Dan Cîmpean, directorul DNSC, a vorbit, în cadrul unui interviu pentru Mediafax și Monitorul Apărării și Securității, despre nivelul amenințărilor cibernetice în contextul războiului ruso-ucrainean și nivelul de pregătire al instituțiilor românești în fața atacurilor cibernetice. Potrivit acestuia, sectorul sănătății este unul dintre sectoarele cu cele mai scăzute niveluri de pregătire privind apărarea în fața amenințărilor cibernetice.
Redăm interviul integral:
Cu ce vine nou conferința de anul acesta față de cea precedentă și de ce este importantă aducerea laolaltă a companiilor din domeniul cibernetic și a instituțiilor statului?
Dan Cîmpean: În 2022, față de anii trecuți, prin conferință am vrut să ne concentrăm puțin mai mult pe ecosistemul românesc de securitate cibernetică, să dăm o vizibilitate mult mai mare firmelor mici, start up-urilor, dar, în același timp, și universităților, instituțiilor statului care au mandat, preocupări sau echipe și activități în domeniul securității cibernetice. Am vrut să promovăm cât mai mult latura de inițiativă, de inovare românească în domeniu și să transmitem un mesaj pozitiv și de încredere participanților și întregului ecosistem: ”Sunteți mulți, sunteți relevanți, aveți capabilități, dar e momentul să lucrăm mult mai strâns, mult mai bine împreună și să ne coordonăm mult mai bine decât în trecut”. Cam acesta a fost mesajul cheie pe care și ieri, și astăzi, l-am dat și îl dăm în continuare.
După pandemie – care știm că a adus provocări în domeniul securității cibernetice – a venit războiul din Ucraina. S-a schimbat în vreun fel nivelul amenințărilor în urma acestei invazii?
Dan Cîmpean: Cu siguranță, ceva s-a schimbat la nivel global. De ce? Am observat în mod sistematic, din momentul în care invazia Federației Ruse în Ucraina s-a întâmplat, că s-au multiplicat amenințările hibride, mai ales latura cibernetică. După cum știm, spațiul cibernetic pentru organizații precum NATO este un teatru operațional, pentru ministerele apărării din țările NATO și multe țări ale UE, este teatru operațional. Ar fi naiv să credem că într-un astfel de context nu se întâmplă lucruri. Deci, ce se întâmplă este că observăm o creștere a numărului de grupări active, strict în contextul războiului Rusiei în Ucraina. Observăm un soi de activități derulate de aceste grupări – unele complet independente și descentralizate și altele cu actori statali în spate – care devin din ce în ce mai active derulând activități de recunoaștere, de scanare de vulnerabilități, de infiltrare a unor infrastructuri informatice în sectoare critice în multiple țări. Mai observăm, pe de altă parte, noi tehnici, instrumente și protocoale pe care atacatorii le folosesc și le perfecționează în acest context și, de pe altă parte, un aspect foarte interesant, care nu e în domeniul nostru, al Directoratului, dar care este vizibil, observăm o corelare între atacuri cibernetice și pregătirea acestora și fenomenul foarte enervant și foarte supărător de fake news. Deci sunt corelări și sincronizări clare între aceste activități, multe cu factori statali în spate sau cu proxy acestora.
A fost România pregătită din punctul acesta de vedere sau a fost prinsă cu garda jos?
Dan Cîmpean: După cum știm, bancomatele funcționează, sistemul de transport funcționează, sistemul energetic funcționează, deci, am putea spune, la prima vedere, da, suntem pregătiți per ansamblu. Evident, este mult mai complicat de atât. Este o responsabilitate comună autorități-operatori economici-experții acestora pe securitate cibernetică. Părerea mea profesională este că incidente semnificative există, incidente majore vor fi – am avut unul la nivel național în martie, știm cu toții, Rompetrol. Probabil, se vor multiplica, este o chestiune statistică. Numărul de tentative de atac și de atacuri crește în mod sistematic și în România, și la nivel global. Este un motiv să ne îngrijorăm? Da. Este un motiv să ne panicăm? Nu, aș putea spune. Amenințarea este acolo și depinde foarte mult de atenția, profesionalismul și nivelul de pregătire al fiecărui operator economic, al fiecărei echipe cyber sau IT de la acel operator și de modul în care autoritățile se coordonează cu aceștia. Dacă o lăsăm pe propriile mijloace putem face o treabă bună sau mai puțin bună. O să dau un exemplu care, pe mine personal, mă doare foarte tare: sectorul sănătății. Acesta are un nivel de maturitate scăzută. Avem spitale, clinici, publice sau private în care nu au oameni de IT, nici nu mai vorbim despre specialiști în securitate cibernetică. Este un sector pe care trebuie să îl sprijinim clar, ca autorități, dar și ei trebuie să depună eforturi. Sunt alte sectoare, precum cel financiar-bancar, nu numai în România, dar în întreaga Europă, care sunt foarte mature, au fost foarte bine reglementate, vor fi și mai reglementate – mai ales pe partea de risc management, cyber, securitate. Avem discrepanțe și diferențe destul de mari în nivelul de securitate și reziliență cibernetică de la sector la sector, de la o organizație la alta și pe noi, la Directorat, asta ne preocupă.
Am auzit în cadrul panelurilor la care am participat că multe companii din domeniu se întâlnesc cu o anumită reticență din partea companiilor atacate cibernetic, privind dezvăluirea faptului că au fost atacați. Simțiți același lucru și din partea instituțiilor?
Cred că orice organizație este preocupată, evident, de aspecte legate de reputație și de impactul asupra reputației în momentul în care au suferit un incident de natură cibernetică. În mod foarte plastic, aș vrea să o compar cumva – partea de prevenire și de comunicare legat de asta – cu bolile cu transmisiune sexuală. Toți recunoaștem că luăm măsuri de protecție, suntem preocupați, este un fenomen, poate afecta pe oricine, însă în momentul în care se întâmplă este o reticență de a se discuta în mod deschis. Paradigma pe care noi Directoratul vrem să o schimbăm – și încurajăm toți partenerii din sectorul public și privat, organizații mari și mici, cetățeni, să o schimbe – este mentalitatea. În momentul în care un incident s-a întâmplat, dacă este semnificativ, dacă vă afectează ca organizație, ca ecosistem – furnizorii, partenerii – trebuie să-l analizăm, să-l discutăm împreună. La unul din panelurile de ieri, unul dintre prezentatori a arătat o cifră foarte interesantă. 277 de zile, în medie, din momentul în care un incident se întâmplă până în momentul în care este detectat. Deci, avem un incident de securitate cibernetică, iar probabilitatea ca el să se fi întâmplat cu luni în urmă și ca noi să identificăm rezultatele acum este foarte mare. În momentul în care s-a întâmplat asta, recomandarea noastră este să nu ezite să discute despre el cu autoritățile, cei care reglementează domeniul respectiv și să aibă un plan de comunicare bine pregătit, să discute cu mesaje predefinite și într-un mod coerent cu mass-media și cu clienții și autoritățile. Recomandăm să nu ascundă aceste incidente pentru că, mai devreme sau mai târziu, se vor afla, iar reputația va fi mai afectată apoi. Nu recomandăm comunicarea haotică, ci pregătirea unui plan de comunicare, pregătit cu specialiști.
Recent am văzut că ați declasificat trei rapoarte zilnice privind nivelul amenințărilor cibernetice. De ce ați ales să faceți asta?
Dan Cîmpean: Sunt niște rapoarte pe care noi le transmitem în mod sistematic unor factori de decizie. Nu sunt clasificate în sensul hotărârii de Guvern privind datele clasificate, ci una pe care lumea cibernetică o folosește, respectiv traffic light protocol, și am decis, cu prilejul conferinței – pentru a facilita înțelegerea și de către participanți, și de către jurnaliștii interesați – să comunicăm într-un format simplu, foarte compact și foarte succint. Sunt date relevante privind nivelul securității cibernetice în România. Am considerat că această conferință este o bună oportunitate să ilustrăm, să exemplificăm și să transmitem direct, deschis, niște cifre și fapte pe care noi le considerăm relevante și le transmitem zilnic.
În ultima perioadă, se vorbește în domeniul cibernetic tot mai mult despre spionaj industrial, economic, corporativ. Au fost cazuri în România de așa ceva?
Dan Cîmpean: Practic, orice atac cibernetic poate avea ca potențial, în spate, spionajul industrial, economic, asupra proprietății intelectuale, motivate de actori statali. Evident, când vorbim despre spionaj, sunt alte autorități ale statului care se ocupă de asta. Din punct de vedere pur tehnic, tehnicile, instrumentele, protocoalele de acțiune pentru un atacator care are în spate o motivație de spionaj economic, industrial, furt al proprietății intelectuale sau un actor statal sunt practic aceleași. Modul în care atacul se întâmplă, în care datele sunt exfiltrate, în care informația este furată sunt absolut similare, doar motivația diferă și beneficiarii acestor informații extrase din sisteme. Noi, ca Directorat, avem foarte puține resurse la acest moment ca să facem identificarea precisă a actorilor și a motivațiilor acestor atacatori cibernetici. Atribuirea este un proces de foarte lungă durată, foarte costisitor în termeni de resursă umană, de mijloace tehnice, de mijloace financiare cu care se fac atribuirea și, în mod normal, se face doar pentru cazuri majore, în corelare cu alte state. Au fost câteva exemple recente, atacurile asupra rețelelor de sateliți comerciali. S-a făcut atribuire la nivelul UE și atacatorul a fost, în mod explicit, Federația Rusă. Statistic și proporțional, parte din atacuri sunt motivate de spionaj economic, furt de proprietate intelectuală și chiar furt statal. Este foarte greu să discerni, atunci când ești victima unui atac, între atacatori și sunt foarte multe cazuri, la nivel global, când motivația inițială este una financiară – se fură datele propriu-zis ale unei firme – și apoi sunt vândute unui actor statal sau invers. Este un fenomen foarte dinamic, complex și fascinant în același timp. Noi avem foarte mulți specialiști cyber în România, încercăm cu disperare să îi ținem în țară, să îi motivăm să sprijine economia, societatea, instituțiile românești. Contăm foarte mult pe acești specialiști pentru a limita aceste fenomene negative.