Cum devii auditor cyber-security

M-am intersectat de curând cu o reclamă cu potențial de a genera reacții fals-pozitive cititorului, așa am ajuns la concluzia că ar fi utilă o recapitulare a sistemului actual de atestare profesională pentru activitatea de securitate cibernetică.

Consorții portofel electronic (eIDAS #73)

Comisia Europeană a decis finanțarea celor 4 consorții care au lucrat la conceperea arhitecturii viitorului EUDI Wallet (portofelul digital european legalizat de viitorul Regulament eIDAS2) cu, în total, 46 mil euro ca 50% contribuție din costul a 4 large-scale pilot projects.

Aceste proiecte vor livra, după minim 2 ani, soluții tehnice demonstrative pentru un număr mare de scenarii de utilizare a portofelului digital.

Viziunea este ca, până în 2030, toți cetățenii EU să aibă, dacă doresc, un astfel de portofel electronic și să-l poată folosi în aceste scenarii.

România este reprezentată de Banca Transilvania în proiectul EWC (dedicat scenariilor de călătorie) și de UEFISCDI, ICI, CertSign, Universitatea Ion Slavici din Timișoara, Politehnica din Timișoara în proiectul DC4EU. Acest proiect este orientat spre interacțiunea cetățeanului cu instituții publice.

Mai multe detalii găsiți la https://digital-strategy.ec.europa.eu/en/news/eu-digital-identity-4-projects-launched-test-eudi-wallet 

Înalții funcționari publici: inteligență, legislație, IT, limbi străine ?

 Avem rezultatele testării preliminare în concursul național pentru înalții funcționari publici. Această categorie este preponderent reprezentată de Secretarii Generali din instituțiile publice.

Acest concurs este o noutate, după finalizarea cu succes asigură capacitatea de a ocupa o astfel de poziție, însă stabilirea instituției se face printr-o altă selecție, ulterioară, în funcție de disponibilizarea posturilor.

PSCID - critică amânată

În poate ultima sa zi de ministru plin, dl. Sebastian Burduja a forțat astăzi lansarea aplicației ROeID, o componentă a proiectului PSCID, cu 2 luni înainte de termen. A adăugat mesaje despre conectarea cu PAID și anunțul cu privire la OUG înmatriculare vehicule.

Din respect pentru mandatul remarcabil al d-lui Burduja nu voi fi azi ploaia care amenință această paradă a realizărilor, urmează un intens proces politic în fața căruia mă înclin. 

Ciudățenie în HG aprobare fonduri pentru Cloudul Guvernamental

Nota de fundamentare a cheltuielilor aferente Platformei de Cloud aflată astăzi ca HG ar trebui să fie o formalitate, totuși surprinde printr-un amănunt.

Reamintesc că în construcția CPG colaborează 3 instituții: STS,SRI,ADR. Ne-am angajat să fie un cloud bazat pe două perechi de centre de date DC, fiecare având un Tier IV și un Tier III.

Tier III, IV sunt standarde DC cu privire la gradul de siguranță (risc de cutremur, incendiu, lipsă energie, șamd) de care beneficiază echipamentele ITC.

Chestionar INA

Ultima agitație mi-a amânat această postare despre ideile ce se pot desprinde din analiza răspunsurilor participanților la webinarul INA pe care l-am organizat săptămâna aceasta.

Prima întrebare a fost despre zona din care provin, apoi au fost întrebări legate de subiectele abordate.

Deși un număr de participanți nu au răspuns, sunt totuși date interesante.

Reverberațiile ulterioare mi-au sugerat că marile echipe de IT guvernamentale sunt suprasolicitate de proiectele cu miză mare financiară, PNRR, și că există extrem de puține resurse disponibile pentru DGA, fie chiar sub riscul de infringement.

Răspunsurile mi-au întărit concluzia că în administrația locală există insule de informatizare de un nivel superior celui guvernamental.

Ce urmează după TikTok ?

Primul pas, în Aprilie 2021, a fost Legea 5G care a interzis în zona infrastructurilor critice ITC tehnologia provenită din zone cu potențial de adversitate față de România.

În Martie 2022 a urmat interzicerea utilizării produselor rusești de securitate cibernetică în administrația publică. Evoluția formei textului, dintre propunerea inițială și varianta finală, sugerează un entuziasm izolat, declanșat de o știre de presă despre o achiziție a PMB, îndeajuns de intens pentru a împinge proiectul pe tot circuitul de avizare până la stadiul de aplicare, la doar 3 luni după o implementare similară în USA.

Zilele acestea am decis că TikTok poate fi periculos și nu poate fi folosit pe telefoanele administrației publice.

Toate aceste demersuri adresează potențialul de acțiune al unei potențiale entități adverse. Merită discutat în ce măsură astfel creăm a self-fulfilling prophecy.

Succesul eșecului C.E.I. (eIDAS #72)

Săptămâna trecută in proiectul PKI aferent Cărții Electronice de Identitate CEI s-a trecut la un noul nivel, cel al Curții de Apel.

Reamintesc că Trans Sped a fost inițial respinsă ca neavând experiența necesară dar a contestat succesiv atât propria respingere cât și acceptarea celorlalți competitori. CNSC i-a acordat re-evaluarea, care a fost între timp făcută de CNI și a dat .... același rezultat. Tot CNSC a respins solicitarea de re-evaluare a celorlalți competitori, așadar astăzi este în curs o contestare la CNSC a celei de a doua evaluări și o plângere la CA cu privire la ceilalți competitori.

Sper ca măcar în susținerile din fața CA cei de la CNI să simplifice argumentația, este îndeajuns să explice că nu este nevoie de experiență cu privire la infrastructură de certificate calificate întrucât viitoarele certificate calificate nu vor fi produse de PKI în discuție ci de sistemele similare ale acelor emitenți calificați către care se va îndrepta cetățeanul. Într-adevăr pentru a prezerva caracterul calificat a acestor certificate există necesități tehnice dar acestea nu sunt aferente infrastructurii PKI ci țin de cip-ul criptografic din CEI – subiect al altei proceduri de achiziție.

ECCC - baza juridică a afirmațiilor mele

Având în vedere reacția din imagine a d-lui Anton-Mugurel Rog , general de brigadă al SRI și șeful CyberInt – entitatea SRI responsabilă de cybersecurity – faptul că în cazul dumnealui contează nu numai ce spune ci și cine este, voi relua în acest articol toate afirmațiile mele cu privire la inaugurarea Centrului european de competențe cyber-security ECCC - la care a reacționat - și le voi demonstra juridic.

Voi folosi ca bază REGULAMENTUL (UE) 2021/887 din 20 mai 2021 de înființare a ECCC.

Lansare centru ECCC

Stârnit de o mare prostie spusă de Știrile ProTV în prime-time:  „Centrul are un rol uriaș - de prevenire și de intervenție rapidă în caz de atac cibernetic, oriunde s-ar întâmpla în Uniunea Europeană.” am alocat puțin timp să văd cum ne mai raportăm apropo de European Cybersecurity Competence Centre (ECCC), lansat ieri.

Evident, am vizionat înregistrarea evenimentului disponibilă pe Youtube. 

Două teste de aplicat:
1.      Cine minte spunând că este Agenție Europeană acest centru.
2.      Cine susține că este o performanță inaugurarea unui sediu provizoriu, nu la 1 lună ci după mai bine de 2 ani.

De Agenție au vorbit Prim-ministrul și purtătorul de cuvânt al guvernului, nu și dl. min. Burduja.

Toți românii au lăudat efortul locativ.

Comisarul UE și directorul centrului, n-au vorbit nici de o agenție, nici nu au lăudat sediul.

Eveniment INA - „Viitorul cadru de acces la date pentru întreprinderi și cetățeni”

    Am dat-o în bară cu moderarea evenimentului! 😉 Trebuia să dureze puțin peste o oră, a durat fix 3!

Dar ...

Din cei peste 200 de invitați conectați circa 140 erau la final încă cu noi, 150 au depăși bariera de 120 minute conectate, am livrat în total aproape 30,000 de minute.

Subiectele nu păreau deloc facile, le mulțumesc participanților pentru că au înțeles importanța lor.

Voi reveni cu o postare după ce voi corela răspunsurile colectate prin survey.

Până atunci, avem o informație care ar putea fi titlu de presă generalistă: Viitoarea platformă de interoperabilitate va fi construită pe baza building blocks puse la dispoziție de Uniunea Europeană ca open source. Mă refer la sistemul OOTS care va fi baza atât pentru obligațiile specifice europene cât și soluția tehnică, cu o ușoară variație arhitecturală, pentru schimburile de date prevăzute de Legea Interoperabilității.

Am avut 6 intervenienți, titularii de dosar de la SGG, ADR, MCID. Am avut un public interesat să-i cunoască, cu un comportament interesat și exemplar.

Institutul Național de Administrație a fost o gazdă minunată, nu ne-a deconectat, ba chiar și-au arătat disponibilitatea de a aprofunda discuțiile dacă există cerere din partea administrației publice.

Scutire mai clară pentru IT-iștii bugetari

Scriam în Decembrie că Ordinul prin care se extindea scutirea de impozit și către IT-iști din administrație poate fi folosit pentru a acorda scutirea aproape oricui, ba chiar îmi ofeream serviciile să explic cum. Din păcate MCID m-a subminat înainte să am primul client, a emis un nou Ordin în care totul este mai simplu, mai clar, nu mai este nevoie de contorsionări interne.

Viziunea STS

STS a publicat un articol, aș zice chiar editorial, în care expune pe larg viziunea instituției cu privire la infrastructurile critice ITC care deservesc societatea românească. Un text bine scris, puțin conservator ca stil, însă care poate prilejui un exercițiu bun de interpretare pentru cei care cred că nu este publicat la întâmplare.
 
Spre exemplu citez mai jos 2 paragrafe:

DNSC face angajări

Au fost deschise posturile DNSC, cele din noua organigramă, și există aspecte interesante.

1. La DNSC sarcinile de lucru vor fi date prin sisteme gen Jira
2. Vor fi plătite angajaților cursuri de specializare internaționale
3. Angajează și în provincie: Brașov, Constanța, etc.
4. Fișele de post sunt complexe și destul de pretențioase
5. Au publicat și grila salarială (baza brută este peste 10k lei)

Din păcate propunerea mea publică este evident ignorată, este obligatoriu să ai o certificare internațională doar la momentul angajării, nu și pe toată perioada de lucru. Este posibil să ruginească destul de repede.

Detalii

LE. ulterior concursurile au fost anulate prin decizie globală guvernamentală

REGES de la ITM, complicații inutile

 În marja lăudabilului trend de publicare în consultare publică a Caietelor de Sarcini, început cu cele aferente cloudului privat guvernamental, iată că astăzi putem vorbi de un proiect esențial – REGES ONLINE – care va interacționa cu toți angajatorii din România.

CS este disponibil la adresa: https://www.inspectiamuncii.ro/reges

Evident, am dat o raită în secțiunea dedicată managementului identității și am reușit să fiu multiplu surprins.

3 miniștri vs NFT

A avut loc lansarea oficială a platformei ICI de trading cu NFT-uri în prezența unor demnitari relevanți (dl Florin Spătaru – min Economiei, dl Diaconu – ss MFP, dl Burduja – min MCID,dl Vevera - Director General ICI) și am fost curios cum s-au poziționat aceștia public.

Aveți în continuare marcaje de timp pentru principalele idei, urmate apoi de câteva observații personale.

O nouă lege a semnăturii electronice

Se apropie lansarea publică a unui nou proiect de lege dedicat semnăturii electronice și cred că este necesar să știm și contextul acestuia: proces, stakeholderi, istorii, interese.

2 OUG-uri

Două proiecte ciudățele de OUG pe site la Ministerul Cercetării, Inovării și Digitalizării.

Primul conține un singur articol, însă acesta agresează limba română omițând un predicat. Îi mai lipsește și claritatea, nu știm dacă doar se instituie posibilitatea de a avea radio analogic până în 2030 sau și prelungesc fără concurs licențele deja acordate, poate chiar prelungire gratuită.

Al doilea are o stufoasă expunere de motive din care aflăm că, în realitate, atunci când tehnologia 4G este folosită în modul VoLTE/IP nu se poate accesa 112, că nu mai poți forța terminalul să treacă în 2G/3G pentru că aceste rețele sunt pe cale de dispariție, nici AML nu funcționează, așadar ...

... se schimbă forma de raportare din partea operatorului, acesta nu va mai trimite IDul stâlpului ci direct în format GIS zona acoperită de acesta, calculată în condițiile momentului.

... operatorul va pune la dispoziție o funcționalitate automată de actualizare a localizării pe parcursul apelului la 112

... operatorul va pune la dispoziție, dacă este posibil, informație de localizare obținută pe baza echipamentului terminal. Nu știam până azi să aibă operatorul mobil/VOIP dreptul să culeagă localizarea mea exactă pe baza GPS-ului telefonului, de acum, dacă are chef, o are.