Primul pas, în Aprilie 2021, a fost Legea 5G care a interzis în zona infrastructurilor critice ITC tehnologia provenită din zone cu potențial de adversitate față de România.
În Martie 2022 a urmat interzicerea utilizării produselor rusești de securitate cibernetică în administrația publică. Evoluția formei textului, dintre propunerea inițială și varianta finală, sugerează un entuziasm izolat, declanșat de o știre de presă despre o achiziție a PMB, îndeajuns de intens pentru a împinge proiectul pe tot circuitul de avizare până la stadiul de aplicare, la doar 3 luni după o implementare similară în USA.
Zilele acestea am decis că TikTok poate fi periculos și nu poate fi folosit pe telefoanele administrației publice.
Toate aceste demersuri adresează potențialul de acțiune al unei potențiale entități adverse. Merită discutat în ce măsură astfel creăm a self-fulfilling prophecy.
Toți acești pași merită analizați dintr-o perspectivă distinctă – modalitatea de enforcing.
Din Legea 5G se aplică astăzi doar zona despre 5G, care afectează direct doar 3 operatori - un număr ușor de supravegheat.
Tehnologia de securitate rusească nu este cu adevărat o miză. Preponderent sunt aplicații instalate pe stații de lucru pentru care există numeroase alternative cu calitate și preț egal. Dacă însă comparăm versiunea inițială și finală a legii observăm dispariția sarcinii de „poliție”, nimeni nu are timp să vâneze astfel de instalări în toate instituțiile publice.
TikTok va prinde viață sub forma unei recomandări a DNSC care nu va conține atașate sancțiuni directe, va exista doar o vagă amenințare cu lucruri „rele” ce se pot întâmpla decidentului în caz de „inacțiune”. Prin adresarea telefonului (ca proprietate a statului) și nu a utilizatorului (ca funcționar public deținător de date) practic se reiterează un principiu pre-existent: echipamentul angajatorului este instalat doar cu aplicațiile alese de acesta și utilizat doar pentru satisfacerea scopurilor organizației. Noutatea nu este de natură legală ci comunicațională, toată vâlva este menită să ajungă la câți mai mulți decidenți, să-i convingă de importanța măsurii.
Evident soluția de aplicare a acestor obligații este timidă, nemăsurabilă, fără resurse alocate.
Ar fi fost nevoie de o armată de inspectori care să vâneze aceste produse riscante? Evident, nu !
Astăzi astfel de reguli se aplică automat, prin politici de securitate programate în sistemul de guvernanță a datelor și aplicațiilor.
Acest sistem, de nivel național, nu există nici măcar în legislație, în afara unei timide sugerări prin Standardul 13 din OSGG 600.
Acest sistem trebuia să apară încă din anii 90 însă cu alt scop – prezervarea datelor și informațiilor în instituții. În vederea combaterii pierderii sau alterării de documente trebuiau să existe reguli atât cu privire la procedurile interne cât și la tehnologia folosită, reguli care să se aplice și în perioada „live” a documentului, nu doar după arhivarea acestuia.
Aparent astăzi cârpim diverse vulnerabilități punctuale, reactiv, în loc de a construi un sistem robust, proactiv, care să deservească mai multe categorii de obiective. Securizarea informației este doar atât de valoroasă pe cât de corectă este respectiva informație.
Există totuși un drum destul de clar conturat.
Prin PNRR, STS va deveni operator mobil 5G, într-o arhitectură cu centrală proprie și folosirea antenelor celorlalți operatori. Portarea tuturor numerelor oficiale în rețeaua STS va oferi primul inventar exact și prima oportunitate de a verifica utilizarea unui sistem de tip MDM.
Un sistem MDM va permite acea implementarea automată a regulilor, blocarea aplicațiilor, ștergerea de la distanță, etc.
Și vom ajunge apoi la discuția despre cum convingem angajații publici să nu-și folosească telefoanele personale pentru probleme de servici.
O problemă care iarăși ține mai întâi de anti-corupție, arhive, exercitarea dreptului de acces pe L544 (crede cineva ca va obține un chat purtat între 2 telefoane private?), de zeci de ani.
De zeci de ani este rezolvată în democrațiile de tradiție. În Octombrie 2022 ministrul de interne din UK a demisionat la câteva ore după ce a trimis, din greșeală, folosind emailul privat, un document de politică publică ca pas într-o negociere politică parlamentară.
Imaginea unei echipe de fotbal în care apărătorii iau mingea și driblează în locul mijlocașilor de construcție lipsiți de viziune și condiție fizică nu este deloc lăudabilă, nici aducătoare de suporteri înfocați.
Niciun comentariu:
Trimiteți un comentariu