Reporter: Care este opinia dumneavoastră cu privire la securitatea informatică în România?
Ionel Niţu: În primul rând, avem noroc - dacă ăsta poate fi numit noroc, pentru că de fapt este expresia unui grad de mare întârziere în dezvoltarea României - că nu avem un nivel mare de interconectare a bazelor de date şi de penetrare a reţelelor (de ex. în mediul rural).
Stăm bine când vorbim de specialişti şi stăm bine când vorbim de stratul numit securitate naţională. Suntem chiar furnizori de securitate în plan regional (mă refer la proiectul pe securitatea cibernetică a Ucrainei).
Nu la fel de bine stăm pe măsură ce mărim gradul de detaliere. Stăm destul de prost la securitatea informaţiei în unele instituţii şi companii, mai ales cele de stat (sau în care statul este acţionar). Nu stăm deloc bine când vorbim de IMM, iar asta se datorează gradului redus de interes şi cunoaştere a problematicii ameninţărilor cyber.
Stăm foarte rău când vorbim de adolescenţi. Părinţii trebuie să înţeleagă faptul că e rolul lor nu doar să le cumpere tablete şi smartphone-uri, ci şi să-i înveţe regulile minimale de securitate. Generaţia Y s-a născut cu astfel de tehnologii în casă, însă instalează toate prostiile posibile în materie de aplicaţii mobile, ţin wireless-ul şi gps-ul pornite mereu, nefiind conştienţi că în felul ăsta devin vulnerabili, uneori chiar ţinte pentru tot felul de răuvoitori. Mai mult, vulnerabilizează şi sistemele de acasă, wireless sau laptopuri şi, implicit, pe părinţii care nu înţeleg că în viitor copiii lor pot fi ţintele unor abuzuri provenite predominant din mediul virtual.
Reporter: Cum ne putem proteja de atacurile cibernetice?
Ionel Niţu: Dincolo de clasicele măsuri legate de actualizarea licenţelor, antiviruşi şi firewall, politici şi standarde de securitate, este nevoie de un grad mai mare de educare. Nu ştiu câţi manageri înţeleg faptul că investiţia în securitatea propriei firme, a business-ului, a angajaţilor, mai ales investiţia în măsuri protective este la fel de importantă ca investiţia în echipamente de calcul, sedii şi maşini.
Veţi găsi suficientă literatură de specialitate cu privire la măsurile de protecţie.
Cel mai adesea, însă, suntem luaţi de valul urgenţelor zilei, de livrabile şi termene şi uităm să acordăm o atenţie cel puţin egală şi securităţii.
Suntem expuşi erorilor, suntem victimele vulnerabilităţilor sistemelor informatice, iar dacă mai avem şi ghinionul să ne infectăm reţelele cu un virus sau spyware, atunci afacerea noastră este în pericol.
A nu avea sistemele informatice 100% funcţionale echivalează, în ziua de azi, cu a nu avea acces la serviciile de bază: apă, căldură, electricitate, canalizare. Pur şi simplu, lumea de azi nu poate funcţiona fără calculatoare şi Internet.
Pentru majoritatea managerilor, cyber pare o perspectivă extrem de îndepărtată, ceva de domeniul ştiinţifico-fantastic, deşi ei, companiile lor, partenerii lor sunt bombardaţi zilnic de aplicaţii maliţioase, iar cel mai mare pericol este ca sistemele lor să fi fost deja penetrate/compromise, iar ei nici măcar să nu ştie asta. Se trezesc doar că apar în mediul online informaţii confidenţiale sau că pierd clienţi sau licitaţii şi nu înţeleg de unde li se trage.
Cel mai adesea, vulnerabilităţile nu sunt cunoscute şi riscul scurgerii informaţiilor nu este conştientizat decât atunci când e prea târziu. Clienţii cu care am lucrat au venit către mine, cel mai adesea, când deja era prea târziu.
Reporter: Cum apreciaţi legislaţia din domeniu comparativ cu alte state? Dar legislaţia UE din domeniu cum vi se pare?
Ionel Niţu: Legislaţia din România este în primul rând incompletă şi în al doilea rând controversată. Nu am să comentez de ce proiectul de lege a fost declarat neconstituţional, însă sentimentul supravegherii colective şi intruzive, sentimentul invadării intimităţii este tot mai prezent la nivelul opiniei publice.
Nu este mai puţin adevărat că oferim datele noastre personale cu o naivitate incredibilă (de ex. la google, facebook, yahoo sau unor aplicaţii mobile cel puţin dubioase), însă nu suntem de acord să le oferim statului român, care are misiunea de a ne proteja. Securitatea naţională este un concept care include securitatea firmei şi a cetăţeanului.
Avem nevoie de cadrul normativ care să ne asigure în primul rând protecţia, pentru că aici suntem cel mai deficitari. Viaţa noastră personală, intelectuală şi comercială - iar aici mă refer la peste 10 milioane de utilizatori de Internet din România - se mută în mediul online. De vreme ce Internetul devine tot mai mult un spaţiu comun, atunci e nevoie de reguli de funcţionare şi de măsuri de protejare.
În plan european, dezbaterile recente vizează crearea unei pieţe digitale unice şi mai puţin un cadru unitar de securitate cibernetică. Ca în toate dezbaterile în format comunitar, problema securităţii tinde să fie lăsată mai degrabă la latitudinea naţiunilor, decât să fie asumată la nivelul UE (desigur vor fi formulate recomandări, există foruri de cooperare, însă nu neapărat şi un cadru clar de reglementare).
Reporter: Cum apreciaţi colaborarea dintre autorităţile publice şi mediul de afaceri în domeniul securităţii cibernetice?
Ionel Niţu: Deşi clamat la fiecare conferinţă, Parteneriatul Public-Privat rămâne mai degrabă un deziderat.
Instituţiile din domeniul securităţii naţionale trebuie să se deschidă mai mult şi să facă outsourcing, pentru că specialiştii din domeniu migrează masiv către zona privată, unde sunt mai bine plătiţi.
În România - spre deosebire de SUA - instituţiile de stat nu investesc în inovaţie şi tehnologie şi trebuie să depăşească paradigma autosuficienţei şi tentaţia internalizării oricărei noi responsabilităţi.
Ca si Internetul în sine, Quantum computer este un proiect inovativ susţinut financiar de instituţii de stat americane. În-Q-Tel este un fond de investiţii (non-profit) al serviciilor de informaţii americane care investeşte în inovare, pentru că asta conferă avantaj strategic SUA.
Ce avantaje strategice are România?
În România există un dezechilibru, o asimetrie evidentă între capabilităţi (resurse umane, propensiune spre inovare) şi rezultate, iar statul român ar trebui să preia iniţiativa şi să depăşească barierele, rutinele, plafonarea şi cutumele organizaţionale şi să devină sponsorul moral şi financiar al inovării în IT&C şi, implicit, în cyber.
Dintre cele 3-4 domenii majore în care România poate deveni un pol de creştere regional, un hub, un veritabil furnizor regional (securitate, energie, agricultură, IT&C), ultimul domeniu este cel în care discrepanţa între potenţialitate şi realitate este cea mai mare.
Reporter: Suntem din ce în ce mai dependenţi de dispozitive informatice, conectate la internet, ceea ce duce la apariţia riscurilor aferente mediului cibernetic. Cum apreciaţi această dependenţă din punct de vedere al securităţii informaţiei?
Ionel Niţu: Suntem şi vom fi tot mai dependenţi. Prevenirea trebuie să devină cuvântul cheie în materie de management al riscurilor, iar prioritizarea domeniilor/obiectivelor ce trebuie protejate trebuie să aibă o logică din perspectiva potenţialului impact al atacurilor. Cyberwar va prefaţa, însoţi sau urma un conflict clasic (militar, comercial etc.). Aşadar, întâi protejăm salvatorii, apoi domeniile şi instituţiile strategice, infrastructurile critice. Problema e că nu mai rămân resurse şi pentru noi cetăţenii, antreprenorii, ONG-uri etc. Or, uneori, pentru mine, secretul comercial este cel puţin la fel de important ca şi secretul de stat. Ca să ne protejăm mai bine, trebuie să ne asociem, să facem sharing de informaţii şi best practices, să apelăm la serviciile profesionale de tip CERT şi SOC privat.
Asta e tendinţa şi în SUA, şi în plan european.
De unul singur nu mai poţi face faţă ameninţărilor cibernetice.
Reporter: Atacurile cibernetice sunt din ce în ce mai dese în România. Se pare că autorităţile noastre reuşesc să le anihileze cu succes. Cum credeţi că vor evolua atacurile cibernetice, în condiţiile mai multor ameninţări, inclusiv conflictul Rusia-Ucraina şi gruparea teroristă ISIS?
Ionel Niţu: Vor fi în creştere, tot mai diversificate, de durată şi mai subtile.
Tocmai asta e problema, în general, în securitate: orice armă are o contra-armă, însă întârzierea în fabricarea contra-armei este esenţială. De vreme ce apare câte un virus nou pe secundă şi, iată, de circa 5 ani avem şi prima armă cibernetică (Stuxnet), investiţia în securitate trebuie să fie pe măsura ameninţării.
Contra-armele şi specialiştii în securitate trebuie să schimbe logica inerţială, de răspuns, reactivă şi să fie cu un pas înaintea inamicului, să fie tot mai proactivi.
Deocamdată, România stă bine, însă lucrurile se vor mai schimba pe măsură ce specialiştii în cyber pleacă sau decid să lucreze pentru firme străine, care îi plătesc mult mai bine, bazele de date vor deveni tot mai interconectate, iar România s-ar putea profila ca potenţială ţintă, datorită angajamentelor sale internaţionale şi în cadrul NATO/UE.
Secretul în securitate este să nu devii ţintă. Dacă începi să devii, atunci trebuie să te apuci temeinic şi organizat să investeşti în sisteme protective de Securitate. Acordul politic pentru creşterea la 2% din PIB a alocărilor pentru apărare sper să acopere şi dimensiunea de cyber, nu de alta, dar în SUA cyber este considerat deja un nou domeniu al apărării, alături de clasicele arme (aeriană, terestră, navală).
Reporter: România va fi un fel de "cyber-lider" pentru NATO în conflictul cu Rusia-Ucraina. Care sunt provocările complexe din spaţiul cibernetic?
Ionel Niţu: Este un context foarte bun pentru România şi sper să fie valorificat inclusiv prin crearea unui centru de excelenţă în domeniul cyber (pe ambele dimeniuni: cybersecurity şi cybercrime), creşterea industriei locale şi valorificarea resursei umane excelente.
Din păcate, în prezent, cred că suntem mai degrabă furnizori de insecuritate (datorită hackerilor autohtoni, deja celebri în lume). Iar aici tot statul român trebuie să creeze acel cadru normativ, financiar şi comercial, care să permită o conversie din black hat în white hat.
Cele mai mari provocări vin din zona tehnologică, iar aici e un alt capitol interesant să vorbim (poate cu alt prilej) despre cum România, astăzi importantor şi utilizator captiv, de tehnologie străină, ar trebui să schimbe abordarea strategică. Este de neimaginat, pe termen mediu şi lung, ca un stat competitiv şi cu profil regional să devină dependent de tehnologie controlată de la alte butoane.
Trebuie să învăţăm să facem tranziţia de la smart/safe nation la competitive nation, de la smart/safe city la competitive city.
Spaţiul virtual devine un spaţiu al competiţiei, nu doar al confruntării.
Reporter: Vă mulţumesc!