Aviația civilă din România este pusă în pericol după ce Nicolae Stoica, actualul director al Autorității Aeronautice Civile Române, a decis să desființeze structura de securitate cibernetică care proteja sistemele informatice de atacurile hackerilor.
Dezvăluirea Newsweek România a provocat un atac de furie din partea lui Stoica, care a amenințat cu procese.
Șeful AACR încă susține, oficial, că a desființat structura de securitate cibernetică pentru că instituția pe care o conduce nu are atribuții legale în domeniul securității cibernetice iar responsabilitatea ar reveni exclusiv Centrului Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO.
Oficialii CERT-RO îl contrazic, tot oficial, pe Nicolae Stoica. Mai mult, atrag atenția că, prin „desființarea structurii de securitate cibernetică, România nu mai dispune de o structură specifică sectorului aviației civile, care să contribuie la protecția cibernetică a acestui sector“.
Stoica de la AACR aruncă pisica la CERT-RO
Nicolae Stoica, directorul general al Autorității Aeronautice Civile Române (AACR), a decis pe 1 martie 2021 să desființeze structura de securitate cibernetică CERT-AV-RO din cadrul instituției pe care o conduce.
Motivul invocat oficial a fost că „AACR nu deține atribuții legale în domeniul securității cibernetice, altele decât activitățile desfășurate de către auditorii de securitate“, conform unui răspuns transmis de Stoica Nicolae către Newsweek România.
Dar structura de securitate cibernetică a fost înființată în anul 2017 la nivelul AACR pentru a respecta Anexa 17 la Convenția de la Chicago, Directiva UE nr. 2016/1148 și Planul Național de Securitate Aeronautică.
Stoica a mai transmis că, „în realitate, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO este autoritatea competentă la nivel național pentru securitatea reţelelor şi sistemelor informatice (art. 15, Legea nr. 362/2018), inclusiv în domeniul aviației civile, iar acestă instituție are personalitate juridică distinctă față de AACR și nici nu se regăsește în portofoliul Ministerului Transporturilor și Infrastructurii“.
CERT-RO: AACR, competentă în securitatea cibernetică a aviației civile
Newsweek România a transmis mai multe întrebări Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, instituția publică desemnată să asigure protecția sistemelor informatice la nivel național, în legătură cu afirmațiile șefului AACR.
Oficialii CERT-RO au răspuns că structura de securitate cibernetică CERT-AV-RO este certificată „Authorized to use CERT“.
O autorizare dată de Carnegie Mellon University din Statele Unite ale Americii, „care este conferită direct de deținătorul drepturilor de proprietate intelectuală entităților care au capabilități și funcționează în regim de Centru de Răspuns la Incidente de Securitate Cibernetică (CERT/CSIRT).
Acronimul CERT reprezintă Computer Emergency Response Team și este reprezentativ pentru centre operaționale de securitate cibernetică responsabile de răspunsul la incidente“, spun specialiștii CERT-RO.
CERT-RO a arătat că, „în înțelesul Directivei UE nr. 2016/1148 (NIS) și Legii nr. 362/2018 (NIS), Autoritatea Aeronautică Civilă Română are competențe în domeniul securității cibernetice a aviației civile, încadrându-se atât în categoria autorităților competente sectoriale, cât și a centrelor de tip CSIRT sectorial, raportat la o serie de criterii (incluzând de exemplu: activitățile desfășurate, responsabilitățile deținute din perspectivă de autoritate competentă națională în domeniul aviației civile, dotările cu tehnologii informatice și interacțiunea cu industria) în conformitate cu prevederile legale“.
România nu-și poate proteja cibernetic aviația civilă
Specialiștii de la CERT-RO susțin oficial că au colaborat îndeaproape cu angajații din structura de securitate cibernetică a Autorității Aeronautice: „CERT-RO a colaborat cu CERT-AV-RO atât pentru susținerea operațiunilor tehnice de securitate cibernetică, precum și pentru dezvoltarea cadrului legal național în acest domeniu, respectiv pentru armonizarea cerințelor de reglementare generale de securitate cibernetică cu cele specifice aviației civile“, se menționează în răspunsul primit de Newsweek România de la CERT-RO.
Echipa de conducere a CERT-RO a explicat că, „din punct de vedere funcțional și logic, CERT-AV-RO era poziționat în rețeaua piramidală de instituții responsabile și centre de tip CERT, având în aria de acoperire și constituență sectorul aviației civile.
Un stat UE și NATO
cum e România a decis,
peste noapte, să-și lase
aviația civilă fără protecție
împotriva amenințărilor
cibernetice. Și nimeni
nu înțelege de ce
Având în vedere necesitatea respectării imparțialității în raport cu organizațiile supervizate, care revine AACR din perspectiva de autoritate competentă în domeniul aviației civile, CERT-AV-RO nu putea asigura securitatea cibernetică a entităților din industrie (această responsabilitate revenind fiecărei organizații în mod individual), ci monitoriza conformitatea, coordona strategia acțiunilor și sincronizării pe orizontală, cooperarea, raportarea și schimbul de informații tehnice etc.“.
Întrebați cum comentează desființarea CERT-AV-RO, conducerea CERT-RO a transmis că „desființarea unei structuri operaționale existente de tip CERT/CSIRT (indiferent de sector) este o pierdere. Ea creează implicit un risc major de securitate pentru domeniul din care a fost desființată“.
Mai mult, specialiștii CERT-RO au adăugat că, „la acest moment, prin desființarea CERT-AV-RO, România nu mai dispune de o structură specifică sectorului aviației civile, care să contribuie la protecția cibernetică a acestui sector“.
Intră în scenă fosta Securitate
Două numiri recente asumate de ministrul Transporturilor, Cătălin Drulă, ridică mari semne de întrebare asupra posibilelor legături cu fosta Securitate ceaușistă ale politicianului USR-PLUS.
Numirile se referă la Stoica Nicolae, noul șef al Autorității Aeronautice Civile din România (AACR), și la Cristian Paris, montat membru în Consiliul de Administrație al Portului Constanța.
Paris a fost asociat cu Dorin Ivașcu, fost reprezentant al Tarom (între 1978 și 1988, la Tripoli, Singapore, Londra și New York) și omul care deține, azi, Aeroportul Tuzla.
În ciuda unui aviz de securitate negativ, Drulă încearcă din răsputeri să instaleze, la cererea lui Ivașcu, un punct de trecere a frontierei pe micul aeroport dobrogean.
Stoica Nicolae, la rândul lui, a fost angajatul lui Cristian Paris. În această calitate, Nicolae a fost în conflict evident de interese, întrucât deținea și o funcție în aviație, la stat.
Mai mult, Nicolae a fost responsabil și pentru umflarea unui contract cu o firmă a unei asociate a lui Ivașcu.