Marian Murguleț: Directoratul Național de Securitate Cibernetică va înlocui CERT-RO, autoritate care suferă cronic de o subdimensionare gravă a resurselor, determinând incapacitatea instituțională de a-și îndeplini atribuțiile legale

• “Securitatea cibernetică a României nu trebuie politizată, iar înființarea și operaționalizarea Directoratului Național de Securitate Cibernetică trebuie să reprezinte o prioritate absolută”

Securitatea cibernetică a României este un domeniu strategic, ce trebuie sprijinit, nu trebuie politizat și care are nevoie de susținere și prioritate la cel mai înalt nivel, iar înființarea și operaționalizarea Directoratului Național de Securitate Cibernetică (DNSC) trebuie să reprezinte o prioritate absolută, a declarat Marian Murguleț, Secretar de stat pentru Tehnologia Informației la nivelul întregii Administrații Publice Centrale, CIO Guvernamental, la The New Global Challenges in Cyber Security – #CERTCON10.

Potrivit domniei sale, DNSC va înlocui CERT-RO – autoritatea civilă competentă la nivel național pe domeniul securității cibernetice – care astăzi funcționează în baza unei legislații complet depășite (HG din 2011) și suferă cronic de o subdimensionare gravă a resurselor, fapt ce determină incapacitatea instituțională de a-și îndeplini atribuțiile legale.

Marian Murguleț a precizat: “Politically corect ar fi probabil să spun ca stadiul operaționalizării Directoratului este work in progress, dar realitatea este că suntem într-un impas, fiind nevoie de voință politică de la cel mai înalt nivel pentru deblocarea OUG-ului de înființare a acestuia cât mai curând posibil.

Trăim într-o lume globală, nu putem să nu ținem cont de practicile și abordările celorlalți actori, de bunele practici din plan internațional.

Desigur, interesul național va prima și dincolo de poziții comune, România va avea întotdeauna și o poziție națională.

Legat de dezvoltarea rețelelor 5G, statul român are datoria să analizeze impactul întârzierii implementării 5G raportat în primul rând la riscurile de securitate cibernetică.

Este evident că în contextul în care rețelele 5G și serviciile sau activitățile facilitate de acestea vor cunoaște o dezvoltare accentuată atât la nivel de echipamente HW cât și aplicații SW – EXISTĂ riscul unei expuneri mai mari la atacuri cibernetice ce vor exploata vulnerabilitățile acestor noi tehnologii.

Avem nevoie de actori și instituții ale statului care sa aibă capabilitatea de a aborda provocările securității cibernetice 5G. Este un domeniu complet nou pe care statul român trebuie să îl controleze corespunzător.

Și pe acest palier, așa cum probabil cunoașteți, lucrăm de peste 5 luni la consolidarea, chiar transformarea uneia dintre instituțiile responsabile de asigurarea securității cibernetice și anume CERT.RO în vederea creșterii sau creării capabilităților statului în această zonă.

Având în vedere relevanța strategică a rețelelor 5G este oportun ca evaluarea riscurilor și oportunităților în acest dosar să răspundă inclusiv necesităților de siguranță națională.

În context, România va opera cu criteriile de securitate pentru viitoarele infrastructuri agreate:

1. în plan european – EU Toolbox,
2. cu cele incluse în Memorandum-ul cu SUA cu privire la dezvoltarea tehnologiei 5G care e o extensie a Parteneriatului Strategic în domeniul militar. Noi trebuie să ne asigurăm că tehnologiile implementate în RO (inclusiv 5G) NU pot fi folosite niciodată împotriva intereselor statului român și aliaților săi în cadrul războiului hibrid, ce include o componentă cibernetică.

Iar pentru a ne asigura că aceste tehnologii sunt în controlul nostru, e nevoie de un set de măsuri concrete și NU e suficientă doar simpla promisiune a producătorului. Orice nouă tehnologie s-a dovedit că are și vulnerabilități care pot fi exploatate de actori rău intenționați, caz în care acestea trebuie identificate corespunzător iar masurile de control luate trebuie verificate și aprobate de un organism competent al statului român.

Ce face Uniunea Europeană pe zona de apărare cibernetică?

Agenţia Uniunii Europene pentru Securitate Cibernetică (ENISA) a publicat chiar săptămâna aceasta raportul său anual, care rezumă principalele ameninţări cibernetice identificate în 2019 şi 2020.

Principala concluzie este că atacurile cibernetice devin din ce în ce mai sofisticate, mai intense și mai precis direcţionate.

Aceeași concluzie o avem și noi, la nivel național.

În perioada pandemiei observăm creșterea semnificativă a numărului, complexității și magnitudinii incidentelor de securitate cibernetică cu impact asupra multor actori esențiali ai statului, societății și economiei (spitale, ministere, agenții, bănci, școli, primării, IMM-uri) ceea ce necesită luarea unor măsuri urgente și decisive.

De asemenea, UE anunţă că ia măsuri ferme și urgente de consolidare a capacităţilor în materie de securitate cibernetică:

• va actualiza legislaţia în domeniul securităţii cibernetice,
• va adopta o nouă Strategie de securitate cibernetică până la sfârşitul anului 2020 şi
• investeşte în cercetarea şi consolidarea capacităţilor în materie de securitate cibernetică precum şi în sensibilizarea publicului cu privire la noile ameninţări şi tendinţe cibernetice

Acțiuni similare sunt așteptate de la toate statele membre, la nivel național.

Spre exemplu, in august, Germania a decis înființarea unei noi agenții cyber la Leipzig/Halle – în plus față de deja existenta BSI, cu un buget de 350 milioane Euro doar pe perioada 2021-2023.

Ce facem noi în România?

Începând cu 1 iunie a.c. pentru prima dată în domeniul securității cibernetice – la nivel de agenții civile – s-au derulat eforturi semnificative pentru lansarea procesului de creare a Directoratului Național de Securitate Cibernetică:

• Evoluția foarte rapidă și creșterea semnificativă a numărului, incidentelor de securitate cibernetică justifică luarea unor decizii urgente la nivel național.
• Ne confruntam cu o adevărată pandemie și în spațiul cibernetic, nu doar în domeniul sănătății publice.
• CERT-RO – autoritatea civilă competentă la nivel național pe domeniul securității cibernetice – funcționează in baza unei legislații complet depășite (HG din 2011) și suferă cronic de o subdimensionare gravă a resurselor, fapt ce determină incapacitatea instituțională de a-și îndeplini atribuțiile legale.
• Calea pe care Conducerea CERT-RO a recomandat-o Guvernului este cea a unei ordonanțe de urgență pentru crearea Directoratului, ce va înlocui complet CERT.RO – dar care va păstra responsabilitățile, activele, brandul acestuia.
• Proiectul de OUG și Nota de Fundamentare au fost elaborate în Iulie-August prin contribuția directă a experților cyber din partea tuturor membrilor Comitetului de Coordonare al CERT-RO.
• Mai multe instituții ale statului – cu competențe pe domeniul securității cibernetice – au lucrat împreună la proiectul de creare al alteia. În sine, acesta este un proces nou, ce nu a mai fost parcurs niciodată în România.
• În August-Septembrie, proiectul de OUG și NF au fost revăzute în detaliu împreună cu experți juriști din mai multe instituții, pentru ca actul normativ propus spre legiferare să aibă coerență legislativă și să își atingă scopul în integralitatea lui.
• La 21 septembrie, Secretariatul General al Guvernului (SGG) a aprobat documentele și le-a transmis spre avizare către ministerele și instituțiile cu acest rol.
• Politically corect ar fi probabil să spun ca stadiul operaționalizării Directoratului este work in progress dar realitatea este că suntem într-un impas fiind nevoie de voință politică de la cel mai înalt nivel pentru deblocarea OUG-ului de înființare a acestuia cât mai curând posibil.
• Astăzi, la o lună după lansarea procesului de avizare, ne aflăm încă într-un impas creat de lipsa de înțelegere a urgenței și severității situației din partea unui număr (adevărat, un număr foarte mic) de factori de decizie.
• Riscurile nu așteaptă, perioada de pandemie ne-a arătat că atacurile cibernetice s-au înmulțit și diversificat continuu, iar cei care amână operaționalizarea Directoratului e bine să știe că e foarte posibil să existe riscuri și consecințe severe în planul securității cibernetice naționale, din cauza amânărilor deciziei de înființare.
• Securitatea cibernetică a României este un domeniu strategic, ce trebuie sprijinit, nu trebuie politizat și care are nevoie de susținere și prioritate”.