Atacurile informatice sunt tot mai profitabile pentru infractorii cibernetici, iar statul roman constientizeaza asta si lucreaza la o lege care sa asigure o reactie cat mai buna in fata amenintarilor. Proiectul starneste insa controverse, inca necesita modificari si legea va intra in vigoare cel devreme in prima parte din 2015. Ce spun principalii reprezentanti ai autoritatilor, care sunt noutatile esentiale dar si punctele "spinoase" puteti citi articol.

La o conferinta organizata de UTI pe tema apararii in fata atacurilor informatice mai multi oficiali de CERT.ro, STS, SRI, guvern si presedintie au avut prezentari. Mai jos gasiti un rezumat al declaratiilor acestora si prezentarile pe larg.

Declaratii pe scurt:

  • Iulian Fota, consilier pe probleme de securitate al Presedintelui: Vom ajunge in punctul in care vor fi trasi oameni la raspundere pentru proasta stare a sistemelor de securitate cibernetica
  • Sorin Encutescu, consilier de stat al Premierului: Trebuie sa punem in codul ocupational functia de specialist in domeniul securitatii cibernetice.
  • Florin Cosmoiu, directorul general al Centrului National CyberInt din cadrul SRI: Legea securitatii cibernetice e acum in Senat si urmeaza a fi avizata in comisia de aparare,
  • Marcel Opris, director al STS: Eu, daca as avea o putere din asta perversa sau mi-ati asigura un mandat de imunitate - as distruge tot mediul electronic tuturor alesilor nostri
  • Varujan Pambuccian, membru al comisiei de IT&C din Camera Deputatilor: Auditul a ajuns o formalitate. Institutii mari isi cumpara un raport de audit la un pret mic si auditorii nici nu trec pe la companie
  • Augustin Jianu, director la CERT.ro: O institutie precum CERT.ro nu poate sa securizeze ograda unei companii private. Putem, cel mult, sa-i spunem ce standarde sa respecte

Prezentarile, pe larg

Iulian Fota, consilier pe probleme de securitate al Presedintelui

Inca din 2008, de la summitul NATO, Romania s-a preocupat de securitate cibernetica, insa in 2010 prin documente oficiale s-a recunoscut faptul ca securitatea informatica este o problema de siguranta nationala si s-a pornit la construirea unei strategii si la constituirea unor grupuri de lucru.

Acum a ajuns in Parlament proiectul legii securitatii cibernetice si, dupa discutiile din comisii, ar trebui sa fie adoptata la inceput de 2015, iar din acel moment sistemul de aparare impotriva atacurilor va fi operational.

"Atacurile cibernetice sunt foarte profitabile pentru organizatiile de crima organizata, sunt mai profitabile decat traficul de droguri si multe organizatii criminale renunta la activitatile ilicite clasice si se orienteaza pe criminalitate cibernetica, fiindca rata de recuperare a profitului e halucinanta: 500-600%."

Se discuta tot mai mult despre parteneriate public-private pe zona de lupa cu cybercrime-ul, iar Iulian Fota spune ca e obligatoriu ca ele sa existe, insa cu cateva conditii. "Ca si la protectia impotriva incendiilor, si la zona de securitate informatica va trebui sa existe un standard minim pe care companiile private vor trebui sa il asigure. Trebuie sa discutam despre acel nivel minim pe care statul il asteapta de la companii.(...) Nu intotdeauna serviciile furnizate statului de catre companiile private au fost de calitate, asa ca trebuie si statul sa vina cu propriile solutii, din moment ce are oameni bine pregatiti si creativi. Daca statul e capabil sa construiasca singur solutiile, si dat fiind ca bugetul este si asa sarac, e firesc sa nu mergem in piata sa cautam solutii.(...)

Vom ajunge in punctul in care vor fi trasi oameni la raspundere pentru proasta stare a sistemelor de securitate cibernetica si deja sunt cazuri in care se vede iresponsabilitate crasa la oameni care nu inteleg ca au ca responsabilitate si gestionarea sigurantei datelor. (...) E si o chestie de cultura si una de precedent, dar vom ajunge acolo (...) Va fi ca in cazul malpraxisului in medicina: vei putea sa ceri compensatii pentru o paguba care iti este produsa"

Sorin Encutescu, consilier de stat al premierului

Realitatea in ceea ce priveste securitatea cibernetica e dura si rapoartele arata ca Romania s-a confruntat anul trecut cu 43 de milioane de incidente de securitate care au afectat doua milioane de IP-uri, astfel ca nu mai este o gluma.

"Odata cu dezvoltarea sistemului de atributii institutionale, in momentul de fata se lucreaza inclusiv la fisa posturilor pe care urmeaza sa fie incadrate, in asa fel incat sa putem fi in masura sa cream in Romania si sa punem in codul ocupational functia de specialist in domeniul securitatii cibernetice. Aceasta noua meserie trebuie recunoscuta si trebuie introdusa in codul ocupational roman, de unde inclusiv putem stabili standarde de salarizare".

Florin Cosmoiu, directorul general al Centrului National CyberInt din cadrul SRI

"Cand legea va intra in vigoare vom deveni o autoritate in domeniul gestionarii luptei cu cybercrime-ul, insa pana atunci atributiile noastre sunt mult limitate. Spre exemplu, intampinam dificultati pe zona de investigatii (...) O alta problema tine de abrogarea legii privind retentia datelor, chestiunea creand multe dificultati - atat la nivelul Politiei, cat si la cel al SRI- si constatam ca intram intr-un fel de blocaj legat de investigatiile desfasurate de toate institutiile. Stim ca se lucreaza si la remedierea acestui aspect, au fost analize si in CSAT si suntem optimisti ca se vor rezolva problemele".

Cosmoiu spune ca ar trebui crescut si nivelul educational legat de importanta securitatii informatice atat in scoli, cat si la nivelul conducerii unor institutii de stat care nu inteleg cat de periculoase pot fi atacurile informatice, mai ales ca institutiile detin multe date sensibile ce pot ajunge pe mana cui nu trebuie.

"In procesul de dezbatere parlamentara a legii securitatii cibernetice au fost o serie de voci provenite la ONG-uri care au negat cu vehementa necesitatea acestei legi si care au condus dezbaterile pe teme colaterale. Problema e ca nu aveau nicio sustinere in realitate, fiindca legea se adreseaza doar persoanelor publice de drept public sau privat care din momentul in care legea va fi adoptata vor trebui sa ia o serie de masuri sa-si protejeze in mod adecvat sistemele.(...) Legea e acum in Senat si urmeaza a fi avizata in comisia de aparare, insa cred ca si mediul privat ar trebui sa vina si sa promoveze necesitatea acestei legi, bineinteles daca si crede in ea".

Marcel Opris, director al STS

"E vorba de o noua forma de lupta, una mult mai dezechilibrata decat cea dintre un automat si o arma cu repetitie simpla ZB. Diferenta nu era prea mare fiindca, daca ii omorai pe toti, nu avea rost sa mai continui razboiul. Cand e vorba de internet, discutam despre miliarde de utilizatori pentru care internetul e parte a vietii. Devii dependent de o cutiuta si de o conexiune si ganditi-va ca niste baieti "destepti" al caror numar nu se cunoaste actioneaza la inceput individual, apoi se aduna mai multi si formeaza o gasca, iar aceste gasti se reunesc si formeaza un fel de stat care poate ajunge sa stapaneasca acest mediu de comunicare si de instrumentele sale.

(...) E o iluzie ca ne putem separa complet de retelele mondiale ale utilizatorilor de informatie si e periculos sa credem ca putem face asta (...) Nu putem face nimic fara ajutorul sectorului privat, parteneriatul public-privat in interiorul tarii este obligatoriu. (...) De-abia astept intr-o zi un proces, nu de criminalitate, ca toti ne-am repezit catre criminalitate. Sigur, e cel mai lejer pentru noi sa ii agatam pe cei care se comporta alfel decat dicteaza regulile sociale, care nici macar nu sunt foarte limpezi. Nu avem un set de reguli de comportament in aceasta lume a internetului. Nu. Vorbeste pe la colturi unul, altul... De ce? Fiindca in primul rand, cei care ne reprezinta n-au constientizat ei. Eu, daca as avea o putere din asta perversa sau mi-ati asigura un mandat de imunitate, primul lucru - as distruge tot mediul electronic tuturor alesilor nostri. Simplu ca buna ziua. In fiecare zi il deranjezi. Si ii demonstrez cat de util este sa fii sigur"

Seful STS da exemplu un sondaj din Suedia unde oamenii au fost intrebati a cui e sarcina asigurarii sigurantei pe internet si 90% au spus ca statul ar trebui sa asigure asta "Asadar, statul nu poate fi absolvit de raspunderea asta si de multa vreme spun ca solutia e reprezentata de CERT-urile private"

"De-abia astept ziua in care cineva o sa dea in judecata un om pe Codul Civil, nu pe criminalitate informatica, pe motiv ca i-a provocat o paguba. Stilul american de care tot auzim. Si sa va pun sa platiti incat sa ajungeti la Epoca de Piatra. Abia astept ziua asta si ea va declansa mecanismul legat de ce inseamna sa utilizezi internetul sigur".

Varujan Pambuccian, membru al comisiei de IT&C din Camera Deputatilor

"Legea nu se refera la calculatorul din bucatarie, ci la infrastructuri critice si asta e un lucru ce trebuie bine inteles. O infrastructura critica e una bancara si nu cred ca i-ar conveni cuiva sa vada ca o banca ce si-a facut auditul dand 5.000 de euro pe zece foi pe care scria ca e auditul facut, se trezeste cu conturile golite. Lucrul asta e foarte fezabil in sistemul bancar romanesc, din pacate.

In lege sunt cateva amendamente pe care incerc sa le corectez, legea este la Senat acum, este pe ultima "suta", Senatul este camera decizionala si ea va deveni lege pana la finalul anului. (...)

In primul rand trebuie clar stabilit conceptul de furnizor de solutii de securitate. Avem experiente negative multe si aceste entitati trebuie sa fie terti de incredere si ca sa fie de incredere trebuie sa aiba un anumit nivel tehnologic de pregatire si organizare. Pentru asta insa, e nevoie de acreditare, iar asta inseamna ca cineva isi asuma o responsabilitate pentru a o acorda. Sper ca aceasta lege va demarca si responsabilitatile, fiindca daca tertul de incredere a fost acreditat, cineva si-a asumat responsabilitatea ca el va putea face asta. Acreditarea nu ar trebui sa fie pe viata, dar procedurile sunt complicate si vom decide mai tarziu ce vom face.

Aceste entitati trebuie sa fie private, iar statul trebuie sa-si asume responsabilitatea acreditarii lor. Tertul nu poate fi de stat fiindca e foarte complicat ca statul sa se controleze pe el insusi. El trebuie sa ia o anumita distanta fata de ce se intampla in piata si sa garanteze ca ce a acreditat e ok.

A doua chestiune tine de audit. La noi, auditul a ajuns o formalitate, am vazut institutiile grele de tot din sectorul public si din privat care pur si simplu isi cumpara un raport de audit la un pret mic si auditorii nici nu trec pe la compania care insa ajunge sa fie acoperita de lege (...) Realitatea asta poate fi modificata doar printr-o demarcare clara a responsabilitatilor si incerc sa fac asta prin lege (...) Daca la o companie se intampla un incident de securitate care se constata ca a fost prevazut de auditorul care alcatuise si o lista de remedii ce nu au fost insa implementate, resposabilitatea este a celui auditat. Daca auditorul nu a propus remedii si nu a prevazut incidentul, responsabilitatea este a lui. Aceste modificari nu prea convin nimanui, insa in felul acesta vom avea si companii private foarte serioase si va disparea puzderia asta de vanzatori de rapoarte de auditare.

Un alt aspect tine de faptul ca trebuie sa existe proceduri foarte clare prin care se fac tot felul de activitati care fac obiectul legii si la nivelul autoritatilor publice am vazut un singur document facut cu foarte mult profesionalism: la Autoritatea de Supraveghere Financiara (ASF)"

.

Augustin Jianu, director la CERT.ro Centrul National de Raspuns la Incidente de Securitate Cibernetica

In momentul de fata e clar ca amenintarile cibernetice cresc, gradul de sofisticare e tot mai mare la atacurile folosite si devine clar ca se folosesc atacuri de inginerie sociala care nu mai au ca tinte sistemele, ci vulnerabilitatile anumitor persoane. Solutiile traditionale de tip antivirus si firewall nu mai sunt acoperitoare: sunt necesare, dar nu suficiente. (...)

Incercam sa incurajam si aparita de CERT-uri private fiindca e nevoie de ele. (...) Un client care va suferi de pe urma unui atac informatic se va orienta catre stat si va intreba de ce nu a facut statul mai mult (...). Dar si mediul privat trebuie sa aiba mai multa incredere in noi si sa beneficieze de serviciile furnizate de noi pentru ca nimeni de aici nu incearca sa puna bete in roate mediului privat. Ba din contra, credem ca securitatea trebuie realizata in primul rand la sursa, la detinatorul de infrastructura. Nu poate o institutie, nici CERT.RO, nici STS nici SRI, sa securizeze ograda unei companii private. Putem sa-i spunem ce standarde sa respecte, putem sa-i impunem un minim ce trebuie respectat.

Trebuie sa desfasuram si o politica de stimulare a furnizorilor de servicii de securitate, sa ne ocupam de acreditarea pe mai multe niveluri si trebuie sa existe un registru unic al acestor furnizori fiindca nu oricine poate sa presteze acest tip de servicii. Nu poti sa pui lupul paznic la oi. Recent vazusem o prezentare a unei firme care spunea ca angajeaza hackeri, dar eu zic ca nu e o idee buna: hackerii ti-i construiesti, ti-i "educi" si nu e normal sa iei oameni care au fost condamnati pentru activitati ilicite fiindca nu poti avea incredere in ei.