Sari direct la conținut

Piața liberă, sandwich între noul Centru European și ambițiile CERT-RO

Contributors.ro
Dan Tofan, Foto: Arhiva personala
Dan Tofan, Foto: Arhiva personala

E mult tumult în România, în ultimele luni, în zona securității cibernetice. Decizia Comisiei Europene de găzduire a Centrului European de Competențe Industriale, Tehnologice și de Cercetare în materie de Securitate Cibernetică la București a stârnit multă vâlvă, poate mai multă decât trebuia. Evenimentele online s-au înmulțit dintr-o dată, iar discuțiile triumfaliste au luat locul celor tehnice explicând succesul inegalabil al României în această speță.

Totuși mica „bulă” creată în jurul acestui succes nu ajută la înțelegerea substanțială a rolului nou venitului centru și la magnitudinea impactului pentru România. Totodată, alte priorități precum stadiul implementării Legii NIS sau înființarea noului Directorat Național de Securitate Cibernetică, rămân în planul doi al discuțiilor, și implicit al deciziei politice.

Scopul acestui articol este să încerce să clarifice ce se întâmplă în aceste zone și să sublinieze câteva neajunsuri, care odată atacate pot duce la îmbunătățiri substanțiale ale ecosistemului de securitate cibernetică din România.

Centrului European de Competențe Industriale, Tehnologice și de Cercetare

În primul rând, felicitări tuturor celor implicați! Negocierea găzduirii unei agenții (de fapt, centru) europene în România este într-adevăr o mare realizare.

Totuși, deși mesajele autorităților aduc în sfera publică conținutul corect, publicul larg nu are încă idee despre ce anume înseamnă noul centru european. Așadar, țin să subliniez și eu câteva aspecte esențiale, care să lămurească scopul acestui centru și potențialul impact asupra României.

În primul rând, centrul este o instituție europeana, finanțată de la bugetul Comisiei Europene, ce va activa pe teritoriul României. Probabil va avea statut diplomatic, iar tot personalul ar trebui să fie încadrat pe măsură. Sarcina statului român este de a furniza locația (prin plata chiriei aferente, sau achiziție) și a asigura tot suportul logistic pentru desfășurarea activităților. NU va putea, însă, să intervină în modul în care acest centru își va desfășura activitatea. Centrul va fi condus, probabil, de un director executiv ce va raporta unui Management Board, care va avea membri din toate țările UE, sau cel puțin cele ce contribuie financiar la fondurile centrului. Mai multe detalii aici.

De asemenea, toate angajările vor fi desfășurate prin intermediul Comisiei Europene, cel mai probabil prin serviciile EPSO, până centrul va fi capabil să-și organizeze propriul proces de angajare (estimez minim un an până se va întâmpla asta). Așadar, angajările vor fi deschise tuturor europenilor și vă pot asigura că se va dori o diversitate cât mai mare. Scenariul în care majoritatea posturilor vor fi ocupate de români este exclus. Centrul va avea până la 60 de angajați, dar vor începe cu aprox. 20.

Cât despre ce anume va face centrul, activitățile nu sunt încă definite clar prin niciun act normativ european. Încă se lucrează la statutul centrului. Totuși, ne putem face o idee din diversele comunicate de presă existente în momentul de față. Din acest comunicat de presă, aflăm că ”centrul de competențe în materie de securitate cibernetică va îmbunătăți coordonarea cercetării și a inovării în domeniul securității cibernetice în UE. Acesta va fi, de asemenea, principalul instrument al UE de punere în comun a investițiilor pentru cercetarea și dezvoltarea tehnologică și industrială în domeniul securității cibernetice”. Așadar, va fi echivalentul unei autorități de management pentru fonduri europene în securitate cibernetică, la nivel european. Asemenea activități se fac deja de ceva vreme, la nivelul Comisiei Europene, dar la o scară mult mai mică și nu prin agenții dedicate. Astfel, programe precum Horizon 2020 sau CEF Telecom, sunt gestionate de INEA (alături de alte structuri), al cărui principal scop este alocarea fondurilor europene existente în aceste programe. Ultima rundă de finanțare pentru intervențiile dedicate securității cibernetice în cadrul CEF Telecom este în desfășurare, urmând ca alocarea fondurilor pentru 2021, în cuantum de 10,5 mil. EURO, să fie anunțată în primăvara-vara acestui an. 10,5 milioane de EURO, pentru o Europă întreagă, este foarte puțin. De asemenea, pentru cei interesați, pot adăuga că, în general, numărul de aplicanți/proiecte din România este foarte scăzut. INEA nu are experți în securitate cibernetică angajați, ci lucrează cu experți externi pentru evaluarea proiectelor.

Revenind la oile noastre, rolul noului centru de la București, va fi probabil să administreze o sumă considerabil mai mare (2 miliarde Euro) fonduri europene dedicate zonei de securitate cibernetică, prin activități de tipul: stabilirea regulilor de accesare a fondurilor, desfășurarea competițiilor, semnarea și urmărirea contractelor, alocarea fondurilor etc. Activitățile noului centru se vor încadra mai mult în categoria de project management. Este foarte puțin probabil ca noul centru să desfășoare activități de cercetare-dezvoltare sau operaționale, având în vedere că există alte instituții UE cu asemenea atribuții (ex: ENISA, JRC etc).

Beneficiile majore ale României, pe lângă cele de imagine, sunt:

  • Faptul că va avea acest nou centru aproape (apropierea de sursă poate facilita obținerea finanțării și oferă posibilitatea influențării politicii europene în acest domeniu, acest aspect nefiind un ”dat” ci mai degrabă bazându-se pe iscusința guvernului si probabil a CERT.RO de a negocia și ”profita” de proximitatea fizică);
  • câștigarea câtorva locuri de muncă (ce pe parcurs pot deveni strategice în domeniu);
  • Industria poate deveni dintr-o dată mult mai interesată în a deschide prezențe fizice în România. În orice caz, totul depinde de cum ne jucăm cartea de acum înainte.

Ca o paralelă, plasarea ENISA în Grecia, nu a facilitat în mod deosebit dezvoltarea industriei locale de securitate cibernetică, deși ENISA era inițial plasată într-un parc tehnologic, și nici nu a propulsat Grecia ca un mare jucător pe zona de securitate cibernetică, la nivel internațional. Așadar, depinde mult de cum ne jucăm șansa. Valorificarea prezenței acestui centru în România se poate face numai dacă ecosistemul de securitate cibernetică național (instituții publice, companii, universități și centre de cercetare, ONG-uri etc.) devine destul de matur și capabil de a absorbi noile fonduri și de a le folosi pentru a fermenta, dând naștere unei piețe locale puternice la nivel global.

Legea NIS

Pe baza Legii NIS (transpunerea directivei NIS în România), se va clădi ecosistemul de securitate cibernetică din România, mulți ani de acum înainte. Este legea ce practic ar trebui să pune bazele unei dezvoltări sustenabile a industriei cyber.

În momentul de față sunt deja publicate o serie de acte subsecvente, ce oferă detalii suplimentare cu privire la implementare legii. Situația la zi a actelor normative publicate în domeniu este:

  • Legea NIS, publicată în 28.12.2018, cadrul legal pentru transpunerea directivei NIS în România.
  • ORDIN 599/2019 privind aprobarea Normelor metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale, act normativ ce practic detaliază procesul de identificare al OSE.
  • ORDIN 600/2019 privind aprobarea Normelor metodologice de organizare și funcționare a Registrului operatorilor de servicii esențiale (OSE), descrie practic un cap de tabel ce constituie Registrul OSE, precum și procedurile de utilizare a acestuia, înscrierea, modificarea, radierea și protecția informațiilor.
  • ORDIN 601/2019 pentru aprobarea Metodologiei de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale. Practic, prin acest act normativ (alături de H.G. 976/2020) impune realizarea unei analize la nivelul OSE pentru a determina dacă operatorul furnizează servicii esențiale, urmând a se supune reglementărilor CERT.RO în termen de cerințe de securitate minime precum și raportare incidente.
  • H.G. 976/2020 referitoare la aprobarea valorilor de prag pentru stabilirea efectului perturbator semnificativ al incidentelor, care practic stabilește pragurile utilizate pentru a determina dacă un incident este semnificativ (ex. producători energie electrică, cu putere instalată mai mare de 20 MW). Se folosește împreună cu Ordinul 601 pentru a determina dacă serviciul oferit este esențial. Informațiile din cele două acte normative sunt ”ușor” redundante…
  • H.G. 963/2020, pentru aprobarea listei serviciilor esențiale, reprezentând o listă generică de servicii considerate esențiale (dar numai după aplicarea Ordinului 601 și a HG 976) pe fiecare sector în parte.
  • ORDIN SGG 1323/2020 alături de anexa tehnică, reprezentând o listă lungă de cerințe minime pentru OSE.

O parte din aceste documente le regăsiți pe pagina CERT.RO, dar nu toate, așa cum ar fi firesc. Și spun asta pentru că, după cum observați, lista actelor normative ce trebuie studiate nu este deloc scurtă, iar problematica nu este deloc ușoară.

Pe scurt, dacă ești operator esențial (OSE), definit conform HG 963/2020 (ex: furnizor de apă potabilă îmbuteliată – K16), va trebui să te supui unor cerințe destul de exigente din partea CERT.RO, începând cu înregistrarea în Registrul OSE, stabilirea efectului perturbator al incidentelor (ex: dacă volumul de recipiente îmbuteliate este mai mare decât 1 mil. recipiente/an), implementarea măsurilor minime și raportarea incidentelor de securitate cu impact semnificativ.

Ca un prim pas, înregistrarea în Registrul OSE se face prin notificarea CERT.RO și doar după prezentarea unui raport de audit care atestă îndeplinirea cerințelor minime de securitate, realizat de către un auditor atestat CERT.RO. Nu am văzut până acum o listă a auditorilor atestați, deci deduc că momentan acest proces este blocat. Nu am văzut nici vreo comunicare a CERT.RO despre câți OSE ar fi fost înregistrați până în acest moment, dar totuși îmi vine greu să cred că nimeni nu s-a înregistrat. Totodată, nu am văzut nicio estimare despre câți OSE și furnizori de servicii digitale ar putea fi la nivel național și câți pe fiecare sector în parte. Sunt de acord că unele informații despre OSE-uri ar putea fi considerate clasificate, dar o astfel de estimare statistică este esențială în elaborarea/fundamentarea oricăror politici publice în domeniu. Totuși, ceea ce mă nedumerește cel mai mult este de ce oare este condiționată includerea unui OSE în Registru, de implementarea cerințelor minime. Nu era mai corect ca OSE să fie înregistrați și apoi autoritatea națională să monitorizeze cumva procesul de implementare a măsurilor?

Astfel, înainte de a ajunge în Registru, OSE trebuie să treacă la treabă. Ordinul SGG 1323/2020 oferă foarte multe detalii despre măsurile minime ce trebuie implementate. Sunt 36 de cerințe stufoase, împărțite în 4 domenii mari (guvernanță, protecție, apărare cibernetică, reziliență). Cerințele sunt foarte vagi, redundante, lăsând însă multe lucruri esențiale la latitudinea OSE (ex: măsura B16 protecția malware – OSE va stabili măsuri de protecție malware și va implementa mijloace de control pentru detecția, prevenirea și recuperarea informației în scopul protecției împotriva atacurilor malware). Limbajul folosit în Ordin este ușor arhaic și greoi, documentul conține prea multe abrevieri (aproximativ 71), făcându-l foarte greu de citit. Din păcate nu este o exagerare când spun că majoritatea celor 71 de abrevieri reprezintă fiecare câte o mini procedură ce trebuie elaborată la nivelul OSE. Apreciez acest nivel de supra-procedurare și documentare a măsurilor cel puțin ca inadecvat pentru un mediu de lucru specific zonei IT, în special când vorbim de securitate cibernetică, unde lucrurile sunt foarte dinamice. Practic, fiecare OSE are nevoie de personal special angajat doar pentru întreținerea documentației și adaptarea acesteia la situațiile curente ce pot modifica arhitectura sistemului sau riscurile aferente. Mă gândesc dacă nu cumva ar fi fost mai bine să avem o lista scurtă și la obiect de cerințe clare, care să nu lase prea mult loc de interpretare, și care să ducă la asigurarea efectivă a unui nivel minim de securitate cibernetică. Dat fiind faptul că suntem în pandemie, mă tot duc cu gândul la spitale, categorie de instituții care este catalogată în bloc drept OSE. Este foarte puțin plauzibil ca un spital românesc, care suferă cel mai probabil de lipsă de personal și fonduri, să poată face față unui set de cerințe într-atât de amplu.

Totuși, deși cerințele sunt vagi, reiese în mod clar necesitatea adoptării unui set minim de soluții precum: firewall, protecție antivirus, sistem detecție intruziuni (IDS) si autentificare în doi factori pentru sistemele critice.

Per total, întregul proces la care trebuie să se supună OSE-urile este foarte complex și necesită multă planificare și răbdare. O astfel de situație (complexitate, neclaritate, lipsă resurse, lipsă cunoștințe) reprezintă rețeta unui mic dezastru, în care OSE-urile vor încerca să atingă conformitatea, dar doar pe hârtie, situație ce nu va avea un impact benefic real în termeni de securitate cibernetică. Toți operatorii vor fi presați să își îndrepte resurse către redactarea documentelor necesare, în detrimentul implementării propriu-zise a măsurilor aferente.

Ce aș sugera:

  • Simplificarea proceselor! Sunt convins că revizuirea actelor normative deja publicate, este improbabilă, dacă nu imposibilă. Deja a durat mult prea mult ca acestea să fie adoptate. Totuși, CERT.RO poate scoate un ghid simplificat, cu descrierea pe scurt a pașilor ce trebuie urmați de operatori, un set de răspunsuri la întrebări frecvente, exemple practice pentru anumite măsuri de securitate, etc, în ideea de a veni mai mult în întâmpinarea operatorilor.
  • Mai multă deschidere și comunicare pe această temă, dar cu focus pe esențial! Deși CERT.RO are destul de multe ieșiri publice, rareori am asistat la discuții concrete despre stadiul implementării legii NIS. Un singur workshop, cel adresat spitalelor, în colaborare cu grupul de voluntari CV19 pare să fi avut o abordare mai pragmatică. Sincer să fiu, la ce probleme au ridicat spitalele în acel workshop, îmi este foarte greu să cred că acestea vor fi în stare să implementeze orice fel de măsură în viitorul apropiat. Totuși, pe lângă spitale mai sunt și alte categorii de operatori esențiali iar CERT.RO trebuie să înceapă să îi ”împingă de la spate”.
  • Identificarea potențialelor surselor de finanțare europene pentru operatori. Mi se pare crucial ca Guvernul României, prin structurile aferente, cu ajutorul CERT.RO să aloce fondurile necesare pentru implementarea măsurilor necesare de către operatori. În primii ani, operatorii nu vor avea resursele necesare pentru astfel de proiecte, iar un ajutor în acest sens va fi binevenit. Securitatea cibernetică trebuie să reprezinte o pondere mai mare din totalul fondurilor europene disponibile României.
  • Încurajarea formării unei piețe de securitate la nivel național. Deși în momentul de față, există specialiști în securitate cibernetică la nivel național, nu aș spune că piața de securitate cibernetică este matură. Avem câteva firme etalon, dar care livrează mult în străinătate și o mică brigadă de specialiști în multinaționale. Dar cererea de servicii din partea companiilor românești lipsește. Piața de securitate cibernetică trebuie formată la nivel național, pentru că altfel, nu va avea cine să implementeze măsurile. Furnizorii privați de servicii de securitate cibernetică vor deveni esențiali în implementarea legii NIS. Să nu cumva să credem că ar putea fi altfel.

    Citeste intreg articolul si comenteaza pe Contributors.ro

ARHIVĂ COMENTARII
INTERVIURILE HotNews.ro