Scriu cele ce urmează după ce am lecturat de 3 ori propunerea de OG privind înființarea Directoratului Național de Securitate Cibernetică și pentru modificarea și completarea unor acte normative (la această oră nu știu dacă a fost aprobabtă). Am rezonat de prima dată de cînd am citit despre această inițiativă: este nevoie de un singur „creier„ care să deseneze viziunea, strategia, aspectele ce țin de conformitatea securității. Astăzi însă constat că, așa cum este scrisă propunerea, există posibilitatea să asistăm la nașterea unui monopol de stat („DNSC poate înființa, în condițiile legii, în numele statului, societăți cu capital de stat în România și în străinătate. De asemenea, DNSC poate participa, cu respectarea cadrului legal în vigoare din domeniul societar la majorarea capitalului social al societăților la care exercită, în numele statului, calitatea de acționar.„) Sau poate înțelegerea mea este greșită în lipsa unei dezbateri publice pe acest proiect de OG.

Directoratul Național de Securitate Cibernetică, denumit în continuare DNSC, instituție publică, cu personalitate juridică, în coordonarea Prim-ministrului, finanțată din venituri proprii și subvenții acordate de la bugetul de stat poate deveni cel mai mare (1250 de angajați în schema de personal) și mai complet prestator de servicii din domeniul securității IT.

Conform Art. 3 principala responsabilitate a DNSC este asigurarea securității cibernetice a spațiului cibernetic național civil, în colaborare cu instituțiile și autoritățile competente. DNSC este autoritatea competentă la nivel național pentru spațiul cibernetic național civil, inclusiv pentru securitatea rețelelor și sistemelor informatice care asigură furnizarea de servicii esențiale ori furnizează servicii digitale.

Se înțelege deci că DNSC nu va avea în vedere doar operatorii de servicii esențiale și furnizorii de servicii digitale ci tot spațiul cibernetic național = „spațiul cibernetic național care exclude infrastructurile cibernetice aflate, conform prevederilor legale, în administrarea sau responsabilitatea instituțiilor din sistemul național de apărare, ordine publică și securitate națională, precum și cele care vehiculează informații clasificate„

DNSC va fi și un furnizor de servicii: „oferă servicii publice de tip preventiv, de tip reactiv și de consultanță.. De exemplu, serviciile publice de consultanță pentru managementul serviciilor de securitate cibernetică includ:

• realizarea, la cerere, de auditări și evaluări de securitate sau teste de penetrare;
• analize de risc aplicate la nivel local și la nivel național privind infrastructurile cibernetice de interes național;
• planificarea asigurării funcționării continue și a recuperării în caz de dezastre;
• atestarea managementului securității cibernetice și a incidentelor cibernetice;
• atestarea auditorilor de securitate informatică specifice domeniului securității rețelelor și sistemelor informatice.

Studiu de caz 1

SC Bitul Vesel SRL, operator de servicii esențiale, achiziționează la cerere de la DNSC „atestarea managementului securității cibernetice„ și „teste de penetrare„. După un timp, SC Bitul Vesel SRL trebuie să depună la DNSC raportul de audit cerut de Legea NIS. Raportul este întocmit de un auditor independent „atestat de DNSC„ care va folosi ca referențiale „regulamente, norme, cerințe, ghiduri și recomandări„ emise de DNSC. Raportul ajunge la cel care a atestat managementul securității cibernetice, a emis referențialele utilizate în audit și a atestat auditorul. :).

____________________________________

Acest scenariu nu este posibil doar dacă în momentul solicitării serviciilor, DNSC le va refuza pe motiv că Bitul Vesel SRL este un OSE. Pe de altă parte însă, printre principiile definite în OG se numără

principiul egalității – beneficiarii activităților desfășurate de către DNSC vor fi tratați în mod egal, într-o manieră nediscriminatorie, corelativ cu obligația DNSC de autoritate națională, de a trata în mod egal pe toți beneficiarii, fără discriminare, pe criteriile prevăzute de legislația în domeniul de competență.

Printre principiile definite în OG nu se numără însă și cel al „independenței„.

Ori să îndeplinești „funcția de autoritate competentă la nivel național de reglementare, supraveghere și control„ și să oferi în același timp servicii în domeniul pe care îl reglementezi și îl controlezi înseamnă să fii lipsit de independență. Este un caz de manual.

Subiectul „serviciilor„ pe care le oferă DNSC cred că trebuie clarificat.

Art. 5 Funcții și atribuții zice că DNSC „Stabilește standardele și reglementările în domeniul securității cibernetice la nivel național, cu excepția celor prevăzute la art. 20 alin. (1), care devin obligatorii odată cu publicarea în Monitorul Oficial al României, Partea I, și verifică implementarea acestora prin acțiuni de control.„. Art. 20 alin 1 – „Prezenta ordonanță de urgență nu se aplică domeniilor din responsabilitatea instituțiilor de apărare, ordine publică și securitate națională, infrastructurilor critice naționale și infrastructurilor ce vehiculează informații clasificate.„

DNSC îndeplinește și „Funcția de autoritate națională de certificare privind securitatea cibernetică – are calitatea de organism național și asigură mecanismele naționale privind evaluarea, certificarea și acreditarea produselor, serviciilor și proceselor în domeniul securității cibernetice.„ Această funcție este diferită de Funcția de evaluare a securității cibernetice a noilor tehnologii.

Cu referire la „certificarea proceselor„, înseamnă că se poate apela la DNSC pentru a certifica „procesul pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.„ – Art. 32 (1)(d) GDPR

Conform definițiilor, un produs de securitate cibernetică  este „un element sau un grup de elemente care asigură securitatea unei rețele sau a unui sistem informatic„. În calitatea sa de autoritate națională de certificare în domeniul securității cibernetice pentru spațiul cibernetic civil, DNSC

• certifică din punct de vedere al securității cibernetice atât produse și servicii de securitate cibernetică, cât și produse și servicii de tehnologia informației și comunicațiilor;
• înființează și gestionează Registrul Național al Activelor, Produselor și Serviciilor De Securitate Cibernetică, denumit în continuare RNAPSSC.
• autorizează laboratoarele civile de testare, evaluare și certificare a securității cibernetice a produselor și serviciilor care sunt utilizate în cadrul rețelelor și sistemelor informatice.

Studiu de caz 2

SC Bitul Vesel SRL, înainte de a solicita de la DNSC servicii de „atestare a managementului securității cibernetice„ a implementat măsuri tehnice și administrative conform Normelor minime de securitate. Pentru monitorizarea posibilelor incidente a achiziționat un SIEM, o soluție de UEM (Unified Endpoint Management, cu Discovery, patch, config și performance management), o soluție de UES/EDR (Unified Endpoint Security/Endpoint Detection and Response cu Asset discovery, Data risk, Vulnerability etc)

Ar trebui ca produsele achiziționate de Bitul Vesel SRL să figureze în RNAPSSC? Dacă da, ce va face „laboratorul civil de testare„: ia produsele din portofoliul fiecărui furnizor și le certifică? Cum? Dacă DNSC certifică produse și servicii de securitate cibernetică prin ce diferă această activitate de cea a unui „laborator civil„ autorizat de către DNSC dar care la rîndul său „evaluează și certifică produse și servicii„? Testele de penetrare nu sînt „servicii„? Dacă da, cum vor fi ele „evaluate și certificate„?

__________________________________

Cred că și subiectul acesta trebuie clarificat.

Mai sînt și alte aspecte controversate dar am lăsat la final pe al treilea: Funcția de educație și pregătire în domeniul securității cibernetice. DNSC „Dezvoltă parteneriate cu ministere de resort, cu școli, licee/colegii și universități, cu mediul privat, precum și cu parteneri internaționali, în scopul creării cadrului național de educație și pregătire în domeniul securității cibernetice care să ofere resursa umană necesară statului român pentru asigurarea securității cibernetice.„

Nu cred că un „parteneriat„ este suficient. Ministerul Educației lipsește dintre instituțiile cu care DNSC „se consultă și cooperează„. Ori planurile de învățămînt din licee și universități sînt aprobate de către MEdC. Finanțarea este asigurată de MEdC. Autorizarea și acreditarea unui program de studiu durează. Lucrurile sînt ceva mai complicate privite din interiorul sistemului educațional. Nu poți să introduci peste noapte o disciplină sau să inființezi o specializare ori cît de mult și-ar dori profesorii, piața sau DNSC. O știu din propria experiență!

Și acest subiect cred că ar trebui revizuit.