Interviu cu directorul DNSC, Dan Cîmpean: Mediul de securitate cibernetică s-a schimbat radical şi brutal după războiul de agresiune al Federaţiei Ruse în Ucraina

MAS: Cu ce vine nou conferinţa din acest an, faţă de anul anterior?

Dan Cîmpean: Ne axăm, în primul rând, pe câteva subiecte care sunt de mult mai mare actualitate comparativ cu anul trecut sau acum doi ani şi încercăm să creăm o dinamică mult mai mare între participanţi, între panelişti, între membrii din sală, din audienţă; o interacţiune cât mai concretă. Adică, vrem să îi facem să discute câteva probleme destul de arzătoare şi spinoase pe subiectul „securitate cibernetică”, cât mai variate, şi să dăm mesajul că aceasta este o problemă complexă, care nu necesită doar o organizaţie, o instituţie sau alta, ci un întreg ecosistem care să lucreze împreună, în detaliu. Creştem nivelul de complexitate a discuţiilor, subiectelor şi participării.

MAS: Suntem în al doilea an de război la graniţa cu România, un război care se poartă pe mai multe fronturi, inclusiv pe cel cibernetic. S-a schimbat în vreun fel mediul de securitate cibernetică din cauza acestui război?

Dan Cîmpean: Absolut. S-a schimbat radical şi brutal, după războiul de agresiune al Federaţiei Ruse în Ucraina. Foarte mulţi lideri de organizaţii, responsabili de securitate cibernetică, estimează că în spatele majorităţii atacurilor cu care se confruntă organizaţiile sunt actori statali, grupări legate sau sponsorizate de Federaţia Rusă sau care activează în favoarea Federaţiei Ruse. Deci, paradigma s-a schimbat puţin în comparaţie cu acum un an şi jumătate. Importanţa acţiunilor acestor actori statali a crescut foarte mult. A crescut foarte mult şi gradul de sofisticare. Dacă acum un an jumătate, doi, erau atacuri mai amatoristice, au învăţat foarte mult şi coordonează foarte multe dintre aceste atacuri cu operaţiunile cinetice, militare, cu acţiuni de dezinformare. Observăm foarte multe activităţi care converg şi care au nevoie de un răspuns coordonat.

MAS: Care ar fi „trendurile”, în 2023, în materie de ameninţări cibernetice?

Dan Cîmpean: În cazul României, fenomenul ransomware este cel mai acut aş putea spune, din păcate. Avem nevoie de un mix de soluţii tehnice, intervenţii din partea autorităţilor oriunde este posibil, dar, mai ales, de educare a utilizatorilor, pentru că estimarea noastră este că 80-90% din problemele de tip ransomware pot fi rezolvate prin simpla educare a utilizatorului, care să identifice e-mailuri suspecte, mesaje suspecte, să nu-şi dea date de utilizator sau personale către orice solicitare sau prin accesarea oricărui link. Acest fenomen ransomware se intensifică, ia amploare, se profesionalizează, apare ceea ce se numeşte „ransomware as a service”, profesionalizat şi utilizat pe scară largă şi, atenţie, observăm că atacatorii de ransomware au trecut de la ţinte şi atacuri majore, la mai multe atacuri către organizaţii mai mici ca dimensiune. Compensează (n.r. atacatorii) câştiguri foarte mari pe care le obţineau din răscumpărări prin una, două organizaţii majore, cu câştiguri mult mai mici, dar de la mai multe victime. Se proliferează în toată lumea, nu doar în România.

MAS: Spuneaţi că s-a schimbat paradigma atacurilor în urma războiului din Ucraina. S-au schimbat şi măsurile sau, mai bine zis, modalitatea în care aplicaţi acele măsuri?

Dan Cîmpean: O măsură esenţială pe care trebuie să o luăm este o foarte bună coordonare între statele lumii democratice, ceea ce este destul de complicat de realizat, deoarece în multe state, cum este şi cazul României, securitatea cibernetică este componenta securităţii naţionale. Este practic un atribut al statului şi este mult mai complicat să coordonezi genul acesta de eforturi între state. Constituirea unor capabilităţi, dacă nu neapărat comune, măcar aliniate, între state, a unor seturi de măsuri de răspuns, a unor standarde tehnice sau non-tehnice reprezintă o prioritate. Deci, asta s-a schimbat foarte mult. Este o nevoie mai acută să lucrăm mai mult cu alte ţări, nivel stat-stat, ceea ce este mult mai complicat decât a lucra organizaţie-organizaţie sau organizaţie-expert.

MAS: Ştim că anul trecut s-a aprobat directiva NIS 2 şi urmează implementarea...

Dan Cîmpean: Avem termen până în octombrie 2024, un termen stabilit prin Directiva NIS 2. În cazul României, Directoratul a iniţiat dialog cu reprezentanţii sectoarelor economice, care sunt afectate. Sunt multe noi sectoare care sunt incluse în obiectivul directivei NIS 2, de la firme de producţie, la firme de distribuţie, de servicii curierat, hidrogen, infrastructură legată de comunicaţii spaţiale, inclusiv administraţie publică centrală. Asta necesită un dialog de substanţă cu reprezentanţii acestor domenii, o abordare corelată cu reprezentanţii altor state membre – şi asta facem la acest moment, ne consultăm cu mare atenţie în format unu-la-unu sau multilateral, cu alte state mai avansate sau mai puţin avansate, pentru că vrem să obţinem eficienţă, să evităm greşeli făcute de alţii şi să avem o abordare românească, dar complet aliniată cu NIS 2. Aşadar, nu vrem ca actul legislativ, care va transpune Directiva NIS 2 în legea românească, să fie doar un act legislativ formal şi conceptual. Trebuie să fie foarte clar, transparent şi uşor de transpus în măsuri practice.

MAS: Cum merge până acum implementarea? Aţi întâmpinat dificultăţi?

Dan Cîmpean: Dificultăţi nu, ci, din contră,  interes şi entuziasm de la toţi partenerii cu care am discutat. Abordarea pe care noi o propunem de la directorat şi o vrem este una „all-inclusive”, vrem să discutăm, nu să creăm un proiect normativ pe domeniul „cyber” la noi, în birou, pe care să-l transformăm într-un element de legislaţie. Vrem să avem discuţiile necesare, timpul necesar, ca să ne permită, sper eu, la începutul verii, să avem deja un document matur, o abordare discutată, aliniată, bine înţeleasă şi sprijinită de industrie.

MAS: Cum va schimba rezilienţa cibernetică această directivă?

Dan Cîmpean: Vom trece de la un număr redus de sectoare economice – şapte acum – la un număr mult mai mare. Este parte a schimbării generale de paradigmă în domeniul securităţii cibernetice. Ar fi naiv să credem că putem fi ca stat, ca societate, economie, relevanţi când sectoare întregi relevante pentru siguranţa cetăţeanului şi bunul mers al economiei sunt ignorate, din punctul de vedere al legiferării şi rezilienţei „cyber”. Abordarea noastră ar trebui să fie cât mai cuprinzătoare, în care niciunul dintre sectoarele cheie menţionate în Directiva NIS 2 să nu fie lăsate pe dinafară.

MAS: Dacă ar fi să numiţi un sector care este cel mai vulnerabil în faţa atacurilor cibernetice, care ar fi acela?

Dan Cîmpean: De principiu, orice organizaţie şi orice sector poate deveni o victimă, mai ales în cazul în care un actor statal poate fi implicat – şi vedem, în ultima perioadă, de la agresiunea rusă în Ucraina, actori statali care au capabilităţi tehnice semnificative, posibilităţi financiare nelimitate şi expertiza şi determinarea necesară pentru lansarea de atacuri. Ca organizaţie, ca sector, eşti victimă aproape sigură în cazul în care un atacator se concentrează pe tine. Dintre sectoare, cel care mie îmi este cel mai aproape de suflet şi care cred cu tărie că trebuie să facă eforturi, cu sprijinul tuturor, pentru a creşte nivelul de securitate cibernetică, este sectorul de sănătate. Aici avem foarte multe organizaţii, sute de spitale, clinici implicate, care au nevoie de sprijin, de ajutor, conştientizare la nivelul conducerii spitalelor, al medicilor, al oamenilor de IT şi al tehnicienilor. Este un domeniu sofisticat, complex şi care deserveşte (n.r. dacă este atacat) direct cetăţeanul şi care are impact direct asupra sănătăţii şi vieţii noastre. Deci, dacă ar fi să aleg, ca prioritate, eu personal aş pune, în primul rând, sectorul de sănătate.