Prevenție vs tratament în securitatea cibernetică

Faptul că suntem în plin proces de digitalizare nu mai este o noutate pentru nimeni. Tehnologia a atins un nivel de dezvoltare fără precedent, fiind omniprezentă în viața noastră cotidiană. Sigur că folosirea tehnologiei ne usurează cu mult existența, însă ea generează și niște riscuri a căror amploare a fost constientizată abia dupa ce ele s-au materializat.

Prin urmare, în ultimii ani, securitatea datelor și informațiilor prelucrate prin intermediul tehnologiei și reziliența sistemelor prin care serviciile sunt oferite către populație au fost subiecte îndelung dezbatute la nivel mondial într-un efort de  găsi soluții pentru ca riscurile care decurg din digitalizare să fie reduse sau chiar înlăturate.

La nivelul Uniunii Europene, ca un raspuns la problemele care s-au manifestat de-a lungul timpului, au fost adoptate două acte normative de o importanță capitală pentru cei care folosesc tehnologia informatiei: Regulamentul General privind Protectia Datelor cu Caracter Personal și Directiva NIS .

În timp ce R.G.P.D.  este un act legislativ care are caracter obligatoriu și care trebuie aplicat în integralitatea sa în toate statele membre U.E., Directiva NIS a stabilit niște obiective care trebuiesc atinse de către statele membre, care au însă libertatea de a decide asupra modalităților de îndeplinire a obiectivelor.

În România, Directiva NIS a fost transpusă prin Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sitemelor informatice, care a intrat în vigoare în ianuarie 2019.

Ea cuprinde dispozitii de principiu, urmand ca modul în care ea se aplică efectiv să fie detaliat prin acte cu caracter normativ în a căror elaborare intervin, în principal, două autorități: Ministerul Comunicațiilor și Societatii Informaționale și Centru National de Raspuns la Incidente de Securitate Cibernetică (CERT-RO).

Astfel, Legea 362/2018 pevede faptul că normele tehnice, metodologice și regulamentele prevazute în cuprinsul legii se propun spre aprobare MCSI de către CERT-RO în termen de 6 luni de la data intrării în vigoare a legii.

Dintre aceste norme subsecvente, cele mai importante pentru subiectele vizate de lege, operatorii de servicii esențiale și furnizorii de servicii digitale, sunt normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice la care aceste subiecte trebuie să se ralieze în alte 6 luni de la publicarea  acestora.

La momentul la care scriu aceste randuri, au trecut mai bine de 7 luni de la data intrării în vigoare a Legii 362/2018 fără ca aceste norme tehnice sa fie publicate. De fapt, mare parte din actele subsecvente prin care se asigura aplicarea legii, nu au fost elaborate astfel cum rezultă de pe pagina oficială CERT.RO: https://cert.ro/pagini/nis-acte-subsecvente .

In conditiile in care studiul “Cost of Data Breach” derulat de IBM si citat de Agerpres (https://www.agerpres.ro/cybersecurity/2019/09/29/costul-mediu-al-unei-brese-de-securitate-platit-de-o-companie-afectata-a-ajuns-la-3-92-milioane-de-dolari-studiu–377038), releva faptul ca o bresa de securitate a generat pentru o companie afectata un cost mediu de 3.92 milioane de dolari, lipsa reglementării concrete a mecanismelor obligatorii de prevenție a atacurilor cibernetice nu poate să fie decât cel puțin îngrijoratoare.

Deși dispozițiile articolului 25 din Legea 362/2018 stabilesc categoriile de activitați de asigurare a rețelelor și sistemelor informatice care urmează a fi detaliate prin normele tehnice și faptul că aceste norme se elaborează prin raportare la cerințele și standardele europene și internationale, nu putem să nu remarcăm relaxarea autorităților cu atribuții de reglementare în domeniu în fața termenelor care le sunt impuse prin lege.

Probabil că iminența alegerilor prezidențiale este un subiect mult mai fierbinte decât necesitatea alinierii la standardele internaționale din punctul de vedere al securității cibernetice sau decât stabilirea unui cadru legal care să fie coerent și funcțional.

Cu siguranta insa ca implementarea masurilor tehnice va genera un cost mult mai mic pentru entitatile vizate de Directiva NIS decat sumele citate in studiul IBM la care am facut referire mai sus.

Si daca tot discutam de costuri, este important de precizat ca in masura in care un atac cibernetic s-ar concretiza si intr-un data breach, s-ar aplica automat mecanismul de sanctiuni instituit prin R.G.D.P.

Așadar, chiar dacă o entitate ar scapa de răspundere în temeiul Directivei NIS pentru că nu are cum să se conformeze unor norme tehnice inexistente, ea tot poate fi sancționată în temeiul R.G.D.P. întrucât cele doua acte normative se aplică operatorilor de servicii esențiale și furnizorilor de servicii digitale concomitent. Iar aceste sancțiuni nu sunt deloc neglijabile (intre 0.5% si 2% din CA globala pentru încalcări repetate)

În opinia mea, se impune adoptarea cât mai rapidă a actelor subsecvente Legii 362/2018 pentru ca aceasta să devină funcțională și pentru că entitățile vizate să iși poată dimensiona în mod corect bugetele pe anul viitor în vederea efectuării achizițiilor care se impun pentru respectarea legii. Totodată, cred ca publicarea normelor tehnice privind cerintele minime de asigurare a securitatii retelelor și sistemelor informatice vor putea fi folosite ca și linii directoare pentru toate entitatile care furnizează servicii populației și care, de cele mai multe ori, prelucrează și date cu caracter personal. În acest mod, spectrul de mecanisme de prevenție ar fi mult lărgit, ceea ce în final s-ar traduce în costuri mai reduse pentru companii și securitate mai mare atât pentru acestea, cât și pentru beneficiari.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *