Nodul Gordian al securității cibernetice moldovenești

De mulți ani deja, Republica Moldova ocupă poziții de lider în ratingul statelor cu cel mai înalt nivel de digitalizare și acces la internet-comunicații. Proiectele de trecere a diverselor procese și ramuri întregi la spațiul cibernetic au fost printre primele adoptate spre realizare, imediat după ce Moldova și-a căpătat independența.

Amintim, că Ministerul informaticii, informației și telecomunicațiilor a fost creat în a.1992. Practic imediat a devenit clar, că una dintre cele mai importante ramuri ale digitalizării este asigurarea securității datelor și protecția proceselor informaționale de acțiunile neprielnice. Acest complex de tehnologii și măsuri astăzi este cunoscut ca securitatea cibernetică, sau Cyber Security.

La totalizarea a.2023 trebuie să menționăm că, s-ar părea, asigurării securității informaționale i se acordă destulă atenție. Însă, în opinia experților, insuficientă totuși.

«La nivelul sferei financiar-bancare, pentru problemele securității cibernetice tradițional există o atenție sporită. Anume acest sector este lider în sfera dată, - crede Valeriu Cernei, expert în auditul securității sistemelor informaționale, administratorul companiei de profil BSD Management. – La fel, mai mult ori mai puțin este menținut nivelul corespunzător în departamentele de forță și organele de securitate a statului. Dar în departamentele civile și în sectorul corporativ situația este departe de a fi normală. La întreprindere sau organizație un administrator mediu de sistem este ghidat de principiul «trebuie să funcționeze». Iar problemele de securitate ciberneticlă se bucură doar de prioritatea nr.3 ».

«Să privim adevărul în față – în țara noastră, fie în sectorul public sau corporativ al economiei, gradul de cunoaștere a problemelor securității cibernetice de către majoritatea conducătorilor se reduce la înțelegerea «parolele trebuie să fie complicate», - continuă expertul. – Și ei născocesc aceste parole complicate, și își impun subalternii să le născocească. Uneori, și unii și alții uită aceste parole, dar asta nu le încurcă să susțină trufaș, că în «oficiul lor», chipurile, asigurarea securității computerelor și a informației «este în plină ordine». Dar de fapt situația creată nu este problema administratorilor IT sau a conducătorilor de întreprinderi. Este problema statului. În țară lipsesc programele complexe de informare și instruire, iar pentru securitate bugetele se alocă conform principiului restant. Este o abordare greșită și nocivă ».

Toată lumea cunoaște că hackerii ideologici și activiștii economiei digitale tenebre îmbunătățesc în mod constant metodele de hacking și de influențare a sistemelor informaționale. Ei muncesc nu pentru o perspectivă îndepărtată, da pentru flux. Zilnic, în comunicațiile informaționale globale se desfășoară adevărate bătălii. Însă de cele mai multe ori majoritatea oamenilor află despre ele după ce le-au fost sparte propriile rețele.

Au scris pe foaie, dar au uitat de cotloane

Și doar, s-ar părea, încă în a. 2011 a fost adoptată Legea RM nr.133/211 «Despre protecția datelor cu caracter personal», parcă se îndeplinește și Hotărîrea Guvernului nr.201/2017 «Despre aprobarea cerințelor minime obligatorii privind securitatea cibernetică». În perioada august, 2021- februarie, 2023 în guvern a existat chiar și un vicepremier «special» pentru digitalizare. Da în primăvara lui 2023 parlamentul a adoptat Legea nr.48 «Privind securitatea cibernetică» (drept că aceasta va intra în vigoare doar din 1 ianuarie, 2025 ).

«Da, executorilor «li s-a ordonat de sus» să asigure securitatea cibernetică, - cugetă profesorul Serghei Ohrimenco, doctor habilitat, șeful laboratorului securitate informațională de la Academia de Studii Economice din Moldova. – A fost construită o verticală funcțională și chiar oferite niște metodici, protocoale și tehnologii. Dar a rămas problema relațiilor orizontale. În teritoriu, angajații nu întotdeauna cunosc și înțeleg cum să utilizeze corect acest instrumentar, baza metodică și legislativă.

Într-adevăr, cetățenii deseori se confruntă cu situații, care ilustrează funcționarea instabilă a sistemelor de servicii digitale, sau care creează o amenințare directă la securitatea datelor personale ale lor. Pentru o programare prealabilă de perfectare a actelor adesea ”programații în prealabil” fac o coadă aparte. Specialistul poate cere procuri inexistente demult. În raioane există o înțelegere slabă a lucrului cu documentele care nu fac parte din lista sarcinilor zilnice. Încep apelurile consecutive la Chișinău, pentru concretizări la tovarășii mai mari și… cunoscuți, - «cum e corect să facem».

După implementarea prevederilor legii privind protecția datelor personale, angajații departamentelor publice s-au confruntat cu problema accesării rapide a bazelor de date ale cetățenilor pentru a obține informația necesară în cadrul activității de serviciu. În același timp, companiile de comunicații nu au astfel de probleme. La fel, ca și în cazul distribuției necontrolate a datelor.

În special, un număr semnificativ de cartele SIM telefonice, comercializate de operatorii de telefonie mobilă din Moldova, reprezintă un „second hand”. Cineva din varii motive a renunțat la un număr sau l-a pierdut, și peste un timp operatorul emite o nouă cartelă SIM, pe care o comercializează. Cetățeanul nevinovat, care a cumpărat-o, descoperă cu uimire în telefonul său accesul liber la profiluri ce nu-i aparțin pe rețelele de socializare. Aceste profiluri aparțin fostului proprietar al cartelei SIM. Iar alt cetățean începe să tot fie apelat de funcționarii politicoși ai organizațiilor de microcreditare, cu care fostul proprietar al cartelei nu s-a răsplătit. Ei pot telefona ani în șir! Și explicațiile cetățeanului, că el nu știe nimic despre niște împrumuturi și nu deține profiluri pe rețelele de socializare, de pe care telefonul lui este bombardat, nu au însemnătate.

Operatorii de telefonie mobilă spun că nu pot curăța cartelele SIM de legăturile fostului proprietar. Și nici nu intenționează să informeze organizațiile de creditare despre comercializarea repetată a numerelor de telefon, care figurează în baza de date a rău-platnicilor. Dar ce este aceasta, dacă nu o amenințare pentru securitatea cetățenilor RM? Are loc încălcarea sistematică a legislației în domeniul protecției informației și a datelor personale, însă nimeni nu răspunde pentru acesta.

Personalul decide totul

«Prevederile legislației în vigoare nu-s îndeplinite în măsură deplină, - confirmă Valeriu Cernei, - din două motive: deficitul personalului calificat și lipsa unui sistem de control eficient.

În Moldova există un deficit de sute de specialiști în domeniul securității informaționale. S-ar părea, universitățile noastre pregătesc un număr suficient de specialiști IT, dar o mare parte dintre ei pleacă din Cyber Security și preferă să fie dezvoltatori, căci programarea aduce mult mai mulți bani. Mai ales la începuturile carierei. Exact la fel, specialiștii tineri ”fug” din sectorul public în cel corporativ. Cauza – salariile mici. Plus la asta, universitățile noastre nu întotdeauna perfectează în timp util programele de studii. Explicații avem multe, dar rezultatul este unul negativ», - a subliniat Valeriu Cernei.

«Într-adevăr, universitățile nu întotdeauna țin pasul metodic cu dinamica rapidă a spațiului cibernetic modern, - adaugă Serghei Ohrimenco. – dar asta nu e tot. Un specialist calificat cu studii superioare poate lesne învăța ceva nou în procesul muncii. Dar la specialitățile IT se observă tendința predominării studenților cu un nivel redus de cunoștințe matematice. Asta ține de lacunele din programele de studii ale școlilor medii și de particularitățile admiterii studenților la universități. Profesorii din școala superioară deseori trebuie să explice actualilor studenți lucruri elementare».

Cealaltă față a medaliei – posibilitatea pe care o au cei mai pregătiți tineri de a studia peste hotare. «Nimic rău, însă de facto Moldova pierde creierii cei mai buni. Iar dacă cineva dintre ei revine totuși acasă, costul acestui specialist este semnificativ mai mare. Nu orice întreprindere, nemaivorbind de instituțiile publice, își poate permite aceste costuri», - crede Serghei Ohrimenco.

Unde mai pui, că așa și nu a fost rezolvată problema controlului eficient asupra respectării prevederilor legale privind protecția informației , a adăugat expertul.

Agenții cibernetici intră în acțiune

Anume în această direcție anul trecut a fost ca niciodată bogat în evoluții pozitive. După adoptarea în martie a Legii «Privind securitatea cibernetică» (nr. 48/2023) în cel mai scurt timp a fost pregătită propunerea de a forma, la Ministerul dezvoltării economice și digitalizării, Agenția pentru securitate cibernetică. La 21 decembrie, 2023 guvernul a aprobat această inițiativă. Agenția urmează să fie organizată și să-și înceapă activitatea la 1 ianuarie, 2025 .

Conform regulamentului ei de organizare și funcționare, sarcina structurii noi va fi «realizarea politicii de stat în domeniul securității cibernetice, pentru a asigura un nivel general ridicat de securitate pentru rețelele și sistemele informatice ale furnizorilor de servicii care afectează funcționarea societății și a statului ».

Pentru a realiza sarcinile puse, Agenția va îndeplini următoarele funcții:

- identificarea și contabilizarea evidența furnizorilor de servicii;

- supravegherea și controlul public asupra respectării prevederilor legislației în vigoare;

- cooperarea națională și internațională și schimbul de informații privind securitatea cibernetică;

- crearea unui punct național unic de contact pentru problemele securității cibernetice;

- formarea unui grup național de reacționare la incidentele din spațiul cibernetic;

- îndrumarea și reglementarea metodologică; - efectuarea cercetării și dezvoltării științifice.

Toate documentele privind noua Agenție pentru securitate cibernetică, elaborate la moment, pot fi găsite pe site-ul Cancelariei de Stat (https://cancelaria.gov.md/sites/default/files/document/attachments/nu-856-mded-2023.pdf).

«Este o inițiativă foarte corectă și oportună, - crede Valeriu Cernei. – Despre necesitatea unei abordări complexe a implementării securității informaționale la nivelul statului , inclusiv formarea unui organism similar, eu și alți experți am vorbit în cadrul conferințelor de profil încă șapte-opt ani în urmă. Dar trebuie să conștientizăm clar, că în anii de independență noi am învățat să elaborăm legi și politici minunate, dar ar trebui să știm și a oferi și instrumentele de utilizare a lor, dezvoltate așa, ca tot ce prevăd legile și politicile să mai și lucreze.

«Sper că de această dată totul va fi organizat corect și va funcționa în cadrul sistemului unic de securitate cibernetică, sprijinit de stat, - a menționat profesorul Serghei Ohrimenco. – Agenția pentru securitate cibernetică are menirea să devină o instituție metodică și de control. Angajații ei vor elabora și implementa metodici noi și vor controla aplicarea lor corectă și organică de către specialiștii din teritoriu. O funcție aparte a ei va fi unirea eforturilor tuturor departamentelor, care au subdiviziuni proprii de securitate cibernetică.

Economia securității cibernetice

Chiar și la o privire superficială, nu trezește îndoieli necesitatea instituirii unui sistem eficient de securitate a spațiului cibernetic. Este clară și necesitatea obiectivă a unui control public asupra proceselor din această ramură. Dar este la fel de clar, că toate aceste procese costă, și costă scump. De aceea, pentru obiectivitate, trebuie să înțelegem care este ”cifra de afaceri” în domeniul asigurării securității cibernetice.

Ar fi trei grupuri de participanți cointeresați:

- cetățenii - consumatori de diverse servicii IT ;

- statul ca instituție care organizează și controlează procesele din teritoriul controlat de el;

- furnizorii de servicii și investitorii care activează în domeniul asigurării securității cibernetice.

Ultimii au interesul de a obține profit, a se dezvolta în cadrul proiectelor de parteneriat public-privat, și în mare măsură – a-și internaționaliza activitatea.

Cetățenii simpli vor obține servicii IT mai perfecte și într-un număr tot mai mare al sferelor de aplicare. Este vorba despre sănătate, transport, servicii comunale și sociale, asigurarea securității profilurilor și rețelelor personale, etc. În plus, domeniul IT are nevoie de tot mai mulți specialiști. Deci, dezvoltarea multilaterală a acestei ramuri va oferi cetățenilor noi locuri de muncă. Astfel perfecționarea Cyber Security va influența direct creșterea bunăstării cetățenilor.

Iar dacă vorbim despre stat în general, dezvoltarea acestui sector face prestarea de servicii către populație mai productivă, întărește potențialul activității interdepartamentale, optimizează costurile, inclusiv printr-un management mai eficient al personalului implicat în prestarea serviciilor. Resursele economisite vor fi redirecționate spre alte direcții importante.

Iar dezvoltarea sectorului securității cibernetice în general contribuie evident la dezvoltarea economiei naționale și sporirea prestigiului internațional al țării.

Semion Niculin