Starea pieței de securitate cibernetică în România
Securitatea cibernetică în România rămâne în continuare un subiect ”fierbinte”. Sintagme de tipul ”hub regional de securitate cibernetică” răsună în continuare în spațiul politic, atrăgând atenție sporită asupra unui domeniu unde poate notorietatea precedă realizările de facto.
Într-un articol scris acum ceva timp (2021), deplângeam situația de la acea vreme, subliniind, printre altele, lipsa informațiilor publice necesare pentru a trage o concluzie clară asupra stadiului de dezvoltare al pieței naționale de securitate cibernetică. Este clar că securitatea cibernetică nu suferă de lipsă de atenție din partea presei sau a altor actori relevanți, și de asemenea este clar că avem deja reglementare serioasă în domeniu, poate chiar supra reglementare. Dar aceste aspecte nu asigură succesul unui domeniu de activitate, ci mai degrabă oferă doar premisele unei reușite, dacă sunt întreprinse și acțiunile practice necesare.
În acest sens, după câțiva ani buni, am reușit realizarea primului studiu de piață din zona de securitate cibernetică din România. Spun primul, pentru că nu știu de existența altuia în spațiul public. Studiul a analizat piața pe mai multe paliere, respectiv legislativ, economic, social și tehnologic, atât la nivel național cât și internațional. În cele ce urmează am să sumarizez principalele aspecte identificate în cadrul studiului, concentrându-mă în principal pe contextul național. Studiul este mult mai amplu, dar din diverse considerente printre care și cele legate de spațiu, aici nu vor fi împărtășite toate detaliile.
Este important de menționat că studiul a fost realizat cu sprijinul financiar al Fondului European de Dezvoltare Regională prin intermediul Programului Operațional Regional, și are ca autori pe subsemnatul alături de Adrien Ogee (expert internațional recunoscut), în cadrul proiectului CYMAROP, implementat de către parteneriatul dintre Universitatea Maritimă Constanța și GMB Computers SRL. Scopul proiectului a fost dezvoltarea unui centru de tip SOC (security operations center) la partenerul privat al proiectului, prin cercetarea și transferul tehnologic al unei soluții tehnice realizate de către partenerul academic. Probabil vorbim de primul SOC/CSIRT din România, sau chiar estul Europei, dezvoltat cu co-finanțare din fonduri europene și prin transfer tehnologic din zona academică. Realizarea unui studiu de piață a fost una dintre activitățile proiectului, menită să susțină lansarea comercială a serviciilor de securitate cibernetică ale partenerului privat, prin înțelegerea tendințelor pieței de profil și în vederea realizării unei strategii de comercializare (go-to-market).
Legislativ
În ultimii ani, România a făcut progrese semnificative în domeniul reglementării securității cibernetice, iar guvernul, prin autoritățile responsabile, a adoptat o serie de politici și strategii pentru a îmbunătăți securitatea cibernetică a țării.
Autoritatea ce coordonează domeniul securității cibernetice la nivel național este Directoratul Național de Securitate Cibernetică (DNSC). Totuși, în România există și alte instituții publice cu atribuții în zona de securitate cibernetică, respectiv: SRI, STS, SIE, MAPN – Comandamentul Apărării Cibernetice, MAI – CERT-INT, SPP, ANCOM, ORNISS, ANSPDCP, Consiliul Operativ de Securitate Cibernetică. Majoritatea instituțiilor enumerate mai sus (mai puțin ANSPDCP) reprezintă SNSC (SISTEMUL NAȚIONAL DE SECURITATE CIBERNETICĂ), o structură interinstituțională care coordonează activitățile destinate asigurării securității cibernetice a României la nivel strategic.
Este limpede că securitatea cibernetică în România este o zonă de activitate coordonată în principal de instituții militare. Chiar și la nivelul DNSC, instituția de reglementare specifică spațiului civil, există detașați din structurile de forță ale statului, pe poziții de management. În acest sens, politicile publice/strategia din domeniu sunt clar influențate de acest aspect.
Prin urmare, dacă urmărim fluxurile financiare publice alocate pentru acest domeniu, , majoritatea fondurilor publice din PNRR și fonduri structurale și de investiții, sunt destinate construirii de sisteme de securitate centralizate (mamut), deseori redundante, în administrarea unor instituții dintre cele menționate mai sus, și care au drept scop cu precădere achiziția masivă de echipamente, mai puțin servicii. Spre exemplu, cele aprox. 181.92 milioane euro prin programul PNRR, sunt împărțite astfel:
- I12. Asigurarea protecției cibernetice atât pentru infrastructurile TIC publice, cât și pentru cele private cu valențe critice pentru securitatea națională […] (100 mil. euro) – autoritate eligibilă: SRI.
- I13. Dezvoltarea sistemelor de securitate pentru protecția spectrului guvernamental (38,53 mil. euro) – autorități eligibile: STS, SPP.
- I14. Creșterea rezilienței și a securității cibernetice a serviciilor de infrastructură ale furnizorilor de servicii de internet pentru autoritățile publice din România (18,39 mil. euro) – autorități eligibile: STS.
- I15. Crearea de noi competențe de securitate cibernetică pentru societate și economie (25 mil. euro) – autorități eligibile: DNSC.
Singura componentă din PNRR, dedicată sectorului privat, ce conține fonduri ce pot fi utilizate pentru adoptarea de tehnologii avansate, printre care și securitatea cibernetică, este ”Componenta 9. Suport pentru sectorul privat, cercetare, dezvoltare și inovare”. Prin această componentă se acordă maxim 100.000 euro pe IMM pentru digitalizare. Apelul a fost deja lansat.
Un exemplu de politică echitabilă și coerentă în acest domeniu ar fi vizat finanțarea securizării operatorilor de servicii esențiale, privați și publici, ce reprezintă componenta centrală a directivei NIS. Cooperarea între actorii privați si cei publici, fie ei din structurile de forță sau din mediul academic, poate pune bazele unei piețe de servicii de securitate cibernetică relevantă la nivel regional. De asemenea, susținerea actorilor privați pentru formarea personalului în domeniul securității cibernetice poate reprezenta o intervenție publică de impact în creșterea generală a pieței de securitate cibernetică cu efecte asupra nivelului de securitate general.
Legislație există, poate chiar prea multă! DNSC a publicat un pachet extins de reglementări, care acoperă problematica securității cibernetice. Nu a fost obiectivul studiului să analizăm conținutul, relevanța sau eficacitatea acestora.
Pe lângă legislația specifică NIS, avem și GDPR, ce completează pe zona de date cu caracter personal, precum și legea securității cibernetice. De asemenea, în 2022, Guvernul României a aprobat Strategia de Securitate Cibernetică pentru perioada 2022-2027.
Pe hârtie, stăm bine la capitolul legislativ. Ce este vizibil cu ochiul liber este că existența reglementărilor a acționat ca și catalizator pentru creșterea cererii de securitate în general, în special de servicii de audit și SOC. Partea bună este că cererea a crescut, și probabil va crește în continuare, dar partea negativă este că a crescut forțată de obligația legală de conformitate, și nu natural, pe baza conștientizării riscurilor și a unei necesități crescânde de securitate cibernetică. Pe cale de consecință, ca orice creștere forțată, va crea anomalii și distorsiuni în piață care vor trebui în continuare analizate și ajustate prin măsuri de reglementare.
Pe măsură ce legislația în domeniu se va dezvolta (e.g. NIS2, DORA etc.), probabil cererea va crește și mai mult. Totuși, o astfel de creștere este superficială, și nu atrage neapărat și maturizarea pieței. Clienții vor căuta cu precădere cel mai mic preț, ce în unele cazuri va asigura securitatea doar pe hârtie, necontribuind la atingerea obiectivelor macro, de țară.
Economic
Potrivit unui raport Fortune Business Insights, dimensiunea pieței globale de securitate cibernetică a fost estimată la 153,65 miliarde de dolari în 2022 și se preconizează că va crește la 424,97 miliarde de dolari până în 2030, cu o rată de creștere anuală compusă (CAGR) de 13,8%. Creșterea numărului de atacuri cibernetice, proliferarea platformelor de comerț electronic, apariția dispozitivelor inteligente și implementarea cloud-ului sunt unii dintre factorii care au contribuit la creșterea pieței de securitate cibernetică. Un alt raport McKinsey arată că cheltuielile cu produsele și serviciile furnizorilor din domeniul securității cibernetice vor crește cu 13% anual până în 2025.
Statista (accesat noiembrie 2023) estimează că veniturile de pe piața securității cibernetice din România vor ajunge la 166,50 milioane USD în 2023 (0,001% din piața globală). Soluțiile COTS (commercial off the shelf) domină cu un volum de piață estimat de 101,20 milioane USD în 2023, reprezentând mai mult de 60% din total (serviciile reprezintă sub 40%). Se preconizează că veniturile vor arăta o rată anuală de creștere (CAGR 2023-2028) de 12,88%, rezultând un volum de piață de 305,20 milioane USD până în 2028. Se estimează că cheltuielile medii per angajat pe piața securității cibernetice vor ajunge la 19,48 USD în 2023 (cam 100 de RON per angajat).
Prin comparație, Franța, o piață matură la nivelul UE, are o valoare totală estimată pentru 2023 de 5.09 miliarde USD, serviciile dominând 55% din piață (USD2.85 miliarde USD). Cheltuielile medii per angajat în Franța se ridică la 167.10 USD.
Germania, o piață si mai matură din UE, are o valoare totală estimată pentru 2023 de 6.68 miliarde USD, serviciile dominând 54% din piață (3.64 miliarde USD). Cheltuielile medii per angajat în Germania se ridică la 154.00 USD.
SUA, considerată cea mai matură piață pe segmentul securității cibernetice, are o valoare totală estimată pentru 2023 de 71.79 miliarde USD, serviciile dominând 55% din piață (39.78 miliarde USD). Cheltuielile medii per angajat în SUA se ridică la 426.20 USD.
Putem concluziona că România este încă o piață incipientă, unde se cumpără preponderent soluții și nu servicii. Managementul soluțiilor se face intern, outsourcing-ul de personal sau achiziția de servicii nefiind adoptată la scară largă, în ciuda deficitului de forță de muncă înregistrat la nivel global cât și pe piața locală. Bugetele companiilor, sunt de asemenea mult mai mici, după cum se observă cu ochiul liber din analiza de mai sus.
Plaja de prețuri
Îmbucurător este faptul că piața este totuși în mișcare, deși mai mult din inerție. Analiza noastră a indicat existența mai multor firme specializate în piață, unele chiar nou apărute, ce au deja o ofertă serioasă și profesională de servicii. Deși este dificil de disecat piața privată de profil, având în vedere confidențialitatea sub care se desfășoară tranzacțiile, putem totuși să aruncăm o privire la ce se întâmplă în zona publică, unde procesul de achiziții e mult mai transparent.
Astfel, în urma analizei datelor din SICAP, pe perioada 01.01.2023 – 31.10.2023, a rezultat faptul că majoritatea achizițiilor din zona de securitate cibernetică vizează soluții hardware/software, audituri în baza legii NIS și servicii SOC, exact în această ordine. Marea majoritate a achizițiilor din această zonă (ca număr), sunt încadrate ca achiziții directe (deci valori mai mici). Sume exorbitante sunt totuși oferite la licitație de către instituțiile sus-amintite, eligibile pentru accesarea fondurilor din PNRR, și sunt destinate în principal achiziției soluțiilor, nu serviciilor. Cel mai mare număr de cumpărători vin din zona de sănătate publică, deși nu ei sunt cei ce dețin majoritatea fondurilor publice din această piață. Acest lucru este corelat și cu faptul că, unitățile medicale sunt cele mai numeroase înregistrate în Registrul Operatorilor de Servicii Esențiale (OSE). Campaniile de conștientizare dedicate domeniului sănătății, desfășurate pe timpul pandemiei de către DNSC, concomitent cu trecerea sectorului medical printr-o criză adevărată, se pare că au catalizat sistemul sanitar către acțiune în acest domeniu.
Astfel, pentru audituri de securitate în baza legii NIS au fost identificate prețuri de până la 65.000 RON, pentru organizații mici/medii. Media pentru un astfel de audit, pentru o organizație de complexitate mică sau medie se situează între valorile 10.000 -25.000 RON. Pentru organizațiile mari/complexe, prețurile diferă. O organizație de tip aeroport a oferit 117.800 RON pentru audit în baza legii NIS, iar o altă companie din domeniul energiei a oferit 162.231 RON.
Serviciile de tip SOC sunt achiziționate la prețuri între 6.500 și 15.000 RON pe lună (media 8.000-10.000 RON/lună), pentru organizații de complexitate mică sau medie, cu până la 150-200 de utilizatori/device-uri. Prețul crește odată cu complexitatea organizației, respectiv numărul de utilizatori/device-uri sau tehnologiile existente ce trebuie acoperite de serviciile de tip SOC. Au fost identificate și valori mai mari pentru organizațiile mai complexe, respectiv 34.500 RON/lună la o organizație de tip medical cu peste 450 de device-uri.
În cazul unui spital, a fost identificată o licitație publică la prețul de 4.494.840 RON/24 luni/462 device-uri, incluzând și licențele software aferente. Dacă facem calculele obținem 187.285 RON / lună = 4.864 RON/device/lună (aprox. 1000 USD) cu toate licențele incluse. Acesta este cel mai mare preț identificat pe piața din România pentru un serviciu SOC. Conform datelor publicate de spital, în luna septembrie 2023 spitalul avea 1148 angajați, rezultând un cost per angajat de aprox. 164 RON/luna, peste media identificată în studiu. Totuși spitalul nu are decât 462 de device-uri în administrare.
Impactul economic al incidentelor
Nu sunt foarte multe date publice despre costul incidentelor de securitate cibernetică în România, totuși o declarație publică a directorului DNSC (Dan Cîmpean) ne-a atras atenția: ”Costul estimat – şi asta nu am făcut-o noi de la Directorat, au făcut-o analiştii, firmele de asigurări – la nivelul UE şi cred că este cam acelaşi şi la nivelul României, al unui incident care impactează o organizaţie este estimat undeva la peste 150.000 de euro”. Nu am putut identifica sursa exactă pentru acest studiu, dar am crezut pe cuvânt.
O altă analiză, realizată de compania Bit Sentinel, menționează că incidentele de securitate cibernetică pot produce pagube care pornesc de la 50.000 de euro şi pot ajunge până la 1 milion de euro, doar în primul an după atac, în cazul companiilor care nu aveau implementate sisteme şi proceduri de protecție cibernetică.
Desigur, costul unui incident depinde foarte mult de tipul organizației afectate, mărime, industria în care operează, cât și despre tipul de incident. Ca și regulă generală, cu cât gradul de reziliență este mai mare, cu atât costul unui incident va fi mai mic. Așadar, nu putem generaliza referitor la costul unui incident, ci analiza trebuie făcută riguros, de la caz la caz. Determinarea impactului unui incident de securitate cibernetică este o operațiune complexă, specifică fiecărei organizații în parte. Totuși, astfel de cifre estimative pot ajuta la formarea unei idei despre amploarea fenomenului și riscul aferent. Ce este de reținut aici, este că nu există incident fără un cost asociat, fie el mai mare sau mai mic.
Jucători din piață
Figura de mai sus reprezintă peisajul furnizorilor de servicii și soluții de securitate cibernetică din România, ordonați descrescător, după cifra de afaceri din 2022. Nu sunt toți, ci doar cei pe care am putut sa-i identificăm cu ușurință. Neavând un cod CAEN specific sectorului, identificarea s-a facut pe baza informațiilor publice disponibile. Lista nu include corporații!
Se observă clar discrepanța între furnizorii de soluții/servicii și furnizorii de servicii pure. Cifra de afaceri a companiilor ce oferă soluții și servicii de securitate cibernetică, este net superioară celor ce oferă doar servicii. Un alt aspect important este faptul că unele firme (ex: CERTSIGN) oferă o plajă mai largă de servicii (ex: semnătură digitală), fiind greu de diferențiat cât din cifra de afaceri reprezintă servicii de securitate pure. Acest aspect este valabil și pentru alte companii din raport.
De asemenea, nu toți furnizorii de servicii de securitate cibernetică oferă servicii de tip SOC. Majoritatea oferă servicii de audit de securitate NIS, acestea fiind în general activități de tip one-time, ce nu necesită investiții masive. Serviciile de tip SOC reprezintă activități complexe, necesită investiții în sisteme, personal și mentenanță de-a lungul timpului. Așadar, se pare că nu sunt încă accesibile tuturor jucătorilor.
La nivelul DNSC, există o listă a auditorilor de securitate cibernetică valabil atestați (LASC), ce în ianuarie 2024 număra 58 de companii. Tot la nivelul DNSC există și o pagină dedicată echipelor de intervenție în caz de incidente de securitate informatică, unde ar trebui practic să găsim furnizorii de servicii. Pagina este goală. În piață, companiile care oferă ca principal obiect de activitate servicii de tip SOC se pot număra pe degete. _Citeste intregul articol si comenteaza pe Contributors.ro