Vitalie OJOG, doctorand ULIM
Recenzent: Alexandru MARIŢ, doctor în drept, conferenţiar universitar
|
|
World is faced to various security risks and threats with which it has to cope. With this view, states, security intergovernmental and non-governmental organizations use a range of methods, techniques and procedures to eliminate, to mitigate or to counter security risks and threats.Under the present intern and international conditions, defined by complexity and a dynamic and random evolution, Moldova must be constantly preoccupied with ensuring its national security and defence. To this end, the system of classified information protection in Moldova should be developed in a high quality and efficient model. Due to the EU integration process, as a first stage, it is important to define the strategies and policies of the multilevel classified information safeguarding system in order to assure national and regional security. Keywords: security risks, classified information, national security, information security, classified information safeguarding system, security incident. |
|
|
|
Actualele evoluţii interne şi internaţionale în domeniul securităţii relevă caracterul dinamic, complex şi fluid al riscurilor şi ameninţărilor cu impact direct asupra modului de funcţionare a instituţiilor statului cu atribuţii în asigurarea securităţii naţionale şi, implicit, în asigurarea securităţii informaţiilor clasificate, ca latură a securităţii naţionale. Procesul de ajustare şi armonizare a ordinilor juridice naţionale şi ale statelor Uniunii Europene, presupune implicit şi cercetări fundamentale în domeniul criteriilor şi sistemului de protecţie a informaţiilor clasificate. La etapa iniţială se impune conceptualizarea modelului adecvat a mecanismlui de protecţie a informaţiilor clasificate, sarcinile, condiţiile, etapele şi metodele necesare pentru elaborarea acestui sistem complex. Cuvinte-cheie: risc de securitate, informaţii clasificate, securitate naţională, securitatea informaţiilor, sistem de protecţie a infromaţiilor clasificate, incident de securitate. |
|
Introducere. Problema securităţii informaţiilor nu mai este de mult numai apanajul structurilor militare, în ultima vreme căpătând o pondere însumată în mediile de afaceri si politice. Explozia tehnologiei informaţiilor în secolul care a fost denumit „Era Informaţională — Information Age“ a spart demult barierele de timp şi spaţiu, permiţînd astfel o mai rapidă accesare a informaţiilor.
În contextul creşterii dependenţei de informaţii, dar şi necesităţii de a le proteja, scopul articolul respectiv este identificarea şi aplicarea la nivel organizaţional a celor mai eficiente şi oportune soluţii de management al riscurilor de securitate în domeniul informaţiilor clasificate.
Actualele evoluţii interne şi internaţionale în domeniul securităţii relevă caracterul dinamic, complex şi fluid al riscurilor şi ameninţărilor cu impact direct asupra modului de funcţionare a instituţiilor statului cu atribuţii în asigurarea securităţii naţionale şi, implicit, în asigurarea securităţii informaţiilor clasificate, ca latură a securităţii naţionale. Persistenţa conflictelor clasice, militare, în anumite zone şi a ambiţiilor regionale ale unor state, emergenţa unor noi vectori în Asia sau Orientul Mijlociu se suprapun peste transferarea în plan non-statal a relaţiilor internaţionale pe coordonatele dezvoltării organizaţiilor transnaţionale, a grupărilor teroriste sau extremiste cu veleităţi globale sau chiar a actorilor individuali. În acest sens, relaţiile dintre state şi actorii non-statali au devenit o coordonată importanţă a descifrării dinamicii de securitate atât la nivel naţional, cât şi internaţional1.
Un alt efect al revoluţiei tehnologice este reprezentat de creşterea capacităţilor civile şi comerciale de supraveghere — sateliţi, sisteme de tip GPS — care conduc la nevoia unei mai bune protecţii a informaţiilor din mediul militar şi la utilizarea la capacitate maximă a informaţiilor care provin din mediul civil, comercial. Într-un mediu ostil şi evolutiv, în care ameninţările şi vulnerabilităţile se redefinesc şi se amplifică permanent, protecţia informaţiilor clasificate devine o sarcină deosebit de complexă.
Unii savanţi ca Ion Ciobanu, Aurel Nour, Nasty Vladoiu insistă asupra faptului că cel mai adesea pentru protejarea informaţiilor clasificate se recurge la soluţii bazate pe mecanisme de securitate deplină. Indiferent de strategia aleasă, mecanismele de securitate deplină asigură integrarea funcţională, din punct de vedere al securităţii, a procesului ce trebuie protejat, pe baza reglementărilor legale în materie, într-o structură ierarhică eficientă. Conform celor relatate de însă de Ilie Gheorghe şi Tiberiu Urdăreanu, „nu a fost, nu există şi nu va putea exista o măsură de securitate perfectă şi general valabilă. Deşi mai puţin, această remarcă este adevărată şi pentru un mecanism de securitate deplină, deoarece orice sistem are slăbiciunile sale conceptuale, constructive, tehnologice şi, în plus, o dinamică de adaptare şi perfecţionare, de regulă, inferioară dinamicii de evoluţie a realităţii“2.
Aplicarea în cadrul articolului respectiv a metodelor logice, comparative, sociologice, prospective şi sistemice de cercetare, corelate cu studierea materialelor specialiştilor în protecţia informaţiilor din străinătate privind conceptele de vulnerabilitate, ameninţare şi risc informaţional şi consecinţele deosebite asupra viabilităţii sistemelor informaţionale şi îndeosebi asupra securităţii naţionale, induc o necesitate ascendentă în abordarea standardelor puse la dispoziţie de NATO şi UE în elaborarea actelor normative specifice, precum şi amendarea celor în vigoare pentru a fi în concordanţă cu cele mai noi cerinţe euro-atlantice.
Succesul oricărui mecanism de securitate deplină care a fost implementat în vederea protecţiei informaţiilor clasificate, depinde în mod de indubitabil de eficienţa cu care organizaţiile analizează şi evaluează ameninţările şi vulnerabilităţile şi îşi asumă costurile pentru desfăşurarea managementului riscurilor de securitate, atât la nivel strategic, cât şi la nivel operaţional.
Complexitatea tipurilor de atacuri, a direcţiilor şi a cauzelor de insecuritate determină complexitatea şi ierarhizarea tipurilor de protecţie şi presupune integrarea acestora într-o strategie fundamentată pe evaluarea riscurilor insecurităţii şi a cheltuielilor totale privind măsurile de securitate.
Strategia de protecţie a informaţiilor clasificate ca element al securităţii naţionale.
Politicile şi strategia de protecţie a informaţiilor, inclusiv coerentă şi pentru Republica Moldova, necesită a avea ca obiectiv realizarea unei securităţi de un anumit nivel, ierarhizată şi diferenţiată pentru anumite componente, servicii, informaţii sau utilizatori.
În acest context, se consideră că o societate informaţională trebuie să atingă un stadiu în care să dispună de un cadru legislativ şi metodologic adecvat, de structuri funcţionale şi de o dotare corespunzătoare. Cadrul respectiv urmează să asigure desfăşurarea nealterată şi în condiţii de siguranţă a proceselor decizionale, să protejeze conţinutul informaţiilor, să asigure funcţionarea în siguranţă a sistemelor informaţionale şi a elementelor de infrastructură cu importanţă critică. Pe aceeaşi dimensiune se încadrează şi capacitatea sistemului să descurajeze, pe căi şi prin mijloace de natură informaţională, acţiunile, de orice fel, la adresa securităţii naţionale, inclusiv şi infracţiunile ce atentează la securitatea statului. Descoperirea, depistarea oportună şi precizarea originii, scopului, căilor şi mijloacelor de ducere a acţiunilor informaţionale, contracararea acestor acţiuni şi estimarea la evoluţiei viitoare a unor acţiuni de acest tip, la costurile şi implicaţiile de contracarare a acestora, constituie paliere adiţionale strict necesare a fi înglobate de sistemul juridic şi metodologic invocat. Nu în utlimul rînd şi desfăşurarea de acţiuni informaţionale prin care să contribuie la promovarea şi protejarea intereselor securităţii naţionale se înscriu în spectrul exigenţelor expuse3.
Un asemenea stadiu complex, care să asigure o securizare maximă a informaţiilor clasificate, poate fi atins prin îndeplinirea următoarelor obiective prioritare:
— elaborarea şi adoptarea politicii şi strategiei protecţiei informaţiilor, care să stabilească un set de principii, obiective, cerinţe şi cadrul legal, structural, procesual şi metodologic;
— conştientizarea, la nivelul factorilor de decizie politico-militară, a necesităţii abordării şi dezvoltării instituţionalizate a domeniului protecţiei informaţiilor, plecînd de la analiza ameninţărilor, vulnerabilităţilor, riscurilor şi a oportunităţilor pe care le presupune dezvoltarea acestui domeniu vital pentru securitatea naţională;
— crearea cadrului legislativ la nivel naţional, dar şi la cel departamental, care să permită dezvoltarea instituţionalizată şi funcţionarea corespunzătoare a structurilor specifice;
— dezvoltarea unui cadru metodologic, format din metodologii, proceduri, algoritmi, cerinţe, standarde şi tehnici, care să permită funcţionarea tuturor structurilor şi a capacităţilor, într-o concepţie unitară, din punct de vedere conceptual şi tehnic;
— pregătirea adecvată a resursei umane, într-o concepţie multidisciplinară, printr-o colaborare permanentă cu specialiştii din comunitatea de informaţii, cu cei din domeniile cercetării şi universitare, din ţară şi din străinătate4;
— dezvoltarea infrastructurii de protecţie a informaţiilor, în acord cu cerinţele de securitate naţională şi de siguranţă informaţională, paralel cu evaluarea sistematică a vulnerabilităţilor, ameninţărilor şi riscurilor din domeniu, care să asigure implementarea metodologiilor, standardelor şi procedurilor necesare protecţiei informaţiilor în procesul de prelucrare, utilizare sau stocare a datelor.
Aşadar, este necesară punerea bazelor conceptuale şi metodologice, precum şi crearea unui cadru normativ, juridic şi instituţional, care să permită dezvoltarea coerentă, globală şi unitară a domeniului protecţiei informaţiilor care, în acest context, pot fi considerate prioritare pentru Republica Moldova.
Realizarea cadrului normativ adecvat al domeniului protecţiei informaţiilor presupune asigurarea concordanţei acestuia cu aspectele normative complexe şi cu raporturile şi implicaţiile sociale ale informaţiei. Astfel, potrivit cercetătorului V. Fulga, legislaţia care nu ţine întotdeauna pasul cu tehnologia informaţiei şi cu implicaţiile sociale ale acesteia, determină partea juridică să aprecieze că alterarea, modificarea, distrugerea sau furtul de date şi informaţii din sistemele informaţionale nu sunt delicte împotriva bunurilor, ci provocate de neviabilitatea sistemelor informaţionale5.
Ţinând cont de faptul că protecţia informaţiilor este o problemă care presupune restricţionarea şi supervizarea unor manifestări comportamentale, se impune realizarea unui cadru normativ bine definit şi adecvat realităţii, în care protecţia să-şi poată manifesta elementele de voinţă şi de constrîngere.
În acest sens, protecţia informaţiilor trebuie înţeleasă ca o prioritate în ceea ce priveşte securitatea naţională şi trebuie să cuprindă:
1. prevederi în legile organice şi speciale referitoare la problematica de protecţie, confidenţialitate, dreptul de proprietate şi de autor, liberul acces la informaţii, dreptul de procesare şi de transmitere a informaţiilor;
2. procedurile legale specifice ce reglementează strict aspecte de protecţie a informaţiilor sau privind autorităţile publice abilitate în domeniu;
3. norme de protecţie generală şi specifică, ce abordează securitatea proceselor sau diferite aspecte (protecţia fizică a persoanelor, a datelor şi a informaţiilor, condiţiile de mediu etc.), normele privind combaterea fenomenelor sau a faptelor periculoase, măsuri specifice etc.;
4. coduri deontologice rezultate în temeiul prevederilor, care sunt mai restrictive, dar unanim acceptate, în virtutea unor drepturi private şi inalienabile de protecţie a activităţii, a patrimoniului, a informaţiilor şi a personalului;
5. angajamente de securitate, care presupun stabilirea noului cadru de cunoaştere şi de responsabilitate reciprocă între persoane şi autorităţi.
Aplicarea legislaţiei privind protecţia informaţiilor trebuie să se transfere de la responsabilitatea formală a conducerii către responsabilităţile reale ale personalului, în funcţie de competenţa şi participarea efectivă a fiecăruia la activităţile structurii6.
Riscurile şi ameninţările de securitate în domeniul protecţiei informaţiilor clasificate.
Crearea structurilor şi realizarea mecanismelor destinate protecţiei informaţiilor a fost mult timp privită ca „un rău necesar“, însă s-a impus cu adevărat în Republica Moldova abia după anii 1990. Caracteristica activităţii de proiectare şi realizare a structurilor şi a mecanismelor de securitate privind protecţia informaţiilor, în condiţiile evoluţiei spectaculoase din domeniile comunicaţiilor şi IT, presupune ca structurile de securitate să corespundă şi să răspundă la noile ameninţări şi riscuri de securitate:
— evoluţia paralelă şi în concurenţă permanentă a tehnicilor puse în slujba crimei organizate şi a celor adecvate noilor tehnologii de securitate;
— pericolul dezinformării, atacului la imagine, sufocării informaţionale, precum şi al abuzului în procesarea informaţiilor;
— mutaţiile fundamentale în tehnologia informaţiilor şi a comunicaţiilor;
— limitarea acţiunii securităţii, datorită insuficienţei resurselor financiare şi umane, în detrimentul protecţiei anticipative, a asumării conştiente şi inteligente a riscurilor în dinamica lor.
Conform unor studii conceptuale şi metodologice realizate inclusiv şi de autorii Roceanu I., Buga I., instituţionalizarea structurilor de protecţie a informaţiilor, ca mărime şi competenţe, depinde de un şir de factori flexibili ca caracter şi valoare7. Printre aceştia sunt trasate specificul şi interesele structurii care trebuie protejată, nivelul de informatizare, vulnerabilităţile, ameninţările şi posibilele riscuri de securitate, bugetul alocat, consecinţele unor evenimente nedorite, strategia, structura mecanismului de securitate şi performanţele mediului de securitate realizat.
De asemenea, în proiectarea acestor structuri este necesar să se ţină seama de cîteva aspecte, care sunt deosebit de pronunţate în condiţiile actuale ale Republicii Moldova. În acest sens rolul şi locul structurilor de protecţie a informaţiilor sunt condiţionate de interese, de confuzii între concept şi dimensionalităţi, de lipsa unei legislaţii corespunzătoare în materie. Paralel structura de securitate este condiţionată, de cele mai multe ori, nu de aspectele funcţionale, ci de resursele financiare alocate. La acelaşi capitol se înscrie şi influenţarea locului, rolului şi competenţelor structurii de securitate de calităţile speciale, proiectele şi acţiunile acestora.
Deşi, se recunoaşte că securitatea este un element de calitate şi stabilitate al oricărei activităţi, proces, sistem, totuşi, acceptarea unei structuri de securitate este o problemă de decizie, mai mult sau mai puţin condiţionată de limitele resurselor sau de dificultatea de a suporta unele costuri mari de securitate şi care nu se pot recupera în timp scurt8.
Considerăm că nici un mecanism de securitate nu poate fi perfect sau absolut, deoarece, oricît s-ar investi, un mecanism are slăbiciunile sale conceptuale, constructive şi tehnologice, precum şi o dinamică de adaptare şi perfecţionare inferioară ritmului de evoluţie a realităţii.
Mecanismul de securitate se proiectează pentru a realiza o funcţionalitate rapidă şi descurajantă, reflexivă (măsuri şi contramăsuri), multidimensională (organizatorică, fizică şi informaţională), în scopul îndeplinirii unui şir de funcţii prioritare. Pe această dimensiune, un mecanism de securitate, inclusiv şi cel de protecţie a informaţiilor, trebuie să îndeplinească funcţiile:
1. prevenirea şi descurajarea acţiunilor (atacurilor);
2. detecţia anticipată a acţiunii răuvoitoare;
3. întârzierea;
4. stoparea;
5. reducerea efectelor acţiunilor reuşite;
6. evidenţierea şi analiza evenimentelor de securitate.
Prevenirea producerii evenimentelor care generează insecuritate, precum şi măsurile de descurajare au importanţă deosebită, am putea spune decisivă, în procesul de protecţie a informaţiilor. Aspectul invocat se bazează pe considerentul că este mult mai costisitor să tratezi un eveniment decît să-l previi. Totodată, în domeniul protecţiei informaţiilor numărul evenimentelor similare, este suficient de mare încât să poată fi folosit pentru prevenire, iar majoritatea evenimentelor de insecuritate conţin elemente comune, deşi acestea se produc separat şi izolat. Adiţional eficacitatea prevenirii producerii evenimentelor care generează insecuritate este generată şi de faptul că existenţa acestora, care, deşi se produc separat şi se manifestă în mod diferit, pot duce la situaţii identice de hazard şi la exploatarea similitudinilor evenimentelor de insecuritate produse în alte medii social-economice. Existenţa studiilor de potenţialitate criminală şi acţiunea structurilor competente de prevenire permanentă a actelor criminale, precum şi analiza situaţiilor de pregătire a actelor criminale şi exploatare a acţiunilor premergătoare atacurilor (supravegherea, concentrarea, procurarea de mijloace adecvate, culegerea de informaţii, situaţii de labilitate şi instabilitate, tipuri de atacuri repetate etc.) determină în fond oportunitatea şi eficacitatea aplicării principiului prevenirii în domeniul protecţiei informaţiilor clasificate.
Dacă prevenirea accidentelor şi a dezastrelor are deja o cultură formată şi se poate baza pe mijloace organizatorice şi tehnologice eficiente, prevenirea criminalităţii în mediul informaţional este încă departe de a avea, la rândul său, o astfel de cultură. De aceea, o componentă fundamentală a conceptului securităţii mediului informaţional o constituie prevenirea producerii evenimentelor şi acţiunilor nedorite9.
În acest context prevenirea producerii evenimentelor care generează insecuritate, precum şi măsurile de descurajare au importanţă deosebită în combaterea infracţiunilor ce atentează la securitatea statului cu componente informaţionale vădite — art. 337 CP RM „Trădare de Patrie“, art. 338 CP RM „Spionaj“, art. 344 CP RM „Divulgarea secretului de stat“ şi art. 345 CP RM „Pierderea documentelor ce conţin secret de stat“10.
Reieşind din faptul că este mai uşor să previi apariţia evenimentelor de insecuritate, decît să le tratezi sau să le atenuezi consecinţele, prevenirea poate fi considerată o acţiune de apărare bazată pe: cunoaşterea mediului informaţional, diagnoza şi prognoza fenomenului de securitate, organizarea unor acţiuni de prevenire în funcţie de particularităţile şi tipologia evenimentelor nedorite, anihilarea sau slăbirea factorilor de insecuritate, identificarea ameninţărilor şi vulnerabilităţilor, determinarea riscurilor din mediul informaţional, educarea personalului din mediu, evidenţierea factorilor de descurajare, participarea la iniţiativele de securitate colectivă şi la acţiunile de prevenţie şi descurajare întreprinse de autorităţile competente, precum şi proiectarea şi realizarea unor structuri şi mecanisme de securitate corespunzătoare11.
Structura mecanismului de protecţie trebuie să fie multinivel, ierarhică funcţional şi acţional, cu elemente structurate pe submecanisme de securitate. Ea este foarte complexă, iar metodologia de realizare a acesteia comportă, de regulă, patru etape:
I. Analiza şi evaluarea mediului de securitate, a riscului şi, apoi, definirea variantelor strategiilor de securitate (definirea mediului de securitate şi a valorilor de protejat; analiza şi evaluarea ameninţărilor, vulnerabilităţilor şi riscului de securitate; elaborarea variantelor, strategiilor de securitate; determinarea costurilor de securitate; acceptarea valorilor riscului rezidual acceptat de securitate).
II. Proiectarea, realizarea şi acreditarea mecanismelor de securitate ( alegerea variantei strategiei de securitate; elaborarea programului de securitate, cu termene, responsabilităţi şi etape de implementare; executarea de teste şi inspecţii de securitate; omologarea şi acreditarea mecanismelor de securitate).
III. Autorizarea şi asigurarea mecanismului de securitate acreditat, ce reprezintă, practic, recunoaşterea legală a acestuia şi abilitarea funcţionării lui.
IV. Operaţionalitatea şi perfecţionarea, care presupune acţiuni declanşate pentru evaluarea permanentă a riscurilor, armonizarea proceselor de securitate, realizarea de schimbări, uneori structurale, semnificative ce pot duce la adoptarea unei alte politici de securitate sau chiar proiectarea unui nou mecanism de securitate.
Concluzii
Analizînd principiile de proiectare, realizare şi funcţionare a unui mecanism de securitate, se poate aprecia că mecanismul de securitate trebuie să fie rezultatul unui proces complex, al unei concepţii realiste şi pragmatice, bazate pe analiza riscurilor, pe adoptarea de măsuri şi responsabilităţi complexe şi adecvate, pe valorificarea opţională a costurilor ce pot fi suportate. Importanţă maximă comportă şi aspectul adoptării strategiei de securitate care trebuie să fie o consecinţă a realizării structurii de securitate şi o condiţie prealabilă de realizare a sistemului de securitate. Totodată conceptualizarea mecanismului de securitate în calitate de un sistem deschis, adaptabil şi perfectibil asigură crearea eficace a structurilor şi realizarea mecanismelor destinate protecţiei informaţiilor.
De asemenea, mecanismul de securitate destinat protecţiei informaţiilor necesită să fie multifuncţional, acoperind domeniile fizic, tehnologic, informaţional şi de personal, asigurând toată gama de servicii de securitate: protejarea, descurajarea, detecţia, întârzierea, stoparea, limitarea sau anihilarea consecinţelor producerii de evenimente nedorite de securitate, reluarea activităţii, după producerea acestora, şi analiza post factum, pentru perfecţionarea reacţiilor de securitate.
1 Colonel Michael E. Whitman, Herbert J. Mattord. Principles of Information Security. Third Edition, Canada: Thomson Course Technology, 2009. 48 p.
2 Ilie G., Urdăreanu T. Securitatea deplină. Bucureşti: Editura UTI, 2001. 36 p.
3 Ciobanu I. Managementul securităţii informaţiilor in acţiunile militare întrunite. Bucureşti: Editura A.I.S.M., 2002. 108 p.
4 Ilie G., Ciobanu I., Nour A. Confruntarea informaţionala si protecţia informaţiilor. Bucureşti: Editura Detectiv, 2006. 107 p.
5 Fulga V. Tendinţe de dezvoltare a sistemelor informaţionale din perspectiva integrării în Uniunea Europeană. În: Sesiunea de comunicări ştiinţifice, Bucureşti: Editura Universităţii Naţionale de Apărare ‘Carol I’ [Catedra Sisteme Informaţionale Militare si Informaţii pentru Apărare], 2007. 354-365 p.
6 Ilie G., Stoian I., Ciobanu V., Securitatea informaţiilor. Bucureşti: Editura Militara, 1996. 28 p.
7 Roceanu I., Buga I., Siguranţa si securitate informaţionala. In: Gândirea militara româneasca, nr. 3/2003, Bucureşti, Editura Statul Major General, România, 2003. 84 p.
8 Vladoiu N., Informaţia clasificata — excepţie de la dreptul la informaţie. In: Revista „Spaţiul sud-est european in contextul globalizării“, Sesiunea de comunicări ştiinţifice cu participare internaţionala „Strategii XXI“, 12-13 aprilie 2007, Bucureşti, Editura Universităţii Naţionale de Apărare ‘Carol I’, 2007. 306 p.
9 Zisu C., Mihalcea A., Securitatea sistemelor informaţional-decizionale: complexitate, structuralitate, operaţionalitate. Bucureşti: Editura „Tritonic“, 2007, 94 p.
10 Codul Penal al Republicii Moldova. Nr.985 din 18.04.2002. În: Monitorul Oficial Nr. 128-129 din 13.09.2002.
11 Boaru Gh., Paun V., Războiul informaţional. Atacul şi apărarea intr-o lume digitala., [Monografie], Bucureşti: Editura U.N.Ap., 2003. 86 p.
