Convergența sistemelor informatice cu sistemele operaționale din domeniul industrial, inclusiv cel energetic, se manifestă din ce în ce mai clar. Viitorul va întări această tendință, iar totodată riscurile asociate devin tot mai mari. Atacurile cibernetice recente au crescut gradul de conștientizare, nu doar la nivelul companiilor care administrează infrastructuri critice, dar și la nivel statal și suprastatal. Dovadă stau directivele europene care impun acțiuni corelate de prevenție și dezvoltarea unor instrumente instituționale precum Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO. Am aflat de la Mircea Grigoraș, director general adjunct în cadrul CERT-RO, care sunt obligațiile la care va trebui să răspundă companiile din sectorul energetic în viitorul foarte apropiat.
Stimate domnule Mircea Grigoraș, în contextul actual, rolul Centrului Național de Răspuns la Incidente de Securitate Cibernetică devine tot mai vizibil, inclusiv pentru companiile energetice. Care sunt competențele și instrumentele pe care CERT-RO le are în coordonarea măsurilor și bunelor practici privind securitatea cibernetică?
De menționat că discutăm despre competențele pe care CERT-RO le are prin Hotărârea de Guvern nr. 494 din 2011 în acest moment, anume de prevenție, identificare, analiză și răspuns. În primul rând, CERT-RO colectează informații referitoare la IP-uri și URL-uri care sunt semnalate de partenerii noștri ca fiind implicate în incidente de securitate cibernetică. Apoi, întreținem și administrăm o bază de date cu alerte și incidente din spațiul cibernetic național. Colectarea datelor are la bază protocoalele de cooperare încheiate de CERT-RO și caracterul voluntar al notificărilor cu privire la aceste amenințări.
În al doilea rând, instituția poate oferi sfaturi pentru companii și utilizatori în cazul unor incidente semnificative. În măsura în care companiile sau instituțiile publice afectate o solicită, CERT-RO poate oferi sprijin și, doar pentru instituțiile publice, în anumite situații poate interveni cu echipe la fața locului, dacă este cazul.
Nu în ultimul rând, CERT-RO derulează activități de suport cu partenerii din mediul privat și din mediul instituțional și are un rol activ în dezvoltarea de strategii, politici și reglementări și în derularea campaniilor de conștientizare. Astfel, organizăm peste 10 workshop-uri tehnologice pe an pentru specialiști în securitate cibernetică din mediul public și privat, în care, prin training-uri hands-on, le sunt prezentate noi tehnologii, suntem implicați alături de parteneri din mediul privat în Luna Europeană a Securității Cibernetice, în organizarea Campionatului European de Securitate Cibernetică, precum și în alte activități și grupuri de lucru sectoriale pentru dezvoltarea culturii de securitate cibernetică și a capacităților de prevenție și răspuns.
Pentru a sublinia urgența cu care trebuie abordate aceste chestiuni, să reamintim că pe 9 mai trebuie să fie transpusă în legislația națională directiva privind securitatea rețelelor și a sistemelor informatice (NIS), adoptată la nivel european încă din 2016. În ce stadiu se află procesul de transpunere și ce noi obligații apar pentru companiile care administrează infrastructuri critice din sectorul energetic?
În acest moment s-a încheiat procesul de consultare publică pe acest proiect de lege și este pe circuitul de avizare interministerial. Avem un termen limită la care legea trebuie să intre în vigoare și facem toate eforturile să sprijinim Ministerul Comunicațiilor pentru ca la acel moment să avem un act legislativ cât mai bun. Legea va avea efecte asupra a două categorii de companii, respectiv cele care vor intra în categoria operatorilor de servicii esențiale și cele care sunt în categoria furnizorilor de servicii digitale – conform directivei. Vor exista în legislația secundară criterii și praguri pe baza cărora se va determina dacă o companie sau instituție intră în categoria de mai sus și va exista un termen de doi ani în care acestea se vor putea identifica singure, fără a fi supuse unui audit.
Prin prevederile legislative, aceste organizații vor trebui să asigure un set minim de măsuri de ordin tehnologic și de guvernanță pentru a crește gradul de siguranță a rețelelor. Practic, orice organizație care operează servicii esențiale pentru populație va trebui să mențină o anumită rigoare în infrastructura sistemelor informatice, să aibă personal dedicat pentru asigurarea securității cibernetice, să dezvolte în cadrul organizației training-uri și politici de securitate și să raporteze către CERT-RO incidentele care depășesc un anumit prag sau care pot afecta utilizatori/clienți din cel puțin două state membre ale UE. Toate acestea vor fi probate printr-un audit efectuat de o terță parte.
Directiva NIS invocă o așa-numită „cultură a securității”, considerată vitală pentru economiile și societățile care se bazează pe tehnologia informației. La ce se referă, mai concret, acest concept?
Având în vedere evoluția constantă a amenințărilor, dar și impactul financiar și social crescut pe care un atac l-ar putea avea asupra operatorilor și a societății în general, a fost luată decizia de a asigura prin lege un nivel minim tehnologic al infrastructurii informatice a organizațiilor. Pe lângă reglementările tehnice, companiile vor trebui să mențină un grad ridicat de conștientizare a angajaților împotriva amenințărilor și a metodelor de inginerie socială folosite de atacatori.
De multe ori, directivele europene sunt construite pe baza informațiilor, analizelor și bunelor practici ale companiilor aflate în avangarda sectorului vizat de directivă. Cât de pregătite sunt marile companii energetice din România, dar și CERT-RO, pentru a preveni și a răspunde, în mod adecvat, amenințărilor cibernetice?
Este o întrebare foarte bună. Este important de menționat că până acum companiile nu erau obligate să notifice vreo autoritate sau publicul în privința incidentelor sau a atacurilor sau să facă publice informații privind starea tehnologică a infrastructurii interne, așadar este foarte greu să răspund la întrebarea dumneavoastră, întrucât nu avem suficiente date.
Însă odată cu transpunerea NIS vom avea această vizibilitate, ceea ce ne va da o imagine mult mai clară asupra vulnerabilităților și amenințărilor din spațiul cibernetic național, așadar o capacitate instituțională de răspuns mult mai bună, atât în termeni de conștientizare și educație, cât și în termeni de răspuns la incidente.
La fel de important este, însă, faptul că încă din proiectul de lege de transpunere a directivei NIS se precizează faptul că CERT-RO va coopera și se va consulta cu autoritățile desemnate pe fiecare sector de activitate, precum și cu reprezentanții acestora pentru a genera un cadru de reglementare care să țină cont de specificitățile fiecărui sector.
Tot în luna mai, pe data de 25, este un termen final de implementare a unei alte directive europene, care vizează, de această dată, protecția datelor cu caracter personal, așa-numitul Regulament General de Protecție a Datelor Personale. În ce stadiu se află România, din această perspectivă?
Acest regulament intră sub responsabilitatea unei alte instituții publice, ANSPDCP, Agenția Națională de Supraveghere a Datelor cu Caracter Personal, așadar nu pot să ofer detalii. Ceea ce pot spune este că GDPR și NIS sunt reglementări complementare și vor fi multe companii care va trebui să fie conforme cu ambele. Până acum, regulamentul GDPR a fost mult mai vizibil public, întrucât nu necesită transpunere, aplicându-se direct în statele membre. Suntem siguri însă că odată cu adoptarea legii de transpunere a NIS și a legislației subsecvente, mediul de business își va îndrepta atenția și către acest subiect.
Care va fi impactul pe care îl anticipați la nivelul companiilor cu sute de mii sau milioane de clienți, mai ales ținând cont de perspectiva ca implementarea contorizării inteligente să crească exponențial volumul de date colectate, stocate și administrate de asemenea companii?
Depinde de nivelul de investiții în tehnologie pe care companiile îl vor aloca. La prima vedere, poate să pară că această abordare generează cheltuieli pentru că nivelul bugetului de investiții în securitate crește. Cu toate acestea, investițiile în securitate cresc exponențial costul pe care atacatorii îl au în derularea unui atac cibernetic de succes. Dacă ne uităm la exemplul incidentului din Ucraina cu Black Energy – când mare parte din țară a rămas fără energie pentru aproximativ 8 ore –, observăm faptul că acesta a fost posibil pentru că atacatorii au reușit să obțină acces la sistemele informatice gestionate de companiile de distribuție.
Desigur, un grad crescut de securitate ar putea crește bugetul de investiții, depinde de nivelul actual de securitate al infrastructurii IT. Chiar dacă vorbim de investiții, de multe ori sumele sunt mici față de riscul financiar al unui incident de securitate, mai ales pentru companiile de utilități, iar în același timp reprezintă o investiție în încrederea oferită clienților. Din aceste motive, o parte din companii au făcut primii pași în această direcție, întrucât deja oferim consultanță către o parte din aceste organizații pentru dezvoltarea de echipe specializate sau de centre de securitate interne. Noi dorim ca principalul impact al legii să fie siguranța consumatorilor și a angajaților din companii.
_____________________________________________
Interviul a apărut iniţial în numărul din decembrie 2017 al energynomics.ro Magazine.
Dacă vrei să primești prin curier acest număr (decembrie 2017), în format tipărit, scrie-ne la adresa office [at] energynomics.ro, pentru a te include în lista de distribuție. Toate numerele anterioare sunt accesibile AICI, în format electronic.