Fiecare etapă a digitalizării poate și trebuie să conțină și o componentă de securitate cibernetică, pentru a diminua riscurile în caz de atacuri, a atras atenția Diana-Alisa Pașavel, expert accesare fonduri, implementare și administrare proiecte securitate cibernetică în cadrul Directoratului Național de Securitate Cibernetică (DNSC).
Declarațiile au fost făcute la conferința ”Un cincinal de digitalizare – unde au ajuns Statul și Economia. Dar industria IT?”, organizată marți de Conferințele CDG la Comisia pentru tehnologia informaţiei şi comunicaţiilor a Camerei Deputaților. Transmisia video integrală poate fi văzută AICI-VIDEO-INTEGRAL_LINK.
DNSC este instituția din România care are misiunea de a proteja spațiul național civil, asigurând cadrul de securitate pentru toate soluțiile digitale care sunt implementate.
„În prima etapă a digitalizării, vorbim de analiză și planificare și aici ideal ar fi să includem evaluarea riscurilor și a cerințelor. Mergând mai departe, vorbim de design și arhitectură și ar trebui să includem conceptul de «secure by design», în care luăm în calcul riscurile evaluate anterior, vedem ce putem diminua și cu cât. Și suntem pregătiți și în cazul în care nu putem diminua un risc suficient de mult, cu pașii următori. În partea de dezvoltare și implementare, ne asigurăm că efectuăm toate testele de securitate înainte de a pune în producție o soluție. Iar în integrare și operare discutăm despre monitorizarea atacurilor cibernetice și trebuie să luăm în calcul inclusiv dezafectarea sau migrarea de la o soluție, în momentul în care nu ne mai este utilă sau și-a servit scopul. De asemenea, trebuie să ne asigurăm că eliminarea datelor se face în siguranță”, a explicat Diana-Alisa Pașavel.
Prezentare integrală / DOCUMENT
Redăm în continuare principalele declarații:
- Directoratul Național de Securitate Cibernetică este instituția din România care are misiunea de a proteja spațiul național civil. Nu avem atribuții în partea de implementare a digitalizării, nu dezvoltăm platforme, nu dezvoltăm servicii digitale, dar ne asigurăm de cadrul de securitate pentru toate soluțiile digitale care sunt implementate. O facem prin transpunerea Directivei NIS2, prin stabilirea cerințelor obligatorii pentru entitățile esențiale și importante și prin audituri și sancțiuni, atunci când este cazul, pentru nerespectarea normelor. Ca obiective, avem partea de monitorizare și răspuns la incidente cibernetice, dar avem și atribuții mult mai mari: oferim sprijin și consiliere pentru instituții, în cadrul problemelor de securitate cibernetică, coordonăm reacția națională la amenințările cibernetice și, pentru asta, colaborăm cu alte instituții ale statului, dar și cu organizații internaționale.
- În cadrul directoratului, parteneriatele sunt importante, pentru că spațiul național civil nu prea are granițe. Și atunci trebuie să colaborăm cu toată lumea și să vedem perspectiva internațională a acestor atacuri. În plus, promovăm educația și conștientizarea. Nu suntem suficient de conștienți că această securitate cibernetică se adresează tuturor, nu doar departamentului IT, nu este o componentă extra pe care o punem la final, după ce am dezvoltat o soluție.
- Avem un nivel ridicat de amenințări și ultimii ani au fost influențați și de războiul de la graniță. Au crescut destul de mult atacurile și incidentele și reamintim câteva dintre amenințările cibernetice cu care ne-am confruntat. Vorbim de ransomware: amenințarea a continuat să fie prezentă și e asociată, în mare măsură, cu grupări proruse, care s-au remarcat prin activitate intensă în ultimii ani. Aceste atacuri vizează organizații mari, IMM-uri, unde perturbările sunt semnificative. Vorbim, de asemenea, de malware și peisajul malware a devenit mai diversificat, pentru că se utilizează echipamente software de tip infostealer. Tacticile au evoluat atât de mult, încât destructurarea și prevenirea sunt mai dificile. Pe de altă parte, atacurile DDoS (distributed denial-of-service, n.r.) au scăzut, pentru că s-au implementat metode de protecție bazate pe filtrarea traficului. Mai vorbim de inginerie socială și aici trebuie să amintim phishing-ul – destul de prezent în societate. De când cu AI, vorbim și de deepfake, care este din ce în ce mai bine realizat, din păcate. În plus, mai avem vishing, spoofing, care vizează atât persoanele fizice, cât și firmele, atacate pentru foloase financiare. Trebuie să amintim și atacurile asupra lanțurilor de aprovizionare. Astfel, când ne digitalizăm, trebuie să ținem cont de întreg lanțul de aprovizionare, nu doar de soluția achiziționată.
- Ce am mai creat noi, DNSC, în plus, pe partea de securitate cibernetică, în ultimii ani – programele de awareness, prin care încercăm să ajungem atât la anumite sectoare din industrie, dar și la cetățeni, să-i facem conștienți de riscurile menționate anterior și de obligațiile și recomandările despre ce ar fi de făcut după ce atacul a avut loc. Pe viitor, ne dorim să realizăm o analiză de risc cibernetic la nivel național. Discutăm inclusiv de inventarierea și clasificarea activelor. Trebuie să știm concret de la ce pornim și către ce vrem să ajungem. Pe locul doi am pus creșterea rezilienței cibernetice naționale și aici discutăm despre implementarea completă a NIS2. S-a subliniat deja importanța parteneriatelor și cooperării internaționale și asta ne dorim să facem și noi la DNSC și ne dorim să reprezentăm, în continuare, România la reuniunile relevante de la UE, OCDE, ONU și NATO. Pe partea de educație și competențe, vom insista destul de tare, iar în privința managementului crizelor și protecției infrastructurilor critice, suntem în stadiul în care vrem să validăm conceptul de „Centru național de gestionare a crizelor de securitate cibernetică”, într-un exercițiu major, realizat cu alte structuri.
- Fiecare etapă a digitalizării poate și trebuie să conțină și o componentă de securitate cibernetică, pentru a diminua riscurile. În prima etapă, vorbim de analiză și planificare și aici ideal ar fi să includem evaluarea riscurilor și a cerințelor. Mergând mai departe, vorbim de design și arhitectură și ar trebui să includem conceptul de „secure by design”, în care luăm în calcul riscurile evaluate anterior, vedem ce putem diminua și cu cât. Și suntem pregătiți și în cazul în care nu putem diminua un risc suficient de mult, cu pașii următori. În partea de dezvoltare și implementare, ne asigurăm că efectuăm toate testele de securitate înainte de a pune în producție o soluție. Iar în integrare și operare discutăm despre monitorizarea atacurilor cibernetice și trebuie să luăm în calcul inclusiv dezafectarea sau migrarea de la o soluție, în momentul în care nu ne mai este utilă sau și-a servit scopul. De asemenea, trebuie să ne asigurăm că eliminarea datelor se face în siguranță.
- Ne dorim să fim parteneri, în continuare, pe toată durata digitalizării. Colaborăm în mai multe sensuri cu sectorul privat. În ceea ce privește prezența în piață, Directiva NIS2 a fost, inițial, privită ca o reglementare în plus, după care am ajuns, prin diseminare, la beneficiile pe care le oferă real și pentru mediul privat, pentru că li se adresează inclusiv lor. Suntem prezenți alături de ei (companiile din mediul privat, n.r.) prin audituri – să vadă care sunt riscurile la care se expun și cum le pot contracara, dar și prin partea de post-incident. În 2024, există un raport înaintat CSAT în care vorbim de niște milioane de incidente la care DNSC răspunde pe an. Ce facem mai departe? Companiile au descoperit că au un atac, vin către noi, raportează și noi le susținem până la recovery. Tot la componenta de parteneriate cu mediul privat: avem companii din mediul privat pe care le certificăm, care sunt auditori acreditați, avem consultări cu acestea ca să înțelegem nevoia reală din piață de securitate cibernetică, dar și gradul actual de maturitate în piață.
Declarațiile au fost făcute la conferința ”Un cincinal de digitalizare – unde au ajuns Statul și Economia. Dar industria IT?”, organizată marți de Conferințele CDG la Comisia pentru tehnologia informaţiei şi comunicaţiilor a Camerei Deputaților. Transmisia video integrală poate fi văzută AICI-VIDEO-INTEGRAL_LINK.
Partener instituțional:
Comisia pentru tehnologia informaţiei şi comunicaţiilor, Camera Deputaților, Parlamentul României
Parteneri:
Asociația Cronica Europeană
***
Urmărește-ne pe Google News
