Echipa SecurityPatch a fost prezentă la cea de a 13-a ediție a DefCamp 2023, desfășurată la București în perioada 23-24 noiembrie 2023, fiind totodată cel mai mare eveniment de securitate cibernetică din Europa Centrală și de Est. În cadrul evenimentului am descoperit multe chestii interesante și a fost o oportunitate pentru noi să cunoaștem oameni cu aceeași pasiune – securitatea cibernetică. Câțiva dintre ei ne-au acordat timpul lor pentru un interviu, motiv pentru care vrem să le mulțumim.
Așadar, în cele ce urmează vom prezenta viziunea lui Tudor Damian asupra securității cibernetice privite prin ochii unui Microsoft MVP și Certified Ethical Hacker cu o experiență de peste 15 ani în domeniu.
1. Cum influențează abordările legislative uneori divergente ale Uniunii Europene și Statelor Unite modul în care companiile globale se adaptează și implementează măsuri de securitate cibernetică și protecție a datelor?
Influența e clar una semnificativă, iar variațiile prezente la nivelul legislațiilor din SUA în comparație cu UE cu siguranță nu se manifestă într-un mod care să fie în avantajul cetățenilor sau al companiilor. În general, abordările legislative diferite ale Uniunii Europene și Statelor Unite impun companiilor globale nevoia de a se adapta constant pentru a putea respecta reglementările privind securitatea cibernetică și protecția datelor.
Acest lucru necesită o atenție sporită la conformitate și o adaptabilitate rapidă la schimbările legislative, mai ales pentru organizațiile care operează global. De exemplu, GDPR-ul din UE și Privacy Shield-ul din SUA au cerințe diferite, obligând companiile să adopte strategii flexibile pentru a se asigura că respectă legislația din toate jurisdicțiile în care operează.Observ, însă, că în ultimii ani există eforturi de aliniere a legislațiilor și de includere a prevederilor similare, ceea ce consider că este un pas pozitiv spre simplificarea conformității globale.
2. În ce măsură asigurările de securitate cibernetică influențează practicile de securitate ale organizațiilor și motivează implementarea unor măsuri preventive mai riguroase?
Asigurările de securitate cibernetică joacă un rol tot mai important în strategia de securitate a organizațiilor, iar această practică tinde să fie un catalizator cu impact pozitiv, zic eu, dintr-un motiv foarte simplu: acest tip de asigurări oferă un stimulent financiar pentru adoptarea măsurilor preventive mai riguroase, deoarece costurile polițelor de asigurare sunt adesea reduse pentru companiile care demonstrează un nivel ridicat de securitate cibernetică.
Practic, pentru a obține o poliță de asigurare sau pentru a reduce costurile acesteia, companiile sunt adesea obligate să demonstreze că au implementat anumite standarde de securitate, cum ar fi efectuarea de audituri regulate, implementarea unor politici de securitate solide și dezvoltarea de planuri eficiente de răspuns la incidente.
3. Care sunt principalele modificări și actualizări aduse de Directiva NIS 2 comparativ cu prima versiune, și cum influențează acestea sectorul securității cibernetice?
Directiva NIS 2 reprezintă un pas important în evoluția securității cibernetice la nivelul Uniunii Europene. Comparativ cu prima versiune, NIS 2 extinde domeniul de aplicare pentru a include mai multe sectoare și tipuri de entități, cum ar fi spre exemplu furnizorii de servicii digitale (piețe online, motoare de căutare, rețele sociale), administrația publică, industria farmaceutică, servicii de curierat, managementul deșeurilor, industria alimentară (producție, prelucrare și distribuție) sau zona de cercetare. Această extindere recunoaște faptul că amenințările cibernetice afectează un spectru mai larg de domenii și că securitatea cibernetică este vitală pentru reziliența societății.
NIS 2 impune, de asemenea, cerințe mai stricte pentru raportarea incidentelor și managementul riscurilor. Aceasta include obligații mai detaliate pentru identificarea și evaluarea riscurilor, precum și pentru implementarea măsurilor de securitate corespunzătoare. De asemenea, se pune un accent mai mare pe cooperarea între statele membre și pe schimbul de informații, ceea ce este crucial pentru gestionarea eficientă a amenințărilor transfrontaliere.
O altă schimbare semnificativă este introducerea unor sancțiuni mai severe pentru non-conformitate. Aceasta subliniază seriozitatea cu care UE dorește să trateze securitatea cibernetică și necesitatea ca toate entitățile vizate să ia măsuri adecvate pentru a proteja rețelele și sistemele informatice împotriva amenințărilor cibernetice.
4. Cum abordează Directiva NIS 2 noile amenințări și provocări cibernetice, precum atacurile cibernetice asupra infrastructurilor critice și noile tehnologii emergente?
Directiva NIS 2 încearcă o abordare proactivă noile amenințări și provocări cibernetice, inclusiv atacurile asupra infrastructurilor critice și adaptarea la tehnologiile emergente. Acest lucru se reflectă atât în extinderea domeniului de aplicare al directivei menționată anterior, cât și în cerințele semnificativ mai stricte ce țin de evaluarea riscurilor și raportarea incidentelor.
O componentă cheie a Directivei NIS 2 este acea de a impune măsuri pentru consolidarea rezilienței în fața noilor tehnologii emergente, cum ar fi inteligența artificială și rețelele 5G. La nivelul organizațiilor vizate de textul directivei, acest lucru implică nevoia unei evaluări continue a riscurilor, precum și adaptarea politicilor și practicilor de securitate pentru a ține pasul cu evoluția rapidă a peisajului tehnologic.
Directiva include, de asemenea, accentul pus pe colaborarea și partajarea informațiilor între statele membre și entitățile din sectorul privat. Aceasta acoperă stabilirea de grupuri și rețele pentru schimbul de bune practici și informații despre amenințări, precum și cooperarea transfrontalieră în caz de incidente majore.
5. Există aspecte particulare ale implementării Directivei NIS 2 în diverse state membre ale Uniunii Europene și cum se asigură coerența și eficacitatea acestei legislații la nivel european?
Până la urmă vorbim totuși de o directivă, deci cu siguranță ne putem aștepta ca implementarea Directivei NIS 2 în statele membre ale UE să varieze în funcție de contextul legislativ și de infrastructura existentă în fiecare țară. În general, directivele UE stabilesc un cadru comun, însă fiecare stat membru are flexibilitatea de a adapta transpunerea legislației în funcție de particularitățile naționale, deși, ce-i drept, flexibilitatea a fost mult redusă față de NIS 1.
Din moment ce mai avem încă vreo câteva luni bune până implementarea directivei devine obligatorie, momentan e greu de estimat cam care vor fi diferențele legislative între statele membre, deoarece în continuare multe dintre ele nu au publicat nici măcar un draft al schimbărilor legislative necesare pentru NIS 2.
Cu toate acestea, spre deosebire de NIS 1, avem acum un proces menit să asigure coerența și eficacitatea legislației la nivel european: anume, accentul pus pe cooperarea și coordonarea între autoritățile naționale de reglementare. Acest lucru include stabilirea de mecanisme comune de raportare, evaluare a conformității și schimb de informații privind amenințările și vulnerabilitățile – cu siguranță acest aspect va influența semnificativ coerența în implementare la nivelul statelor membre.
6. Ce noi infrastructuri vor fi considerate operatori de servicii esențiale în directiva NIS 2?
În contextul Directivei NIS 2, definiția operatorilor de servicii esențiale se extinde pentru a include noi sectoare și tipuri de infrastructuri. Printre sectoarele adăugate sau extinsese numără sectorul energetic sănătatea, apa reziduală, transporturile aerospațiale, zona de administrație publică, sau serviciile de management IT pentru afaceri (B2B), sau infrastructura digitală -aceasta din urmă vizează domenii precum serviciile Cloud, centrele de date și platformele digitale.
Extinderea categoriilor de operatori de servicii esențiale subliniază necesitatea unei abordări mai serioase în ceea ce privește securitatea cibernetică și denotă încă o dată că legislația se vede nevoită să țină pasul cu amenințările moderne.
7. România se pregătește de implementarea unui Cloud Guvernamental. Ca expert în cybersecurity, ești pro sau contra acestui demers? Crezi că va fi o soluție sigură?
Chiar dacă pe plan local avem atât de multe contraexemple când e vorba de orice inițiative guvernamentale în zona digitală, personal consider că implementarea unui Cloud Guvernamental poate fi un pas pozitiv dacă e făcut corespunzător, oferind o centralizare și o securizare mai bună a datelor.
Evident, ca și cu orice altă inițiativă de o asemenea amploare, este esențial ca acest demers să fie însoțit de măsuri stricte de securitate cibernetică și de conformitate cu standardele internaționale pentru a asigura protecția și confidențialitatea datelor gestionate, mai ales având în vedere natura sensibilă a acestor date.
Cu siguranță însă, implementarea unui Cloud Guvernamental în România este un pas înainte spre modernizarea infrastructurii IT a sectorului public. Cred că ne-am uita la un impact negativ mult mai însemnat pe termen lung dacă e să luăm în calcul doar alternativa și să nu facem nimic pentru a implementa astfel de soluții.
8. Având în vedere nivelul de cunoștințe digitale ale românilor, crezi că o să fie ușor de utilizat cloud-ul guvernamental considerând numărul tot mai mare al amenințărilor cibernetice?
Suntem cu toții conștienți că alfabetizarea digitală a populației lasă mult de dorit–așa că este important ca orice nouă tehnologie, inclusiv Cloud-ul guvernamental, să fie accesibilă și ușor de utilizat pentru a asigura adoptarea largă.
Pe de altă parte, considerând amenințările cibernetice în creștere, indiferent dacă ne uităm sau nu la inițiativele guvernamentale, rămâne totuși esențial ca utilizatorii să fie educați cu privire la practicile de securitate de bază, chiar și pentru persoanele cu cunoștințe digitale limitate.
Astfel, fără doar și poate, implementarea Cloud-ului guvernamental în România trebuie să țină cont de diversitatea nivelului de cunoștințe digitale în rândul populației și este esențial ca platforma să fie proiectată pentru a fi intuitivă și ușor de utilizat, pentru a asigura accesul și eficiența pentru toți cetățenii.
9. Cum crezi că arată domeniul securității cibernetice în România în 2023? Avem comunități de pasionați și programe educaționale suficiente?
Pe de o parte urmărind fenomenul, pe de altă parte fiind pe alocuri chiar implicat direct, pot cu siguranță confirma că securitatea cibernetică în România a cunoscut evoluții semnificative în ultimii ani, cu un accent sporit pe dezvoltarea competențelor și conștientizarea în acest domeniu. Există o comunitate activă și în creștere de specialiști și entuziaști, cu evenimente, conferințe și programe educaționale care contribuie la dezvoltarea continuă a expertizei în securitate cibernetică.
Totuși, există încă provocări, în special în ceea ce privește educația publică largă și colaborarea între sectorul privat și cel public. Cum spuneam și mai sus, este și rămâne esențială continuarea eforturilor de a crește nivelul de conștientizare și educație în rândul populației generale, precum și promovarea unui parteneriat mai strâns între diferitele sectoare pentru a combate amenințările cibernetice.
Oricum, întotdeauna e loc de mai bine, așa că este cel puțin la fel de importantă încurajarea tinerilor să urmeze cariere în domeniul securității cibernetice, oferindu-le acces la resurse educaționale, mentorat și oportunități de dezvoltare profesională pentru a asigura o nouă generație de experți bine pregătiți.
10. Ce sfat ai avea pentru tinerii ce își doresc o carieră în domeniu? De unde să înceapă și spre ce nișă a domeniului recomanzi să se îndrepte?
Aș remarca în primul rând faptul că securitatea cibernetică este într-o evoluție rapidă, cu siguranță mai rapidă decât multe alte sectoare din IT. Astfel, e critic să rămâi mereu curios și să îți asumi un proces de învățare continuă–motiv pentru care acest domeniu nu se adresează oricui.