Cine păzește România când statul doarme?

Apărarea hibridă nu se mai face doar cu generali, ci și cu directori de companii. Fiindcă războiul hibrid nu mai este o ipoteză de manual, o sperietoare de conferință sau o temă pentru generali plictisiți. Este starea permanentă a lumii în care trăim.

Se poartă zilnic, pe sub masă, prin atacuri cibernetice, sabotaje, incendii suspecte, drone care adulmecă infrastructura critică, campanii de dezinformare, presiuni economice și lovituri mici, dese, gândite să nu declanșeze războiul clasic, dar să roadă statul pe dinăuntru.

Iar aici apare marea problemă: statul nu mai păzește singur țara.

O bună parte din infrastructura fără de care România se oprește — energia, telecomunicațiile, băncile, transporturile, porturile, logistica, spitalele, rețelele digitale — este administrată de companii private.

Dacă ele sunt atacate, nu suferă doar bilanțul unei firme. Suferă țara.

Se stinge lumina, pică sistemele, se blochează plățile, se oprește comunicarea, se instalează panica.

De aceea, apărarea împotriva atacurilor hibride nu mai poate rămâne o treabă exclusivă a statului, închisă între instituții, servicii, ministere și comunicate liniștitoare.

România are nevoie de un parteneriat real, permanent și matur între stat și mediul privat.

Războiul care nu mai declară război

Atacurile hibride au o calitate perversă: nu vin cu uniformă. Nu au neapărat tancuri, avioane, declarații oficiale sau hărți cu săgeți roșii.

Pot arăta ca o pană de curent.

Ca un atac cibernetic asupra unui spital.

Ca o rețea de dezinformare care inflamează populația înainte de alegeri.

Ca drone care se plimbă suspect pe lângă infrastructură critică.

Ca incendii în depozite.

Ca sabotaj la cabluri.

Ca presiune economică.

Ca blocaje în porturi.

Ca scurgeri de date.

Ca o campanie „spontană” online care, ce să vezi, se mișcă mai organizat decât statul român într-o zi bună.

Țintele reale sunt deja în afara gardului statului

Marea noutate nu este că state ostile încearcă să provoace haos. Asta se întâmplă de când lumea. Marea noutate este că multe dintre țintele reale nu mai sunt direct în mâna statului.

Energia este operată în bună parte de companii.

Telecomunicațiile, la fel. Băncile, distribuția, infrastructura digitală, logistica, platformele de date, cloud-ul, transporturile, porturile, lanțurile de aprovizionare — toate sunt zone în care privatul poate vedea primul semnalul de pericol.

Statul are informații, servicii, instituții, autoritate.

Companiile au senzori reali în teren, date operaționale, oameni în instalații, echipe tehnice, clienți, rețele și contact direct cu vulnerabilitatea.

Separat, fiecare vede doar o bucată din tabloul mare. Împreună, ar putea vedea imaginea completă.

Nu poți apăra țara doar cu ștampilă, secret și comunicat

România nu este o insulă fericită, protejată de ironia istoriei.

Suntem la granița războiului din Ucraina, avem port strategic la Marea Neagră, infrastructură energetică importantă, conducte, cabluri, centrale, rețele electrice, depozite, rafinării, aeroporturi, baze militare, spitale, bănci și instituții publice digitalizate pe jumătate.

În plus, România are o slăbiciune veche: statul nostru este foarte bun la ceremonii și foarte prost la coordonare.

Instituții avem. Reflexe rapide, mai puțin

Avem instituții. Avem strategii. Avem comitete. Avem legi. Avem acronime. Avem oameni serioși în multe zone tehnice.

Când apare criza, se vede imediat boala de fond:

fiecare instituție își păzește bucățica, comunicarea merge greu, responsabilitatea se evaporă, iar cetățeanul află din comunicate că „situația este sub control” exact în clipa în care situația începe să semene a găină decapitată.

Apărarea hibridă nu se poate face doar prin comunicate ale statului.

Nu poți cere companiilor să raporteze, dar să nu le spui niciodată ce pericole vezi.

Nu poți cere reziliență economică, dar să tratezi mediul privat ca pe un furnizor suspect, bun doar când plătește taxe.

Modelul suedez: apărare totală, nu apărare teatrală

Suedia a făcut un lucru simplu și tocmai de aceea inteligent: a pus la aceeași masă statul și liderii celor mai importante companii.

Nu pentru poze.

Nu pentru „consultări” din acelea în care toată lumea vorbește și nimeni nu ascultă. Ci pentru coordonare de securitate națională.

Ideea suedeză pleacă de la conceptul de apărare totală: societatea întreagă contează.

Nu doar armata. Nu doar serviciile. Nu doar ministerele.

Și companiile. Și infrastructura civilă. Și oamenii care țin economia funcțională în caz de criză.

Nu ne trebuie încă un mastodont cu siglă

România nu trebuie să inventeze o roată cosmică.

Nu trebuie creată o instituție monstru, cu cinci secretari de stat, șapte directori adjuncți și un buget cât pentru asfaltarea unei galaxii.

Ar fi suficient, măcar la început, un Consiliu național pentru reziliență hibridă, în care să existe reprezentanți ai statului și ai companiilor esențiale: energie, telecom, bănci, transporturi, porturi, sănătate, IT, cloud, logistică, apărare, distribuție.

Un organism restrâns, serios, cu întâlniri regulate, reguli de confidențialitate, canale rapide de alertă și obligații clare.

Nu o sindrofie. Nu încă o poză cu oameni îmbrăcați în costume în fața unui steag.

Ce ar trebui să schimbe România

În primul rând, statul trebuie să înțeleagă că informația utilă nu circulă doar de sus în jos.

Uneori primul care vede ceva straniu este tehnicianul unei companii de energie, administratorul unei rețele, un operator dintr-un port, o bancă sau un spital atacat informatic la trei dimineața.

În al doilea rând, companiile trebuie tratate ca parteneri de securitate, nu ca elevi obraznici chemați la tablă.

Parteneriatul trebuie să vină cu standarde, obligații, exerciții comune și sancțiuni acolo unde cineva se joacă de-a securitatea pe infrastructură critică.

Crizele nu se rezolvă cu „vedem atunci”

România are nevoie de exerciții reale, nu de simulări decorative.

Ce se întâmplă dacă un atac cibernetic lovește simultan un operator de energie și o instituție publică?

Cine sună pe cine? Cine decide? Cine comunică public? Cine oprește panica? Cine verifică dacă nu avem sabotaj fizic în același timp?

Dacă răspunsul este „vedem atunci”, atunci nu avem apărare hibridă. Avem eterna improvizație patriotică.

România are baza legală. Îi lipsește reflexul

Partea bună este că România nu pornește chiar de la zero.

Există deja un cadru european mai dur în zona securității cibernetice, prin directiva NIS2. Există DNSC. Există obligații pentru entitățile din sectoare critice.

Partea proastă este că la noi legea ajunge frecvent să fie confundată cu realitatea.

Faptul că ai cadru legal nu înseamnă că ai sistem funcțional.

Faptul că ai instituție nu înseamnă că ai coordonare.

Faptul că ai procedură nu înseamnă că ai reacție rapidă.

De la hârtie la reflex

România trebuie să treacă de la hârtie la reflex.

De la „vom analiza” la „am activat protocolul”.

De la „autoritățile competente monitorizează” la „știm cine face ce, în ce ordine și cu ce informații”.

Într-un atac hibrid, timpul este esențial.

O oră pierdută poate însemna o rețea căzută, un spital blocat, un port paralizat, o panică publică sau o vulnerabilitate exploatată în lanț.

Marele obstacol românesc: neîncrederea

Cel mai greu lucru în România nu este să faci o instituție.

Instituții facem ușor. Le botezăm frumos, le umplem cu oameni, le punem siglă, site și comunicate.

Problema este să faci o instituție care funcționează.

Parteneriatul stat-privat în securitate hibridă se lovește de o problemă mare: neîncrederea.

Statul nu prea are încredere în companii.

Companiile nu prea au încredere în stat.

Serviciile nu vor să spună mai mult decât consideră strict necesar.

Firmele se tem că, dacă raportează vulnerabilități, vor primi controale, amenzi sau scurgeri de informații…

Încrederea nu se proclamă, se testează

Asta trebuie spart.

Nu prin discursuri despre „unitate”. Ci prin proceduri clare, canale sigure, protecție legală pentru raportare, clasificare inteligentă a informației, oameni profesioniști și testare repetată.

În securitate, încrederea nu se proclamă. Se construiește înainte de dezastru, nu după.

Mai puțină paradă, mai multă procedură

Un asemenea mecanism trebuie să fie mic, tehnic, flexibil și serios.

Cu oameni care chiar au ce spune.

Cu reprezentanți ai companiilor care gestionează infrastructură critică reală.

Cu linii rapide de comunicare. Cu obligații clare de raportare. Cu feedback din partea statului. Cu exerciții comune. Cu scenarii neplăcute, nu cu povești optimiste.

Asta înseamnă apărare modernă: nu să repeți că ești pregătit, ci să verifici cât de nepregătit ești.

Statul nu mai poate păzi singur cetatea

Vechea imagine a statului-paznic, cu caschetă, lanternă și ștampilă, nu mai funcționează.

Cetatea modernă nu mai are ziduri.

Are servere, cabluri, senzori, porturi, aplicații, transformatoare, spitale conectate, rețele electrice, cloud, bănci și telefoane mobile.

Iar multe dintre aceste porți sunt administrate de privați.

Asta nu slăbește statul. Dimpotrivă.

Un stat inteligent nu se teme să coopereze cu cei care țin țara în mișcare. Un stat inteligent nu confundă controlul cu competența.

Întrebarea nu este dacă vine criza, ci cât de repede o înțelegem

România poate face pasul acesta.

Are motive, are obligații, are oameni și are exemple. Întrebarea este dacă are și luciditate.

Fiindcă atacurile hibride nu vor aștepta ca noi să ne terminăm ședințele.

Vor veni exact pe acolo pe unde suntem mai comozi, mai rupți între instituții și mai convinși că „nouă nu ni se poate întâmpla”.

Și atunci vom descoperi, iarăși, că statul român are planuri pentru orice, mai puțin pentru clipa în care realitatea începe să le testeze.