Tehnica militară de ultimă generație protejează însă prea puțin marile companii din economie de posibilitatea unor atacuri cibernetice, scrie aici, pe blogul său, Radu Crăciun, președintele Asociației Pensiilor Administrate Privat din România. Crăciun a realizat articolulul „Rachete Patriot pe rampe de lut” pe baza discuției sale cu Victor Cionga, expert in management, membru în Asociația Administratorilor Independenți. Redăm articolul:
„România este într-o cursă frenetică de modernizare a arsenalului său militar. O cursă care presupune costuri semnificative pentru cel mai mic buget al Europei raportat la mărimea economiei. Costuri care fac că România să aloce pentru apărare a doua pondere din veniturile bugetare dintre ţările NATO, după SUA.
Şi totuşi, aceste demersuri costisitoare nu vor face câtuşi de puţin România mai sigură, în condiţiile în care alte vulnerabilităţi nu vor fi abordate cu maximă seriozitate şi rapiditate, cu atât mai mult cu cât efortul financiar este incomparabil mai mic.
Acest subiect îl voi aborda cu invitatul meu Victor Cionga, care a activat de-a lungul carierei sale în „investment banking”, fiind implicat atât în tranzacţii de fuziuni şi achiziţii, cât şi în listări pe piaţa de capital locală. În decursul activităţii sale profesionale, a fost membru în mai multe Consilii de Administraţie (Arctic, Sidex, Electrica) şi într-un Consiliu de Supraveghere (Hidroelectrica).
Radu Crăciun (RC): Victor, se discută mult despre vulnerabilităţile militare ale României. Nu cumva firmele româneşti au alte vulnerabilităţi care să le facă extrem de abordabile de actori mai puţin prietenoşi? Mă gândesc în primul rând la firmele de stat cu importanţă strategică, dar poate că nici sectorul privat nu se află într-o situaţie mai bună atunci când vorbim de securitatea cibernetică.
Victor Cionga (VC): Aş sugera să avem o abordare de la general la particular. Pe lângă avantajele evidente, evoluţiile tehnologice au dus şi la riscuri crescute, riscuri ale căror consecinţe posibile, în unele cazuri, nu au fost mult timp bine înţelese. În această categorie intră şi potenţialul „exploziv” al riscurilor de natură cibernetică. Există mulţi actori care acţionează în spaţiul virtual şi ei nu sunt neapărat actori statali. Astfel, aceşti actori nestatali pot fi organizaţii, firme care îşi oferă serviciile pentru a ataca sau apără, hackeri solitari şi grupuri de hackeri care se organizează ad-hoc pentru atacarea contra cost a unor ţinte, ca să nu mai vorbim de hackerii „romantici”, cei care acţionează doar ca să dovedească fie că o pot face, fie ca să demonstreze firmelor respective cât de nepregătite sunt.
RC: Totuşi, dacă ne uităm în România, una din două: fie aceste atacuri sunt trecute sub tăcere, fie ele nu există. Deoarece destul de rar vedem în spaţiul public confirmări ale unor astfel de atacuri. Cea mai recentă informaţie este cea legată de site-ul Ministerului Educaţiei, unde au fost instalate fraudulos aplicaţii de mining pentru criptomonede.
VC: Depinde de periculozitatea atacului. Pentru că pot să spun, şi sursă este de cinci stele, că în anii 2014 şi 2015 au fost atacuri de randsomware pe calculatoarele unor firme de utilităţi din România. Acele atacuri nu au fost întotdeauna raportate pe linie ierarhică. Probabil că de frică, nu au fost raportate nici măcar către şefii direcţi şi au fost descoperite din întâmplare. Dacă este să vorbim despre utilităţi, atacurile cele mai grave sunt atacurile împotriva unei părţi a infrastructurii critice a unei ţări, atacuri care, cel mai probabil, sunt pregătite şi coordonate în mod direct sau nu mai ales de către actori statali. Problema este că, în cazul unor atacuri ale actorilor statali, este extrem de dificil să identifici autorul.
Primul atac serios care a intrat în istorie a fost cel din 23 decembrie 2014, în care au fost atacate două reţele de distribuţie a energiei electrice din Ucraina, atac care a afectat inclusiv zona Kiev. Acel atac a fost disecat de specialişti şi s-a descoperit că: 1) fusese pregătit încă din lună martie a acelui an; 2) hackerii au preluat controlul asupra sistemelor de comandă a reţelei; şi 3) au fost „generoşi”, pentru că au făcut mai puţin rău decât ar fi putut face.
După cum s-a exprimat un specialist cu care am discutat, dacă ar fi droit, hackerii ar fi putut trimite cel puţin una dintre acele regiuni din Ucraina în secolul 19. Au urmat alte două atacuri cibernetice, tot în Ucraina. Unul împotriva reţelelor electrice şi altul, mult mai general, împotriva firmelor şi autorităţilor ucrainene care foloseau un anumit program de contabilitate. În acel ultim caz „virusul” a fost introdus în codul sursă al unei versiuni noi a acelui program şi s-a propagat în urma actualizărilor făcute de clienţii firmei.
RC: Cât de mare este riscul ca ceva similar să se întâmple şi în România?
VC: Nu pot spune. Dar, ca şi în cazul din Ucraina, este posibil (nu neapărat probabil!) ca aceste programe spion care să declanşeze atacuri să existe deja în unele dintre reţelele din România. Faptul că nu s-au activat nu înseamnă că nu există, pentru ca acestea se manifestă numai la comandă. Ştiu însă, iar informaţiile mele sunt la nivelul anului 2015, că nu a existat din partea firmelor cu acţionariat majoritar românesc o suficientă înţelegere a pericolului unor astfel de atacuri şi, în consecinţă, nu a existat o preocupare continuă şi profesionistă în a pregăti firmele pentru astfel de atacuri.
RC: De ce a celor cu acţionariat românesc?
VC: Pentru că celelalte, care sunt controlate de multinaţionale, se aliniază la rigurozitatea procedurilor folosite de firmele mama. Şi de aici mai decurge o problemă de principiu. Când parte din infrastructura aparţine unor firme din alte ţări care aplică alte standarde de securitate, tu, ca ţara, dacă ai standarde proprii, trebuie să te asiguri că şi acestea sunt îndeplinite. Nu cunosc dacă există proceduri europene care să permită alinierea. Din câte ştiu ANRE, reglementatorul pieţei de energie din România, nu are competenţe legale directe în a indica nişte standarde minime de securitate cibernetică care să fie îndeplinite de către companiile din sector. În plus, cel puţin acum trei ani, nici nu avea competenţele profesionale în acesta direcţie şi nicio preocupare să şi le creeze. Este posibil ca între timp lucrurile să se fi schimbat în bine.
Vreau însă să atrag atenţia asupra faptului că în Europa au fost atacuri masive nu doar împotriva infrastructurii critice de tip energie electrică. În 2015, dacă nu mă înşel, în Marea Britanie a fost atacat tot sistemul naţional de sănătate Naţional Health Service. Au fost spitale care s-au închis temporar pentru că nu au mai putut opera normal. Dar, revenind la România, pot să spun următorul lucru pe care l-am observat: atât la nivelul autorităţilor, cât şi la nivelul firmelor de stat sau particulare a existat şi există prea puţină preocupare concretă pentru a asigura protecţia împotriva unui atac cibernetic. Lipsa unei pieţe şi deci a unei cereri serioase explică de ce în România nu sunt firme puternice locale care să ofere astfel de servicii.
RC: De ce? Care este explicaţia?
VC: Un prim lucru pe care l-am constatat în perioada 2014-2015 este că mulţi oameni de decizie din sistemul energetic erau rupţi de evoluţia realităţilor mondiale. Este foarte greu într-o firmă de stat, unde există deja un department IT, în multe cazuri condus de persoane care sunt depăşite profesional, să aduci pe cineva pe care să îl poţi plăti corespunzător şi să-i poţi oferi şi o poziţie cu autoritatea şi responsabilitatea adecvată. În majoritatea firmelor mari din ţară cu acţionariat majoritar local (de stat său privat) nu există funcţia de CISO, Chief Information Security Officer. Această funcţie are responsabilităţi pe care le puteţi intui din denumirea ei.
Am făcut un exerciţiu simplu la nivelul acestui an. Am luat raportul anual al Naţional Grid, echivalentul Transelectrica din Marea Britanie, şi am luat raportul anual al S.C. Transelectrica (TEL). Cum TEL are conectări cu alţi operatori europeni, ea intră sub umbrelă europeană a unor standarde minime. Din acest motiv, din câte ştiu, acum câţiva ani era probabil cea mai avansată companie de stat românească din domeniul energiei în ceea ce priveşte securitatea cibernetică.
Cu toate acestea, în raportul anual 2017 al Transelectrica, cuvântul „securitate” era menţionat de aproximativ 50 de ori, iar „securitate cibernetică” apărea o dată explicit şi încă de vreo 2-3 ori implicit. În raport eu unul nu am văzut să fi fost menţionată existenţa unor planuri de reacţie la un atac cibernetic, nu existau menţiuni despre raportări făcute de executivi către Consiliul de Supraveghere în care să se prezinte anual sau bi-anual stadiul de implementare a măsurilor pentru asigurarea securităţii cibernetice. Pe de altă parte, Naţional Grid, în raportul sau anual, pe lângă faptul că face de numeroase ori referire la „securitate cibernetică”, prezintă mai multe scenarii, dintre care trei cu potenţiale consecinţe catastrofale erau cauzate de atacuri cibernetice.
Pe lângă această, există un CISO care informa trimestrial Consiliul de Supraveghere despre riscurile şi acţiunile de prevenire a riscurilor de natura cibernetică. Dacă îmi amintesc bine, încă din anul 2015 majoritatea firmelor listate pe London Stock Exchange aveau prezentată în rapoartele anuale problematica de „securitate cibernetică” şi menţionau ce au făcut în această direcţie. În raportul administratorilor de la Electrica S.A. (ELSA) în anul 2015 am avut iniţiativă să menţionăm preocuparea noastră, a Consiliului de Administraţie, în această direcţie. Pentru ELSA a fost o premieră; probabil că atunci am fost prima companie listată la BVB care a menţionat într-un document către acţionari aşa ceva.
RC: Ştii ce nu înţeleg? Aşa cum tu ştii ce s-a întâmplat în Ucraina sau în Marea Britanie, mă gândesc ca şi membrii Consiliilor de Administraţie şi executivii acestor firme ştiu aceste lucruri.
VC: În primul rând, din 2014 până acum s-au întâmplat multe şi percepţia publică a evoluat; nu realizez cât de mult, dar cel puţin chestiunea este una discutată. Dar la nivelul anului acela, eu, în calitatea mea de atunci de Preşedinte al Consiliului de Administraţie, am avut de mai multe ori experienţe personale de genul „Domnule Preşedinte, nu se pot întâmpla astea la noi. Noi avem de fapt alte probleme, mai importante”.
RC: Asta a fost argumentaţia supremă pentru inacţiune.
VC: Am cerut un audit de IT incluzând un test de penetrare şi sper ca rezultatele lui au făcut să înceapă schimbarea de percepţie la nivelul ELSA asupra importanţei securităţii cibernetice. Ştiu cazuri concrete de companii româneşti importante care, la un moment dat, nu aveau cumpărate programe antivirus pentru reţelele proprii de IT. Cel mai mare risc în securitatea cibernetică este omul. Şi nu neapărat omul spion, James Bond, ci omul simplu, operatorul, care nu respectă nişte reguli relativ simple. În varianta în care aceste reguli există şi îi sunt aduse la cunoştinţă în compania în care lucrează. Pentru ca, altminteri, nici nu are ce să respecte.
RC: Înţeleg că la un astfel de grad de nepăsare nici măcar nu trebuie să fii un hacker sofisticat ca să reuşeşti să intri.
VC: Am auzit că au fost situaţii în care, pentru ani buni, unele dintre sistemele SCADA de administrare a unor reţele electrice în România nu au avut achiziţionat pachetul de securitate cibernetică. În cele din urmă se pare că situaţia a intrat în normal.
Problematica securităţii cibernetice are o componentă legislativă, dar şi o componentă de conştientizare a problemei şi de profesionalism. Şi în momentul în care ai un şef de IT care de 10-20 de ani lucrează în companie şi care nu poate fi mutat, care nu ştie şi care nu acceptă că nu ştie, este foarte greu să rezolvi aceste vulnerabilităţi.
RC: Din ce spui să deduc că astfel de probleme în România nu sunt accidentale, ci mai degrabă sistemice?
VC: E vorba de cultură. Şi iată argumentaţia plecând de la un efect. Se spune că în România sunt IT-isti foarte buni, dar firmele de securitate cibernetică sunt puţine şi nu au un volum de afaceri mare. Cauză: repet, piaţa locală a fost şi este încă mică din cauza cererii relativ firave; în afară de sectorul financiar şi de majoritatea multinaţionalelor, instituţiile de stat, autorităţile centrale şi locale, regiile autonome, firmele controlate de stat şi cele private locale nu au realizat importanţa problemei şi a faptului că măsurile de securitate cibernetică implică mai ales măsuri de tip preventiv.
Neglijenţa se plăteşte scump; eu nu ştiu ce au învăţat autorităţile ucrainiene după atacul din decembrie 2015, dar faptul că după aceea au mai fost ţinta unor atacuri reuşite de tip cibernetic, dintre care unul tot în domeniul energetic, arată ce înseamnă să nu „îţi faci temele” nici măcar în ceasul al 13-lea!
În cazurile din România pe care le ştiu, vă repet că în anul 2015 au fost atacuri de tip „ransomware” care au afectat calculatoarele unor firme importante de utilităţi. Unele dintre aceste incidente nu au fost raportate şi s-a aflat despre ele din întâmplare!
RC: Asta mi se pare foarte grav. Şi cum s-a rezolvat vulnerabilitatea dacă nu s-au raportat?
VC: Nu ştiu.
RC: Cum rezolvăm această problemă culturală?
VC: Cheia este în primul rând una care ţine de oameni. România este o ţară în care, din păcate, de multe ori, formei i se extrage fondul. Îţi dau un exemplu: companie românească importantă, cu o cifră de afaceri mare, cu peste 150 de staţii de lucru, care erau protejate doar de Microsoft Essentials, pe ideea că „nu putem cheltui bani ca să cumpărăm o protecţie profesională antivirus” dacă există una gratis. Deci se putea „raporta” că s-a considerat protejarea calculatoarelor cu un program antivirus, dar acela nu era de departe cea mai bună soluţie tehnică. Un program antivirus profesional (care este doar o componentă a unei soluţii profesionale de securitate cibernetică pentru o firmă) ar fi costat în jur de 2200 de EUR pe an pentru toate staţiile de lucru mai sus menţionate. Evident, în domeniul de securitate cibernetică nu există protecţie perfectă, dar când miza este mare te pregăteşti corespunzător şi nu doar ca să bifezi o raportare.
Fără să am un rezultat valabil din punct de vedere statistic, eu cred că, din păcate, gradul de conştientizare este scăzut atât la majoritatea membrilor Consiliilor de Administraţie, cât şi la majoritatea executivilor. Unul dintre lucrurile pe care eu sugerez că ar trebui să îl facă Asociaţia Administratorilor Independenţi (AAI): trebuie să acţioneze formal pentru elaborarea unei cărţi de recomandări, a unui ghid, pentru început pentru companiile listate. Apoi, extins, într-un mod care urmează a fi definit, prin discuţii cu ministerele, autorităţile centrale şi locale. Nu trebuie reinventată roata; poate că este bine de urmat exemplul american. New York Stock Exchange a lucrat împreună cu o firmă de securitate cibernetică pentru a elabora un ghid, aflat acum la a doua ediţie, despre cum ar trebui să abordeze securitatea cibernetică firmele listate la bursă. Partenerii ar putea fi atât privati cât şi din cadrul instituţiilor de stat, cum ar fi de exemplu CERT-RO care a făcut paşi în această direcţie.
Cum am devenit recent membru al AAI, îmi permit să vorbesc şi la persoana întâi plural: o asemenea abordare ar fi bine să o agreem în primul rând cu Bursa de Valori Bucureşti şi apoi să o popularizăm în lumea analiştilor de la casele de brokeraj care au departamente de research şi fac rapoarte de analiză a companiilor listate. Aceştia din urmă ar trebui ca, la întâlnirile cu executivii companiilor listate, să îi chestioneze asupra stadiului în care se afla proiectele de securitate cibernetică în acele firme.
Un alt lucru care poate fi făcut este sensibilizarea factorilor de decizie de la nivelul ministerelor, pentru ca firmele de stat sunt foarte sensibile la ordinele primite de acolo. Nu vreau să minimizez rolul pe care îl au anumite instituţii care activează în domeniu: mă refer aici la CERT-RO şi la Centrul Naţional de Cyberint; proiectele pe care, conform site-urilor lor, le-au dezvoltat, arată ca a avut loc o dezvoltare a interesului public în această problemă. Ceea ce însă lipseşte încă la noi este conştientizarea riscurilor de către decidenţi şi alocarea de resurse suficiente pentru a putea face faţa unor viitoare provocări în acest domeniu sensibil.
RC: Noi în zona pensiilor private suntem extrem de reglementaţi în ce priveşte securitatea cibernetică. Am făcut teste de penetrare în fiecare an, avem plan de continuitate a afacerii, plan de asigurare a funcţionării în caz de dezastru şi aşa mai departe. Iar ASF veghează ca noi să ne facem temele la perfecţie şi la zi. Ar funcţiona o abordare similară şi în cazul companiilor de stat?
VC: Mă bucur să aud acest lucru; poate că ar trebui să-l faceţi şi cunoscut publicului. Firmele de stat sunt foarte sensibile la telefonul de la minister. Din păcate, sunt cazuri în care unii dintre membrii Consiliilor de administraţie fac o confuzie majoră din punctul de vedere al guvernantei corporative: sunt foarte sensibili la interesele acţionarului care i-a votat şi câteodată mai puţin la interesele companiei. Asta e o „boală” culturală care nu se va vindeca uşor. Dar, cel puţin în domeniul securităţii cibernetice, nu cred că ne mai putem permite să aşteptăm să vină indicaţia de la ministerul în cauză. Trebuie acţionat repede şi profesionist. Acolo unde nu avem suficientă experienţă, soluţia rapidă şi eficienţa pe care o văd este aceea de a colabora cu alte entităţi de stat sau private din Uniunea Europeană sau NATO. Nu trebuie să aşteptăm să fim victima unui atac ca să şi facem ceva. Cu atât mai mult cu cât măsurile preventive necesită investiţii mai mici decât cele care s-ar face ca să repari efectele unui atac cibernetic.”
