DE CE E NECESARĂ O NOUĂ STRUCTURĂ DE GUVERNARE A STRATEGIEI DE SECURITATE CIBERNETICĂ A ROMÂNIEI

Se vorbește tot mai mult în ultima perioadă despre necesitatea înființării unui Directorat Naţional de Securitate Cibernetică (DNSC), care ar trebui să preia atribuțiile actualului Centru Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) și să asigure premisele unui for național care poate face față provocărilor de securitate cibernetică ridicate de dezvoltarea tehnologică accelerată din noua economie digitală.

Câteva repere istorice ale reglementărilor naționale din domeniul securității cibernetice

În mai 2011, prin Hotărârea Guvernului nr. 494 lua ființă Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, cu atribuţii atât în cadrul sectorului public, cât şi în sectorul privat. Încă de la înființare, CERT- RO a fost gândită ca o instituție care poate emite alerte şi atenționări cu privire la activități premergătoare atacurilor cibernetice, fiind în același timp o structură independentă de expertiză şi cercetare-dezvoltare în domeniul protecţiei infrastructurilor cibernetice, care dispune de capacitatea necesară pentru prevenirea, analiza, identificarea şi reacția la incidentele de securitate cibernetică ale sistemelor informatice ce asigură funcționalități de utilitate publică sau asigură servicii ale societății informaționale. La vremea respectivă, CERT-RO se afla sub tutela Ministerului pentru Societatea Informațională.

În anul 2013, prin Hotărârea CSAT nr. 16/2013 şi HG nr. 271/2013 a fost aprobată Strategia de Securitate Cibernetică a României, care stabilea cadrul conceptual, organizatoric şi de acțiune necesar asigurării securităţii cibernetice şi care viza protecţia infrastructurilor cibernetice în concordanță cu conceptele şi politicile din domeniul apărării cibernetice elaborate şi adaptate la nivelul NATO şi al Uniunii Europene.

Principalul obiectiv al Strategiei de Securitate Cibernetică a României îl reprezenta crearea unui sistem național integrat – Sistemul Național de Securitate Cibernetică (SNSC), ca un  cadru general de cooperare, reunind autorităţi şi instituții publice, cu responsabilități şi atribuţii în domeniul asigurării securității cibernetice și răspunsului la incidente, funcționând ca un mecanism unitar de relaționare şi cooperare interinstituțională.

Strategia de Securitate Cibernetică a României prevedea, de asemenea, dezvoltarea entităților de tip CERT-RO menite să supervizeze implementarea coerentă a tuturor măsurilor de prevenire şi reacție la atacurile cibernetice împotriva instituțiilor publice sau a companiilor private şi care ar trebui să reunească autorităţile şi instituțiile publice cu responsabilități în domeniu.

La 1 ianuarie 2019 a intrat în vigoare Legea nr. 362/ 2018 prin care este transpusă Directiva (UE) 2016/1148 a Parlamentului European şi Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor şi a sistemelor informatice în Uniune. Cu această ocazie, CERT-RO a primit noi atribuții, devenind  Autoritate Competentă la Nivel National pentru Securitatea Rețelelor şi Sistemelor Informatice, Punct Național de Contact şi CSIRT Național în domeniul de aplicare a Directivei NIS.

Legea vizează construirea unui ecosistem național de prevenire și răspuns la incidente, prin stabilirea de cerințe de asigurare a securității  informatice a serviciilor furnizate, cerințe de notificare a incidentelor survenite, mecanisme de răspuns la nivel național și de participare la răspunsul comun în cadrul ecosistemului european creat de Directiva NIS.

De ce este nevoie de o entitate precum Directoratul Național de Securitate Cibernetică?

Dan Cîmpean, director general CERT-RO

La momentul actual, evoluțiile rapide din domeniul cyber la nivel internaţional şi european au arătat că este nevoie de noi structuri şi mecanisme de cooperare, capabilități naționale şi un mod nou de abordare a amenințărilor şi crizelor de securitate cibernetică”, sublinia Dan Cîmpean, directorul general al CERT-RO într-o declarație publicată de Agerpres. ”Vrem ca România să fie recunoscută ca unul din liderii securităţii cibernetice din UE. Pentru aceasta, e nevoie de o nouă abordare şi construcție instituțională civilă, ce poate fi îndeplinită doar prin înfiinţarea urgentă a noului Directorat Naţional de Securitate Cibernetică (DNSC)”

În același context, directorul CERT-RO scria pe rețelele sociale că premisele înființării instituției în 2011 nu mai corespund realităților și evoluției tehnologice actuale și că este nevoie de o nouă formă de organizare care să devină structura optimă pentru implementarea strategiei naționale de securitate cibernetică.

Conform datelor furnizate de CERT-RO pentru Agerpres și preluate de pe site-ul cert.ro, ”înființarea Directoratului Național trebuie să asigure premisele înlăturării obstacolelor întâlnite în anii anteriori prin conceperea, implementarea şi monitorizarea aplicării unor măsuri de securitate care să corespundă cerințelor europene actuale şi care să asigure un nivel ridicat de securitate a rețelelor şi a sistemelor informatice.” Noul Directorat va depune toate eforturile pentru a crește nivelul de sensibilizare a cetățenilor, organizațiilor şi a companiilor, cu privire la toate aspectele legate de securitatea cibernetică.

Totodată, noul Directorat ar putea acoperi actualele carențe de nivel instituțional din domeniul securităţii cibernetice din România, prin crearea structurilor şi mecanismelor esențiale pentru asigurarea securităţii spațiului cibernetic național, dar şi o arhitectură de cooperare inter-instituțională flexibilă şi eficientă, prin asigurarea unor roluri instituționale fundamentale.

Printre rolurile esențiale ale noului Directorat s-ar putea număra cele de:

  • cadru strategic – pentru elaborarea şi implementarea strategiei şi a politicilor publice
  • cadru național – de colaborare, cooperare, educație, instruire şi conștientizare în domeniul securităţii cibernetice;
  • cadru de reglementare – prin elaborarea şi avizarea de acte normative cheie cu impact în domeniul securităţii cibernetice;
  • cadru de avizare – pentru proiectele majore în domeniul securităţii cibernetice ale autorităților publice şi monitorizarea implementării acestor proiecte;
  • autoritate națională de certificare şi standardizare – în domeniul securităţii cibernetice;
  • reprezentare internaţională – în relația cu partenerii şi instituțiile europene şi alte organisme internaţionale;
  • echipă de răspuns – la incidente de securitate cibernetică pentru produse şi servicii informatice ale sectorului guvernamental;
  • promotor strategic – al interesului național de creștere a ratei de absorbție a fondurilor europene alocate domeniului securităţii cibernetice
  • îndrumător – pentru participarea activă a entităților publice şi private în programele de finanțări promotor – al programelor de educație şi conștientizare privind securitatea cibernetică;
  • cadru de conexiune – cu rol de liant între administrația publică, sectorul privat şi societatea civilă pentru crearea unei arhitecturi coerente de securitate cibernetică la nivel național.

    Ce va aduce nou DNSC față de actualul CERT-RO?

”Ceea ce nu are CERT-RO sunt acele elemente ce opresc profesioniștii adevărați în securitate cibernetică să bată (cu zecile) chiar acum la ușa instituției, pentru a se alătura acesteia”, declara într-o postare de la sfârșitul lunii trecute publicată pe site-ul CERT-RO, directorul general al instituției Dan Cîmpean, ca răspuns la numeroasele întrebări primite cu ocazia diferitelor intervenții online, care au ca subiect comun ”Ce este diferit la DNSC față de CERT-RO?”.  

Potrivit aceleiași surse, Directoratul Național de Securitate Cibernetică (DNSC) va reprezenta ace cadru care ar putea favoriza:

  • Creșterea atractivității pentru noua generație de talente și competențe cyber, dar și pentru femeile care activează în această profesie;
  • Dezvoltarea rolului de cultură și determinare de lider (civil) al securității cibernetice din România;
  • Derularea de activități și responsabilități la nivelul celor mai avansate organizații din domeniu;
  • Crearea mentalității de autoritate națională civilă competentă;
  • Atragerea resurselor necesare pentru atragerea specialiștilor de top din mediul privat;
  • Dezvoltarea unei baze legislative moderne;
  • Capacitatea de a se autofinanța integral, de a aduce bani la bugetul de stat, așa cum o fac instituții similare din alte țări UE;
  • Abilitatea de a înțelege mediul privat și de a lucra cu acesta într-un parteneriat real, sustenabil;
  • Aport real de prestigiu și recunoaștere națională și internațională;

”Este momentul să fim onești și să recunoaștem că, în domeniul securității cibernetice, ceea ce a fost OK acum 10 ani, acum un an sau azi, nu mai este suficient pentru mâine. Un CERT-RO conceput prin 2011 pentru a fi, așa cum am punctat anterior, (doar) un serviciu/birou modest de Minister, nu poate fi acea instituție civilă de clasă internațională și actor cheie pentru implementarea strategiei naționale de securitate cibernetică,”declară Dan Cîmpean în aceeași postare de pe cert.ro.”Vrem ca Directoratul să poată să poziționeze ferm România ca un lider recunoscut în securitatea cibernetică. De aceea e nevoie de o schimbare instituțională și de crearea Directoratului, acum.”

One thought on “DE CE E NECESARĂ O NOUĂ STRUCTURĂ DE GUVERNARE A STRATEGIEI DE SECURITATE CIBERNETICĂ A ROMÂNIEI

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.