Aflata sub atacuri permanente, Romania refuza sa adopte legea Securitatii Cibernetice: Iata ce am putea pati Interviu

Intr-un moment in care atacurile cibernetice se intensifica la nivel mondial, producand efecte diverse si grave atat in sectorul public, cat si in cel privat, Romania nu are o Lege a Securitatii Cibernetice, atat din cauza interminabilelor dispute intre politicieni, cat si a suspiciunii izvorate in mintile romanilor in lipsa unei informari corecte.

O astfel de lege a fost respinsa in 2014 de Parlament, iar proiectul la care a lucrat doi ani mai tarziu Guvernul Ciolos a fost abandonat dupa plecarea acestuia de la Palatul Victoria. Prin urmare, la ora actuala institutiile din Romania, de stat sau private, se protejeaza asa cum pot in fata atacurilor cibernetice, in lipsa unui sistem national functional. In alte state, in schimb, legislatia este adaptata constant la noile provocari de securitate.

Intr-un interviu acordat Ziare.com, Iulian Fota, directorul Colegiului National de Informatii si fost consilier prezidential pe probleme de securitate nationala, vorbeste despre riscurile la care ne supunem in absenta acestei legi, absenta cauzata de impasul politic care ne impiedica sa luam o decizie altminteri fireasca pentru un stat membru al UE si al NATO.

Spuneti-ne mai intai de ce e nevoie de o Lege a Securitatii Cibernetice.

Legea este extrem de importanta si necesara. Este fundamentul activitatii de protejare a Romaniei impotriva amenintarilor cibernetice. Or, toate analizele, toate studiile din ultimii ani arata ca amenintarile cibernetice sunt considerate a fi una dintre cele mai importante trei mari amenintari la adresa securitatii unui stat.

Mai mult decat atat, aparitia agresiunilor informationale (de exemplu, cele pe care le reclama SUA vizavi de alegerile lor) se dezvolta pe aceiasi vectori pe care se dezvolta si amenintarile cibernetice, Internetul fiind unul dintre acesti vectori.

Deci cu atat mai mult avem nevoie de o lege care sa spuna clar ce este securitatea cibernetica a Romaniei, cum trebuie aparata ea, ce componente (institutii, infrastructuri critice, alte elemente) trebuie sa fie protejate, cine trebuie sa faca lucrul asta, in ce conditii, tocmai pentru a avea, pe de o parte, un cadru legal european, modern si, pe de alta parte, pentru a avea posibilitatea ca in cazul in care anumite abuzuri se manifesta, ele sa poata fi sanctionate.

• Romania este tara ideala pentru a fi folosita in atacuri cibernetice - raport
• Comisar european: Razboaiele viitorului nu se vor purta cu tancuri, ci cu retele informatice (Video)
• Studiu ingrijorator: Tot mai multe companii au fost atacate de hackeri, dar habar n-au cum sa se protejeze
• Cel mai mare atac de tip ransomware din istorie: Romania e in top 10 al tarilor afectate
• Raport DIICOT: Infractorii cibernetici se bazeaza din ce in ce mai mult pe criptomonede. Cum suntem furati la bancomat
• Romania, tinta unui atac cibernetic numit "Dark Caracal". Cine foloseste WhatsApp e bine sa stie asta
• Kaspersky: Institutiile guvernamentale din Romania sunt vulnerabile la atacurile hackerilor

In alte tari legislatia este adaptata la aceste noi evolutii? Putem spune ca ei se misca si noi stam pe loc?

Mai mult decat atat! Sunt multe state care nu numai ca au legi, dar si-au pus la punct inclusiv metodologii, ghiduri, instructiuni pentru sefii de institutii in vederea asigurarii securitatii cibernetice. Eu chiar am preluat pe Facebook un astfel de ghid, construit special pentru directorii de institutii si sefii de companii din SUA, pentru a le explica si a-i face sa inteleaga ce este securitatea cibernetica.

Ce nu intelege lumea nici la noi este ca va veni o vreme in care tu, ca sef de institutie sau de companie, vei fi raspunzator nu numai pentru buna protectie a institutiei tale vizavi de protectia informatiilor clasificate sau de buna cheltuire a banului public, dar inclusiv va trebui sa protejezi ceea ce va fi definit ca "zestre cibernetica" a institutiei tale. Si, daca tu vei pierde informatie vitala pentru institutie sau pentru stat in urma atacurilor cibernetice, vei fi bun de plata.

Acesta e si un motiv pentru care eu cred ca inca nu avem legea - pentru ca cineva se opune, fiindca aceasta lege va aduce cu sine si responsabilitati, dar si sanctiuni, pedepse. Cuiva nu ii convine chestiunea asta si, plecand si de la niste discutii din societatea civila (firesti pana la un punct, dar dincolo de el oarecum exagerate), suntem in situatia in care suntem - nu avem o lege a securitatii cibernetice.

Au existat in ultimii ani atacuri puternice, serioase la adresa Romaniei?

In fiecare an, Romania a fost atacata cibernetic si sunt institutii ale statului care spun lucrul acesta. Sigur, atacurile au diferit in intensitate, in complexitate. Amintiti-va de atacurile asupra unor entitati romanesti, private sau de stat, sau acele atacuri cibernetice care presupuneau rascumpararea, plata unor sume pentru a putea sa iti accesezi in continuare informatiile pe care le ai in calculator.

Au fost probleme in zona bancara, chiar daca bancile sunt discrete si nu vorbesc prea mult despre chestiunea asta. Au fost atacuri si la nivelul sau impotriva unor alte institutii ale statului.

Deci ideea de securitate cibernetica astazi este de necontestat.

Poate cel mai important aspect (si deja sunt mai multe state europene care s-au confruntat anul trecut cu acest aspect, ele insele o spun) este aceasta tentativa de influentare a alegerilor, inclusiv prin agresiune informationala. Aici intram intr-o zona de confluenta. Atacurile cibernetice si agresiunea informationala la un moment dat se pot uni in actiunea lor distructiva.

• Atacul cibernetic mondial afecteaza si Dacia: Uzina si-a oprit productia, din cauza hackerilor
• SIE: Mai multe ambasade ale Romaniei au fost atacate cibernetic
• SRI: Romania e o tinta a atacurilor cibernetice sponsorizate de alte state
• Atac informatic la Primaria Sectorului 1: Activitatea institutiei, paralizata de marti
• Companii si institutii din Rusia, China, Suedia sau Belgia, sub tunurile hackerilor
• Yahoo dezvaluie: Datele a peste 500 milioane de utilizatori au fost furate intr-un masiv atac cibernetic
• Coreea de Nord ar fi furat 80 de milioane de dolari, din atacurile cibernetice asupra monedelor virtuale

Dar multi ar putea gandi asa: "Daca au existat atacuri si ne-am descurcat, de ce mai e nevoie de o lege"?

Pentru ca ne-am descurcat greu. In situatia in care s-ar adopta ceea ce s-a propus ultima data in Parlament, legea prevedea niste standarde minimale de siguranta.

E ca la protectia impotriva incendiilor: avem pompieri si ei intervin, dar ai si tu obligatia ca in firma ta sa iti montezi alarme, sa inchizi gazul cand pleci de acasa, sa nu lasi focul aprins cand pleci etc. Pe o logica similara, si in zona de securitate cibernetica se prevedeau o serie intreaga de obligatii minimale, pentru tine ca si detinator de zestre cibernetica, pentru ca trebuie spus ca nu orice om care are un calculator poate fi si tinta unui atac masiv.

Pe de alta parte, si statul isi asuma partea lui de obligatie. Daca atacul cibernetic e masiv si vizeaza inclusiv infrastructura critica, o parte din ea nefiind in proprietatea statului, entitatea privata nu se va putea descurca singura si va avea nevoie de ajutorul statului.

Nu uitati ca Israelul a oprit pana acum de doua ori Internetul ca sa poata opri atacuri cibernetice masive, care riscau sa le creeze mari probleme si mari pagube. Alta solutie la indemana n-au avut, asa ca au decuplat o tara intreaga de la Internet ca sa opreasca acele atacuri.

Insasi decizia asta e una de mare responsabilitate si trebuie luata in conditiile legii, pentru ca e vorba si de interese comerciale la mijloc, de exemplu. Or, daca n-ai o lege care spune cand poate statul interveni pe un segment de felul asta, risti sa fii dupa aceea antrenat in justitie si sa platesti o serie intreaga de pagube.

• Atac cibernetic masiv in SUA. Experti: Cineva invata cum sa doboare Internetul
• Serviciu de stocare online spart: 68 de milioane de parole au ajuns pe Internet
• Sute de aplicatii malitioase in Google Play: Transforma telefoanele in instrumente de extragere a informatiilor
• Inca un atac cibernetic urias, dupa cel din SUA: O tara intreaga nu a avut acces la Internet
• Atac cibernetic de amploare asupra marilor banci din Rusia
• Comisia Europeana a fost victima unui atac cibernetic de amploare
• Banca Centrala a Rusiei a fost atacata de hackeri - frauda e de zeci de milioane de dolari

Daca lucrurile sunt atat de clare, de ce nu reactioneaza decidentii romani?

Eu pot vorbi in fosta mea calitate de presedinte al Consiliului Operativ de Securitate Cibernetica (desi e public, nu stie mai nimeni de el...) pana in 2014, nu stiu ce s-a mai intamplat dupa aceea. Atunci, consilierul prezidential pe probleme de securitate era si coordonatorul acestui consiliu.

Noi ne-am descurcat foarte bine ca tara si am construit rapid un sistem modern de securitate cibernetica. E nevoie de institutii, baza legala, norme, capabilitati, buna practica etc. Pana prin 2013-2014 lucrurile au mers bine. Atunci, pe fondul acela complicat de disputa intre Guvern si Presedintie, si pe fondul unor neintelegeri, banuieli, suspiciuni vizavi de activitatea SRI, a aparut o atmosfera complicata, care a descurajat factorul politic sa mai continue cu adoptarea legii. Atunci au fost mai multe legi puse sub o eticheta falsa, prosteasca, dupa parerea mea.

Aici e problema mare: de trei ani, politicul ignora aspectele legate de securitate cibernetica.

Statul isi face in continuare treaba, cat poate si cu ce poate, dar sunt elemente importante din arhitectura institutionala pe care nu le avem. De exemplu, legea, cea care imi spune mie cand fac un lucru ilegal si pot sa fiu sanctionat.

• Obama dezvaluie cum i-a facut pe hackerii rusi sa opreasca atacurile cibernetice din campania prezidentiala
• Hackerii rusi au atacat un furnizor de energie din SUA. Virusul este similar cu cel gasit in calculatoarele Partidului Democrat
• WanaCrypt0r: Cel mai mare atac de tip ransomware din istorie a afectat 99 de tari

Pe de alta parte, romanii se tem de abuzuri, dupa atatea decenii de comunism. Cum ii ajutati sa inteleaga ca o astfel de lege ar putea fi si buna pentru toti, nu doar generatoare de suspiciuni sau abuzuri?

E corect ce spuneti, cetateanul trebuie sa inteleaga ce inseamna un anumit aspect care tine de securitatea nationala pentru ca sa nu se teama de el, sa nu il considere impotriva intereselor sale legitime si inclusiv sa sprijine acolo unde poate, cu ce poate, macar prin atitudine individuala.

Domeniul este foarte nou, destul de abstract si chiar noi, cei care suntem mai aproape de el, am avut dificultati sa il intelegem. Din pacate, acest subiect nu se studiaza in facultati, nu se explica in presa, nu sunt emisiuni la televizor, si, de aceea, populatia are tendinta uneori sa le considere exagerate.

Iar aici este o capcana: Aceste lucruri exista, se intampla, le vedem pe la altii, care au probleme chiar mai mari decat noi, de aceea, trebuie sa fie luate foarte serios in calcul.

Sa mai observam ceva: daca pe zona de tancuri, tunuri, statul mai are facilitati de productie, cand vine vorba de zona de securitate cibernetica, toata industria e privata! Statul nu are "fabrici" de softuri antivirus sau alte capabilitati de genul asta. Ar trebui un efort public-privat. Peste tot, aceasta zona a fost dezvoltata astfel.

Dar cum poate fi convins cetateanul de aceste lucruri, mai ales in contextul actual, in care majoritatea guvernamentala lanseaza atac dupa atac la institutiile care se ocupa de siguranta nationala?

Daca ar fi o tara sanatoasa la cap, asemenea acuzatii ar trebui sa fie bazate pe fapte, pe ce s-a intamplat. Dar nimeni nu vine sa sustina acuzatiile astea cu nimic. Mai mult, UE intareste si mai tare partea de protectie a datelor personale, private, ceea ce ar trebui sa fie un element in plus de relaxare.

Cand se va intampla ceva cu adevarat serios, cu adevarat grav, probabil ca abia atunci isi va schimba optica si romanul, care e de felul lui neincrezator.

Dati-ne un exemplu ca sa fie mai clar: Ce inseamna ceva "cu adevarat grav"?

Un accident industrial serios care sa afecteze infrastructura critica. Sau - jumatate de Bucuresti care sa ramana fara curent electric sau fara caldura din cauza unui atac cibernetic. Sau cardurile a cateva sute de mii de romani care nu mai pot fi folosite. Sau banii disparuti din conturi.

Cand vorbim despre securitate cibernetica avem cativa piloni. Spionajul cibernetic (cineva fura informatii), criminalitatea cibernetica (aceste rascumparari despre care vorbeam - 'Daca nu imi platesti atat, nu iti mai dau acces la hardul tau', cumpararea de identitati false pe Internet si fraudele in comertul electronic etc) care are dezvoltarea cea mai puternica si a devenit extrem de rentabila (a devenit mai rentabila decat traficul de droguri!), terorismul cibernetic (te ameninta ca iti arunca fabrica in aer) si hacker-ismul, activismul civic cu mijloace cibernetice.

NATO a dezvoltat si a insistat foarte mult pe acest aspect in ultimii ani, la fel si UE, iar noi ramanem un pic in urma lor.

Institutiile cu responsabilitati isi fac treaba, dar, din cauza lipsei legii, nu avem garantia ca avem un sistem national functional, care ne asigura protectia in conditii optime. Impasul e politic.

E si o chestiune de eficienta - totul s-ar face mai usor, ar fi mai ieftin (pentru ca o parte dintre obligatii si le asuma si sectorul privat), mai organizat, mai legal (stii clar cine ce face). Unele lucruri sunt neacoperite acum pentru ca sunt recente, in 1991 cand s-a facut Legea sigurantei nationale nu s-ar fi gandit nimeni la ele.

• Atacurile cibernetice: O confruntare spinoasa intre Rusia si Occident
• Bitdefender a identificat o amenintare cibernetica pentru spionaj creata cu instrumente disponibile la liber pe internet

Marile orașe europene, într-o criză a locuirii. ”Clujul rămâne doar al bogaților și al turiștilor”

Oameni din întreaga Uniune Europeană se confruntă cu o criză a locuirii fără precedent, agravată de inflație, sărăcie energetică și risc de excluziune socială. Un raport de la vârful...

Ce actualizări aduce Apple pentru noua tabletă iPad Air

Apple se pregătește să lanseze o nouă generație de iPad Air, care, pentru prima dată, va include două dimensiuni diferite, urmând exemplul liniei iPad Pro. Potrivit ultimelor rapoarte,...