Securitatea IT nu se manifestă în vacuum sau într-un experiment de laborator, cu ipoteze și actori bine definiți: spionaj sau terorism.

În opinia mea, punctul slab al Legiii securității cibernetice îl reprezintă chiar omiterea unuia dintre conceptele de bază pe care se bazează securitatea IT: ÎNCREDEREA. Dacă în societate căutăm să oferim protecție diferiților actori împotriva amenințărilor „off line„, același lucru trebuie căutat a fi atins și în mediul on line! „Băieții răi„ din on line nu sînt mai răi decît „băieții răi„ din off line.

Pornind de aici cred că întrebarea la care trebui găsit răspunsul corect este: ce dorim să protejăm într-o lume digitală? Răspunsul la această întrebare ne va ajuta să răspunde la următoarea: cum asigurăm protecția?

Avem nevoie de securitate cibernetică. Dar actuala lege nu are în vedere toți beneficiarii/actorii. Obiectivele securității în cazul unei companii private sînt diferite de cele ale unei instituții guvernamentale. Cu toate acestea, ambele organizații pot interacționa la un moment dat. Apoi ar trebui avută în vedere responsabilitatea: este diferită la nivel de individ comparativ cu cea a unei organizații.

Tonul alarmist apărut în discursul guvernamental autohton imediat după evenimentele de la Paris alimentează inflația de amenințări digitale. Deși atacatorii s-au folosit de cu totul alte arme decît cele digitale. Multe din afirmațiile  care se fac în această perioadă sînt lipsite de probe concludente,  se înscriu în sfera „convingerilor„. Nu de puține ori m-am simțit frustrat pentru că nu am găsit nici o analiză economică legată de pierderile suferite de România, nici un studiu tehnic/juridic cu privire la numărul de amenințări/incidente și cum au fost acestea rezolvate. Cele mai multe „articole„/„studii„  se înscriu în sfera empirismului.

Deschizi un browser. Tastezi: „CNP„ filetype:xls. De pe un site guvernamental autohton îți „achziționezi„ o identitate. Pe un alt site îți faci un cont de mail. De pe altul îți achziționezi un „card cadou„. Iar de pe altul o cartelă telefonică. Eventual, toate aceste acțiuni le faci de pe calculatorul unui necunoscut pe care îl accesezi de la distanță în timp ce îți savurezi cafeaua la mall. Scenariul acesta se poate întîmpla la mai bine de 10 ani după adoptarea Legii pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date – 677 / 2001 . Acesta este un exemplu oarecum copilăresc. Mai tare mă iau frisoanele cînd mă gîndesc la Dosarul Electronic de Sănătate….

În mai 2013 era aprobată Strategia de securitate cibernetică a României şi Planul de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică. Dintre acțiuni amintesc: „completarea şi armonizarea cadrului legislativ naţional în domeniu, inclusiv stabilirea şi aplicarea unor cerinţe minimale de securitate pentru infrastructurile cibernetice naţionale„ sau „În termen de 90 de zile de la intrarea în vigoare a prezentei strategii, COSC va elabora Programul naţional destinat managementului riscului în domeniul securităţii cibernetice. „.

Totul ține de decizii politice. Este important însă ca deciziile politice să țină cont de interesele tuturor beneficiarilor. Este important să avem o fundație corectă și să nu uităm că pentru orice cerere-ofertă există și o piață neagră.