Mihai Rotariu, purtător de cuvânt al Directoratului Național de Securitate Cibernetică: “Securitatea cibernetică este o responsabilitate comună”
Avem deosebita plăcere să vă prezentăm un interviu foarte util pentru toți utilizatorii de internet și tehnologia informației. Pentru că în materialul următor veți găsi foarte multe lucruri practice care vă vor ajuta să fiți mai în siguranță în mediul virtual. Mihai Rotariu, purtător de cuvânt al Directoratului Național de Securitate Cibernetică, oferă cititorilor noștri informații vitale despre asigurarea optimă a securității cibernetice pentru toate tipurile de utilizatori, de aceea acest interviu nu este pentru specialiști, ci mai ales pentru publicul larg, pentru că deja trăim într-o eră digitală, în care tehnologia ar trebui să ajute la eficientizarea activității, nu să sperie.
Mihai Rotariu
Vă rog să ne spuneți câteva cuvinte despre ce înseamnă Directoratul Național de Securitate Cibernetică (DNSC)? Când a fost înființat? Care este rolul DNSC? DNSC este o instituție dedicată publicului larg?
Directoratul se adresează publicului larg, sau mai bine spus utilizatorului obișnuit. Orice incident de securitate cibernetică poate fi raportat către noi, fie pe e-mail (alerts@dnsc.ro) sau chiar la call centre, apelând numărul de urgență 1911. Totodată, avem o comunitate extrem de activă și interactivă pe social media, care ne ajută să diseminăm rapid informații de awareness, dar ne și notifică destul de des despre amenințări noi apărute în online. Securitatea cibernetică este o responsabilitate comună, iar cooperarea este esențială în limitarea impactului provocat de infracționalitatea din online.
Revenind la actul de naștere al insituției, data pe care o putem marca în calendar este 22 septembrie 2021, atunci când Guvernul a aprobat Ordonanța de Urgență 104 privind înființarea Directoratului Național de Securitate Cibernetică (DNSC). Ordonanța 104 a fost publicată în Monitorul Oficial din 24 septembrie 2021, iar pe 7 ianuarie 2022, Președintele României a semnat Decretul privind promulgarea Legii pentru aprobarea Ordonanței de urgență a Guvernului nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică (PL-x 380/27.09.2021).
Pratic, înființarea Directoratului Național de Securitate Cibernetică (DNSC) a fost un act necesar care a presupus desființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), o instituție care tocmai împlinise zece ani de activitate și care ajunsese la deplina maturitate, și lansarea unei instituții noi de cyber, una modernă, capabilă să răspundă cerințelor la nivel internațional. Desigur, atribuțiile și personalul CERT-RO au fost preluate ulterior de DNSC, cu activități și responsabilități extinse, la nivelul celor mai avansate organizații din domeniu la nivel internațional.
Care sunt obiectivele acestei instituții pe termen mediu și lung?
Ca în orice sector de activitate, pentru a evolua este nevoie uneori de o nouă perspectivă, corespunzătoare cerințelor din domeniu. Iar aici vorbim despre sectorul cyber, unde evoluțiile sunt rapide și uneori spectaculoase. Practic, ceea ce era standard acum zece ani, nu mai este suficient.
Înființarea DNSC a constituit un proiect strategic pentru România, la care și-au adus contribuția un număr de 20 instituții cheie implicate în această inițiativă. Proiectul a primit un sprijin puternic din partea Premierului, a Guvernului României și a CSAT. Așadar, vorbim despre o instituție civilă de clasă internațională și un actor cheie pentru implementarea strategiei naționale de securitate cibernetică. Mai mult, unul dintre obiectivele noastre pe termen lung este poziționarea fermă a României ca un lider recunoscut în securitatea cibernetică.
Ne dorim să devenim o instituție atractivă pentru noua generație de talente din zona cyber, dar și pentru doamnele sau domnișoarele care activează în această profesie, cu o cultură și determinare de lider civil al securității cibernetice din România, mentalitate de autoritate competentă, care să dețină resursele necesare pentru a atrage specialiști de top din mediul privat sau să îi păstreze pe oamenii competenți care i-au mai rămas.
Directoratul va păstra totodată rolul de echipă de răspuns la incidente de securitate cibernetică, punct unic de contact la nivel european și va continua să reprezinte România la nivel internațional în domeniul securității cibernetice. Va avea deopotrivă și un rol strategic pentru elaborarea și implementarea strategiei și a politicilor publice, pentru crearea unui cadru național de colaborare, cooperare, educație, instruire și conștientizare în domeniul securității cibernetice din România.
DNSC va fi un promotor strategic al interesului național de creștere a ratei de absorbție a fondurilor europene alocate domeniului securității cibernetice și de îndrumător al participării active al entităților publice și private în programele majore de finanțări. Nu în ultimul rând, ne dorim să devenim un promotor al programelor de educație și conștientizare privind securitatea cibernetică, deoarece în acest moment, din nefericire, România se află pe ultimele locuri în clasamentele la nivel european care măsoară nivelul național de pregătire în ceea ce privește educația digitală și de securitate cibernetică.
Odată cu pandemia de Covid-19 multe activități au putut fi aduse în online, de aici a rezultat o creștere a activității în mediul virtual și au sporit pericolele care vin odată cu expunerea în această zonă. La ce trebuie să fie atenți oamenii atunci când își aduc afacerile în online pentru prima dată sau care își cresc activitatea în mod substanțial în acest mediu?
Există o serie de acțiuni care trebuie obligatoriu bifate, atunci când îți migrezi afacerea în online. În primul rând, trebuie să aveți un plan de gestionare al riscului, pentru asigura continuitatea business-ului în caz de atac. Acest plan va trebui să evolueze în paralel cu schimbările tehnologice și amenințările recent apărute.
În plus, este nevoie de o configurare securizată a echipamentelor utilizate și a rețelei. În acest sens, este important să dezvoltați o strategie clară de securitate pentru a elimina sau dezactiva funcționalitatea inutilă din sisteme și pentru a remedia rapid vulnerabilitățile cunoscute.
Ultimii ani ne-au arătat că noul trend de lucru migrează serios către munca de la domiciliu. Dacă aveți angajați care lucrează de la distanță va trebui să dezvoltați proceduri clare de lucru cu privire la securizarea datelor și a echipamentelor utilizate. Mai mult, absolut toți angajații trebuie să beneficieze de un training basic de securitate frecvent, pentru a-i menține informați cu privire la ultimele amenințări apărute, care vizează în general companiile și organizațiile. Doar astfel pot recunoaște metode de atac și se pot proteja atât pe ei, dar și firma pentru care lucrează de o eventuală pagubă.
Nu în ultimul rând, monitorizarea este importantă, fie că vorbim despre rețelele, sistemele sau serviciile companiei, ori de privilegiile de acces acordate angajaților. Analizați cu atenție activitățile efectuate în cadrul organizației și oferiți acces conform nevoilor de cunoaștere a informațiilor.
Aceeași atenție trebuie acordată echipamentelor din afara companiei, dispozitivelor personale ale angajaților, în special mediile externe care ar putea fi un pericol real pentru securitatea rețelei. În acest caz, va fi necesar să elaborați și să puneți în aplicare politici și soluții pentru a controla și a reduce la minimum utilizarea mediilor de stocare externe. În plus, va trebui să vă asigurați că tot personalul știe despre aceste politici.
Acestea ar fi câteva dintre recomandările de bază pentru securizarea afacerii în online. Totodată, multe dintre astfel de organizații sunt deja sub incidența unor legi care impun măsuri minimale de securitate a informațiilor, chiar și obligativitatea efectuării unor audit-uri de securitate (GDPR, Directiva NIS). Prin urmare, acele firme care se încadrează în sectoarele de activitate delimitate de legislația în vigoare vor trebui să se supună unor măsuri extinse de securitate. Pentru mai multe detalii și sfaturi în acest sens vă invit să vă adresați Autorității Naționale pentru Securitatea Rețelelor și Sistemelor Informatice din cadrul DNSC.
Mihai Rotariu, purtător de cuvânt al Directoratului Național de Securitate Cibernetică
O dată cu creșterea business-urilor online, a e-commerce-ului a crescut și cererea pentru forță de muncă în această zonă (IT, securitate cibernetică, etc). Mai are România resurse, specialiști cu care să asigure necesitățile companiilor în această direcție pe termen scurt? Ajută cu ceva noua lege privind „nomazii digitali” (Legea pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 194/2002 privind regimul străinilor în România)?
Există o lipsă serioasă de specialiști de securitate cibernetică nu doar în România, ci la nivel mondial. Orice acțiune care ar putea ajuta la acoperirea acestui deficit este binevenită. Așa cum specificam anterior, trebuie să ne concentrăm mai puternic pe educarea noilor generații, trebuie să creștem serios nivelul de pregătire, iar securitatea cibernetică trebuie să devină o materie predată de la cele mai fragede vârste. Momentan, cred că ceea ce există în curicula din sistemul de învățământ este insuficientă pentru nevoile reale determinate de acest secol digital.
România este 6-a țară din lume ca număr de specialiști ce au absolvit facultățile IT din țară, dar paradoxal are un deficit de peste 15.400 specialiști IT (și un deficit 2.200 de specialiști de securitate cibernetică). Peste 43.000 specialiști IT au plecat din România pentru a lucra peste hotare, iar alți 6.100 lucrează online din țară dar exclusiv pentru firme din străinătate (majoritatea ca freelanceri).
Din păcate, Romania este o țară a contrastelor când vine vorba de specialiști în cybersecurity. Avem specialiști foarte apreciați în domeniu la nivel internațional sau de generații întregi de tineri talentați care sunt vizați de cele mai importante firme din domeniu. Ca să dau doar un exemplu, în 2019 echipa României de cybersecurity a câștigat Campionatul European de Securitate Cibernetică, ediție organizată la București. Avem tineri talentați și pasionați de IT și mă bucură faptul că în fiecare an vedem noi și noi inițiative de a șlefui aceste talente, fie că este vorba despre concursuri de tip CTF la nivel național, sau chiar cluburi de programare pentru cei tineri.
Totuși, nu suntem momentan capabili să ne menținem local acești viitori specialiști de securitate cibernetică. Nevoia acută de digitalizare și în special concurența pe piața muncii, cu privire la specialiștii din domeniul IT, fac ca cererea să depășească serios oferta existentă. Avem nevoie de mai mulți experți în IT, în securitate cibernetică, dacă vrem să avem o economie digitală sigură și funcțională. Sistemul educațional este, din punctul meu de vedere, mediul ideal care poate contribui direct și decisiv pentru a putea acoperi treptat această lipsă de specialiști.
Care sunt principalele pericole pe care Directoratul Național de Securitate Cibernetică și-a propus să le combată odată cu înființarea sa? Care sunt principalele vulnerabilități pe care DNSC le-a identificat până în acest moment și ce ne sfătuiți să facem pentru a le identifica și a le combate?
Cred că asigurarea optimă a securității cibernetice pentru toate tipurile de utilizatori ține în principal de awareness și educație de securitate cibernetică, nu de anumite pericole existente. Trebuie să creștem nivelul de pregătire, în primul rând, pentru că rapoartele anuale arată frecvent două mari probleme – utilizatorii obișnuiți cad lesne în plasa unora dintre cele simple atacuri (scam, phishing), iar o altă problemă pregnantă, pentru organizații de această dată, o reprezintă lipsa unei culturi de securitate. Multe dintre incidentele raportate sunt cauzate de o configurare defectuoasă, necorespunzătoare a echipamentelor sau dispozitivelor, sau de neactualizarea la timp a software-ului.
Prin urmare, pentru a deveni mai siguri trebuie să fim mai informați, dar și interesați de acest domeniu. Trebuie să facem securitatea cibernetică digerabilă pentru publicul larg, pentru că deja trăim într-o eră digitală, în care tehnologia ar trebui să ajute la eficientizarea activității, nu să sperie. Din această pricină suntem încă naivi atunci când activăm online și nu conștientizăm pericole evidente.
Personal, primul sfat pe care îl pot acorda celor care activează în mediul online este să fie vigilenți și răbdători. Este foarte important să fim concentrați pe ceea ce facem în online, mai ales când operăm cu date sensibile, fie că vorbim despre date personale, de autentificare sau cu caracter financiar. Orice dată are o valoare pe piața neagră, iar atacatorii nu discriminează atunci când își aleg țintele. Oricine poate fi o victimă, astfel că este absolut vital să ne stabilim treptat o rutină de cybersecurity pe care să o activăm frecvent, la care să adăugăm o componentă importantă de igienă de securitate.
Spre exemplu, în această rutină trebuie să includem obligatoriu actualizarea automată a software-ului pe toate dispozitivele, efectuare frecventă a back-up-ului pentru datele sensibile, pe un mediu de stocare extern pe care să nu îl menținem conectat la sursa inițială a datelor, folosirea unui manager de parole solid și a unui sistem de autentificare în doi pași, etc. Sigur, există mai multe astfel de acțiuni recurente pe care nu ar trebui să le neglijăm, dacă vrem să fim în siguranță atunci când activăm pe internet.
Pe scurt, trebuie să ne obișnuim sau să ne formăm o serie de reflexe de securitate asemănătoare cu cele din viața reală. Când plecăm de acasă încuiem ușa cu o cheie unică, una care nu poate deschide și alte uși. La fel trebuie să gestionăm parolele, spre exemplu. Trebuie să avem o parolă unică pentru fiecare cont. Mai mult, când trecem strada ne asigurăm în ambele sensuri înainte de a traversa, ca să nu ne accidenteze vreo mașină. De ce nu facem asta și cu link-urile pe care le primim din tot felul de surse?! Înainte să facem clic, putem verifica acel link cu o soluție de securitate existentă pe dispozitiv sau una disponibilă gratis online. Trebuie să analizăm, să gândim logic înainte de a face o acțiune care se poate dovedi dăunătoare pentru noi, pentru datele sau dispozitivele noastre.
