Romania este intr-o cursa frenetica de modernizare a arsenalului sau militar. O cursa care presupune costuri semnificative pentru cel mai mic buget al Europei raportat la marimea economiei. Costuri care fac ca Romania sa aloce pentru aparare a doua pondere din veniturile bugetare dintre tarile NATO, dupa SUA.
Si totusi, aceste demersuri costisitoare nu vor face catusi de putin Romania mai sigura, in conditiile in care alte vulnerabilitati nu vor fi abordate cu maxima seriozitate si rapiditate, cu atat mai mult cu cat efortul financiar este incomparabil mai mic.
Acest subiect il voi aborda cu invitatul meu Victor Cionga, care a activat de-a lungul carierei sale in “investment banking”, fiind implicat atat in tranzactii de fuziuni si achizitii, cat si in listari pe piata de capital locala. In decursul activitatii sale profesionale, a fost membru in mai multe Consilii de Administratie (Arctic, Sidex, Electrica) si intr-un Consiliu de Supraveghere (Hidroelectrica).
RC: Victor, se discuta mult despre vulnerabilitatile militare ale Romaniei. Nu cumva firmele romanesti au alte vulnerabilitati care sa le faca extrem de abordabile de actori mai putin prietenosi? Ma gandesc in primul rand la firmele de stat cu importanta strategica, dar poate ca nici sectorul privat nu se afla intr-o situatie mai buna atunci cand vorbim de securitatea cibernetica.
VC: As sugera sa avem o abordare de la general la particular. Pe langa avantajele evidente, evolutiile tehnologice au dus si la riscuri crescute, riscuri ale caror consecinte posibile, in unele cazuri, nu au fost mult timp bine intelese. In aceasta categorie intra si potentialul “exploziv” al riscurilor de natura cibernetica. Exista multi actori care actioneaza in spatiul virtual si ei nu sunt neaparat actori statali. Astfel, acesti actori nestatali pot fi organizatii, firme care isi ofera serviciile pentru a ataca sau apara, hackeri solitari si grupuri de hackeri care se organizeaza ad-hoc pentru atacarea contra cost a unor tinte, ca sa nu mai vorbim de hackerii “romantici”, cei care actioneaza doar ca sa dovedeasca fie ca o pot face, fie ca sa demonstreze firmelor respective cat de nepregatite sunt.
RC: Totusi, daca ne uitam in Romania, una din doua: fie aceste atacuri sunt trecute sub tacere, fie ele nu exista. Deoarece destul de rar vedem in spatiul public confirmari ale unor astfel de atacuri. Cea mai recenta informatie este cea legata de site-ul Ministerului Educatiei, unde au fost instalate fraudulos aplicatii de mining pentru criptomonede.
VC: Depinde de periculozitatea atacului. Pentru ca pot sa spun, si sursa este de cinci stele, ca in anii 2014 si 2015 au fost atacuri de randsomware pe calculatoarele unor firme de utilitati din Romania. Acele atacuri nu au fost intotdeauna raportate pe linie ierarhica. Probabil ca de frica, nu au fost raportate nici macar catre sefii directi si au fost descoperite din intamplare. Daca este sa vorbim despre utilitati, atacurile cele mai grave sunt atacurile impotriva unei parti a infrastructurii critice a unei tari, atacuri care, cel mai probabil, sunt pregatite si coordonate in mod direct sau nu mai ales de catre actori statali. Problema este ca, in cazul unor atacuri ale actorilor statali, este extrem de dificil sa identifici autorul.
Primul atac serios care a intrat in istorie a fost cel din 23 decembrie 2014, in care au fost atacate doua retele de distributie a energiei electrice din Ucraina, atac care a afectat inclusiv zona Kiev. Acel atac a fost disecat de specialisti si s-a descoperit ca: 1) fusese pregatit inca din luna martie a acelui an; 2) hackerii au preluat controlul asupra sistemelor de comanda a retelei; si 3) au fost “generosi”, pentru ca au facut mai putin rau decat ar fi putut face.
Dupa cum s-a exprimat un specialist cu care am discutat, daca ar fi droit, hackerii ar fi putut trimite cel putin una dintre acele regiuni din Ucraina in secolul 19. Au urmat alte doua atacuri cibernetice, tot in Ucraina. Unul impotriva retelelor electrice si altul, mult mai general, impotriva firmelor si autoritatilor ucrainene care foloseau un anumit program de contabilitate. In acel ultim caz “virusul” a fost introdus in codul sursa al unei versiuni noi a acelui program si s-a propagat in urma actualizarilor facute de clientii firmei.
RC: Cat de mare este riscul ca ceva similar sa se intample si in Romania?
VC: Nu pot spune. Dar, ca si in cazul din Ucraina, este posibil (nu neaparat probabil!) ca aceste programe spion care sa declanseze atacuri sa existe deja in unele dintre retelele din Romania. Faptul ca nu s-au activat nu inseamna ca nu exista, pentru ca acestea se manifesta numai la comanda. Stiu insa, iar informatiile mele sunt la nivelul anului 2015, ca nu a existat din partea firmelor cu actionariat majoritar romanesc o suficienta intelegere a pericolului unor astfel de atacuri si, in consecinta, nu a existat o preocupare continua si profesionista in a pregati firmele pentru astfel de atacuri.
RC: De ce a celor cu actionariat romanesc?
VC: Pentru ca celelalte, care sunt controlate de multinationale, se aliniaza la rigurozitatea procedurilor folosite de firmele mama. Si de aici mai decurge o problema de principiu. Cand parte din infrastructura apartine unor firme din alte tari care aplica alte standarde de securitate, tu, ca tara, daca ai standarde propria, trebuie sa te asiguri ca si acestea sunt indeplinite. Nu cunosc daca exista proceduri europene care sa permita alinierea. Din cate stiu ANRE, reglementatorul pietei de energie din Romania, nu are competente legale directe in a indica niste standarde minime de securitate cibernetica care sa fie indeplinite de catre companiile din sector. In plus, cel putin acum trei ani, nici nu avea competentele profesionale in acesta directie si nicio preocupare sa si le creeze. Este posibil ca intre timp lucrurile sa se fi schimbat in bine.
Vreau insa sa atrag atentia asupra faptului ca in Europa au fost atacuri masive nu doar impotriva infrastructurii critice de tip energie electrica. In 2015, daca nu ma insel, in Marea Britanie a fost atacat tot sistemul national de sanatate National Health Service. Au fost spitale care s-au inchis temporar pentru ca nu au mai putut opera normal. Dar, revenind la Romania, pot sa spun urmatorul lucru pe care l-am observat: atat la nivelul autoritatilor, cat si la nivelul firmelor de stat sau particulare a existat si exista prea putina preocupare concreta pentru a asigura protectia impotriva unui atac cibernetic. Lipsa unei piete si deci a unei cereri serioase explica de ce in Romania nu sunt firme puternice locale care sa ofere astfel de servicii.
RC: De ce? Care este explicatia?
VC: Un prim lucru pe care l-am constatat in perioada 2014-2015 este ca multi oameni de decizie din sistemul energetic erau rupti de evolutia realitatilor mondiale. Este foarte greu intr-o firma de stat, unde exista deja un department IT, in multe cazuri condus de persoane care sunt depasite profesional, sa aduci pe cineva pe care sa il poti plati corespunzator si sa-i poti oferi si o pozitie cu autoritatea si responsabilitatea adecvata. In majoritatea firmelor mari din tara cu actionariat majoritar local (de stat sau privat) nu exista functia de CISO, Chief Information Security Officer. Aceasta functie are responsabilitati pe care le puteti intui din denumirea ei.
Am facut un exercitiu simplu la nivelul acestui an. Am luat raportul anual al National Grid, echivalentul Transelectrica din Marea Britanie, si am luat raportul anual al S.C. Transelectrica (TEL). Cum TEL are conectari cu alti operatori europeni, ea intra sub umbrela europeana a unor standarde minime. Din acest motiv, din cate stiu, acum cativa ani era probabil cea mai avansata companie de stat romaneasca din domeniul energiei in ceea ce priveste securitatea cibernetica.
Cu toate acestea, in raportul anual 2017 al Transelectrica, cuvantul “securitate” era mentionat de aproximativ 50 de ori, iar “securitate cibernetica” aparea o data explicit si inca de vreo 2-3 ori implicit. In raport eu unul nu am vazut sa fi fost mentionata existenta unor planuri de reactie la un atac cibernetic , nu existau mentiuni despre raportari facute de executivi catre Consiliul de Supraveghere in care sa se prezinte anual sau bi-anual stadiul de implementare a masurilor pentru asigurarea securitatii cibernetice. Pe de alta parte, National Grid, in raportul sau anual, pe langa faptul ca face de numeroase ori referire la “securitate cibernetica”, prezinta mai multe scenarii, dintre care trei cu potentiale consecinte catastrofale erau cauzate de atacuri cibernetice.
Pe langa aceasta, exista un CISO care informa trimestrial Consiliul de Supraveghere despre riscurile si actiunile de prevenire a riscurilor de natura cibernetica. Daca imi amintesc bine, inca din anul 2015 majoritatea firmelor listate pe London Stock Exchange aveau prezentata in rapoartele anuale problematica de “securitate cibernetica” si mentionau ce au facut in aceasta directie. In raportul administratorilor de la Electrica S.A. (ELSA) in anul 2015 am avut initiativa sa mentionam preocuparea noastra, a Consiliului de Administratie, in aceasta directie. Pentru ELSA a fost o premiera; probabil ca atunci am fost prima companie listata la BVB care a mentionat intr-un document catre actionari asa ceva.
RC: Stii ce nu inteleg? Asa cum tu stii ce s-a intamplat in Ucraina sau in Marea Britanie, ma gandesc ca si membrii Consiliilor de Administratie si executivii acestor firme stiu aceste lucruri.
VC: In primul rand, din 2014 pana acum s-au intamplat multe si perceptia publica a evoluat; nu realizez cat de mult, dar cel putin chestiunea este una discutata. Dar la nivelul anului acela, eu, in calitatea mea de atunci de Presedinte al Consiliului de Administratie, am avut de mai multe ori experiente personale de genul “Domnule Presedinte, nu se pot intampla astea la noi. Noi avem de fapt alte probleme, mai importante”.
RC: Asta a fost argumentatia suprema pentru inactiune…
VC: Am cerut un audit de IT incluzand un test de penetrare si sper ca rezultatele lui au facut sa inceapa schimbarea de perceptie la nivelul ELSA asupra importantei securitatii cibernetice. Stiu cazuri concrete de companii romanesti importante care, la un moment dat, nu aveau cumparate programe antivirus pentru retelele proprii de IT. Cel mai mare risc in securitatea cibernetica este omul. Si nu neaparat omul spion, James Bond, ci omul simplu, operatorul, care nu respecta niste reguli relativ simple. In varianta in care aceste reguli exista si ii sunt aduse la cunostinta in compania in care lucreaza. Pentru ca, altminteri, nici nu are ce sa respecte.
RC: Inteleg ca la un astfel de grad de nepasare nici macar nu trebuie sa fii un hacker sofisticat ca sa reusesti sa intri.
VC: Am auzit ca au fost situatii in care, pentru ani buni, unele dintre sistemele SCADA de administrare a unor retele electrice in Romania nu au avut achizitionat pachetul de securitate cibernetica. In cele din urma se pare ca situatia a intrat in normal.
Problematica securitatii cibernetice are o componenta legislativa, dar si o componenta de constientizare a problemei si de profesionalism. Si in momentul in care ai un sef de IT care de 10-20 de ani lucreaza in companie si care nu poate fi mutat, care nu stie si care nu accepta ca nu stie, este foarte greu sa rezolvi aceste vulnerabilitati.
RC: Din ce spui sa deduc ca astfel de probleme in Romania nu sunt accidentale, ci mai degraba sistemice?
VC: E vorba de cultura. Si iata argumentatia plecand de la un efect. Se spune ca in Romania sunt IT-isti foarte buni, dar firmele de securitate cibernetica sunt putine si nu au un volum de afaceri mare. Cauza: repet, piata locala a fost si este inca mica din cauza cererii relativ firave; in afara de sectorul financiar si de majoritatea multinationalelor, institutiile de stat, autoritatile centrale si locale, regiile autonome, firmele controlate de stat si cele private locale nu au realizat importanta problemei si a faptului ca masurile de securitate cibernetica implica mai ales masuri de tip preventiv.
Neglijenta se plateste scump; eu nu stiu ce au invatat autoritatile ucrainiene dupa atacul din decembrie 2015, dar faptul ca dupa aceea au mai fost tinta unor atacuri reusite de tip cibernetic, dintre care unul tot in domeniul energetic, arata ce inseamna sa nu “iti faci temele” nici macar in ceasul al 13-lea!
In cazurile din Romania pe care le stiu, va repet ca in anul 2015 au fost atacuri de tip ”ransomware” care au afectat calculatoarele unor firme importante de utilitati. Unele dintre aceste incidente nu au fost raportate si s-a aflat despre ele din intamplare!
RC: Asta mi se pare foarte grav. Si cum s-a rezolvat vulnerabilitatea daca nu s-au raportat?
VC: Nu stiu.
RC: Cum rezolvam aceasta problema culturala?
VC: Cheia este in primul rand una care tine de oameni. Romania este o tara in care, din pacate, de multe ori, formei i se extrage fondul. Iti dau un exemplu: companie romaneasca importanta, cu o cifra de afaceri mare, cu peste 150 de statii de lucru, care erau protejate doar de Microsoft Essentials, pe ideea ca “nu putem cheltui bani ca sa cumparam o protectie profesionala antivirus” daca exista una gratis. Deci se putea “raporta” ca s-a considerat protejarea calculatoarelor cu un program antivirus, dar acela nu era de departe cea mai buna solutie tehnica. Un program antivirus profesional (care este doar o componenta a unei solutii profesionale de securitate cibernetica pentru o firma) ar fi costat in jur de 2200 de EUR pe an pentru toate statiile de lucru mai sus mentionate. Evident, in domeniul de securitate cibernetica nu exista protectie perfecta, dar cand miza este mare te pregatesti corespunzator si nu doar ca sa bifezi o raportare.
Fara sa am un rezultat valabil din punct de vedere statistic, eu cred ca, din pacate, gradul de constientizare este scazut atat la majoritatea membrilor Consiliilor de Administratie, cat si la majoritatea executivilor. Unul dintre lucrurile pe care eu sugerez ca ar trebui sa il faca Asociatia Administratorilor Independenti (AAI): trebuie sa actioneze formal pentru elaborarea unei carti de recomandari, a unui ghid, pentru inceput pentru companiile listate. Apoi, extins, intr-un mod care urmeaza a fi definit, prin discutii cu ministerele, autoritatile centrale si locale. Nu trebuie reinventata roata; poate ca este bine de urmat exemplul american. New York Stock Exchange a lucrat impreuna cu o firma de securitate cibernetica pentru a elabora un ghid, aflat acum la a doua editie, despre cum ar trebui sa abordeze securitatea cibernetica firmele listate la bursa. Partenerii ar putea fi atat privati cat si din cadrul institutiilor de stat, cum ar fi de exemplu CERT-RO care a facut pasi in aceasta directie.
Cum am devenit recent membru al AAI, imi permit sa vorbesc si la persoana intai plural: o asemenea abordare ar fi bine sa o agreem in primul rand cu Bursa de Valori Bucuresti si apoi sa o popularizam in lumea analistilor de la casele de brokeraj care au departamente de research si fac rapoarte de analiza a companiilor listate. Acestia din urma ar trebui ca, la intalnirile cu executivii companiilor listate, sa ii chestioneze asupra stadiului in care se afla proiectele de securitate cibernetica in acele firme.
Un alt lucru care poate fi facut este sensibilizarea factorilor de decizie de la nivelul ministerelor, pentru ca firmele de stat sunt foarte sensibile la ordinele primite de acolo. Nu vreau sa minimizez rolul pe care il au anumite institutii care activeaza in domeniu: ma refer aici la CERT-RO si la Centrul National de Cyberint; proiectele pe care, conform site-urilor lor, le-au dezvoltat, arata ca a avut loc o dezvoltare a interesului public in aceasta problema. Ceea ce insa lipseste inca la noi este constientizarea riscurilor de catre decidenti si alocarea de resurse suficiente pentru a putea face fata unor viitoare provocari in acest domeniu sensibil.
RC: Noi in zona pensiilor private suntem extrem de reglementati in ce priveste securitatea cibernetica. Am facut teste de penetrare in fiecare an, avem plan de continuitate a afacerii, plan de asigurare a functionarii in caz de dezastru si asa mai departe. Iar ASF vegheaza ca noi sa ne facem temele la perfectie si la zi. Ar functiona o abordare similara si in cazul companiilor de stat?
VC: Ma bucur sa aud acest lucru; poate ca ar trebui sa-l faceti si cunoscut publicului. Firmele de stat sunt foarte sensibile la telefonul de la minister. Din pacate, sunt cazuri in care unii dintre membrii Consiliilor de administratie fac o confuzie majora din punctul de vedere al guvernantei corporative: sunt foarte sensibili la interesele actionarului care i-a votat si cateodata mai putin la interesele companiei. Asta e o “boala” culturala care nu se va vindeca usor. Dar, cel putin in domeniul securitatii cibernetice, nu cred ca ne mai putem permite sa asteptam sa vina indicatia de la ministerul in cauza. Trebuie actionat repede si profesionist. Acolo unde nu avem suficienta experienta, solutia rapida si eficienta pe care o vad este aceea de a colabora cu alte entitati de stat sau private din Uniunea Europeana sau NATO. Nu trebuie sa asteptam sa fim victima unui atac ca sa si facem ceva. Cu atat mai mult cu cat masurile preventive necesita investitii mai mici decat cele care s-ar face ca sa repari efectele unui atac cibernetic.
RC: Pe cand pagubele ar putea fi imense. Sa speram ca si acest interviu va trage acel semnal de alarma care sa duca la securizarea cibernetica a infrastructurii critice.
Multumesc, Victor, pentru aceasta discutie.