ZF TechDay

ZF Tech Day. Dan Cîmpean, director interimar, Directoratul Naţional de Securitate Cibernetică: Am ajuns la 20.000 - 30.000 de atacuri cibernetice semnificative pe zi, România avea nevoie de o nouă structură civilă în acest domeniu. DNSC porneşte la drum cu cei 55 de angajaţi de la CERT-RO şi are în plan să ajungă la 172 la finele anului viitor

09.10.2021, 11:53 Autor: Adrian Seceleanu

Noua structură va începe să facă recrutări şi în teritoriu, nu doar din Bucureşti.

Apariţia Directoratului Na­ţio­nal de Securitate Ciber­netică (DNSC), instituţie care înlocuieşte Cen­trul Naţional de Securitate Cibernetică (CERT-RO) şi care are ca misiune reformarea domeniului civil al securităţii cibernetice, reprezenta un pas necesar în contextul exploziei numărului de atacuri cibernetice cu care se confruntă zilnic persoanele fizice, companiile şi institu­ţiile din România şi a riscului major ca ţara să se confrunte în viitor cu atacuri cibernetice masive.

Creşterea numărului de atacuri reprezintă unul dintre cele mai importante motive pentru care guvernul a decis să înfiinţeze noua instituţie, a explicat în cadrul emisiunii ZF Tech Day Dan Cîmpean, fost director al CERT-RO, în prezent director interimar al noii structuri - DNSC. „Instituţii pe care le-am creat - cum a fost cazul CERT-RO, acum aproximativ 10 ani, nu mai făceau faţă din punctul de vedere al modului de organizare, al competenţelor legale, al personalului. Vă dau doar un exemplu foarte simplu: zilnic detectăm undeva între 300.000 - 400.0000 până la 800.000 de atacuri mai mari sau mai mici la nivel naţional din care undeva în jur de 20.000 - 30.000 sunt semnificative, sunt atacuri care se concentrează pe câteva sute de componente cheie de infrastructură. Deci la nivelul acesta de atacuri, de incidente care ni se raportează pe care încercăm sa le rezolvăm era nevoie de un nou tip de capabilitate, de o nouă instituţie de responsabilităţi legale noi sau modificate. Ca urmare a unui efort de un pic peste un an, în care - mare atenţie - au fost

20 de instituţii ale statului implicate în concepţie, în discuţii, în procesul de avizare şi evident decizia finală a aparţinut guvernului - în final avem acum un nou Directorat românesc de securitate cibernetică (DNSC), care înlocuieşte CERT-RO, deci preia de la CERT-RO personalul, absolut totul, dar este o bază pe care o construim de acum eu sper pentru următorii 5 - 8 - 10 ani ţinând cont că în domeniul securităţii cibernetice lucrurile se schimbă extrem de rapid.

O schimbare semnificativă de abordare odată cu apariţia noii instituţii va fi demararea unui proces de recrutare şi din teritoriu, a declarat Dan Cîmpean. „Foarte repede ne dorim prezenţă în teritoriu. Mi-aleg cu mare atenţie vorbele acum pentru că vreau să setez şi aşteptările corect şi corespunzător. Un gând pe care eu de un pic de mai mult de un an îl am aici este că evident având sediul central în Bucureşti rezervorul de talent, de resurse la care apelam şi care era eligibil de a veni la organizaţia CERT-RO era în principal concentrat pe Bucureşti. Din start, asta ne tăia accesul la talent, la experţi care sunt localizaţi surpriză, ă în alte oraşe ale ţării: în Suceava, în Timişoara, în Vaslui, în Constanţa şi aşa mai departe. Foarte aproape de centre universitare. Deci ce vrem să facem printre altele este să creştem semnificativ capacitatea operaţională având experţi localizaţi în teritoriu - vom vedea cum reuşim să navigăm aspectele legale şi administrative. Aşa văd eu lucrurile: experţi care vor locui în aceste oraşe, care nu vor veni niciodată la sediu decât dacă sunt convocaţi pentru o anumită reuniune şi aşa mai departe, dar care vor lucra din oraşul respectiv în care domiciliază şi care vor fi foarte aproape de operatori de servicii esenţiale - şcoli, spitale etc. din acea zonă.

Deci asta vrem să facem din motivul foarte simplu că vrem acces la acest talent, la aceste creiere, care întâmplător nu sunt în Bucureşti. Evident ne vom folosi şi vom extinde foarte mult şi accesul la tinere talente în mod principal. Mă gândesc în primul rând la proaspeţii absolvenţi de universitate şi de ce nu, chiar studenţi care îşi fac studiile la momentul actual, şi - foarte important - nu vor lucra cu normă întreagă dar sunt disponibili şi vor să acţioneze la directorat  două ore pe zi, patru ore pe zi, o oră pe zi, în formate din acestea flexibile. Deci va trebui clar să explorăm direcţia asta şi va fi un mod foarte, foarte concret de operaţionalizare, ca să extindem rezervorul de talent la care avem accesŢ.

DNSC nu va avea 1.250 de angajaţi, faţă de 55 cât are în prezent, şi pe care i-a preluat de la CERT-RO, a explicat Dan Cîmpean. „Prin lege, prin ordonanţă de urgenţă, la directoratul român de securitate cibernetică numărul maxim de posturi este de 1.250. Atenţie mare, posturi nu înseamnă persoane. Prima reacţie pe care am observat-o şi am primit nenumărate mesaje în direcţia asta: veţi înfiinţa o agenţie de 1.250 de oameni. Nu vom găsi aceşti 1.250 de oameni din prima zi. Am făcut o proiecţie foarte precisă, pe ani. Realitatea este următoarea: la finalul anului 2022 ne dorim să fim 172 de angajaţi cu normă întreagă. În 2030, proiecţia care a fost transmisă Ministerului de Finanţe, arată că la directorat vor fi 549 de angajaţi cu normă întreagă, evident dacă reuşim să-i atragem, să îi păstrăm. O să spuneţi acum - bun dar cum se leagă aceasta cu 1250? Vom avea mulţi experţi care vor lucra cu un sfert de normă, cu o jumătate de normă. Un astfel de expert în momentul în care este angajat cu contract pe un astfel de post, chiar dacă lucrează o oră pe zi, prin contract, eu blochează un post, asta spune legea. Deci în principal încercăm ca de la 55 de angajaţi cu normă întreagă cât aveam când încă mai exista CERT-RO să creştem până la finalul lui 2023 la 172, deci practic să multiplicăm de trei ori cifra, sperăm să reuşim să-i atragem şi în 2030 să ajungem la 549 de angajaţi cu normă întreagăŢ.

 

Ce a mai declarat Dan Cîmpean în cadrul emisiunii:

► Aş putea spune în primul şi în primul rând şi asta observăm toţi fie că suntem specialişti sau nu: este o evoluţie foarte accentuată a nivelului de riscuri, de ameninţări de securitate din spaţiul cibernetic. Observăm că ştiri privind atacuri, privind impactul asupra unor instituţii asupra unor spitale, şcoli, firme private, ca număr, ca şi complexitate cresc. Auzim zi de zi despre astfel de incidente. Toate acestea suprapuse cu digitalizarea accelerată pe care o trăim cu toţii de un an, un an şi jumătate de când a început acest nefericit fenomen - coronavirus. Toată această evoluţie pune o presiune foarte, foarte mare pe instituţiile statului care au responsabilităţi pe domeniul securităţii cibernetice. Ne confruntăm la momentul acesta, şi nu e numai cazul României, e cazul tuturor ţărilor membre ale Uniunii Europene, cu ameninţări cibernetice din ce în ce mai sofisticate ale unor atacatori care cu resurse relativ limitate dar cu focus, cu răbdare, şi cu competenţe tehnologice foarte sofisticate, generează incidente cu efect perturbator din ce în ce mai importante, din ce în ce mai semnificative care în final destabilizează firme, organizaţii, pot ajunge până la destabiliza întregi sectoare economice.

► Unul din exemplele mele favorite, pe care aş vrea să-l dau şi o să încep cu el, este acela de management, de gestionare a crizelor de natură cibernetică, pe timp de pace. La momentul actual majoritatea analiştilor sunt de părere că următoarele crize majore cu care societatea, economia se vor confrunta vor fi nişte crize hibride deci un amestec de criză economică şi criză cibernetică sau o criză din domeniul sănătăţii cum deja avem acum la nivel global, combinată cu atacuri masive sau incidente masive de natură cibernetică şi aşa mai departe.

► Evident există iniţiative la nivel european şi o să fiu foarte precis acum. La jumătatea lui octombrie România va găzdui un exerciţiu numit Blue OLEx prin care responsabili cu nivel de decizie din ţările membre vor participa într-un exerciţiu european de criză cibernetică. Deci sunt din ce în ce mai multe iniţiative de pregătire a ţărilor membre, a autorităţilor competente, a celor cu responsabilităţi pe domeniul securităţii cibernetice pentru a acţiona în cazul de criză cibernetică. Tipul acesta de responsabilitate nu era definit până la acest moment atât de specific la nivel naţional. Directoratul va fi unul din actorii cheie care va face pregătirea - evident nu în izolare ci împreună cu alte instituţii care au atribuţii pe situaţii de criză sau pe pe domeniul de securitate cibernetică - deci va face pregătirea, va face planurile, va pregăti exerciţii, va pregăti acel suport operaţional pentru managementul crizei cibernetice. Şi sperăm să nu se întâmple dar este foarte posibil că se va întâmpla o criză cibernetică. Este o chestiune de când nu dacă - probabil în câţiva ani, în 10 ani, în 20 de ani, dar va fi şi pentru asta este foarte important să fim cu toţii pregătiţi. Deci este un nou domeniu pe care Directoratul îl va acoperi.

► Un alt domeniu va fi funcţia de evaluare a securităţii cibernetice a noilor tehnologii. Asta în mod intuitiv o vedem cu toţii avem tehnologii de la tehnologii 5G, inteligenţă artificială, cloud în general - cu toate varietăţile şi toate noile evoluţii a ceea ce înseamnă cloud, şi aşa mai departe blockchain, quantum computing etc. Reflexia pe care noi am avut-o când am lucrat la proiectul de act normativ a fost: bun, ce fel de actor civil, bine conectat cu producătorii de tehnologii, bine informat avem la nivel naţional ca să poată să investigheze riscurile legate de vulnerabilităţile legate de aceste noi tehnologii, să poată să fie un sprijin pentru organizaţiile, pentru utilizatorii acestora la nivel naţional? concluzia pe care am avut-o a fost că nu avem niciun actor civil care să aibă acest rol, deci trebuie să îl creem, trebuie să ne îndreptăm în direcţia aceasta.

► Până când va deveni complet operaţională noua structură va mai dura, asta o pot spune deschis şi direct. Evident nu pornim de la zero, construim pe ceea ce a însemnat CERT-RO, deci s-a preluat deja personalul, activele contractele, contactele, dar pe lângă echipele actuale pe lângă structurile, serviciile, organizaţia actuală trebuie să construim, să constituim noi echipe.

► Veţi spune: sunt mulţi, sunt puţini (n.red. - oameni la DNSC). Vă reamintesc doar atât: ne confruntăm cu 20.000- 30.000 de incidente semnificative de securitate cibernetică zilnic. Costul unui singur incident semnificativ - costul estimat şi raportat pe baza cifrelor lunile şi anii trecuţi - pentru un actor din sectorul financiar bancar ajunge uşor la peste un milion de lei. Avem nevoie de astfel de experţi care să sprijine economia, să sprijine societatea, să sprijine operatorii de servicii esenţiale din toate sectoarele economice şi alte instituţii ale statului în a preveni aceste incidente.

Emisiunea ZF TechDay este realizată de Ziarul Financiar cu susţinerea Orange Techday