"În plan instituţional, ar trebui creat un hub de schimb de informaţii între principalii actori cu responsabilităţi în securitate cibernetică"

Laurent Chrzanovski: După ani dedicaţi poiectării, dezvoltării şi asigurării bunei funcţionări a sistemelor IT&C - aţi ajuns în poziţia de director adjunct al departamentul IT&C al SRI - aţi trecut astfel "de partea cealaltă a baricadei", respectiv să apăraţi şi protejati sistemele IT&C. Ce v-a determinat să luaţi această decizie de schimbare, ceva ce puţini specialişti IT fac?

Anton Rog: Este adevărat că lucrez în Serviciul Român de Informaţii de peste 20 de ani, iar până la începutul anului 2017 mi-am desfăşurat activitatea într-o zonă cu mai multe valenţe tehnice. Nu eu am ales să schimb tabăra în zona aceasta, ci conducerea SRI a considerat că, la momentul respectiv, reprezint o opţiune bună pentru conducerea Centrului Naţional Cyberint, postul fiind liber în urma pensionării comandantului anterior. Deşi am considerat că profilul meu, unul bazat pe dezvoltare şi creativitate, nu este compatibil cu munca specifică securităţii cibernetice, în realitate s-a dovedit că am reuşit o asimilare rapidă şi o integrare foarte bună în colectivul de lucru, prin urmare, pot spune am beneficiat de un "wild card" din partea SRI pe care am încercat să-l valorific cât mai bine.

Laurent Chrzanovski: Spre deosebire de majoritatea statelor UE, serviciile dumneavoastră apără întreaga ţară fără vreo recompensă suplimentară. Astfel, dacă la nivelul administraţiei publice centrale există foarte puţine servicii electronice, există câteva municipalităţi precum cea de la Sibiu care asigură accesul cetăţenilor la mult prea multe documente sensibile (taxe, cadastru, situaţie familială, etc,) şi pun la dispoziţie plata online a taxelor, serviciilor, amenzilor. În Franţa un astfel de oraş ar putea să aleagă pentru asigurarea securităţii între Agenţia Naţională de Securitate a Sistemelor Informaţionale (ANSSI) şi o companie privată. În România acest lucru este posibil doar în cazul transferului unor artefacte importante între muzee diferite - există varianta de a plăti o escorta din partea Jandarmeriei sau de a alege o firma privată de securitate dintre cele aprobate de catre stat. Ce părere aveţi despre această situaţie şi cum se poate aplica în România, luând în considerare şi avantajele şi dezavantajele?

Anton Rog: Într-adevăr, la nivelul României nu sunt implementate online toate evenimentele de viaţă - precum naşterea, căsătoria etc. - implementarea acestora fiind un proces în desfăşurare, dar plata taxelor şi a impozitelor se realizează online în mai multe oraşe din România, nu doar în Sibiu, inclusiv în acest grup evident şi capitala Bucureşti.

Referitor la comparaţia cu modelul francez, consider că fiecare stat membru îşi defineşte propria legislaţie, în România existând un punct unic pentru plata taxelor şi impozitelor, respectiv site-ul https://www.ghiseul.ro/ghiseul/public care este gestionat de Agenţia pentru Agenda Digitală a României şi susţinut de Asociaţia de Plăţi Electronice din România. Cel mai important aspect, în acest caz, este ca eventualele comisioane să nu se răsfrângă asupra contribuabililor, pe site-ul https://www.ghiseul.ro/ghiseul/public existând aproximativ jumătate de milion de utilizatori activi care îşi pot plăti taxele fără comision, în timp real.

Laurent Chrzanovski: În cadrul unor conferinţe recente, aţi menţionat soluţionarea cu succes de către CYBERINT a unor atacuri cibernetice, în urma investigaţiilor de anvergură, însă la nivelul mass media internaţionale citim aproape doar despre atribuiri politice. Credeţi că mass media UE se va maturiza vreodată suficient astfel încât să relateze doar exemple precum cele menţionate de dumneavoastră? Sau acestea vor fi neglijate în favoarea atribuţiilor imediate care asigură acel element de "breaking news"? Ce ar putea fi făcut pentru încurajarea mediatizării unor cazuri reale cu luni de muncă în spate?

Anton Rog: Ambele tipuri de atribuiri sunt la fel de importante, respectiv atribuirea tehnică şi atribuirea politică, cea de-a doua bazându-se pe prima. Centrul Naţional Cyberint este principalul actor în realizarea atribuirilor tehnice ale atacurilor cibernetice susţinute de actori statali. În ţara noas­tră s-a creat un mecanism prin care, sub semnătura Preşedintelui Româ­niei, putem fi parte în iniţiative internaţionale de tipul "blame and shame", cu impact mediatic major. Cu titlu de exemplu, în anul 2018, am făcut parte dintr-un astfel de demers internaţional privind atribuirea valului de atacuri din campania APT28, alături de iniţiator - Marea Britanie, cât şi de SUA şi alte state membre din cadrul Uniunii Europene.

În opinia mea, este importantă mediatizarea atribuirii politice fundamentate pe atribuirea tehnică întrucât, doar în acest caz, impactul poate fi cel aşteptat. Odată ce astfel de atacuri cibernetice sunt descoperite şi atribuite statului autor de către majoritatea statelor victimă, într-un efort comun conjugat, ajung cu siguranţă să facă obiectul unei mediatizări consistente la nivel internaţional.

Laurent Chrzanovski: Până acum 5 ani, majoritatea agenţiilor de securitate din Statele UE precum SRI, menţionau în mod constant utilizarea cu succes a "honeypots", termen dat acum uitării. Acest lucru se întâmplă deoarece se practică în mod general distragerea atenţiei "băieţilor răi" sau dimpotrivă, pentru că tehnologiile permit atacatorilor să fie recunoscute mai uşor?

Anton Rog: În evoluţia fenomenului securităţii cibernetice, "honeypots" au jucat şi joacă rolul lor, dar nu pot fi considerate soluţii pentru orice tip de atacuri cibernetice. Atunci când discutăm despre atacuri statale, malware-ul utilizat este extrem de complex şi capabil în multe situaţii să detecteze astfel de "honeypots". O zonă în care această soluţie mai produce rezultate este cea a criminalităţii cibernetice clasice care urmăreşte obţinerea câştigurilor financiare prin mijloace cyber - infracţionale.

Laurent Chrzanovski: Anul trecut, cetăţenii eleveţieni au votat într-un număr mare în favoarea permiterii poliţiei cantonului şi a omologului SRI, FedPol, să creeze, sub supravegherea unui procuror, profile false pe social media pentru unele afaceri precum şi alte instrumente necesare pentru urmărirea şi intervenţia în caz de fraudă incipientă, spionaj economic sau sabotaj operaţional. De asemenea, de ani buni, colegii dumneavoastră din Olanda şi India au drepturi legale de a răspunde în caz de atac. Puteri majore fac acest lucru în mod curent prin intermediul propriilor agenţii sau al unor firme private. Ce părere aveţi despre această situaţie? Ar fi un avantaj pentru securizarea spaţiului cibernetic românesc dacă aţi avea aceste drep­turi? Sau doar ar creşte numărul oamenilor şi tehnicilor necesare pentru îndeplinirea acestor atribuţii fără a exista un rezultat justificat?

Anton Rog: Consider că astfel de instrumente pot sprijini proactiv şi foarte eficient prevenirea ameninţărilor din spaţiul cibernetic şi pot ajuta la investigarea unor incidente care s-au produs deja. Din păcate, în România, nu avem încă o lege care să reglementeze securitatea şi apărarea cibernetică, şi care să permită actorilor implicaţi să utilizeze astfel de instrumente extrem de utile. Totuşi, legislaţia internaţională în care România este parte permite acesteia utilizarea unor măsuri de retaliere progresive în caz de agresiuni cibernetice. Dovedirea legăturii dintre actorul cibernetic şi actorul statal deţine o importanţă deosebită deoarece, doar prin îndeplinirea acestei condiţii, prevederile legislaţiei internaţionale pot fi aplicate.

Laurent Chrzanovski: Din perspectiva unui parteneriat public-privat, care sunt proiectele pe care v-aţi dori să le implementaţi în anii următori pentru o România mai sigură? Ce s-a implementat deja şi ce rămâne încă de făcut?

Anton Rog: Între principalele perspective pe care Centrul Naţional Cyberint doreşte să le realizeze în parteneriat public-privat, menţionez consolidarea programelor universitare în cele 21 de universităţi care au agreat să înceapă programe de studii aprofundate în domeniul securităţii cibernetice, de scurtă durată şi master, precum şi continuarea proiectului pilot pentru introducerea noţiunilor de securitate şi igienă cibernetică în programa şcolară a liceelor naţionale cu profil informatic.

Totodată, un alt obiectiv îl reprezintă creşterea calităţii exerciţiilor naţionale prin asigurarea unui număr constant de jucători şi observatori - un astfel de exemplu fiind Exerciţiul naţional de securitate cibernetică, CyDEx - dar şi consolidarea conferinţelor naţionale pe securitate cibernetică, cum sunt Conferinţa internaţională "Parteneriatul strategic Româ­nia-SUA în domeniul securităţii cibernetice" şi Congresul "Cybersecurity - Romania" organizat la Sibiu.

La nivel legislativ, este extrem de importantă punerea în practică, într-un mod mai accelerat, a prevederilor Directivei NIS, fapt ce va conduce la creşterea securităţii operatorilor de servicii IT şi servicii esenţiale, precum şi la crearea unei pieţe solide de securitate cibernetică în România.

Nu în ultimul rând, în plan instituţional, consider că ar trebui creat un hub de schimb de informaţii între principalii actori cu responsabilităţi în securitate cibernetică din instituţiile publice din România, acesta putând fi construit după modele consacrate din alte state, precum SUA, Marea Britanie sau Israel.

Laurent Chrzanovski: Vă mul­ţumesc!