„Nivelul de cunoștințe al utilizatorului obișnuit devine din ce în ce mai bogat”. Interviu cu Dan Cîmpean, Directorul Directoratului Național de Securitate Cibernetica (DNSC), fost CERT-RO

Legal Magazin: Internetul a devenit o infrastructură de informații atât de importantă, nu doar pentru cetățeni dar și pentru economia europeană în general, încât sistemele și rețelele informatice au intrat în categoria infrastructurilor critice care este esențială pentru menținerea funcțiilor vitale ale societății, sănătății, securității, bunăstării sociale ori economice. În luna septembrie a acestui an a fost aprobat și publicat actul normativ privind înființarea Directoratului Național de Securitate Cibernetică (DNSC). Ce reprezintă această instituție și care sunt responsabilitățile și atribuțiile sale?

Dan Cîmpean: Înființarea Directoratului acoperă un vid instituțional în domeniul securității cibernetice în România, prin crearea structurilor și mecanismelor esențiale pentru asigurarea securității spațiului cibernetic, în strânsă colaborare cu toate autoritățile competente.  Astfel ,directoratul va deveni un ecosistem de cooperare între actori cheie din instituțiile statului, privat și mediul academic, astfel încât securitatea cibernetică să capete o pondere importantă în structura economiei naționale.

Directoratul va avea un rol strategic pentru elaborarea și implementarea strategiei și a politicilor publice în domeniul securității cibernetice.

Directoratul va fi și un promotor al programelor de educație și conștientizare privind securitatea cibernetică. Noua instituție va promova intens „igiena cibernetică” și alte măsuri preventive care, atunci când sunt introduse și aplicate cu regularitate de cetățeni, de organizații și de operatori economici, reduc la minimum expunerea acestora la riscurile cibernetice.

Un alt rol important al noului Directorat este acela de reprezentare internațională în domeniul securității cibernetice, în relația cu partenerii și instituțiile europene, dar și cu alte state și organisme internaționale, în vederea armonizării abordării și stimulării progresului în domeniul său de activitate.

Nu în ultimul rând  îi va reveni noii instituții rolul de a fi un promotor strategic al interesului național de creștere a ratei de absorbție a fondurilor europene alocate domeniului securității cibernetice și de îndrumător al participării active al entităților publice și private în programele majore de finanțări, inclusiv pentru cele pentru dezvoltarea de soluții inovatoare de securitate cibernetică.

Legal Magazin: Există o legătură strânsă între protecția datelor cu caracter personal pe care atât autoritățile publice cât și operatorii privați le prelucrează prin intermediul tehnologiei în cadrul activităților curente și măsurile de securitate. Cât de mult contează și cât de importante sunt aceste măsuri?

Dan Cîmpean: Încălcarea securității datelor are loc atunci când datele cu caracter personal de care operatorii privați răspund sunt dezvăluite, accidental sau ilegal, unor destinatari neautorizați, când datele sunt modificate sau când accesul la date este oprit temporar.

Prin urmarea operatorul privat trebuie să ia în calcul protecția datelor încă din fazele inițiale ale planificării unei noi modalități de prelucrare a datelor cu caracter personal. Potrivit acestui principiu, operatorul de date trebuie să ia toate măsurile tehnice și organizatorice, ce includ bineînțeles si măsurile de securitate cibernetică necesare pentru a implementa principiile de protecție a datelor și pentru a proteja drepturile persoanelor vizate.

Totodată operatorul privat trebuie să seteze ca implicite configurațiile care asigură cel mai ridicat nivel de protecție a datelor. De exemplu, dacă sunt posibile două setări, iar una împiedică accesul părților terțe la datele cu caracter personal, aceasta ar trebui utilizată ca setare implicită.

Legal Magazin: Știm că Regulamentul General pentru Protecția Datelor (GDPR), adoptat la 14 aprilie 2016 și pus în aplicare la 25 mai 2018, instituie în sarcina tuturor operatorilor obligații de asigurarea a unor ”măsuri tehnice și organizatorice adecvate” ținând seama de  riscurile, cu diferite grade de probabilitate și gravitate, pentru drepturile și libertățile persoanelor fizice.  Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), predecesorul instituției pe care o conduceți exista de ceva timp înainte, (11 mai 2011). S-ar putea spune, prin această cronologie, că normele GDPR au găsit România pregătită din această perspectivă?

Dan Cîmpean: Prin Legea nr. 102/2005 modificată și completată prin Legea nr. 129/2018 a fost înființată Autoritatea Națională de Supraveghere, instituție ce asigură un cadru legal adecvat pentru respectarea drepturilor specifice ale persoanelor fizice în domeniul prelucrării datelor cu caracter personal (dreptul de informare, dreptul de acces, dreptul la rectificare, dreptul la restricționarea prelucrării, dreptul la ștergerea datelor – dreptul ”de a fi uitat”, dreptul de opoziție, dreptul la portabilitatea datelor), precum și o interacțiune eficientă în relația administrație-cetățeni.

Totodată în România a fost în vigoare legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, lege ce transpunea Directiva 95/46/CE. Această lege a fost abrogată de Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date cât și de legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.

Nu în ultimul rând, conform articolului 16 din Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, atât CERT-RO cât și DNSC în calitate de nouă instituție cu competențe în domeniul securității cibernetice se consultă și cooperează cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal, în condițiile legii.

Astfel se poate trage concluzia din cronologia actelor normative mai sus amintite că normele GDPR au găsit România pregătită din această perspectivă.

Legal Magazin: Ce transformări a adus Regulamentul european din domeniul protecției datelor în activitatea Centrului?

Dan Cîmpean: Noul regulament privind protecția datelor a impus la nivelul instituției implementarea de măsuri tehnice și organizatorice cât și realizarea unor mecanisme adecvate care să asigure securitatea corespunzătoare a datele cu caracter personal prelucrate, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale.

Principalele chestiuni cu care ne-am confruntat au fost:

• Instruirea managementului și personalului;
• Numirea Responsabilului cu Protecția Datelor;
• Realizarea politicilor (ex. de prelucrare a datelor cu caracter personal) și a procedurilor necesare;
• Evaluarea infrastructurii informatice
• Managementul informației, verificarea identității solicitantului, solicitările abuzive;
• Exercitarea drepturilor persoanei vizate, care nu a pus doar probleme de calificare din punctul de vedere al termenelor dar și din punctul de vedere al exercitării drepturilor.

Legal Magazin: În ce măsură atacurile cibernetice vizează în mod direct datele personale, în România și la nivelul Uniunii Europene? Din acest punct de vedere suntem mai „feriți” sau mai luați în „colimator”?

Dan Cîmpean: Prin activitatea malițioasă pe care o desfășoară în mediul online, scopul general al atacatorilor este reprezentat de obicei de monetizarea atacurilor. Una dintre metodele prin care ei pot face acest lucru este extragerea de date sensibile, pe care le pot vinde mai departe unor clienți de pe forumuri de hacking sau pe Darknet. Între aceste date sensibile putem evidenția și datele cu caracter personal, care au un scor foarte bun pe aceste forumuri ilegale, tocmai pentru că pot contribui la compromiterea unor conturi de utilizator, a unor conturi bancare și pot fi utilizate în lansarea de noi atacuri, în special cele care folosesc tehnici de inginerie socială.

Cumpărătorii sunt în general activi în zona de fraude online și pot achiziționa datele furate pentru a le pot folosi în propriile activități malițioase. Informațiile de identificare personală, date de identificare directă (CNP), adresele de domiciliu și datele de naștere pot fi utilizate pentru a efectua tranzacții frauduloase. Atacatorii pot folosi mai departe aceste date pentru furt de identitate. De exemplu, atacatorii pot solicita împrumuturi în numele victimei, sau se pot folosi de datele personale pentru atacuri de tip „SIM swapping”, unde contactează direct operatorul de telefonie mobilă pentru a cere activarea unei cartele aflată în funcțiune, pe alt dispozitiv, controlat de hackeri.

Atacatorii nu discriminează în ceea ce privește țintele atacurilor și în general caută să obțină date de la cât mai multe potențiale victime, indiferent de naționalitatea lor. De aceea putem spune că suntem vizați în aceeași măsură în care sunt și utilizatori din alte state.

Legal Magazin: Cum au evoluat românii, utilizatorii persoane fizice, în ultimii 10 ani – au devenit mai atenți, mai informați, mai pregătiți în fața tentativelor de fraudă prin telefon, laptop, card? Cum se prezintă situația la nivelul companiilor, au învățat acestea să adopte măsuri de siguranță, în aceeași perioadă?

Dan Cîmpean: România este țara contrastelor, dacă ar fi să facem o analiză succintă a domeniului securității cibernetice. Avem una dintre cele mai bune si rapide conexiuni la internet, dar în același timp ne situăm spre coada clasamentului în UE la numărul de persoane care folosesc internetul, conform datelor Eurostat.

Din nefericire, o situație similară regăsim la capitolul educație digitală. Avem specialiști foarte buni și apreciați la nivel european, avem tineri talentați, așa cum am văzut din rezultatele constant bune obținute de echipa României de cyber care a fost campioană europeană în 2019, dar majoritatea utilizatorilor au cunoștințe insuficiente pentru a se proteja eficient de cele mai recente amenințări.

Fostul CERT-RO, ce a fost desființat și înlocuit de Directoratul Național de Securitate Cibernetică, a desfășurat frecvent activități de conștientizare, de educație digitală și de securitate cibernetică la nivel național, european sau internațional. În plus, prin pe canalele de social media și de pe site publicăm frecvent materiale de informare pentru toate tipurile de utilizatori, alerte de securitate, recomandări, ghiduri, articole de specialitate pentru a oferi instrumentele necesare protecției.

Legal Magazin: Constatați că utilizatorii își perfecționează, în timp, nivelul de informare?

Dan Cîmpean: Cred cu tărie că în fiecare an nivelul de cunoștințe al utilizatorului obișnuit devine din ce în ce mai bogat și unul dintre semnele că acest lucru este vizibil este chiar interacțiunea directă cu această comunitate. Avem din ce în ce mai multe incidente raportate de persoane care și-au dat seama că un anumite mesaj, mail sau link este o capcană întinsă de atacatori. Practic, ei vor să contribuie, vor să disemineze acea metodă de atac cu ceilalți utilizatori, prin intermediul nostru. Procentul celor care ne scriu din poziția de victimă scade gradual. Mai mult, este îmbucurător că vedem anumite sfaturi pe care le lansăm pe canalele noastre de comunicare sunt utilizate ca metode de eludare a atacurilor.

În cazul companiilor, cred că apariția pandemiei a accelerat această nevoie de securizare a datelor, în special pentru că mulți dintre angajați au fost nevoiți să lucreze remote, de acasă. Iar pentru a face acest lucru în siguranță, compania a trebuit să-i asigure instrumentele, dar și instruirea necesară despre cum poate face acest lucru. Practic, pandemia a oferit un impuls procesului de digitalizare. Angajatorii au fost nevoiți să furnizeze rapid și eficient angajaților și colaboratorilor reguli clare în ceea ce privește telemunca, conform unei politici de securitate, iar angajații au adoptat destul de rapid reguli esențiale pentru a face noul mediu de lucru mai sigur.

Legal Magazin: O companie de profil raporta o amplificare a fraudei online la nivel global cu 45% în luna septembrie a acestui an, comparativ cu luna aprilie. Atacurile sunt tot mai multe, dar și mai sofisticate, mai diverse. Practic, între entitățile de tipul DNSC și infractorii care acționează în spațiul virtual se duce „un joc de-a șoarecele și pisica”. Depistați un mod recurent de operare sau vă surprind cu alte procedee, mai ingenioase? Se va pune vreodată capăt acestui joc?

Dan Cîmpean: Atacatorii încearcă mereu să se folosească de context și de ultimele avansuri tehnologice pentru a lansa atacuri cu o rată din ce în ce mai mare de succes. Domeniul securității cibernetice este într-o continuă evoluție, la fel cum este cel al infracționalității din mediul online. Dacă ar fi să sintetizăm această luptă indirectă dintre cele două tabere, așa cum le-ați definit dvs., vorbim despre o cursă pentru protecția, respectiv păcălirea utilizatorului. În acest caz, viteza cu care comunitatea de cyber identifică, documentează și explică eficient utilizatorului obișnuit cum să se ferească de cele mai recente amenințări este vitală în această luptă de la distanță cu atacatorii. Jocul nu va avea niciodată un final, o concluzie clară sau un câștigător.

Legal Magazin: Cum colaborați cu instituțiile similare din alte țări, de la nivel european și chiar de pe alte continente? Pentru că „războiul” pe care îl purtați nu se rezumă pe plan local, având în vedere natura Internetului și răspândirea lui la scară planetară.

Dan Cîmpean: Directoratul asigură reprezentarea României în formatele de cooperare internațională pe domeniile de competență, aceasta evident împreună cu alte autorități competente ale statului. În spațiul cibernetic nu sunt garnițe iar dezvoltarea unor mecanisme simple dar pragmatice și efective de cooperare cibernetică este instrumentală pentru a putea aborda cu succes provocările cu care ne confruntăm. Dintre acestea, aș dori doar să menționez – ca exemple ilustrative ce necesită o abordare internațională – fenomenul ransomware, criminalitatea cibernetică în general, securitatea cibernetică a lanțului de furnizori dar și atacurile cibernetice îngrijorătoare, de genul celui detectat împotriva Ucrainei.

Legal Magazin: Am observat că sunteți angrenați într-o serie de campanii. De asemenea, ati publicat, pe site-ul Centrului, Ghidul de Securitate Cibernetică, prin care îi instruiți pe utilizatori cu privire la noțiuni precum atacuri de tip DoS sau DdoS, înșelăciuni pe rețele de socializare, social engineering, siguranța tranzacțiilor online, furt de identitate etc. Cum apreciați feed-back-ul? Este consultat acest Ghid? Îl parcurg cei care au nevoie să se familiarizeze cu aceste noțiuni, sau tocmai inamicii de zi cu zi?

Dan Cîmpean: Avem o relație extrem de apropiată cu comunitatea de cyber, colaborăm cu mulți parteneri din zona publică și cea privată, mai ales în zona de conștientizare a populației. De aceea, pe canalele noastre și pe site veți găsi constant materiale noi de informare dedicate tuturor tipurilor de utilizatori. Astfel de materiale de awareness sunt mereu bine primite de public, iar urmăritorii noștri devin din ce în ce mai interactivi în comunicarea cu instituția noastră. Observăm că din ce în ce mai mulți indivizi adoptă în rutina lor de securitate online recomandări oferite frecvent de echipa Directoratului, acțiuni care de multe ori ajung să îi protejeze de anumite atacuri. Deja observăm că oamenii nu mai dau click la fel de rapid pe link-uri provenite din surse necunoscute sau dubioase, verifică sursa mail-ului înainte de a accesa atașamente sau înțeleg că o bancă nu îți va cere să validezi datele de card prin mail, pentru că altfel îți va suspenda contul. Pas cu pas, punem bazele unei igiene minimale de securitate cibernetică la nivel național, una care va forța atacatorii să investească mai mult timp, mai mulți bani și mai mult efort pentru un grad de reușită al atacurilor.

Legal Magazin: Cât de mult contează cooperarea dintre sectorul privat și sectorul public când vorbim despre securitate cibernetică?

Dan Cîmpean: Securitatea cibernetică este o responsabilitate comună. Acesta este motto-ul după care comunitatea de cybersecurity se ghidează la nivel mondial. De cele mai multe ori atacurile sunt transfrontaliere, iar blocarea anumitor resurse sau identificarea anumitor grupări de atacatori presupune un efort coordonat al autorităților. Colaborarea public-privat este deopotrivă vitală, pentru că de cele mai multe ori resursele folosite de atacatori sunt găzduite peste tot în lume, iar pentru suspendarea acestor activități malițioase de obicei presupune cooperarea cu o companie privată ale cărei infrastructură este folosită în atac. Spre exemplu furnizorii de servicii de internet sau hosteri.

* Este extras din Revista LEGAL MAGAZIN nr. 34 – GDPR.