Daniel Ioniţă, directorul Direcţiei Analize, Politici, Cooperare din CERT- RO: Securitatea cibernetică costă. Există proverbul “suntem prea săraci ca să luăm lucruri ieftine”
Indira CrasneaSecuritatea cibernetică costă şi în acest domeniu fiind valabil proverbul “suntem prea săraci ca să luăm lucruri ieftine”, a spus la ediţia MAS Live, Daniel Ioniţă, directorul Direcţiei Analize, Politici, Cooperare din Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică ( CERT- RO).
Prezentăm textul primei părţi a ediţiei MAS Live. Partea a doua va fi prezentată marţi, 26 iunie.
Moderator: NIS şi GDPR ne-au intrat dintr-o data în viaţă şi parcă ne-au bulversat. Directiva NIS şi GDPR ar fi ceva care să ne sperie, ar fi ceva normal, ceva care să ne protejeze?
Ce pot să reţină oamenii obişnuiţi, nespecialişti, din aceste două zone şi cum ne influenţează, până la urmă ?
Daniel Ioniţă: N-ar trebui să ne fie frică, n-ar trebui să ne sperie. Sunt lucruri bune care se vor întâmpla în conformitate cu prevederile NIS şi GDPR.
Dar până la NIS şi GDPR – pentru că s-a spus de acronime – şi CERT sper să fi avut acelaşi impact. Este Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică. Şi folosesc prilejul să spun că în 6-7 ani de la înfiinţare am ajuns la poziţia de a fi –urmează să fim – autoritate naţională de implementare a NIS.
Directiva NIS, aşa cum este cunoscută - Network and Information Security directive – este alături de GDPR – regulamentul general de protecţie a datelor cu caracter personal – două documente foarte importante pentru piaţa europeană şi cu impact în România.
Dacă e să ne uităm la istoric, în 2013 se vorbea de strategia europeană de securitate cibernetică. Atunci, cei care au elaborat strategia europeană de securitate cibernetică au zis «cum să facem să separăm puţin lucrurile ».
În «scenă» erau deja actori şi din zona defense, şi din zona criminalităţii. Dar Comisia Europeană se focusa, are ca obiectiv concentrarea pe zona economică. Asta este esenţa organismului Comisia Europeană.
Atunci s-a spus «hai să stabilim trei piloni în securitatea cibernetică» europeană. Primul pilon a fost NIS – securitatea informaţiilor şi a reţelelor. Cel de al doilea şi cel de al treilea nu fac obiectul discuţiei de aici: cyber crime, ciyber defense. Pentru că nu sunt în zona de responsabilitate a CERT.
Întorcându-ne la pilonul NIS, lucrurile au fost extrem de bine motivate. Dacă vrem să avem o creştere economică, trebuie să avem o piaţă unică în Europa. Dacă vrem să avem o piaţă unică , nu trebuie să uităm de dezvoltarea tehnologică. Şi atunci piaţa unică trebuie să fie şi digitală. Ca să avem piaţă unică digitală, trebuie ca aceia care folosesc serviciile digitale din piaţa respectivă să aibă şi încredere în ele.
Ca să ai încredere în folosirea serviciilor digitale trebuie să existe securitate cibernetică.
Şi am venit la necesitatea Directivei NIS.
Deci directiva care reglementează principalul pilon, cel economic din cadrul strategiei de securitate cibernetică. Dacă lucrurile stau în felul acesta, s-a simţit nevoia de a stabili şi o autoritate care să facă lucrul acesta.
Directiva NIS a fost aprobată în 2016 . Era prevăzut şi termenul de intrare în vigoare de mai 2018.
Tot în mai 2018, intră în vigoare şi prevederile GDPR.
De multe ori am fost întrebaţi, ca experţi CERT-RO, dacă şi cum afectează GDPR segmentul de securitate cibernetică.
Le-am spus că, deşi autoritatea naţională de implementare pentru GDPR este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), din punctul nostru de vedere nu se întâmplă nimic nou doar ceea ce spuneam înainte: datele cu caracter personal pot fi afectate în mediul online, confidenţialitatea lor, integritatea datelor, caracteristicile, dacă nu sunt respectate regulile şi măsurile de siguranţă cibernetică.
Deci, lucrurile, din punctul nostru de vedere, nu sunt foarte noi. Noi spuneam şi înainte de GDPR că trebuie aplicate măsuri de securitate cibernetică ca să nu fie accesate datele cu caracter personal. Acum vine GDPR şi spune cu mai multă tărie şi cu mai multe sancţiuni – în cazul în care nu se fac lucrurile acestea – acelaşi lucru.
Ca atare, din punctul nostru de vedere, cine este sigur din punctul de vedere al securităţii cibernetice prevăzute de NIS, este şi în ceea ce ţine de GDPR. Este punctul de legătură între NIS şi GDPR.
Astea sunt prevederile la nivel european.
Acum, toţi ştim că regulamentele se aplică ad literam. Prevederile regulamentelor europene se aplică pur şi simplu, iar în ceea ce ţine de directive, statele membre au obligativitatea de a transpune prevederile directivelor.
Acum, suntem în proces de transpunere în legislaţia naţională a prevederilor directivei NIS.
Moderator: Deci, până la urmă, nu este foarte nou, nu este foarte bulversant , este mai precis...
Daniel Ioniţă: Este mai precis , este mai clar delimitat ....
Revin: foarte bună întrebarea dacă trebuie să ne sperie?.
În primul rând, subiecţii Directivei NIS şi a legii de transpunere a NIS sunt operatorii de servicii esenţiale şi furnizorii de servicii digitale. Şi sunt actori din piaţă. Nu sunt persoane fizice . Nicio persoană fizică nu va fi afectată la intrarea în vigoare a legii de transpunere a Directivei NIS.
Nu. Vorbim doar de operatori de servicii esenţiale. Acele structuri care furnizează servicii fără de care nu putem vorbi despre desfăşurarea unei vieţi normale a cetăţenilor. E vorba de impact în piaţă, în zona economică. Directiva NIS prevede ca operatorii de servicii esenţiale să fie stabiliţi până în luna noiembrie, pe 9.
Deci, inclusiv directiva îşi propune o perioadă de şase luni de zile ca statele membre să-şi identifice operatorii de servicii esenţiale, furnizorii de servicii digitale. Aici vorbim de piaţa online, de serviciile de cloud, de motoarele de căutare pentru furnizori de servicii digitale.
Dar la operatori de servicii esenţiale, efectiv, sunt împărţiţi în şapte sectoare. Cu cel mai mare impact sunt energia, transportul, sănătatea, financiar...
NIS reglementează activitatea pentru aceste sectoare extrem de importante din punct de vedere economic. Care trebuie reglementate, aşa cum spuneam, trebuie reglementate astfel încât serviciile furnizate de aceşti operatori de servicii esenţiale să se deruleze într-o normalitate care să permită dezvoltarea pieţei unice europene. (...)
Moderator: Iar noi, ca indivizi, ne simţim mai protejaţi
Daniel Ioniţă: Iar noi ca indivizi ne simţim mai protejaţi. Suntem beneficiarii serviciilor esenţiale.
Dacă, înainte cădea curentul şi nimeni nu făcea neapărat ceva sau nu era obligat să facă ceva, respectivul furnizor, dacă cauza întreruperii serviciului esenţial este un incident de securitate cibernetică, care a afectat, a preluat controlul unui sistem de control industrial, atunci acel furnizor de servicii esenţiale este obligat să notifice către autoritatea naţională de implementare.
Va şti sigur că, dacă nu va fi luat toate măsurile ca acest lucru să nu se întâmple, va avea de suferit. Ca atare, ne aşteptăm ca şi calitatea acestor servicii să fie una mai bună. Să fie superioară celei existente până acum.
Moderator: Aveţi rezultatele simulării din 7 iunie, exerciţiul Cyber Europe “Atac cibernetic asupra unui aeroport”? Ce ne arată? Ce trebuie să înveţe autorităţile, să aplice?
Daniel Ioniţă: Da.
Exerciţiul nu este nici el nou. Din 2010, ENISA coordonează la nivel european astfel de exerciţii de securitate cibernetică în care simulăm pe diferite scenarii sau testăm pe diferite scenarii simulate reacţia autorităţilor la diferite tipuri de ameninţări. Evident, provenite din spaţiul online, vorbim de ameninţări cibernetice.
Anul acesta a fost poate cel mai elaborat exerciţiu de acest gen de până acum. Participarea a fost extrem de ridicată. Vorbim de aproape 900 de specialişti din 30 de state, care au luat parte la scenariu.
Ce am învăţat nou? Am învăţat din nou că fără cooperare nu se poate. Că trebuie să începem să adresăm ameninţările din aceste sectoare – transporturile sunt unul dintre sectoarele Directivei NIS – Şi ENISA tocmai de aceea s-a oprit într-o primă fază (...) s-a concentrat în primul an de la intrarea în vigoare a Directivei NIS tocmai pe scenariul de simulat atac într-unul din sectoare, sectorul transporturi, al aviaţiei civile.
Am văzut deci că fără cooperare nu se poate. Am văzut că sistemele sunt vulnerabile, pentru că o grămadă de timp în dezvoltarea sistemelor s-au concentrat pe –cumva obligaţi de legislaţie să ia sistemele cele mai ieftine, oferta financiară cea mai ieftină.
Nu totdeauna acea ofertă de echipamente a avut şi componenta de securitate cibernetică.
Un alt lucru pe care trebuie să-l învăţăm: securitatea costă. Şi atunci , echipamentele folosite în dezvoltarea sistemelor informatice ar trebui să aibă componenta de securitate cibernetică inclusă. Noi aşa ne-am dori. Vorbim de security by design.
Unii spun – şi au şi ei dreptatea lor – că e o utopie. Pentru că în business fiecare încearcă să facă profit. Măcar pentru sectoarele esenţiale, măcar pentru serviciile esenţiale (...) Vorbim de Internet of Things. Ştiţi foarte bine că sunt tot felul de rapoarte . În anul 2020 se vorbeşte de conectarea nu ştiu cător miliarde de device-uri la internet. Toate aceste device-uri – şi aici intervin aprecierile celor care spun că suntem utopici – chiar dacă ar avea componente de securitate, ulterior nu ar mai putea fi patchuite, că sunt uitate, sunt distribuite, cumpărate, puse în internet de către proprietari şi aceştia nu mai au o responsabilitate a lor.
Da. Dar de undeva trebuie să plecăm. Dacă plecăm de la premisa că oricum nu se poate face nimic, atunci chiar că nu avem niciun rezultat.
Revenind la exerciţiu. Vă spuneam că este coordonat de ENISA. Coordonatorii naţionali sunt CERT-urile naţionale la nivelul UE şi sigur că în acest context CERT-ul a coordonat acţiunea.S-a desfasurat in centrul nostru de inovare în domeniul securităţii cibernetice, de fapt un proiect pilot pentru acest centru . De semnalat că România a avut cei mai mulţi participanti, a fost statul membru cu cea mai largă participare în cadrul exerciţiului.
Şi scenariul a fost interesant, în sensul că s-a simulat atacul asupra sistemelor informatice dintr-un aeroport şi nici persoanele ,nici bagajele nu au putut fi înregistrate, evident că avioanele au ramas la sol ,evident că asta creează o nemulţumire,o blocare a serviciilor aeriene, cu toate consecinţele.
Ce am mai învăţat şi care a fost, din nou, un alt obiectiv important a fost conştientizarea, că tot vorbim de awareness.Asta înseamnă să fim conştienţi că astfel de lucruri se pot întâmpla, se pot întâmpla cu mare usurinţă dacă nu luăm măsurile de securitate necesare.
Moderator: Şi filosofia ar fi că nu există ieftin şi bun în securitatea cibernetică…
Daniel Ioniţă: Da, dar să ştiţi că nu există ieftin şi bun în nimic.Daca trebuia să ajungem la securitatea cibernetică ca să aflăm lucrul acesta, am cam pierdut timpul.Este şi proverbul “Suntem prea săraci ca să luăm lucruri ieftine”.
Moderator: Ce riscuri comportă implicare unui utilizator în piaţa şi activităţile legate de criptomonede şi cum ne putem feri de aceste pericole?
Daniel Ioniţă: Sunt mai multe pericole, tipuri de pericole dacă vorbiţi de implicarea în piaţa de criptomonede.
Unele ţin de monedă,nu de cripto,de monedă în sensul că ăi acestea sunt mai degrabă în registrul bancar,adică experţii din domeniul bancar au mai multe detalii despre aceasta.
Eu mă opresc asupra volatilităţii pieţei, faptul că nu este recunoscută ca monedă,faptul că poate fi un instrument speculativ. Asta din ce ştiu din discursul şi din prezentările experţilor financiari.
Dar există şi riscuri de securitatea cibernetică şi bănuiesc că la asta face referire întrebarea dumneavoastră.
Vă daţi seama, deşi vorbim de tehnologie blockchain, tehnologia blockchain poate fi folosită şi în business şi în altă modalitate în principiile de bază.Asa a apărut, legată de moneda virtuală, dar dacă folosim tehnologia blockchain pentru diferite procese de business e ok, dacă neaparat ne ducem în zona cryptomonedei comportă nişte riscuri.
Înţeleg că 10% din tranzacţii sunt afectate de furturi, hackerii ştiu şi ei, că unii vehiculează criptomonede şi incearcă să profite de lucrul acesta.
După aceea mai sunt tot felul de monede care au fost lansate tocmai pentru a evita controalele, pentru a ascunde destinaţia fondurilor şi atunci evident riscul este să intre în conflict cu prevederile legale şi cu organele abilitate să impuna legea.
Şi în final sunt riscurile de securitate cibernetică de care făceam pomenire mai devreme.
Acum, chiar dacă nu ţine de implicare, noi am mai avut tot felul de incidente în România,unele chiar recente, avem un ghid postat pe site-ul nostru pentru instituţiile publice, cum pot lua măsuri pentru a se evita folosirea resurselor de către cei care genereaza criptomonedă.
Nu este exact în sensul intrebării dumneavoastră, dar este parte din , pentru că şi aceea este o implicare in piata, în a genera. Şi atunci mulţi folosesc resursele altora pentru a obţine ca recompensă acea criptomonedă de care vorbeaţi.
Deci riscurile sunt multiple, noi ne oprim doar asupra celor de securitate. şi în cazul criptomonedei, ca şi în cazul operării internet în general, întotdeauna trebuie să avem în vedere măsurile de securitate atât şi atât de simple,de cunoscute ăi de foarte des neaplicate.
*** Partea a 2-a ***
Moderator: Deci, în primul rând să le aplicăm, că le ştim...
Daniel Ioniţă: Deci in primul rand sa le aplicam că sunt simple si le stim, ca nu e nicio filosofie. Mulţi spun că cyber security nu este o chestiune foarte tehnică şi ţine de factorul uman. Şi în mare măsură au dreptate.
Indiferent ce sisteme ai avea, fără acţiunea umană...
Era şi o glumă cu telefonul. “Are you sure?/ Yes/ Do you really want to install?/ Yes/ Are you sure?/ Yes/ Are you stupid?/ Yes”... Ca noi tot dăm...da, da.. şi ne mirăm după aceea de ce ne infectăm.
Moderator: Aveţi în pregătire noi reglementări sau obligaţii pentru utilizatori în vederea unei mai bune protejări faţă de atacurile cibernetice la ora actuală?
Daniel Ioniţă: Avem.
Trebuie să menţionez că o etapă doi după transpunerea directive NIS înseamnă şi elaborarea legislaţiei subsecvente.
Nu că sunt preocupari,este deja un calendar stabilit,.domnul ministru al Comunicaţiilor şi Societăţii Informaţionale chiar l-a prezentat la un moment dat.
Aşteptăm apariţia legislaţiei primare care să fie temeiul legal pentru legislaţia secundară.
Dar, strict la ce mă intrebati: este vorba de elaborarea acelei listei ai operatorilor de servicii esenţiale şi furnizori de servicii digitale., este vorba de stabilirea pragurilor pentru includerea în listă.
Nu le prezint neaparat în ordinea cronologică sau în ordinea cum se vor întâmpla, ci per total.
Acest lucru se va face de către experţii ministerelor.
Vrem să înfiinţăm, tot prin hotărâre de guvern un grup interministerial, pentru că este evident că în CERT, ca autoritate naţională de implementare, nu se va regăsi din primul moment expertiza necesară pentru a adresa problematica din şapte sectoare atât de diferite.
Evident că aceia din sectorul sănătate ştiu problemele din sănătate (…) Nu poţi să compari aplicaţiile din sănătate cu cele din energie. Una vizează stocare de date, prelucrare de date cu caracter personal, iar în alta vorbim de sIsteme de control industrial…
Şi atunci ne-am propus să înfiinţăm acest grup interministerial, experţii din fiecare ministere -cand zic minister mă refer şi la instituitiile care sunt în subordine, şi unde se găşeste expertiza necesară.
Aceştia pot să participe la acest grup şi putem stabili împreună care sunt pragurile pentru a deveni operatori de servicii esentiale, care sunt măsurile minime de securitate cibernetică care trebuiesc luate, cum vor fi evaluaţi auditorii de securitate cibernetică pe domeniul NIS -nu doar în genere- cei care vor face evaluările de securitate cibernetică din perspectiva NIS pentru operatorii de servicii esenţiale.
Toată aceasta legislaţie subsecventă - vorbim de hotărâri de guvern, o să vorbim de ordine de ministru, o să vorbim de decizii ale directorului general al CERT-RO pe fiecare palier - asa cum sunt ele prevazute in legislaţia primară - dar asta va fi în pasul doi.
Moderator: Care este foarte stufos…
Daniel Ioniţă: Este.
Inca noi l-am tinut cumva concentrat.
Au fost două abordari la nivel european; de a înfiinţa sau de a transforma o autoritate naţională existentă sau de a afecta alte şapte autorităţi din cele şapte sectoare.
Noi am mers pe prima opţiune, de a dezvolta o autoritate existentă.
Care a fost raţionamentul? Sunt trei calităţi ale autorităţii naţionale de implementare a NIS: una este de autoritate în sine, de monitorizare a implementării, una este de echipă (…) şi funcţia aceasta oricum o îndeplineam ca şi CERT naţional şi cea de a treia, a punctului de contact, desigur eram deja pentru domeniul securităţii cibernetice a punctului de contact.
Şi atunci am zis să cheltuim cât mai eficient resursele financiare şi aşa limitate.
Luăm instituţia care deja îndeplineşte două funcţii, îi adăugam doar cea de-a treia funcţie, prin dezvoltarea unei noi structuri în cadrul CERT-ului, pentru partea de monitorizare-implementare a directivei NIS şi vedem după aceea cum evolueaza lucrurile.
Desigur că şi noi ne-am fi dorit să vorbim de şapte autorităţi cu şapte CERT-uri sectoriale, dar nu întotdeauna se poate ce-ti doreşti.
Moderator: Aveti certitudinea că şi calendarul va fi respectat?
Daniel Ioniţă: Aici sunt mai mulţi factori.Eu am certitudinea ca noi încercăm să ne tinem de calendar. Este singura certitudine pe care pot să o am.
Noi ne-am pregatit proiectele, dar stiţi că sunt foarte mulţi factori în ecuaţia asta. Dar ce vă pot spune este că s-a înţeles necesitatea transpunerii directivei în toate formatele pe care noi le-am discutat, nu am descoperit piedici.
Lumea, instituţiile, autorităţile publice care fac parte din acest proces au înţeles nevoia, necesitatea şi atunci este clar că lucrurile se pot desfăşura.
Acum, poate mai întârziem puţin faţă de calendar, dar să ştiţi că sunt foarte, foarte puţine state, cred că le număr pe degete la nivel european, care au declarat deja că au implementat directiva.
Şi acum declaraţia e una , realitatea e alta .
Că puteam şi noi să declarăm, dar mai bine o facem şi demonstrăm decât să declarăm.
Moderator: Inevitabil ajungem şi la statistici.Ce arată ultimele statistici în privinţă incidenţei atacurilor cibernetice înregistrate în România?Suntem atacaîi din plin?
Daniel Ioniţă: Suntem atacaţi, dar să ştiţi că nu suntem singurii cărora li se întâmplă.
Deci atacurile cibernetice se petrec zilnic, tentative de folosire a resurselor noastre de către alte persoane sunt la ordinea zilei.
Dacă ne oprim pe statistici, menţionez datele cuprinse în raportul de activitate anual al CERT-RO, de fapt un raport care este anexă la raportul CERT-RO, anume raportul privind incidentele de securitate pe 2017.
Nu este cel mai nou (…) dar cer permisiunea să ma opresc doar asupra celui al CERT, pentru că despre asta pot eu vorbi.
(…) Pentru perioada analizată, 1 ianuarie 2017-31 decembrie 2017 am prelucrat aproape 140 de milioane de alerte de securitate cibernetică. 82 la suta dintre ele fac referire la vulnerabilităţi. Este evident că nu toate aceste vulnerabilităţi au fost exploatate. Ce spunem noi în raport este ca ele pot fi exploatate.
Cred că mai important - şi esenţa întrebării dumneavoastră - este de ce suntem în situaţia asta?
Pentru că o cauză este educaţia utilizatorului în domeniul securităţii cibernetice.
Desigur că unii sunt interesaţi de această securitate, unii sunt mai puţin interesaţi.Unii preferă rapiditatea transferului de informaţii şi nu sunt foarte focusaţi pe securitate, fiecare cu alegerea lui.
Vă spuneam că reglementările astea trebuie să se facă pas cu pas şi trebuie să plece de la sectoarele-cheie ale economiei. Acum nu ne putem opri pentru părerea fiecărui individ care îşi alege cum îşi instalează aplicaţia în telefon.
Dar ce reiese din raportul nostru este că vedem că se repetă alertele de securitate care fac referire la vulnerabilităţi mai vechi, care nu mai afectează sisteme de operare recente, updatate.
Deci este evident că încă sunt folosite în spaţiul cibernetic naţional sisteme de operare învechite, fără licenţă şi sunt descărcate de pe net fără licenţă. Dar, dacă nu au licenţă, nu pot să facă nici patch-urile de securitate.
Sigur lucrul acesta are şi o raţiune financiară poate,că alea sunt gratis, iar un antivirus costă.
Noi spunem că trebuie să instalam şi un antivirus.Ştim că nimic nu e gratis sau că tot ce nu e ieftin e bun, dar recomandăm măsurile minime de securitate cibernetică.
Moderator: Domnule director, cât de sigure sunt sistemele IT ale instituţiilor publice din România?
Daniel Ioniţă: Păi să ştiţi că e o glumă în domeniul securităţii cibernetice; eşti sigur doar atât timp cât nu esti ţintă. În momentul în care eşti ţintă nu mai eşti sigur.
Depinde la ce tip de ameninţări cibernetice ne referim.
Vorbim de doua paliere de securitate cibernetică şi de acţiuni “maliţioase” în internet.
Cele comune. Cineva scanează în internet, identifică resurse care pot fi folosite şi le exploatează pentru , de exemplu, un botnet.
Citeam o statistică zilele trecute că a comanda un,atac de tipul “denial of service”, care se realizează cu ajutorul unei reţele de boţi, este extrem de ieftin.
Pai este extrem de ieftin. Pentru că, cei care dezvoltă astfel de reţele şi le vând, asigură astfel de servicii, de tip “întreruperea de servicii a unei ţinte”, coopteaza acesti boţi în reţele fără ştirea utilizatorului Şi atunci, sigur, nu dau niciun ban pentru asta şi îşi permite să-ţi vândă mai ieftin.
Deci, acesta este un nivel scăzut al complexităţii atacurilor cibernetice.
Din păcate este nivelul care ar putea fi combătut prin acele minime măsuri de securitate cibernetică, dar nu întotdeauna reuşim să o facem, din cauza neaplicării acestor măsuri de securitate cibernetică.
Dacă la aceasta faceţi referire lucrurile se pot rezolva relativ simplu.
Instalarea acestor sisteme de operare cu licenţă de care vorbeam - şi instituţiile publice evident că operează cu astfel de sisteme de operare -, instalarea patch-urile de securitate la timp – că, dacă le instalezi la o lună după ce le-ai primit prin licenţă, atunci în luna respectivă eşti vulnerabil, bineînţeles.
Deci, acesta este un nivel de bază, unde lucrurile se pot rezolva.
Trebuie doar consecvenţă în aplicarea regulilor şi politicilor de securitate cibernetice, ceva resurse financiare pentru echipamentele respective, care pot rezista acestui tip de atacuri şi pot semnala astfel de ameninţări cibernetice .
(…) Al doilea nivel este atunci când eşti ţintă şi nu mai eşti sigur.
Acolo vorbim de alt tip de ameninţări. Sunt mai degrabă resortul altei instituţii din România, care se ocupă şi tot prezintă în diferite formate acele ameninţări persistente şi avansate, “apt”-urile de care vorbesc experţii în securitate.
Eu aş sta la primul nivel, care îl adresează CERT-ul ,acela de protecţie de bază a sistemelor informatice ale instituţiilor , nu doar guvernamentale, suntem CERT naţional (…) ,către noi vin şi din mediul academic, public sau privat,şi cetăţeni, şi tineri şi vârstnici, care ni se adreseaza cu tot felul de solicitari.
Pe unele le putem soluţiona noi din punct de vedere tehnic, la unele nu avem vreo competenţă legală şi le transferăm către instituţiile statului cu responsabilităţi legale în speţa respectivă.
Dar, ca să vă răspund (…): ,sunt suficient de sigure sistemele noastre, dar există loc de mai bine cu siguranţă.
Moderator: Există şi din domeniul militar cereri de ajutor ?
Daniel Ioniţă: Să ştiţi că ameninţările cibernetice nu fac deosebire .
Îmi aduc aminte de o clasificare făcută, la acea vreme, de către comandantul Comandamentului de apărare cibernetică a SUA.
Şi el împărţea aceste ameninţări în trei categorii: exploitation, disruption şi destruction (adica cei care fură informaţii, cei care afectează serviciile şi cei care distrug).
(…) Exploatarea informaţiei se face, indiferent din ce mediu, la fel: spionajul militar, electronic, industrial cu mijloace electronice vizează extragerea de informaţii
Ce vă spun eu este la nivel de principiu, Cu ce se confruntă ei, este o structură în cadrul Ministerului Apărării, CERTMIL, care se ocupă cu ameninţările care afectează sistemele informatice ale ministerului.Nu intră în competenţa noastră (…) sunt alte structuri care se ocupă.
Dar sigur, avem programe de cooperare. Cooperăm. Dacă avem ameninţări care ştim că ar putea afecta sistemele lor, le transferăm spre ştiinţă şi luarea contramăsurilor necesare. (…)
Moderator: Ca să încheiem un pic războinic şi să facem poate un exerciţiu de imaginaţie sau nu prea: Războaiele viitorului apropiat – bine, nu ne dorim războaie - vor fi preponderent cyber şi cât de mare vor mai fi controlul şi intervenţia factorului uman?
Daniel Ioniţă: După părerea mea - cu siguranţă nu sunt cea mai avizată persoană - componenta cyber a oricărui conflict viitor evident că va exista şi este în continuă creştere.
Daca vorbim de capabilităţi cyber , capabilităţi ofensive din domeniul cyber, efectiv a lovi, a face oprirea serviciilor, dacă vorbim de distrugerea unor infrastructuri prin păcălirea sistemelor informatice – au trecut zece ani de când vorbim de folosirea primei arme cibernetice – dacă vorbim de component asta, evident va creşte.
Dar, şi dacă vorbim de faptul că sistemele, echipamentele militare au sisteme informatice care le-au facut să devina performante.
Evident că si acele sisteme care susţin echipamentele , eu ştiu de luptă, pot fi afectate.În ce măsură? Păi în măsura suficient necesară sa anihileze forţa kinetică.
Cred că la fel cum înainte când se vorbea de un conflict, se vorbea de întreruperea relaţiilor diplomatice după care conflictul începea cu un atac aerian masiv, aşa şi acum.
Probabil că acum, înaintea atacului aerian masiv - nu ştiu dacă mai este sau nu prevăzut in cartile militarilor - probabil că un atac cibernetic ar putea sa fie- eu ştiu? -una dintre primele etape ale unui astfel de conflict.
Deci, cred că niciun conflict viitor nu se va desfăşura fără să aibă şi o component cyber.
Moderator: Vă mulţumesc, vă mai aşteptăm.
Daniel Ioniţă: Vă multumesc . Voi raspunde cu drag oricând invitaţiei dumneavoastră
