Costurile Nevăzute: ignorarea patch-urilor de securitate (și nu numai).
Peisajul digital este un câmp minat, iar pentru guvernele de stat și locale, neglijarea patch-urilor de securitate echivalează cu lăsarea porții deschise.
La nivel global, aceste entități publice, “custode”gardian” ale unor volume vaste de informații personale sensibile, sunt ținte din ce în ce mai atractive pentru infractorii cibernetici.
Sectorul public din România se confruntă cu provocări similare, dacă nu chiar amplificate, navigând într-un mediu complex de amenințări în evoluție și un cadru legislativ în plină dezvoltare.
Evoluțiile recente, în special transpunerea Directivei NIS2 în legislația națională prin Ordonanța de Urgență nr. 155/2024, subliniază o schimbare esențială către o postură de securitate cibernetică mai proactivă și preventivă.
Securitatea cibernetică în sectorul public
România a fost martora unor incidente cibernetice semnificative care au afectat organisme guvernamentale și infrastructura critică:
- Atacuri DDoS (2022): Grupul de hackeri pro-Kremlin Killnet a lansat o serie de atacuri de tip denial-of-service distribuit (DDoS) împotriva mai multor site-uri web ale guvernului român, armatei, băncilor și presei. Deși unele atacuri au vizat în primul rând întreruperea accesului, acestea au evidențiat vulnerabilitatea activelor digitale publice la tensiunile geopolitice.
- Breșa Parlamentară (2024): Un atac cibernetic major asupra Camerei Deputaților din România a dus la accesul neautorizat și exfiltrarea de informații confidențiale, inclusiv documente de identitate și analize medicale ale unor înalți oficiali, expunând natura sensibilă a datelor deținute de instituțiile statului.
- Breșa de Securitate Orange (2025): Un incident de securitate cibernetică care a afectat Orange, un operator major de telecomunicații din România, a avut repercusiuni mai largi, afectând diverse entități juridice, inclusiv instituții guvernamentale, primării, școli și spitale din întreaga țară.
- Incidente în Spitale: La începutul anului 2024, un incident care a afectat 26 de spitale la nivel național printr-un furnizor de servicii gestionate a subliniat impactul direct al atacurilor cibernetice asupra serviciilor publice vitale și a evidențiat lacunele legislative existente.
Aceste incidente sunt adesea exacerbate de slăbiciuni sistemice subiacente. Studiile privind conștientizarea securității informațiilor în administrația publică românească relevă tendințe îngrijorătoare: utilizarea predominantă a acelorași credențiale de autentificare pe mai multe aplicații, lipsa schimbărilor regulate de parolă, stocarea parolelor pe hârtie și absența metodelor de comunicare securizate, cum ar fi VPN-urile.
Mai mult, încrederea în programele antivirus și anti-malware de bază ca instrumente principale de prevenire este adesea insuficientă atunci când se confruntă cu amenințări sofisticate.
De la conștientizare la acțiune
Adoptarea de către Guvernul României a OUG 155/2024 semnalează un angajament serios de a consolida securitatea cibernetică națională. Acest nou cadru clasifică entitățile în categorii „esențiale” și „importante”, impunând obligații stricte, inclusiv măsuri de gestionare a riscurilor, cerințe de raportare a incidentelor (cu termene stricte pentru avertizări timpurii și actualizări), audituri periodice și instruire obligatorie în securitate cibernetică pentru management.
Nerespectarea poate duce la amenzi substanțiale și chiar la răspundere personală pentru management. Directoratul Național de Securitate Cibernetică (DNSC) joacă un rol crucial în aplicarea acestor reglementări și dezvoltarea unor instrumente precum ENIRE@RO pentru pre-evaluarea riscurilor.
Totuși, legislația singură nu este o rezolvare . Provocările esențiale precum finanțarea, personalul calificat și procesele robuste, rămân relevante în România.
Deși noua ordonanță impune instruire și evaluări ale riscurilor, eficacitatea depinde de schimbări culturale autentice și de investiții dedicate. Nevoia de gestionare continuă și cuprinzătoare a patch-urilor devine și mai critică în acest context.
Implementarea soluțiilor precum patching-ul fără repornire ar putea reduce semnificativ suprafața de atac, asigurând aplicarea promptă a actualizărilor critice fără a perturba serviciile publice esențiale.
Concluzie
Costul ignorării patch-urilor este o povară globală, afectând deopotrivă guvernele și cetățenii.
Pentru România, pe măsură ce își consolidează cadrul legislativ de securitate cibernetică, accentul trebuie să se extindă dincolo de simpla conformitate, către promovarea unei posturi de securitate cibernetică proactive, reziliente și adaptabile în mod continuu.
Aceasta implică prioritizarea investițiilor în gestionarea avansată a vulnerabilităților, cultivarea unei culturi puternice de securitate cibernetică în cadrul instituțiilor publice, asigurarea unei instruiri adecvate pentru tot personalul și adoptarea tehnologiilor moderne de patching pentru a proteja datele critice și a menține integritatea serviciilor publice într-un mediu cibernetic din ce în ce mai ostil.