Interviu cu Dan Cîmpean, directorul Directoratului Național de Securitate Cibernetică (DNSC) și
Daniela Obreja, expert în Direcția Protecția Datelor Personale, Etică și Securitate Internă a DNSC
Directoratul Național de Securitate Cibernetică (DNSC) a fost înființat prin Ordonanța de Urgență a Guvernului nr. 104/2021, preluând atribuțiile fostului Centru Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO (înființat prin HG 494/2011), inclusiv atribuțiile de Autoritate Competentă la Nivel Naţional pentru Securitatea Reţelelor şi Sistemelor Informatice, Punct Naţional de Contact şi echipă CERT/CSIRT Naţională în domeniul de aplicare a Directivei NIS privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Pentru o mai bună înțelegere, cui se subordonează DNSC, cum este organizat, cu cine colaborează pe verticală și orizontală?
Dan Cîmpean: Directoratul este o instituție nouă, în proces de operaționalizare, aflată în subordinea Guvernului și în coordonarea prim-ministrului, după modelul agențiilor de securitate cibernetică mature din UE. Suntem organizați în 6 Direcții Generale: Direcția Generală Strategie, Direcția Generală Reglementare și Control, Direcția Generală Parteneriate Instituționale, Direcția Generală Operațiuni Tehnice, Direcția Generală Expertiză și Proiecte și Direcția Generală Internă.
În domeniul securității cibernetice, colaborăm și cooperăm la nivel de strategii, politici, programe, dar, îndeosebi din punct de vedere operațional, cu instituțiile guvernamentale, cu sectorul privat (inclusiv firme mici, incubatoare sau experți independenți), cu cel academic și cu partenerii internaționali.
Pentru a avea succes în acest domeniu, o agenție națională în domeniul securității cibernetice trebuie să fie aptă să lucreze eficient și precis cu această comunitate profesională, care este una foarte specializată, profesionistă și extrem de dinamică.
Vorbim despre o structură civilă sau parțial civilă? Acoperă activitatea DNSC sectorul public sau și pe cel privat?
Dan Cîmpean: Modul de constituire și construcția instituțională a Directoratului poate clarifica rapid aceasta. Suntem o instituție 100% civilă, una care este deschisă, dornică și capabilă să lucreze împreună cu toate categoriile de actori ai ecosistemului cibernetic național și nu numai.
Prin rolul și responsabilitățile pe care legea ni le atribuie, la nivel național, activitatea Directoratului acoperă atât sectorul privat, cât și pe cel public, cu câteva excepții. Spre exemplu, Directoratul nu are competențe pe domeniile de activitate din responsabilitatea instituțiilor de apărare, ordine publică și securitate națională, infrastructurilor critice naționale și infrastructurilor ce vehiculează informații clasificate.
Există entități similare, corespondente, și în celelalte state ale Uniunii Europene?
Dan Cîmpean: Desigur, iar acestea sunt foarte bine cunoscute, identificate și definite la nivelul UE, îndeosebi ca urmare a unor regulamente și directive ale Uniunii, transpuse și în legislația națională a celor 27 state membre. Dintre entitățile corespondente ale Directoratului, cu care vom lucra în mod prioritar în 2024, vreau să menționez doar câteva: Agence Nationale de la sécurité des systèmes d’information (ANSSI), Agenzia per la cybersicurezza nazionale (ACN), Centro Criptológico Nacional (CCN), Centre for Cyber Security Belgium (CCB), Computer Incident Response Center Luxembourg (CIRCL) etc.
Lucrăm și interacționăm activ cu acestea atât bilateral, cât și în formate specifice și multilaterale la nivel UE, printre care vreau să menționez doar CSIRTs Network, NIS Cooperation Group sau European cyber crisis liaison organisation network (EU-CyCLONe).
În luna aprilie a anului trecut ați avut o postare cel puțin surprinzătoare pe rețeaua LinkedIn, din care vă citez: „După trei ani de luptă împotriva unui nivel incredibil de mediocritate şi rezistenţă la schimbare (disimulată sub forma unei birocraţii), cred că pot declara în cele din urmă că fantoma fostului CERT-RO a trecut în sfârşit la cele veşnice”. Puteți explica mai clar această luare de poziție? Ce planuri aveți pentru (re)construcția DNSC? Ce se va schimba, în ce orizont de timp?
Dan Cîmpean: Vă mulțumesc pentru că ați menționat această postare de acum 9 luni, pe LinkedIn! Este o postare în care cred cu tărie și care îmi place din ce în ce mai mult, pe măsură ce o recitesc. Am decis să o fac pentru a marca momentul de lansare efectivă a procesului de operaționalizare a Directoratului, dar și punctul de la care eu consider că am început, ca instituție, să ne detașăm efectiv de balastul trecutului, îndeosebi cel de mentalitate.
Postarea a fost făcută în engleză și o puteți găsi aici: https://www.linkedin.com/posts/dan-cimpean_cybersecurity-team-talent-activity-7054500784163495936-nbOX?utm_source=share&utm_medium=member_desktop
Cu certitudine construim, nu reconstruim. Ca planuri, prioritatea mea este să activez cât mai rapid și să demonstrez capabilitățile noului model operațional al Directoratului, dar și să începem activitatea inclusiv în 11 (din cele 45) compartimente funcționale ale DNSC în care, până în prezent, nu avem încadrată nici o persoană.
Consider că atragerea de profesioniști tineri și capabili este cheia succesului în securitatea cibernetică. Să nu uităm că, deși a fost înființat la finalul lui 2021, până în 2023 Directoratul nu și-a putut recruta personal din cauza lipsei unei grile salariale pentru funcțiile specifice de securitate cibernetică. Dar acest aspect care ne-a întârziat eforturile s-a rezolvat, cu sprijinul Guvernului și al Parlamentului.
Suntem cu toții amenințați de cybercrime, cu atât mai mult cu cât trăim într-un context geopolitic și militar cu totul imprevizibil. Atacurile informatice de toate felurile s-au intensificat în ultimii doi ani, însăși website-ul DNSC a fost „doborât” vremelnic de hackeri în aprilie 2022. Atacatorii țintesc obținerea de date financiare, militare, de strategie și organizare, iar tehnologiile emergente tot mai sofisticate aflate la dispoziția acestora îngreunează vizibil misiunea dv. de prevenire și combatere a acestor acțiuni. În ce segment de activitate ați resimțit cele mai multe și mai complicate probleme?
Dan Cîmpean: Datele din 2023 privind atacurile și incidentele cibernetice pe care le avem la Directorat sunt foarte interesante. Observăm îndeosebi o creștere a numărului de atacuri asupra organizațiilor mici și mijlocii din sectorul IT&C, a lanțului de furnizori pentru sectorul financiar-bancar și a organizațiilor din sectorul sănătății, energiei și al transporturilor.
Ni se raportează însă un volum tot mai mare de atacuri îndreptate împotriva utilizatorilor obișnuiți. Cele mai frecvente metode de atac sunt phishing și spear-phishing, rootkit, SQL injection, DDoS, compromiterea conturilor de utilizator și distribuirea de malware (troieni, adware și spyware).
Desigur, nici instituțiile statului român nu sunt scutite de „onoarea” de a fi în mod constant și sistematic ținte predilecte ale acestor atacuri. Inclusiv Directoratul, infrastructurile și personalul nostru sunt, practic, permanent obiectul unor astfel de activități ostile.
Vocea DNSC a fost auzită în public tot mai des în ultima perioadă, când ați recomandat limitarea cantităţii de informaţii personale făcute publice pe conturile de social media şi revizuirea setărilor de confidenţialitate în mod regulat, având în vedere că infractorii cibernetici pot utiliza aceste conturi pentru a obţine acces la date personale sensibile sau când ați sugerat vigilenţă sporită la primirea unor mesaje nesolicitate sau suspecte, dar și o analiză în context a mesajului primit şi verificarea adresei reale de e-mail a expeditorului. S-a văzut deja în statistici eficiența acestor avertizări?
Dan Cîmpean: Reacția utilizatorilor și a administratorilor de conturi de social media este una foarte pozitivă, de fiecare dată când Directoratul publică alerte, recomandări, ghiduri sau notificări menite să ajute în creșterea nivelului de securitate cibernetică al activității pe social media. Nu avem încă suficiente date colectate pentru a ilustra eficiența și impactul pozitiv al acestor recomandări, dar le vom avea în câteva luni.
Anul 2023 s-a remarcat printr-o mulțime de probleme în ceea ce privește securitatea cibernetică mai ales pe rețelele de socializare, soldate cu blocarea conturilor de Facebook, Instagram, X, WhatsApp, TikTok sau YouTube. Statisticile au reflectat faptul că peste 70% dintre userii de Instagram și Facebook la nivel global au avut conturile blocate temporar și peste 5,4 milioane conturi de X (Twitter) au avut date ale utilizatorilor publicate neautorizat. În această situație, DNSC a transmis un ghid pentru recuperarea conturilor de social media blocate. Ce feedback ați avut până la acest moment?
Dan Cîmpean și Daniela Obreja:
Ghidul de protejare și recuperare conturi social media, care a fost pregătit și publicat foarte recent de echipa Directoratului, este unul dintre materialele de conștientizare cele mai populare. Și acesta, dar și alte materiale de conștientizare publicate pe site-ul www.dnsc.ro, care cuprinde ghiduri, recomandări, soluții de securitate pentru utilizatorii individuali și familii, au mii de vizualizări, fapt ce ne confirmă interesul ridicat al utilizatorilor pentru cunoașterea anticipativă a amenințărilor din spațiul cibernetic.
În exercitarea atribuțiilor care îi revin, Directoratul va continua să promoveze dezvoltarea unui comportament responsabil în spațiul cibernetic pentru persoanele fizice și juridice, prin conștientizarea efectelor atacurilor cibernetice și a modalității de semnalare a acestora, dar și prin emiterea de informări privind obligațiile care derivă din calitatea de administrator, furnizor sau utilizator al rețelelor și sistemelor informatice.
Cum apreciați că va decurge anul abia început, marcat de patru rânduri de alegeri, inflație, incertitudini politice, revendicări sociale și avans al extremismului? Cum va arăta „peisajul informatic” în atare condiții?
Dan Cîmpean: Despre peisajul informatic nu mă pot pronunța, dar pot să vă menționez care anticipez că vor fi principalele provocări din punctul de vedere al securității cibernetice în 2024, în România, în contextul pe care l-ați prezentat.
Cred că va crește numărul de atacuri cibernetice asupra unor utilizatori individuali proeminenți și a conturilor de utilizator ale acestora (îndeosebi pe social media), cu scopul de a le perturba, bloca sau compromite canalele de comunicare, ori de a extrage/fura date personale sau de utilizator sau informații sensibile.
Experiența din 2023 a altor state arată că atacatori cibernetici ar putea ținti cu metode și tactici inovative (dar nu foarte sofisticate) exponenți ai societății civile, partide politice, personalități publice sau colaboratorii acestora.
Va fi important pentru astfel de utilizatori, care nu au cunoștințe de securitate cibernetică, să înțeleagă natura riscurilor și amenințărilor implicate, precum și impactul potențial al unor incidente cibernetice potențiale. Și să nu uite că acestea pot fi, totuși, contracarate foarte eficient prin măsuri relativ simple de igienă cibernetică.
România găzduiește la București Centrul European de Competenţe în materie de Securitate Cibernetică al Uniunii Europene. În ce relație este DNSC cu această organizație? Ce perspective de colaborare există aici?
Dan Cîmpean: Înainte de toate, aș dori să clarific faptul că Directoratul nu este Centrul European de Competențe în materie de Securitate Cibernetică (ECCC). Mulți fac această confuzie, deci este bine de precizat că ECCC este un centru de competențe al Uniunii Europene, cu sediul în București. Directorul acestuia, dl Luca Tagliaretti, își va începe în curând activitatea efectivă și sunt convins că va fi un bun prieten și suporter al ecosistemului românesc de securitate cibernetică.
De la momentul desemnării României ca țară gazdă a ECCC, un număr semnificativ de firme private în domeniul IT, al noilor tehnologii și, evident, al securității cibernetice, au decis să își înființeze sucursale și filiale în România și au recrutat deja echipe, cu obiectivul de a fi active în relația cu noul Centrul European și cu alți membri ai ecosistemului cibernetic de la noi din țară. Este evident că aceste investiții sunt un pas foarte semnificativ, ce transmite mesajul că România este locul unde trebuie investit, atunci când discutăm de domeniul securitate cibernetică.
La Directorat, avem chiar un departament care are ca obiectiv dezvoltarea și concretizarea oportunităților de proiecte și programe, iar eu sunt direct implicat încă din 2021 în activitățile ECCC, în calitate de membru al Consiliului de conducere al acestuia, unde lucrez împreună cu reprezentanții celorlalte 26 state membre și cei ai Comisiei Europene. Membrii consiliului de conducere garantează faptul că misiunea, obiectivele, identitatea și autonomia ECCC sunt salvgardate și că acțiunile sale sunt în concordanță cu respectiva misiune și respectivele obiective, într-un mod independent și transparent.
