Alexandra Cepăreanu
În contextul noilor cerinţe impuse de directiva europeană NIS 2, care va obliga peste 12.000 de organizaţii din România să respecte standarde stricte de securitate cibernetică, companiile pot găsi o soluţie viabilă la criza de personal calificat mizând pe studenţi şi proaspăt absolvenţi din domeniile tehnice. Acordarea de încredere juniorilor şi integrarea acestora în echipe devine nu doar o investiţie în viitor, ci şi o necesitate strategică pentru a face faţă unui deficit de specialişti ce se va adânci pe măsură ce peste 10.000 de entităţi vor intra în aria de aplicare a noilor reglementări, a spus Dan Cîmpean, directorul Directoratului Naţional de Securitate Cibernetică (DNSC), în cadrul conferinţei ZF Cybersecurity Trends 2025.
„Cei care suntem lideri de business trebuie să ne pregătim pentru competiţia pentru talent. Când 12.000 de noi organizaţii o să realizeze că au nevoie de un om pe zona de cyber pentru companie, vor dori să recurteze pe cineva, să ne gândim ce se va întâmpla pe piaţa muncii. Riscăm să canibalizăm. E un risc mare. Şi nu avem 6.000 de oameni cu experienţă disponibili. Dar avem o soluţie elegantă şi universităţile sunt parte a soluţiei. România produce un număr de ordinul miilor de oameni care au în curiculum cu multe detalii pe zona de securitate cibernetică. Nu ezitaţi să investiţi în juniori. Noi vedem că mulţi doresc oameni cu 3-5-10 ani de experienţă, dar trebui să riscăm puţin şi să aducem profiluri junioare, să îi responsabilizăm, să investim în ei, iar ei în 1-2-3 ani vor performa. Avem experienţa asta la DNSC, unde majoritatea absolvenţilor au performat foarte bine. Asta va fi o parte din soluţia noastră la nivel naţional pentru a completa acele locuri goale pe care organizaţiile le au, fie că ştiu sau nu că sunt subiectul reglementării NIS 2. Provocare este aici, avem un număr mare de locuri neocupate pe care trebuie să le ocupăm şi le recomand liderilor de business să aleagă cu mare atenţie persoanele sau persoana care se ocupă de acest aspect”, a spus Dan Cîmpean.
Alte declaraţii
Noi stăm bine comparativ cu alte state ale UE, nu stăm atât de bine compartiv cu unde am putea să fim. Legat de atacuri şi ce se va întâmpla, sunt bucuros să văd modul în care evenimentul acesta este realizat, cu accent pe cuvântul rezilienţă. Mulţi specialişti cu care vorbesc peste tot au început să considere că se schimbă încet încet paradigma de la securitate cibernetică spre rezilienţă, însemnând că atacul se va întâmpla, din motive elementare şi simple - accelerare a digitalizări, noi tehnologii integrate şi fiecare din ele creşte suprafaţa de atac şi astfel e imposibil să o acoperi, decât dacă ai resurse nelimitate şi nu le avem. Nu beneficiem de resursele pe care le dorim. Nu e nimeni din industrie să spună că a obţinut tot ce şi-a dorit. Deci mergem pe principiul incidentul se va întâmpla, mai devreme sau mai târziu.
Din punct de vedere al atacatorilor, s-a produs o democratizare a atacurilor. Nu doar firmele mari mai sunt dispuse să plătească sau sunt ţinte ale atacurilor, au început atacuri pe organizaţii foarte mici, farmacii, restaurante, contabili, firme de avocatură, mari - mici, public - privat, guvernamental, toate sunt ţinte. Acest trend va fi pentru mulţi ani şi va trebui să fim pregătiţi pentru incidente.
Sperăm că nu vom avea incidente majore la nivel naţional prea multe pentru că, ca stat cred că avem capacitatea la nivel naţional să ne ocupă de probabil două incidente majore săptămânal. Să nu subestimăm puterea ecosistemului. Din punctul ăsta de vedere, stăm mai bine decât alte state. Şi mulţi experţi cu care discut îmi spun exact asta „Mă uit la voi în România, ce vedem? Aveţi multe capabilităţi, aveţi firme, aveţi organizaţii care au expertiză, care au experţi, care au soluţii şi care vin şi le oferă.” E o dinamică pe care cred că o subestimăm. Nu zic că o ignorăm, dar o subestimăm. Nu conştientizăm cât de importantă este şi cât de important e să ţinem traininguri. Sunt atât de multe organizaţii cu atât de multe soluţii pe care, dacă am ceva de criticat, cred că nu le lăudaţi şi nu le prezentaţi suficient.
Pentru mine şi echipa mea e un efort permanent. Suntem undeva la 150 de persoane care acoperim diferite domenii – de la reglementare, până la intervenţia la incidente, programe de pregătire, proiecte cu parteneri internaţionali şi naţionali cu care construim soluţii, metodologii, baze de date. Noi am preluat acum câţiva ani ceea ce era echipa de răspuns la incidente cibernetice naţională şi am transformat-o într-un alt tip de organizaţie, cu altă dinamică şi cu responsabilităţi care, vă spun sincer, în fiecare dimineaţă eu le citesc în douăzeci de pagini de ce avem de făcut.
Riscurile cibernetice au început să apară în top 3, top 5 pe agenda managementului, o spun analiştii. Este un subiect relevant, vă dă posibilitatea să cereţi resurse. Asta încercăm şi noi la DNSC, să facem, să menţinem subiectul, să aibă în discuţie cât de important este să alocăm resursele. Abordarea noastră este în primul rând să investim în oameni, în experţi, pentru că un buget ca atare nu rezolvă problema, avem nevoie de creiere, de analişti, avem nevoie de oameni care să cunoască infrastructura, oameni care să programeze, care să testeze.
