Defcamp 2025, despre unificare și colaborare reală între mediul public și privat în cybersecurity
Tot la DefCamp 2025 am participat la o dezbatere pe tema strategiilor de apărare cibernetică pentru instituții guvernamentale, care a reunit specialiști din sectorul public și privat. Aceștia au pus accent pe nevoia de colaborare mai strânsă și mai practică între cele două domenii. Mădălin Staniu (Coordonator pentru Securitate Cibernetică și Apărare, ANIS Task Force) a moderat discuția la care au participat Eduard Mititelu (Membru al Comisiei pentru IT&C, Camera Deputaților), Mădălin Dumitru (CEO SCUT), George Dobrea (Strateg în Securitate Cibernetică, CEO XEDUCO Institute) și Dan Gavojdea (Manager Regional SEE – Dezvoltare Business – SecOps, Fortinet). Ce a rezultat a fost un tablou sincer, uneori chiar brutal, despre felul în care funcționează lucrurile în România atunci când vine vorba de securitate cibernetică. Și, o primă observație ar fi că, deși se vorbește de unitate între sectorul public și cel privat, cele două tabere s-au așezat la distanță la masa rotundă a acetei dezbateri. DefCamp 2025 dezbaterea „Sisteme publice, amenințări private: Strategii de apărare cibernetică pentru guverne” Dezbaterea de la DefCamp 2025 a pornit de la VDP (Vulnerability Disclosure Programs), programele prin care statul poate coopta experți independenți și white hat hackers pentru a raporta vulnerabilități în mod legal și recunoscut. Ideea principală a fost că România are oameni capabili, dar nu are încă un cadru care să îi protejeze sau să le valorifice competențele în mod oficial. Apoi discuția s-a mutat rapid spre o altă problemă și anume că existența politicilor nu garantează securitatea. O idee repetată de Mădălin Dumitru este aceea că securitatea reală nu se obține bifând tichete. NIS2 este utilă, dar nu garantează protecția. România are nevoie de coordonare și unificare, nu de încă un set de formulare. Instituțiile au adesea proceduri, dar nu e clar cine își asumă decizia când apare o criză. Cine anunță incidentul. Cine activează mecanismele de răspuns. Cine vorbește public. Cine coordonează. Când toată lumea e responsabilă, nu mai e nimeni responsabil. Un punct care a revenit frecvent în discuție a fost lipsa de încredere. Nu doar între instituții și companii, ci și între oameni. „Nu construiești încredere în timpul crizei. Trebuie să o faci înainte”, a avertizat Mădălin Dumitru de la SCUT, accentuând importanța simulărilor de atacuri și a colaborării pentru prevenire. CEO-ul SCUT a vorbit despre un caz concret, o situație în care a gestionat un incident de securitate dintr-o organizație publică atacată printr-un lanț de aprovizionare. „Am reușit să reducem răspunsul la incident de la zile, la ore, prin schimbul de informații în timp real”, a explicat el, evidențiind beneficiile cooperării eficiente. Expertul a propus și o soluție pentru implicarea cetățenilor: o aplicație mobilă prin care oricine poate raporta SMS-uri sau emailuri suspecte, devenind astfel parte dintr-un „scut digital național”. Această abordare ar transforma fiecare român într-un „senzor” al sistemului de apărare cibernetică. Eduard Mititelu a vorbit din perspectiva administrației și a spus destul direct că în instituțiile din România, responsabilitățile sunt împărțite în atâtea direcții încât, în realitate, nimeni nu își asumă nimic.Acesta a insistat asupra nevoii unui lider clar în momente de criză și a recunoscut public o problemă des întâlnită: teama de a achiziționa servicii de la companii private contrabalansată de angajări de personal intern, deși costurile sunt uriașe și eficiența nu e garantată. George Dobrea de la XEDUCO Institute a contestat o credință larg răspândită în industrie. „Cel mai slab inel în lanțul de securitate nu este utilizatorul care dă click pe emailul de phishing. Problema reală este lipsa de conștientizare consecventă și de responsabilitate la nivelul întregii organizații”, a explicat acesta. Dobrea a adăugat că noile reglementări, inclusiv NIS2, ajută la construirea unei culturi de securitate, dar implementarea trebuie să vină de sus în jos, cu management implicat. Dan Gavojdea de la Fortinet a observat o schimbare în relația dintre furnizori și sectorul public în Europa de Sud-Est: „Trecem de la relații tranzacționale, la parteneriate reale. Vânzătorii nu mai trebuie doar să livreze echipamente, ci să transfere capacități către organizațiile din sectorul public”. Gavojdea a atras atenția asupra unui studiu european care plasează România pe ultimul loc în Europa la capitolul încredere interpersonală, sub 25%, comparativ cu peste 75% în Suedia. „Această lipsă de încredere afectează colaborarea, dar legislația europeană precum NIS2 ne va uni, nu bazat pe voință, ci pe obligație”, a concluzionat el. Panel-ul a evidențiat și noile provocări aduse de inteligența artificială. Dan Gavojdea a avertizat: „Nu există în acest moment nicio tehnologie care să poată opri atacurile prin indirect injection. Gândiți-vă că aveți un AI intern și primiți un PDF cu cod foarte bine scris, care se conectează automat la sistemul vostru. Ce spun eu aici se întâmplă chiar acum.” Concluzia dezbaterii a fost unanimă. România are expertiza și capacitatea tehnică necesare, dar lipsa de unificare, coordonare și încredere între sectorul public și privat rămâne principala barieră în construirea unui sistem național de apărare cibernetică pregătit pentru orice atac. Cum arată securitatea cibernetică în 2025, văzută de CEO-ul SCUT După panel, am discutat pe larg cu Mădălin Dumitru, CEO-ul SCUT, despre schimbările aduse de NIS2, despre atacurile tot mai sofisticate generate de inteligența artificială, despre rolul lanțului de furnizori și despre modul în care conceptul „cyber-dome” propus de SCUT încearcă să unifice o piață fragmentată. ZONA: Ce este NIS2 și de ce ar trebui companiile românești să fie atente? Mădălin Dumitru, SCUT: NIS2 schimbă fundamental modul în care companiile tratează securitatea cibernetică. Nu mai vorbim despre un set de recomandări tehnice, ci despre obligații clare care urcă responsabilitatea direct în zona de management și board. Directiva introduce sancțiuni, raportări rapide și cerințe stricte privind lanțul de furnizori. Practic, companiile nu mai pot ascunde riscurile sub preș și nu mai pot amâna investițiile. În era NIS2, „nu avem buget” nu mai este o scuză, este un risc juridic și reputațional. Care sunt cele mai frecvente greșeli în procesul de conformare? Principala greșeală este tratarea NIS2 ca pe un proiect IT, când de fapt este un program de guvernanță. Multe organizații nici măcar nu au un inventar complet al activelor, nu