Dan Cîmpean, director DNSC: Avem discrepanţe şi diferenţe destul de mari în nivelul de securitate şi rezilienţă cibernetică de la sector la sector şi de la o organizaţie la alta. Există spitale şi clinici care nu au oameni de IT

Redăm interviul integral:

Cu ce vine nou conferinţa de anul acesta faţă de cea precedentă şi de ce este importantă aducerea laolaltă a companiilor din domeniul cibernetic şi a instituţiilor statului?

Dan Cîmpean: În 2022, faţă de anii trecuţi, prin conferinţă am vrut să ne concentrăm puţin mai mult pe ecosistemul românesc de securitate cibernetică, să dăm o vizibilitate mult mai mare firmelor mici, start up-urilor, dar, în acelaşi timp, şi universităţilor, instituţiilor statului care au mandat, preocupări sau echipe şi activităţi în domeniul securităţii cibernetice. Am vrut să promovăm cât mai mult latura de iniţiativă, de inovare românească în domeniu şi să transmitem un mesaj pozitiv şi de încredere participanţilor şi întregului ecosistem: ”Sunteţi mulţi, sunteţi relevanţi, aveţi capabilităţi, dar e momentul să lucrăm mult mai strâns, mult mai bine împreună şi să ne coordonăm mult mai bine decât în trecut”. Cam acesta a fost mesajul cheie pe care şi ieri, şi astăzi, l-am dat şi îl dăm în continuare.

După pandemie – care ştim că a adus provocări în domeniul securităţii cibernetice – a venit războiul din Ucraina. S-a schimbat în vreun fel nivelul ameninţărilor în urma acestei invazii?

Dan Cîmpean: Cu siguranţă, ceva s-a schimbat la nivel global. De ce? Am observat în mod sistematic, din momentul în care invazia Federaţiei Ruse în Ucraina s-a întâmplat, că s-au multiplicat ameninţările hibride, mai ales latura cibernetică. După cum ştim, spaţiul cibernetic pentru organizaţii precum NATO este un teatru operaţional, pentru ministerele apărării din ţările NATO şi multe ţări ale UE, este teatru operaţional. Ar fi naiv să credem că într-un astfel de context nu se întâmplă lucruri. Deci, ce se întâmplă este că observăm o creştere a numărului de grupări active, strict în contextul războiului Rusiei în Ucraina. Observăm un soi de activităţi derulate de aceste grupări – unele complet independente şi descentralizate şi altele cu actori statali în spate – care devin din ce în ce mai active derulând activităţi de recunoaştere, de scanare de vulnerabilităţi, de infiltrare a unor infrastructuri informatice în sectoare critice în multiple ţări. Mai observăm, pe de altă parte, noi tehnici, instrumente şi protocoale pe care atacatorii le folosesc şi le perfecţionează în acest context şi, de pe altă parte, un aspect foarte interesant, care nu e în domeniul nostru, al Directoratului, dar care este vizibil, observăm o corelare între atacuri cibernetice şi pregătirea acestora şi fenomenul foarte enervant şi foarte supărător de fake news. Deci sunt corelări şi sincronizări clare între aceste activităţi, multe cu factori statali în spate sau cu proxy acestora.

A fost România pregătită din punctul acesta de vedere sau a fost prinsă cu garda jos?

Dan Cîmpean: După cum ştim, bancomatele funcţionează, sistemul de transport funcţionează, sistemul energetic funcţionează, deci, am putea spune, la prima vedere, da, suntem pregătiţi per ansamblu. Evident, este mult mai complicat de atât. Este o responsabilitate comună autorităţi-operatori economici-experţii acestora pe securitate cibernetică. Părerea mea profesională este că incidente semnificative există, incidente majore vor fi – am avut unul la nivel naţional în martie, ştim cu toţii, Rompetrol. Probabil, se vor multiplica, este o chestiune statistică. Numărul de tentative de atac şi de atacuri creşte în mod sistematic şi în România, şi la nivel global. Este un motiv să ne îngrijorăm? Da. Este un motiv să ne panicăm? Nu, aş putea spune. Ameninţarea este acolo şi depinde foarte mult de atenţia, profesionalismul şi nivelul de pregătire al fiecărui operator economic, al fiecărei echipe cyber sau IT de la acel operator şi de modul în care autorităţile se coordonează cu aceştia. Dacă o lăsăm pe propriile mijloace putem face o treabă bună sau mai puţin bună.  O să dau un exemplu care, pe mine personal, mă doare foarte tare: sectorul sănătăţii. Acesta are un nivel de maturitate scăzută. Avem spitale, clinici, publice sau private în care nu au oameni de IT, nici nu mai vorbim despre specialişti în securitate cibernetică. Este un sector pe care trebuie să îl sprijinim clar,  ca autorităţi, dar şi ei trebuie să depună eforturi. Sunt alte sectoare, precum cel financiar-bancar, nu numai în România, dar în întreaga Europă, care sunt foarte mature, au fost foarte bine reglementate, vor fi şi mai reglementate – mai ales pe partea de risc management, cyber, securitate. Avem discrepanţe şi diferenţe destul de mari în nivelul de securitate şi rezilienţă cibernetică de la sector la sector, de la o organizaţie la alta şi pe noi, la Directorat, asta ne preocupă.

Am auzit în cadrul panelurilor la care am participat că multe companii din domeniu se întâlnesc cu o anumită reticenţă din partea companiilor atacate cibernetic, privind dezvăluirea faptului că au fost atacaţi. Simţiţi acelaşi lucru şi din partea instituţiilor?

Cred că orice organizaţie este preocupată, evident, de aspecte legate de reputaţie şi de impactul asupra reputaţiei în momentul în care au suferit un incident de natură cibernetică. În mod foarte plastic, aş vrea să o compar cumva – partea de prevenire şi de comunicare legat de asta – cu bolile cu transmisiune sexuală. Toţi recunoaştem că luăm măsuri de protecţie, suntem preocupaţi, este un fenomen, poate afecta pe oricine, însă în momentul în care se întâmplă este o reticenţă de a se discuta în mod deschis. Paradigma pe care noi Directoratul vrem să o schimbăm – şi încurajăm toţi partenerii din sectorul public şi privat, organizaţii mari şi mici, cetăţeni, să o schimbe – este mentalitatea. În momentul în care un incident s-a întâmplat, dacă este semnificativ, dacă vă afectează ca organizaţie,  ca ecosistem – furnizorii, partenerii – trebuie să-l analizăm, să-l discutăm împreună. La unul din panelurile de ieri, unul dintre prezentatori a arătat o cifră foarte interesantă. 277 de zile, în medie, din momentul în care un incident se întâmplă până în momentul în care este detectat. Deci, avem un incident de securitate cibernetică, iar probabilitatea ca el să se fi întâmplat cu luni în urmă şi ca noi să identificăm rezultatele acum este foarte mare. În momentul în care s-a întâmplat asta, recomandarea noastră este să nu ezite să discute despre el cu autorităţile, cei care reglementează domeniul respectiv şi să aibă un plan de comunicare bine pregătit, să discute cu mesaje predefinite şi într-un mod coerent cu mass-media şi cu clienţii şi autorităţile. Recomandăm să nu ascundă aceste incidente pentru că, mai devreme sau mai târziu, se vor afla, iar reputaţia va fi mai afectată apoi. Nu recomandăm comunicarea haotică, ci pregătirea unui plan de comunicare, pregătit cu specialişti.

Recent am văzut că aţi declasificat trei rapoarte zilnice privind nivelul ameninţărilor cibernetice. De ce aţi ales să faceţi asta?

Dan Cîmpean: Sunt nişte rapoarte pe care noi le transmitem în mod sistematic  unor factori de decizie. Nu sunt clasificate în sensul hotărârii de Guvern privind datele clasificate, ci una pe care lumea cibernetică o foloseşte, respectiv traffic light protocol, şi am decis, cu prilejul conferinţei – pentru a facilita înţelegerea şi de către participanţi, şi de către jurnaliştii interesaţi – să comunicăm într-un format simplu, foarte compact şi foarte succint. Sunt date relevante privind nivelul securităţii cibernetice în România. Am considerat că această conferinţă este o bună oportunitate să ilustrăm, să exemplificăm şi să transmitem direct, deschis, nişte cifre şi fapte pe care noi le considerăm relevante şi le transmitem zilnic.  

În ultima perioadă, se vorbeşte în domeniul cibernetic tot mai mult despre spionaj industrial, economic, corporativ. Au fost cazuri în România de aşa ceva?

Dan Cîmpean: Practic, orice atac cibernetic poate avea ca potenţial, în spate, spionajul industrial, economic, asupra proprietăţii intelectuale, motivate de actori statali. Evident, când vorbim despre spionaj, sunt alte autorităţi ale statului care se ocupă de asta. Din punct de vedere pur tehnic, tehnicile, instrumentele, protocoalele de acţiune pentru un atacator care are în spate o motivaţie de spionaj economic, industrial, furt al proprietăţii intelectuale sau un actor statal sunt practic aceleaşi. Modul în care atacul se întâmplă, în care datele sunt exfiltrate, în care informaţia este furată sunt absolut similare, doar motivaţia diferă şi  beneficiarii acestor informaţii extrase din sisteme. Noi, ca Directorat, avem foarte puţine resurse la acest moment ca să facem identificarea precisă a actorilor şi a motivaţiilor acestor atacatori cibernetici. Atribuirea este un proces de foarte lungă durată, foarte costisitor în termeni de resursă umană, de mijloace tehnice, de mijloace financiare cu care se fac atribuirea şi, în mod normal, se face doar pentru cazuri majore, în corelare cu alte state. Au fost câteva exemple recente, atacurile asupra reţelelor de sateliţi comerciali. S-a făcut atribuire la nivelul UE şi atacatorul a fost, în mod explicit, Federaţia Rusă. Statistic şi proporţional, parte din atacuri sunt motivate de spionaj economic, furt de proprietate intelectuală şi chiar furt statal. Este foarte greu să discerni, atunci când eşti victima unui atac, între atacatori şi sunt foarte multe cazuri, la nivel global, când motivaţia iniţială este una financiară – se fură datele propriu-zis ale unei firme – şi apoi sunt vândute unui actor statal sau invers. Este un fenomen foarte dinamic, complex şi fascinant în acelaşi timp. Noi avem foarte mulţi specialişti cyber în România, încercăm cu disperare să îi ţinem în ţară, să îi motivăm să sprijine economia, societatea, instituţiile româneşti. Contăm foarte mult pe aceşti specialişti pentru a limita aceste fenomene negative.