Via Hotnews.ro am citit documentul ce dă titlul postului de mai sus. Document aflat în dezbatere publică.

Ca unul ce am avut parte pînă în 89 de ceva şedinţe UTC, am remarcat chiar de la început profunzimea documentului:

“ Dezvoltarea rapidă a  tehnologiilor moderne de  informaţii  şi  comunicaţii  – condiţie sine
qua non a edificării societăţii informaţionale – a avut un impact major asupra ansamblului
social, marcând adevărate mutaţii în filozofia de funcţionare a economicului, politicului şi
culturalului, dar şi asupra vieţii de zi cu zi a individului.”

Ce multe ar fi de spus. Henry Mintzberg probabil s-ar ruşina de ceea ce a scris despre “strategie”. Michael Porter spunea că esenţa unei strategii este alegerea a ceea ce nu trebuie să faci…..

“Cu cât  o societate este mai   informatizată,  cu atât  este mai  vulnerabilă,   iar asigurarea
securităţii spaţiului cibernetic trebuie să constituie o preocupare majoră a tuturor actorilor
implicaţi, mai ales la nivel instituţional, unde se concentrează responsabilitatea elaborării
şi aplicării de politici coerente în domeniu.”

Am remarcat definiţia “Infrastructuri   cibernetice” şi folosirea în text a sintagmei “infrastructurilor critice”. În accepţiunea mea, reţeaua de alimentare cu curent electric a unui oraş este o infrastructură critică. Sau o staţie de transformare. Sau o staţie de epurare a apei, dacă îmi aduc aminte cum în decembrie 1989 se transmitea pe surse “că a fost otrăvită apa”.

Nu am reuşit să înţeleg din cele 10 pagini care sînt rolurile şi responsabilităţile. Cu excepţia CERT…

Nici ce treabă are această strategie cu “Stimularea capabilităţilor naţionale de cercetare-dezvoltare şi inovare în domeniul securităţii cibernetice”.

Dacă o direcţie de acţiune vizează şi “Dezvoltarea entităţilor de tip CERT”, actuala structură va fi “mai multe”?

Unii din zona privată vor scăpa de marketing: “Formarea profesională adecvată a persoanelor care îşi desfăşoară activitatea   în domeniul   securită"ii   cibernetice   şi   promovarea   pe   scară   largă   a   certificărilor profesionale în domeniu.”

Şi dacă cumva, la prima lectură, fraza de mai sus nu este clară, insităm cu cea imediat următoare:

“Includerea unor elemente referitoare la securitatea cibernetică în programele de formare şi perfecţionare profesională a managerilor din domeniul public şi privat.”

Putem încerca un joc comparativ cu viziunea altora:

Australia

UK

Canada

Strategiile Germaniei, Olandei şi Franţei sînt disponibile pe situl ENISA.

Nu pot să nu spun ceva şi despre actualul http://www.cert-ro.eu :

“Incidente de securitate

Definire

Prin incident de securitate, vom înţelege  orice incalcare a politicilor de securitate care pot afecta atributele de securitate ale informaţiei, ca urmare a unor cauze naturale sau provocate cu intenţie.
Referinţa principală faţă de care se raportează  incidentele de securitate este politica de securitate a organizaţiei – orice încălcare a politicii de securitate reprezintă incident de securitate.
In general incidentele de securitate sunt specifice fiecărei organizaţii dar, peste un anumit nivel de ameninţare, pentru cooperare este nevoie de un anumit grad de uniformizare.”

Prin urmare dacă se încalcă o lege nu va fi incident de securitate? Iar link-ul către alerte este sublim….

Dar cea mai mare dilemă a mea este alta. De ce se ocupă MCSI de aşa ceva? Oare nu ar fi mai degrabă treaba SRI sau MApN? Dacă tot e vorba de securitate şi de România?

Gînduri de cîrcotaş. Nu trebuie luate în seamă.  Important este că avem strategie!