Update articol:
#CybersecurityForum

Costin BURDUN, Deputy CEO certSIGN:  Companiile mici şi mjlocii ar putea să primească, prin PNRR, voucherul pentru securitate cibernetică (VIDEO)

Costin Burdun Certsign securitate cibernetica Cybersecurity Forum
  • Trebuie reglementat mijlocul de identificare electronic la nivel național

  • Costin Burdun: ”În 2020, am văzut o mărire a cererii de certificate de autentificare web”

Specialiștii din mediul privat ar trebui să fie implicați în ceea ce se decide şi se propune pe zona legislativă sau în zona decizională, a spus Costin Burdun, Deputy CEO certSIGN, la cea de-a treia ediție a evenimentului CYBERSECURITY ONLINE FORUM, adăugând: “Este un lucru foarte corect, de bun simț. Sperăm să se întâmple de acum încolo, pentru că în ultimii ani, cel puțin pe anumite zone și anumite nișe în care sunt puțini specialiști, s-au luat inițiative legislative care au fost făcute fără niciun fel de implicare a acestora și este mult mai complicat să îi implici la momentul la care apar probleme”.

Potrivit lui Costin Burdun, şi compania certSIGN a trecut în anul 2020 prin experienţele COVID: “Nu am făcut nici noi excepție, dar am avut ocazia să ne dezvoltăm și să accentuăm anumite servicii pe care le oferim.

În ceea ce priveşte partea de Cercetare-Dezvoltare, avem un patent înregistrat în SUA pe zona de criptare homomorfică, ceea ce ne-a ajutat în contextul pandemiei, în sensul că au fost niște inițiative la nivel guvernamental pentru dezvoltarea unor proiecte de cercetare legate de posibilitatea de urmărire a posibililor contacţi ai unei persoane infectate. Se ştie că au fost dezvoltate destul de multe soluții și multe ţări le au deja la nivel operațional, și oficial, la nivel național. La noi au fost doar aceste inițiative pe zona de cercetare, am fost câștigătorul unui astfel de grant și am implementat o astfel de soluție pe partea de privacy cu privire la datele personale ale utilizatorilor – o problemă foarte critică, aceea de a nu şti nimic despre cine este infectat, ci numai cine trebuie să ştie. Am implementat acest lucru folosind exact acest patent. Practic l-am aplicat pentru a asigura această parte de privacy foarte importantă într-un astfel de sistem care poate să fie de ajutor. Rămâne de văzut mai departe care va fi strategia autorităților cu privire la implementarea și în România a unui astfel de sistem într o manieră oficială.

Din ce am studiat noi, un astfel de sistem ar putea fi util nu numai pentru această pandemie, ci şi pentru situaţii similare.

Legat de partea de securitate în zona tranzacțiilor online, o problemă importantă este furtul de identitate. Sunt două aspecte. Pe de o parte, trebuie să fii sigur că discuți cu furnizorul de servicii cu care crezi că vorbești în mediul online. Practic, trebuie să îți intre în reflex că, atunci când navighezi pe un site, trebuie să te asiguri că eşti pe site-ul real, autentificat. Deja din ce în ce mai mult browsere te notifică, îți atrag atenția asupra faptului că respectivul site nu este securizat, adică nu are un certificat asociat din care să rezulte că într-adevăr este chiar site-ul respectiv şi nu genul acela de site fake cu o literă schimbată.

Practic s-a văzut în 2020 o mărire a cererii de certificate de autentificare web, creştere legată oarecum şi de pandemie, dar vorbim şi de o evoluţie oarecum firească, pentru că producătorii de browsere şi-au concentrat foarte mult atenția asupra acestui aspect.

Noi, din perspectiva furnizorilor de servicii de certificate pentru astfel de servere, putem să spunem că de-a lungul ultimilor doi-trei ani am fost într-un contact aproape permanent cu furnizorii de browsere care vin către noi și verifică, atrag atenţia. Dacă identifică anumite probleme potențiale în procesul de emitere de certificate ridică întrebări, iar noi trebuie să răspundem. Este o foarte mare atenție din perspectiva acestor producători de browsere, pentru că, practic, e în interesul lor de a se asigura și a da garanția utilizatorilor că într-adevăr accesează site-uri legitime.

Pe de altă parte, din partea furnizorului de servicii electronice la care ar trebui să ne conectăm în mediul electronic există necesitatea de a fi sigur, tu, ca furnizor, că vorbeşti cu persoana care se declară că este, adică de a avea un nivel aşa-numit substanțial – cum este definit în Regulamentul 910 cu privire la identitatea electronică și serviciile de încredere –  asupra identității electronice cu care o persoană vine la tine pe site, pentru a-i furniza serviciile tale.

În procesul acesta de «know your customer» în mediul electronic este foarte important ca identitatea electronică pe care o furnizezi utilizatorului să fie de un nivel ridicat. Asta înseamnă că trebuie să cunoști foarte bine clientul, să ai un contact inițial cu respectiva persoană, ceea ce a fost imposibil în perioada de pandemie. Cu alte cuvinte, este foarte important să dezvoltăm și să avem la dispoziție mijloace de identificare electronică pe care să le putem folosi din ce în ce mai mult, care presupun un proces inițial de identificare care poate să fie fizic, dar poate să fie și prin mijloace video, echivalente cu prezenţa fizică. După aceea, o perioadă de patru-cinci ani, depinde de politicile respectivului furnizor de identitate electronică, poți cu acel mijloc să te duci oriunde la orice furnizor de servicii care, bineînțeles, se integrează cu astfel de mijloace de identificare și nu mai trebuie să te deplasezi fizic nicăieri și poți să mergi în a face activități complete în mediul electronic.

Ca să ajungem până acolo ar trebui reglementat mijlocul de identificare electronic la nivel național. În acest moment nu există așa ceva. Nu avem toți aceeași referință, pentru fiecare înseamnă altceva, se confundă identitatea electronică cu cardul electronic de identitate. Sunt lucruri și concepte diferite.

Este absolut necesar să existe un astfel de cadru de reglementare, iar noi, certSIGN, în 2020, prin diversele asociații din care facem parte, am promovat propuneri legislative în acest sens, care sunt în corelare perfectă cu Regulamentul European care a apărut în 2016 şi care a fost făcut pornind de la premisa că statele membre au deja reglementată la nivel național identitatea electronică, lucru care, din păcate, pentru România nu este valabil încă.

Tot în anul 2020 am făcut o constatare cu privire la piaţa serviciilor de securitate cibernetică. Din nefericire, în continuare, aceasta evoluează foarte greu. Ea trebuie să fie motivată şi generată cumva dinspre zona de stat. Legea 362 și cadrul legislativ secundar ar trebui accelerate pentru a fi complete și pentru a putea operaționaliza relațiile dintre operatorii de servicii esențiale, furnizorii de servicii  digitale și furnizorii de servicii de securitate cibernetică.

Într-adevăr au început să aibă loc discuții. Diversele companii din aceste zone încearcă să identifice cum ar trebui să se pregătească pentru a fi compliant cu această lege și cu directiva NIS, dar inexistența cadrului legal complet cred că în continuare va frâna această direcție şi ar fi foarte important să se accelereze.

De asemenea, din perspectiva PNRR, cred că s-ar putea face mai mult pentru a fi motivate companiile mici și mijlocii măcar să exerseze, să deprindă lucrul cu servicii externalizate pe zona de securitate cibernetică. Adică ar fi foarte bine dacă aceastea, pe o perioadă de un an sau doi, ar primi voucherul pentru securitate cibernetică – un voucher prin care să își deconteze astfel de servicii – pentru a vedea ce presupun astfel de servicii, care sunt beneficiile, astfel încât tot în această perioadă încet-încet să înceapă să își bugeteze şi să intre apoi într-un ritm normal.

Printr-un astfel de mecanism probabil că s-ar crea o piaţă, s-ar încuraja dezvoltarea de astfel de servicii în mod real.

În 2020, am contribuit şi pe zona de educaţie, mă refer la educația copiilor în domeniul cybersecurity care reprezintă o șansă pentru mediul digital şi un viitor mai sigur.

Am făcut o campanie numită Cyber4Kids, disponibilă pe cyber4kids.ro, care constă într-o suită de filmulețe animate pentru copii preșcolari sau școlari la început, în clasele I-IV, care abordează această parte de igienă și conștientizare a securității cibernetice. Campania a fost promovată pe mai multe canale, inclusiv la radio. CERT RO ne-a sprijini foarte mult în acest demers și credem că este de ajutor atât pentru copii, cât și pentru părinții lor, pentru că am venit și cu niște ghiduri pentru părinți. Ne-am dori ca astfel de inițiative să fie preluate şi duse mai departe şi de alte companii.

Noi pregătim ceva similar în 2022 şi pentru următorul ciclu şcolar – gimnaziu şi liceu.

În ceea ce priveşte nevoia de specialişti în domeniul cybersecurity, am contribuit şi noi în a dezvolta viitorii specialiști. Am continuat o tradiţie de câţiva ani – certSIGN este alături de ANSSI și de Cyberint în pregătirea echipelor pentru concursurile naționale și europene de securitate cibernetică. Anul trecut, nu a fost concurs european, ci a fost concurs național şi am participat și noi ca organizator, am creat propuneri de probleme și am fost alături de echipele de concurenți”.

BVBStiri BVB

S.N. NUCLEARELECTRICA S.A. (SNN) (13/04/2021)

Raport conf. art. 92 ind. 3 Legea 24/2017

ELECTROARGES SA (ELGS) (13/04/2021)

Solicitare Completare Ordine de Zi - AGOA 26/27.04.2021 - versiune limba Engleza

CONPET SA (COTE) (12/04/2021)

Completarea ordinii de zi a AGOA din data de 28(29).04.2021 si B.V.C. 2021