luni, 16 mai 2022

Inițiativă mărire salarii DNSC

După gluma Killnet de atac DDoS mă așteptam la unele ecouri în societatea noastră. Spre exemplu, pentru că atacul DDoS se respinge cel mai bine de către ISP, m-aș fi așteptat ca marile companii să se laude cu viteza lor de reacție. Liniște, tot STS apare a fi cel mai grijuliu cu utilizatorii săi.

Însă Killnet și alte atacuri par să fi produs 𝐨 𝐢𝐧𝐢𝐭̦𝐢𝐚𝐭𝐢𝐯𝐚̆ 𝐥𝐞𝐠𝐢𝐬𝐥𝐚𝐭𝐢𝐯𝐚̆ 𝐝𝐞 𝐦𝐚̆𝐫𝐢𝐫𝐞 𝐚 𝐬𝐚𝐥𝐚𝐫𝐢𝐢𝐥𝐨𝐫 𝐃𝐍𝐒𝐂. (link în primul comentariu). 

Sunt multe de spus dar, mai întâi, să dăm cititorului cifrele în Lei pe care și le dorește:

👉𝑀𝑎𝑛𝑎𝑔𝑒𝑟 𝑠𝑢𝑝𝑒𝑟𝑖𝑜𝑟 𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑎𝑡𝑒 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐𝑎̆: 15.975 𝑏𝑟𝑢𝑡 + 𝑠𝑝𝑜𝑟𝑢𝑟𝑖

👉𝐶𝑜𝑜𝑟𝑑𝑜𝑛𝑎𝑡𝑜𝑟 𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑎𝑡𝑒 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐𝑎̆: 13.705 𝑏𝑟𝑢𝑡 + 𝑠𝑝𝑜𝑟𝑢𝑟𝑖

👉𝐸𝑥𝑝𝑒𝑟𝑡 𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑎𝑡𝑒 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐𝑎̆: 12.500 𝑏𝑟𝑢𝑡 + 𝑣𝑒𝑐ℎ𝑖𝑚𝑒 + 𝑠𝑝𝑜𝑟𝑢𝑟𝑖

👉𝐴𝑠𝑖𝑠𝑡𝑒𝑛𝑡 𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑎𝑡𝑒 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐𝑎̆ (𝑠𝑡𝑢𝑑𝑖𝑖 𝑚𝑒𝑑𝑖𝑖): 4.372 + 𝑣𝑒𝑐ℎ𝑖𝑚𝑒 + 𝑠𝑝𝑜𝑟𝑢𝑟𝑖

Nu cred că 2000 euro net atinge piața privată pentru șeful echipei de securitate cibernetică al unei corporații. Nu știu dacă suma este optimă sau nu, există multe alte variabile personale pentru cel care o acceptă. Dorința de a servi patria, existența altor surse de venit compatibile (precum pensia), valoarea de etapă în construcția CV-ului.

Știu însă că subiectul are multe fațete ce nu pot fi ignorate.

Expunerea de motive, care nu are o valoare legală de aplicare directă, îi descrie ca persoane ...

„𝑐𝑢 𝑜 𝑖̂𝑛𝑡̧𝑒𝑙𝑒𝑔𝑒𝑟𝑒 𝑎 𝑟𝑒𝑔𝑢𝑙𝑎𝑚𝑒𝑛𝑡𝑒𝑙𝑜𝑟 𝑠̧𝑖 𝑠𝑡𝑎𝑛𝑑𝑎𝑟𝑑𝑒𝑙𝑜𝑟 𝑖𝑛𝑡𝑒𝑟𝑛𝑎𝑡̧𝑖𝑜𝑛𝑎𝑙𝑒 𝑎𝑝𝑙𝑖𝑐𝑎𝑏𝑖𝑙𝑒, 𝑎 𝑎𝑟ℎ𝑖𝑡𝑒𝑐𝑡𝑢𝑟𝑖𝑖 𝐼𝑇 𝑠̧𝑖 𝑑𝑒 𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑎𝑡𝑒, 𝑎 𝑑𝑎𝑡𝑒𝑙𝑜𝑟, 𝑎 𝑐𝑟𝑖𝑝𝑡𝑜𝑔𝑟𝑎𝑓𝑖𝑒𝑖, 𝑎 𝑟𝑒𝑡̧𝑒𝑙𝑒𝑙𝑜𝑟 𝑑𝑒 𝑡𝑒𝑙𝑒𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑡̧𝑖𝑖, 𝑎 𝑝𝑟𝑖𝑛𝑐𝑖𝑝𝑖𝑖𝑙𝑜𝑟 𝑑𝑒

𝑐𝑜𝑑𝑖𝑓𝑖𝑐𝑎𝑟𝑒 𝑠𝑒𝑐𝑢𝑟𝑖𝑧𝑎𝑡𝑎̆ 𝑠̧𝑖 𝑎 𝑠𝑖𝑠𝑡𝑒𝑚𝑒𝑙𝑜𝑟 𝑑𝑒 𝑜𝑝𝑒𝑟𝑎𝑟𝑒, 𝑝𝑟𝑒𝑐𝑢𝑚 𝑠̧𝑖 𝑐𝑜𝑚𝑝𝑒𝑡𝑒𝑛𝑡̧𝑒 𝑖̂𝑛 𝑢𝑡𝑖𝑙𝑖𝑧𝑎𝑟𝑒𝑎 𝑑𝑒 𝑛𝑜𝑖 𝑡𝑒ℎ𝑛𝑜𝑙𝑜𝑔𝑖𝑖 𝑑𝑖𝑔𝑖𝑡𝑎𝑙𝑒, 𝑐𝑢𝑛𝑜𝑎𝑠̧𝑡𝑒𝑟𝑒𝑎 𝑙𝑎 𝑢𝑛 𝑛𝑖𝑣𝑒𝑙 𝑟𝑖𝑑𝑖𝑐𝑎𝑡 𝑎 𝑙𝑖𝑚𝑏𝑎𝑗𝑒𝑙𝑜𝑟 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑟𝑒 𝑠̧𝑖 𝑓𝑎𝑚𝑖𝑙𝑖𝑎𝑟𝑖𝑧𝑎𝑟𝑒𝑎 𝑐𝑢 𝑚𝑒𝑡𝑜𝑑𝑒𝑙𝑒 𝑐𝑜𝑚𝑢𝑛𝑒 𝑑𝑒 𝑒𝑥𝑝𝑙𝑜𝑎𝑡𝑎𝑟𝑒 𝑎 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑡𝑎̆𝑡̧𝑖𝑙𝑜𝑟 𝑠̧𝑖 𝑡𝑒ℎ𝑛𝑖𝑐𝑖𝑙𝑒 𝑑𝑒 𝑎𝑡𝑒𝑛𝑢𝑎𝑟𝑒/𝑙𝑖𝑚𝑖𝑡𝑎𝑟𝑒 𝑎 𝑟𝑖𝑠𝑐𝑢𝑟𝑖𝑙𝑜𝑟 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐𝑒 𝑐𝑢𝑛𝑜𝑠̧𝑡𝑖𝑛𝑡̧𝑒 𝑝𝑟𝑖𝑣𝑖𝑛𝑑 𝑟𝑒𝑔𝑙𝑒𝑚𝑒𝑛𝑡𝑎̆𝑟𝑖𝑙𝑒, 𝑝𝑜𝑙𝑖𝑡𝑖𝑐𝑖𝑙𝑒 𝑠̧𝑖 𝑛𝑜𝑟𝑚𝑒𝑙𝑒 𝑑𝑒 𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑎𝑡𝑒 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐𝑎̆; 𝑐𝑢𝑛𝑜𝑠̧𝑡𝑖𝑛𝑡̧𝑒 𝑗𝑢𝑟𝑖𝑑𝑖𝑐𝑒 𝑠̧𝑖 𝑒𝑐𝑜𝑛𝑜𝑚𝑖𝑐𝑒 𝑝𝑟𝑖𝑣𝑖𝑛𝑑 𝑖𝑚𝑝𝑎𝑐𝑡𝑢𝑙 𝑟𝑖𝑠𝑐𝑢𝑟𝑖𝑙𝑜𝑟, 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑙𝑜𝑟, 𝑐𝑟𝑖𝑧𝑒𝑙𝑜𝑟 𝑠̧𝑖 𝑎𝑡𝑎𝑐𝑢𝑟𝑖𝑙𝑜𝑟 𝑐𝑖𝑏𝑒𝑟𝑛𝑒𝑡𝑖𝑐𝑒.”

Cine sunt aceștia și ce o să facă ei ⁉️

Gama de cunoștințe tehnice necesare este ofertantă. Vor asigura deci intervenții tehnice, hands-on, în cazul unui atac ❓

Aș zice că nu, DNSC se consideră autoritate de reglementare și nu prestator de servicii.

Vor scrie norme și caiete de sarcini, vor evalua proiecte în domeniul cybersecurity ❓ 

În cea mai mare parte da. Și aici încep problemele ....

Posturile sunt de funcționari publici, nu personal contractual. (Art.370 lit.f din Codul Administrativ). Ar trebui să li se aplice Legea Unică a Salarizării (L153/2017). În expunerea de motive suntem informați că DNSC nu s-a înțeles cu Min Muncii în a găsi funcții echivalente și, prin urmare, este nevoie de această lege dedicată.

Dar ... și la ADR, chiar MCID, există funcționari publici care scriu norme și caiete de sarcini, care evaluează proiecte în domeniul cybersecurity. 

Oare cum au fost încadrați aceștia?

Oare cum au fost încadrați angajații CERT-RO care erau și ei cu sarcini aferente NIS ?

Să zicem că abordarea corectă, bazată pe principiul aceluiași salar pentru aceeași muncă, este prea scumpă. Să zicem că fișa financiară ce va fi calculată de Guvern se va limita doar la organigrama DNSC.

Însă anul viitor directiva NIS2 va include și parte din administrația publică. Vor exista obligații de asigurare a securității cibernetice și mii de posturi de ocupat. Toți aceștia vor ajunge pe aceleași salarii, există multe precedente după 2010 de echivalare în justiție la cel mai ridicat salariu dintr-o instituție publică. 

⚠️Nu ar fi rău, dacă oamenii ar fi competenți.

Însă, pe termen lung, nu pot fi competenți ‼️

Toate acele calificări și abilități sunt uzual dovedite cu certificate valabile un număr de ani. Tehnologia evoluează, certificatul expiră, dar funcționarul public nu poate fi obligat să dea periodic examen.

Cei care vor fi angajați acum vor rămâne competitivi doar în baza celor 2 cursuri anuale la care au dreptul. Adică, la noroc, unii vor rămâne buni (dacă au fost) alții se vor culca pe o ureche.

Nu cred că este oportună finanțarea acestui scenariu cu unele dintre cele mai mare salarii din administrația publică. Aș dori în schimb modificarea Codului Administrativ astfel încât toată activitatea IT să fie acoperibilă cu personal contractual iar, similar cu legislația CNIF, contractele acestuia să fie limitate temporal și reînnoite doar cu verificarea și evaluarea activității. 

Nu putem plăti ca în privat munca (și competența) ca la stat ⛔️

Legea este asumată direct de dep PNL Pavel Popescu, dep PNL George Tuță (despre care știm că au o relevantă istorie atașată acestui subiect) și de dep PSD Alfred Simonis (despre care știm că este cool). Apoi urmează un grup masiv de parlamantari PNL, PSD, UDMR și Minorități.



Link proiect lege: http://www.cdep.ro/pls/proiecte/upl_pck2015.proiect?cam=2...

marți, 10 mai 2022

Draft lege anti Kaspersky

If it walks like a duck, swims like a duck, and quacks like a duck, it’s a duck ! Sau, altfel spus, dacă fișierul este pe site-ul MCID, arată a proiect de lege, atunci asta este, chiar dacă nu este linkuit de nicio pagină din site.

Ce-i drept, analiza textului îmi sugerează un autor epigon stingher și entuziast al legii 5G.

Pe scurt, sub titlul „Lege privind protecţia sistemelor informatice ale autorităţilor şi instituţiilor publice în contextul invaziei declanşate de Federaţia Rusă împotriva Ucrainei” avem un text de doar 4 articole care dorește să impună „interzicerea achiziţionării şi utilizării de către autorităţile şi instituţiile publice, de la nivel central şi local, a produselor şi serviciilor” (din categoria produse de securitate) „provenind din Federaţia Rusă sau aflată sub controlul direct sau indirect al unei persoane fizice sau juridice din Federaţia Rusă.”

MCID va produce o „listă nominală privind produsele, serviciile şi entităţile producătoare şi furnizoare interzise.”

Până aici aș cârcoti apropo de orientarea și pe produse care impune notificarea CE și minim 6 luni de evaluare prealabilă.

Însă Art.2 este delicios în integralitatea sa:

„Interdicţia prevăzută la art. 1 produce efecte pe întreaga durată a invaziei declanşată de Federaţia Rusă împotriva Ucrainei, până la data semnării unui tratat de pace sau a unui acord permanent de armistiţiu care să consfinţească integritatea teritorială a Ucrainei, reparaţii pentru prejudiciile suferite de ţara invadată, precum şi cooperarea Federaţiei Ruse cu organismele naţionale şi internaţionale competente pentru pedepsirea persoanelor care se fac vinovate de crime de război sau crime împotriva umanităţii.”

Presupun că cei de la MAE vor fi fost extaziați de cât de sus este ridicată ștacheta politicii internaționale Românești.

Apoi vine un articol tip ghiveci cu rețetă după ureche:

„în aplicarea prevederilor art. 1, alin. (2), Ministerul Cercetării, Inovării şi Digitalizării, cu sprijinul Autorităţii pentru Digitalizarea României, a Directoratului Naţional de Securitate Cibernetică, a Serviciul Român de Informaţii şi a Serviciul de Telecomunicaţii Speciale, identifică produsele şi serviciile prevăzute la art. 1, alin. (1) şi sprijină autorităţile şi instituţiile publice centrale şi locale în vederea deconectării şi dezinstalării acestora din reţelele şi sistemele informatice.”

Presimt că SRI, DNSC și mai ales STS o să fie foarte supărați trezindu-se târâți în această poveste, inclusiv ca poteră care dezinstalează produsele Kaspersky din instituțiile publice.

Spun Kaspersky pentru că autorul ne arată mândru în expunerea de motive că s-a documentat intens pe internet și-și croșetează textul în jurul acestui brand. Păcat că nu realizează că nu poate opri contracte de subscripție în curs și achiziționa alte produse, adică dublă achiziție pentru același scop, dar să spună senin că nu există un impact bugetar al acestui proiect.

Și, dacă tot cârcotim, normele de tehnică legislativă cer ca durata de aplicare a unei legi să fie clar determinată (oare cine decide că generoasele condiții s-au îndeplinit?) și, nu în ultimul rând, orice lege este cu caracter general (este despre pandemii, nu despre COVID-19), că astăzi sunt rușii, mâne chinezii – legea ar trebui să fie aceeași și aplicată prin decizii executive de recunoaștere a depășirii unui anume nivel de pericol.


Link document: https://www.research.gov.ro/.../lege-privind-protectia...