Aproape toti speakerii prezenti la conferinta “Atacurile cibernetice si robustetea sistemelor”, organizata la Institutul Bancar Roman, au subliniat necesitatea constientizarii si educarii mai ales a populatiei, precum si nevoia de a forma specialisti, prin programe care sa vizeze inclusiv scolile, liceele si universitatile.

Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO) primeste anual un numar foarte mic de alerte de securitate cibernetica, insa marea majoritate a acestora vin din exteriorul tarii, doar un numar infim fiind transmise din interiorul tarii, a declarat directorul centrului Cyberint al Serviciului Roman de Informatii (SRI), Florin Cosmoiu.

“CERT-RO a primit anul trecut 68 de milioane de alerte de securitate cibernetica referitor la sisteme informatice, IP-uri din Romania. Daca se face o analiza, se constata ca din 68 de milioane de alerte, doar 2.000 provin de la calculatoare/sisteme din Romania. In rest, alertele sunt date din exteriorul tarii si sunt referitoare la IP-uri din Romania. Deci in Romania nimeni nu are nicio obligatie sa transmita alerte privind atacurile sau incidentele pe care le-au suferit. Legea securitatii cibernetice acest lucru vrea sa-l rezvolve”, a spus el.

In opinia acestuia, proiectul proiectul legii securitatii cibernetice are doua mari obiective: sa responsabilizeze detinatorii de infrastructuri cibernetice care fac obiectul legii, sa-i oblige sa ia o serie de masuri pentru protejarea datelor pe care le prelucreaza si sa instituie un mecanism de management al incidentelor de securitate cibernetica.

“Nu se transmit niciun fel de date cu privire la persoane, conturi (…) Daca citim in lege, (trebuie, n.r.) sa transmita o serie de date de securitate cibernetica, iar in lege acestea sunt descrise destul de clar si este precizat ca datele care se transmit trebuie sa asigure anonimizarea. Adica sa nu poata fi descifrat, autentificat, ajuns la nicio persoana”, a afirmat Cosmoiu.

In ce priveste dreptul la viata privata, in noua lege s-au introdus articole care precizeaza ca nicio autoritate nu are dreptul sa solicite detinatorilor accesul la date de continut fara un mandat de la judecator

Detinatorii de infrastructuri cibernetice care fac obiectul legii sunt persoane juridice care prelucreaza date avand caracter personal sau sunt detinatorii de infrastructuri cibernetice de interes national, a spus el.

Proiectul Legii securitatii cibernetice se afla in dezbatere publica, iar dupa o avizare a acesteia in Guvern ar urma sa fie transmisa Parlamentului.

“Va trece de Guvern si va ajunge in Parlament. Speram sa fie discutat in regim de urgenta. (…) Din punctul meu de vedere, in luna aprilie ar trebui sa ajunga in Parlament. Aceasta este dorinta mea”, a declarant in cadrul aceluiasi eveniment ministrul Comunicatiilor si Societatii Informationale, Marius Bostan.

O lege a securitatii cibernetice a fost declarata anul trecut neconstitutionala, intrucat permitea accesul SRI si al altor structuri ale statului la datele utilizatorilor fara mandat judecatoresc.

CERT-RO: Ne facem un deserviciu atunci cand nu raportam incidentele de securitate cibernetica

Numarul de alerte procesate de CERT-RO s-a situat anul trecut la 68,2 milioane, in scadere de la 78,2 milioane in anul anterior. In 2013, centrul a procesat 43,2 milioane de alerte.

"Alertele pe care le primim sunt in 99% din cazuri din afara Romaniei. Am ajuns sa lucram pentru cei din afara Romaniei si poate ar fi cazul sa lucram pentru cetatenii din Romania. Sper sa putem determina detinatorii de infrastructuri cibernetice sa transmita aceste alerte, pentru ca alertarea este un drum in ambele sensuri. (…) Ne facem un deserviciu in momentul in care nu raportam astfel de incidente”, a declarat directorul general adjunct al CERT-RO, Mircea Grigoras.

Orice fel de infrastructura care este conectata la Internet va fi atacata. Este doar o chestiune de timp

Cele mai multe alerte de anul trecut se refera la sisteme vulnerabile (78,3%), care nu au fost obligatoriu compromise, urmate de botneti (20,78%). Din cele 68 de milioane de alerte de anul trecut CERT-RO a identificat 2,3 milioane de IP-uri unice, care reprezinta 26% din toate IP-urile alocate tuturor organizatiilor din Romania. De asemenea, a crescut cu 58% numarul domeniilor .ro afectate, la 17.000.

Citeste si:

"Aceste 2,3 milioane de IP-uri au fost implicate fiecare in cel putin cate un incident de securitate cibernetica", a afirmat Grigoras.

Furnizorii de Internet vor fi obligati sa notifice utilizatorii despre care primesc informatii ca ar avea calculatoarele infectate

CERT-RO nu poate obliga furnizorii de Internet (Internet Service Providers-ISP) sa notifice posesorii de calculatoare infectate, desi centrul proceseaza automat datele si le transmite acestor companii, a spus Grigorescu.

“Furnizorii deocamdata nu informeaza, ca sa spunem lucrurilor pe nume. Acestia vor fi obligati (sa notifice utilizatorii, n.r.) daca proiectul va deveni lege. Notificarea utilizatorului nu ar presupune o obligare a acestuia sa intreprinda masuri pentru a remedia problema”, a adaugat Grigoras.

Populatia este de 4 la securitate cibernetica; companiile si institutiile de stat, mult mai bine

Viteza mare a conexiunilor de Internet din Romania face utilizatorii locali foarte atractivi pentru atacatori, a avertizat directorul general adjunct al CERT-RO.

“Faptul ca Romania are o conexiune de Internet foarte buna este in dezavantajul nostru, pentru ca orice fel de atacator isi doreste sa aiba victime sisteme care pot reactiona rapid, iar noi le furnizam genul acesta de sisteme. (…) Suntem ceea ce si-ar dori foarte mult, o banda larga pe care sa o utilizeze in realizarea de atacuri mai departe”, a spus el.

Dintre categoriile de utilizatori, statul a facut niste pasi importanti si incearca sa-si asigure securitatea, iar companiile sunt constiente si investesc, a spus el. Utilizatorul casnic este cel mai vulnerabil pentru ca de obicei nu are resursele financiare sa investeasca in sisteme complexe si uneori nici nu este nevoie pentru ca infrastructura lui este una mica.

"De cele mai multe ori populatia nu constientizeaza, iar asta este ceea ce-si doreste sa reglementeze intr-o anumita masura aceasta lege de securitate cibernetica, pentru ca exact asta se doreste - responsabilizarea. Cu alte cuvinte, pui pe Internet si ai o infrastructura, expui in Internet niste resurse, dar protejeaz-ti utilizatorul. In momentul de fata nu exista niciun fel de responsabilitate la nivel de ISP, companie sau firma pentru ceea ce se intampla. Nu exista nici macar o educatie primara despre ceea ce inseamna interactiunea online”, a afirmat Grigoras.

Utilizatorii obisnuiti, in lipsa unei educatii despre securitate cibernetica, sunt cei mai vulnerabili online, in timp ce companiile si institutiile de stat sunt pregatite mult mai bine sa faca fata unor astfel de situatii.

“Securitatea cibernetica in Romania as evalua-o la 6, maxim 7. Populatia la 5 sau chiar la 4. Companiile se situeaza undeva spre 8-9, iar statul tot undeva spre 8”, spus Grigoras.

Securitatea cibernetica a fost evaluata pe o scara de la 1-10, 10 reprezentand un nivel foarte bun de securitate.

Sursa foto: Maksim Kabakou/Shutterstock.com