Notiuni introductive privind Agentia Europeana pentru Securitatea Retelelor si a Informatiei (ENISA) 


Judecator Emil Lukacs

 

Lucrare licentiata sub Creative Commons Attribution-Noncommercial-No Derivative Works 2.5.

 

MOTTO:
"Security must become an integral part of the daily routine of individuals, businesses and governments in their use of ICTs and conduct of online activities"
Culture of Security for Information Systems and Networks (OECD)

 

ENISA (European Network and Information Security Agency) a fost conceputa pentru a intensifica posibilitatile Uniunii Europene, a Statelor Membre ale Uniunii Europene si ale comunitatii de afaceri, de a preveni, de a gestiona si de a rezolva problemele de securitate a retelelor si a informatiei, cu care se confrunta, conform Rezolutiei Consiliului: “eAction Plan: Information and Network Security”, adoptata in data de 31 mai 2001 la Waxholm. Formal, ENISA a luat fiinta in urma adoptarii Regulamentului comun (EC) No.460/2004 al Parlamentului European si al Consiliului Uniunii Europene din data de 10 martie 2004.

Aceasta noua agentie a Uniunii Europene a devenit operationala in luna septembrie 2005, dupa redislocarea efectuata din Bruxeles in Creta, cat si dupa intrarea in functiune a Staff-ului care a fost recrutat prin concurs tip EU25 dintre candidati provenind din intreaga Europa, constituind o structura creata cu misiunea si scopul de a supraveghea un domeniu foarte specific si important, deopotriva tehnic, stiintific si managerial, apartinand „domeniului comunitar din cadrul Primului Pilon al Uniunii Europene”,respectiv al Agentiilor Comunitare Europene(1), Curtea Europeana de Justitie consfintind legalitatea crearii ENISA in data de 2 mai 2006.

Un moment important in activitatea agentiei a avut loc in data de 31 mai 2006 cand, in baza Strategiei Comunicatiilor elaborata de Comisia pentru Securitatea Informatiei, aceasta a avizat cresterea rolului ENISA in domeniul culegerii datelor necesare in vederea gestionarii incidentelor de securitate si masurarii nivelului de confidentialitate realizat fata de consumatorii de pe intreg cuprinsul Europei, dezvoltand un parteneriat de incredere cu Statele membre si reprezentantii acestora, cat si pentru examinarea fezabilitatii unui sistem multilingvistic de alerta si schimb de informatii in domeniul securitatii retelelor si a informatiei (eSECURITY).

 

ROMANIA, in calitate de nou Stat membru al Uniunii Europene, ca urmare a extinderii Uniunii Europene din ianuarie 2007, viziteaza ENISA, prin intermediul delegatiei condusa de dl. Liviu Nicolescu, Director general in cadrul Ministerului Comunicatiilor si Tehnologiei Informatiei, in ziua de marti, 27 februarie 2007, intalnindu-se cu Directorul Executiv al ENISA, dl. Andrea Pirotti si alti membrii importanti ai Staff-ului, adaugand o noua dimensiune conceptului si eforturilor depuse in cadrul NIS – EU - Network and Information Security, care include astfel 27 state membre si cca. 490 milioane de cetateni europeni, fiind identificate - pe timpul activitatii - posibile domenii de cooperare, sens in care membrii delegatiei Romaniei si-au exprimat interesul in special pentru realizarile Agentiei in domeniul constientizarii problemelor de securitate cat si in ceea ce priveste activitatea „CERTs – Computer Emergency Response Teams”.
 

MISIUNILE ENISA trebuie intelese in contextul in care retelele de comunicatii si sistemele informationale reprezinta factori esentiali pentru dezvoltarea societatii si dezvoltarea economica, ceea ce determina ca securizarea acestora sa devina o cerinta majora, din ce in ce mai importanta, chiar indispensabila, pentru a face functionala Economia Digitala, in conditiile in care concomitent, Societatea Informationala devine tot mai indispensabila, penetrand toate structurile vietii, atat cea individuala, cat si a euro-institutiilor, a administratiei publice in Statele Membre ale Uniunii Europene cat si a sectorului de business.

 

Datorita complexitatii sistemelor informatice, erorilor umane, accidentelor tehnice inerente si atacurilor asupra infrastructurii fizice, cat si datorita multiplicarii numarului breselor de securitate, cu consecinta generarii unor prejudicii financiare substantiale si intruziuni in zonele de stricta confidentialitate, s-au impus in acest domeniu, in scopul intensificarii masurilor de securitate a retelelor si a informatiei, activitati precum „tehnologii noi de securitate”, „managementul procedurilor de securitate”, „campanii largi de informare” si „finantarea unor proiecte de cercetare”.

Complexitatea tehnica deosebit de ridicata a retelelor si a sistemelor informatice, multipla varietate si diversitate a produselor si terminalelor, precum si a serviciilor interconectate, cat si numarul imens de utilizatori si furnizori, atat publici cat si privati, determina o responsabilitate enorma dar si un risc imprevizibil pentru functionarea uniforma a Pietei Interne a U.E., fiind periclitate astfel Societatea Informationala Europeana moderna si afacerile ei.

ENISA a fost creata in scopul asigurarii unui nivel inalt si efectiv al  securitatii retelelor si a informatiei in cadrul Comunitatilor, cat si in vederea dezvoltarii unei culturi specifice, in folosul cetatenilor, a consumatorilor, a intreprinderilor si a institutiilor si organizatiilor din sectorul public, din cadrul Uniunii Europene, avand rolul sa asiste Comisia si Statele Membre, sa coopereze cu mediile de afaceri, in scopul indeplinirii standardelor de securitate a retelelor si a informatiei, asigurand de asemenea functionarea uniforma a pietei interne, cat si includerea prevederilor necesare in legislatia actuala si viitoare a UE.

 

Desigur, obiectivele si atributiile Agentiei urmeaza a fi indeplinite fara a aduce atingere competentelor si drepturilor Statelor Membre in materia securitatii retelelor si a informatiei, care deriva din scopul declarat in tratatul (constitutiv) al Comunitatii Economice (Europene), ca si din Titlul V si VI al Tratatului Uniunii Europene si, in orice caz, activitatilor specifice domeniilor securitatii publice, apararii, securitatii statelor (incluzand bunastarea economica atunci cand aceasta vizeaza direct problemele securitatii de stat), cat si activitatile Statelor in materia dreptului penal.

In vederea indeplinirii atributiunilor si misiunilor sale, in temeiul art. 4 din Regulamentul ENISA, au fost adoptate o serie de definitii tehnice.

Astfel, "retea (network)" se refera la sistemele de transmisie si, cand este cazul, la echipamentele de rutare sau comutare sau la alte resurse care permit transmiterea semnalelor prin sisteme fir, radio, optice sau alte medii electromagnetice, incluzand retelele satelitilor, retelele terestre fixe (circuite si pachete comutate, incluzand Internetul) si mobile, sistemele de cabluri electrice, in situatia in care acestea sunt utilizate in scopul transmiterii semnalelor, retelele utilizate pentru difuzarea emisiunilor radio si televizate, cat si retelele de cablu TV, indiferent de tipul informatiilor transmise prin acestea, pe cand “"sistem informational (information system)" reprezinta retelele de comunicatii electronice si computerizate, cat si datele si informatiile stocate, procesate, primite sau transmise cu ajutorul acestora in scopul functionarii, operarii, utilizarii, protejarii sau intretinerii lor.

 

"Securitatea retelelor si a informatiei (network and information security)" reprezinta capacitatea unei retele sau a unui sistem informational de a rezista, la un nivel dat de confidentialitate, intruziunilor accidentale sau nelegale, ori actiunilor rauvoitoare care pot compromite accesibilitatea, autenticitatea, integritatea si confidentialitatea  datelor si informatiilor stocate sau transmise, cat si a serviciilor colaterale oferite de acestea sau accesibile prin intermediul acestor retele sau sisteme; in conditiile in care

"accesibilitatea (availability)" inseamna ca informatiile sau datele sunt accesibile iar serviciul este operational,  "autentificarea (authentication)" se refera la confirmarea unei identitati reale, corecte, certe a unei entitati sau a unui utilizator, "integritatea datelor (data integrity)" presupune confirmarea ca datele care au fost transmise, receptionate sau stocate sunt complete si nemodificate iar "confidentialitatea datelor (data confidentiality)" vizeaza protectia comunicatiilor sau a datelor stocate impotriva interceptarilor si citirii acestora de catre persoane neautorizate.

 

In acest sens, prin notiunea de "risc (risk)" se intelege gradul de probabilitate ca o vulnerabilitate a sistemului sa afecteze autentificarea sau accesibilitatea, autenticitatea, integritatea sau confidentialitatea datelor sau informatiilor procesate sau transferate, cat si severitatea, gradul sau nivelul acestui efect, consecutiv ori datorat utilizarii sau exploatarii intentionate sau neintentionate a unei asemenea vulnerabilitati, in timp ce "evaluarea riscului (risk assessment)" se refera la un proces bazat pe stiinta si tehnologie, constand in patru etape si anume identificarea amenintarilor, caracterizarea amenintarilor, expunerea evaluarilor sau analizelor si caracterizarea riscurilor, iar "managementul riscului (risk management)" reprezinta procesul, distinct de cel anterior, de evaluarea riscului, de stabilire si analiza a tacticilor si politicilor alternative in etapa consultarilor cu partile interesate, in considerarea riscurilor evaluate si a altor factori legitimi, cat si, daca este necesar, selectarea optiunilor de prevenire si control.

 

Se impune cu toata seriozitatea a da atentia cuvenita notiunii de "cultura a securitatii retelelor si a informatiei ", care are aceeasi semnificatie cu cea elaborata si evidentiata in documentul intitulat “Liniile directoare ale OECD pentru securitatea sistemelor informatice a retelelor din 25 Iulie 2002 si Rezolutia Conisliului din 18 Februarie 2003 privind o abordarea europeana catre o cultura a securitatii informatiei si retelelor (2), cat si in alte documente asemanatoare (3).

Preocuparile actuale ale ENISA urmeaza a se concretiza in perioada imediat urmatoare in participarea, in intervalul 13-14 iunie 2007, la „The European e-Identity Conference”, organizata in cooperare cu EEMA, cu participarea a peste 100 de experti, unde urmeaza sa se discute despre modalitati de management al identitatii private, a angajatilor si a cetatenilor, iar activitatile ENISA vor fi axate pe „Interoperabilitatea Autentificarii (Authentication Interoperability)”, „Networking Social (Social Networking)” cat si pe „Reputation and Web of Trust”, constituind „2nd ENISA Workshop on Authentication Interoperability Languages” ce va avea loc sub egida „Next Generation Electronic Identity - eID beyond PKI” la Paris.

 

Pe ordinea de zi figureaza subiecte interesante precum descrierea amenintarilor la securitatea parolelor; recomandari privind amenintarile dedicate; analiza datelor statistice, demografice si a orientarilor cat si analiza algoritmilor; cyber-bullying-ul;  furtul identitatii (identity theft), „squating in-ul” si alte amenintari importante pe social networking sites, la fel ca si divulgarea excesiva a informatiilor private, corelate cu utilizarea inedita a notorietatii si a tehnolongiilor si cu managementul identitatii si notorietatii, anonimitatii, conectivitatii si depersonificarii imbinate cu conceptul de publik key infrastructure – PKI; cat si teme legislative – de ex. directivele privind protectia datelor private si personale.

 

De asemenea, in intervalul 17-22 iunie 2007, la Sevillia in Spania, va avea loc „19th Annual FIRST conference”, organizata de ENISA care va promova un forum in vederea schimbului de experienta privind misiunile, ideile si informatiile despre modalitatile actuale de imbunatatire a securitatii globale a computeristicii, cat si cooperarea si coordonarea mondiala prin intermediul CSIRTs - Computer Security Incident Response Teams.

 

Anexa - Agentii Europene (structura in vigoare in luna martie 2007)

 

Agentiile Comunitare Europene (the European Community agencies) create in baza primului pilon sunt:


1.Community Fisheries Control Agency (CFCA)
2.Community Plant Variety Office (CPVO)
3.European Agency for Reconstruction (EAR)
4.European Agency for Safety and Health at Work (OSHA)
5.European Agency for the Management of Operational Cooperation at the External Borders (FRONTEX)
6.European Aviation Safety Agency (EASA)
7.European Centre for Disease Prevention and Control (ECDC)
8.European Centre for the Development of Vocational Training (Cedefop)
9.European Chemicals Agency (ECHA) (under preparation)
10.European Environment Agency (EEA)
11.European Food Safety Authority (EFSA)
12.European Foundation for the Improvement of Living and Working Conditions (EUROFOUND
13.European Fundamental Rights Agency (FRA) (under preparation)
14.European GNSS Supervisory Authority (under preparation)
15.European Maritime Safety Agency (EMSA)
16.European Medicines Agency (EMEA)
17.European Monitoring Centre for Drugs and Drug Addiction (EMCDDA)
18.European Monitoring Centre on Racism and Xenophobia (EUMC)
19.European Network and Information Security Agency (ENISA)
20.European Railway Agency (ERA)
21.European Training Foundation (ETF)
22.Office for Harmonisation in the Internal Market (Trade Marks and Designs) (OHIM)
23.Translation Centre for the Bodies of the European Union (CdT)

Agentiile CFSP (European Union’s Common Foreign and Security Policy ) create in baza celui de-al doilea pilon sunt:


1.European Defence Agency (EDA)
2.European Union Institute for Security Studies (ISS)
3.European Union Satellite Centre (EUSC)

Agentiile (Police and judicial cooperation in criminal matters EU agencies) create in baza celui de-al treilea pilon sunt:

1.European Judicial Cooperation Unit ( EUROJUST )
2.European Police College (CEPOL)
3.European Police Office (EUROPOL

Agentiile „Executive agencies”, create in baza Regulamentului Consiliului (EC) No 58/2003 (OJ L 11, 16.1.2003), pentru o perioada determinata, cu sediul la Brussels sau la Luxembourg, in scopul asigurarii managementului unuia sau mai multor programe comunitare:

1.Education, Audiovisual and Culture Executive Agency
2.Executive Agency for the Public Health Programme
3.Intelligent Energy Executive Agency
4.The European Chemicals Agency 'ECHA'.

 

 

Note

(1) A se vedea si Anexa - Agentii Europene  (structura in vigoare in luna martie 2007)”;

(2) Acest ghid este aplicabil tuturor participantilor la noua societate informationala si sugereaza necesitatea cresterii cerintelor de confidentialitate si intelegerea conceptului de securitate, incluzand necesitatea dezvoltarii unei "culturi a securitatii (culture of security)" – reprezentand o concentrare pe tema securitatii in dezvoltarea retelelor si a sistemelor informationale, cat si adoptarea unor noi directii in re-gandirea acesteia si in adoptarea unei conduite in utilizarea si interactiunea cu retelele si sistemele informationale. Indrumarul constituie un fundament pentru dezvoltarea in continuare a unei culturi a securitatii in intreaga societate. (OECD).

(3) The Promotion of a Culture of Security for Information Systems and Networks in OECD Countries;

Implementation Plan for the OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security ;

2002 Security Guidelines - Q&A ;

OECD Culture of Security Web Site