Cosmin MĂCĂNEAŢĂ, Managing Partner, OMEGA TRUST @ Conferința RĂZBOIUL CYBER CONTRAATACĂ – Cum ne construim rezilienţa cibernetică? organizată de Digital Transformation Council, Revista COMUNICATII Mobile şi TelecomTV.ro pe 1 aprilie 2022.
Compania Omega Trust este specializată în zona auditului și testării securității cibernetice, suntem auditori acreditați NIS, precum și unul dintre liderii de piață.
Directiva NIS a apărut în 2016, dar a fost transpusă în legislația națională în 2018. S-a aplicat târziu pentru că au fost câteva sincope în elaborarea cadrului legislativ. Abia la finele anului 2020 a apărut cadrul de operare a Directivei NIS, iar auditorii au fost acreditați în august 2021.
Din păcate, România s-a mișcat greu în acest domeniu, așa cum se întâmplă și în cazul autostrăzilor, în cazul transformării digitale.
Scopul directivei NIS este îmbunătățirea capabilităților de securitate cibernetică în toate statele membre UE.
La acest moment, prin adoptarea mai multor acte normative, Directiva NIS este complet aplicabilă.
CONFERINȚA LIVE
Directiva NIS reprezintă o oportunitate extraordinară de a rezolva multe dintre problemele despre care au vorbit antevorbitorii mei din această conferință, respectiv că suntem vulnerabili, că nu facem instruire cu oamenii, că nu avem bugete IT. Practic, directiva forțează anumite industrii să facă acești pași.
Conform legislației, nerespectarea prevederilor NIS se sancționează cu amendă de până la 100.000 de lei pentru companii cu afaceri de până la 2 milioane de lei. În cazul companiilor cu afaceri de peste 2 milioane de lei, sancțiunea poate ajunge până la 5% din business.
Directiva NIS se aplică în 7 sectoare de activitate, respectiv energie, transport, bănci, infrastructuri ale pieței financiare, furnizarea și distribuirea de apă potabilă, infrastructura digitală și sectorul sănătății. Numărul sectoarelor de activitate va crește prin adoptarea Directivei NIS 2, care este în lucru.
În plus față de cele 7 sectoare menționate anterior, Directiva NIS se aplică și furnizorilor de servicii digitale prezenți în zona serviciilor de cloud computing, motoarelor de căutare și piețelor online.
Un operator de servicii de servicii esențiale (OSE) trebuie să se înscrie într-un registru de specialitate, denumit ROSE, gestionat de Directoratul Național de Securitate Cibernetică (DNSC), și această înscriere trebuie precedată de un audit, operațiunea care va fi realizată de un auditor acreditat.
În prezent, la nivel național există circa 30 de auditori acreditați.
Omega Trust lucrează cu peste 600 de clienți și am observat că există o lipsă gravă de apetit și de înțelegere la nivelul conducerii acestor clienți din perspectiva securității informației. Aceasta este principala problemă: cunosc mulți ofițeri responsabili cu securitatea informației, care știu ce să facă, se duc la directorii lor generali și aceștia le spun că „dacă funcționează, nu mă interesează”.
Dacă am fi într-o situație mai gravă, România fiind acum într-o situație stabilă din punct de vedere politic și economic, dacă cineva și-ar pune mintea cu noi, cred, din experiența mea practică, că nu va fi bine.
Spre exemplu, avem un client căruia i-am făcut în ultimii trei ani un număr de șase teste de social engineering, adică simulări de atacuri phishing, și, în pofida acestor teste, jumătate dintre utilizatori ne furnizează user-ul și parola fără nicio reținere.
Lucrurile se vor schimba prin creșterea presiunii asupra conducerii companiilor, prin creșterea presiunii legislative.
Directiva NIS și legea națională au puterea să-i forțeze pe șefii companiilor să ia măsuri, pentru că amenda de până la 5% este destul de mare.
După întocmirea raportului de audit pentru un OSE, acesta este trimis la Directoratul Național de Securitate Cibernetică (DNSC), care îl analizează și evaluează situația OSE-ului respectiv. Auditul se repetă o dată la doi ani.
Prețul unui audit pornește de la câteva mii de euro.
Principalele cerințe de securitate pentru un OSE vizează următorii piloni: guvernanță (managementul securității informației, managementul ecosistemului), protecție (managementul arhitecturii, managementul administrării, managementul identității și accesului, managementul mentenanței, managementul securității fizice), apărare cibernetică (managementul detecției, managementul incidentelor de securitate) și reziliență (managementul continuității afacerii și managementul crizelor), conform Ordinului 1323/2020.
Auditul presupune verificarea gradului de implementare a măsurilor tehnice și operaționale, realizarea testelor de penetrare, revizuirea codului sursă al aplicațiilor critice din punct de vedere al securității informației și emiterea raportului de audit cu recomandările aferente.
Zona cyber este foarte sensibilă. Se vorbește de război hibrid, de război cyber și România trebuie să ridice nivelul, nu mai putem rămâne așa, să mergem cu viteza melcului.
