Romsym Data a organizat pe data de 17 mai 2016, conferința “Directivele NIS, GDPR și legea securității cibernetice: implicații practice”, în contextul creșterii riscurilor de securitate odată cu extinderea sistemelor informatice în toate instituțiile de interes public și privat. Contextul principal a fost faptul că asigurarea securității cibernetice trebuie să constituie o prioritate pentru instituții și entități private pentru aplicarea atât a politicilor cât și a soluțiilor optime de securitate.
În cadrul conferinței au fost prezentate legile actuale pentru domeniul securității informației, legile care urmează să fie aplicate începând cu anul 2018, împreună cu propuneri de actualizare a acestora, dar și ce alte reglementări ar fi necesare în acest domeniu. A fost susținută de către Bogdan Manolea și Adrian Munteanu.
Legislația securității cibernetice – prezent și viitor
Contextul prezentării pornește de la 3 motive principale pentru care o entitate trebuie să se gândească la aspectele securității cibernetice. Primul este legat de protejarea cetățenilor, a datelor personale sau a bazei de date cu clienții unei companii. Al doilea este la fel de important, fiind legat de valoarea informațiilor existente într-o bază de date, care eventual accesate de concurență pot aduce probleme pe termen lung unei companii. Ultimul aspect este legat de adaptarea la legislația din domeniul securității cibernetice, care poate aduce sancțiuni companiilor în cazul unor atacuri sau pierderi de informații.
În prezent reglementările din domeniu sunt puține și privesc modul general, cea mai concretă fiind reglementarea dată de Avocatul Poporului cu privire la cerințele minime de securitate a prelucrărilor de date cu caracter personal, Ordinul nr. 52 din 18 aprilie 2002, dar care totuși nu are o orientare clară și conform specialiștilor necesită o regândire urgentă. O altă categorie de reglementări este aplicată la o scară mai mică, pentru domenii precum ce bancar sau administrativ, cu directive orientate exclusiv către anumite aplicații.
Ca viitor, este pregătit noul cadru normativ care va intra în vigoare din anul 2018, regulamentul privind protecția datelor cu caracter personal (GDPR), existând deja în formă finală și pregătit de intrarea în vigoare începând cu 25.05.2018. În paralel cu acesta există o directivă pentru securitatea rețelelor și a informației, directiva NIS, care este in curs de pregătire pentru implementare, cel mai probabil tot în anul 2018. De asemenea, legea securității cibernetice este în plină dezvoltare, cu o implementare mai devreme de 2018.
Legea securității cibernetice are un spectru larg de aplicare, fiind destinată în special persoanelor juridice deținătoare de infrastructuri cibernetice care prelucrează date cu caracter personal, conform versiunii în lucru la data de 04.04.2016. Practic, subiectul acestei legi poate fi legat de orice firmă care operează un calculator, toate deținând date cu caracter personal, legate de angajați, clienți, contracte, colaborări sau alte date ale companiei.
Din zona comisiei europene, vine directiva NIS, adoptată în decembrie 2015, care se limitează la reglementări pentru servicii esențiale precum energie, transport, bănci, piața financiară, sănătate și altele din aceste categorii.
Aceasta poate intra în vigoare până la jumătatea anului 2018, fiind aproape de versiunea finală, cu mici modificări posibile până în 2018. În zona măsurilor este inclusă ENISA, care redactează avize și orientări în standardele legale existente, inclusiv în cele naționale ale statelor membre.
GDPR este cel mai important regulament pentru protecția datelor cu caracter personal, care va fi aplicat în zona internă, care va înlocui legislația internă, pentru România legea 677/2001. Regulamentul a fost elaborat în 200 pagini redactate în aproximativ 4 ani în cadrul instituțiilor europene.
Riscuri și evoluția conceptului de securitate cibernetică
În a doua parte a dezbaterii despre legislația din domeniul securității cibernetice și a datelor cu caracter personal, profesorul Adrian Munteanu a realizat o prezentare a riscurilor din domeniu și a interpretării legislației. Un context al discuției a fost reprezentat de responsabilitățile definite ale producătorilor de soluții software, care prevăd că se utilizează pe propriul risc din condițiile de utilizare. De asemenea schimbarea conceptului de securitate din epoca de aur a avansat de la firewall, statefull, antivirus, filtrare URL, NGFW până la Threat Intelligence, Threat Prevention și Mobile Security din zilele noastre. Nivelul de implementare al acestora trebuie să fie adaptat la dimensiunile sistemelor informatice, măsurile tehnice și organizatorice fiind reglementate prin GDPR, Art 27, ca fiind asigurate la un nivel de securitate corespunzător riscurilor în conformitate cu stadiul actual al tehnologiei și costurile punerii lor în aplicare.
Conform statisticilor Gartner, 75% dintre atacurile cibernetice au loc la nivel de aplicație, în timp ce conform NIST, 92% dintre vulnerabilități se regăsesc la nivelul aplicațiilor. Ca temeri de securitate, conform IDC, în 2010 cea mai mare provocare a conceptului cloud era securitatea. Lucrurile nu s-au schimbat nici in 2016, când conform IDC, Intel Security și a altor statistici, cea mai mare provocare și îngrijorare a cloud rămâne tot securitatea. Totuși, furnizorii serviciilor în cloud au la dispozitie STAR – CSA Security, Trust & Assurance Registry.
Pentru realizarea unui concept clar de securitate cibernetică este necesară o definire clară a termenilor, precum rețea și sistem informatic. Astfel, prin Directiva 2002/21 a Comisiei Europene se definește ca o rețea de comunicații electronice, grup de dispozitive sau dispozitiv interconectate prin care se prelucrează automat datele electronice. Termenul de securitate este definit ca o capacitate a unei rețele sau sistem informatic să facă față la un nivel de încredere pentru a nu permite acțiunilor accidentale sau intenționate care pot compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor și a serviciilor oferite sau accesibile prin sistemul informatic vizat.
Concluzia este ca măsurile de securitate trebuie să se bazeze atât pe endpoint cât și pe posibilele riscuri din jurul acestuia. Conform legislației GDPR, controlul pentru securitatea cibernetică trebuie să se orienteze și către accesul la echipamente, suporturile de date, stocare, utilizatori, accesul la date, comunicare, introducere date și chiar transport al datelor. Rămâne de văzut dacă din anul 2018, care se anunță anul relansării securității cibernetice odată cu noua legislație, dacă se va observa o scădere a problemelor de securitate la nivel global și mai ales European.
Romsym Data oferă o gamă largă de soluții pentru securitatea datelor și a sistemelor
Cososys Endpoint Protector, Digital Guardian, MicroFocus și Heat Software sunt soluțiile dedicate, oferite de Romsym Data pentru implementarea unui pachet complet care să acopere toată gama de necesități de securitate și protecție a datelor cu caracter personal.
Platforma de securitate Digital Guardian este prezentată ca fiind cea mai completă și complexă soluție de securitate a sistemelor și bazelor de date. Digital Guardian oferă vizibilitate asupra tuturor informațiilor valoroase ale unei companii, ajută la prevenirea pierderii datelor și asigură protecție maximă chiar și în cazul unor amenințări avansate. Cu ajutorul Data Guardian Data Visibility and Control, se oferă o imagine de ansamblu asupra tuturor informațiilor valoroase ale unei companii, pentru a putea fi protejate corespunzător. Soluția criptează datele în urma unui proces de clasificare și marcare, oferind o imagine precisă, chiar daca acestea dispar sau sunt modificate. Soluția va forța protocoalele de criptare prin identificarea tuturor mediilor detașabile care accesează date și prin blocarea acestora în cazul în care sunt neautorizate. De asemenea soluția integrează tehnologii care blochează executabile ce pot conține viruși sau malware. Cu ajutorul Digital Guardian Data Loss Prevention, datele valoroase sunt protejate chiar și în cazul unor breșe inevitabile. Soluția oferă un control pentru toate procedurile de transfer al datelor importante și oferă un set complet de funcții pentru criptare în interiorul rețelelor, dar și în exteriorul acestora pentru ca fișierele ajunse în dispozitive externe să fie criptate pentru a funcționa doar în dispozitivele autorizate. Transferul datelor se poate realiza doar pe anumite dispozitive detașabile, introduse în sistem după serial sau producător. Digital Guardian Advanced Threat Protection ajută la identificarea eficientă a breșelor de securitate și a inevitabilelor atacuri, prevenind accesul la datele importante. Utilizând un set avansat de funcții și module adiționale, soluția blochează orice amenințare, chiar și dacă aceasta a pătruns deja în sistem, de exemplu un fișier .pdf infectat deschis accidental. Digital Guardian este singura soluție care oferă un serviciu de securitate in cloud, hybrid sau în ambele moduri, fiind o soluție completă pentru toată gama de sisteme.
Platforma de Securitate Cososys Endpoint Protection este o amplă platformă care previne pierderile de date, ajută la controlul dispozitivelor și administrarea acestora, dar realizează și administrarea dispozitivelor mobile iOS și Android. Soluția poate fi instalată în câteva minute, oferind un management intuitiv pentru endpoint-uri, protecție pentru toate sistemele de operare și protecție pro-activă împotriva abuzului de dispozitive și furtului de date.
Soluția este pregătită și pentru VMware. Funcțiile oferite sunt filtrarea conținutului, filtrarea după tipul fișierelor, File Tracing/Shadowing, Whitelisting pentru toate componentele și datele existente, raportarea și analiza datelor, audit în timp real și protecția rețelei în mod offline utilizând parole offline temporare. De asemenea, soluția impune politici de utilizare ale dispozitivelor mobile și poate să definească servicii bazate pe zona geografică – Geofencing. Economic, avantajele sunt legate de prețul cu 45% mai mic decât alte soluții similare, precum și de timpul de instalare cu 70% mai scurt decât la soluțiile concurente. Endpoint Protector implică un TCO cu 50% mai mic decât media pieței.
de Andrei Marian