vineri, 11 martie 2016

Augustin Jianu, CERT-RO: Nu există securitate! Datele personale vă pot fi deja compromise

Autor: Paul Barbu 10 Mar 2016 - 22:28
Augustin Jianu, CERT-RO: Nu există securitate! Datele personale vă pot fi deja compromise




Ţara noastră este ideală pentru a fi folosită în atacuri cibernetice asupra altor ţinte din afară. Avem cea mai mare viteză a internetului din UE şi o protecţie foarte slabă a calculatoarelor şi a reţelelor cibernetice. Dar ce ne lipseşte cel mai mult este o lege a securităţii cibernetice, este de părere Augustin Jianu, directorul general al Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO). Sute de mii de calculatoare au fost deja compromise, numai în anul 2015.


Cine este responsabil pentru siguranţa datelor personale gestionate de firme şi autorităţi?
În momentul de faţă noi nu avem o lege care să traseze răspunderea, cine este răspunzător pentru o infrastructură cibernetică. Şi aici vorbim de faptul că infrastructura respectivă se află în proprietarea unui operator privat. Şi atunci cum poate deveni statul responsabil pentru ce face sau ce nu face un privat. Statul poate deveni responsabil în situaţia în care există un atac care afectează cetăţenii şi este de interes public şi atunci se pune întrebarea de ce nu am făcut nimic până acum. Statul a făcut o lege… care a fost refuzată. Acum se face alta.

Dacă o instituţie, precum CERT-RO, ştie sunt români cărora le-au fost compromise datele personale de ce nu anunţă?
Eu, CERT-RO, dacă ies public şi anunţ că a existat un atac şi oamenilor le-au fost compromise datele personale, operatorul mă poate da în judecată şi să-mi ceară daune pentru că i-am afectat imaginea. Fără să dau prea multe date, multe companii din România sunt atacate. Pe unele dintre acestea am încercat să le ajutăm pentru că au venit şi ne-au cerut ajutorul. În jur de 20 de operatori au venit şi ne-au cerut ajutorul, în 2015, atât de la privat, cât şi din sectorul public.

Există sisteme cibernetice care nu sunt vulnerabile?
Orice sistem are vulnerabilităţi, depinde cât de tare este lovit şi ce resurse are atacatorul. Este vorba doar de cum administrezi riscul. Ca să vă dau un exemplu: dacă eu sunt o companie privată, îmi fac o evaluare a riscului şi decid că o pierdere anuală de un million de lei este acceptabilă, în condiţiile în care trebuie să dau 10 milioane de lei pe echipamente şi protecţie. E clar că prefer să îmi asum riscul. Sau externalizez riscul şi îmi fac o poliţă de asigurare şi în momentul în care se întâmplă ceva, plăteşte asigurătorul. Nu există sisteme care sunt 100% sigure. Mereu va apărea un risc rezidual. Securitatea nu există, în realitate. Este un concept abstract inventat de oameni! Există anumite niveluri de securitate, raportându-ne la ameninţările pe care le cunoaştem.

Unele instituţii publice nu sunt modernizate şi sunt prea uşor de compromis.
Dacă vorbim de stat, să vă gândiţi că avem mii de primării, consilii locale, şcoli, spitale şi alte instituţii unde nu poate veni o autoritate centrală să le rezolve problemele şi să le facă ordine în ogradă. Aici ei trebuie să fie responsabili şi să fie conştienţi de riscuri şi să îşi ia măsurile minime de siguranţă. Cea mai mare vulnerabilitate a unui sistem, în momentul de faţă, este componenta umană.

Cifre pe România?
CERT-RO a procesat 68 de milioane de alerte pe parcursul anului 2015, din care am extras 2,3 milioane de IP-uri unice. 78% din alerte se referă la sisteme vulnerabile şi anume servere care sunt expuse pe internet, fiind configurate prost sau care nu sunt actualizate şi sunt folosite ca punct de tranzit pentru derularea atacurilor. 21% dintre alerte se referă la infecţii cu malware.

Mai suntem văzuţi ca fiind o ţară generatoare de infectări?
Noi încă mai pierdem foarte mult din credibilitate, pentru că România nu mai este generatoare de malware. Este foarte greu să le explici străinilor că noi suntem un punct de tranzit pentru atacuri care aparent sunt din România. În realitate, atacatorii folosesc reţelele de la noi pentru că avem o infrastructură foarte bună, adică vitezele la internet sunt cele mai mari din toată Uniunea Europeană. Iar dacă un atacator vrea să îşi facă o reţea botnet este clar că va alege victime din România.

Salarii prea mici pentru experţii din securitate cibernetică
La direcţia Tehnică din CERT-RO sunt 12 oameni, dar şeful instituţiei spună că, dintre aceştia, nu sunt mai mult de şase la nivelul de expertiză pe care el şi-l doreşte. „În organigramă avem 41 de posturi, dar în realitate doar 23 sunt bugetate. Am solicitat ministerului să ne dea bani pentru bugetarea posturilor şi nu am primit buget decât pentru doi oameni”, ne-a mai declarat Jianu. Pentru piaţa de IT şi de securitate cibernetică din România, la salariile pe care CERT-RO le oferă, directorul general spune că nu ştie ce oameni va găsi. „Am încercat să mergem în zona de juniori pe care am încercat să îi atragem cu alt tip de stimulent decât cel financiar. Pentru un senior cu nişte ani buni de experienţă, 5-6 ani, pentru funcţia de consilier A1, la 3.900 de lei cât îi pot oferi eu, sigur se va duce în altă parte, în sectorul privat şi va lua cel puţin 2.000 de euro ”, a mai afirmat directorul general al Centrului. Cu toate acestea, el crede că pentru un junior, un salariu de 3.500 de lei ar fi interesant, mai ales că după ce i-au atras, îi vor scoli şi ar putea să-i păstreze cât mai mult.


Dacă e să ne uităm la valoarea a două sectoare din economie, cel de criminalitate cibernetică şi cel de-al doilea, de economie normală şi salubră, şi anume cel de securitate cibernetică, vom vedea că primul sector este cu un ordin sau două de mărime mai ridicat, adică de 10 ori, cel puţin, sau 100 de ori mai mare.

Augustin Jianu, director general CERT-RO

Nu ne ocupăm cu partea de investigaţii criminale, dar dacă DIICOT sau Poliţia Română ne cere ajutorul într-un dosar penal, cu cea mai mare plăcere îi ajutăm. Şi am şi făcut-o în şase dosare penale, anul trecut.

Augustin Jianu, director general CERT-RO


Peste 53 de milioane de alerte se referă la sisteme vulnerabile existente pe internet;
Deocamdată, dacă se pierd datele personale, nimeni nu poate fi tras la răspundere;
Faptul că avem cel mai rapid internet din UE ne face o ţintă a hackerilor

 Directorul general al CERT-RO spune că România are o problemă legată de credibilitate în faţa partenerilor din lume

 La nivel de an 2015, CERT-RO a înregistrat peste 68 de milioane de alerte legate de posibile atacuri

Niciun comentariu:

Trimiteți un comentariu