Securitatea cibernetica romaneasca, intre lege si tocmeala

[g1_lead]
Recentele dezbateri publice initiate de Ministerul Comunicatiilor si Societatii Informationale (MCSI) asupra Legii privind Securitatea Cibernetica a Romaniei si reactiile generate in piata mi-au amintit de replica lui Amit Yoran, CEO RSA, in contextul anuntarii Planului National de Cyber Security al presedintelui Obama: “the Cybersecurity industry is fundamentally broken… and the problem is not technology, but mindset.” Am pastrat declaratia in limba engleza pentru o mai mare acuratete.

[/g1_lead]

In mod evident, Romania are nevoie de o Lege privind Securitatea Cibernetica, mai mult, avand in vedere datele publice ale CERT.ro cu privire la cresterea alarmanta a numarului de vulnerabilitati, devine, la fel de evident, ca aceasta legislatie trebuie sa fie coerenta si de actualitate.

Daca, programul presedintelui Obama are in vedere crearea unei Comisii Nationale de Securitate Cibernetica precum si a unei pozitii federale de Chief Information Security Officer, Proiectul de Lege privind Securitatea Cibernetica a Romaniei prevede infiintarea unui Sistem National de Securitate Cibernetica (SNSC), acesta reunind autoritatile si institutiile publice cu responsabilitati si capacitati in domeniu. SNSC ar urma sa colaboreze cu intreaga piata, de la operatori de infrastructura, la mediul academic si cel de afaceri. Acest context genereaza si cele mai multe discutii, despre cine raporteaza, cui si unde sunt se consolideaza datele , inclusiv luari de pozitia din partea societatii civile, precum APTI (Asociatia pentru Tehnologie si Internet), care, spre exemplu, vorbeste despre 5 principii pentru o securitate informatica sanatoasa pentru intreaga societate.

Din pacate, proiectul de lege al MCSI pune in plan secundar mediul privat, care detine nu doar tehnologiile de top ci si cele mai bine pregatite resurse. Peste ocean, spre exemplu, administratia Obama a declarat din start intentia de a colabora cu expertii IT din mediul privat, aceasta asociere fiind elementul central al initiativei. In esenta, este vorba despre o echipa de experti care sa lucreze cu diversele agentii guvernamentale pentru imbunatatirea nivelului operational si al tehnologiilor utilizate.

In mod firesc, intreaga piata privata a raspuns acestui apel. RSA, spre exemplu a sustinut public, alturi de alte companii, un amanunt important al planului Obama: generalizarea autentificarii multi-factor pentru serviciile de email dar si pentru alte aplicatii si sisteme. RSA considera ca autentificarea multi-factor este un pas vital pentru crestere anivellui de securitate si ca ar trebuie adoptata la nivel general, nu doar de catre institutiile guvernamentale pentru conturile privilegiate.

Complementar, RSA si-a anuntat intreg sprijinul pentru Planul Obama propunand urmatoarele directii strategice:

• Vizibilitate completa si in timp real asupra vulnerabilitatilor la nivelul infrastructurilor critice
• Adoptarea unor tehnologii de acces si management al identitatii dezvoltate native pentru cloud si mobilitate
• Maturitate in managementul riscului pentru a identifica si prioritize eforturile si investiiile

Suntem de acord cu pozitia RSA, care considera ca peisajul securitatii cibernetice este atat de dinamic incat deciziile trebuie luate in timp real. Tehnologiile exista, ramane ca fiecare entitate si specialist din industria de securitate IT sa-si gaseasca rolul in aceasta poveste, iar implicarea sa fie deplina, pentru ca suntem intr-o lupta reala cu infractorii cibernetici, pe care in mod evident, nu ne putem permite sa o pierdem.