Legea privind Securitatea Cibernetică a României – observații punctuale

Premisă

Definițiile folosite în cadrul Legii, precum și prevederile acesteia, ar trebui puse în acord cel puțin cu legislația europeană existentă (corelarea cu legislația națională este subînțeleasă), în special cu Directiva NIS aprobată în decembrie 2015 și care are termen de implementare 20 de luni de la data aprobării.

Comentarii generale

Pe lîngă comunicarea/partajarea informațiilor privind incidentele de securitate scopul care ar trebui evidențiat de lege ar trebui să fie „prevenirea„.

În lipsa armonizării prevederilor propunerii legislative cu cele ale directivei NIS, în viitorul apropiat se va ajunge la actualizări legislative consistente.

În Expunerea de motive se precizează că propunerea nu va avea impact bugetar. În fapt va exista impact bugetar: toate organizatiile intrate sub incidenta legii vor trebui să isi achizitioneze solutii de protectie in functie de rezultatul evaluării riscurilor sau de manifestarea unui incident la un moment dat (risk assessment, solutii de endpoint security, management vulnerabilități, SIEM, sandbox, forensic etc.)

Comentarii punctuale

Enunț propunere Observații
Art. 3 În sensul prezentei legi, termenii şi expresiile de mai jos au următoarea semnificaţie:
a)    ameninţare cibernetică – circumstanţă sau eveniment care constituie un pericol potenţial la adresa securităţii cibernetice; Definiție NIS:

„risc” înseamnă orice circumstanță sau eveniment care are un efect negativ potențial asupra securității;

Definiția din propunere nu este clară și corespunde în fapt definiției riscurilor din directiva NIS.

Introducerea termenilor „circumstanță„ și „eveniment„, termeni care nu sunt definiți, în cazul amenințării, nu este corectă.

Evenimentul care are ca rezultat întreruperea funcționării SIUI din cadrul CNAS este amenințare cibernetică?

În cadrul literaturii academice de specialitate specifică serviciilor IT, bunelor practici (ITIL – IT Infrastructure Library), cadrelor de referință (COBIT5, poate cel mai cuprinzător cadru de referință pentru guvernarea și managementul IT), standardelor (seria ISO 27001) există o distincție clară între „eveniment„ și „incident„.

Amenințarea este cu siguranță o „acțiune„ așa cum și „eveniment„ este rezultatul unor acțiuni (cu excepția evenimentelor naturale).

c)    apărare cibernetică – acţiuni desfăşurate în spaţiul cibernetic în scopul protejării, monitorizării, analizării, detectării, contracarării agresiunilor şi asigurării răspunsului oportun împotriva ameninţărilor asupra infrastructurilor cibernetice destinate apărării naţionale; Apărarea nu poate fi limitată doar la „acțiuni„ ci implică și „dispozitive„, „proceduri„, „tehnici„ aplicate unui sistem informatic sau/și informațiilor procesate, stocate sau care tranzitează sistemul informatic.

Definiția, în forma actuală, omite din scopul apărării, informațiile.

Ce înseamnă „monitorizare„? Ce fel de monitorizare?

Există bază legală pentru „monitorizare„?

Dacă în baza „monitorizării„, „contracararea agresiunilor„ ar implica atacarea/infectarea „centrului de comandă„ al atacatorului, ar fi legal? (avem în vedere bootnet)

e)      audit de securitate cibernetică – activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unei infrastructuri cibernetice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora. Esența auditului o constituie „independența auditorului„.

Auditul ar trebui să testeze conformitatea (controalele sunt cele pe care legea le cere) și fondul controalelor minimale/măsurilor de securitate implementate (controalele funcționează așa după cum au fost proiectate).

Art. 2 Directiva NIS:

Statele membre se asigură că autoritățile competente sunt împuternicite să solicite operatorilor de piață și administrațiilor publice:

(a)           să furnizeze informațiile necesare pentru evaluarea securității rețelelor și a sistemelor lor informatice, inclusiv documente privind politicile de securitate;

(b)          să se supună unui audit de securitate efectuat de un organism calificat independent sau de o autoritate națională și să le pună la dispoziție rezultatele acestuia.

Auditorul, în lipsa recunoașterii sale ca profesie, nu va avea răspundere civilă profesională. Nu va putea încheia polițe de asigurare de răspundere profesională dacă nu este recunoscut.

O soluție în spiritul Directivei NIS ar putea fi înființarea Corpului/Camerei Auditorilor de Sisteme Informaționale (auditul nu ar trebui limitat doar la aspectele ce țin de securitatea tehnică. Este posibil ca autoritățile să fie interesate la un moment dat dacă bugetul alocat pentru asigurarea securității a fost eficient folosit), pe modelul deja existent în zona financiar-contabilă (CAFR).

În acest mod ar fi recunoscută oficial profesia. Pentru a putea fi membri și profesa în România, doritorii ar trebui să fi promovat un examen internațional care le atestă competențele în materie de audit și un examen local care să le ateste cunoaștere legislației aplicabilă diferitelor spețe din domeniul IT și cele conexe IT-ului.

g)      cerinţe minime de securitate cibernetică – condiţii de natură organizatorică, tehnică sau procedurală,destinate implementării politicilor de securitate; Politica de securitate nu este tot o cerință minimă?

Minimal, nu ar trebui ca managementul să aibă asumate politici de securitate?

Ar fi mult mai simplu și mai ușor de pus în practică dacă în loc de cerințe „minime„ s-ar agrea un standard/cadru de referință/bune practici. Acela ar deveni referențialul în materie de securitate pentru toate organizațiile care intră sub incidența legii (de exemplu COBIT 5 for security, tradus și în limba română). Ar fi și referențial în cazul auditului.

h)      date de jurnalizare – date generate în mod automat de componente software şi hardware care descriu istoricul acţiunilor ce au loc la nivelul acestora; Din punct de vedere tehnic, pentru a putea fi gestionată cantitatea de jurnale, cei vizați vor trebui să achiziționeze și implementeze soluții de tip SIEM și să fie definite tipurile de jurnale ce trebuie activate, ce date trebuie colectate, de la ce tipuri de echipamente și perioada de retenție a jurnalelor.

În practică se poate întîmpla să descoperi un incident la momentul t0, iar în urma analizei să rezulte că de fapt incidentul a apărut la momentul t-10.

l)        furnizor de servicii de securitate cibernetică – orice persoană juridică ce realizează, în vederea protejării infrastructurilor cibernetice, cel puţin una dintre următoarele activităţi: implementare de politici, proceduri şi măsuri, auditare, evaluare, testare a măsurilor implementate, management al incidentelor de securitate; Consultantul persoană juridică implicat în dezvoltarea de politici, proceduri dar pe care nu le și implementează, va fi furnizor de servicii?

În situația în care angajatul unui astfel de furnizor va fi și auditor cum se rezolvă incompatibilitatea?

Altfel spus: organizația poate fi furnizor de servicii iar unul dintre angajați înregistrat ca auditor la MCSI?

A se vedea prevederea NIS în legătură cu auditul.

m)    incident de securitate cibernetică – eveniment survenit în spaţiul cibernetic ale cărui consecinţe afectează securitatea cibernetică; Definiția NIS:

„incident” înseamnă orice circumstanță sau eveniment care are un efect negativ real asupra securității;

 

p)      politici de securitate cibernetică – principii şi reguli generale necesar a fi îndeplinite pentru asigurarea securităţii infrastructurilor cibernetice; Politica este un control managerial prin care se stabilesc obiective și se alocă responsabilități.

Este responsabilitatea directă a managementului. Orice audit de securitate ar trebui să pornească „top-down„:

politici-proceduri/standarde/principii-controale tehnice.

Din păcate la noi „politica„ înseamnă o înșiruire de cuvinte bombastice preluate cu copy-paste

(eventual translate.google.com)

q)      managementul incidentului de securitate cibernetică – ansamblul proceselor ce prevăd detectarea, raportarea, analiza şi răspunsul la incidentul de securitate cibernetică; Managementul incidentului este un proces în sine și conține fazele/etapele menționate în definiție ca „procese„ (A se vedea de ex ISO 27035)
r)       risc de securitate în spaţiul cibernetic – probabilitatea ca o ameninţare să se materializeze, exploatând o vulnerabilitate specifică infrastructurii cibernetice; A se vedea definiția NIS

„risc” înseamnă orice circumstanță sau eveniment care are un efect negativ potențial asupra securității;

s)       securitate cibernetică – stare de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, precum şi rezilienţa şi stabilitatea resurselor şi serviciilor publice sau private din spaţiul cibernetic; Definiția din Directiva NIS:

(3)                    „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;

v)      vulnerabilitate în spaţiul cibernetic – slăbiciune în proiectarea şi implementarea infrastructurilor cibernetice sau a măsurilor de securitate aferente, care poate fi exploatată de către o ameninţare. Vulnerabilitățile există și în lipsa „slăbiciunilor în proiectare și implementare„

Implicit se poate prezuma că orice aplicație conține și vulnerabilități care la momentul lansării în piață a respectivei aplicații nu sunt cunoscute.

Cîte din sistemele dezvoltate în ultimii ani pentru sectorul public au avut parte de „security code review„ înainte de lansarea în producție?

Definiția ar trebui tradusă corect și complet după NIST 800-100

Art. 4 – Principiile care stau la baza prezentei legi sunt:
a)      asigurarea protejării, în spaţiul cibernetic, a dreptului la viaţă intimă, familială şi privată al cetăţenilor, în special a datelor cu caracter personal gestionate de către deţinătorii de infrastructuri cibernetice; Articolul ar trebui reformulat astfel încît enunțurile să corespundă unor principii.

A se vedea:

–          OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security

–          Generally Accepted System Security Principles

–          NIST Special Publication 800-14 – Generally Accepted Principles and Practices for Securing Information Technology Systems

b)      asigurarea securităţii cibernetice prin responsabilizarea deţinătorilor de infrastructuri cibernetice, astfel încât aceştia să evalueze capabilităţile proprii de securitate cibernetică şi nivelul la care se situează;
c)      creşterea capacităţii de reacţie la incidentele cibernetice şi diminuarea impactului acestora asupra resurselor şi serviciilor infrastructurilor cibernetice prin impunerea de cerinţe minime de securitate cibernetică şi asigurarea rezilienţei infrastructurilor cibernetice;
d)     asigurarea nivelului de încredere necesar pentru dezvoltarea societăţii informaţionale şi a mediului de afaceri în spaţiul cibernetic şi asigurarea accesului egal şi nediscriminatoriu al persoanelor la informaţii şi servicii publice oferite prin intermediul infrastructurilor cibernetice;
e)      asigurarea unei guvernanţe participative, democratice şi eficiente a spaţiului cibernetic prin cooperarea autorităţilor competente cu sectorul privat;
f)       cooperarea la nivel naţional, între instituţiile cu competenţe în materie şi internaţional, cu persoane juridice de drept public şi privat, implicate în asigurarea securităţii cibernetice.
Art. 14 – (1) În procesul identificării infrastructurilor cibernetice de interes naţional, deţinătorii de infrastructuri cibernetice au obligaţia de a furniza autorităţilor de la art. 9 datele şi informaţiile necesare pentru întocmirea Catalogului ICIN

(…)(6) Informaţiile necesare pentru întocmirea Catalogului ICIN trebuie să cuprindă următoarele:

a)    descrierea generală a infrastructurilor cibernetice de interes naţional;

b)   rolul şi funcţionalităţile asigurate de infrastructurile cibernetice de interes naţional;

c)    arhitectura infrastructurilor cibernetice de interes naţional;

d)   tipuri şi număr de utilizatori;

e)    fluxuri informaţionale susţinute, precum şi dinamica datelor stocate/prelucrate, capacitatea de stocare/prelucrare.

Catalogul ICIN va deveni călcîiul lui Ahile/„single point of failure„ din cauza informațiilor pe care le conține, informații care ar trebui, în cea mai simplistă abordare etichetate ca fiind „confidențiale la nivel de organizație„.
Art. 15 – Pentru derularea procesului de identificare a infrastructurilor cibernetice de interes naţional, deţinătorii de infrastructuri cibernetice, sub coordonarea autorităţilor competente, vor evalua măsura în care infrastructurile cibernetice proprii se încadrează în cel puţin una dintre următoarele categorii de potenţiale infrastructuri cibernetice de interes naţional: Vor exista infrastructuri care nu pot fi încadrate într-o singură categorie.

De exemplu, furnizarea apei potabile este „un serviciu public„. În același timp pe lîngă categoria „infrastructuri cibernetice destinate susţinerii serviciilor publice„ va exista în multe cazuri și categoria „infrastructuri cibernetice de tip Sistem de Control Industrial„.

Un operator de televiziune are achiziționat de la un furnizor de servicii sistemul de plată electronică a facturilor, aplicație integrată în situl web. Cum se va face încadrarea în acest caz?

Art. 16 – (1) Evaluarea potenţialului impact asupra securităţii infrastructurilor cibernetice prin compromiterea confidenţialităţii, integrităţii, disponibilităţii, autenticităţii sau a non-repudierii datelor, resurselor şi serviciilor se realizează pe baza următoarelor criterii: În fapt este vorba despre „impactul unui incident de securitate„.

Articolul nu definește un „grad/prag de semnificație„ al impactului:

–          care este numărul de utilizatori care își „pierd încrederea în serviciile oferite„ astfel încît să se considere că a fost afectată securitatea?

–          Care este prejudiciul minim material sau financiar acceptat?

Art. 20 – (1) Deţinătorii de infrastructuri cibernetice prevăzuți la art. 2 lit. a) – c) au următoarele obligaţii: Nu există sancțiuni pentru nerespectarea obligațiilor.
Art. 21 – (1) Furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a-şi notifica utilizatorii și abonații de îndată ce au fost sesizaţi de autoritatea competentă, dar nu mai târziu de 24 de ore din momentul în care au fost sesizaţi de autorităţile competente potrivit prezentei legi, cu privire la situaţiile în care sistemele informatice utilizate de aceştia au fost implicate în atacuri cibernetice şi de a recomanda măsurile necesare în vederea restabilirii condiţiilor normale de funcţionare. De aici rezultă că autoritățile competente au cunoștință că sistemul a fost compromis înaintea deținătorului sistemului!
Art. 22 -1) Furnizorii de servicii de securitate cibernetică ce desfăşoară activităţi pe teritoriul României au obligaţia să notifice autorităţile competente, deîndată dar nu mai târziu de 24 de ore, cu privire la identificarea unor ameninţări sau vulnerabilităţi critice a căror manifestare poate afecta infrastructura cibernetică a deținătorului sau a unor terți. Nu există nici o definiție a „vulnerabilității critice„.

Directiva NIS precizează:

Statele membre se asigură că administrațiile publice și operatorii de piață notifică autorității competente incidentele care au un impact semnificativ asupra securității serviciilor esențiale pe care le furnizează.

Art. 37 2) În termen de 90 zile de la publicarea prezentei legi în Monitorul Oficial al României, Partea I, Ministerul Comunicațiilor și pentru Societatea Informaţională supune aprobării Guvernului Programul naţional destinat managementului riscului în domeniul securităţii cibernetice. Directiva NIS prevede:

Strategia națională privind NIS include un plan național de cooperare în domeniul NIS care cuprinde cel puțin următoarele:

(a)                    un plan de evaluare a riscurilor pentru a identifica riscurile și a evalua impactul unor incidente potențiale;

(b)                    definirea rolurilor și a responsabilităților diferiților actori implicați în punerea în aplicare a planului;

Trebuie corelate prevederile referitoare la amenințări-vulnerabilități cu estimarea și evaluarea riscurilor. Managementul poate decide că își asumă anumite riscuri. De exemplu, în urma estimării și evaluării riscurilor se va constata că pentru reducerea sau eliminarea unui risc este nevoie de achiziția unei soluții de securitate pentru care nu există buget alocat

Concluzie

Legea instituie un ansamblu organizat de măsuri tehnice și procedurale destinate prevenirii și contracarării activităților de natură să afecteze securitatea cibernetică la nivel național.

(…)

Adoptarea acestei legi stabilește definirea unei terminologii unitare în domeniul securității cibernetice și a unui cadru armonizat de acțiune a autorităților și instituțiilor publice cu responsabilități și capabilități în domeniul securității cibernetice – Sursa: MCSI, Expunere de motive

Alte comentarii cred că sînt de prisos….

 

 

 

 

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s