EXCLUSIV Cum minte șeful AACR că instituția nu are atribuții legale pe securitate cibernetică

DE Petru Zoltan | 08.07.2021 - 15:05

Nicolae Stoica, șeful Autorității Aeronautice Civile din România, a desființat compartimentele de securitate cibernetică pentru a externaliza serviciile IT, dar mai ales pentru a-i concedia pe singurii trei specialiști în securitatea cibernetică. Motivul oficial este aberant.

SHARE

Și anume: Autoritatea nu ar avea atribuții legale în domeniul securității cibernetice.

Minciuna directorului Nicolae Stoica este devoalată de mai multe instituții publice din România, inclusiv de Direcția Transport Aerian din cadrul Ministerului Transporturilor, condus de ministrul Cătălin Drulă, ba chiar și de CERT-RO.

Newsweek România a obținut în exclusivitate mai multe documente care arată că, de fapt, compartimentul CERT-AV-RO, desființat pe 1 martie 2021, este dat exemplu de bune practici în mai multe rapoarte ale Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA).

Citește și: EXCLUSIV Drulă „privatizează” departamentul strategic CYBER din Autoritatea Aeronautică Civilă

Pentru ca dezastrul să fie complet, specialiștii în securitate cibernetică au fost trași pe linie moartă, deși Ministerul Transporturilor le-a cerut să dezvolte Planul de acțiuni pentru implementarea Strategiei naționale de securitate cibernetică a aviației civile.

CERT-AV-RO, șters din organigrama AACR

Autoritatea Aeronautică Civilă din România este o instituție publică din subordinea Ministerului Transporturilor, condus în prezent de ministrul Cătălin Drulă. Consiliul de Administrație al AACR a decis pe 18 ianuarie 2021 să îl numească în funcția de director general interimar pe Nicolae Stoica, care deținea funcția de Director operațiuni la Compania Națională Aeroporturi București. Pentru noua funcție, Nicolae Stoica primește o indemnizație de 40.632 lei în fiecare lună, plus autoturism cu șofer.

La scurt timp după numirea pe funcție, Nicolae Stoica a decis să reorganizeze instituția prin restructurarea Direcției Securitate Aeronautică și Cibernetică, care era formată din Serviciul Audit de Securitate Aeronautică, Compartimentul de Securitate Cibernetică și Compartimentul CERT-AV-RO. Ultimele două compartimente erau strâns legate unul de celălalt.

Compartimentul de Securitate Cibernetică se ocupa de reglementări, politici, proceduri, monitorizarea și implementarea procedurilor, dezvoltare cultură cyber, dezvoltare de concept și cooperare la cel mai înalt nivel.

CERT-AV-RO era partea tenhică, care se ocupa de gestionarea incidentelor cibernetice, prevenție și apărare cibernetică, dar coopera din punct de vedere tehnic și făcea schimb de informații tehnice cu partenerii oficiali, raporta incidentele de securitate cibernetică inclusiv la Serviciul Român de Informații.

Astfel, în urma restructurării, a fost desființat complet Compartimentul CERT-AV-RO, iar Compartimentului Securitate Cibernetică – cu doar trei angajați - i s-a redus atribuțiile și trecut în subordinea Biroului Administrativ. Acest biroul răspunde și de personalul auxiliar, inclusiv de femei de serviciu și șoferi. Toată reorganizarea a intrat în vigoare la 1 martie 2021.

Stoica s-a lepădat de securitatea cibernetică

Pe 14 mai 2021, directorul Nicolae Stoica a făcut raportul 12154 prin care a decis desființarea Compartimentului de Securitate Cibernetică, din cadrul Biroului Administrativ, pentru a reduce costurile. Totodată, a decis și concedierea celor trei angajați. De ce? Pentru că semnase un contract de 85.140 lei cu Institutul Național de Cercetare – Dezvoltare Informatică ICI – București care avea ca obiect „servicii de siguranțăinformatică, privind securitatea datelor, rețelelor și tututor sistemelor informatice aparținând AACR precum și prestarea serviciilor de instalare a echipamentului tip senzor și de instruire a personalului AACR”. Iar prin concedierea celor trei angajați AACR ar fi făcut economii anuale de aproximativ 507.000 lei.

Întrebat de Newsweek România de ce a decis desființarea structurii de securitate cibernetică din cadrul AACR, directorul a răspuns cu nonșalanță: „Structura de securitate cibernetică din cadrul direcției de securitate a fost desființată începând cu 1 martie a.c., întrucât AACR nu deține atribuții legale în domeniul securității cibernetice, altele decât activitățile desfășurate de către auditorii de securitate”.

Într-un alt e-mail către Newsweek România, directorul Nicolae Stoica a precizat că „în realitate, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO este autoritatea competentă la nivel național pentru securitatea reţelelor şi sistemelor informatice (art. 15, Legea nr. 362/2018), inclusiv în domeniul aviației civile, iar acestă instituție are personalitate juridică distinctă față de AACR și nici nu se regăsește în portofoliul Ministerului Transporturilor și Infrastructurii”.

Newsweek România a obținut mai multe documente care contrazic punctul de vedere emis oficial de către directorul Nicolae Stoica.

Planul Național de Securitate Aeronautică

AACR a preluat din Ministerul Transporturilor, în anul 2013, Direcția Securitate Aeronautică. Patru ani mai târziu, în 2017, Organizația Internațională a Aviației Civile (ICAO) a trimis o adresă statelor membre, inclusiv României – reprezentată de AACR, prin care Anexa 17 a Convenției de la Chicago devenea obligatorie. Adică fiecare stat membru „trebuie să se asigure că operatorii/entitățile din domeniul aviației civile identifică în sistemele lor critice de informare și comunicare, precum și datele din aviația civilă, și – în conformitate cu evaluarea riscurilor- dezvoltă și implementează, după caz, măsuri pentru a le proteja de interferențe ilegale”.

În plus, exista și Directiva UE nr. 2016/1148 a Parlamentului European și a Consiliului privind măsuri pentru un nivel ridicat de securitate a rețelelor și a sistemelor informatice din Uniune.

În baza acestor două documente, AACR a luat decizia de a înființa o entitate care să asigure implementarea și verificare în domeniul aviației civile a măsurilor de securitate cibernetică „în scopul îndeplinirii tuturor capitolelor din Planul Național de Securitate Aeronautică, aprobat prin Hotărârea de Guvern 1193/2012, atât pe componentate de securitate aeronautică, cât și pe cea de securitate cibernetică".

Stoica poate declanșa un scandal internațional

Pe scurt, pentru a respecta Anexa 17 a Convenției de la Chicago, Directiva UE nr. 2016/1148 și Planul Național de Securitate Aeronautică, AACR a decis să înființeze prin două hotărâri ale Consiliului de Administrație, din iulie 2017, o structură de securitate cibernetică. Adică, compartimentele pentru Securitate Cibernetică și CERT-AV-RO. Culmea, compartimentul CERT-AV-RO a fost certificat și recunoscut la cel mai înalt nivel internațional de Carnegie Melon University, din SUA, pe 18 decembrie 2017. Această universitate deține drepturile de autor pentru utilizarea distincției CERT (Computer Emergency Response Team). Ulterior, aceeași universitate a certificat Centrul Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO.

Ce mai făcea CERT-AV-RO? Colabora la nivel tehnic cu organismele internaționale: ICAO, ENISA, CERT-EU, EASA, ECCSA, EUROCONTROL și IATA. Pe plan național, colabora cu CERT-RO, CORIS al Serviciului de Telecomunicații Speciale și Centrul Național Cyberint al Serviciului Român de Informații.

Dar, din declarațiile oficiale ale directorului general Nicolae Stoica, rezultă că CERT-AV-RO a lucrat ilegal cu toate organizațiile internaționale și naționale pentru că AACR nu deținea atribuții legale în domeniul securității cibernetice. Dacă ar fi adevărat, înseamnă că AACR a pus în pericol de securitate toate organizațiile internaționale și naționale strategice din domeniul aviației civile și securității cibernetice.

În plus, parteneriatul ofical încheiat între CERT-AV-RO și EUROCONTROL – EATM – CERT ar fi tot ilegal.

Structuri indispensabile

Activitatea celor două compartimente de securitate ale AACR a fost verificată în anul 2020 de Curtea de Conturi a României. Conform raportului Curții de Conturi, securitatea cibernetică este parte atât din securitatea aeronautică, cât și din siguranța aviației civile. „Principalele reglementări care fundamentează aceste aspecte sunt: Anexa 17 ICAO, pe partea de securitate aeronautică, și Regulemantul UE 2018/1139, pe partea de siguranță a aviației civile".

Inspectorii de la Curtea de Conturi a României concluzionează că domeniile siguranța aviației civile și securitatea aeronautică includ securitatea cibernetică a aviației civile iar AACR are atribuții, responsabilități și competențe privind securitatea cibernetică a aviației civile atât procedurale – de reglementare, cât și tehnice – operaționale.

„Ambele structuri de securitate cibernetică a AACR (Compartimentul de Securitate Cibernetică și Compartimentul CERT-AV-RO) au un scop comun – asigurarea securității cibernetice în aviația civilă – diferența dintre acestea constând în metodologiile, metodele și tehnicile utilizate. Cele două structuri sunt complementare, interdependente și indispensabile”.

Legea europeană pe înțelesul lui Stoica

Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, lege care a transpus la nivel național prevederile Directivei NIS – Directiva UE 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune, prevede la articolul 34 că „autoritățile și entitățile care reglementează sectoarele și subsectoarele de actvitate prevăzute în anexa la lege (inclusiv transportul aerian – n.r.) au obligația de a coopera și sprijini CERT-RO în domeniul de securitate a rețelelor și sistemelor informatice”.

Prin adresa 9379/27.03.2019, CERT-RO a identificat AACR printre entitățile care se încadrează în prevederile articolului 34 din Legea 362/2018 și anume categoria instituțiile publice care „trebuie să coopereze cu CERT-RO în îndeplinirea cerințelor articolului de mai sus, de la identificarea serviciilor esențiale și ale operatorilor de servicii esențiale din domeniul aviației civile și până la armonizarea prevederilor legale aplicabile și a cerințelor de securitate și notificare specific sectorului dvs. de activitate și responsabilitate”.

Pe scurt, cele două compartimente desființate de directorul Nicolae Stoica aveau obligația să coopereze cu CERT-RO. Mai mult, între CERT-RO și AACR, condusă în prezent de Nicolae Stoica, există un protocol de colaborare (10043/11.04.2017). Potrivit acestuia, una din pricipalele activități specifice desfășurate de către părți vizează „cooperarea în vederea înființării Centrului de Răspuns la Incidente de Securitate Cibernetică din domeniul Aviației Civile (…) și oferirea de suport bidirecțional în dezvoltarea capacităților centrelor CERT”.

Compartimentele de Securitate Cibernetică, recunoscute de CERT-RO

Într-un alt document obținut în exclusivitate de Newsweek România, Centrul Național de Răspuns la Incidente de Securitate Cibernetică CERT – RO a emis un punct de vedere către AACR pentru Programul Național de Securitate Aeronautică (PNSA) – securitate cibernetică, program făcut de Compartimentul Securitate Cibernetică:

„În principiu, propunerea de actualizare al Capitolului 14 PNSA a integrat în mod corespunzător competențele AACR, din perspectivă de autoritate sectorială și CSIRT sectorial la nivelul aviației civile, acoperind atât necesitățile de armonizare legislativă, cât și aspectele privind managementul riscurilor și al incidentelor (…) În cee ace privește atribuțiile ACRR în zona de securitate cibernetică se va avea în vedere faptul că în accepțiunea CERT-RO (…) instituția dumneavoastră are competențe în ceea ce privește asigurarea securității cibernetice la nivelul aviației civile, fapt relevat și în adresa noastră nr.317 din 27.03.2019".

AACR, entitate responsabilă cu amenințările cibernetice

În aprilie 2019, Direcția de Transport Aerian din cadrul Ministerului Transporturilor, condusă de directorul Mihail Ionescu, a solicitat AACR identificarea serviciilor esențiale din domeniul aviației civile, a operatorilor acestor servicii și stabilirea cerințelor specifice de asigurare a securității rețelelor și sistemelor informatice. De ce? Pentru că AACR era considerată (atenție!) de Direcția de Transport Aerian a Ministerului Transporturilor „entitate responsabilă cu coordonarea și monitorizarea implementării măsurilor de protecție împotriva amenințărilor cibernetice a sistemelor informatice de aviație civilă”.

Dar directorul Nicolae Stoica a fost numit pe funcție pe 18 ianuarie 2021, motiv pentru care am putea să presupunem că nu știa de documentul transmis de directorul Mihail Ionescu de la Direcția Transport Aerian. Însă, pe 25 iunie 2021, aceeași Direcție de Transport Aerian i-a transmis directorului Nicolae Stoica o scrisoare prin care îi cere „Stadiul de Pregătire ICAO Cybersecurity Action Plan și a Strategiei Naționale de Securitate cibernetică a aviației civile”.

Ce aflăm din documentul cu pricina? Că AACR, în calitate de autoritate competentă delegată în domeniul securității aeronautice, trebuia să emită proceduri și instrucțiuni specifice de aplicare pentru Programul Național de Pregătire în domeniul securității aviației civile, pe care să le publice, după caz, pe website-ul propriu: „Aceste măsuri de aplicare se referă, în mod specific, la cerințele de pregătire pentru personalul de monitorizarea implementării măsurilor de protecție împotriva amenințărilor cibernetice a sistemelor de informații critice de aviație civilă (…)”

Cine trebuia să emită procedurile? Cei trei angajații de la Compartimentul pentru Securitate Cibernetică pe care directorul Nicolae Stoica le-a făcut raport de „pensionare”.

 

 

 

 

Comentarii

Alege abonamentul care ți se potrivește

Print

  • Revista tipărită
  • Acces parțial online
  • Newsletter
Abonează-te

Digital + Print

  • Revista tipărită
  • Acces total online, inclusiv arhivă
  • Newsletter
Abonează-te

Digital

  • Acces total online, inclusiv arhivă
  • Newsletter
  •  
Abonează-te

© 2021 NEWS INTERNATIONAL S.A.