Ediție specială "Oameni care mișcă România", de la sediul CERT.RO
Ruxandra Săraru vă invită la o ediție specială a emisiunii "Oameni care mișcă România" , despre securitatea cibernetică, transmisă de la sediul CERT.RO.
Articol de Luminiţa Voinea, 04 Noiembrie 2020, 09:13
RADIO ROMÂNIA ACTUALITĂȚI (3 noiembrie, ora 21:05) - Realizator: Ruxandra Săraru
Realizator: Bună seara, doamnelor şi domnilor! Vă invit la o ediţie cu totul şi cu totul inedită a emisiunii ”Oameni care mişcă România”. Sunt la sediul CERT.RO, la Centrul de Răspuns al Incidentelor Cibernetice al României, cu toată conducerea, şi vom vorbi dacă astăzi noi suntem în siguranţă, noi civilii, suntem în siguranţă din punct de vedere al securităţii cibernetice. Şi reiau această temă, din primăvară, pe care am discutat-o cu noul director, dar acum are câteva luni, al CERT.RO, domnul Dan Cîmpean, pe care îl invit să ne spună, în primul rând, dacă s-a acomodat rigorilor româneşti, venind după atâţia ani de stat în străinătate, dacă noi suntem la fel de upgradaţi ca vestul în ceea ce priveşte apărarea civililor, în ceea ce priveşte securitatea cibernetică, dacă noi putem face totul pentru tinerii noştri ca să-i atragem spre zona de siguranţă cibernetică a statului, dacă instituţia nu ar trebui cumva upgradată la vulnerabilităţile şi la provocările anului 2020 şi ale anului 2021?
Dan Cîmpean: Vă mulţumesc, doamnă Săraru, vă mulţumesc pentru invitaţie! Ca să vă răspund la prima întrebare, sunt persoane care trebuie să se adapteze. În profesia noastră, în securitate cibernetică, toţi profesioniştii trebuie să se adapteze din mers la orice mediu, la orice organizaţie, la orice tip de activităţi. Vă pot spune direct, clar, m-am adaptat. Am început să învăţ foarte repede şi specificul instituţional românesc în domeniul acesta foarte complicat al securităţii cibernetice. Dar o primă reflecţie pe care am avut-o, şi a fost chiar din primele săptămâni de activitate, suprapunându-se, evident, şi cu pandemia COVID, am remarcat că ne confruntăm în mod clar cu o pandemie similară în spaţiul cibernetic. Evident, pentru aceasta avem nevoie de instituţii, de organizaţii care sunt apte, care sunt capabile să răspundă masiv, determinat la o astfel de pandemie în spaţiul cibernetic, care are foarte multe similitudini cu problema COVID. Una din concluziile pe care împreună cu echipa mea de conducere de la CERT.RO am tras-o a fost că este nevoie de o schimbare. Viziunea noastră actuală este de a ne alinia cu ţările mature din UE, şi nu numai, ţări care deja de câţiva ani au evoluat de la simple echipe de răspuns la incidente, care în cazul României cer, fiind practic o echipă, practic un departament de minister, în trecut. Deci au evoluat de la acest stadiu la agenţii, la structuri realmente mature, agile, apte pentru secolul XXI, viziunea noastră fiind foarte clar că vrem crearea unui directorat naţional de securitate cibernetică care să ofere instrumente performante, moderne în condiţii de eficienţă pentru realizarea funcţiilor statului român în raport nu numai cu eetăţenii şi cu celelalte instituţii şi autorităţi ale statului, dar şi cu mediul privat, cu mediul academic. Credem că înfiinţarea acestui directorat, în primul rând va repoziţiona România ca un actor cu reputaţie recunoscută în spaţiul cibernetic, dar va acoperi şi un vid instituţional în acest domeniu în România. Vom crea efectiv structuri, mecanisme esenţiale, care lipsesc acum, pentru asigurarea securităţii spaţiului cibernetic civil naţional, dar şi acea arhitectură de cooperare pe care nu o avem în toate aspectele primordiale, o arhitectură interinstituţională flexibilă, eficientă, cu roluri noi şi roluri care se pretează la contextul actual, inclusiv la valul masiv de atacuri cibernetice pe care noi îl detectăm.
Realizator: CERT.RO a fost înfiinţat în 2011. Este normal ca el, în momentul de faţă, ca din 2011 până acum să nu fi creionat, cum spuneţi dumneavoastră, valul, intensitatea atacurilor cibernetice la adresa securităţii cibernetice a unei ţări, unei naţiuni. Lumea merge înainte. Deci avem nevoie de o structură nouă cu o viziune nouă. Şi l-aș invita pe directorul general adjunct, pe domnul Iulian Alecu, al CERT.RO, să ne spună care ar fi principalele direcții pe care s-ar creiona acest directorat? Care ar fi pilonii de bază pe care ar trebui să se construiască această nouă instituție?
Iulian Alecu: Bună seara și mulțumesc pentru invitație! E o întrebare fundamentală pentru noua construcție a directoratului. Fundamentul acestui directorat îl constituie crearea unui hub de cooperare între zona privată, între zona de stat, actorii din zona de stat care au competențe în securitatea cibernetică și zona școlilor și universităților, practic, zona unde se regăsește resursa umană. De ce /.../ formula, ca să îi spun așa, de bază, fundamentul cum spuneam, al acestei noi construcții al directoratului, pentru că de aici, punând împreună resursele din zona privată, din zona de stat, din zona universitară și de educație vom putea crea un cadru care să ajute la identificarea, la pregătirea, la motivarea resursei umane din România, care să lucreze în zona de securitate cibernetică și care să fie motivată să rămână în țara noastră. Ăsta este fundamentul pe care vrem să construim.
Realizator: Pentru că ne-am săturat să ne fugă creierele...
Iulian Alecu: Exact, asta vrem să facem, să creăm acest cadru prin care resursa umană să fie pregătită, motivată să rămân în România. Iar apoi, de aici construim direcțiile. O primă direcție este direcția de instruire, de educație. Vrem să ne pregătim generațiile viitoare care vor lucra în securitate cibernetică. O altă direcție este direcția de conștientizare, de awareness, de educație a populației, a tuturor. Este foarte important să dezvoltăm zona de prevenţie. Pentru noi nu este o fericire să reacționăm în momentul în care s-au întâmplat incidentele, pentru că asta înseamnă că s-a întâmplat deja ceva rău. Cu cât dezvoltăm zona de prevenție, educația populației față de securitatea cibernetică, zona de cercetare dezvoltare în "cyber security", în securitate cibernetică, o componentă extrem de importantă, pentru că tehnologiile au evoluat foarte mult, apare 5G, inteligenţa artificială, big data, super computing-ul, va trebui să facem faţă și să anticipăm dezvoltările care vor apărea și implicaţiile lor la securitatea cibernetică. O altă componentă importantă este zona de cooperare internaţională. Aşa cum spunea şi Dan mai devreme, ne pregătim ca România să devină un actor important, fundamental, în zona de securitate cibernetică, atât la nivel european, cât și la nivel internațional. Zona de analiză, iarăși, este foarte importantă și vrem să ajungem să facem analiză predictivă, informaţiile pe care le avem să ne ajute să putem anticipa ceea ce ar putea să se întâmple la nivelul României. E foarte important, la fel, să dezvoltăm zona de reglementare, de strategii și politici, zona de certificare şi standardizare. Practic, toate acestea sunt noi provocări care au apărut în ultima perioadă și la care România trebuie să facă față. Zona de atragere de fonduri europene, iarăși o componentă extrem de importantă și la fel capacitatea de a răspunde la o criză de securitate cibernetică împreună. Practic, vrem să dezvoltăm acest hub în care, cum spuneam la început, stând toţi la masă din zona de stat, din zona privată, din zona de universități și de școli să putem capacita România, să putem pregăti România să răspundă inclusiv la crize de securitate cibernetică. Şi, la fel, zona de reacție tehnică. CERT.RO tocmai asta voiam să spun, va fi o componentă în marele directorat și nouă directorat. Practic, ăsta este și motivul pentru care apare această schimbare. CERT.RO este un centru naţional de răspuns. Noi acum vom avea un directorat care acoperă toate provocările de securitate cibernetică, iar CERT.RO, zona tehnică va fi o componentă din această nouă structură.
Realizator: Cum se va integra zona tehnică în acest nou directorat? Care ar fi direcțiile de dezvoltare ale zonei tehnice din punct de vedere al viitorului în noul directorat? Domnul Nelu Munteanu, ca director tehnic știți cel mai bine acest lucru.
Nelu Munteanu: Bună seara! Da, într-adevăr, ca să facem față noilor provocări avem nevoie de specialiști foarte bine pregătiți, avem nevoie de specialiști tineri și marea majoritate a celor tineri nu acceptă modelul de angajare actual din cadrul instituțiilor publice, adică concurs, ei acceptă în mod special companiile private, unde angajarea este mult mai flexibilă, au depus un CV, au un interviu și deja sunt angajați. De asemenea...
Realizator: Salarii foarte mari.
Nelu Munteanu: IT-işti nu mai vorbesc, pentru că în zona de stat nu poate să facă concurenţă mediului privat. Deci, o să avem nevoie odată de posibilitatea de a angaja foarte flexibil, pentru că dacă ne pleacă un angajat durează o lună jumătate, două, trei, până angajăm și atunci nu reușim să facem față noilor provocări. Asta ne dorim, /.../ să fim flexibili, să putem să oferim condiții similare celor din mediul privat. Nu neapărat să concurăm cu ei, dar măcar să fim acolo, pentru că atacatorii știm că au la dispoziție resurse foarte mari. Au nevoie doar de o singură dată să poată să producă un atac. Pe când cei care administrează trebuie să aibă, cum se zice la noi, să aibă noroc tot timpul, să nu poată să cadă în capcana unui atac cibernetic. Asta ne dorim să fim, o echipă puternică și să facem față provocărilor. Să fim aproape cot la cot cu atacatorii.
Realizator: Și chiar înaintea lor. Să le previzionați și să preîntâmpinați atacurile cibernetice. Domnule Constantin Călin, în calitate de președinte al Autorității de Reglementare, e o lipsă de reglementare în acest spațiu, lipsă de legislație, lipsă de normative. E un nomansland la un moment dat în România, aici, mi se pare. Greșesc?
Costantin Călin:Bună seara. Și da, și nu. Există o reglementare. Nu putem spune că nu există, dar nu la nivelul la care ne-am dori noi să existe. Prin noua structură o să încercăm să creștem gradul de normalizare al securității cibernetice și implicit al cadrului național de reglementare și /.../ cibernetice, care trebuie redimensionat și consolidat, astfel încât să sprijine activitățile de zi cu zi ale societății, să asigure funcționarea economiei în sectoarele cheie, precum sănătatea, finanțele, energia, producerea hranei, furnizarea de apă potabilă și /.../. Dar mai ales să susțină funcționarea pieței interne. Identificarea celor mai noi norme și cerințe de securitate atât la nivelul Uniunii Europene, cât și la nivel internațional, iar prin aceasta să stabilim un cadru național adecvat de reglementare. Este una dintre prioritățile noii noastre instituții. Noua instituție trebuie să fie adaptată adecvat, astfel încât să facă față provocărilor pe care dinamicile de dezvoltare tehnologică le vor ridica în spațiul cibernetic. Prin înființarea noului directorat național se creează premisele înlăturării obstacolelor întâlnite în anii anteriori în ceea ce privește implementarea directivei NIS, prin identificarea promptă a operatorului de servicii esențial, a furnizorilor de servicii digitale, prin conceperea, implementarea și monitorizarea aplicării unor măsuri de securitate care să corespundă cerințelor actuale la nivel european și care să asigure un nivel comun de securitate ridicat atât pentru rețele și sisteme informatice, cât și pentru populație în vederea poziționării ferme a României ca un lider recunoscut în securitatea cibernetică. Cred cu tărie că noua componentă, noul pilon de reglementare, certificare și atestare va fi unul dintre pilonii esențiali ai asigurări securității cibernetice la nivel național.
Realizator:Iată că noua structură va încerca să se autofinanțeze. Va încerca să acceseze proiecte europene. Va încerca să colaboreze cu instituții. Aici, Alina Vasilescu poate să ne spună mai multe în ceea ce privește cooperarea pe proiecte europene.
Alina Vasilescu: Bună seara! CERT.RO a elaborat și a implementat proiecte și până în acest moment. Însă, capacitatea operațională, resursele de personal de care a beneficiat nu au fost pe măsura dorințelor noastre de accesare a acestor fonduri. Urmărim pe viitor să accesăm cât mai multe fonduri nerambursabile, atât prin programe naționale, cât și prin programe ale Comisiei Europene. Toate proiectele implică și o componentă de cooperare. Prin urmare, vom depune proiecte în consorții, cu parteneri din mediul privat, din mediul instituțional, din mediul academic. Vom urmări activități de instruire a personalului, de schimburi de experiență, pentru a dezvolta capabilitățile de cybersecurity. România va beneficia de 80 de miliarde de euro, fonduri europene. Printre direcțiile prioritare, digitalizarea și securitatea cibernetică ocupă un loc de frunte, aș spune. Vor exista finanțări pentru securitatea cibernetică și le vom urmări îndeaproape pentru a accesa astfel de fonduri.
Realizator: Mulțumesc frumos, doamnă Alina Vasilescu. Domnul Sabin Popescu, care se ocupă din partea conducerii de cooperare și analiză, ce puteți spune din punctul acesta de vedere? Cum va dezvolta aceste dimensiuni noua autoritate, directoratul?
Sabin Popescu: Săru-mâna, doamna Săraru! Și bună seara ascultătorilor dumneavoastră! Activitatea de cooperare, analiză şi politici este o activitate deosebit de importantă atât la nivelul actualei structuri şi va deveni şi mai importantă în cadrul viitorului directorat, /.../ pentru securitate cibernetică. Suntem practic interfaţa instituţională a CERT-upui şi a viitorului directorat cu toţi partenerii cu care noi dorim să interacţionăm, atât din zona publică, cât şi din zona privată, atât din zona internă, cât şi din zona externă. A fost o experienţă interesantă, cel puţin în ultimul an şi jumătate, începând cu preşedinţia română a Consiliului UE, noi am ridicat capul din iarbă şi am văzut orizontul, adică am văzut cam pe unde ar trebui să fim şi noi. Nu că până atunci nu am fi văzut multe lucruri, dar interacţiunea a fost mult mai intensă şi s-au dezvoltat noi orizonturi, după care am început să construim şi să le consolidăm. În actuala situaţie suntem cu resurse extrem de limitate şi nu putem să facem faţă acestor activităţi. De aceea este nevoie de dezvoltare, de construcţie şi de dinamism în acestă direcţie. Pe zona de cooperare avem lucrurile foarte clare. Va trebui să facem prioritizări şi să vedem care sunt aliaţii cei mai importanţi şi cu ei să intrăm în primul rând într-o activitate serioasă bazată pe competenţă, profesionalism şi seriozitate. Activitatea de cooperare va viza cadrul intern unde vom avea conexiuni cu mediul privat, mediul public şi mediul academic, noi urmând să generăm în principiu şi după cum proiectăm, şi o platformă pe care să o creăm, să o gestionăm şi să asigurăm reuniunea tuturor acestor trei categorii de entităţi care vor ajunge la zona de cooperare. De asemenea, vom avea cooperarea externă, unde va trebui să fim prezenţi, UE fiind principalul motor şi unde se discută o serie de probleme deosebit de complexe şi de vaste şi la care noi va trebui să ne adaptăm şi să fim în centrul atenţiei şi de asemenea să ne creăm un profil acolo, pentru că avem toate competenţele, toate argumentele să facem acest lucru. Ne trebuie puţin poate mai multă organizare şi mai mult sprijin. În ceea ce priveşte zona de analiză, intenţionăm să dezvoltăm produse analitice pe diferite categorii de persoane interesate, analize pentru factorii de decizie, astfel încât, cu elemente tehnice mai puţine, dar cu substanţă din punct de vedere al conţinutului să putem convinge şi determina obţinerea unor reacţii atunci când este necesar. De asemenea, analize mai profesioniste pentru specialişti care vor putea să vadă aceste documente pe care CERT urmează să le elaboreze, sau viitorul directorat, elemente de ghidare, elemente de influenţare, să spunem, a modului în care ei văd lucrurile. De asemenea, în zona politicilor. Zona politicilor este de asemnea importantă, pentru că urmând şi văzând ceea ce se întâmplă la nivel european, noi putem genera, la rândul nostru, cadrul intern pe care-l avem la dispoziţie, o serie de măsuri care necesită un numit tip de abordare. Iar noi, cel puţin, pe zona de securitate cibernetică vom putea să facem acest lucru atât timp cât vom avea şi resursa umană necesară pentru a o duce la bun sfârşit. Ca atare, într-o simplă concluzie, aş vrea să spun că există un potenţial bun, există dorinţă de a face, mai avem nevoie şi de puţin sprijin pentru a putea duce la bun sfârşit aceste lucruri. Vă mulţumesc!
Realizator: Voi intra în legătură cu domnul Mihai Guranda, directorul direcţiei juridice. Cum va arăta acest directorat din punct de vedere juridic? Cum v-aţi gândit să-l structuraţi, cum previzionaţi?
Mihai Guranda:Bună seara! Aş dori să subliniez de la bun început faptul că în prezent România, prin guvernul său, se află într-un proces legislativ naţional de transformare în domeniul securităţii cibernetice. Astfel, în decembrie 2019 Guvernul României a adoptat Ordonanţa de urgenţă 90/2019, o ordonanţă deosebit de importantă pentru CERT.RO, prin care s-a stabilit că CERT.RO trece în coordonarea prim-ministrului. Până în 2019 ne aflam în coordonarea Ministerului Transporturilor. Astfel, Guvernul României a înţeles rolul securităţii cibernetice şi a considerat că această poziţie trebuie să fie în directa coordonare a prim-ministrului. În acelaşi timp, în ianuarie 2020, a fost adoptată Ordonanţa de urgenţă 4/2020 în care se prevede că Secretariatul General al Guvernului realizează strategiile şi politicile de securitate cibernetică ale guvernului.
În acest trend legislativ, de modificare și adaptare a legislației în domeniul securității cibernetice se încadrează și transformarea instituțională a CERT.RO, pentru că noul directorat național de securitate cibernetică se va ocupa, pe lângă celelalte competențe pe care le are de contracarare a atacurilor cibernetice la nivelul țării și de upgradare a strategiei de securitate cibernetică, care din anul 2013 și până în prezent nu am mai fost modificată, cu toate că România, prin implementarea directivei NIS, îi revine această obligație esențială, prin adoptarea unei strategii de securitate cibernetică astfel încât să fie acoperite toate provocările, dar, bineînțeles și noile trenduri tehnologice care sunt în prezent. Mă refer la internet of things, 5G și internetul care nu cunoaște, din ce în ce mai mult nu cunoaște granițe și vedem cum în actuala pandemie COVID-19 îşi spune foarte mult cuvântul.
Realizator: Mă întorc la domnul director Dan Cîmpean să îl întreb dacă România urmează trendul european și mondial de reformulare, de restructurare a acestor instituții pe plan mondial, având în vedere provocările la care fac faţă pe planul securității cibernetice instituțiile naționale. Văd că și în Australia, și în Europa, peste tot în lume se reorganizează, se reformulează. E cazul să facem și noi ceea ce faceți şi dumneavoastră acum? E cazul să facem pasul ăsta înainte.
Dan Cîmpean:Vă mulțumesc pentru întrebare, doamnă Săraru! În domeniul securității cibernetice, evident, ce era bun săptămâna trecută sau acum un an sau să ne aducem aminte în 2011, evident nu mai este suficient astăzi. Ţările mature, fie că sunt cele din UE, fie că sunt din alte geografii, dacă elevii buni ai clasei, să spun așa, să nu dăm nume de ţări, dar ţările mature au observat de mult acest element și au declanșat o reinventare a instituțiilor naționale care se ocupă de acest domeniu care, să fim oneşti, este un domeniu de vârf şi este un domeniu nou în care România, prin prisma resursei, a potențialului pe care o aveam la nivel național, trebui să domine, deci trebuie să fie unul din actorii respectați, cel puțin la nivel european, dar asta se poate face atunci când și instituțiile guvernamentale ale statului sunt la zi cu partea tehnică, cu piața, cu ce se întâmplă. Nu ne putem permite și va fi mult prea costisitor pentru noi ca nație să rămânem...
Realizator: Şi periculos.
Dan Câmpean: ...şi foarte periculos, pentru că altfel riscăm să fim dependenți de creierele altora, de bunăvoința altor țări care ar trebui să ne ajute la nevoie. Ce vrem să facem? Vrem să avem aceste capabilități în țară, să le păstrăm în țară, să le atragem înapoi în ţară unde e cazul, dar guvernul, autoritățile române nu pot rămâne în urma sectorului privat, nu pot rămâne în urmă altor ţări. Cam este momentul să arătăm decizie, determinare și niște mișcări hotărâte în această direcție.
Realizator: Eu vă mulțumesc pentru participarea la aceasta emisiune, domnule director! Mulțumesc colegilor dumneavoastră, domnul Dan Cîmpean, director general al CERT.RO, împreună cu colegii din conducerea acestei instituții atât de importante pentru țară, dar atât de important de reformulat și de readaptat și de re-upgradat într-un directorat național, este vorba despre Dan Cîmpean, cum spuneam, despre Iulian Alecu, despre Nelu Muntean, despre Constantin Calciu, despre Alina Vasilescu, Sabin Popescu și Mihai Guranda. Aceștia sunt oameni care mișcă România în sensul apărării noastre de atacurile cibernetice, de pericolele pe care le aduc să aibă în viața noastră și ne lasă să folosim tot ce înseamnă internet în securitate, în pace, în liniște. Au nevoie oamenii aceștia de instrumentele pentru a ne apăra în condiții cât mai optime, de a ne ține ţara întreagă și pe noi protejați, de multe ori de noi înșine. Cu aceasta vă mulțumesc pentru participarea la aceasta emisiune! Sper să aibă ecou și încă o dată, avem nevoie de un directorat național în ceea ce privește securitatea cibernetică. Ruxandra Săraru și producătorul emisiunii, Maria Ţoghină, vă mulțumesc pentru atenție!
Video: Oameni care mișcă România, ediția din 3 noiembrie 2020