Am primit răspunsul oficial din partea MCSI la observațiile mele legate de propunerea de lege a securității cibernetice. Ăsta este un lucru grozav: este prima dată cînd mi se răspunde :). În unele cazuri „observația a fost corectă„, în altele nu. Acolo unde observațiile mele nu au fost considerate corecte, explicațiile lasă de dorit. Voi exemplifica puțin.

Am scris:

„În Expunerea de motive se precizează că propunerea nu va avea impact bugetar. În fapt va exista impact bugetar: toate organizatiile intrate sub incidenta legii vor trebui să isi achizitioneze solutii de protectie in functie de rezultatul evaluării riscurilor sau de manifestarea unui incident la un moment dat (solutii de endpoint security, mangement vulnerabilități, SIEM, sandbox, forensic etc)„

Răspuns:

Proporționalitatea măsurilor necesare este în directa corelație cu nivelul riscurilor cu care diferitele tipuri de infrastructuri cibernetice se confruntă și în prezent, ponderea majoră fiind la infrastructurile de tip ICIN

Sînt în ceață totală: are sau nu are impact bugetar?

 

Am scris:

Definiția amenințării cibernetice nu este clară și corespunde în fapt definiției riscurilor din directiva NIS. Introducerea termenilor „circumstanță„ și „eveniment„, termeni care nu sunt definiți, în cazul amenințării nu este corectă. Evenimentul care are ca rezultat întreruperea funcționării SIUI din cadrul CNAS este amenințare cibernetică?

Răspuns:

Definiția amenințării este consistentă cu HG 271/2013 pentru aprobarea Strategiei de securitate cibernetică a României. De asemenea, definiția este similară definițiilor date de NIST.IR.7298

Comparație:

Definiție propunere lege

Definiție NIST.IR.7298

ameninţare cibernetică – circumstanţă sau eveniment care constituie un pericol potenţial la adresa securităţii cibernetice;

Any circumstance or event with the potential to adversely impact organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, or the Nation through an information system via unauthorized access, destruction, disclosure, modification of information, and/or denial of service. SOURCE: SP 800-53; SP 800-53A; SP 800-27; SP 800-60; SP 800-37; CNSSI-4009

Nu e vorba de scrupulozitate academică. Claritatea termenilor folosiți într-o lege de așa importanță este foarte critică.

Am scris:

Cu privire la definirea riscului de securitate cibernetică,a se vedea definiția NIS

„risc” înseamnă orice circumstanță sau eveniment care are un efect negativ potențial asupra securității;

Răspuns:

Definiția din proiectul de lege este conformă cu modul de definire a amenințărilor și riscurilor din Strategia de securitate cibernetică a României. Mai mult, cum proiectul de Directivă NIS nu tratează în mod clar amenințarea cibernetică, considerăm că propunerea de lege aduce un plus de claritate conceptuală în legislația națională specifică.

(risc de securitate în spaţiul cibernetic – probabilitatea ca o ameninţare să se materializeze, exploatând o vulnerabilitate specifică infrastructurii cibernetice;)

Mi-a plăcut teribil „claritatea conceptuală„….Înțeleg că definiția din directivă nu este suficient de clară din punct de vedere conceptual. Nici cele din NIST.IR.7298

The level of impact on organizational operations (including mission, functions, image, or reputation), organizational assets, or individuals resulting from the operation of an information system given the potential impact of a threat and the likelihood of that threat occurring. SOURCE: FIPS 200

The level of impact on organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, or the Nation resulting from the operation of an information system given the potential impact of a threat and the likelihood of that threat occurring. SOURCE: SP 800-60

A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically a function of: (i) the adverse impacts that would arise if the circumstance or event occurs; and (ii) the likelihood of occurrence.
Note: Information system-related security risks are those risks that arise from the loss of confidentiality, integrity, or availability of information or information systems and consider the adverse impacts to organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, and the Nation.SOURCE:  SP 800-53

A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically a function of: (1) the adverse impacts that would arise if the circumstance or event occurs; and (2) the likelihood of occurrence.
Note: Information system-related security risks are those risks that arise from the loss of confidentiality, integrity, or availability of information or information systems and reflect the potential adverse impacts to organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, and the Nation.SOURCE:  CNSSI-4009

A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically a function of: (i) the adverse impacts that would arise if the circumstance or event occurs; and (ii) the likelihood of occurrence.
[Note: Information system-related security risks are those risks that arise from the loss of confidentiality, integrity, or availability of information or information systems and reflect the potential adverse impacts to organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, and the Nation. Adverse impacts to the Nation include, for example, compromises to information systems that support critical infrastructure applications or are paramount to government continuity of operations as defined by the Department of Homeland Security.] SOURCE: SP 800-37; SP 800-53A

Am scris:

Cu privire la definiția securității cibernetice, a se vedea definiția din Directiva NIS:

 „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;

Răspuns:

Prin definiția introdusă în proiectul de lege am urmărit o apropiere mai mare de definiția securității din glosarul de termeni cheie al NIST, decât oferă proiectul de directivă NIS. De asemenea, definiția introdusă în proiectul de lege este conformă cu HG nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetică a României.

(securitate cibernetică – stare de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, precum şi rezilienţa şi stabilitatea resurselor şi serviciilor publice sau private din spaţiul cibernetic;)

Așa o fi?

Security  –  A condition that results from the establishment and maintenance of protective measures that enable an enterprise to perform its mission or critical functions despite risks posed by threats to its use of information systems. Protective measures may involve a combination of deterrence, avoidance, prevention, detection, recovery, and correction that should form part of the enterprise’s risk management approach. – NIST.IR.7298

„Conceptual„ vorbind, mi se pare că s-a făcut un fel de JOIN între două definiții…

Sîntem aproape la jumătatea anului 2016. Oare Strategia de securitate cibernetică aprobată în 2013 este atît de bine realizată încît nu necesită nici un fel de actualizare? Și dacă proiectul de directivă NIS spune că trebuie să avem „O AUTORITATE NAȚIONALĂ COMPETENTĂ în  domeniul securității  rețelelor  și  a  sistemelor  informatice„ noi vom avea:

• o autoritate de regelementare și control (MCSI)
• 3 autorități cu rol de coordonare a activităților în domeniul securității cibernetice (CERT-RO, CNSC și ANCOM)
• 8 autorități responsabile de securitatea cibernetică pentru infrastructurile cibernetice aflate în domeniul lor de activitate și responsabilitate.

Am lăsat la final o explicație primită de Bogdan Manolea – ApTI:

Propunerea de lege definește furnizorul de servicii de securitate cibernetică

orice persoană juridică ce realizează, în vederea protejării infrastructurilor cibernetice, cel puţin una dintre următoarele activităţi: implementare de politici, proceduri şi măsuri, auditare, evaluare, testare a măsurilor implementate, management al incidentelor de securitate;

Răspunsul primit de Bogdan:

În spiritul proiectului de lege, producătorii sînt asimilați furnizorilor de servicii. Astfel sintagma acoperă tot spectrul persoanelor juridice implicate în procesul de întărire a securității cibernetice (furnizori de soluții, servicii de dezvoltare, educație etc).

Conform Art. 23:

Art. 23 – (1) Furnizorii de servicii de securitate cibernetică ce desfăşoară activităţi pe teritoriul României au obligaţia să notifice autorităţile competente, deîndată dar nu mai târziu de 24 de ore, cu privire la identificarea unor ameninţări sau vulnerabilităţi critice a căror manifestare poate afecta infrastructura cibernetică a deținătorului sau a unor terți.

Interesant.