Sala de conferințe de la Microsoft Romania din București a căzut în tăcere joi 15 ianuarie a.c. când Dr. Nicolae Iancu, vicepreședinte al Centrului de Excelență în Securitate Cibernetică Maritimă, a pus o întrebare care i-a bântuit pe planificatorii apărării români de ani de zile: „De ce vecinii noștri baltici pot mobiliza întreaga societate pentru apărarea cibernetică în câteva ore, în timp ce noi ne luptăm să determinăm sectoarele militar și civil să împărtășească o evaluare comună a amenințărilor?” Pauza incomodă care a urmat a surprins esența provocării de securitate cibernetică a României, una pe care evenimentele zilei aveau să o exploreze cu o sinceritate neobișnuită.
Într-o eră în care amenințările digitale transcend granițele și sectoarele cu o viteză îngrozitoare, experții de frunte în securitate cibernetică, factorii de decizie și inovatorii din Europa s-au adunat pentru o conferință de referință axată pe „Unitatea Digitală în Europa: Inovație Cibernetică și Tehnologie cu Utilizare Duală”. Cu toate acestea, sub titlul optimist se află o realitate mai sumbră care a devenit din ce în ce mai evidentă pe măsură ce ziua avansa: România, în ciuda talentului său tehnic considerabil și a capacităților în creștere din sectorul privat, continuă să se lupte cu o deconectare fundamentală între eforturile militare și civile de securitate cibernetică care amenință să îi submineze securitatea națională într-un peisaj digital din ce în ce mai periculos.
Contextul crizei
Pentru a înțelege urgența care animează această conferință, trebuie mai întâi să înțelegem realitatea geopolitică care modelează gândirea în materie de securitate cibernetică a României. România se află pe flancul estic al NATO, având o frontieră comună cu Ucraina și fiind situată chiar peste Marea Neagră de Rusia și Peninsula Crimeea ocupată. De la invazia la scară largă a Rusiei în Ucraina din februarie 2022, România s-a trezit într-o poziție din ce în ce mai precară, servind drept hub logistic critic pentru ajutorul militar occidental către Ucraina, devenind în același timp o țintă mai proeminentă pentru operațiunile cibernetice rusești.
Amenințarea nu este teoretică. Rețelele guvernamentale românești, infrastructura critică și companiile private au experimentat toate intruziuni sofisticate care poartă amprenta operațiunilor sponsorizate de state. Sistemele energetice, infrastructura de telecomunicații, rețelele de transport și instituțiile financiare au fost toate sondateși, în unele cazuri, compromise cu succes. Cu toate acestea, în ciuda acestui mediu de amenințare în escaladare, răspunsul României rămâne frustrant de fragmentat, cu capacitățile de securitate cibernetică militară operând într-un univers separat de eforturile civile, iar coordonarea între agențiile guvernamentale, companiile private și instituțiile academice rămânând sporadică în cel mai bun caz.
Acest lucru contrastează puternic cu modelele dezvoltate de Polonia și statele baltice – Estonia, Letonia și Lituania. Aceste țări, confruntându-se cu amenințări similare sau mai mari din partea operațiunilor cibernetice rusești, au dezvoltat cadre naționale integrate de securitate cibernetică care estompează liniile tradiționale dintre militar și civil, public și privat, operațiuni în timp de pace și timp de război. Succesul lor oferă atât inspirație, cât și o mustrare implicită a abordării mai compartimentate a României.
Salvele de deschidere: recunoașterea divizării
Conferința s-a deschis cu observații din partea Profesorului Gabriel Raicu, rectorul Universității Maritime din Constanța și director de proiect al ECYBRIDGE, care a stabilit un ton neașteptat de franc. „Nu ne mai putem permite luxul de a pretinde că aranjamentele noastre instituționale sunt adecvate pentru amenințările cu care ne confruntăm”, a declarat el, cuvintele sale atârnând în aer cu o greutate incomodă. „Vecinii noștri au construit ecosisteme de securitate cibernetică unde un inginer din sectorul privat poate trece fără probleme la sprijinirea apărării naționale în timpul unei crize. Noi am construit ziduri birocratice care împiedică militarii noștri să vorbească chiar și cu tehnologi civili fără a naviga prin luni de procese de aprobare.”
Această recunoaștere inițială a disfuncției sistemice a dat tonul pentru ceea ce avea să devină o examinare neobișnuit de candidă a slăbiciunilor de securitate cibernetică ale României. Pentru cei care nu sunt familiarizați cu modul în care funcționează de obicei guvernanța securității cibernetice, ajută să înțelegem că majoritatea națiunilor își organizează apărarea cibernetică în jurul unei divizări fundamentale între autoritățile militare și civile. Comandamentele cibernetice militare se concentrează pe apărarea rețelelor militare, desfășurarea de operațiuni cibernetice împotriva adversarilor și sprijinirea operațiunilor de luptă cu capacități cibernetice. Agențiile civile, între timp, protejează rețelele guvernamentale, reglementează securitatea sectorului privat, răspund la incidente cibernetice care afectează infrastructura critică și coordonează cu partenerii internaționali pe probleme de criminalitate cibernetică și spionaj.
În teorie, aceste două sfere coordonează prin mecanisme formale, împărtășind informații despre amenințări și sincronizând răspunsurile la incidente majore. În practică, în special în țările cu tradiții birocratice puternice și suspiciune istorică între instituțiile militare și civile, această coordonare există adesea mai mult pe hârtie decât în realitate. Provocarea României este agravată de moșteniri instituționale din perioada sa comunistă, când instituțiile militare și civile erau deliberat menținute separate pentru a preveni orice provocare unificată la controlul Partidului Comunist. Chiar și la trei decenii după căderea comunismului, aceste separări reflexe persistă, creând vulnerabilități pe care adversarii sofisticați au învățat să le exploateze.
Modelul polonez: apărare totală în era digitală
Pentru a înțelege la ce ar putea aspira România, merită să examinăm în detaliu modul în care Polonia a abordat provocarea integrării militar-civile. Cadrul de securitate cibernetică al Poloniei a apărut din lecții greu câștigate în urma unei serii de atacuri cibernetice devastatoare la mijlocul anilor 2010, inclusiv compromiteri ale ministerelor guvernamentale, intruziuni în infrastructura energetică și operațiuni sofisticate de informare concepute pentru a inflama diviziunile sociale. Aceste incidente au forțat conducerea poloneză să se confrunte cu o realitate incomodă: abordările tradiționale ale apărării naționale, cu diviziunile lor clare între responsabilitățile militare și civile, pur și simplu nu funcționează în spațiul cibernetic.
Răspunsul Poloniei a fost să dezvolte ceea ce ei numesc conceptul de „Apărare Cibernetică Totală”, modelat conștient pe doctrinele de apărare totală din epoca Războiului Rece, care presupuneau că orice conflict major ar necesita mobilizarea întregii societăți. Sub acest cadru, stabilit formal în 2019 și rafinat substanțial de atunci, Polonia a creat mecanisme pentru integrarea rapidă a capacităților militare și civile de securitate cibernetică în timpul crizelor, menținând în același timp granițe adecvate în timp de pace.
În centrul modelului polonez se află Centrul Național de Securitate Cibernetică, o organizație care raportează direct prim-ministrului, mai degrabă decât să fie subordonată fie agenților de informații militare, fie civile. Această poziționare este critică deoarece oferă Centrului autoritatea de a însărcina atât organizațiile militare, cât și cele civile, rupând barierele birocratice care împiedică de obicei coordonarea eficientă. Centrul menține ofițeri de legătură din armată, serviciile de informații, forțele de ordine, operatorii de infrastructură critică și companiile majore de tehnologie, toți lucrând în aceeași facilitate și împărtășind accesul la platforme comune de informații despre amenințări.
Ceea ce face modelul polonez deosebit de eficient este accentul pe integrarea pre-planificată în timp de pace, mai degrabă decât speranța că organizațiile își vor da seama cum să lucreze împreună în timpul unei crize. Profesioniști în securitate cibernetică din sectorul privat din companii poloneze majore participă la exerciții trimestriale alături de operatorii cibernetici militari, construind relații personale și înțelegere comună a capacităților și limitărilor. Aceste exerciții simulează scenarii precum perturbarea pe scară largă a rețelei electrice, compromiterea sistemelor financiare sau atacuri coordonate asupra mai multor sectoare de infrastructură critică simultan.
Crucial, Polonia a creat și cadre juridice care permit această integrare fără a compromite supravegherea democratică sau libertățile civile. Legea poloneză privind securitatea cibernetică din 2019 autorizează explicit partajarea informațiilor între companiile private și agențiile guvernamentale în timpul incidentelor cibernetice, cu protecții clare pentru informațiile comerciale sensibile și datele personale. Stabilește proceduri pentru ca unitățile cibernetice militare să furnizeze asistență tehnică operatorilor de infrastructură civilă în timpul situațiilor de urgență, cu garanții adecvate pentru a preveni exagerările militare în afacerile civile.
Poate cel mai impresionant, Polonia a investit masiv în construirea unui flux unificat de talente. Universitățile poloneze oferă acum programe de studii specializate în securitate cibernetică care includ module atât despre aplicații civile, cât și militare, studenții putând urma căi de carieră care ar putea implica trecerea între sectorul privat, roluri civile guvernamentale și serviciul militar fără a începe de la zero de fiecare dată. Ministerul polonez al Apărării operează o forță cibernetică de rezervă, modelată după Unitatea de Apărare Cibernetică a Estoniei, unde profesioniști civili în securitate cibernetică mențin statutul de rezervă militară și pot fi activați în timpul situațiilor de urgență naționale.
Rezultatele vorbesc de la sine. Când Rusia a lansat atacuri cibernetice coordonate împotriva sistemelor guvernamentale poloneze la începutul anului 2023, sistemul de răspuns integrat s-a activat în câteva ore. Specialiștii cibernetici militari au furnizat analiza tehnică a metodologiilor de atac, în timp ce agențiile civile au coordonat cu organizațiile afectate. Companiile din sectorul privat au împărtășit voluntar informații despre amenințări care au ajutat la identificarea domeniului de aplicare al intruziunii. În trei zile, Polonia nu numai că a conținut atacurile, dar a dezvoltat și implementat contramăsuri care au protejat alți membri NATO europeni care se confruntau cu operațiuni similare.
Revoluția apărării cibernetice baltice
Dacă modelul Poloniei reprezintă o abordare metodică de construcție instituțională pentru integrarea securității cibernetice militare și civile, statele baltice oferă ceva chiar mai radical: o regândire fundamentală a ceea ce înseamnă apărarea națională în era digitală. Estonia, Letonia și Lituania, care toate și-au recâștigat independența de sub ocupația sovietică în 1991, au petrecut cele trei decenii ulterioare conștiente acut de vulnerabilitatea lor la agresiunea rusească. Această conștientizare existențială a produs inovații în securitatea cibernetică care fac ca aliații lor NATO mult mai mari să pară pozitiv antichizați.
Abordarea Estoniei merită o atenție deosebită deoarece reprezintă cea mai cuprinzătoare integrare a capacităților cibernetice militare și civile oriunde în lume. În urma atacurilor cibernetice devastatoare din 2007 care au paralizat serviciile guvernamentale, băncile și mass-media timp de săptămâni, Estonia a întreprins o regândire completă a arhitecturii sale de securitate națională. Rezultatul este un sistem în care distincția dintre apărarea cibernetică militară și civilă a încetat efectiv să existe în toate scopurile practice.
Piatra de temelie a modelului estonian este Unitatea de Apărare Cibernetică, o forță de rezervă compusă aproape în întregime din profesioniști civili în securitate cibernetică care își mențin locurile de muncă obișnuite în companii private sau agenții guvernamentale, dar pot fi mobilizați rapid în timpul situațiilor de urgență naționale. Spre deosebire de rezervele militare tradiționale, care se antrenează ocazional și mențin abilități de bază, rezervele cibernetice ale Estoniei rămân în fruntea profesiei lor tocmai pentru că lucrează în roluri civile. Un inginer de securitate la o companie tehnologică estoniană majoră ar putea petrece de luni până vineri apărând rețele corporative împotriva celor mai recente tehnici de atac, apoi să se antreneze cu Unitatea de Apărare Cibernetică în weekend-uri, aducând expertiza contemporană din sectorul privat direct în apărarea națională.
Acest model rezolvă una dintre cele mai jenante probleme din securitatea cibernetică militară: problema obsolescenței. Organizațiile militare tradiționale se luptă să țină pasul cu amenințările cibernetice în rapidă evoluție deoarece procesele de achiziții sunt lente, curricula de formare devin repede depășite, iar personalul talentat părăsește adesea pentru poziții mai bine plătite în sectorul privat. Modelul de rezervă al Estoniei transformă această provocare într-un avantaj asigurându-se că capacitățile naționale de apărare cibernetică rămân actuale automat, deoarece oamenii care furnizează acele capacități lucrează deja cu cele mai recente tehnologii și se confruntă cu cele mai noi amenințări în locurile lor de muncă civile.
Integrarea merge și mai adânc. Sistemul X-Road al Estoniei, o platformă securizată de schimb de date care stă la baza practic a tuturor serviciilor guvernamentale și a multor funcții din sectorul privat, a fost proiectat de la început cu atât cerințe de funcționalitate civilă, cât și de apărare. Sistemul permite partajarea fără probleme a informațiilor în timpul operațiunilor normale, incluzând în același timp componente întărite care pot continua să funcționeze chiar dacă părți semnificative ale infrastructurii de internet a Estoniei sunt perturbate. Planificatorii militari au acces la același sistem pentru logistică și coordonare, ceea ce înseamnă că organizațiile civile și militare operează literal pe aceeași infrastructură digitală, făcând coordonarea naturală mai degrabă decât forțată.
Estonia a fost și pionier al conceptului de „suveranitate cibernetică în exil”, o recunoaștere că o națiune a cărei întreagă infrastructură digitală se încadrează în granițe mai mici decât multe state americane se confruntă cu riscuri existențiale pe care țările mai mari nu le au. Estonia menține backup-uri complete ale datelor și sistemelor sale guvernamentale critice în țări aliate, în principal Luxemburg și Regatul Unit, cu cadre juridice stabilind că aceste sisteme de backup constituie teritoriu suveran estonian chiar dacă se află pe sol străin. Dacă Rusia ar ocupa Estonia fizic sau ar distruge infrastructura sa digitală internă, guvernul estonian ar putea continua să funcționeze din străinătate, menținând continuitatea guvernului și legitimitatea democratică.
Letonia și Lituania, deși lipsesc de avansul de un deceniu al Estoniei, și-au dezvoltat propriile inovații. Centrul Național de Securitate Cibernetică al Letoniei operează un model unic de „centru de fuziune public-privat” în care companiile din sectorul privat detașează angajați pentru a lucra direct în cadrul centrului guvernamental pentru rotații de șase până la douăsprezece luni. Acești angajați detașați își mențin angajarea și salariile din sectorul privat, dar lucrează alături de apărătorii cibernetici guvernamentali, creând transfer direct de cunoștințe în ambele direcții. Când se întorc la companiile lor, aduc informații despre amenințări la nivel guvernamental și înțelegerea cerințelor de securitate națională. Între timp, apărătorii guvernamentali câștigă expunere la tehnologiile sectorului privat, metodologii și gândire antreprenorială.
Lituania s-a concentrat în special pe cadrele juridice și procedurale necesare pentru integrarea eficientă civil-militară. Legea sa privind securitatea cibernetică din 2018 autorizează explicit militarii să furnizeze asistență tehnică operatorilor de infrastructură critică civilă fără a necesita straturi de aprobări birocratice care ar întârzia răspunsul în timpul incidentelor active. Legea stabilește proceduri clare, inclusiv mecanisme robuste de supraveghere pentru a preveni abuzurile, dar prioritizează viteza și eficacitatea în timpul crizelor. Operatorii de infrastructură critică lituanieni desfășoară exerciții comune cu unități cibernetice militare trimestrial, iar țara menține o platformă centralizată de informații despre amenințări cibernetice accesibilă atât guvernului, cât și organizațiilor din sectorul privat verificate în mod corespunzător în timp real.
Toate cele trei state baltice au investit, de asemenea, masiv în diplomația cibernetică și integrarea internațională. Au fost instrumentale în dezvoltarea politicilor de apărare cibernetică ale NATO și găzduiesc facilități importante de apărare cibernetică NATO, inclusiv Centrul de Excelență pentru Apărare Cibernetică Cooperativă NATO din Tallinn. Această integrare internațională servește mai multor scopuri: oferă națiunilor mici acces la capacitățile și informațiile aliate, creează descurajare făcând clar că atacurile asupra infrastructurii cibernetice baltice vor declanșa răspunsuri NATO mai largi și poziționează statele baltice ca lideri de gândire a căror expertiză este apreciată de aliați mult mai mari.
Eficacitatea acestor modele a fost demonstrată dramatic în februarie 2022, când Rusia a invadat Ucraina. În câteva ore de la trecerea forțelor rusești de graniță ucraineană, toate cele trei state baltice și-au activat cadrele integrate de apărare cibernetică. Unitățile cibernetice militare și profesioniștii în securitate civili au lucrat umăr la umăr pentru a monitoriza operațiunile cibernetice rusești împotriva infrastructurii baltice, a coordona cu aliații NATO și a furniza asistență tehnică Ucrainei. Companiile din sectorul privat au împărtășit voluntar informații despre amenințări și au implementat măsuri de protecție în rețelele lor. Activarea fără probleme a acestor proceduri de urgență, care fuseseră practicate repetat în exerciții, a descurajat probabil operațiunile cibernetice rusești care altfel ar fi putut însoți invazia fizică.
Realitatea românească: scleroză instituțională
În raport cu aceste exemple de integrare militară-civilă de succes, situația României pare din ce în ce mai de neținut. Primul panel major al dimineții, intitulat „Politica Cibernetică, Puterea și Pregătirea”, a fost prezidat de Dr. Nicolae Iancu și a inclus șase vorbitori distinsși care au pictat colectiv imaginea unei națiuni care posedă capacități tehnice semnificative, dar care se luptă să le valorifice eficient din cauza disfuncției instituționale.
Dr. Marilena-Jeana Cîmpineanu, directoarea Centrului Euro-Atlantic de Reziliență, a deschis cu o prezentare care ar fi putut fi preluată de la o conferință de securitate cibernetică baltică, discutând cadre de reziliență, abordări ale întregii societăți și integrare fără probleme public-privată. Cu toate acestea, pe măsură ce prezentarea sa s-a încheiat, disonanța a devenit aparentă. Un membru al audienței, un director executiv senior de la o companie majoră de telecomunicații românească, a pus o întrebare simplă: „Aceste cadre sună excelent, dar cum pot efectiv să împărtășesc informații despre amenințări cu apărătorii cibernetici militari români când nu răspund la emailurile mele, iar departamentul nostru juridic spune că am putea încălca legile privind securitatea informațiilor prin împărtășirea datelor clienților chiar și în formă anonimizată?”
Întrebarea a rămas fără răspuns, încapsulând perfect provocarea României. Nu este că instituțiile românești nu au conștientizarea celor mai bune practici sau înțelegerea a ceea ce necesită securitatea cibernetică eficientă. Mai degrabă, operează în cadrul constrângerilor juridice, birocratice și culturale care le împiedică să implementeze ceea ce știu că este necesar.
Irina Macovei, șefa Proprietății Intelectuale și Tehnologiei la DLA Piper România, a abordat exact aceste obstacole juridice. A remarcat că legislația românească conține multiple prevederi, moștenite din ere diferite și niciodată armonizate corespunzător, care creează ambiguitate juridică în jurul partajării informațiilor între entitățile guvernamentale și private. O companie care împărtășește informații despre un atac cibernetic cu autoritățile militare ar putea încălca tehnic legile de protecție a datelor, cerințele de secret bancar sau reglementările de confidențialitate în telecomunicații, în funcție de circumstanțele specifice și de modul în care procurorii ar putea interpreta statutele relevante ani mai târziu când investighează incidentul.
Această incertitudine juridică creează ceea ce Macovei a numit „paralizie defensivă” în care organizațiile care doresc să contribuie la apărarea cibernetică națională aleg în schimb calea cea mai sigură a cooperării minime pentru a evita potențiala răspundere juridică. Băncile românești, de exemplu, se confruntă cu atacuri cibernetice sofisticate aproape zilnic, dar rareori împărtășesc informații tehnice detaliate cu autoritățile guvernamentale dincolo de ceea ce este cerut legal, deoarece acest lucru ar putea să le expună la sancțiuni de reglementare pentru protecția inadecvată a datelor.
Problema se extinde dincolo de cadrele juridice la cultura instituțională. Generalul de flotilă aeriană (ret.) Adrian Duță, acum consilier senior pentru Apărare și Securitate la KPMG România, a vorbit cu o frustrare evidentă despre barierele dintre comunitățile de securitate cibernetică militare și civile. „Am petrecut trei decenii în Forțele Aeriene Române”, a remarcat el, „și pot număra pe o mână de câte ori am avut discuții tehnice substanțiale cu profesioniști în securitate cibernetică civili din companii private. Nu pentru că vreuna dintre părți nu avea interes, ci pentru că structurile noastre instituționale au făcut astfel de interacțiuni dificil de aranjat și ușor de evitat.”
Generalul Duță a contras acest lucru cu experiența sa de lucru cu unități cibernetice militare poloneze și baltice în timpul exercițiilor NATO. „Ofițerii cibernetici militari polonezi mențin contacte regulate cu omologii lor civili, întâlnindu-se uneori la cafea pentru a discuta despre evoluțiile recente ale amenințărilor”, a explicat el. „Ei înțeleg capacitățile, limitările și culturile organizaționale ale fiecăruia. Când apare o criză, au deja relațiile și limbajul comun necesar pentru coordonarea eficientă. Noi lipsim complet de acest lucru.”
Emanuel Cernat, partener director al Corporate Affairs Strategies, a abordat perspectiva de afaceri asupra acestei disfuncții. A remarcat că companiile românești care operează la nivel internațional văd din ce în ce mai mult fragmentarea securității cibernetice a țării ca un dezavantaj competitiv. „Dacă sunt o companie multinațională care decide unde să îmi amplasez centrul de date european sau sediul regional, mă uit la postura de securitate cibernetică a fiecărei țări”, a explicat Cernat. „Polonia și statele baltice pot indica cadre naționale integrate care oferă securitate previzibilă și eficientă. România trebuie să admită că dacă apare un incident cibernetic major, răspunsul va fi haotic și necoordinat. Acesta nu este un punct de vânzare.”
Impactul asupra afacerilor se extinde dincolo de deciziile de locație la retenția de talente. Cernat a remarcat că profesioniștii români în securitate cibernetică calificați caută din ce în ce mai mult oportunități în străinătate nu în principal pentru salarii mai mari, deși acestea ajută cu siguranță, ci pentru că doresc să lucreze în medii unde abilitățile lor pot fi utilizate pe deplin. „Cunosc mai mulți experți români în apărare cibernetică care acum lucrează pentru companii poloneze sau estoniene special pentru că acele țări oferă oportunități de a contribui la eforturile de securitate națională pe lângă munca lor din sectorul privat”, a observat Cernat. „Ei vor să simtă că fac o diferență, iar barierele instituționale ale României împiedică acest lucru.”
Robert Pufan, arhitect senior de soluții pentru Securitate la Microsoft, a adus perspectiva unui furnizor de tehnologie la aceste provocări. Microsoft, ca furnizor major de servicii cloud și tehnologii de securitate cibernetică atât pentru clienții civili, cât și pentru cei militari la nivel global, vede direct cum diferite țări își structurează eforturile de apărare cibernetică. Pufan a remarcat că Microsoft poate furniza agenților civile românești anumite produse avansate de informații despre amenințări, dar nu poate furniza aceleași produse organizațiilor militare românești din cauza reglementărilor de achiziții care nu au fost actualizate pentru a găzdui serviciile cloud. Rezultatul este că organizațiile civile și militare care folosesc produse Microsoft nu au acces la informații comune despre amenințări, chiar dacă ambele se apără împotriva acelorași adversari folosind aceleași tehnici.
„Polonia a rezolvat acest lucru prin reforma achizițiilor care tratează serviciile cloud ale Microsoft ca o platformă unificată disponibilă atât pentru clienții civili, cât și pentru cei militari cu controale de acces corespunzătoare”, a explicat Pufan. „Sistemul de achiziții al României încă tratează acestea ca produse complet separate care necesită contracte separate, revizuiri juridice separate și evaluări tehnice separate, chiar dacă sunt servicii subiacente identice. Aceasta nu este o problemă specifică Microsoft; fiecare furnizor major de tehnologie se confruntă cu aceleași bariere. Rezultatul este că organizațiile românești cheltuiesc mai mulți bani pentru a obține mai puțină capacitate decât omologii lor polonezi sau baltici.”
Deconectarea cercetării și inovației
Al doilea panel major, intitulat „Știință, Apărare și Inovație în Securitatea Cibernetică” și prezidat de Dr. Valeria Popescu, coordonator senior de securitate cibernetică la Directoratul Național de Securitate Cibernetică al României, a dezvăluit o altă dimensiune a divizării militar-civile: deconectarea dintre cercetare și implementarea operațională.
Dr. Alexandru Georgescu, expert senior la Institutul Național de Cercetare-Dezvoltare în Informatică al României, a prezentat cercetări impresionante privind sistemele avansate de detectare a amenințărilor folosind algoritmi de învățare automată. Echipa sa a dezvoltat tehnici pentru identificarea intruziunilor cibernetice sofisticate care arată performanțe comparabile sau mai bune decât sistemele internaționale de vârf. Cu toate acestea, când a fost întrebat în timpul sesiunii de întrebări și răspunsuri dacă aceste sisteme sunt implementate operațional, răspunsul Dr. Georgescu a fost semnificativ: „Am informat atât agențiile civile, cât și cele militare despre cercetarea noastră. Mai multe au exprimat interes. Din câte știu, niciuna nu a implementat de fapt sistemele pe care le-am dezvoltat. Decalajul dintre demonstrația de cercetare și implementarea operațională în România se măsoară de obicei în ani, dacă se întâmplă deloc.”
Acest decalaj cercetare-implementare reprezintă un eșec critic în ecosistemul de inovație al României. Țara produce cercetări semnificative în domeniul securității cibernetice la universitățile și institutele de cercetare de stat. Cercetătorii români publică regulat în reviste internaționale de top și prezintă la conferințe prestigioase. Cu toate acestea, această producție intelectuală se transformă în capacități operaționale mult mai puțin eficient decât în Polonia sau statele baltice.
Motivele sunt structurale. Instituțiile poloneze și baltice de cercetare mențin parteneriate formale cu atât agențiile operaționale militare, cât și cele civile de la începutul proiectelor de cercetare. Cercetătorii înțeleg cerințele operaționale specifice pe care încearcă să le abordeze, iar potențialii utilizatori finali sunt implicați pe parcursul procesului de dezvoltare, oferind feedback și asigurându-se că rezultatul cercetării se aliniază cu nevoile din lumea reală. Când cercetarea produce rezultate promițătoare, căile pentru prototiparea și implementarea rapidă există deja, cu mecanisme de finanțare și cadre juridice în vigoare pentru a accelera adoptarea.
România, prin contrast, tratează cercetarea și implementarea operațională ca activități în mare parte separate. Cercetătorii urmăresc întrebări interesante din punct de vedere intelectual cu contribuții limitate de la potențialii utilizatori finali. Agențiile operaționale își dezvoltă cerințele fără contribuții semnificative din cercetare. Când cele două comunități interacționează, de obicei la conferințe ca aceasta, descoperă oportunități de colaborare, dar de fapt implementarea acestei colaborări necesită navigarea prin obstacole birocratice care pot dura ani pentru a fi depășite.
Iulian Alecu, dezvoltator strategic de afaceri la SafeTech Innovations și fost director general adjunct al Directoratului Național de Securitate Cibernetică al României, a adus atât perspective guvernamentale, cât și din sectorul privat la această provocare. Traiectoria sa de carieră ilustrează ea însăși barierele dintre comunități. Trecerea de la serviciul guvernamental senior la conducerea din sectorul privat a necesitat ceea ce Alecu a descris ca „învățarea în esență a două limbi complet diferite pentru a descrie aceleași probleme tehnice.” Guvernul și sectoarele private din România folosesc terminologie diferită, cadre analitice diferite și concepte operaționale diferite pentru securitatea cibernetică, făcând comunicarea dificilă chiar și atunci când ambele părți caută să coopereze.
„În Estonia, un profesionist în securitate cibernetică care trece de la sectorul privat la guvern sau invers se confruntă cu o curbă de învățare în jurul procedurilor organizaționale specifice, dar cadrul conceptual fundamental rămâne consistent”, a explicat Alecu. „Toată lumea vorbește același limbaj tehnic pentru că se antrenează împreună, se exercită împreună și operează pe platforme integrate. În România, cineva care face aceeași tranziție trebuie în esență să reinvețe securitatea cibernetică de la zero pentru că separarea noastră instituțională a produs abordări paralele, dar incompatibile.”
SafeTech Innovations, compania pe care Alecu o conduce acum, reprezintă capacitățile în creștere ale sectorului privat de securitate cibernetică al României. Compania a dezvoltat produse și servicii sofisticate de securitate care au câștigat recunoaștere internațională. Cu toate acestea, chiar și SafeTech se luptă să contribuie la apărarea cibernetică națională a României din cauza barierelor instituționale. Compania a oferit să furnizeze asistență tehnică pro bono agenților guvernamentale românești care se confruntă cu incidente cibernetice, dar a constatat că acceptarea acestei asistențe necesită procese birocratice care pot dura mai mult decât incidentele în sine.
Dr. Liliana Filip, fondator și președinte al Grupului de Cercetare Politică, a examinat aceste provocări dintr-o perspectivă de științe politice. Ea a remarcat că separarea instituțională dintre securitatea cibernetică militară și civilă reflectă modele mai profunde în guvernanța românească, unde diferite agenții guvernamentale operează frecvent ca feuduri independente cu coordonare limitată. Această fragmentare există în toate domeniile politice, dar se dovedește deosebit de dăunătoare în securitatea cibernetică, unde amenințările evoluează mult mai rapid decât mecanismele de coordonare birocratică pot să se adapteze.
Dr. Filip a indicat un exemplu specific care a cristalizat problema. În 2023, o campanie sofisticată de spionaj cibernetic a vizat simultan mai multe agenții guvernamentale românești, contractori de apărare și companii energetice. Campania, atribuită de mai multe firme internaționale de securitate cibernetică unui actor de amenințare sponsorizat de stat, a extras probabil informații sensibile despre capacitățile de apărare românești și infrastructura energetică timp de mai multe luni înainte de a fi detectată. Când intruziunea a fost descoperită, răspunsul a implicat cel puțin șapte agenții guvernamentale românești diferite, mai multe companii din sectorul privat și coordonare cu partenerii NATO și UE.
„Răspunsul a reușit în cele din urmă să conțină intruziunea”, a remarcat Dr. Filip, „dar a durat trei săptămâni să stabilim coordonarea de bază între agențiile românești implicate. Autoritățile poloneze sau baltice ar fi activat mecanisme de coordonare pre-stabilite în câteva ore. Această întârziere de trei săptămâni a permis probabil atacatorilor să extragă informații suplimentare și să își prepare infrastructura pentru a evita răspunsul nostru eventual. Costul operațional al disfuncției noastre instituționale, măsurat în secrete compromise și vulnerabilitate continuă, a fost substanțial.”
Furnizorii de tehnologie și provocarea integrării
Prezentările reprezentanților Microsoft, Aimen Aldahash și Ovidiu Pismac, deși ostensibil concentrate pe produsele de securitate Microsoft, au evidențiat involuntar o altă dimensiune a provocărilor de coordonare civil-militară a României. Prezentarea lui Aldahash despre Microsoft Marketplace a subliniat modul în care această platformă permite organizațiilor să asambleze capacități cuprinzătoare de securitate de la mai mulți furnizori care operează pe o fundație comună. Prezentarea lui Pismac despre securitatea end-to-end infuzată cu AI a demonstrat cum securitatea cibernetică modernă depinde din ce în ce mai mult de platforme integrate care operează peste granițele organizaționale.
Ceea ce a rămas în mare parte nespus, dar a devenit evident pentru observatorii cu experiență, este că aceste platforme integrate funcționează mult mai eficient în țările cu cadre unificate de securitate cibernetică. Când agențiile civile poloneze și unitățile militare operează ambele pe platformele Microsoft cu controale de acces corespunzătoare, beneficiază automat de informații comune despre amenințări, politici de securitate consistente și schimb fără probleme de informații în timpul incidentelor. Tehnologia permite integrarea pe care structura organizațională o susține.
Abordarea fragmentată a României împiedică materializarea acestor beneficii. Chiar și atunci când organizațiile civile și militare românești folosesc ambele produse Microsoft, le operează ca implementări complet independente fără partajare de informații sau coordonare. Aceasta reprezintă nu o limitare tehnologică, ci o alegere organizațională, una care degradează semnificativ eficacitatea tehnologiilor sofisticate de securitate care depind de integrare pentru a oferi valoarea lor completă.
În timpul unei conversații informale în pauza de prânz, mai mulți profesioniști români în securitate cibernetică și-au exprimat frustrarea că guvernul lor nu profită pe deplin de tehnologiile pentru care plătește deja. „Cheltuim bani pe instrumente de securitate de clasă mondială”, a remarcat un inginer senior la o agenție guvernamentală românească, „apoi le implementăm în moduri care oferă poate treizeci sau patruzeci la sută din valoarea lor potențială pentru că structurile noastre instituționale împiedică integrarea pe care aceste instrumente o necesită pentru a funcționa optim. Este ca și cum ai cumpăra un Ferrari, dar niciodată nu schimbi din a doua viteză pentru că reglementările interzic conducerea mai rapidă.”
De la strategie la implementare: prăpastia cercetare-operațiuni
Prezentările de studii de caz care au precedat prânzul au ilustrat în continuare decalajul dintre inovația de cercetare și implementarea operațională. Dr. Alexandru Georgescu s-a întors pentru a prezenta Cyber Polygon, o platformă de poligon cibernetic pentru antrenamentul de securitate al sectorului energetic. Pentru cei care nu sunt familiarizați cu poligoanelete cibernetice, acestea sunt în esență medii sofisticate de simulare unde profesioniști în securitate pot practica apărarea împotriva atacurilor simulate fără a risca infrastructura reală.
Cyber Polygon reprezintă o muncă cu adevărat impresionantă. Platforma poate genera automat scenarii de atac realiste adaptate configurațiilor specifice ale infrastructurii energetice, permițând operatorilor să practice răspunsul la atacuri asupra sistemelor lor reale într-un mediu sigur de antrenament. Generarea automată de scenarii înseamnă că exercițiile de antrenament nu devin învechite sau previzibile. Sistemul încorporează informații actuale despre amenințări pentru a se asigura că antrenamentul reflectă tehnicile reale ale adversarilor. Din punct de vedere tehnic, Cyber Polygon rivalizează cu platforme similare dezvoltate de instituții internaționale de cercetare de frunte.
Cu toate acestea, întrebările din timpul sesiunii de întrebări și răspunsuri au dezvăluit goluri tulburătoare în implementare și utilizare. Când a fost întrebat câte companii energetice românești folosesc în prezent Cyber Polygon pentru antrenament, Dr. Georgescu a recunoscut că adoptarea rămâne limitată. Mai multe companii energetice majore au desfășurat exerciții pilot, iar feedback-ul a fost pozitiv, dar implementarea completă necesită decizii de achiziții care au stagnat în procesele birocratice. Mai semnificativ, când a fost întrebat dacă unitățile cibernetice militare românești se antrenează pe Cyber Polygon pentru a se familiariza cu provocările de securitate ale infrastructurii energetice, răspunsul a fost nu. În ciuda valorii evidente de a avea apărători cibernetici militari care înțeleg sistemele pe care ar putea avea nevoie să le ajute să le protejeze în timpul situațiilor de urgență naționale, nu există niciun mecanism formal pentru a le oferi acces la platformă.
Acest lucru contrastează puternic cu modul în care Polonia și statele baltice gestionează platforme de antrenament similare. Aceste țări se asigură că capacitățile avansate de antrenament sunt accesibile atât operatorilor civili, cât și apărătorilor militari, cu exerciții desfășurate adesea împreună, astfel încât ambele comunități să dezvolte înțelegere comună și relații operaționale. Platformele de antrenament în sine devin instrumente pentru construirea integrării civil-militare pe care apărarea cibernetică eficientă o necesită.
Prezentarea Dr. Emil Simion despre parteneriatul TrustBoost-SafeTech Innovations a explorat cercetarea avansată în securitatea cibernetică care emerge din colaborarea dintre academia românească și industria privată. Munca este sofisticată din punct de vedere tehnic și abordează provocări importante de securitate. Cu toate acestea, și aici, deconectarea dintre cercetare și implementarea operațională a apărut. Când a fost întrebat despre angajamentul cu unitățile cibernetice militare românești, Dr. Simion a recunoscut că un astfel de angajament a fost minim. Parteneriatul de cercetare implică universități și companii private, dar lipsește participarea militară semnificativă, în ciuda dezvoltării tehnologiilor cu aplicații de apărare clare.
Acest model se repetă în cercetarea și dezvoltarea de securitate cibernetică românească. Instituțiile academice produc muncă excelentă, adesea în parteneriat cu companii private. Cu toate acestea, agențiile militare și de apărare, care ar putea beneficia substanțial de această cercetare și ar putea oferi contribuții operaționale valoroase pentru a ghida direcțiile de cercetare, rămân în mare parte deconectate de aceste ecosisteme de inovație. Rezultatul este că România dezvoltă capacități de securitate cibernetică care ar putea întări apărarea națională, dar se luptă să le traducă de fapt în avantaje operaționale.
Prezentarea lui Pavel Prodaniuc despre StageOne, o platformă automată de validare a securității, a demonstrat capacitățile pe care companiile românești le dezvoltă atât pentru piețele interne, cât și pentru cele internaționale. StageOne reprezintă muncă sofisticată în testarea continuă a securității, permițând organizațiilor să verifice constant că măsurile lor de securitate funcționează conform intenției. Platforma a câștigat adoptare internațională de către clienți și recenzii pozitive de la analiștii în securitate cibernetică.
Cu toate acestea, agențiile guvernamentale românești, inclusiv organizațiile militare, au fost lente în adoptarea StageOne și a platformelor similare dezvoltate în România. Parte din acest lucru reflectă provocări de achiziții și procese de achiziție care evită riscurile, care favorizează produsele internaționale stabilite în detrimentul inovațiilor interne, chiar și atunci când produsele interne oferă capacități superioare pentru cerințele locale. Dar adoptarea lentă reflectă, de asemenea, separarea instituțională dintre companiile comerciale de securitate cibernetică și agențiile de apărare. Echivalentele poloneze și baltice ale StageOne ar fi fost probabil adoptate de către structurile lor naționale de apărare timpuriu în dezvoltare, cu organizații militare servind ca parteneri de design și clienți inițiali. Această colaborare strânsă dintre companiile interne de securitate cibernetică și agențiile de apărare ajută la asigurarea că cerințele de securitate națională conduc dezvoltarea produselor comerciale, oferind în același timp companiilor interne clienți de ancorare care le ajută să se scaleze la nivel internațional.
Prezentarea de după-amiază: inovație gără integrare
Prezentarea tehnologică de după-amiază, moderată de Robert Pufan, a inclus prezentări de la companii reprezentând diverse aspecte ale tehnologiei de securitate cibernetică. Virginia Zetu de la Fibercon a discutat securitatea fizică pentru infrastructura cu fibră optică, abordând realitatea adesea neglijată că războiul cibernetic implică frecvent atacuri fizice asupra infrastructurii de comunicații. Vicentiu Corbu de la KIM4Industry a abordat securitatea sistemelor de control industrial, deosebit de importantă pentru sectoarele energetice și de producție ale României. Bogdan Moldovan de la Axigen Messaging a prezentat platforme de comunicații securizate concepute pentru a proteja comunicațiile sensibile de afaceri și guvernamentale.
Participanții online internaționali au adăugat o dimensiune suplimentară. Drazen Orescanin de la Data Privacy Manager a discutat tehnologiile de conformitate cu confidențialitatea esențiale pentru îndeplinirea cerințelor UE. Jenaro García Martín de la Sunu2 a prezentat tehnologii de îmbunătățire a confidențialității care permit analiza datelor minimizând în același timp riscurile de confidențialitate. Mikael Leal de la AllPriv a prezentat soluții cuprinzătoare de gestionare a confidențialității.
Ceea ce a unit aceste prezentări, dincolo de meritele lor tehnice, a fost un sentiment de oportunitate nerealizată. Fiecare companie oferă capacități care ar putea întări securitatea cibernetică națională a României. Fiecare a încercat să se angajeze cu agențiile guvernamentale românești, inclusiv organizațiile de apărare, pentru a contribui la apărarea cibernetică națională. Fiecare a întâlnit barierele instituționale care împiedică integrarea eficientă civil-militară.
Mai mulți prezentatori au tras contraste implicite sau explicite cu experiența lor pe alte piețe europene. Mai multe companii au remarcat că agențiile guvernamentale poloneze și baltice, inclusiv organizațiile militare, s-au angajat productiv cu ofertele lor comerciale, devenind uneori adoptatori timpurii care au ajutat la rafinarea produselor pentru cerințele sectorului public. Guvernul estonian în special și-a dezvoltat o reputație în rândul companiilor de securitate cibernetică pentru a fi un client extraordinar de sofisticat și angajat care ajută la stimularea inovației prin alegerile sale de achiziții și abordările de parteneriat.
Angajamentul guvernamental românesc, prin contrast, tinde să fie mai lent, mai aversiv la risc și mai puțin direcționat strategic. Procesele de achiziții favorizează furnizorii internaționali stabiliți chiar și atunci când companiile românești sau alte companii europene oferă soluții superioare pentru cerințele locale. Agențiile de apărare în special rămân dificil de angajat pentru companiile comerciale de securitate cibernetică, cu reglementări de achiziții și cerințe de autorizație de securitate creând bariere care împiedică parteneriatele public-privat care stimulează inovația în ecosistemele de securitate cibernetică mai integrate.
În timpul sesiunii de întrebări și răspunsuri, frustrarea a devenit palpabilă. Un prezentator a remarcat punctual că compania sa generează mai multe venituri de la clienții din Polonia și statele baltice decât de la clienții români, în ciuda faptului că are sediul în România și proiectează în mod specific produse pentru cerințele Europei Centrale și de Est. „Am prefera să servim cerințele de securitate națională românești”, a declarat el, „dar obstacolele instituționale pentru a face acest lucru sunt atât de substanțiale încât concentrarea pe piețele străine s-a dovedit mai practică.”
Calea de urmat: învățând din succes
Panelul de încheiere, cu Daniel Dumitrescu, Chief Innovation Officer la InnovX, și Dr. Nicolae Iancu, a încercat să sintetizeze perspectivele zilei în recomandări acționabile. Ceea ce a apărut a fost o foaie de parcurs clară, deși provocatoare, pentru reforma de securitate cibernetică românească construită pe lecțiile din succesul polonez și baltic.
Dr. Iancu a deschis recunoscând ceea ce mulți participanți se gândeau pe parcursul zilei: „Am petrecut timp considerabil astăzi discutând tehnologii impresionante și strategii sofisticate, dar am recunoscut, de asemenea, implicit că problema noastră fundamentală nu este tehnică, ci instituțională. Știm ce trebuie făcut. Polonia și statele baltice ne-au arătat modele funcționale. Provocarea noastră este dacă posedăm voința politică și flexibilitatea birocratică pentru a implementa reforme fundamentale care vor contesta interesele instituționale înrădăcinate și rutinele birocratice confortabile.”
Reformele necesare pentru ca România să dezvolte integrarea militar-civilă la nivelul Poloniei sau statelor baltice se încadrează în mai multe categorii, fiecare necesitând angajament politic susținut și persistență birocratică.
În primul rând, și cel mai fundamental, România are nevoie de legislație cuprinzătoare de securitate cibernetică care autorizează și încurajează explicit partajarea informațiilor între organizațiile militare, guvernamentale civile și din sectorul privat. Legea românească actuală conține prevederi ambigue și uneori contradictorii moștenite din perioade istorice diferite. O nouă lege-cadru ar trebui să stabilească clar că partajarea informațiilor despre amenințări cibernetice cu autoritățile guvernamentale corespunzătoare, inclusiv organizațiile militare când este relevant, este protejată legal și chiar încurajată. Legea ar trebui să specifice ce tipuri de informații pot fi partajate, să stabilească proceduri clare pentru a face acest lucru și să ofere imunitate juridică pentru organizațiile care împărtășesc informații cu bună-credință.
Legea poloneză privind securitatea cibernetică din 2019 oferă un model excelent, în special prevederile sale care stabilesc Centrul Național de Securitate Cibernetică cu autoritate care acoperă domeniile militare și civile. Legea autorizează explicit companiile din sectorul privat să împărtășească informații despre amenințări cu autoritățile guvernamentale și stabilește proceduri clare și protecții pentru a face acest lucru. Creează căi juridice pentru asistența tehnică militară către operatorii de infrastructură civilă în timpul situațiilor de urgență, menținând în același timp supravegherea democratică și protecțiile libertăților civile corespunzătoare.
România ar trebui să studieze Legea poloneză îndeaproape și să adapteze prevederile sale la cadrele constituționale și juridice românești. Legislația ar trebui să fie cuprinzătoare, înlocuind mozaicul actual de prevederi parțiale și contradictorii cu un cadru unificat pe care toți factorii interesați îl pot înțelege și se pot baza pe el. Crucial, legea ar trebui să stabilească un organism central de coordonare a securității cibernetice, modelat după Centrul Național de Securitate Cibernetică al Poloniei, cu autoritate care acoperă domeniile militare și civile și răspunzând direct prim-ministrului, mai degrabă decât fiind subordonat oricărui minister sau agenție unică.
În al doilea rând, România are nevoie de reformă fundamentală a achizițiilor pentru a permite adoptarea rapidă a tehnologiilor de securitate cibernetică de către atât organizațiile civile, cât și cele militare. Reglementările actuale de achiziții, concepute în principal pentru a preveni corupția în contractarea guvernamentală tradițională, creează obstacole în calea achiziționării capacităților de securitate cibernetică în evoluție rapidă. Până când procesele de achiziții se încheie, tehnologiile achiziționate pot fi deja depășite.
Estonia a abordat acest lucru prin reglementări de achiziții care tratează securitatea cibernetică ca o categorie specială care necesită procese accelerate și flexibilitate mai mare. Agențiile estoniene pot desfășura achiziții competitive pentru capacități de securitate cibernetică în săptămâni, mai degrabă decât în luni sau ani, cu criterii de evaluare simplificate concentrate pe eficacitatea operațională, mai degrabă decât pe conformitatea cu liste de verificare. Sistemul menține garanțiile anticorupție prin transparență și auditare post-acordare, mai degrabă decât prin procese prelungite înainte de acordare.
România ar trebui să stabilească autorități similare de achiziții cu viteză rapidă pentru securitatea cibernetică, cu criterii clare pentru când se aplică aceste autorități și mecanisme robuste de audit pentru a asigura integritatea. Critic, aceste reforme de achiziții ar trebui să se aplice în mod egal agențiilor civile și militare, permițând ambelor să achiziționeze tehnologii compatibile sau identice de la aceiași furnizori prin procese coordonate. Acest lucru ar elimina situația actuală în care organizațiile civile și militare implementează versiuni incompatibile ale tehnologiilor similare pentru că procesele de achiziții separate produc rezultate diferite.
În al treilea rând, România trebuie să creeze structuri formale pentru cooperarea civil-militară în timp de pace în securitatea cibernetică. Aceste structuri ar trebui să includă o forță de rezervă cibernetică modelată după Unitatea de Apărare Cibernetică a Estoniei, unde profesioniști civili în securitate cibernetică mențin statutul de rezervă militară și pot fi mobilizați rapid în timpul situațiilor de urgență naționale. Crearea unei astfel de forțe de rezervă ar necesita cooperare între Ministerul Apărării, Directoratul Național de Securitate Cibernetică și angajatorii majori de securitate cibernetică români.
Conceptul de rezervă oferă multiple avantaje. Oferă armatei românești acces la expertiză de vârf în securitate cibernetică care ar fi imposibil de menținut exclusiv prin personalul militar regulat. Oferă profesioniștilor civili în securitate cibernetică oportunități semnificative de a contribui la apărarea națională. Construiește relațiile personale și înțelegerea comună între comunitățile militare și civile care permit coordonarea eficientă în timpul crizelor. Și face toate acestea la un cost relativ modest, deoarece personalul de rezervă își menține angajarea și salariile civile, trăgând plată militară doar în timpul antrenamentului și mobilizării.
Dincolo de rezerve, România ar trebui să stabilească un centru permanent de coordonare civil-militară unde reprezentanți ai unităților cibernetice militare, agențiilor de securitate civile, operatorilor de infrastructură critică și companiilor majore de tehnologie lucrează împreună zilnic. Acest centru, care ar putea fi organizat în cadrul organismului propus de coordonare națională a securității cibernetice, ar servi drept întruchipare instituțională a apărării cibernetice integrate. În timp de pace, ar coordona partajarea informațiilor despre amenințări, ar desfășura exerciții comune și ar dezvolta planuri de răspuns pentru diverse contingențe. În timpul crizelor, ar servi drept centrul nervos operațional pentru apărarea cibernetică națională coordonată.
În al patrulea rând, România trebuie să își reformeze abordarea asupra autorizațiilor de securitate și clasificării informațiilor pentru a permite partajarea corespunzătoare a informațiilor, menținând în același timp secretul necesar. Practicile românești actuale, moștenite în mare parte din culturile de securitate din epoca comunistă, tind către supraclasificare și compartimentare excesivă. Informațiile care ar trebui partajate pe scară largă pentru a permite apărarea eficientă sunt în schimb restricționate atât de strâns încât chiar și organizațiile care au nevoie de ele nu pot să le acceseze.
Statele baltice au dezvoltat sisteme de clasificare și autorizare optimizate pentru partajarea informațiilor, mai degrabă decât pentru restricționarea informațiilor. Estonia în special a fost pionier al sistemelor de control al accesului granulare unde indivizii primesc acces la categorii specifice de informații pe baza nevoii operaționale, mai degrabă decât primind niveluri largi de autorizare care acordă fie prea mult acces, fie prea puțin. Aceste sisteme, implementate pe platforme digitale moderne, permit partajarea mult mai flexibilă a informațiilor decât abordările tradiționale de clasificare, menținând în același timp securitatea prin urmăriri de audit cuprinzătoare care urmăresc tot accesul la informații sensibile.
România ar trebui să studieze aceste sisteme baltice și să dezvolte abordări similare. Scopul ar trebui să fie permiterea profesioniștilor în securitate cibernetică din companii civile și agenții guvernamentale să acceseze informațiile despre amenințări de care au nevoie pentru a-și apăra rețelele, chiar și atunci când acele informații provin din surse militare sau de informații clasificate. Tehnologia modernă permite acest lucru prin sanitizare atentă a datelor, controale de acces și auditare. Ceea ce este necesar este voința instituțională de a prioritiza eficacitatea defensivă în detrimentul secretului reflexiv.
În al cincilea rând, România trebuie să investească sistematic în educația și formarea în securitatea cibernetică care pregătește profesioniști să lucreze peste granițele militar-civile. Educația actuală românească în securitate cibernetică tinde să producă absolvenți instruiți fie pentru roluri tehnice civile, fie pentru serviciul militar, dar rareori pentru ambele. Acest lucru creează rigiditate a forței de muncă care întărește separarea instituțională.
Universitățile poloneze au dezvoltat curricule integrate de securitate cibernetică care includ module atât despre aplicații civile, cât și militare. Studenții învață nu doar abilități tehnice, ci și cadrele juridice, conceptele operaționale și culturile organizaționale atât ale securității cibernetice civile, cât și militare. Absolvenții pot urma cariere în companii private, agenții guvernamentale civile sau serviciu militar cu încrederea că educația lor se aplică tuturor căilor. Acest lucru creează flexibilitate a forței de muncă care permite mișcare mai ușoară între sectoare și întărește baza generală de talente.
România ar trebui să lucreze cu universitățile sale pentru a dezvolta curricule integrate similare. Ministerul Apărării, Directoratul Național de Securitate Cibernetică și companiile majore românești de securitate cibernetică ar trebui să definească împreună cerințele de competență și să sprijine dezvoltarea curriculei. Agențiile guvernamentale și companiile ar trebui să ofere stagii și oportunități de educație cooperativă care expun studenții la atât medii civile, cât și militare.
În al șaselea rând, România are nevoie de exerciții și antrenament susținut care aduc profesioniști militari și civili în securitate cibernetică împreună. Statele baltice și Polonia desfășoară exerciții majore de apărare cibernetică de mai multe ori pe an, cu participarea de la unități militare, agenții guvernamentale, operatori de infrastructură critică și companii din sectorul privat. Aceste exerciții servesc mai multor scopuri: testează planurile și capacitățile de răspuns, identifică golurile și slăbiciunile, construiesc relații personale între indivizii cheie și creează experiență comună și limbaj comun peste granițele organizaționale.
România desfășoară unele exerciții de apărare cibernetică, dar mult mai puțin frecvent și cu participare mai puțin cuprinzătoare.
Extinderea și intensificarea acestui program de exerciții ar trebui să reprezinte o prioritate. Exercițiile ar trebui să simuleze scenarii realiste care implică atacuri simultane asupra mai multor sectoare, necesitând coordonarea între numeroase organizații. Acestea ar trebui să includă atât elemente tehnice, cât și strategice, testând nu doar capabilitățile tehnologice, ci și procesele decizionale și coordonarea interinstituțională. De asemenea, ele ar trebui urmate de evaluări post-acțiune riguroase, care să identifice lecțiile învățate și să stimuleze îmbunătățirea continuă.
În al șaptelea rând, România ar trebui să creeze parteneriate de inovare între instituțiile de cercetare, companiile private și agențiile de apărare. Decuplarea actuală dintre cercetare și implementarea operațională reprezintă o risipă masivă a investițiilor naționale în cercetarea în domeniul securității cibernetice. Polonia și statele baltice se asigură că cercetarea răspunde cerințelor operaționale încă de la început, prin implicarea utilizatorilor finali pe tot parcursul procesului de cercetare.
România ar trebui să instituie programe formale, posibil organizate prin organismul național de coordonare în securitate cibernetică propus, care să reunească cercetători, companii și utilizatori guvernamentali finali pentru a identifica cerințele prioritare, a finanța cercetarea colaborativă și a crea trasee pentru prototiparea rapidă și implementarea inovațiilor promițătoare. Agențiile de apărare ar trebui să acționeze ca parteneri de design și adoptatori timpurii ai inovațiilor românești în securitate cibernetică, oferind atât feedback tehnic, cât și venituri inițiale din postura de prim client, care să ajute companiile românești să se scaleze.
În al optulea rând, România are nevoie de integrare diplomatică și internațională care să poziționeze țara ca un partener serios în domeniul securității cibernetice în cadrul NATO și al UE. Polonia și, mai ales, statele baltice au câștigat o influență în politicile internaționale de securitate cibernetică mult peste ceea ce ar sugera dimensiunea lor, în mare parte pentru că au demonstrat capabilități eficiente și leadership intelectual. Această recunoaștere internațională consolidează eforturile de reformă internă și oferă acces la capabilități și informații ale aliaților.
România ar trebui să se implice mai activ în inițiativele NATO și ale UE în domeniul securității cibernetice, oferindu-se să găzduiască exerciții internaționale, contribuind cu personal la structurile aliate de apărare cibernetică și participând la elaborarea politicilor de apărare colectivă. Profesioniștii români din domeniul securității cibernetice ar trebui încurajați să prezinte la conferințe internaționale și să publice în publicații de prestigiu internațional. Țara ar trebui să se poziționeze ca o punte între abordările vest-europene și est-europene în materie de securitate cibernetică, valorificându-și poziția geografică și experiența istorică.
În al nouălea rând, și poate cel mai dificil, România are nevoie de o schimbare culturală în interiorul instituțiilor guvernamentale pentru a depăși rezistența birocratică la integrare. Fiecare reformă menționată mai sus se va confrunta cu opoziția organizațiilor confortabile cu aranjamentele actuale, a funcționarilor care percep schimbul de informații drept o pierdere de putere și a oficialilor aversi la risc, care preferă o inadecvare familiară unei incertitudini inovatoare.
Depășirea acestei rezistențe necesită leadership politic susținut la cel mai înalt nivel. Prim-ministrul și Președintele trebuie să facă din reforma securității cibernetice o prioritate și să îi împuternicească pe reformatori să conteste interesele înrădăcinate. Miniștrii trebuie trași la răspundere pentru progresele realizate în eliminarea barierelor și construirea cooperării. Politicile de personal trebuie să recompenseze colaborarea și să penalizeze gândirea parohială. Mesajul trebuie să fie consecvent și susținut: securitatea cibernetică necesită integrare, integrarea necesită schimbare instituțională, iar rezistența la schimbarea necesară amenință securitatea națională.
În final, România trebuie să recunoască faptul că aceste reforme necesită investiții semnificative, dar justificate. Construirea unor capabilități la nivelul Poloniei sau al statelor baltice nu se va realiza prin realocarea resurselor existente. Este nevoie de finanțare suplimentară pentru achiziția de tehnologie, angajarea și formarea personalului, programe de exerciții, parteneriate de cercetare și angajament internațional. Totuși, această investiție ar trebui privită nu ca un cost, ci ca o cheltuială esențială de securitate, care protejează o valoare economică mult mai mare și interesele de securitate națională.
Polonia cheltuie aproximativ 0,25% din PIB pentru securitate cibernetică, incluzând atât programele civile, cât și cele militare. Estonia cheltuie chiar mai mult raportat la dimensiunea economiei sale. România cheltuie în prezent mai puțin de jumătate din aceste niveluri. Creșterea investițiilor în securitate cibernetică pentru a atinge nivelul Poloniei ar necesita majorări bugetare substanțiale, dar nu imposibile. Având în vedere economia României în creștere și provocările de securitate tot mai mari, aceasta reprezintă un angajament realizabil și necesar.
Întrebările nerostite
Pe măsură ce conferința s-a încheiat și participanții au plecat în seara rece de ianuarie, mai multe întrebări critice pluteau în aer, discutate în șoaptă pe holuri, dar niciodată abordate pe deplin în sesiunile oficiale.
Va exista oare un angajament real al conducerii politice românești față de reformele cuprinzătoare necesare pentru a construi capabilități integrate de apărare cibernetică? Comunitatea tehnică înțelege ce trebuie făcut. Rezistența birocratică este formidabilă, dar nu insurmontabilă dacă este confruntată cu voință politică susținută. Întrebarea este dacă clasa politică din România va acorda securității cibernetice o prioritate suficientă pentru a impulsiona reforme instituționale dificile, în pofida rezistenței previzibile.
Își poate permite România să amâne aceste reforme în timp ce amenințările geopolitice continuă să se intensifice? Fiecare lună care trece cu o apărare cibernetică fragmentată și necoordonată reprezintă o vulnerabilitate suplimentară pe care adversarii o pot exploata. Amenințarea rusă nu este ipotetică și nu se diminuează. Întrebarea nu este dacă România își va integra în cele din urmă capabilitățile de securitate cibernetică militare și civile, ci dacă o va face proactiv, prin reforme planificate, sau reactiv, în urma unui incident catastrofal care va expune costurile disfuncționalității continue.
Vor demonstra instituțiile românești capacitatea de reformă fundamentală pe care o presupune succesul polonez și baltic? Statele baltice beneficiază de instituții relativ noi, construite în mare parte de la zero după recâștigarea independenței în 1991. Polonia a întreprins reforme instituționale cuprinzătoare după aderarea la NATO și UE. România se confruntă cu provocarea reformării unor instituții cu rădăcini istorice mai adânci și culturi birocratice mai rigidizate. Întrebarea este dacă instituțiile românești dispun de suficientă flexibilitate pentru o schimbare transformatoare, și nu doar incrementală.
Aceste întrebări nu vor primi răspuns prin conferințe sau studii, ci prin acțiuni concrete în lunile și anii următori. Direcția de urmat este clară. Polonia și statele baltice au demonstrat că integrarea civil-militară eficientă în domeniul securității cibernetice este realizabilă, chiar și pentru țări care se confruntă cu amenințări severe și constrângeri de resurse. Ceea ce rămâne incert este dacă România va avea curajul instituțional de a urma acest drum.
Așa cum a remarcat profesorul Raicu în discursul său de încheiere: „Știm cum arată succesul pentru că îl vedem la vecinii noștri. Știm costurile eșecului continuu pentru că le trăim zilnic, în sisteme compromise și oportunități ratate. Ceea ce ne trebuie acum nu este mai multă analiză, ci acțiune decisivă. Întrebarea din fața noastră nu este ce trebuie făcut, ci dacă vom face cu adevărat.”
Această întrebare rămâne deschisă pe măsură ce România intră într-un mediu strategic tot mai periculos, cu capabilități de apărare cibernetică care, deși se îmbunătățesc incremental, rămân cu mult în urma atât a amenințărilor cu care se confruntă, cât și a capabilităților demonstrate de cei mai performanți vecini ai săi. Anii care vin vor arăta dacă recunoașterea sinceră a disfuncționalităților, manifestată la această conferință, se va traduce în reformele fundamentale necesare pentru a construi o apărare cibernetică națională cu adevărat integrată sau dacă inerția instituțională și rezistența birocratică vor continua să împiedice România să își mobilizeze pe deplin considerabilele capabilități tehnice în slujba securității naționale.
Miza nu ar putea fi mai mare. Într-o eră în care marile conflicte includ tot mai des operațiuni cibernetice ca elemente principale, și nu doar de sprijin, capacitatea României de a se apăra depinde nu doar de echipamente militare sau de angajamentele alianțelor, ci de eficiența apărării sale digitale. Această apărare, la rândul ei, depinde de integrarea fără sincope a capabilităților militare, a resurselor guvernamentale civile, a expertizei sectorului privat și a inovației din cercetare. Până când România nu va construi cadrele instituționale care să permită această integrare, securitatea sa cibernetică va rămâne fragmentată, vulnerabilă și inadecvată provocărilor unei lumi din ce în ce mai periculoase.
© 2026 George V. Scripcariu. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorului.
Lasă un răspuns