DA!

Strategia de securitate cibernetică a României, așa cum a fost ea scrisă, datează din anul 2013! Pentru domeniul IT o perioadă de 5 ani este deja prea mult. Strategia a rămas un document cvasiformal pentru că aproape nici un obiectiv de acolo nu a devenit realitate! Nu am identificat pe nicăieri un document din care să reiasă care a fost bugetul alocat pentru atingerea obiectivelor din această strategie și care este starea obiectivelor. Cu excepția licitației din 2015 pentru achiziția de echipamente pentru ICIN-uri.

Dar de astăzi există și un instrument de evaluat o astfel de strategie: ENISA a publicat National Capabilities Assessment Framework (NCAF) 

Revin la subiectul „educație„ menționat în Strategia din 2013.

Promovarea şi consolidarea culturii de securitate în domeniul cibernetic

– derularea unor programe de conştientizare a populaţiei, a administraţiei publice şi a sectorului privat, cu privire la ameninţările, vulnerabilităţile şi riscurile specifice utilizării spaţiului cibernetic;

– dezvoltarea de programe educaţionale, în cadrul formelor obligatorii de învăţământ, privind utilizarea sigură a internetului şi a echipamentelor de calcul;

(…) dezvoltarea de programe educaţionale şi de cercetare în domeniu;

Pe hîrtie a sunat frumos și ambițios. În realitate? S-ar putea argumenta că, cel puțin în cazul învățămîntului universitar, în virtutea „autonomiei universitare„ ar fi fost treaba facultăților/universităților. O fi așa. Doar în teorie. În practică există însă „mici„ condiționări. Una este bugetul! (consider că acreditarea de către ARACIS nu ar fi o problemă, deși este 🙂 ).

Un program de studii de licență/master în domeniul securității IT este costisitor: ai nevoie de laboratoare cu ceva mai mult decît stații de lucru și servere; disciplinele trebuie predate modular nu conform sistemului clasic curs-seminar/laborator. Ai nevoie să emulezi un sistem informatic apropiat de realitatea din producție, multă virtualizare, echipamentele/soluțiile de protecție aferente pentru că nu se va preda doar partea de programare. Dacă se dorește a se învăța și despre „malware analysis„ ai nevoie de un laborator dedicat, cu sandbox, pentru că nu poți să studiezi eșantioane de viruși ca la piață. Dacă vrei să înveți studenții despre „computer forensic„, la fel, este nevoie de echipamente dedicate. Securitatea IT nu este doar despre „echipamente„, este despre „de toate„ și atunci cursantul trebuie „să vadă„, „să pună mîna„, „să încerce„, „să greșească„. Ori la ora actuală nu știu cîte universități au buget să pornească un astfel de demers.

Apoi, pentru toate astea este nevoie de resursă umană specializată. Pe care acum nu ai de unde să o iei. La ora asta, să aduci un specialist din zona privată să predea constant un curs într-o facultate este extrem de greu (birocratic). Și renumerat …..deloc pe măsura competențelor.

Componenta „educație„ din propunerea OG de înființare a DNSC este cea mai ambițioasă în opinia mea. Este însă o problemă care trebuie privită pe termen mediu-lung și care nu se va rezolva prin „parteneriat„ (formalizat printr-un document de „colaborare/parteneriat„) cu Ministerul Educației ci prin implicarea directă a acestui Minister. Gama de inițiative educaționale ar trebui să aibă în vedere European e-Competence Framework și să acopere, cel puțin:

• programe școlare și standarde educaționale pe grupe de vîrstă (de exemplu, chiar din clasa I să îi înveți pe copii cum se utilizează facilitățile Internetului în siguranță; cum să identifice un site sau un mail fals etc)
• o curriculă universitară, dezvoltată cu sprijinul industriei și care să fie recunoscută nu doar de ARACIS ci și de DNSC! Programul universitar să poată folosi marca DNSC: „program de studii de licență/master recunoscut de DNSC„
• Companiile private trebuie sprijinite să se implice în zona universitară: dacă ești din industrie și ești solicitat să predai, să nu fii obligat la îndeplinirea condițiilor birocratice de acum.
• Cursuri pentru profesorii din ciclul primar, gimnazial.

Cum scopul meu nu este să rezolv subiectul acum, mă opresc aici.

Cîrcotesc despre existența unei singure instituții care să se ocupe de securitate IT de mai bine de 10 ani. La fel cum spun că trebuie să fie reglementat subiectului auditului IT. Este motivul pentru care, așa cum am scris și în articolul anterior, m-am bucurat cînd am citit despre inițiativa DNSC. Doar că eu văd un astfel de directorat ca pe o structură INDEPENDENTĂ și care să nu interfereze cu zona de reglementare/legiferare mai mult decît expertiza tehnică pe care să o pună la dispoziție. De exemplu ,cum ar reglementa DNSC securitatea IT din sectorul bancar altfel decît este aceasta prezentată în ghidurile EBA (European Banking Authority) însușite de BNR? – „Autoritatea bancară europeană (ABE) este o autoritate independentă a UE care are ca obiectiv asigurarea unui nivel eficient şi consecvent de reglementare şi supraveghere prudenţială în întregul sector bancar din UE„

Nu poți fi arbitru, antrenor și jucător. Nu poți legifera (tot ce ține de securitate cibernetică), consilia (pe oricine) și acredita (orice produs, serviciu, proces sau profesia de auditor) în același timp. Pentru că în cazul ăsta principiile „niciodată singur„ sau „6 ochi„ se duc pe apa Sîmbetei!

Pe lîngă competențele și atribuțiile legate de CERT și NIS, DNSC ar trebui să fie un intermediar/broker neutru de informații/cunoștințe/expertiză de specialitate, să stabilească principii/standarde/ghiduri (acolo unde nu există) și rezultate ce trebuie atinse, mai degrabă decât reglementarea prescriptivă (lege). DNSC trebuie să fie principalul consilier al autorităților de reglementare. De exemplu să spijine ANSPDCP cu privire la măsurile tehnice pentru asigurarea conformității cu GDPR.

DNSC poate fi și consultant pentru orice organizație publica sau privată fără doar și poate. În acest caz însă nu mai poate interfera cu reglementarea și auditul. BNR nu oferă consultanță băncilor pe care le supraveghează și pentru care emite reglementări. Nici Curtea de Conturi nu consiliază instituțiile publice pe care le auditează.

Dar ca să poată îndeplini acest rol de intermediar cred că DNSC trebuie să aibă de la bun început alocat un buget consistent prin care să pună în practică un „program național de securitate„ care atinge obiectivele unei strategii de securitate. Altfel spus, exact așa cum spune teoria: obiectiv-termen de realizare-buget!

Legat de „acreditare„ și „certificare„, acest subiect ar fi trebuit mai clar explicat pornind de la „REGULAMENTUL (UE) 2019/881 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)„ – regulament care nu a fost menționat deloc în propunerea de OG

Statele membre nu introduc noi sisteme naționale de certificare a securității cibernetice pentru produsele TIC, serviciile TIC și procesele TIC care fac deja obiectul unui sistem european de certificare a securității cibernetice în vigoare.

S-ar putea argumenta că în propunerea de OG se face referire la „produse/servicii/procese de securitate IT„ în timp ce Regulamentul European la „produse ITC„. Sistemul de operare, avînd în vedere că are și componente/funcții de identificare-autentificare-criptare, este un „produs de securitate IT„? Criptarea unei tabele dintr-o bază de date, cu funcția nativă a SGBD este un „proces de securitate IT„? Este nevoie de mai multă rigoare a termenilor/sintagmelor/conceptelor folosite. (Cybersecurity Certification: EUCC Candidate Scheme)

Cît privește „auditorii„ la care face referire Legea NIS și care în viitor se vor afla sub acreditarea DNSC, cred că prima dată trebuie inclusă în COR această profesie. Pentru că ea există în ESCO. De atîția ani apare prin diferite Ordine de ministru (MCSI, Min. Finanțe) referirea la „audit IT/auditor IT/auditor de securitate„ dar profesia asta nu există în COR nici acum! Și dacă la început am scris despre educație, toate profesiile care au legătură cu securitatea IT trebuie incluse în COR prin preluarea acestora din ESCO, fără alte completări cu „speific național„ pentru că nu am inventat roata. Studentului îi voi spune ce competențe și abilități are după 3 ani de facultate dar și care sînt meseriile recunoscute pentru care s-a pregătit. (Trebuie să recunosc că nu îmi este clar de ce avem un COR dacă există ESCO și de ce trebuie ca „cineva„ să facă cerere de actualizare a COR cu ceva ce există în ESCO)

Am speranța că nu peste mult timp se va ajunge la o formă coerentă a unui act normativ și DNSC va deveni realitate.