Protecţia infrastructurilor critice – O provocare pentru securitatea naţională Mai 21st, 2010 | Category: Articole, Mai10

Ameninţarea teroristă, diversitatea şi numărul mare al dezastrelor naturale, precum şi accidentele tehnologice sunt surse care determină acordarea unei atenţii deosebite protecţiei infrastructurilor critice. Complexitatea şi interdependenţa acestor infrastructuri impun măsuri de protecţie atât la nivel internaţional, cât şi naţional. Preocupările organismelor naţionale, internaţionale, regionale şi non-guvernamentale sunt concentrate în jurul dezvoltării unor proceduri şi metodologii pentru identificarea şi protejarea infrastructurilor critice.

Globalizarea presupune, inter alia, încadrarea existenţei noastre într-un sistem matriceal, într-o reţea multidimensională. Este lesne de înţeles că disfuncţionalitatea unui singur element al reţelei conduce inevitabil la o propagare în cascadă a consecinţelor distructive. Pe de o parte, perspective din ce în ce mai ameninţătoare a acţiunilor teroriste, înmulţirea şi diversificarea dezastrelor naturale şi posibilităţile de producere a unor accidente tehnologice cu consecinţe majore au impus, în ultimii ani, concentrarea atenţiei asupra protecţiei infrastructurilor critice (PIC). Pe de altă parte, interdependenţele de natură naţională, dar mai ales

internaţională, ale infrastructurilor industriale, cibernetice, de comunicaţii, transport, energetice, bancare etc. au determinat aducerea acestei probleme în faţa factorilor responsabili statali şi din organizaţiile internaţionale. Definirea infrastructurilor critice şi modalităţile de abordare a protecţiei acestora diferă de la o ţară la alta, de la o organizaţie la alta, însă se pot identifica elemente structurale comune, măsuri întreprinse până în prezent, funcţii şi responsabilităţi compatibile.

Scurt istoric

SUA au avut cele mai vechi preocupări pentru PIC. Încă din 1996 a fost înfiinţată Presidential Commission on Critical Infrastructure Protection (Comisia Prezidenţială pentru Protecţia Infrastructurilor Critice), care a stabilit că securitatea, economia, modul de viaţă şi chiar supravieţuirea lumii industrializate depind de trioul energie electrică, comunicaţii şi computere. În 2003 a fost creat Department of Homeland Security (Departamentul de Securitate Teritorială), cu 180.000 de angajaţi, care are camisiune principală unirea tuturor eforturilor pentru asigurarea securităţii Americii în faţa atacurilor teroriste, a dezastrelor naturale şi a celor provocate de om.Dintre organizaţiile internaţionale care au preocupări legate de protecţia infrastructurilor critice (PIC), NATO a fost prima care a realizat paşi concreţi. Anul trecut, NATO a emis o serie de definiţii în domeniu, acceptate de toate statele membre şi partenere:- infrastructura critică reprezintă acele facilităţi, servicii şi sisteme informatice care sunt atât de vitale pentru naţiuni, încât scoaterea lor din funcţiune sau distrugerea lor poate avea efecte de destabilizare a securităţii naţionale, economiei naţionale, stării de sănătate a populaţiei şi asupra funcţionării eficiente a guvernului;- protecţia infrastructurilor critice cuprinde programe, activităţi şi acţiuni realizate de guverne, proprietari,

operatori şi acţionari pentru a apăra aceste infrastructuri.Senior Civil Emergency Planning Committee (Înaltul Comitet pentru Planificarea Activităţilor Civile pentru Situaţii de Urgenţă) din cadrul NATO a însărcinat cele opt comitete din subordine să găsească soluţiile unei abordări unitare a problemelor legate de criteriile de stabilire a infrastructurilor critice (IC), de metodele de analiză a riscului şi stabilire a vulnerabilităţilor, precum şi de metodele lor de protecţie.În ultimii doi ani, o serie de state europene (în special cele membre ale UE), Australia şi Canada au avut preocupări serioase în domeniul PIC, înfiinţând organisme responsabile,dezvoltând metodologii, alocând fonduri şi luând măsuri efective pentru protecţia infrastructurilor desemnate drept critice.

Abordări

Sunt unanim acceptate două axiome în analiza acestui domeniu:- practic, este imposibil să se asigure protecţia 100% a unei infrastructuri critice;- nu există o soluţie unică, universală pentru rezolvarea acestei probleme.Se poate constata că există trei moduri de abordare a PIC:1.Protecţia infrastructurilor critice informaţionale, care ia în consideraţie numai securitatea conexiunilor IT şi soluţiile  de protecţie a acestora, competenţele protecţiei fizice a celorlalte infrastructuri fiind disipate între diverse organisme de stat sau private;2.Tipul de abordare ce are în vedere atât reţelele IT, cât şi elementele fizice ale infrastructurilor critice. În acestcaz, protecţia fizică reprezintă o componentă a sistemului naţional de apărare civilă. În prezent, se încearcă o cooperare cât mai strânsă între sectorul public şi cel privat, pentru atingerea unui grad cât mai înalt de protecţie a infrastructurilor critice. La nivel de planificare strategică, însă, cooperarea este aproape inexistentă. Acest tip de abordare a fost denumit generic

„all hazards approach” (considerarea tuturor riscurilor);3. Al treilea tip de tratare a PIC, mult mai puţin răspândit, în care sunt luate în considerare numai protecţiasistemului de guvernare şi protecţia anumitor organisme statale. Abordarea studiului infrastructurilor critice este foarte dificilă, din cauza complexităţii, relaţiilor de interdependenţă şi dinamicii acestora. O variantă de tratarea problematicii ar putea fi una în şapte etape: analiza de sector, analiza interdependenţelor, analiza de risc, analizaameninţărilor, analiza vulnerabilităţilor, analiza consecinţelor şi analiza sistemului.

Analiza de sector

Generic, un sector reprezintă un grup de industrii sau infrastructure ce îndeplinesc o funcţie similară. Cum se stabileşte, însă, dacă un sector conţine elemente critice sau nu? Răspunsul la această întrebare trebuie să fie dat degrupuri mixte de experţi din partea guvernului, sectorului privat, managerilor şi unor agenţii specializate în protecţia fizică şi informaţională. Este evident că în această situaţie se impune un parteneriat public-privat foarte eficient.Din experienţa altor state membre ale Uniunii Europene şi NATO, sectoarele considerate critice ar putea fi:- sistemul financiar-bancar;- sistemul de guvernare;- telecomunicaţiile;- transporturile, sistemul energetic(electricitate şi combustibili);- asigurarea sănătăţii;- serviciile de urgenţă şi salvare;- alimentarea cu apă.O infrastructură sau o componentă este considerată critică în funcţie de poziţia strategică în sistemul general şi, în special, în funcţie de interdependenţele prin care este legată de alte componente sau infrastructuri.

Analiza interdependenţelor

Interdependenţa poate fi înţeleasă ca o relaţie bidirecţională între două infrastructuri, prin care starea uneia o influenţează pe a celeilalte, în timp ce dependenţa este o relaţie unidirecţională. Determinarea interdependenţelor este condiţionată atât de identificarea proceselor vitale şi a componentelor esenţiale din cadrul unui sector, cât şi de stabilirea nodurilor şi a legăturilordintre sectoare. Evidenţierea acestor relaţii se poate face prin metode matriceale sau grafice, prin cuantificarea interdependenţelor identificate.

Analiza de risc

Analiza de risc are în vedere procesele utilizate pentru evaluarea probabilităţii de producere a unor evenimente şi aconsecinţelor, precum şi studierea modului de implementare aestimărilor în procesul de luare a deciziilor. Practic, această etapă cuprinde identificarea, cuantificarea şi măsurarea riscului, în principiu, trebuind să răspundă la trei întrebări:a. Care sunt evenimentele negative ce se pot produce?b. Care este probabilitatea de producere a acestora ?c. Care ar fi consecinţele? Răspunzând la aceste întrebări se pot realiza evaluarea, accetarea şi evitarea riscului, precum şi managementul acestuia. Un model de analiză de risc, în cinci faze (prezentat în cadrul proiectului CORAS, elaborat sub patronajul Uniunii Europene – Programul European pentru Tehnologiile unei Societăţi Informatice – pe baza standardului AS/NZS comun Australiei şi Noii Zeelande), esteprezentat mai jos.Identificarea contextului constă în detectarea zonei de interes, evaluarea bunurilor şi distingerea necesităţilor desecuritate. Identificarea riscurilor se referă la percepereaameninţărilor la adresa bunurilor şi stabilirea vulnerabilităţilor acestora. Procesul se realizează pe baza unor scenarii de ameninţări sau de evenimente nedorite.Analiza riscurilor presupune o evaluare a consecinţelor, impactului şi o evaluare a posibilităţilor de manifestare a

riscului. Evaluarea se poate face prin diagrame sau tabele, în care fiecare element este cuantificat.Evaluarea riscului înseamnă, practic, determinarea niveluluiriscului, clasificarea, stabilirea ordinii de prioritate a riscurilor şi determinarea interdependenţelor dintre diversetipuri de risc. Nivelul riscului reprezintă combinaţia dintre impactul ameninţării şi posibilitatea producerii acesteia. Combaterea riscului constă în identificarea opţiunilor de contracarare şi evaluar a unor abordări alternative. Opţiunile de contracarare se pot materializa înpolitici de securitate, cerinţe de securitate sau arhitecturi de securitate.

de Dan Marcel Bărbuț – Inspector de Stat Central şi Sinteză – AFER – specialist în Managementul Crizelor, Operaţii Multinationale şi Securitate Euroatlantică

ANALIZA DE RISC SI DE VULNERABILITATE PENTRUINFRASTRUCTURILOR CRITICE ALE SOCIETATII

INFORMATICE –SOCIETATE A CUNOASTERII

Adrian V. Gheorghe*

1. Problematica vulnerabilitatii si riscului in Societatea Informatica –Societatea Cunoasterii

Societatea romaneasca se afla in mijlocul unor profunde transformari politice, economice, sociale si culturale. Acest ansamblu de transformari afecteaza viata fiecaruia dintre noi.

Societatea Informatica – Societatea Cunoasterii va depinde cu siguranta de performantele infrastructurilor critice ale economiei romanesti ex. sistemele de producere, transport si distributie ale energiei, sistemele de telecomunicatie, banci, sistemele de transport aerian, naval, pe cale ferata si pe cale rutiera, care vor putea fi tot mai mult accesate din interiorul granitelor nationale, dar si din afara acestora.

Societatea informatica – societatea cunoasterii redefineste problematica si doctrina de aparare nationala; aspectele economice nu vor fi cele doar

* Universitatea Politehnica Bucuresti, Romania, Swiss Federal Institute of Technology (ETH) Zürich, Switzerland, e-mail: adrian.gheorghe@switzerland.org

strict legate de business si / sau de afaceri. Securitatea infrastructurilor critice ale societatii romanesti vor trebuie asigurate la un inalt nivel de complexitate, intelegere si actiune.

“Cunoasterea”, ca atare, va deveni o “arma” de aparare impotriva riscurilor, ale noilor vulnerabilitati ce vor apare cu siguranta in societatea deceniilor viitoare.

Prin vulnerabilitate se intelege identificarea unui ansamble de evenimente externe sistemelor tehnice care pun in pericol existenta infrastructurilor tehnice, ale sistemelor informatice, cu precadere, si reprezinta elemente de initiere in cadrul analizelor de risc specializate, cu luarea in considerare a probabilitatilor aparitiei elementelor de hazard si consecintele negative ale propagarii dezastrelor.

Ceea ce se numeste astazi tot mai des pericole cibernetice (cyberthreats) vor deveni mai prezente in etapele noi de tranzitie catre o societate informatica – societate a cunoasterii.

La sfarsitul anilor ’80, un diplomat roman in una din tarile nordice declara cu mandrie patriotica: “scoate din priza calculatoarele din societatea occidentala si aceasta va fi pierduta. Noi (romanii) nu avem nevoie de o societate informatica, pentru a fi asadar vulnerabili”.

In etapa noua politica, economica si culturala in care se afla Romania, este evident ca lucrurile s-

au inversat. Un diplomat roman astazi va afirma cu siguranta ca va afirma “fara a fi cuplata la Internet, fara o cultura informatica minima, societatea romaneasca, intreaga ei structura economico-politica si culturala nu va mai fi nicidecum si nicicand compatibila cu noile structuri euro-atlantice”.

Este, asadar, numai o chestiune de timp cand se facafirmatii de un tip sau altul?

2. Teze ale vulnerabilitatii si riscurile infrastructurilor critice in societatea informationala – societatea cunoasterii

Cunoasterea, si managementul acesteia, au devenit resursa pricipala a societatilor moderne actuale. Firme de mare reputatie internationala, inainte cu cativa ani erau producatoare de echipamente energetice de mare performata ca de exemplu firma elvetiano-suedeza ABB, sau firma Sultzer. Astazi ele se declara knowledge management companies (companii care proceseaza, coordoneaza si conduc o micro economie bazata pe cunostinte).

Schimbarile asteptate in viitor, de la o societate bazata eminamente pe resurse materiale la o societate a utilizarii resurselor inteligente care se profileaza deja astazi, conduce la integrarea pescara larga a prelucrarii si managemteul cunostintelor si a informatiei. Aceasta este o schimbare structurala in conditiile de globalizare,access la Internet, etc.

In lucrarea de fata ma voi rezuma la vulnerabilitaea infrastructurilor critice in conditiile adoptarii unei noi doctrine politice dedezvoltare in Romania, cea a societatii informatice, a societatii cunoasterii.

In terminologia adptata recent, infrastructurile critice sunt definite prin:

Structurile informatice si de comunicatie

Bancile si sistemul financiar ale unei tari

Sistemele de energie, incluzand cele de producere si transport ale electricitatii,ale petrolului si ale gazului natural

Structuri de distributie fizica ale resurselor ex: sistemele de transport feroviare, rutiere, navale, aeriene

Serviciile vitale support ale activitatilor umane (sanitare, apararea civila, politia, armata).

Vulnerabilitatea acestor sectoare, in conditiile accentuarii introducerii in managementul societatii, a informaticii si cunoasterii (information and knowledge) trebuie re-evaluata si considerate in toata amplitudinea ei.

Avantajul Romaniei este acela ca va proiecta si realiza aceste infrastructuri support ale

prelucrarii si managementul informatiilor in conditii in care deja alte societati (societatea occidentala) se confrunta deja cu definirea si managementul riscurilor specifice aceasta are loc pe masura asimilarii de noi structuri tehnice careimplica o complexitarte generalizata a tehnologiei,reteleor, sistemelor tehnologice support. Caderea, pentru numai o ora a sistemului de calculatorae alebursei din New York - SUA, a creat in iunie 2001 panica si confuzie mondiala.

Romania, ca viitor partener in structurile economice globale si euro – atlantice, va trebui cuprecadere sa-si defineasca o strategie support de identificare a vulnerabilitatilor si minimizarea riscurilor infrastructurilor ei critice.

3. Solutii posibile

In perspectiva accentuarii, in Romania, a introducerii si promovarii elementelor societatii informatice - societatea cunaosterii, o serie de aspecte noi trebuie identificate si controlate:

Crescanda dependenta fata de infrastructurilecritice ale societatii: in perspectiva dependenta fiecaruia dintre noi va fi tot maimare fata de sistemele de producere, distributie si transport ale energiei electrice, sistemele de comunicatie si a sistemelor de calculatoare

Va avea loc o crestere a vulnerabilitatii sistemelor infrastructurilor critice in etapele de trecere accentuata in Romania la societatea informatica- societatea cunoasterii:

o Se vor diversifica posibilitatile de provocare a unor daune clasice (ex: riscurile tehnologice provocate de sisteme active (centrale nuclaro- electrice, chimice) sau de sisteme tehnice asa numite pasive (ex. baraje ale centralelor hidroelectrice)

o Vor apare noi pericole de tip si natura cibernetica: extinderea retelelor de calculatoare, accesul la un computer personal (PC) si o conexiune telefonica clasica poate provoca intentionat duane insemnate

o Complexitatea sistemelor tehnice si a interdependentelor acestora, precum si posibila / probabila interactiune cu catastrofele naturale vor reprezenta noielemente de vulnerabilitate pentru infrastructurile critice ale societatii.

Spectrul pericolelor se va extinde si poate, in principiu, sa includa:

Evenimente naturale si accidente tehnice ce potprovoca daune materiale , ecologice si umane importante;

Erori umane si omisiuni, care prin suportul fizic al societatii informatice – societatea cunoasterii, poate induce efecte transversale negative in numeroasele componente ale infrastructurilor critice.

O eroare umana provaocata in sistemul de distributie a energiei electrice, induce nealimentarea cu energie a sistemului de transport feroviar privind transportul substantelor periculoase.

Hackerii, cei care din numeroase motive personale sausociale, aflati pe teritoriul Romaniei sau in afaraacesteia, pot provoca intentionat discontinuitati grave ale functionarii infrastructurii informatice ale viitoarei societati informatice - societate a cunoasterii:

Activitati criminale Spionaj industrial Terorism Razboi informatic.

Ceea ce reprezinta astazi vulnerabilitate si risc pentru societatile occidentale avansate, ele vor reprezenta elemente de input negativ si stres pentru societatea romaneasca,ca societate informatica – societate a cunostintelor. Bunaoara, trebuie depuse de la inceput eforturi pentru cunoasterea, localizarea si minimizarea inca de la inceput a efectelor potential negative ce pot apare

in societatea infomatica – societate a cunoasterii,infrastructurile critice ale societatii.

In etapa actuala de proiectare a structurilor societatii informatice – societate a cunoasterii, trebuie accentuat pe urmatoarele aspecte:

Creearea unei culturi de securitate (safety culture) la nivelul publicului, specialistilor, managerilor si politicienilor. Noi legi trebuieadoptate si promovate pe masura ce societatea informatica – societate a cunoasterii demareazaca un process continuu si ireversibil;

Asigurarea unor infrastructuri manageriale corespunzatoare, disseminate la toate nivelurile si adaptate gradual la necesitatile societale;

Elaborarea unui sistem de legi specifice protectiei infrastrufturilor critice, in consens cu legislatia internationala si Europeana;

Elaborarea unui program de cercetare stiintifica si dezvoltare care sa asigure progresul in cunoasterea si managementul complexitatii si interactiunilor in cadrul infrastructurilor critice ale societatii informatice – societateacunoasterii.

Necesitatea creerii unui program de constientizare si de educatie pentru a face fata cerintelor generate de promovarea societatii informatice – societatea cunoasterii este un alt aspect ce trebuie considerat cuatentie. In acest sens, este de remarcat faptul ca promovarea societatii informatice – societatea cunoasterii presupune un amplu program de educare, de intelegere a dimensiunilor promovarii procesului de a naviga continuu spre realizarea acestor deziderate ale societatii informatice – societate a cunoasterii.

Industria privata sau cea cu participare publica are sarcina de a coopera si de a schimba informatiiin vedera asigurarii functionalitatii, in conditii de maxima securitate a infrastructurilor critice.

In orice societate, dar cu precadere in societate informatica- societate a cunoasterii, infrastructurile critice pot fi caracterizate ca acelea care asigura “linia vietii” (lifelines infrastructures), de care societatea contemporana este astazi pe deplin dependenta.

In societatea informatica – societatea cunoasterii nu mai exista frontiere, in sensul clasic al acestei acceptiuni. Infrastructurile critice, liniiale vietii, sunt expuse la noi tipuri de vulnerabilitate – vulnerabilitati cibernetice – si noi pericole, pericole cibernetice.

Modul de abordare al vulnerabilitatilor si riscurilor societatii informatice – societate a cunoasterii, trebuie sa adopte noile dimensiuni cibernetice specifice acestora. Acestea sunt deja

concluzii pe care si le-au asumat si recentele studii cu rezonanta in SUA si Europa Occidentala. Se mentioneaza in aceste studii ca “ceea ce este extrem de important este de a recunoaste ca atat detinatorii cit si cei ce opereaza infrastructurileinformatice sunt astazi in prima linie in ceea ce priveste efortul pentru asigurarea securitatii acestora. Acestia sunt, in primul rand, cei mai vulnerabili la atacurile cibernetice. Si aceasta vulnerabilitate are influente negative asupra securitatii nationale, competitivitatea economica globala si a bunastarii la nivel national.”

Societatea informatica- societatea cunoasterii implica adoptarea si negocierea unei noi geografii informatice, in care granitele sunt irelevante si distantele geografice fara sens, unde inamicul potential poate “demola” sistemele vitale ale societatii fara nici un act de prezenta sau agresiune asa numita militara.

Pe masura ce vom face eforturi pentru a atinge scopurile si avantajele societatii informatice- societatea cunoasterii, in paralel trebuie sa avem in vedere ca trebuie proiectate structuri si retelede conducere in societatea informatica – societateacunoasterii reziliente, capabile sa raspunda noii geografii a vulnerabilitatii si riscurilor infrastructurilor critice din Romania.

Inainte de a atinge stadiile societatii informatice– societatii cunoasterii, Romania va trebui sa gospodareasca inteligent si eficace ansamblul infrastructurilor critice existente, cu varsta lor

tehnologica, gradul lor de intretinere. Aceasta nu este o iluzie sau o simpla ipoteza de lucru, ci un deziderat extrem de serios si din perspectiva in care forma de proprietete a acestora sufera profunde schimbari. Apoi integrarea dinamica a infrastructurilor existente cu cele specifice societatii informatice – societatea cunoasterii va presupune recunoasterea si managementul unor vulnerabilitati specifice.

Analizele de risc si vulnerabilitate pentru aceste categorii de sisteme, evolutia lor in etape de tranzitie, tinand cont de gradul de educatie si pregatire pentru managementul sistemelor complexe, vor avea un rol extrem de important in deceniul viitor.

O concluzie posibila in etapa de demarare a dezideratelor societatii informatice – societatea cunoasterii este aceea ca analiza de vulnerabilitate si risc trebuie considerate cu precadere.

Se afirma recent ca “…a astepta aparitia dezastrelor este o strategie periculoasa. Acum estetimpul pentru a actiona in vedera protejarii viitorului nostru”.

In noua geografie a riscurilor generate de existenta infrastructurilor critice in cadrul societatii informatice – societatea cunoasterii este necesar sa invatam sa gandim diferit asupra operabilitatii conceptelor de vulnerabilitate, siguranta, securitate si risc.

Referitor la definirea directiilor de constructie si coordonare a eforturilor societale pentru societatea informatica – societatea cunoasterii, o serie de aspecte se vor evidentia in continuare:

Se impune cu necesitate schimbul reciproc de informatii, date si cunostinte referitor la vulnerabilitatea deferitelor sisteme de infrastructuri critice, intre Guvern si sectoarele implicate, transversal intre sectoare distincte in cadrul conceptului de infrastructuri critice, in conditiile societatii infromatice – societatea cunoasterii

Este necesar sa se construiasca in cadrul societatii informatice – societatea cunoasterii, un sistem de responsabilitati caresa garanteze cooperarea intre diferitele grupuri active in functionarea infrastructurilor critice

Protectia infrastructurilor impune construirea de capabilitati integrate in cadrul diverselor institutii in structura generala a societatii in Romania

Este necesara realizarea unei culturi de securitate (safety culture) corespunzatoare

Sistemul de legi ale societatii informatice – societatea cunoasterii trebuie sa ia in considerare potentialul de impact ale

pericolelor cibernetice si reglementate in mod corespunzator

Se impune initierea si coordonarea adecvata a unor activitati de cercetare stiintifica care sa adreseze problematica vulnerabilitatii si securitatii infrastructurilor critice in cadrulconceptului de societate informatica – societatea cunoasterii.

In legatura cu realizarea unor studii practice caresa adreseze problematica vulnerabilitatii si riscului infrastructurilor critice se impune, ca inconditiile Romaniei, sa se:

Promoveze construirea unor banci de date care sa colecteze si prelucreze date spcifice infrastructurilor critice

Construirea de banci de cunostinte care sa inglobeze cea mai buna practica (best practice)privind proiectarea si functionarea infrastructurilor critice in lume si in Romania, in special

Promovarea unor programe de invatamant la nivel universitar si postuniversitar pentru a face fata nevoilor specifice analizei vulnerabilitatii si riscului infrastructurilor critice ale societatii informatice – societateacunoasterii din Romania

Instituirea in cadrul structurii Academiei Romane a unui grup de lucru, comisie sau task force,

pentru o activitate de cercetare interdisciplinara pe problematica vulnerabilitatii si riscului sistemelor complexe, in special al infrastructurilor critice si impactul lor la nivel national

Se va impune cu siguranta adoptarea unei terminologii unitare in acest domeniu

Realizarea unui parteneriat la nivel national intre domeniul public si cel privat care sa asigure un nivel acceptabil al securitatii infrastructurilor cirtice in cadrul societatii informatice – societatea cunoasterii, fara sa afecteze operabilitatea functiilor vitale ale economiei nationale din Romania

Promovarea in toate etapele ciclului de viata al infrastructurilor critice ale societatii infromatice – societata cunoasterii a studiilor si analizei de risc, promovand cea mai buna practica (best practice) si adoptarea unor criterii de risc cu larga acceptabilitate societala (ex. principiul ALARA –As Low As Reasonable Acceptable)

Coordonarea in cadrul sistemului de legi din Romaniaa introducerii unor prevederi care conduca la descurajarea atacurilor critice asupra infrastructurilor critice, dar si includerea deelemente legislative care sa incurajeze solutiide tip risc-beneficiu privind proiectarea, realizarea si functionarea operativa a infrastructurilor critice, in conditiile

cresterii complexitatii si a dependabilitatiloracestora

Promovarea, sustinerea si realizarea in practica a unui ansamblu de masuri specifice creerii unei constientizari a actiunilor in cazde urgenta (emergency awareness) care impreuna cu cele ale culturii de securitate (safety culture) sa depaseasca momentele posibile de criza infunctionarea infrastructurilor critice ale societatii informatice –societatea cunoaterii

Realizarea unor schimbari de informatii si experienta internationala prin creearea si de societati / fundatii in Romania care sa disemineze cea mai buna practica privind asigurarea continuitatii operabilitatii infrastructurilor critice (ex. Fundatia Infosurance1 in Elvetia).

4.Concluzii

In loc de concluzii, se pot lua in considerare urmatoarele remarci, in scopul unor analize mai aprofundate si realizarea unui business plan referitorla promovarea si implementarea principiilor societatii informatice – societatea a cunoasterii:

1 Infosurance realizeaza un system complex de activitati privind posiblia vulnerabilitate a sistemelor informatice lascara societatii elvetiene

Remarca 1: Managementul riscurilor societatii informatice – societatea cunoasterii necesita, in general, un parteneriat dedicat intre industrie, Guvern, societate

Remarca 2: Structurile de decizie ale societatii romanesti trebuie sa fie construite pe principiul de adaptabilitate si raspuns la crize privind disfunctionalitatea infrastructurilor critice

Remarca 3: Se impune, in perspectiva construirii cu intensitate a cadrului si dimensiunilor societatii informatice – societatea cunoasterii, luarea in considerare a pericolelor cibernetice (cyberthreats) si anticiparea si marginirea adecvata a efectelor acestora la niveluri diferite ale societatii

Remarca 4: Adoptarea conceptelor “cash and carry security”sau “buy-in security” vor deveni instrumentale in cadrul structurilor economiei de piata pentru Romania. Aplicarea lor va genera forme noi de promovare durabila a elementelor concrete ale societatii informatice – societatea cunoasterii.

Bibliografie

1.*** - Critical Foundations. Protecting America’s Infrastructures. The Report of the President’s Commission on Critical Infrastrucutre Protection, Washington DC, October 1997

2.*** - 3.*** -4.*** - Infosurance, Zürich, 2001

Protecţia infrastructurilor critice

Fără o cunoaştere suficientă a noilor ameninţări la adresa securităţii, nu vom putea construi un climat de stabilitate pentru noi şi pentru generaţiile următoare.Înfiinţat la 30 septembrie 2003 în cadrul Serviciului Român de Informaţii, Centrul de Informare pentru Cultura de Securitate (CICS),unic în regiune, reprezintă un sistem de informare interactivă şi multidisciplinară, de captare a interesului societăţii civile pe subiecteconexe securităţii naţionale. Principalul obiectiv constă înrealizarea unei atitudini corecte faţă de participarea instituţiilor specializate şi a cetăţenilor la evoluţia noului mediu de securitate. CICS intenţionează să identificemecanismele de relaţionare instituţională şi un cadruadecvat pentru încheierea de acorduri de parteneriat cu ONG-uri şi autorităţi publice pentru asigurarea transferului de expertiză în domeniul securităţii naţionale.Complexitatea şidiversitatea riscurilor şi ameninţărilor, tot mai interconectate şi caracterizate prin determinări multiple, reclamă o abordare integratoare, sistemică şi comprehensivă a obiectivelor de securitate, cu accent pe protejarea acelorcomponente vitale pentru siguranţa şibuna desfăşurare a vieţii socio-economice.Activitatea de protecţie a infrastructurilor critice nu mai ţine cont de graniţele naţionale şi implică eforturi comune,în sensul identificării şi evaluării oricăror puncte vulnerabile ale acestora. Ca atare, protecţia infrastructurilor critice – element determinant pentrumenţinerea stării de stabilitate şi securitate – impune amplificarea preocupărilor principalilor actori internaţionali (state şi organizaţii internaţionale) de elaborare şi armonizare a unor strategii în domeniu.Acestea trebuie să permită identificarea şi avertizarea timpurie a riscurilor, concomitent cu adoptarea şi iniţiereaoportună a deciziilor/ demersurilor de intervenţie preventivă şi contracarare.Problematica domeniului a intrat şi în sfera competenţelor

serviciilor de informaţii, care desfăşoară activităţi în scopul cunoaşterii,anticipării, prevenirii şi contracarării ameninţărilor la adresa infrastructurilor critice. De eficienţa activităţii structurilor de informaţii depinde capacitatea celorlalte instituţii ale statului de a asigurasecuritatea naţiunii.Problematica infrastructurilor critice s-a configurat tot mai pregnant ca subiect de actualitate, în special spre sfârşitul secolului XX şi începutul celui actual, ca o consecinţă a escaladării riscurilor asimetrice.Atentatele teroriste de la 11 septembrie 2001 au reprezentatînceputul unei „ere noi” în relaţiile internaţionale1, momentul crucial pentru extinderea la nivel mondial a conceptului de „infrastructuri critice” şi adoptarea de măsuri unitare, coagulate în strategii la nivelnaţional şi regional, de protecţie a acestora faţă de riscuri şi ameninţări,în special de natură teroristă. S-au înregistrat evoluţii marcante, în plan legislativ şi instituţional, pe linia definirii şi protecţiei infrastructurilor critice, atât în SUA, cât şi la nivelul Alianţei Nord-Atlantice şi al statelor membre ale Uniunii Europene.În conformitate cu obiectivele NATO, la nivelul Comitetului Superior pentru Planificarea Activităţilor Civile pentru Situaţii deUrgenţă din cadrul Alianţei, au fost iniţiate demersuri pentru găsirea şi aplicarea unor strategii unitare de identificare, analiză a riscurilor şi protecţie a infrastructurilor care, în accepţiunea acestei organizaţii, sunt asimilate celor critice.�� În special după atacurile teroriste produse la Madrid (2004)şi Londra (2005), la nivelul Uniunii Europene a fost demarată o serie de măsuri menite să asigure configurarea cadrului legislativ şi operaţional de identificare şi îmbunătăţire a protecţiei infrastructurilor critice.Prezintă relevanţă, în acest sens: • lansarea, în 12 decembrie 2006, a Programului European pentru Protecţia Infrastructurilor Critice (PEPIC), care menţiona 11 sectoare şi 32 de servicii vitale conexe acestora la nivel

european;

Definirea şi identificarea infrastructurilor .Având în vedere importanţa infrastructurilor în susţinerea ansamblului mecanismelor aferente stabilităţii şi funcţionalităţii în condiţii de securitate şi siguranţă a sistemelor economice şi sociale,literatura de specialitate clasifică infrastructurile în trei mari categorii :• Infrastructurile obişnuite reprezintă o structură cadru, care asigură construcţia şi funcţionarea unui sistem;• Infrastructurile speciale au un rol consistent în funcţionarea sistemelor şi proceselor, având un grad ridicatde stabilitate şi securitate în ansamblul mecanismelor vieţii economico-socialede interes regional. Aceste categorii de infrastructuri, supuse unor disfuncţii şi vulnerabilităţi, precum şi într-uncontext de insecuritate, pot intra în categoria celor critice;• Infrastructurile critice sunt, de regulă, determinante în stabilitatea, securitatea şi siguranţa sistemelor şi proceselor, având un rol important în derularea proceselor economicosociale, politice şi militare. Gradul de criticitate al acestor infrastructuri este corelat efectelorsemnificative induse de perturbarea ori scoaterea din funcţiune a acestora, inclusiv pe o perioadă foarte scurtă.Deşi abordările diferă, având drept punct de plecare elementele comune privind importanţa funcţionării în siguranţă şi efectele induse, conceptul de „infrastructură critică” poate fi asimilat cu orice entitate economică funcţională, care oferă produse, bunuri şi servicii de utilitate publică, vitale pentru întreaga societate şi a cărei distrugere, degradare ori aducere în stare de nefuncţionare produce un impact major în plan economico-social, la nivel micro şi macroregional.Directiva Consiliului UE nr.114/2008/CE privind „Identificarea şi desemnarea infrastructurilor critice europene şi evaluarea necesităţilor de îmbunătăţire a protecţiei acestora” (8 decembrie 2008) defineşte infrastructura critică după cum urmează:

„un element, sistem sau o parte componentă a acestuia, aflatpe teritoriul statelor membre, care este esenţial pentru menţinerea funcţiilor sociale vitale, a sănătăţii, siguranţei, securităţii,bunăstării sociale sau economice a persoanelor, şi a căror perturbare sau distrugere ar avea un impact semnificativ într-un stat membru, ca urmare a incapacităţii de a menţine respectivelefuncţii vitale”.Climatul de stabilitate şi securitate este determinat de buna funcţionare a reţelelor de infrastructuri critice,necesitatea protecţiei acestora fiind o condiţie esenţială pentru evitarea perturbării grave a viabilităţii societăţii.Conform Directivei Europene nr.114/2008/CE,protecţia infrastructurilor critice constă în „orice activitate care are drept scop asigurarea funcţionalităţii, a continuităţii (n.n. –vezi diagrama alăturată) şi a integrităţii infrastructurilor critice pentru a descuraja, diminua şi neutraliza o ameninţare, un risc sau un punct vulnerabil”.Tipologia elementelor de risc la adresa infrastructurilor critice .Realizarea unei protecţii eficiente a infrastructurilor critice necesită o cunoaştere aprofundată a elementelor carear putea afecta activitatea acestora:A. VulnerabilităţiReprezintă acele stări de fapt, procese sau fenomene ce diminuează capacitatea de reacţie la riscurile existente oripotenţiale sau care favorizează apariţia şi dezvoltarea acestora, cuconsecinţe în planul funcţionalităţii şi utilităţii infrastructurilor critice.Acestea sunt consecinţele unor disfuncţii de sistem, care generează dereglări ale proceselor informaţional-decizionale, ale conexiunilor, raporturilor şi relaţiilor între componentele sistemului sau relaţiilor intersistemice,cu efecte asupra funcţionalităţii,echilibrului şi stabilităţii economico-sociale. Neidentificarea ori gestionarea necorespunzătoare a disfuncţiilor poate

degenera, prin perpetuare, în riscuri şi factori de risc, ameninţări, stări de pericolsau agresiuni la adresa obiectivelor, valorilor, intereselorşi necesităţilor de securitate naţională.Vulnerabilităţile infrastructurilor critice pot fi consecinţele unor elemente obiective, prefigurate de potenţialele intervenţii umane ori de exploatarea şi administrarea deficitară.În contextul măsurilor de protecţie a infrastructurilor critice,un element primordial îl constituie evaluarea vulnerabilităţilor individuale şi sistemice.B. Factori de riscSe referă la situaţii, împrejurări, elemente, condiţii sau conjuncturi interne şi externe, dublate uneori şi de acţiune, ce determină sau favorizează materializarea unor ameninţări la adresa infrastructurilor, generând efecte de insecuritate.

Riscurile în domeniul infrastructurilor critice se pot clasifica în funcţie de:• structura şi extinderea unor defecţiuni, avarii, intervenţii, gradele de probabilitate ale producerii acestora, precum şi potenţialul de acţiune umană;• factor declanşator şi vulnerabilităţile unui sistem sau ale unor sisteme;• natura, gradul de ambiguitate şi incertitudine.Importanţa identificării şi prevenirii manifestării unor factori de risc implică o evaluare şi analiză de risc exhaustivă, pornind de la disfuncţii şi vulnerabilităţi.

C. AmeninţăriSunt reprezentate de capacităţi, strategii, intenţii, planuri ce potenţează un pericol la adresa infrastructurilorcritice, materializate prin atitudini, gesturi, acte, fapte ce creează stări de dezechilibru ori instabilitate şi generează stări de pericol, cu impact asupra securităţii naţionale.

D. Stări de pericol

Evidenţiază, de regulă, rezultatul materializării ameninţării ori iminenţa producerii unei agresiuni la adresainfrastructurilor critice.

E. AgresiuniSe materializează în acţiuni violente sau non-violente,desfăşurate prin mijloace armate, electronice, psihologice sau informaţionale, pe baza unor strategii sau planuri, de către oentitate (state, grupuri de presiune, actori nonstatali, centre de putere etc.).Probabilitate versus impact Vulnerabilitatea infrastructuriicritice este dată de raportuldintre probabilitatea unui ameninţări reale asupra bunei funcţionări a acesteia şi consecinţele induse.Atribuţiile Serviciului Român de Informaţii în asigurarea protecţiei infrastructurilor critice naţionale Coordonate ale activităţii SRI pentru protejarea infrastructurilor criticeDin perspectiva atribuţiilor conferite de lege, SRI acţionează pe această dimensiune prin:

A. Măsuri informative (intelligence)

Au ca scop identificarea ameninţărilor de orice natură la adresa infrastructurilor critice, precum şi a vulnerabilităţilor, stărilor de pericol şi riscurilor care afectează securitatea acestora, urmată de transmiterea aspectelor către beneficiarii legali.SRI îi revine sarcina de a informa constant şi în timp util factorii de decizie în stat, prin punerea la dispoziţie a unor documente de informare (conform Legii nr.51/ 1991 şi Legii nr.14/1992) şi de a coopera la nivel naţional cu alte structuri ale statului (conform Legii nr.535/ 2004).Activitatea de informaţii în domeniul infrastructurilor critice cuprinde totalitatea acţiunilor şi operaţiunilor desfăşurate permanent pentru planificarea, căutarea, obţinerea, verificarea, prelucrarea analitică a datelor şi

informaţiilor cu relevanţă pentru protecţia infrastructurilor critice şi informarea factorilor de decizie abilitaţi în domeniu.Informaţiile fiabile, precise şi de actualitate – cu caracter preponderent anticipativ/ predictiv – constituie instrumentul de avertizare a autorităţilor, pentru adoptareaunor contra-măsuriadecvate şi evitarea situaţiilor de criză ori a „surprizelorstrategice”.De asemenea, relevarea, în cel mai scurt timp, a evoluţiilorreale în situaţii de criză şi a potenţialelor efecte contribuie la optimizarea gestionării acestora.Informaţia pentru protecţia infrastructurilor critice este oparte componentă a informaţiei de securitate naţională - definită ca produs al activităţii de intelligence, cuprinzând cunoştinţe noi în raport cu cele preexistente, referitoare la situaţii/ fenomene/ fapte/ stări de fapt careconstituie sau pot deveni ameninţări ori surse de risc la adresa securităţii naţionale ori la vectorii purtători ai acestora.Ca atare, printre activităţile specifice derulate de structurile SRI figurează:• obţinerea unor date şi informaţii primare referitoare la factori de risc de natură să afecteze integritatea şi funcţionalitatea infrastructurilor critice;• elaborarea de evaluări şi analize complexe asupra stării de securitate a infrastructurilor critice care să permită identificarea şi sesizarea ameninţărilor potenţiale;• furnizarea informaţiilor referitoare la situaţii/ stări potenţiale de risc la adresa infrastructurilor critice, autorităţilor, instituţiilor cu atribuţii legale pentru fundamentareadeciziilor şi acţiunilor necesare în fiecare situaţie. Diseminarea datelor cu caracter secret către beneficiari este guvernată de principiul „nevoii de a şti” („need to know”), astfel încât factorii de decizie din diverse domeniivor primi informaţii în funcţie de competenţele ce le-au fost conferite prin lege.Persoanele care au acces la anumite informaţii clasificate

pentru aşi îndeplini atribuţiile oficiale sunt avizate corespunzător normelor legale care reglementează accesul la această categorie de informaţii.Având în vedere imperativul eficientizării activităţii, pentru SRI se conturează tot mai acut necesitatea constituirii unui feed-back instituţionalizat - oportun şi eficient - din partea beneficiarilor legali ai unor informări referitoare la problema infrastructurilor critice,care săpermită adaptarea şi modelarea capabilităţilor Serviciului pentru asigurarea nevoilor de cunoaştere/ informare ale autorităţilor şi setarea agendei de priorităţi la nivel tactic şi operaţional.

Se poate considera că activitatea de informare şi-a atins scopul în momentul în care utilizatorului autorizat îi sunt aduse la cunoştinţă aspectele din competenţă. Existenţa unuifeed-back din partea acestuia - prin care este confirmat, apreciat, infirmat/ amendat conţinutul produsului analitic sau se solicită date de completare - determină declanşarea unui nou proces/ ciclu analitic care se poate finaliza cu unnou document de informare.Din perspectiva reglementării şi planificării activităţii proprii,prezintă relevanţă faptul că Strategia de Informaţii– document programatic prin care se asigură transpunerea strategiilor desecuritate naţională şi apărare în aria de responsabilitate a Serviciului – include problematica protecţiei infrastructurilor critice în categoria direcţiilor prioritare de acţiune ale SRI, asigurându-se orientarea în acest sens a resurselor umane, materiale şi financiare şi a capabilităţilor informative şi operative ale instituţiei.B. Măsuri de asigurare a protecţiei fizice a infrastructurilor critice Derivate din calitatea SRI de autoritate naţională în domeniul antiterorist şi de coordonator tehnic al Sistemului Naţionalde Prevenire şi Combatere a Terorismului (SNPCT), măsurile se aplică gradual, în funcţie de nivelul de pericol, identificat pe baza informaţiilor şi evaluărilor

specializate de risc, şi pot fi de coordonare sau acţionale,respectiv:• acordarea avizului pentru protecţia antiteroristă/ intervenţia în cazul iminenţei aterializării unei ameninţăride această natură – sarcini în competenţa forţelor specializate alemembrilor SNPCT;• intervenţia contrateroristă, în cazul derulării unui atac terorist – în competenţa strictă a SRI, şi cu sprijinul altor forţe ale membrilor SNPCT;• asigurarea controlului antiterorist-antideturnare şi a protecţiei antiteroriste pe eroporturile civile – în competenţa SRI.Prevenirea şi combaterea terorismului – una dintre cele mai importante ameninţări la adresa infrastructurilor critice – se realizează în conformitate cu prevederile legislaţiei interne, aleconvenţiilor internaţionale la care România este parte, precum şi ale reglementărilor internaţionale. Atribuţiile specifice în domeniu sunt prevăzute în acte normative interne.C. Măsuri derivate din calitatea Serviciului de autoritate naţională în domeniul cyber-intelligence (CYBERINT) .Sistemele informatice prin care operează majoritatea infrastructurilor critice reprezintă o ţintă predilectă a atacurilor cibernetice, din ce în ce mai bine organizate şi mai sofisticate.Atacurile asupra sistemelor informatice aparţinând unor instituţii ale statului sau aflate în proprietate privată, asimilate infrastructurilor critice, devin cu atât mai periculoase şi mai dificil de prevenit. Ele pot fi iniţiate de grupări de criminalitate organizată care vizează, încele mai multe cazuri, obţinerea de resurse financiare, dar şi de către state ostile, ca arme pentru atingerea unor scopuri politice.Din această perspectivă, procesul de transformare şi modernizare a SRI are în vedere fundamentarea unui concept instituţional şi a unei arhitecturi proprii a Serviciului care să asigure un răspuns adecvat la acest tip de

ameninţări (prevenirea, protecţia, reacţia şi managementul consecinţelor în situaţia unor atacuri cibernetice), prin înfiinţarea în anul 2008 a Centrului Naţional CYBERINT, caresă constituie:• platforma de colaborare a instituţiilor din cadrul Sistemuluide Securitate Naţională;• interfaţa de cooperare cu structuri similare din cadrul NATO.

D. Măsuri de protecţie fizică, juridică şi procedurală a informaţiilor clasificate referitoare la infrastructurile critice SRI, în calitate de autoritate desemnată de securitate cu competenţă în materia protecţiei informaţiilorclasificate, derulează activităţi circumscrise asigurării securităţii informaţiilor clasificate gestionate de autorităţi şi instituţii publice ori persoane juridice de drept public sau privat care se află în sfera sa de competenţă, în conformitate cu prevederile Legii nr.182/ 2002 privind protecţia informaţiilor clasificate şi ale actelor normative subsecvente.Pentru exercitarea tuturor atribuţiilor ce îi revin în aplicarea acestor reglementări, structura specializată a Serviciului asigură:• protecţia informaţiilor clasificate NATO şi UE gestionate de SRI;• coordonarea generală şi controlul măsurilor de protecţie ainformaţiilor clasificate din sfera de responsabilitate a SRI,pentru prevenirea compromiterii informaţiilor secrete de stat, respectiv, NATO/ UE clasificate;• elaborarea standardelor naţionale de protecţie a informaţiilor clasificate;• supravegherea demersurilor întreprinse de autorităţile şi instituţiile publice, agenţii economici cu capital integral sau parţial de stat şi celelalte persoane juridice de drept publicsau privat pentru apărarea secretului de stat şi secretului de serviciu;

• conlucrarea, în domeniul protecţiei informaţiilor clasificate,cu autorităţile desemnate de securitate şi cu structurile specializate ale serviciilor partenere străine;• acordarea asistenţei de specialitate entităţilor deţinătoare de informaţii clasificate şi impunerea respectării legii prin aplicarea sancţiunilor, conform reglementărilor în vigoare.Demersuri de comunicare publică ale Serviciului Român de Informaţii pe tema protecţieiinfrastructurilor critice Direcţia Programe de Comunicare din cadrul ServiciulRomân de Informaţii, prin intermediul Centrului de Informarepentru Cultura de Securitate, a iniţiat în anul 2009 derularea proiectului de comunicare publică „Protecţia infrastructurilor critice – direcţie prioritară pentru realizarea securităţii naţionale”.Obiectivul său principal este informarea cu privire la domeniul infrastructurilor critice şi la locul şi rolul Serviciului Român de Informaţii în asigurarea protecţiei acestora.Acest proiect a fost inaugurat în data 12 mai 2009, la Braşov, cu masa rotundă cu tema „Protecţia infrastructurilorcritice şi parteneriatul public-privat. Direcţie prioritară pentru realizareasecurităţii naţionale”, realizată în parteneriat cu FundaţiaEurisc.La eveniment au participat reprezentanţi ai autorităţilor publice judeţene, ai instituţiilor cu atribuţii în domeniul apărării, ordinii publice şi securităţii naţionale, ai unor agenţi economici din domenii cu relevanţă pe palierul infrastructurilor critice (transporturi,furnizori de utilităţi, IT&C), precum şi ai mass media locale.Temele centrale au vizat conceptul şi necesitatea realizăriiprotecţiei infrastructurilor critice, în conformitate cu Directiva Europeană 114/ 2008, respectiv necesitatea iniţierii/ lansării unui dialog/ parteneriat cu agenţii economici şi instituţiile care deţinasemenea infrastructuri sau sunt implicate în dezvoltarea şi

protecţia acestora, la care s-au adăugat elementele explicative ale conexiunii dintre infrastructurile critice şi securitatea naţională.

ConcluziiEvoluţiile economico-sociale în plan naţional şi internaţional, implicit din perspectiva ameninţărilor previzibile sau imprevizibile, efectelor asupra populaţiei şi economiilor statelor şiuniunilor statale, conduc spre necesitatea adoptării unor măsuri urgente de protecţie a infrastructurilor critice, cele mai importante fiind:• stabilirea cadrului legislativ naţional de definire şi selecţie a infrastructurilor ce pot fi incluse în categoria celor critice.Este important să precizăm că este necesară conjugarea eforturilor pentru adoptarea urgentă a acestuia, inclusiv din perspectiva conformării în termen - 12 ianuarie 2011 – laDirectiva Consiliului UE nr.114/ 2008;• configurarea cadrului instituţional, care să confere uniformitate şi eficienţă în planul reglementării şi aplicării măsurilor de protecţie a infrastructurilor critice;• implicarea administratorilor/ operatorilor de infrastructuri critice în ansamblul eforturilor de ordin legislativ, dar şi aplicativ;• dezvoltarea expertizei în domeniu;• întărirea cooperării inter-instituţionale în plan naţional,european, dar şi macro-regional;• asigurarea cadrului optim şi eficient de „avertizare timpurie” şi intervenţie preventivă faţă de riscurile ce potafecta integritatea şi funcţionalitatea sistemelor de infrastructuri.

Anexa: Programul European pentru Protecţia InfrastructurilorCritice (PEPIC)Lansat la 12 decembrie 2006, Programul European pentru Protecţia Infrastructurilor Critice menţiona, la nivel

european, 11 sectoare şi 32 de servicii vitale conexe acestora:

Sectorul Produsul sau serviciul

I. Energetic 1. Producţia de petrol şi gaze, activităţile derafinare, tratare şi depozitare, inclusiv conductele;2. Producerea de energie electrică;3. Transportul de energie electrică, gaze şi petrol;4. Activităţile de distribuţie, electricitate, gaz şi petrol;

II. Informaţii şi tehnologii de comunicaţii

5. Sistemele şi reţelele de informaţii;6. Sistemele de comandă, automatizare şiinstrumentare;7. Serviciile de telecomunicaţii fixe şi mobile;8. Serviciile de radiocomunicaţii şi navigare;9. Serviciile de comunicaţii prin satelit;10. Serviciile de radiodifuziune;

III. Alimentare cu apă

11. Furnizarea de apă potabilă;12. Controlul calităţii apei;13. Îndiguirea şi controlul cantitativ al apei;

IV. Alimentaţia 14. Furnizarea de hrană, asigurarea pazei şiasecurităţii alimentelor;

V. Sănătate 15. Asistenţa medicală şi spitalicească;

16. Medicamente, seruri, vaccinuri, produse farmaceutice;17. Biolaboratoare şi bioagenţi;VI. Financiar 18. Servicii de plăţi/ structuri aferente;19. Sisteme financiare guvernamentale;

VII. Apărare, ordine publică şi securitate naţională

20. Apărarea ţării, ordinea publică şi securitatea naţională;21. Managementul integrat al frontierelor;

VIII. Administraţie 22. Funcţionarea guvernului;23. Forţele armate;2424. Serviciile şi administraţia;25. Serviciile de urgenţă;

IX. Transporturi 26. Transportul rutier;27. Transportul feroviar;28. Transportul naval, fluvial, maritim şi oceanic;29. Transportul aerian;

X. Industria chimică şi nucleară

30. Producţia, procesarea şi depozitarea substanţelor chimice şi nucleare;31. Conductele de transport al produselor/ substanţelor chimice periculoase;

XI. Spaţiul 32. Traficul aerian.

Sursa:http://www.sri.ro/upload/BrosuraProtectiaInfrastructurilorCritice.pdf

In Monitorul Oficial al Romaniei, partea I, nr. 757 din data de 12 noiembrie   2010 a fost publicata Ordonanta de urgenta a Guvernului nr. 98/2010 privind identificarea, desemnarea si protectia infrastructurilor critice.

Ordonanta de urgenta stabileste cadrul legal privind identificarea, desemnarea infrastructurilor critice nationale si europene, precum si evaluarea necesitatii de a imbunatati protectia acestora, cu scopul cresterii capacitatii de asigurare a stabilitatii, securitatii si sigurantei sistemelor economico-sociale si protectiei persoanelor.

Actul normativ defineste urmatorii termeni:

- infrastructura critica nationala (ICN) – un element, un sistem sau o componenta a acestuia, aflat pe teritoriul national, care este esential pentru mentinerea functiilor vitale ale societatii, a sanatatii, sigurantei, securitatii,bunastarii sociale ori economice a persoanelor si a carui perturbare sau distrugere ar avea un impact semnificativ la nivel national ca urmare a incapacitatii de a mentine respectivele functii;

- infrastructura critica europeana (ICE) – o infrastructura critica nationala, a carei perturbare sau distrugere ar aveaun impact semnificativ asupra a cel putin doua state membre ale Uniunii Europene, denumite in continuare state membre. Importanta impactului se evalueaza din perspectiva criteriilor intersectoriale. Acesta include efectele ce rezulta din relatiile intersectoriale de dependenta de alte tipuri de infrastructuri.

Protectia infrastructurilor critice (PIC) are drept scop asigurarea functionalitatii, a continuitatii si a integritatii ICN/ICE pentru a descuraja, diminua si neutraliza o amenintare, un risc sau un punct vulnerabil.PIC cuprinde activitatile desfasurate succesiv privind evaluarea si analiza riscurilor, asigurarea protectiei informatiilor clasificate, realizarea planurilor de

securitate ale operatorilor de infrastructura critica, stabilirea ofiterilor de legatura si a modului de realizare a comunicatiilor, precum si exercitii, rapoarte, reevaluari si actualizari ale documentelor elaborate.

Coordonarea, la nivel national, a activitatilor privind identificarea, desemnarea si protectia infrastructurilor critice se realizeaza de catre primul-ministru, prin intermediul consilierului de stat desemnat in acest sens.

Responsabilitatea pentru realizarea cooperarii intre autoritatile publice responsabile si structurile neguvernamentale revine Ministerului Administratiei si Internelor, prin Centrul de coordonare a PIC, care va asigura punctul national de contact in relatia cu alte statemembre, Comisia Europeana, Organizatia Tratatului Atlanticului de Nord si alte structuri internationale, precum si managementul retelei CIWIN la nivel national.

La nivelul Guvernului, sub coordonarea consilierului de statdesemnat de primul-ministru se infiinteaza si functioneaza grupul de lucru interinstitutional pentru PIC, a carei componenta, atributii si mod de organizare se stabilesc prinhotarare a Guvernului.

Autoritatile publice responsabile efectueaza, impreuna cu proprietarii/operatorii/administratorii de ICN/ICE, o evaluare a riscurilor si amenintarilor subsectoarelor ICN/ICE, in termen de un an de la desemnarea infrastructuriicritice drept ICN/ICE in cadrul subsectoarelor respective. Ulterior, evaluarea se realizeaza anual.

Actul normativ cuprinde reglementari amanuntite cu privire la atributiile autoritatilor publice responsabile, ale compartimentelor specializate in domeniul ICN/ICE, precum sicu privire la identificarea, desemnarea si protectia ICN/ICE.

Procesul de identificare si desemnare a ICN se incheie la data de 30 noiembrie 2010 si se revizuieste periodic.

Procesul de identificare si desemnare a ICE se incheie pana la 12 ianuarie 2011 si se revizuieste periodic.