În temeiul art. 7 alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 30/2007 privind organizarea şi funcţionarea Ministerului Afacerilor Interne, aprobată cu modificări prin Legea nr. 15/2008, cu modificările şi completările ulterioare,ministrul afacerilor interne emite următorul ordin: Articolul 1Se aprobă Strategia Ministerului Afacerilor Interne de securitate a informaţiilor în format electronic (2021-2026), prevăzută în anexa care face parte integrantă din prezentul ordin. Articolul 2
(1) În termen de 90 de zile de la data intrării în vigoare a prezentului ordin, Direcţia Generală de Protecţie Internă, cu sprijinul unităţilor, instituţiilor şi structurilor Ministerului Afacerilor Interne, îndeplineşte procedurile necesare elaborării şi aprobării Planului de acţiune pentru implementarea strategiei.
(2) Planul prevăzut la alin. (1), precum şi revizuirea acestuia se aprobă de către ministrul afacerilor interne. Articolul 3Unităţile, instituţiile şi structurile Ministerului Afacerilor Interne responsabile au obligaţia de a duce la îndeplinire obiectivele şi direcţiile de acţiune prevăzute în strategie şi în plan, cu respectarea prevederilor legale în vigoare. Articolul 4 Prezentul ordin se publică în Monitorul Oficial al României, Partea I. p. Ministrul afacerilor interne, Raed Arafat, secretar de stat ANEXĂSTRATEGIA MINISTERULUI AFACERILOR INTERNE de securitate a informaţiilor în format electronic (2021-2026) În contextul dinamicii evoluţiei digitale şi dezvoltării tehnologiilor emergente şi disruptive s-au concretizat o serie de riscuri şi ameninţări complexe la adresa securităţii cibernetice, cu impact implicit asupra securităţii naţionale, generate de o varietate de factori interni şi externi. Perpetuarea şi rata crescută de materializare în acţiuni ostile a riscurilor şi ameninţărilor cibernetice determină mutaţii semnificative la nivel securitar, fapt pentru care este necesară adoptarea unei viziuni unitare de răspuns, asumată la nivelul tuturor actorilor implicaţi în asigurarea securităţii informatice. Pornind de la nevoia de schimbare a paradigmei conceptului actual de securitate cibernetică, noua viziune reclamă o abordare integrată şi proactivă pentru a putea asigura efectiv prevenirea, descurajarea, contracararea şi chiar atribuirea agresiunilor cibernetice complexe. Prin obiectivele şi direcţiile de acţiune avute în vedere, circumscrise unor principii şi concepte fundamentale, precum respectarea drepturilor omului, prezenta strategie urmăreşte consolidarea rezilienţei infrastructurii IT & C şi capacităţii ministerului de a gestiona eficient o criză de securitate cibernetică. I. Introducere 1. Sumar În contextul geopolitic actual, România reprezintă o ţintă importantă a agresiunilor cibernetice, aspect determinat, în principal, de poziţionarea strategică la limita unor sfere de influenţă globale, precum şi de apartenenţa în cadrul unor formate de cooperare internaţionale: UE, NATO şi ONU. În funcţie de factorii generatori, agresiunile cibernetice vizează obţinerea unor avantaje strategice sau a unor beneficii financiare, cu potenţial impact în domeniul militar, politic, economic şi social. Având în vedere rolul Ministerului Afacerilor Interne (MAI) în domenii esenţiale precum asigurarea şi restabilirea ordinii publice, gestionarea situaţiilor de urgenţă, securizarea frontierelor de stat, protecţia infrastructurilor critice, administrarea unor baze de date ce deservesc interesul public etc., infrastructura IT & C a ministerului a devenit, în ultimii ani, o ţintă predilectă a atacurilor informatice, nivelul îngrijorător al ameninţării cibernetice fiind determinat de intensificarea acestor acţiuni ostile, de gradul de complexitate ridicat al instrumentelor folosite, precum şi de modalităţile de operare utilizate. Întrucât demersurile de reglementare a activităţilor subsumate securităţii cibernetice nu pot ţine pasul cu ritmul evoluţiei tehnologice, abordarea problematicii trebuie realizată în baza unui document strategic care să asigure o viziune proactivă de securizare a infrastructurii IT & C a ministerului, concomitent cu creşterea permanentă a gradului de rezilienţă. Recent a fost finalizat un amplu proces de revizuire a cadrului general conferit de Strategia de securitate cibernetică a României din 2013, subsumat demersurilor interinstituţionale de elaborare a noii Strategii de securitate cibernetică a României 2.0, aflată în prezent pe circuitul de avizare în vederea aprobării prin hotărâre a Guvernului. Pentru asigurarea unei transpuneri coerente a obiectivelor stabilite la nivel naţional, strategia sectorială a MAI vizează adaptarea acestora la specificul infrastructurii şi misiunilor proprii. 2. Contextul şi provocările actuale ale mediului de securitate cibernetică Dezvoltarea continuă a tehnologiilor IT & C şi nivelul din ce în ce mai ridicat de interconectare şi interoperabilitate între sistemele informatice contribuie semnificativ la schimbarea percepţiei asupra ameninţărilor, vulnerabilităţilor şi riscurilor provenite din spaţiul cibernetic. Evaluările interne au relevat o creştere semnificativă a agresiunilor cibernetice identificate la adresa infrastructurii IT & C a ministerului în ultimii doi ani, atât din punct de vedere cantitativ, cât şi din punctul de vedere al complexităţii acestora, având următoarea pondere: • 50% - programe maliţioase de tip infostealer de extragere nedirecţionată de date, în mod neautorizat (de exemplu: Emotet, Agent Tesla, Trickbot); • 16% - programe maliţioase de tip ransomware de criptare a datelor (de exemplu: Dharma, WannaCry, Ryuk); • 10% - programe maliţioase de tip keylogger de monitorizare şi transmitere neautorizată a caracterelor tastate; • 12% - programe maliţioase de tip spyware de extragere direcţionată de date în mod neautorizat; • 8% - programe de tip cryptojacking de utilizare a resurselor informatice pentru minarea de criptomonede; • 6% - programe maliţioase de tip RAT - Remote Acces Trojan pentru obţinerea accesului la distanţă la sistemele-ţintă. Comparativ cu perioada 2018-2019, în ultimii doi ani a fost constatată o creştere de aproximativ 150% a agresiunilor cibernetice lansate asupra infrastructurii IT & C a MAI, aspect determinat atât de intensificarea utilizării resurselor informatice pentru realizarea misiunilor specifice, cât şi de sporirea interesului manifestat de o serie de actori ostili pentru compromiterea reţelelor şi sistemelor informatice gestionate la nivelul ministerului. Utilizarea tehnologiilor emergente, precum internet of things, inteligenţa artificială, machine learning, blockchain şi 5G constituie o necesitate pentru realizarea misiunilor specifice MAI, fapt pentru care trebuie anticipată modalitate de implementare optimă a acestora în infrastructura IT & C prin prevenirea unor eventuale breşe de securitate care să necesite alocarea ulterioară a unor resurse suplimentare. Asumarea conceputului security-by-design în limitele unor standarde obligatorii va creşte semnificativ eficienţa măsurilor de securitate, atât din punctul de vedere al capacităţii de detecţie şi răspuns, cât şi din punctul de vedere al costurilor generate de achiziţionarea şi administrarea reţelelor şi sistemelor informatice ale MAI. Un climat stabil de securitate cibernetică poate fi asigurat doar cu concursul tuturor structurilor ministerului, precum şi prin extinderea şi consolidarea parteneriatelor cu mediile privat şi academic, schimbul de expertiză şi rezultatele activităţilor de cercetare putând fi valorificate pentru constituirea de bune practici în prevenirea şi gestionarea incidentelor de securitate IT. 3. Ameninţările actuale la nivelul Ministerului Afacerilor Interne Ameninţările cibernetice diferă din punctul de vedere al gravităţii impactului şi probabilităţii de materializare, în funcţie de provenienţa şi scopul acţiunilor maliţioase, cele mai grave fiind inclusiv de natură a afecta securitatea naţională în domeniul afacerilor interne. Analiza extinsă a agresiunilor cibernetice care au vizat infrastructura IT & C a ministerului relevă existenţa următoarelor categorii de atacatori: • entităţi afiliate unor actori statali; • entităţi din sfera criminalităţii informatice; • grupări hacktiviste/actori lone-wolf; • grupări/indivizi cu viziuni teroriste/extremiste. 3.1. Entităţi afiliate unor actori statali Tipuri de agresiuni informatice caracteristice: infectarea cu malware de tip infostealer, spyware şi RAT, spear-phishing, ransomware Evaluările întocmite în contextul asigurării securităţii informatice la nivelul MAI au relevat o intensificare a agresiunilor informatice complexe îndreptate asupra resurselor ministerului şi personalului acestuia, pentru realizarea cărora este necesară alocare de resurse semnificative de care dispun, în principal, actorii statali ostili interesaţi de obţinerea unor avantaje strategice. Ameninţarea cibernetică generată de entităţi asociate unor actori statali reprezintă principala formă de ameninţare la adresa securităţii cibernetice a României şi implicit a MAI, cu un impact ridicat asupra securităţii naţionale. Motivaţia atacurilor cibernetice derulate de actori statali este una strategică, aceştia urmărind preluarea şi menţinerea sub control a sistemelor informatice atacate cu scopul de a: – sustrage neautorizat informaţii de interes, cu valenţe strategice; – perturba sau chiar întrerupe funcţionalitatea unor infrastructuri cu valenţe critice sau în domeniul serviciilor publice de importanţă strategică; – influenţa procese sociopolitice pentru a genera dezechilibre la nivelul societăţii. Atacurile cibernetice derulate de actorii statali sunt de regulă de tip Advanced Persistent Threat (APT) şi au un nivel de complexitate ridicat, determinat de modul de operare şi instrumentele folosite care sunt actualizate permanent în vederea eludării mecanismelor de detecţie şi menţinerii persistenţei pentru o perioadă îndelungată de timp în reţeaua compromisă. 3.2. Entităţi din sfera criminalităţii informatice Tipuri de agresiuni informatice caracteristice: ransomware, infectarea cu malware de tip infostealer, cryptojacking, phishing Profesionalizarea grupărilor de criminalitate organizată cu preocupări în sfera criminalităţii informatice a determinat includerea acestora în documente strategice la nivel naţional şi european, nivelul de risc al infracţiunilor cibernetice fiind unul ridicat. Evoluţia criminalităţii informatice şi profesionalizarea actorilor au dus la apariţia conceptului de „crime-as-a-service" ce presupune externalizarea capabilităţilor tehnice şi umane ale grupărilor de criminalitate organizată în vederea comiterii de agresiuni informatice în favoarea unor terţi, în schimbul unor beneficii patrimoniale. În perioada 2020-2021, raportat la perioada similară anterioară, a fost constatată o creştere de aproximativ 120% a atacurilor cibernetice lansate asupra unor resurse informatice ale MAI şi ale personalului propriu, majoritatea dintre acestea vizând extragerea neautorizată de date. 3.3. Grupări hacktiviste/actori lone wolf Tipuri de agresiuni informatice caracteristice: DDoS, defacement, infectarea cu malware de tip infostealer şi spyware, spear-phishing Dezvoltarea tehnologică a creat posibilitatea dublării realităţii sub forma unei variante virtuale şi crearea de echivalente elementelor societăţii. Un astfel de exemplu este reprezentat de transferul mişcărilor activiste în mediul online. Echivalentul fenomenului activist în spaţiul virtual poartă denumirea de hacktivism. Hacktivismul reprezintă un fenomen de manifestare a unor acţiuni motivate ideologic sub forma unor agresiuni cibernetice menite să compromită/perturbe sistemele informatice utilizate de entităţi publice şi private considerate ca fiind generatoare ale unor nemulţumiri sociale. Conform analizelor efectuate cu privire la ameninţările identificate, atacurile atribuite fenomenului hacktivist ocupă o pondere mare, astfel de atacuri fiind lansate asupra resurselor web ale structurilor MAI cu expunere publică semnificativă, pe fondul unor nemulţumiri sociale. Hacktiviştii desfăşoară în principal agresiuni cibernetice de un nivel de complexitate redus prin lansarea de atacuri de tip defacement şi DDoS asupra unor resurse web gestionate de entităţi publice şi private, în scopul promovării în spaţiul public a unor mesaje motivate ideologic. Întrucât activitatea acestor actori este intensificată în momente de criză (socială, economică, de ordine publică) coroborat cu rolul instituţional al ministerului în gestionarea acestora, resursele web ale MAI sunt considerate ţinte prioritare pentru promovarea dezideratelor acestor entităţi. Totodată, în scopul susţinerii obiectivelor proprii, aceste grupări vizează compromiterea unor resurse informatice în cadrul cărora sunt vehiculate informaţii nedestinate publicităţii în vederea publicării pe reţeaua internet. 3.4 Grupări/indivizi cu viziuni teroriste/extremiste Tipuri de agresiuni informatice caracteristice DDoS, defacement, infectarea cu malware de tip infostealer Deşi conceptul de terorism cibernetic a fost intens analizat şi dezbătut în doctrina de specialitate, acesta reprezintă o noţiune pur teoretică, nefiind identificate în practică cazuri care să confirme posibilitatea realizării unor astfel de atacuri. Entităţile teroriste/extremiste au în preocupări comiterea de atacuri informatice de complexitate redusă, dar generatoare de impact mediatic, în scopul generării unei stări de neîncredere a populaţiei în capacitatea structurilor guvernamentale de a asigura un climat de protecţie optim. Pe fondul evoluţiei fenomenului terorist/extremist, au fost identificate atacuri informatice lansate asupra resurselor web ale MAI, atribuite unor entităţi afiliate unor grupări teroriste/ extremiste, ce au avut ca scop promovarea de mesaje ideologice, dar şi intenţii de coagulare a unor astfel de actori în vederea creşterii nivelului de complexitate a agresiunilor informatice. În contextul dezvoltării unor concepte noi precum crime-as-a-service, ransomware-as-a-service sau malware-as-a-service, limitările tehnice şi de expertiză ar putea fi eliminate, subzistând posibilitatea ca agresiunile generate de aceste entităţi să fie de nivel de complexitate ridicat. Întrucât misiunea acestora este de a crea un climat de nesiguranţă prin intermediul unor acţiuni distrugătoare sau cu impact psihosocial, infrastructurile ministerului şi cele aflate sub protecţia MAI reprezintă ţinte prioritare pentru astfel de agresiuni informatice motivate ideologic. II. Viziunea pentru 2021-2026 Evoluţia digitală reconfigurează provocările la adresa misiunilor MAI, fiind create premisele dezvoltării capabilităţilor tehnologice şi implicit a infrastructurii IT & C prin implementarea unor soluţii de nouă generaţie, interconectate, care să permită conjugarea eforturilor structurilor în vederea asigurării atribuţiilor instituţionale. Totodată, având în vedere rolul MAI în asigurarea unor servicii fundamentale de interes public, procesul de digitalizare a acestora se realizează în concordanţă cu demersurile întreprinse la nivel naţional, inclusiv prin dezvoltarea de soluţii de tip cloud interconectate cu serviciile cloudului guvernamental, aspect ce presupune provocări de securitate suplimentare. În acest context, problematica securităţii cibernetice va cunoaşte o diversificare accelerată a metodelor, tehnicilor şi mijloacelor de asigurare a protecţiei infrastructurilor informatice, fapt pentru care este necesară adoptarea unor măsuri programate în baza diagnozelor şi prognozelor actualizate. Procesul de securizare a infrastructurii informatice presupune conştientizarea şi asumarea unor standarde de securitate la nivel organizaţional şi individual prin adoptarea unei atitudini preventive şi proactive, fundamentată pe cunoaşterea modului de gestionare a resurselor informatice şi a ameninţărilor la adresa acestora. La nivel organizaţional acţiunile necesare a fi întreprinse, prin structurile specializate, vizează dezvoltarea următoarelor paliere: • prevenire şi securizare - cunoaşterea ameninţărilor, vulnerabilităţilor şi riscurilor în vederea implementării permanente a măsurilor de actualizare a politicilor de securitate; • monitorizare şi detecţie - dezvoltarea mecanismului de indexare, detectare, investigare şi analiză a incidentelor şi atacurilor informatice; • răspuns şi contracarare - adoptarea unor măsuri proactive de răspuns la atacurile informatice; • documentare şi atribuire - creşterea capabilităţilor investigative pentru identificarea agresorilor cibernetici şi atribuirea tehnică a atacurilor. În conceptul de securitate cibernetică sunt incluse totalitatea măsurilor întreprinse în vederea prevenirii şi contracarării ameninţărilor din spaţiul cibernetic, inclusiv în ceea ce priveşte nivelul culturii de securitate a personalului propriu. Astfel, la nivel individual, sunt necesare abordarea şi asumarea următoarelor paliere: • cunoaştere şi prevenire - pregătirea continuă pentru cunoaşterea ameninţărilor, modalităţilor de realizare şi măsurilor minime de securizare; • detecţie şi semnalare - adoptarea unor măsuri proactive de identificare a elementelor suspecte şi de raportare imediată. Atingerea acestor deziderate se poate concretiza prin proiectarea unei noi paradigme a conceptului de securitate bazate pe intensificarea activităţilor de cooperare la nivel ministerial, naţional şi internaţional cu instituţii similare, dar şi cu entităţi din mediul privat şi academic. III. Concepte, definiţii şi termeni În înţelesul prezentei strategii, termenii şi expresiile de mai jos au următoarea semnificaţie: infrastructura IT & C a MAI - infrastructura de tehnologia informaţiei şi comunicaţii a MAI, constând în sistemele informatice care gestionează informaţii clasificate şi neclasificate, aplicaţiile aferente, reţelele şi serviciile de comunicaţii electronice; securitate cibernetică - starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, atât clasificate, cât şi neclasificate, vehiculate la nivelul infrastructurii IT & C a MAI; internet of things - ansamblul dispozitivelor inteligente de uz general, interconectate prin internet, capabile să primească şi să transmită date; inteligenţa artificială - capacitatea unui sistem tehnic de a imita funcţii umane, cum ar fi raţionamentul, învăţarea, planificarea şi creativitatea în scopul de a percepe mediul în care funcţionează şi de a prelucra această percepţie pentru a rezolva probleme şi a acţiona pentru atingerea unui anumit obiectiv; machine learning - proces axat pe construirea de sisteme care pot învăţa şi reproduce în mod automat comportamente, în funcţie de datele pe care le procesează; blockchain - registru digital descentralizat care păstrează o listă dinamică de înregistrări; cyber intelligence - ansamblul activităţilor informativ-operative de cunoaştere, documentare şi monitorizare a ameninţărilor incidente în spaţiul cibernetic; darknet - reţea neindexată, utilizată, în principal, în scopuri ilicite; criza cibernetică - ansamblu de evenimente a căror manifestare afectează sau este de natură să afecteze în mod semnificativ securitatea informaţiilor în format electronic; phishing - atac informatic nedirecţionat, bazat pe tehnici de inginerie socială, menit să inducă în eroare utilizatorii sistemelor informatice în vederea obţinerii de date de interes; spear-phishing - atac informatic direcţionat, bazat pe tehnici de inginerie socială, menit să inducă în eroare utilizatorii sistemelor informatice în vederea obţinerii de date de interes; malware - aplicaţii sau programe informatice cu caracter maliţios; ransomware - atac informatic ce vizează criptarea datelor din sistemul informatic compromis şi obţinerea unei recompense în schimbul decriptării; cryptojacking - atac informatic ce presupune compromiterea resurselor informatice în vederea exploatării acestora pentru producerea de criptomonede; infostealer - program maliţios dezvoltat în scopul de a sustrage în mod neautorizat date din sistemele informatice compromise; spyware - program maliţios dezvoltat pentru monitorizarea activităţilor derulate pe sisteme informatice; remote access trojan (RAT) - program maliţios conceput pentru obţinerea accesului la distanţă, neautorizat, pe sistemul informatic ţintă; distributed denial of service (DDoS) - atac informatic distribuit ce presupune transmiterea unui număr semnificativ de solicitări în vederea perturbării disponibilităţii serviciilor informatice; defacement - atac informatic ce presupune compromiterea unor resurse web şi modificarea conţinutului acestora; ransomware-as-a-service - externalizarea capabilităţilor de realizare a unor atacuri cu aplicaţii de tip ransomware; malware-as-a-service - externalizarea capabilităţilor de realizare a unor atacuri cu aplicaţii malware; igienă cibernetică - complex de măsuri asumate şi realizate de utilizatorii sistemelor informatice ce contribuie la asigurarea climatului de securitate informatică. IV. Principii Transpunerea viziunii 2021-2026 prin atingerea obiectivelor de consolidare a securităţii cibernetice la nivelul MAI se va realiza în acord cu următoarele principii: 1. Principiul responsabilităţii - securitatea cibernetică, ca parte componentă a securităţii naţionale, este responsabilitatea tuturor entităţilor MAI, de la nivel de unităţi la personal individual. Întrucât nivelul de ameninţare generat de agresiunile cibernetice este unul ridicat, cu impact semnificativ, tratarea securităţii cibernetice ca parte componentă a securităţii naţionale este fundamentală, în special pentru stabilirea resurselor şi a acţiunilor ce trebuie alocate/întreprinse pentru asigurarea unui climat optim de securitate. Aceste activităţi sunt în sarcina tuturor entităţilor care utilizează sau administrează sisteme informatice incluse în infrastructura IT & C a MAI şi vizează dezvoltarea unei culturi de securitate bazate pe prevenirea oricăror forme de vulnerabilizare a infrastructurii. Coordonarea acestui proces este responsabilitatea structurilor specializate ce trebuie să se asigure de implementarea permanentă a politicilor de securitate, precum şi de cunoaşterea proactivă a riscurilor cibernetice ce vizează echipamentele aflate în administrare. Totodată, expertiza personalului structurii specializate trebuie transpusă în programe de instruire a utilizatorilor proprii. Intensificarea utilizării internetului extinde arealul de manifestare a vulnerabilităţilor, inclusiv prin compromiterea unor resurse informatice personale ale utilizatorilor pentru obţinerea de informaţii relevante în lansarea de agresiuni cibernetice asupra resurselor oficiale. Securitatea cibernetică presupune un proces de pregătire continuă asumat şi realizat la nivelul tuturor entităţilor implicate prin adoptarea unor măsuri standard de igienă cibernetică şi dezvoltarea unui comportament proactiv în utilizarea tehnologiilor, reţelelor şi sistemelor informatice. 2. Principiul integralităţii - soluţiile de securizare vor fi parte integrantă a procesului de dezvoltare unitară şi sustenabilă a infrastructurii IT & C a ministerului. Asumarea conceptului „security-by-design" vizează proiectarea şi implementarea soluţiilor tehnologice la nivelul structurilor ministerului, unitar şi coordonat, astfel încât modernizarea, extinderea, interconectarea resurselor informatice şi securizarea acestora să se realizeze în mod operativ, asigurând eficientizarea utilizării resurselor proprii, anticiparea riscurilor şi eliminarea vulnerabilităţilor. Astfel, dezvoltarea infrastructurii IT & C va încorpora şi soluţiile de protecţie cibernetică, elaborate pe baza diagnozelor şi prognozelor pe termen mediu privind oportunităţile şi riscurile generate de utilizarea tehnologiilor emergente în vederea asigurării unui nivel crescut de rezilienţă. 3. Principiul predictibilităţii - securitatea cibernetică se bazează pe un sistem de standarde şi proceduri stabilit printr-un cadru normativ clar. Cadrul intern de reglementare a politicilor şi măsurilor de securitate cibernetică va fi adaptat nevoilor operaţionale şi evoluţiei digitale şi în concordanţă cu reglementările naţionale şi internaţionale în vigoare. Stabilirea unor instrucţiuni şi/sau proceduri de lucru determină un proces de standardizare a securităţii cibernetice prin impunerea unor condiţii minime. Dinamica dezvoltării tehnologice determină diferenţierea instrucţiunilor şi/sau procedurilor din domeniul cibernetic, aspect susţinut de nevoia de actualizare şi adnotare a acestora, la intervale de timp scurte, astfel încât să fie asigurată oportunitatea la contextul actual. 4. Principiul cooperării active - securitatea cibernetică este consolidată printr-o cooperare activă la nivel naţional şi internaţional. Securitatea cibernetică presupune conjugarea eforturilor pentru asigurarea unui climat de securitate la nivelul infrastructurilor cibernetice între toţi actorii relevanţi în acest domeniu. În acest sens este necesară promovarea cooperării între entităţile din mediul public, privat şi academic, atât la nivel naţional, cât şi internaţional. Cooperarea vizează cunoaşterea şi documentarea în comun a ameninţărilor, vulnerabilităţilor şi riscurilor incidente infrastructurilor cibernetice, prin facilitatea schimbului de date, expertiză, bune practici şi lecţii învăţate. Caracterul de extraneitate este specific spaţiului cibernetic, asigurarea securităţii informatice fiind potenţată de cooperarea cu entităţi similare care activează la nivelul altor state, precum şi cu organizaţii internaţionale. Schimbul de know-how şi investigarea în comun a agresiunilor informatice complexe reprezintă instrumente esenţiale în procesul de implementare a valorilor promovate de statele liked-minded la nivelul Organizaţiei Naţiunilor Unite cu privire la adoptarea şi impunerea unui comportament responsabil în spaţiul cibernetic. MAI este reprezentat în mod activ în grupurile de reprezentare naţională din cadrul structurilor şi iniţiativelor majore pe plan internaţional legate de acţiunile din domeniul digital şi al securităţii cibernetice susţinând politica de consolidare a poziţiei României în calitate de centru de excelenţă şi actor relevant pentru securitatea cibernetică europeană şi internaţională. 5. Principiul profesionalizării - prevenirea şi combaterea ameninţărilor la adresa securităţii cibernetice presupun asigurarea permanentă a unui corp de specialişti cu un nivel ridicat de expertiză în domeniul de referinţă. Pregătirea profesională a personalului propriu reprezintă un element fundamental al procesului de asigurare a securităţii cibernetice, fiind necesară actualizarea permanentă a cunoştinţelor de specialitate şi abilităţilor tehnice în scopul consolidării cunoaşterii privind complexitatea ameninţărilor în spaţiul virtual şi anticipării noilor modalităţi de manifestare a acestora. De asemenea, cooperarea interinstituţională la nivel naţional şi internaţional, precum şi cu mediul academic, privat şi de cercetare permite schimbul de bune practici şi cunoaşterea permanentă a noilor tehnologii, metode şi tehnici utilizate pentru creşterea nivelului de răspuns la incidente de securitate cibernetică. 6. Principiul protejării valorilor şi drepturilor fundamentale - în asigurarea securităţii cibernetice sunt garantate respectarea drepturilor şi libertăţilor fundamentale ale cetăţenilor, precum şi protejarea libertăţilor individuale şi a datelor cu caracter personal. Protecţia drepturilor fundamentale este un aspect orizontal, care afectează toate domeniile societăţii. În spiritul protejării şi respectării drepturilor şi valorilor fundamentale ale omului, toate organismele implicate în asigurarea securităţii cibernetice trebuie să urmărească proporţionalitatea măsurilor adoptate, astfel încât acestea să nu determine limitări sau îngrădiri ale unor drepturi şi libertăţi. Asigurarea proceselor de securitate cibernetică presupune respectarea, promovarea şi protejarea exerciţiului drepturilor omului şi a libertăţilor fundamentale, în special în ceea ce priveşte libertatea de opinie, libertatea de exprimare, dreptul de a accesa şi de a primi informaţii, precum şi protejarea datelor cu caracter personal şi a dreptului la viaţă privată, atât în mediul online, cât şi offline. V. Obiective şi direcţii de acţiune ale strategiei 1. Configurarea unei infrastructuri IT & C sigure şi reziliente Pentru proiectarea unui climat de securitate cibernetică optim este necesară adoptarea unor măsuri unitare, standardizate şi coordonate care să permită o dezvoltare durabilă a infrastructurii IT & C conform nevoilor operaţionale ale MAI. Ţinând cont de principiul necesităţii de a cunoaşte, suveranitatea asupra bazelor de date şi sistemelor informatice proprii şi rolul distinct al fiecărei structuri în gestionarea domeniului de competenţă, dar şi de nevoia de interconectare tot mai ridicată a elementelor de infrastructură IT & C în scopul creşterii capacităţii de reacţie a ministerului, asigurarea eficientă a protecţiei reţelelor şi sistemelor informatice se poate realiza doar printr-o abordare integrată a tehnologiilor utilizate, inclusiv în privinţa soluţiilor de securitate cibernetică. Direcţii de acţiune: 1.1. Consolidarea capabilităţilor de prevenire, monitorizare, detectare şi răspuns la incidentele de securitate cibernetică Pentru întărirea capacităţii administrative în domeniul protecţiei resurselor informaţionale proprii, la nivelul MAI a fost creat un cadru unitar de colectare şi corelare a evenimentelor de sistem şi de detectare, raportare, monitorizare şi investigare în timp real a alertelor şi incidentelor de securitate IT. În contextul diversificării şi creşterii substanţiale a atacurilor desfăşurate de actori ostili prin exploatarea spaţiului cibernetic, pentru reducerea unor riscuri la adresa confidenţialităţii, integrităţii, disponibilităţii, autenticităţii şi nonrepudierii informaţiilor gestionate prin intermediul sistemelor informatice şi de comunicaţii ale MAI sunt necesare dezvoltarea şi adaptarea permanentă a capabilităţilor de prevenire, monitorizare, detectare şi raportare a alertelor de securitate cibernetică, care să permită un răspuns optim la orice formă de manifestare a ameninţărilor cibernetice. 1.2. Consolidarea mecanismului de raportare a incidentelor de securitate IT Un sistem centralizat al managementului de raportare a incidentelor de securitate IT creează imaginea de ansamblu asupra ameninţării cibernetice la adresa unei infrastructuri, a unui domeniu de activitate şi chiar a securităţii naţionale. Viziunea integrată a incidentelor de securitate IT conferă posibilitatea evaluării şi punctării unor situaţii de criză cibernetică în vederea angrenării resurselor necesare pentru asigurarea unui răspuns proporţional şi remedierii vulnerabilităţilor identificate. 1.3. Alocarea eficientă a resurselor financiare, tehnologice şi umane Dezvoltarea unitară şi coordonată a capabilităţilor cibernetice conferă posibilitatea gestionării eficiente a tuturor resurselor utilizate în acest sens prin limitarea diversificării nevoilor operaţionale, în funcţie de tehnologiile utilizate. Acest aspect este reliefat şi în oportunitatea dezvoltării unor programe tematice de pregătire profesională a personalului implicat în activităţi de mentenanţă şi securizare a reţelelor şi sistemelor informatice. Cunoaşterea elementelor ce stau la baza reţelelor şi sistemelor informatice utilizate în cadrul unei infrastructuri unitare favorizează transferul rapid de expertiză în situaţii critice. Totodată, asigurarea resurselor financiare reprezintă o prioritate pentru sustenabilitatea proiectelor finanţate din fonduri interne/externe şi a tehnologiilor deja implementate în raport cu evoluţiile ameninţărilor cibernetice. 2. Standardizarea activităţilor de securitate cibernetică Standardizarea activităţilor prin instituirea unor standarde, instrucţiuni şi proceduri de lucru este esenţială pentru consolidarea nivelului de securitate cibernetică a ministerului. Astfel, fiecare entitate implicată în acest proces va avea delimitate atribuţiile specifice în scopul creşterii capacităţii de răspuns în situaţii de criză de securitate cibernetică. Direcţii de acţiune: 2.1. Actualizarea cadrului normativ intern Unul dintre principalele elemente care condiţionează îndeplinirea obiectivelor de securitate cibernetică este reprezentat de asigurarea unui cadru normativ adaptat în permanenţă evoluţiilor tehnologice şi armonizat cu reglementările în materie, la nivel naţional şi internaţional. Stabilirea unui cadru normativ intern care să reglementeze limitele spaţiului cibernetic al MAI, rolul şi atribuţiile structurilor, modul de evaluare şi gestionare a vulnerabilităţilor şi incidentelor de securitate elimină eventuale lacune identificate în procesul de securitate cibernetică la nivel operaţional, tactic şi strategic. 2.2. Elaborarea de proceduri şi instrucţiuni de lucru specifice Elaborarea şi implementarea unor instrucţiuni/proceduri de lucru adaptate realităţii operaţionale determină reducerea timpului de reacţie în situaţia unor incidente de securitate şi uniformizarea metodelor şi tehnicilor de lucru utilizate pentru remedierea acestora. De asemenea, standardizarea măsurilor dispuse în vederea prevenirii ameninţărilor, remedierii incidentelor şi asigurării răspunsului atacurilor cibernetice favorizează posibilitatea efectuării unui audit obiectiv în baza căruia vor fi stabilite impactul incidentului/atacului asupra infrastructurii IT & C şi eficienţa măsurilor dispuse. Instrucţiunile/procedurile de lucru trebuie reanalizate anual sau ori de câte ori este nevoie, în vederea adaptării acestora evoluţiei tehnologice şi mediului securitar. 3. Prevenirea şi contracararea ameninţărilor, precum şi diminuarea riscurilor incidente în spaţiul cibernetic al MAI Dezvoltarea continuă a noilor tehnologii informatice - condiţie sine qua non a construcţiei mediului informaţional - are un impact major asupra sistemului social, generând modificări concrete asupra mediilor fundamentale. Practic, în stadiul actual, accesul facil la noile tehnologii IT & C, în special cele conectate la internet, reprezintă una dintre principalele premise pentru dezvoltarea fiabilă a societăţii moderne. Totodată, trebuie avute în vedere noile riscuri şi ameninţări la adresa securităţii, derivate din inovarea sectorului IT & C, mare parte dintre acestea fiind ameninţări şi riscuri clasice transpuse în mediul virtual, dar şi noi forme de manifestare hibride, cauzate chiar de apariţia unor noi soluţii informatice menite să dezvolte calitatea serviciilor publice. Importanţa modului de contracarare a ameninţărilor incidente spaţiului cibernetic al ministerului este corelată direct cu menţinerea nivelului de rezilienţă necesar pentru furnizarea serviciilor esenţiale oferite de minister societăţii. Agresivitatea ameninţărilor, potenţată de complexitatea metodelor şi tehnicilor utilizate raportat la gradul de digitalizare existent, obligă structurile ministerului cu responsabilităţi în asigurarea securităţii cibernetice la adoptarea unui set complex de măsuri tehnice şi nontehnice pentru combaterea acestora în vederea diminuării factorilor de risc. Direcţii de acţiune: 3.1. Dezvoltarea capabilităţilor de cyber intelligence Intensificarea activităţilor ilicite derulate de factorii generatori de riscuri în cadrul reţelei Darknet şi al forumurilor frecventate de persoane cu preocupări în sfera criminalităţii informatice determină necesitatea unei abordări proactive pentru prevenirea şi contracararea ameninţărilor, precum şi pentru reducerea riscurilor cibernetice incidente în spaţiul MAI. Prevenirea şi contracararea elementelor perturbatoare în infrastructura IT & C presupun o abordare integrată, realizată atât prin mijloace de detecţie tehnice, cât şi prin activităţi de informaţii în scopul consolidării cunoaşterii şi identificării timpurii a ameninţărilor, vulnerabilităţilor şi factorilor de risc care caracterizează mediul de securitate cibernetică al MAI. Dezvoltarea capabilităţilor în domeniul cyber intelligence presupune o abordare unitară şi integrată susţinută de cooperarea cu entităţi din mediul privat şi academic implicate în activităţi similare. 3.2. Dezvoltarea unor capabilităţi proactive de apărare în scopul prevenirii şi combaterii ameninţărilor cibernetice la adresa infrastructurii IT & C Creşterea continuă a gradului de complexitate a agresiunilor cibernetice, în contextul digitalizării societăţii, determină necesitatea consolidării capabilităţilor investigative în vederea identificării şi atribuirii tehnice a atacurilor la adresa infrastructurii IT & C a MAI, pentru a putea fundamenta o eventuală decizie de expunere şi condamnare în spaţiul public, respectiv pentru a asigura probele necesare tragerii la răspundere a persoanelor implicate în realizarea atacurilor. Abordarea proactivă a apărării cibernetice are avantajul conturării unei posturi de descurajare prin creşterea costului realizării agresiunii cibernetice pentru atacator, respectiv prin implementarea unui sistem de avertizare timpurie şi răspuns adecvat. 4. Profesionalizarea personalului de specialitate şi dezvoltarea unei culturi de securitate cibernetică în rândul personalului MAI Securitatea informatică este dependentă de existenţa unei culturi de securitate ce vizează cunoaşterea şi asumarea unor norme minime de securitate şi igienă cibernetică. Dezvoltarea unei culturi de securitate este un proces pe termen mediu şi lung şi constă în promovarea unei concepţii şi formarea unor atitudini proactive, bazate pe reguli, ce au ca scop prevenirea, identificarea şi raportarea incidentelor/atacurilor informatice. Direcţii de acţiune: 4.1. Derularea unor programe de conştientizare şi consolidare a culturii de securitate cibernetică în rândul utilizatorilor finali Factorul uman continuă să reprezinte cea mai vulnerabilă componentă a sistemului de securitate cibernetică, aspect cauzat de lipsa unei culturi de securitate în rândul utilizatorilor finali privind utilizarea resurselor informatice instituţionale şi personale. Iniţierea şi derularea unor programe privind conştientizarea efectelor nefaste ale agresiunilor cibernetice la nivelul utilizatorilor de sisteme informatice vor permite creşterea culturii de securitate şi adoptarea unor comportamente preventive, concomitent cu reducerea incidentelor de securitate cibernetică. 4.2. Dezvoltarea unor programe de formare/specializare a specialiştilor în domeniul securităţii cibernetice Este necesară dezvoltarea unor programe de pregătire pentru personalul care desfăşoară activităţi în domeniul securităţii cibernetice, în sensul consolidării nivelului de expertiză tehnică, în raport cu evoluţia ameninţărilor şi dezvoltarea tehnologică. Cooperarea cu instituţiile de învăţământ publice şi private, în vederea dezvoltării unor programe educaţionale de pregătire a personalului responsabil de securitatea infrastructurii IT & C a MAI, reprezintă un element important pentru asigurarea resursei umane specializate, în contextul fluxului mare de personal existent pe piaţa de muncă din domeniul IT & C. Rolul acestor programe de învăţământ vizează specializarea personalului propriu în funcţie de specificul şi nevoile operaţionale ale ministerului, pe baza unor materiale teoretice şi exerciţii practice personalizate. Totodată, în cooperare cu instituţiile de învăţământ şi formare din cadrul ministerului, autoritatea în domeniul securităţii cibernetice va asigura instruirea practică a personalului de specialitate pentru formarea expertizei necesare gestionării eficiente a unei crize de securitate cibernetică. 4.3. Constituirea unui centru de excelenţă ministerial în domeniul securităţii cibernetice Actualizarea nivelului de expertiză a personalului ministerului implicat în activităţi subsumate securităţii cibernetice vizează inclusiv acumularea de deprinderi practice, prin intermediul unor exerciţii de prevenire şi contracarare a unor atacuri maliţioase simulate în spaţiul virtual. Exerciţiile practice au un rol proactiv în asigurarea rezilienţei, reprezentând cadrul în care pot fi testate şi îmbunătăţite capabilităţile de răspuns, mecanismele de intervenţie rapidă, procedurile de cooperare în cazul unor atacuri sau incidente de securitate cibernetică. Centrul de excelenţă în domeniul securităţii cibernetice va asigura expertiza şi suportul logistic pentru organizarea unor aplicaţii practice, complexe, adaptate nevoilor operaţionale, precum şi cadrul necesar pentru derularea de activităţi pe linia cercetării şi inovării în domeniul securităţii informaţiei în format electronic. 5. Dezvoltarea unui mecanism de răspuns în situaţii de criză de securitate cibernetică Gestionarea corespunzătoare a unei situaţii de criză de securitate cibernetică la adresa infrastructurii IT & C a MAI presupune elaborarea şi implementarea unui mecanism de răspuns bazat pe o abordare unitară şi coordonată a tuturor structurilor afectate. Direcţii de acţiune: 5.1. Dezvoltarea de instrucţiuni şi politici de gestionare a crizelor cibernetice Având în vedere nivelul de risc şi gradul de complexitate ale evenimentelor subsumate unei crize de securitate cibernetică, precum şi amplitudinea impactului asupra resurselor informatice gestionate la nivelul ministerului, este necesară conceperea unui set de politici şi instrucţiuni care să faciliteze un răspuns proporţional din partea structurilor MAI. 5.2. Constituirea Celulei ministeriale de răspuns în situaţii de criză de securitate cibernetică În general, crizele, de orice natură, reclamă necesitatea unui răspuns rapid şi ferm în scopul blocării imediate/eliminării factorilor generatori, evaluării resurselor compromise şi repunerii în funcţiune a serviciilor afectate. Constituirea unei celule de răspuns la crize de securitate cibernetică are rolul de a facilita adoptarea eficientă a deciziilor la nivel înalt şi coordonarea integrată a reacţiei instituţionale şi acţiunilor de restabilire a stării de normalitate. Componenţa celulei de criză trebuie să fie flexibilă şi să includă cel puţin reprezentanţii structurilor ministerului afectate de criza de securitate cibernetică, coordonarea urmând a fi asigurată de Centrul de Răspuns al MAI la Incidente de Securitate IT (CERT-INT). În funcţie de complexitatea crizei, nivelul de decizie va fi ridicat până la nivelul ministrului afacerilor interne. 6. Consolidarea cooperării naţionale şi internaţionale în domeniul securităţii cibernetice Direcţii de acţiune: 6.1. Dezvoltarea cooperării intra/interinstituţionale şi asigurarea unui mediu eficient de schimb de informaţii Includerea în procesul de elaborare a unei strategii în domeniul securităţii a conceptului „security by sharing" reprezintă o recunoaştere a valorii adăugate pe care o oferă cooperarea, partajarea cunoaşterii, respectiv a responsabilităţii instituţionale. Un prim beneficiu este dat de posibilitatea adresării în comun a provocărilor de securitate în condiţii de eficienţă sporită în ceea ce priveşte viteza/forţa de reacţie şi alocarea resurselor. Consolidarea cooperării în domeniul securităţii cibernetice trebuie să conducă la activităţi de pregătire şi documentare comună a unor riscuri şi ameninţări cu impact inclusiv în planul securităţii naţionale (de exemplu, acţiuni de spionaj cibernetic), la utilizarea unor sisteme comune de avertizare timpurie a riscurilor de securitate cibernetică, precum şi la îmbunătăţirea procedurilor comune de lucru la nivel intra- şi interinstituţional. 6.2. Asigurarea unei prezenţe constante în formule de cooperare internaţională, dedicate prevenirii şi combaterii ameninţărilor cibernetice Creşterea capacităţii de reacţie instituţională este condiţionată de nivelul de îmbunătăţire a schimbului de informaţii şi a cooperării cu autorităţile şi structurile similare din alte state, organismele şi agenţiile internaţionale ale UE, NATO, ONU etc., având în vedere nevoia permanentă de actualizare a cunoaşterii privind noile moduri de operare ale agresorilor cibernetici, precum şi metodele şi instrumentele de lucru utilizate pentru prevenirea şi contracararea ameninţărilor la adresa infrastructurilor IT & C. VI. Schimbări preconizate La finalul perioadei de implementare a strategiei, instituţiile responsabile vor consolida mecanismul de prevenire şi contracarare a agresiunilor cibernetice, în regim integrat, capabil să asigure un răspuns adecvat în raport cu evoluţia acestui fenomen. De asemenea, prin implementarea obiectivelor strategiei, aceste instituţii vor avea personal cu un nivel de pregătire mult mai ridicat, precum şi dotările tehnice necesare combaterii agresiunilor cibernetice complexe şi colectării dovezilor necesare atribuirii tehnice a acestora. VII. Instituţii responsabile Implementarea prezentei strategii presupune un efort conjugat al tuturor unităţilor, instituţiilor şi structurilor din cadrul Ministerului Afacerilor Interne, în limitele stabilite prin actele normative în vigoare şi în concordanţă cu responsabilităţile concret stabilite prin Planul de acţiune pentru punerea în aplicare a strategiei. VIII. Implicaţii bugetare În vederea îndeplinirii obiectivelor prezentei strategii vor fi avute în vedere surse de finanţare din fonduri externe, precum şi surse de finanţare de la bugetul de stat, în limita sumelor aprobate anual pentru această destinaţie. IX. Implicaţii asupra cadrului juridic Consolidarea intervenţiei împotriva agresiunilor cibernetice ar putea implica, după caz, elaborarea şi adoptarea unor acte normative sau intervenţia unor evenimente legislative de modificare/completare/abrogare a unor acte normative în vigoare, incidente domeniului securităţii cibernetice, după cum se menţionează în cadrul obiectivului 2 - Standardizarea activităţilor de securitate cibernetică, respectiv după cum ar putea rezulta în mod implicit din implementarea tuturor celorlalte obiective ca fiind necesar. De asemenea, punerea în aplicare a măsurilor preconizate în prezenta strategie va putea implica şi adoptarea de acte administrative cu caracter normativ la nivelul instituţiilor MAI responsabile. X. Monitorizarea şi evaluarea strategiei În contextul implementării strategiei va fi desfăşurat procesul de monitorizare a realizării acţiunilor şi de evaluare a rezultatelor obţinute. Implementarea strategiei se realizează sub coordonarea Direcţiei Generale de Protecţie Internă a Ministerului Afacerilor Interne. Procesul de monitorizare şi evaluare vine să asigure că sunt urmărite direcţiile de acţiune ale strategiei şi că îndeplinirea măsurilor indicate duce la atingerea obiectivelor şi viziunii formulate în cadrul acestui document programatic. În context, obiectivele procesului de monitorizare sunt: – cunoaşterea progreselor înregistrate în implementarea Strategiei Ministerului Afacerilor Interne de securitate a informaţiilor în format electronic; – identificarea şi corectarea eventualelor probleme practice apărute în procesul de implementare a obiectivelor strategice; – elaborarea unor rapoarte de evaluare cu un grad ridicat de precizie.Stadiul implementării strategiei va fi evaluat de către Direcţia Generală de Protecţie Internă, pe baza rapoartelor de monitorizare întocmite de către instituţiile responsabile, la termenele stabilite prin Planul de acţiune pentru implementarea strategiei. Evaluarea ex-post a impactului strategiei va urmări să analizeze modul de utilizare a resurselor, nivelul impactului aşteptat şi eficienţa intervenţiilor în domeniu. În acest scop vor fi evaluaţi atât factorii de succes sau de eşec, cât şi sustenabilitatea rezultatelor şi impactului Strategiei Ministerului Afacerilor Interne de securitate a informaţiilor în format electronic. Pentru o apreciere adecvată a rezultatelor strategiei, evaluarea ex-post trebuie realizată după trecerea unui interval de timp de la implementare.