Piața liberă, sandwich între noul Centru European și ambițiile CERT-RO

E mult tumult în România, în ultimele luni, în zona securității cibernetice. Decizia Comisiei Europene de găzduire a Centrului European de Competențe Industriale, Tehnologice și de Cercetare în materie de Securitate Cibernetică la București a stârnit multă vâlvă, poate mai multă decât trebuia. Evenimentele online s-au înmulțit dintr-o dată, iar discuțiile triumfaliste au luat locul celor tehnice explicând succesul inegalabil al României în această speță.

Dan TofanFoto: Arhiva personala

Totuși mica „bulă” creată în jurul acestui succes nu ajută la înțelegerea substanțială a rolului nou venitului centru și la magnitudinea impactului pentru România. Totodată, alte priorități precum stadiul implementării Legii NIS sau înființarea noului Directorat Național de Securitate Cibernetică, rămân în planul doi al discuțiilor, și implicit al deciziei politice.

Scopul acestui articol este să încerce să clarifice ce se întâmplă în aceste zone și să sublinieze câteva neajunsuri, care odată atacate pot duce la îmbunătățiri substanțiale ale ecosistemului de securitate cibernetică din România.

Centrului European de Competențe Industriale, Tehnologice și de Cercetare

În primul rând, felicitări tuturor celor implicați! Negocierea găzduirii unei agenții (de fapt, centru) europene în România este într-adevăr o mare realizare.

Totuși, deși mesajele autorităților aduc în sfera publică conținutul corect, publicul larg nu are încă idee despre ce anume înseamnă noul centru european. Așadar, țin să subliniez și eu câteva aspecte esențiale, care să lămurească scopul acestui centru și potențialul impact asupra României.

În primul rând, centrul este o instituție europeana, finanțată de la bugetul Comisiei Europene, ce va activa pe teritoriul României. Probabil va avea statut diplomatic, iar tot personalul ar trebui să fie încadrat pe măsură. Sarcina statului român este de a furniza locația (prin plata chiriei aferente, sau achiziție) și a asigura tot suportul logistic pentru desfășurarea activităților. NU va putea, însă, să intervină în modul în care acest centru își va desfășura activitatea. Centrul va fi condus, probabil, de un director executiv ce va raporta unui Management Board, care va avea membri din toate țările UE, sau cel puțin cele ce contribuie financiar la fondurile centrului. Mai multe detalii aici.

De asemenea, toate angajările vor fi desfășurate prin intermediul Comisiei Europene, cel mai probabil prin serviciile EPSO, până centrul va fi capabil să-și organizeze propriul proces de angajare (estimez minim un an până se va întâmpla asta). Așadar, angajările vor fi deschise tuturor europenilor și vă pot asigura că se va dori o diversitate cât mai mare. Scenariul în care majoritatea posturilor vor fi ocupate de români este exclus. Centrul va avea până la 60 de angajați, dar vor începe cu aprox. 20.

Cât despre ce anume va face centrul, activitățile nu sunt încă definite clar prin niciun act normativ european. Încă se lucrează la statutul centrului. Totuși, ne putem face o idee din diversele comunicate de presă existente în momentul de față. Din acest comunicat de presă, aflăm că ”centrul de competențe în materie de securitate cibernetică va îmbunătăți coordonarea cercetării și a inovării în domeniul securității cibernetice în UE. Acesta va fi, de asemenea, principalul instrument al UE de punere în comun a investițiilor pentru cercetarea și dezvoltarea tehnologică și industrială în domeniul securității cibernetice”. Așadar, va fi echivalentul unei autorități de management pentru fonduri europene în securitate cibernetică, la nivel european. Asemenea activități se fac deja de ceva vreme, la nivelul Comisiei Europene, dar la o scară mult mai mică și nu prin agenții dedicate. Astfel, programe precum Horizon 2020 sau CEF Telecom, sunt gestionate de INEA (alături de alte structuri), al cărui principal scop este alocarea fondurilor europene existente în aceste programe. Ultima rundă de finanțare pentru intervențiile dedicate securității cibernetice în cadrul CEF Telecom este în desfășurare, urmând ca alocarea fondurilor pentru 2021, în cuantum de 10,5 mil. EURO, să fie anunțată în primăvara-vara acestui an. 10,5 milioane de EURO, pentru o Europă întreagă, este foarte puțin. De asemenea, pentru cei interesați, pot adăuga că, în general, numărul de aplicanți/proiecte din România este foarte scăzut. INEA nu are experți în securitate cibernetică angajați, ci lucrează cu experți externi pentru evaluarea proiectelor.

Revenind la oile noastre, rolul noului centru de la București, va fi probabil să administreze o sumă considerabil mai mare (2 miliarde Euro) fonduri europene dedicate zonei de securitate cibernetică, prin activități de tipul: stabilirea regulilor de accesare a fondurilor, desfășurarea competițiilor, semnarea și urmărirea contractelor, alocarea fondurilor etc. Activitățile noului centru se vor încadra mai mult în categoria de project management. Este foarte puțin probabil ca noul centru să desfășoare activități de cercetare-dezvoltare sau operaționale, având în vedere că există alte instituții UE cu asemenea atribuții (ex: ENISA, JRC etc).

Beneficiile majore ale României, pe lângă cele de imagine, sunt:

Faptul că va avea acest nou centru aproape (apropierea de sursă poate facilita obținerea finanțării și oferă posibilitatea influențării politicii europene în acest domeniu, acest aspect nefiind un ”dat” ci mai degrabă bazându-se pe iscusința guvernului si probabil a CERT.RO de a negocia și ”profita” de proximitatea fizică);
câștigarea câtorva locuri de muncă (ce pe parcurs pot deveni strategice în domeniu);
Industria poate deveni dintr-o dată mult mai interesată în a deschide prezențe fizice în România. În orice caz, totul depinde de cum ne jucăm cartea de acum înainte.

Ca o paralelă, plasarea ENISA în Grecia, nu a facilitat în mod deosebit dezvoltarea industriei locale de securitate cibernetică, deși ENISA era inițial plasată într-un parc tehnologic, și nici nu a propulsat Grecia ca un mare jucător pe zona de securitate cibernetică, la nivel internațional. Așadar, depinde mult de cum ne jucăm șansa. Valorificarea prezenței acestui centru în România se poate face numai dacă ecosistemul de securitate cibernetică național (instituții publice, companii, universități și centre de cercetare, ONG-uri etc.) devine destul de matur și capabil de a absorbi noile fonduri și de a le folosi pentru a fermenta, dând naștere unei piețe locale puternice la nivel global.

Legea NIS

Pe baza Legii NIS (transpunerea directivei NIS în România), se va clădi ecosistemul de securitate cibernetică din România, mulți ani de acum înainte. Este legea ce practic ar trebui să pune bazele unei dezvoltări sustenabile a industriei cyber.

În momentul de față sunt deja publicate o serie de acte subsecvente, ce oferă detalii suplimentare cu privire la implementare legii. Situația la zi a actelor normative publicate în domeniu este:

Legea NIS, publicată în 28.12.2018, cadrul legal pentru transpunerea directivei NIS în România.
ORDIN 599/2019 privind aprobarea Normelor metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale, act normativ ce practic detaliază procesul de identificare al OSE.
ORDIN 600/2019 privind aprobarea Normelor metodologice de organizare și funcționare a Registrului operatorilor de servicii esențiale (OSE), descrie practic un cap de tabel ce constituie Registrul OSE, precum și procedurile de utilizare a acestuia, înscrierea, modificarea, radierea și protecția informațiilor.
ORDIN 601/2019 pentru aprobarea Metodologiei de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale. Practic, prin acest act normativ (alături de H.G. 976/2020) impune realizarea unei analize la nivelul OSE pentru a determina dacă operatorul furnizează servicii esențiale, urmând a se supune reglementărilor CERT.RO în termen de cerințe de securitate minime precum și raportare incidente.
H.G. 976/2020 referitoare la aprobarea valorilor de prag pentru stabilirea efectului perturbator semnificativ al incidentelor, care practic stabilește pragurile utilizate pentru a determina dacă un incident este semnificativ (ex. producători energie electrică, cu putere instalată mai mare de 20 MW). Se folosește împreună cu Ordinul 601 pentru a determina dacă serviciul oferit este esențial. Informațiile din cele două acte normative sunt ”ușor” redundante...
H.G. 963/2020, pentru aprobarea listei serviciilor esențiale, reprezentând o listă generică de servicii considerate esențiale (dar numai după aplicarea Ordinului 601 și a HG 976) pe fiecare sector în parte.
ORDIN SGG 1323/2020 alături de anexa tehnică, reprezentând o listă lungă de cerințe minime pentru OSE.

O parte din aceste documente le regăsiți pe pagina CERT.RO, dar nu toate, așa cum ar fi firesc. Și spun asta pentru că, după cum observați, lista actelor normative ce trebuie studiate nu este deloc scurtă, iar problematica nu este deloc ușoară.

Pe scurt, dacă ești operator esențial (OSE), definit conform HG 963/2020 (ex: furnizor de apă potabilă îmbuteliată - K16), va trebui să te supui unor cerințe destul de exigente din partea CERT.RO, începând cu înregistrarea în Registrul OSE, stabilirea efectului perturbator al incidentelor (ex: dacă volumul de recipiente îmbuteliate este mai mare decât 1 mil. recipiente/an), implementarea măsurilor minime și raportarea incidentelor de securitate cu impact semnificativ.

Ca un prim pas, înregistrarea în Registrul OSE se face prin notificarea CERT.RO și doar după prezentarea unui raport de audit care atestă îndeplinirea cerințelor minime de securitate, realizat de către un auditor atestat CERT.RO. Nu am văzut până acum o listă a auditorilor atestați, deci deduc că momentan acest proces este blocat. Nu am văzut nici vreo comunicare a CERT.RO despre câți OSE ar fi fost înregistrați până în acest moment, dar totuși îmi vine greu să cred că nimeni nu s-a înregistrat. Totodată, nu am văzut nicio estimare despre câți OSE și furnizori de servicii digitale ar putea fi la nivel național și câți pe fiecare sector în parte. Sunt de acord că unele informații despre OSE-uri ar putea fi considerate clasificate, dar o astfel de estimare statistică este esențială în elaborarea/fundamentarea oricăror politici publice în domeniu. Totuși, ceea ce mă nedumerește cel mai mult este de ce oare este condiționată includerea unui OSE în Registru, de implementarea cerințelor minime. Nu era mai corect ca OSE să fie înregistrați și apoi autoritatea națională să monitorizeze cumva procesul de implementare a măsurilor?

Astfel, înainte de a ajunge în Registru, OSE trebuie să treacă la treabă. Ordinul SGG 1323/2020 oferă foarte multe detalii despre măsurile minime ce trebuie implementate. Sunt 36 de cerințe stufoase, împărțite în 4 domenii mari (guvernanță, protecție, apărare cibernetică, reziliență). Cerințele sunt foarte vagi, redundante, lăsând însă multe lucruri esențiale la latitudinea OSE (ex: măsura B16 protecția malware - OSE va stabili măsuri de protecție malware și va implementa mijloace de control pentru detecția, prevenirea și recuperarea informației în scopul protecției împotriva atacurilor malware). Limbajul folosit în Ordin este ușor arhaic și greoi, documentul conține prea multe abrevieri (aproximativ 71), făcându-l foarte greu de citit. Din păcate nu este o exagerare când spun că majoritatea celor 71 de abrevieri reprezintă fiecare câte o mini procedură ce trebuie elaborată la nivelul OSE. Apreciez acest nivel de supra-procedurare și documentare a măsurilor cel puțin ca inadecvat pentru un mediu de lucru specific zonei IT, în special când vorbim de securitate cibernetică, unde lucrurile sunt foarte dinamice. Practic, fiecare OSE are nevoie de personal special angajat doar pentru întreținerea documentației și adaptarea acesteia la situațiile curente ce pot modifica arhitectura sistemului sau riscurile aferente. Mă gândesc dacă nu cumva ar fi fost mai bine să avem o lista scurtă și la obiect de cerințe clare, care să nu lase prea mult loc de interpretare, și care să ducă la asigurarea efectivă a unui nivel minim de securitate cibernetică. Dat fiind faptul că suntem în pandemie, mă tot duc cu gândul la spitale, categorie de instituții care este catalogată în bloc drept OSE. Este foarte puțin plauzibil ca un spital românesc, care suferă cel mai probabil de lipsă de personal și fonduri, să poată face față unui set de cerințe într-atât de amplu.

Totuși, deși cerințele sunt vagi, reiese în mod clar necesitatea adoptării unui set minim de soluții precum: firewall, protecție antivirus, sistem detecție intruziuni (IDS) si autentificare în doi factori pentru sistemele critice.

Per total, întregul proces la care trebuie să se supună OSE-urile este foarte complex și necesită multă planificare și răbdare. O astfel de situație (complexitate, neclaritate, lipsă resurse, lipsă cunoștințe) reprezintă rețeta unui mic dezastru, în care OSE-urile vor încerca să atingă conformitatea, dar doar pe hârtie, situație ce nu va avea un impact benefic real în termeni de securitate cibernetică. Toți operatorii vor fi presați să își îndrepte resurse către redactarea documentelor necesare, în detrimentul implementării propriu-zise a măsurilor aferente.

Ce aș sugera:

Simplificarea proceselor! Sunt convins că revizuirea actelor normative deja publicate, este improbabilă, dacă nu imposibilă. Deja a durat mult prea mult ca acestea să fie adoptate. Totuși, CERT.RO poate scoate un ghid simplificat, cu descrierea pe scurt a pașilor ce trebuie urmați de operatori, un set de răspunsuri la întrebări frecvente, exemple practice pentru anumite măsuri de securitate, etc, în ideea de a veni mai mult în întâmpinarea operatorilor.
Mai multă deschidere și comunicare pe această temă, dar cu focus pe esențial! Deși CERT.RO are destul de multe ieșiri publice, rareori am asistat la discuții concrete despre stadiul implementării legii NIS. Un singur workshop, cel adresat spitalelor, în colaborare cu grupul de voluntari CV19 pare să fi avut o abordare mai pragmatică. Sincer să fiu, la ce probleme au ridicat spitalele în acel workshop, îmi este foarte greu să cred că acestea vor fi în stare să implementeze orice fel de măsură în viitorul apropiat. Totuși, pe lângă spitale mai sunt și alte categorii de operatori esențiali iar CERT.RO trebuie să înceapă să îi ”împingă de la spate”.
Identificarea potențialelor surselor de finanțare europene pentru operatori. Mi se pare crucial ca Guvernul României, prin structurile aferente, cu ajutorul CERT.RO să aloce fondurile necesare pentru implementarea măsurilor necesare de către operatori. În primii ani, operatorii nu vor avea resursele necesare pentru astfel de proiecte, iar un ajutor în acest sens va fi binevenit. Securitatea cibernetică trebuie să reprezinte o pondere mai mare din totalul fondurilor europene disponibile României.
Încurajarea formării unei piețe de securitate la nivel național. Deși în momentul de față, există specialiști în securitate cibernetică la nivel național, nu aș spune că piața de securitate cibernetică este matură. Avem câteva firme etalon, dar care livrează mult în străinătate și o mică brigadă de specialiști în multinaționale. Dar cererea de servicii din partea companiilor românești lipsește. Piața de securitate cibernetică trebuie formată la nivel național, pentru că altfel, nu va avea cine să implementeze măsurile. Furnizorii privați de servicii de securitate cibernetică vor deveni esențiali în implementarea legii NIS. Să nu cumva să credem că ar putea fi altfel.

Citeste intreg articolul si comenteaza pe Contributors.ro

Piața liberă, sandwich între noul Centru European și ambițiile CERT-RO

Ce îi învață conducerea PNL pe lideri să spună după ce în Raportul SUA a apărut că PNL a hărțuit-o pe Emilia Șercan

INTERCEPTĂRI Educatoarele au tăcut după ce doi băieți instituționalizați de 16 ani au fost agresați sexual de un preot în biserică: „Chestia asta...

fanatik.ro: Deținutul periculos care a evadat la începutul lunii aprilie, bătut în închisoare. Agresorul a fost achitat

(Concurs) Cum pot învăța copiii de grădiniță și clasele primare despre bani? LifeLab aduce resurse valoroase în sălile de clasă

lovedeco.ro: Doi tineri au lăsat viața de oraș și s-au mutat la poalele Munților Piatra Craiului, iar acum își împart curtea cu turiștii iubitori de natură

Sufocată de turiști, Veneția încearcă un experiment în premieră mondială

Petre Roman, Voican Voiculescu și Virgil Măgureanu, la Parchetul General pentru a fi puși sub acuzare / Ion Iliescu ar urma să fie audiat acasă

România importă joi dimineață cât jumătate din producția internă de electricitate

panorama.ro: „Gângăniile” electronice fără care nu ai avea telefon, mașină sau televizor. Cum arată piața de sute de miliarde de dolari care învârte lumea

totuldespremame.ro: De ce a creat atâta vâlvă în online „Procedura secretă” a lui Marilu Dobrescu?

Percheziții la o grupare condusă de un discipol al lui Gregorian Bivolaru, care ar fi exploatat sexual opt tinere

Un prim tren de metrou produs de Alstom în Brazilia a ajuns în depoul Berceni. Încă 12 vor mai trebui să fie aduse la București

Systematic își mărește echipa din România. Cum atrage producătorul de software zeci de candidați

Gabriel Biriș: Vedem că toate impozitele cresc, dar crește și deficitul. Poate că nu putem plăti cât pot ei risipi / Câte modificări a avut Codul fiscal în ultimii 7-8 ani

STUDIU: Anumiți aditivi alimentari cresc riscul de diabet de tip 2

Avertismentul lui Macron: „Europa ar putea muri” / „Nu trebuie să fim vasalul SUA”, mai spune liderul francez, care vrea un rol puternic al UE în lume

Prețurile din România la energie sunt printre cele mai mari din UE, raportate la puterea de cumpărare standard

Ciolacu, la Timișoara: Adoptăm azi hotărârea care permite plata pensiilor înainte de Paști / Undă verde pentru investiții majore în Timiș

Alianța AUR nu va fi înscrisă la alegerile locale. Liberalii se mobilizaseră să o blocheze. Cristian Terheș (PNCR): Decizia noastră a fost de a candida separat pentru a nu ridica pragul la 8%

VIDEO Emmanuel Macron, jucând fotbal - Cum a executat un penalty președintele Franței

Belarus susține că din Lituania s-a încercat un atac cu drone asupra Minsk / Lukașenko: Opoziția vrea să cucerească un district și să ceară ajutorul NATO

Alina Gorghiu, despre cazul 2 Mai: Mi-aş fi dorit ca decizia CSM să spulbere orice fel de semn de întrebare

Dacă un copil are simptome de „răceală" în aceeași perioadă în fiecare an sunt necesare teste pentru alergii! Ce tratamente sunt posibile

Biblioteca Națională a Franței a plasat în carantină o antologie de poezie românească și alte 3 cărți decorate cu arsenic

Antreprenorii și liderii de top din mediul de business românesc vor fi pregătiți pentru impact în cadrul celei de-a XII-a ediții a RBL Summit din 29 - 30 mai

USR a depus la DIICOT un denunț penal contra lui Popescu Piedone și a „caracatiței” din Sectorul 5

Science Report: Ce s-ar întâmpla cu Terra dacă soarele s-ar transforma într-o gaură neagră?

Medic român întors din Franța: „Mă întreb câți medici există în Europa atât de bogați precum dr. Cîrstoiu. Doctori buni pleacă scârbiți în străinătate”

De ce nu a fost suspendată judecătoarea din dosarul lui Vlad Pascu, care l-a căutat în sală pe tânărul ucis în accident? Explicațiile CSM

LIVE Război în Ucraina - ziua 792: Lukașenko - Există premise pentru negocieri de pace / SUA au trimis în secret rachete ATACMS / Rusia: Vom lovi Polonia dacă primește arme nucleare

EXCLUSIV. Directivă PNL pentru toți șefii din județe: Solicitați respingerea Alianței AUR la Birourile electorale! / Ce au descoperit

INTERCEPTĂRI Educatoarele au tăcut după ce doi băieți instituționalizați de 16 ani au fost agresați sexual de un preot în biserică: „Chestia asta rămâne între noi și Dumnezeu”

Rumoare după arestarea ministrului rus Timur Ivanov, aliatul lui Șoigu, cu o avere uriașă. „Nimeni nu l-ar fi închis pentru corupție”

Sediul BEC, inundat. Au fost distruse 40.000 de semnături ale partidului lui Florin Călinescu. Judecătorii au arătat hibele legislației privind verificarea listelor

Americanii sunt „pur și simplu mai harnici” decât europenii, afirmă șeful celui mai mare fond de investiții din lume

TikTok își suspendă recompensele în UE fiind acuzată că încurajează dependența

Finanțări „Femeia Antreprenor” 2024: Noua grilă de punctaj elimină criteriile restrictive cu incubatoare de afaceri și brevete. Când încep înscrierile la granturile de 200.000 lei

Prima acțiune a statului român împotriva giganților Shein și Temu. Mergem pe urmele francezilor și lovim fenomenul fast fashion?

25 de ani de DENT ESTET în România -Investiții de zeci de milioane de euro în infrastructură medicală și sute de mii de pacienți din țară și străinătate tratați la standarde internaționale

3 femei diferite, 3 povești unice, o singură constantă – Regina Maria și călătoria spre maternitate

„Nu mai puteam să ridic mâna, nu mai puteam să fac nimic.” Problemele „crunte” ale unei tinere mame, rezolvate prin terapia durerii

Pacient cu cancer de colon în stadiu avansat, operat de dr. Decebal Fodor de la Spitalul Regina Maria Brașov. Fără colostomă, fără recidive și cu analize perfecte!

Țăranii istoriei, orășenii Orientului

Calendare

Viitorul (inconturnabil) pe care îl trăim

Antinomiile radicalismului utopic

Școala – divertisment și elite

Lenovo lansează tableta de gaming Legion Tab și gama de laptopuri de gaming din 2024. Specificații

Co-fondatorul Shazam, aplicație cumpărată de Apple, vine la București

Noi reguli europene pentru lucrul pe platforme digitale gen Glovo, Tazz, Uber sau Bolt

Aplicația Threads ajunge la 150 de milioane de utilizatori

O nouă listă de ambalaje interzise în UE, inclusiv în România, din 2030 (Parlamentul European)

PE a votat rapoartele privind alocarea a 4,8 miliarde de euro pentru Ucraina și creșterea bugetului

TREND: PP-DB are un ușor avans în fața Mișcării pentru Drepturi și Libertăți și Renașterea

În Ungaria peste 170.000 de cetățeni străini pot vota la alegerile locale

Se deschide un nou punct de trecere a frontierei cu Ungaria

Statele Unite: Joe Biden continuă să-l atace pe Donald Trump pe tema avortului