Securitatea cibernetica a Romaniei: O strategie nationala, in dezbatere publica/ Un centru national de raspuns la incidente informatice s-ar lansa pe 20 iunie
In Romania a fost adoptata Hotararea de Guvern privind infiintarea si functionarea CERT (Centrul national de raspuns la incidente de securitate cibernetica), iar in prezent se fac eforturi pentru operationalizarea acestei unitati, a declarat vineri la Bruxelles ministrul Valerian Vreme. Contactat de HotNews.ro, ministrul a precizat ca lansarea oficiala a acestui centru se va face pe 20 iunie. Actul legislativ obtinut de HotNews.ro arata ca centrul va avea 41 de posturi si va gestiona un sistem de alerta timpurie si informare in timp real privind incidentele cibernetice. Fara a face vreun anunt explicit, ministerul a lansat in dezbatere publica pe site-ul propriu si proiectul privind o Strategie de securitate cibernetica a Romaniei.
Toate tarile UE ar trebui sa dispuna de astfel de centre pana la 1 iunie 2012
Centrul national de raspuns la incidente de securitate cibernetica (CERT-RO) este in prezent un simplu departament in cadrul ICI (Institutul national de cercetare in Informatica), iar anuntul ca se pregateste cadrul legal pentru operationalizarea acestuia a fost facut de catre ministrul comunicatiilor in luna aprilie 2011, la o conferinta ministeriala din Ungaria.
- „Suntem siguri ca, in perioada urmatoare CERT-RO va beneficia de un cadru legal, pentru a permite Romaniei sa-si promoveze interesele, la nivel national si international, pe segmentul sigurantei cibernetice. In ceea ce priveste strategia de securitate cibernetica, mentionez ca, la nivel national s-a format un grup de lucru. In prezent avem un draft al strategiei care stabileste o serie de prioritati menite sa asigure un mediu cibernetic sigur”, declara la inceputul lunii aprilie Valerian Vreme, la o conferinta ministeriala din Ungaria.
Prezenta la acelasi eveniment, Comisarul european pentru Agenda Digitala, Neelie Kroes, declara ca „pana la 1 iunie 2012, fiecare stat membru UE, trebuie sa dispuna de un astfel de centru. In final trebuie sa interconectam toate aceste centre si sa dezvoltam Centrul UE de Raspuns la Incidente de Securitate Cibernetica”.
Vreme: CERT-RO va trebui sa apere sistemele IT ale statului. Va avea initial 20 de angajati si va fi condus de Victor Vevera
Vinerea trecuta ministrul Comunicatiilor a anuntat la Bruxelles ca s-a adoptat Hotararea de Guvern de infiintare a CERT-RO. Contactat de HotNews.ro, acesta a spus:
- „Centrul de raspuns la incidente de securitate cibernetica a fost infiintat prin Hotarare de Guvern in urma cu circa doua saptamani, este o directie in subordinea ministerului Comunicatiilor (MCSI), localizat la ICI, cu un director in persoana lui Victor Vevera. Intr-o prima etapa centrul va avea 20 de posturi, iar lansarea oficiala a acestuia se va face pe 20 iunie 2011, in cadrul unui eveniment la care va participa si presedintele Agentiei Europeane pentru securitatea retelelor si a informatiei (ENISA). Politica acestuia este sa apere in principal sistemele IT ale statului”.
Detalii din HG despre CERT-RO: Centrul va colabora cu autoritatile nationale responsabile pentru prevenirea si inlaturarea incidentelor informatice
Conform Hotararii de Guvern privind infiintarea CERT-RO obtinuta de HotNews.ro, „CERT-RO reprezinta un punct national de contact cu structurile de tip CERT care functioneaza in cadrul institutiilor sau autoritatilor publice ori altor persoane juridice de drept public sau privat, nationale sau internationale”.
CERT-RO realizeaza si administreaza un portal propriu, dedicat securitatii cibernetice, prin care sunt publicate noutati din domeniu, alerte privind amenintarile cele mai probabile, precum si cele mai bune practici de protectie recomandate. Centrul ar urma sa ofere printre altele servicii publice de tip preventiv, de tip reactiv si de consultanta.
Serviciile publice de tip preventiv:
- anunturi privind evenimente in domeniu;
- anunturi privind amenintari nou identificate pe plan national si international;
- cercetare si informare privind noutatile tehnologice in domeniu;
- realizarea, la cerere, de auditari si evaluari de securitate sau teste de penetrare;
- estimarea vulnerabilitatilor si punerea la dispozitie de situatii actualizate privind incercarile de intruziune si servicii de localizare a surselor atacurilor, pe baza informatiilor transmise de furnizorii de retele si servicii de comunicatii electronice;
- diseminarea informatiilor de securitate cibernetica.
Serviciile publice de tip reactiv:
- alerte si atentionari privind aparitia unor activitati premergatoare atacurilor;
- gestiunea incidentelor la nivel national, in cooperare cu celelalte echipe CERT;
- diseminarea rezultatelor investigatiilor incidentelor de securitate cibernetica, cu respectarea prevederilor acordurilor de cooperare incheiate cu partenerii CERT-RO
In actul normativ se precizeaza ca in cadrul centrului se constituie Sistemul de alerta timpurie si informare in timp real privind incidentele cibernetice. Toate datele primite in acest sistem ar urma sa fie centralizate si prelucrate de CERT-RO, in scopul:
- avertizarii in timp real si emiterii de rapoarte cu privire la distributia si natura incidentelor;
- colaborarii cu autoritatile nationale responsabile in asigurarea securitatii cibernetice, in vederea prevenirii si inlaturarii efectelor incidentelor.
Documentul prevede si obligatii de interconectare la acest sistem de alerta:
- „Furnizorii de retele si servicii de comunicatii electronice publice, precum si alte persoane juridice de drept public sau privat, ce detin sau administreaza infrastructuri cibernetice care sustin functionalitati de utilitate publica ori servicii ale societatii informationale asigura, in conditiile legii, resursele tehnice si functionale necesare dezvoltarii componentei proprii de securitate in conformitate cu cerintele si specificatiile furnizate de CERT-RO si interconectarii cu Sistemul de alerta timpurie si informare in timp real cu privire la atacurile cibernetice”, se arata in HG.
Cum va fi condus CERT-RO
Hotararea de Guvern prevede ca CERT-RO este condus de un director general si de un director general adjunct, sprijiniti de Comitetul de Coordonare. Directorul general al CERT este numit prin oridnul ministrului comunicatiilor, avand un mandat de 5 ani.
Comitetul de coordonare este format din reprezentanti ai: Ministerului Comunicatiilor, Ministerului Apararii Nationale, Ministerului Administratiei si Internelor, ai Serviciului Roman de Informatii, ai Serviciului de Informatii Externe, ai Serviciului de Telecomunicatii Speciale, ai Serviciului de Protectie si Paza, ai Oficiului Registrului National al Informatiilor Secrete de Stat si ai Autoritatii Nationale pentru Administrare si Reglementare in Comunicatii (ANCOM).
Nu in cele din urma, in HG se mai mentioneaza ca „in termen de 90 de zile de la data intrarii in vigoare a prezentei hotarari Ministerul Comunicatiilor si Societatii Informationale promoveaza normele de aplicare elaborate cu sprijinul CERT-RO prin ordin al ministrului comunicatiilor”.
Strategie nationala de securitate cibernetica, in dezbatere publica
Fara a fi facut un anunt public in acest sens, pe site-ul ministerului Comunicatiilor descoperim si „Strategia de Securitate Cibernetica a Romaniei”, un document care are 10 pagini si a fost scos in dezbatere publica la data de 27 mai 2011.
Printre principalele directii de actiune se mentioneaza constituirea si operationalizarea unui Sistem national de securitate cibernetica (SNSC). Acesta reprezinta „cadrul de cooperare care reuneste autoritati si institutii publice, mediul academic si cel de afaceri, asociatii profesionale, organizatii neguvernamentale, cu responsabilitati si capabilitati in domeniu, in vederea coordonarii actiunilor pentru asigurarea securitatii componentei nationale a spatiului cibernetic”.
Cei interesati pot trimite observatii si propuneri la acest proiect in termen de 30 de zile la directia juridica si resurse umane din cadrul MCSI. Documentul este atasat acestui articol.