. De regula, exista o ierarhie a ceea ce este cunoscut sub numele de clasificare, prin care orice document si alte elemente importante sunt incadrate intr-o anumita categorie.
Se practica doua strategii de baza pe linia securitatii nationale:
1. Tot ceea ce nu este interzis este permis.
2. Tot ceea ce nu este permis este interzis.
In Statele Unite ale Americii, prima strategie este cea care guverneaza accesul la informatiile guvernamentale. In multe tari de pe glob, accesul la informatiile nationale este controlat prin legi privind secretul de stat, folosindu-se cea de-a doua strategie. Un angajat loial si devotat firmei nu discuta afacerile acesteia pana cand nu are convingerea ca problema respectiva poate sa fie facuta publica.
Se apeleaza la doua tactici de implementare a strategiei fundamentale privind protejarea informatiilor deosebite: controlul discretionar al accesului, controlul legal al accesului.
Prima tactica de control al accesului implementeaza principiul celui mai mic privilegiu: nici o persoana, in virtutea rangului sau a pozitiei ce o detine, nu are drepturi nelimitate de a vedea informatiile deosebite, iar persoanele care au o astfel de facilitate trebuie sa le vada numai pe cele care intra in sfera lor de activitate. Controlul discretionar al accesului este aplicat printr-o matrice de control. Pentru fiecare persoana (subiect) aflata pe lista si pentru fiecare informatie (obiect), matricea arata ceea ce poate face fiecare subiect cu obiectele din lista: citire, scriere, executie, aprobare s.a.
Controlul legal al accesului isi exercita forta pe baza legilor existente (legea securitatii nationale, legea energiei atomice s.a.). In SUA, prin lege, sunt stabilite doua tipuri de structuri de control: ierarhizate si neierarhizate.
Structura ierarhizata incadreaza informatiile senzitive in patru categorii: strict secrete, secrete, confidentiale si neclasificate. Primele trei categorii sunt referite printr-o denumire generica: informatii clasificate. In alte tari NATO, inclusiv Canada, a patra categorie este cunoscuta sub numele de informatii restrictive.
In structura neierarhizata sunt doua categorii: compartimentate si cu obiectii sau ascunse vederii unor categorii de persoane. Compartimentarile pot avea nume scurte, suficient de sugestive, care sa scoata in relief aspecte cum sunt: SECOM (securitatea comunicatiei), CRIPTA (criptare), COMSEC (comunicatii secrete), HUMINT (Human INTeligence), SIGINT (SIGnal INTeligence), IMINT (IMage INTeligence) s.a. Categoria "cu obiectii" priveste indeosebi nationalitatea potentialilor cititori si autori ai obiectelor. In SUA, contestatiile (obiectiile) sunt: NOFOR (no foreign = neaccesibile strainilor), US/UK EYES ONLY (de vazut numai de catre englezi sau americani) s.a.
Informatiile strict secrete, care sunt intr-o anumita compartimentare, se numesc informatii senzitive compartimentate si presupun o atentie deosebita la intrebuintare. Doar o categorie este superioara acesteia din urma. Este vorba despre informatiile din planul operativ integrat unic sau raspunsul national in caz de razboi.
Atunci cand informatiile au fost impartite in doua mari categorii, clasificate si neclasificate, s-a tinut cont de anumite principii.
Guvernele pornesc de la o alta clasificare mai larga, impartind informatiile in doua mari tipuri: informatii subiective si informatii obiective. Anterior a operat o alta clasificare: informatii "operationale" si informatii "stiintifice". Unii chiar au mentionat un al treilea tip de informatii clasificate de guverne - informatii "tehnice", insa in multe materiale, informatiile tehnice si cele stiintifice sunt submultimi ale informatiilor obiective.
Atunci cand o informatie trebuie sa fie clasificata ei i se va atribui un nivel de clasificare, ceea ce va evidentia importanta relativa a informatiei clasificate in sistemul national de securitate, specificandu-se cerintele minime pe care trebuie sa le indeplineasca acea informatie.
Un sistem de clasificare eficient trebuie sa se bazeze pe niveluri de clasificare definite cu mare claritate.
In sistemul american de clasificare a informatiilor exista trei niveluri de clasificare: top secret (strict secret), secret si confidential. Informatiile neclasificate constituie o alta categorie. In Legea 182/2002 privind protectia informatiilor clasificate, din Romania, informatiile clasificate din clasa secretelor de stat sunt incadrate in trei niveluri, astfel: strict secrete de importanta deosebita, strict secrete si secrete.
Informatiile strict secrete (SUA), carora le corespund informatiile strict secrete de importanta deosebita (Romania), sunt informatiile a caror divulgare neautorizata este de natura sa produca daune de o gravitate exceptionala securitatii nationale.
Informatiile secrete (SUA), ceea ce echivaleaza cu informatiile strict secrete (Romania), sunt informatiile a caror divulgare neautorizata este de natura sa produca daune grave securitatii nationale.
Informatiile confidentiale (SUA), corespunzatoare informatiilor secrete (Romania), sunt informatiile a caror divulgare neautorizata este de natura sa produca daune securitatii nationale.
Apreciem ca o nesincronizare a nivelurilor de clasificare din sistemul romanesc cu cel american este o proba de neinspiratie, cu atat mai mult cu cat intrarea in NATO va genera multe disfunctionalitati circulatiei informatiilor clasificate. Consideram ca, in timp, nivelurile securizarii din Romania vor fi schimbate tocmai pentru eliminarea neajunsurilor mentionate anterior.
Vorbind despre spatiul cibernetic, se cuvine sa prezentam cateva probleme si cauze ce conduc la insecuritatea globala a planetei:
lipsa unui nivel suplimentar de securitate orientat spre angajatii organizatiilor (s-a constat ca 73% dintre companii n-au cerut vreodata angajatilor proprii sa citeasca sau reciteasca politicile de securitate dupa angajare, iar 2/3 nu verifica nicicand daca angajatii lor au citit politicile de securitate);
apelarea la "honeypots" (furnicare), pe post de servere false, adevarate captatoare de urme ale atacatorilor de sisteme;
dificultatea combaterii atacurilor din interior prin mijloace tehnice demonstreaza ca securitatea este, in principal, o problema umana - evidentiind faptul ca in lume exista un prost management (se recomanda separarea obligatiilor de serviciu, plecarea anuala a tuturor angajatilor in concediu);
o prea mare deschidere a retelelor din organizatii;
proliferarea sistemelor bazate pe calculatoare miniaturizate (handheld) fara o prea buna securizare;
decat sa vezi retelele organizatiilor ca pe niste castele, mai bine le vezi ca pe niste aeroporturi - oamenii vin si pleaca tot timpul, unele zone sunt mai securizate decat altele, iar oamenii cand trec dintr-o parte in alta trebuie sa prezinte proba (bilet, tichet de imbarcare, pasaport etc);
folosirea unei mari baze de date care sa contina informatii despre cine poate sa faca ce sa faca, ce va asigura ca utilizatorii pot sa faca numai lucrurile indreptatite sa le faca - aceasta va duce la supravegherea activitatilor pe linia securitatii de catre manageri, ca obligatii de zi cu zi;
nu blocarea atacantilor, ci lasarea lor sa actioneze pentru a le putea urmari modul de actiune;
aproape inexistente asigurarile in spatiul cibernetic, din cauza complexitatii noilor retele ce fac dificila evaluarea riscurilor;
societatile de asigurare vor impune companiilor tipurile de echipamente pe care trebuie sa le aiba pentru a fi admise pe lista asiguratilor sau pentru a beneficia de reduceri substantiale ale primelor de asigurare;
revizuirea initiativelor lansate cu mult entuziasm in privinta biometriei (ochi, fata, amprenta digitala s.a.);
11 septembrie 2001 a demonstrat ca nu problema colectarii datelor a condus la acest dezastru, ci neimpartasirea si proasta lor interpretare;
de revizuit rolul factorului uman (HUMINT) in culegerea de informatii;
terorismul din spatiul cibernetic poate fi mai periculos decat cel traditional (cateva clicari de mouse pot sa conduca la distrugerea economiei si afectarea multor vieti omenesti - un mouse poate fi mai periculos decat un glont sau o bomba);
de evitat un posibil Pearl Harbour electronic - pentru asta, in SUA, sunt necesare cel putin cinci ani si 200 milioane de dolari. Sunt cai mai simple si mai ieftine de atacat infrastructurile principale: telefoane false, automobile-capcana, pirati ai aerului;
analogie in abordarea securitatii sistemului cu sistemul de lobby din domeniul mediului (gen Green Peace).
Iata doar cateva dintre semnalele disperate ale omenirii fata de globalizarea informationala. Statele foarte dezvoltate au ajuns sa depinda de informatii mai mult decat de resursele naturale. Unele dintre ele, daca nu mai au controlul informatiilor, pot supravietui fara instaurarea haosului doar cateva ore - SUA, doar sase ore.
Un prim pas in asigurarea securitatii informatiilor vehiculate la nivelul sistemului informational global consta in elaborarea unei strategii de securizare a infrastructurilor de importanta vitala.
Infrastructura oricarei natiuni este compusa din institutii publice si private din sectoarele agricol, alimentar, apa, sanatate publica, transport, finante si banci, industria chimica si a altor substante speciale, servicii postale si maritime. Sistemul central al acestei infrastructuri il constituie spatiul cibernetic - de mii de calculatoare interconectate, servere, rutere, comutatoare (switch-uri), precum si din cablurile de fibra optica ce permit infrastructurii principale sa fie perfect interconectata. Astfel, functionarea sanatoasa a spatiului cibernetic este esentiala pentru orice economie si pentru securitatea nationala [8].
Fiecare tara este nevoita sa-si dezvolte o strategie proprie de securizare a spatiului cibernetic, avand in vedere explozia pe care a inregistrat-o utilizarea retelelor informatice globale. In momentul actual, eforturile nu trebuie orientate numai catre spatiul cibernetic al natiunii, ci trebuie conjugate la nivel global, avand in vedere ca s-a ajuns la un grad destul de ridicat al depedentei functionarii intregii infrastructuri de functionare retelei globale. Riscurile securitatii informatiilor sunt mult mai mari, sunt la nivel global. Prin atacarea unei retele nationale este afectata reteaua globala.
Securizarea spatiului cibernetic este o misiune strategica dificila, care necesita coordonarea si concentrarea eforturilor intregii societati, guvernele fiind nevoite sa lucreze impreuna la identificarea amenintarilor, a vulnerabilitatilor sistemelor, precum si la stabilirea masurilor de imbunatatire a securitatii spatiului cibernetic.
Viteza cu care se realizeaza atacurile din spatiul cibernetic, anonimatul lor le fac greu de atribuit unor actiuni teroriste, criminale sau la nivel de stat - sarcina ce apare deseori dupa ce s-a infaptuit atacul. De aceea, elaborarea si aplicarea unor strategii nationale si internationale de securizare a spatiului cibernetic poate ajuta la reducerea vulnerabilitatii in fata atacurilor devastatoare declansate impotriva infrastructurilor informationale critice sau a averilor/bunurilor fizice care stau la baza acesteia.
Plecand de la exemplul american, care aplica deja o Strategie Nationala de Securizare a Spatiului Cibernetic, se pot identifica obiectivele strategice care ar trebui avute in vedere de orice natiune in acest domeniu:
prevenirea atacurilor cibernetice impotriva infrastructurilor critice;
reducerea vulnerabilitatii nationale in fata atacurilor cibernetice;
minimizarea daunelor si a timpului de reconstituire a sistemului in urma eventualelor atacuri cibernetice, daca apar.
Economia si securitatea nationala sunt total dependente de tehnologiile informationale si de infrastructura informationala. In centrul infrastructurii informationale, de care depinde omenirea, se afla Internetul, un sistem conceput initial pentru folosirea in comun a cercetarilor neclasificate intre oamenii de stiinta care nu erau suspectati de folosirea abuziva a retelei. Este acelasi Internet care astazi conecteaza milioane de calculatoare din diferite retele, rezolvand cele mai multe servicii de baza ale natiunilor si conducand la functionarea infrastructurilor.
Aceste retele de calculatoare, de asemenea, controleaza obiecte fizice, cum sunt transformatoarele electrice, trenurile, statiile de pompare, containerele chimice, radarele, bursele de valori - toate existand dincolo de spatiul cibernetic.
O mare varietate de actori rau intentionati pot declansa atacuri impotriva structurii informationale critice. Unii deja au facut-o. O preocupare majora trebuie sa fie orientata spre atacurile cibernetice organizate, capabile sa cauzeze destabilizarea infrastructurii Nationale critice, a economiei sau a securitatii nationale. Complexitatea tehnica solicitata pentru infaptuirea unui astfel de atac este destul de ridicata si, partial, explica de ce inca nu s-au inregistrat astfel de atacuri pana acum. Totusi, nu trebuie sa fim prea increzatori. Au fost cazuri in care atacantii organizati au exploatat unele vulnerabilitati care ne-au demonstrat ca dispun de capacitati distructive si mai mari. Incertitudinea exista, precum si intentia si performantele tehnice necesare, dupa cum au dovedit-o cateva atacuri anterioare. Analizele amenintarilor cibernetice sunt strict necesare pentru identificarea tendintelor pe termen lung ale amenintarilor si vulnerabilitatilor. Ceea ce se stie este faptul ca instrumentele si metodologiile infapturii atacurilor sunt larg raspandite, iar capacitatile tehnice si complexitatea utilizatorilor porniti pe provocarea unui adevarat dezastru se afla in crestere.
Pe timp de pace, dusmanii pot declansa acte de spionaj asupra guvernului, centrelor de cercetare stiintifica universitara si companiilor private. De asemenea, ei incearca sa pregateasca terenul pentru administrarea loviturilor din spatiul cibernetic in cazul unei confruntari, prin cartografierea sistemelor informationale ale unui stat, identificand principalele tinte si plasand in infrastructura nationala porti ascunse de intrare si alte mijloace de acces. Pe timp de razboi sau criza, adversarii vor incerca sa intimideze liderii politici nationali prin atacarea infrastructurilor critice si a functiilor de baza ale economiei sau erodarea increderii publice in sistemele informationale.
Atacurile cibernetice asupra retelelor informationale ale oricarei tari pot avea consecinte grave, cum ar fi intreruperea functionarii unor componente cheie, provocarea pierderilor de venituri si proprietati intelectuale sau chiar pierderea vietilor omenesti. Contracararea unor astfel de atacuri necesita realizarea unor componente riguroase cum inca nu exista in prezent, daca se doreste reducerea vulnerabilitatilor si prevenirea sau diminuarea fortei capacitatilor indreptate impotriva infrastructurilor critice.
In general, sectorul privat este cel mai bine structurat si echipat pentru a raspunde la un eventual atac cibernetic. Privind in interior, asigurarea continuitatii activitatii guvernului presupune asigurarea sigurantei propriei sale infrastructuri cibernetice si a activelor necesare pentru atingerea misiunii si exercitarea serviciilor. Pe plan extern, rolul unui guvern pe linia securitatii cibernetice este acela al garantarii cazurilor in care costurile tranzactiilor sunt ridicate sau atunci cand barierele legale conduc la probleme ce necesita o coordonare deosebita; cazurile in care guvernele opereaza in absenta fortelor sectorului privat; cresterea constientizarii.
Angajarea parteneriatului public-privat este componenta de baza a strategiei de securizare a spatiului cibernetic. Acesta este adevarul din cateva motive. Parteneriatul se confrunta cu problema coordonarii. Partenerii pot imbunatati, in mod semnificativ, schimbul de informatii si cooperarea. Angajamentul public-privat va lua o mare varietate de forme si se va adresa constientizarii nevoii de instruire, performantelor tehnologice, remedierii vulnerabilitatii si operatiunilor de reconstituire a sistemului.
Rolul guvernului in aceste cazuri si in altele este justificat doar atunci cand beneficiile interventiei depasesc costurile asociate. Acest standard este important doar in cazurile in care exista solutii viabile din partea sectorului privat pentru remedierea potentialelor amenintari si vulnerabilitati. Pentru fiecare caz, trebuie sa se acorde atentie costurilor si impactului unei actiuni anume a guvernului, comparativ cu alte actiuni complementare, non-actiuni, luand in considerare si solutiile prezente si viitoare ale sectorului privat.
Actiunile guvernamentale de securizare a spatiului cibernetic sunt justificate din mai multe motive: al jurisdictiei si incadrarii atacurilor, protectiei retelelor si sistemelor critice pentru securitatea nationala, al recomandarilor si atentionarilor, precum si al protectiei impotriva atacurilor organizate capabile sa produca daune economiei. Activitatile institutiilor guvernamentale trebuie, de asemenea, sa sustina cercetarea si dezvoltarea tehnologica pentru a permite sectorului privat sa asigure o mai buna securizare a unei parti din infrastructura principala a natiunii.
Ca orice strategie, si cea de securizare a spatiului cibernetic ar trebui sa-si defineasca o serie de prioritati, care, potrivit guvernului american, ar putea fi:
un sistem national de raspuns pe linia securitatii spatiului cibernetic;
un program national de reducere a vulnerabilitatii si amenintarilor securitatii spatiului cibernetic;
un program national de instruire si constientizare privind securitatea spatiului cibernetic;
securizarea spatiului cibernetic guvernamental;
securitatea nationala si cooperarea internationala privind securitatea spatiului cibernetic.
Prima prioritate vizeaza imbunatatirea raspunsului la incidentele cibernetice si la reducerea potentialelor daune produse de astfel de evenimente. Prioritatile a doua, a treia si a patra vizeaza reducerea amenintarilor si vulnerabilitatilor in fata potentialelor atacuri cibernetice. A cincea prioritate este de prevenire a atacurilor cibernetice care pot avea impact asupra activelor nationale de securitate si de imbunatatire a managementului international al raspunsurilor la astfel de atacuri.
La nivelul Romaniei, in ultimii ani, au inceput sa apara din ce in ce mai multe reglementari legislative privind protectia si securitatea informatiilor. Lucrurile s-au schimbat odata cu proliferarea si pe teritoriul tarii a tehnologiilor informationale si de comunicatii, care au eliminat barierele de timp, spatiu si localizare a prelucrarii, stocarii si transmiterii informatiilor. Chiar daca sunt inca multe lacune in aceasta privinta, se poate spune ca este un inceput bun pentru trecerea Romaniei la societatea informationala si a cunoasterii.
Printre cele mai importante legi care reglementeaza, direct sau indirect, protejarea informatiilor, mecanismele de prelucrare, stocare si transmitere, se pot enumera:
Legea 51/1991 privind siguranta nationala a Romaniei;
Ordonanta de Guvern 124/2000 pentru completarea cadrului juridic privind dreptul de autor si drepturile conexe, prin adoptarea de masuri pentru combaterea pirateriei in domeniile audio si video, precum si a programelor pentru calculator. Ordonanta este prezentata la paragraful drepturilor de autor;
Legea 455/iulie 2001 privind semnatura electronica;
Legea 544/2001 privind accesul la informatia publica;
Legea 676/2001 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul telecomunicatiilor;
Legea 677/21 noiembrie 2001 privind protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date;
Legea 682/2001 privind ratificarea Conventiei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981;
Ordinul Ministerului Finantelor Publice 875/2001 pentru aprobarea Regulamentului privind operatiunile cu titluri de stat emise in forma dematerializata;
Legea 182/2002 privind protectia informatiilor clasificate, insotita de Hotararea de Guvern 585/2002 pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate in Romania;
Legea 365/2002 privind comertul electronic;
Ordonanta de Guvern 34/2002 privind accesul la retelele de telecomunicatii electronice si la infrastructura asociata, precum si interconectarea acestora;
Hotararea de Guvern 781/2002 privind protectia informatiilor secrete de serviciu;
Regulamentul Bancii Nationale a Romaniei 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata electronica si relatiile dintre participantii la aceste tranzactii;
Ordonanta de Guvern 24/2002 privind incasarea prin mijloace electronice a impozitelor si taxelor locale;
Ordinul Avocatului Poporului 75/2002 privind stabilirea unor masuri si proceduri specifice care sa asigure un nivel satisfacator de protectie a drepturilor persoanelor ale caror date cu caracter personal fac obiectul prelucrarilor.
Lege nr. 161 din 19 aprilie 2003 privind unele masuri pentru asigurarea transparentei in exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri, prevenirea si sanctionarea coruptiei, care contine componenta de prevenire si combatere a criminalitatii informatice, in Titlul III.
S-ar putea spune ca, cel putin din vedere legislativ, Romania se apropie de climatul juridic international si al tarilor dezvoltate in privinta securitatii informatiilor. Insa, mai sunt multe aspecte de rezolvat, care tin de procedurile de aplicare a legislatiei, de educatia si instruirea in acest domeniu, de constientizarea factorilor decizionali in privinta riscurilor la care sunt supuse sistemele informatice ale organismelor pe care le conduc. De asemenea, nu exista o strategie elaborata in privinta securizarii spatiului cibernetic, in care sa fie definite foarte clar obiectivele, prioritatile, masurile si actorii responsabili, elemente de aceasta natura regasindu-se doar pe alocuri in Strategia de Securitate Nationala, Doctrina nationala a informatiilor pentru securitate, Legea sigurantei nationale si celelalte legi care reglementeaza securitatea informatiilor, a activitatilor care apeleaza la mijloace electronice de prelucrare a datelor etc.
Informatia, a treia forma de manifestare a Existentei Fundamentale, la confluenta dintre milenii, a devenit cea mai apreciata comoara a omenirii. Cu mult temei, s-a facut afirmatia de catre japonezi ca fericitii stapani ai informatiei de la sfarsitul secolului XX vor fi si stapanii lumii. Nu energiile controlate de om, oricat de puternice ar fi ele sau efectele lor, nu aurul si alte averi materiale, sub orice forma ar exista acestea, ci informatia va fi semnul puterii. Asadar, nu sceptrul de aur, ci aureola informationala.
Acum, la inceputul mileniului trei, prea multe nu s-au schimbat pe planul operatiunilor de protejare si securizare a informatiilor, ci doar tehnicile si mediile de lucru, firesc, sunt altele. Pana si traditionalul sistem bazat pe un calculator central a devenit desuet, vorbindu-se in orice colt al planetei despre Internet, Intranet, Extranet, despre includerea in structura lor a calculatoarelor personale (PDA), a diverselor generatii de telefonie si multe altele, inclusiv despre reteaua retelelor, ceea ce da noi dimensiuni spatiului cibernetic. Pe planul globalizarii, o tendinta este evidenta, a preocuparilor comune, public-privat, pentru securizarea spatiului cibernetic global, indeosebi dupa 11 septembrie 2001. Dependenta de informatie este tot mai mare, chiar periculoasa. Sunt state care depind total de informatiile oferite de componentele spatiului cibernetic national. Blocarea acestuia timp de cateva ore poate sa conduca la instaurarea haosului in tara respectiva, afectand, in buna masura, si securitatea sistemului informational global planetar.
Iata de ce se impune cu mai multa acuitate acordarea unei atentii sporite securitatii informatiilor, in primul rand, prin asigurarea unei corecte clasificari a lor, dar si prin elaborarea unor strategii coerente de securizare a spatiului cibernetic.
D.E. Denning, Information
Warfare and Security, Addison-Wesley,
D. Dragomir "Razboi informational agresiv asupra sistemului bancar", Cotidianul, 29 mai 2004
M. Howard, D. LeBlanc, Writing Secure Code, 2nd Edition, Microsoft Press,
M. Igbaria, M. Anandarajan, C.C.-H Chen, "Global Information Systems", in Encyclopedia of Information Systems, Academic Press, San Diego, CA, 2003, vol. 2, pp. 443-458
W. Schwartan, Information
Warfare, 2nd edition, Thunder's Mouth Press,
"Securing the Cloud. A Survey of Digital Security", in The Economist, October 26th-November 1st, 2002, Volume 365, Number 8296
Strategia de securitate Nationala a Romaniei, www.mapn.ro/ strategia securitate
The National Strategy to SECURE CYBERSPACE, February 2003, The White House, Washington, whitehouse. gov/ pcipb /cyberspace_strategy
|
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 3357
Importanta: 
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved
