Acasă Tehnologie De ce susțin auditul cibernetic obligatoriu!

De ce susțin auditul cibernetic obligatoriu!

De către
Gazeta Sentinela
-
25025
0

Ionuț-Eugen Ioniță ■

Lecții din UK, Țările de Jos, Scandinavia și Ucraina

Am citit criticile formulate de o asociație a prosumatorilor față de proiectul de lege care introduce auditarea cibernetică obligatorie. Nu sunt de acord. Într-o lume în care camerele, senzorii și vehiculele sunt conectate permanent, „speranța” că totul va funcționa corect nu ține loc de control. Un audit bun nu este un moft birocratic, ci o plasă de siguranță pentru rețelele care ne deservesc, pentru instituții și pentru noi, utilizatorii. Iar exemplele reale – din Europa și nu numai – arată că lipsa auditului costă mult mai mult decât prețul unei verificări serioase.

De la prosumatori la orașe inteligente

Discuția locală despre obligativitatea auditării pornește de la prosumatori, dar miza este mai mare. Rețelele urbane de CCTV, sistemele de supraveghere a traficului, flotele electrice „smart”, până la senzori aparent banali de prezență sau temperatură, toate rulează software, primesc actualizări, trimit date în cloud. Fără audit și certificare, nu avem garanții reale că:

  • accesul la distanță este limitat și jurnalizat,
  • firmware-ul nu include backdoor-uri,
  • datele nu ies din perimetru,
  • iar procedurile de răspuns la incidente există și sunt testate.

Nu e teorie. E o listă de cerințe minime pe care tot mai multe guverne europene le traduc în politici și în înlocuiri concrete de echipamente.

Cazuri reale care arată de ce auditul este necesar

1) Marea Britanie: camerele chinezești, scoase din zone sensibile

Guvernul britanic a decis ca până în aprilie 2025 să elimine tehnologia de supraveghere provenită din China din locațiile sensibile. Argumentul: riscuri de spionaj și obligațiile legale ale companiilor respective față de statul chinez. Decizia nu s-a luat pe „senzații”, ci pe evaluări de risc și recomandări de securitate operațională. Asta înseamnă audit la nivel de portofoliu, inventar, plan de remediere și calendar de înlocuire. Reuters

2) Țările de Jos: Amsterdam înlocuiește 1.280 de camere din trafic și spații publice

Amsterdam a anunțat că va elimina, într-un orizont de cinci ani, 1.280 de camere de supraveghere și monitorizare a traficului fabricate în China, invocând riscuri de spionaj și preocupări privind drepturile omului. Din nou, nu e vorba doar de „hardware”, ci și de lanțul de aprovizionare software, accesul la distanță și politicile de actualizare. Asta implică audit tehnic, contractual și de conformitate. NL Times

3) Ucraina: camere piratate folosite în atacuri

Serviciul de Securitate al Ucrainei (SBU) a anunțat că a blocat camere online compromise de Rusia, folosite pentru a urmări apărarea antiaeriană din Kyiv și pentru a ghida lovituri. Lecția aici e brutală: un dispozitiv civil, neauditat și lăsat expus, devine senzor pentru război. Segmentare, control de acces, actualizări sigure, dezactivarea funcțiilor nefolosite – toate sunt obiecte clare de audit. The Kyiv Independent

4) Transport public în Scandinavia: „kill switch” potențial pe autobuze

sursa: Eilif Swensen/Ruter AS via AP

În Norvegia, operatorul public Ruter a descoperit, în testare izolată, că producătorul chinez Yutong are acces digital la sistemele autobuzelor pentru actualizări și diagnostic. În teorie, asta ar permite oprirea vehiculelor. Ruter întărește cerințele de securitate, își schimbă politicile de aprovizionare și introduce controale tehnice. Autoritățile daneze au intrat și ele în alertă, reevaluând riscurile pentru sute de autobuze similare. Asta este, în esență, un audit de securitate pe lanțul de aprovizionare (supply chain). AP News

5) România: sistemul național de supraveghere rutieră

În spațiul public au apărut informații despre punerea în funcțiune a unui sistem național de supraveghere rutieră pe DN1, autostrăzi și marile bulevarde ale Capitalei. Pentru astfel de proiecte, auditul cibernetic nu este doar recomandat, ci vital: inventar de camere, validarea firmware-ului, criptarea traficului video, controlul accesului pentru operatori și integratori, jurnalizare și testare de penetrare. Fără aceste elemente, orice rețea de camere poate deveni un activ pentru adversari.

De ce auditul trebuie extins dincolo de prosumatori

Prosumatorul gestionează invertor, contor, aplicații mobile – toate conectate. Un CCTV urban gestionează fluxuri video și metadate sensibile. Un sistem de supraveghere a traficului influențează direct siguranța pe drumuri. În toate cazurile, auditul urmărește aceleași obiective:

  • Reducerea suprafeței de atac: dezactivarea serviciilor expuse, parole unice, MFA, certificare TLS corectă.
  • Integritate software: verificarea semnăturilor firmware-ului, politici de update.
  • Guvernanță și trasabilitate: cine are acces, ce poate face, ce se înregistrează, cum se răspunde la incidente.
  • Conformitate și achiziții sigure: clauze contractuale privind locația datelor, accesul furnizorului, patch-management, audituri periodice.

Modelul UK (eliminare treptată + reguli la achiziții) și cel Amsterdam (plan pe 5 ani + inventar clar) sunt ghiduri utile pentru autorități locale din România, companii de utilități, asociații de proprietari și – da – pentru prosumatori (operatori mici, dar conectați la rețele mari).

„Kosher” în hardware și software: ce înseamnă o certificare serioasă

Când spunem că echipamentele trebuie să fie „kosher”, spunem, de fapt, că trebuie certificate pe bune, nu doar „marca CE” lipită pe cutie:

  • Testare de penetrare și analiză de firmware (inclusiv căutarea de servicii ascunse, chei hard-codate, canale de telemetrie).
  • Politică de actualizări: semnate criptografic, cu rollback sigur și jurnal.
  • Restricții la accesul furnizorului: accesul de la distanță (dacă există) să fie contractual limitat, controlat și auditat.
  • Audit periodic: anual sau la schimbări majore de versiune, plus la fiecare integrare într-un sistem critic (ex.: trafic urban).

Acolo unde lipsesc aceste garanții, țări și orașe au ales înlocuirea echipamentelor. Nu pentru că „sunt ieftine sau scumpe”, ci pentru că nu pot fi dovedite ca sigure.

IDF și limitarea accesului mașinilor chinezești în bazele militare

În 2025, armata israeliană (IDF) a decis să interzică accesul vehiculelor chinezești în toate bazele militare, declanșând un proces de înlocuire a câtorva sute de mașini aflate în leasing pentru ofițeri. Motivul? Teama de scurgeri de informații prin senzori, camere, telemetrie și sisteme multimedia conectate, chiar și după „sterilizarea” software inițială. Asta arată, din nou, că evaluarea tehnică inițială nu e suficientă dacă nu e urmată de audituri recurente și de politici ferme de „zero trust” pe dispozitivele conectate. ctech

Întrebarea firească pentru noi: au realizat instituțiile competente audituri complete de securitate pentru soluțiile de supraveghere video și pentru alte echipamente IoT (senzori de prezență, temperatură, umiditate etc.) aflate în responsabilitatea lor? Nu vorbim doar de brand, ci de procese: inventar, segmentare de rețea, control de acces, verificare de firmware, logging, răspuns la incidente, proceduri clare pentru furnizorii cu acces de la distanță. Când chiar și un operator de transport public își reevaluează la sânge politicile, e rezonabil ca aceste infrastructuri critice să fie cu un pas înainte.

Provocări și dezavantaje? Da – dar gestionabile

  • Costuri: Auditul costă. Înlocuirile costă și mai mult. Dar incidentele – scurgeri de date, opriri operaționale, litigii – costă exponențial. UK a preferat costul controlat al unei tranziții. Amsterdam a pus un orizont de 5 ani pentru bugetare realistă.
  • Complexitate tehnică: Nu toate organizațiile au echipe de securitate. Soluția: standarde minime, ghiduri naționale, liste de produse acceptate, audit extern periodic.
  • Risc reputațional: Auditul scoate la lumină probleme. Asta e ideea. Transparența controlată permite și remedierea controlată.

Impact pentru industrie și utilizatori

Pentru industrie, auditul împinge producătorii spre design sigur (secure-by-design), documentație clară și suport real pe termen lung. Pentru utilizatori și comunități, înseamnă servicii mai reziliente: camere care nu pot fi cooptate într-un atac, semaforizare care nu „cade” la un update greșit, flote electrice care nu pot fi oprite „din cloud”. Când transportul public din Scandinavia, un reper de calitate, schimbă regulile de achiziții după testări, e clar că bară de siguranță se ridică pentru toți.

Concluzia? Auditul nu e frână, e centură!

Obligația de audit nu este o „birocrație în plus”, ci un contract social: vrem servicii moderne și ieftine, dar și sigure. Exemplele din UK, Olanda, Ucraina și Scandinavia arată că fără audit ajungem să plătim mai scump, uneori cu securitatea publică. De aceea susțin explicit auditarea cibernetică obligatorie – nu doar pentru prosumatori, ci pentru toate rețelele conectate: CCTV urban, supravegherea traficului, senzori în clădiri și flote inteligente. E un pas spre maturitate digitală. Iar pasul următor trebuie să fie al nostru: standarde naționale clare, liste de conformitate și, mai ales, verificări periodice, nu doar „o dată și gata”.

[/responsivevoice]

Potcovaria lui Dan

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.