Tot la DefCamp 2025 am participat la o dezbatere pe tema strategiilor de apărare cibernetică pentru instituții guvernamentale, care a reunit specialiști din sectorul public și privat. Aceștia au pus accent pe nevoia de colaborare mai strânsă și mai practică între cele două domenii. Mădălin Staniu (Coordonator pentru Securitate Cibernetică și Apărare, ANIS Task Force) a moderat discuția la care au participat Eduard Mititelu (Membru al Comisiei pentru IT&C, Camera Deputaților), Mădălin Dumitru (CEO SCUT), George Dobrea (Strateg în Securitate Cibernetică, CEO XEDUCO Institute) și Dan Gavojdea (Manager Regional SEE – Dezvoltare Business – SecOps, Fortinet).
Ce a rezultat a fost un tablou sincer, uneori chiar brutal, despre felul în care funcționează lucrurile în România atunci când vine vorba de securitate cibernetică. Și, o primă observație ar fi că, deși se vorbește de unitate între sectorul public și cel privat, cele două tabere s-au așezat la distanță la masa rotundă a acetei dezbateri.
DefCamp 2025 dezbaterea „Sisteme publice, amenințări private: Strategii de apărare cibernetică pentru guverne”
Dezbaterea de la DefCamp 2025 a pornit de la VDP (Vulnerability Disclosure Programs), programele prin care statul poate coopta experți independenți și white hat hackers pentru a raporta vulnerabilități în mod legal și recunoscut. Ideea principală a fost că România are oameni capabili, dar nu are încă un cadru care să îi protejeze sau să le valorifice competențele în mod oficial. Apoi discuția s-a mutat rapid spre o altă problemă și anume că existența politicilor nu garantează securitatea.
O idee repetată de Mădălin Dumitru este aceea că securitatea reală nu se obține bifând tichete. NIS2 este utilă, dar nu garantează protecția. România are nevoie de coordonare și unificare, nu de încă un set de formulare. Instituțiile au adesea proceduri, dar nu e clar cine își asumă decizia când apare o criză. Cine anunță incidentul. Cine activează mecanismele de răspuns. Cine vorbește public. Cine coordonează. Când toată lumea e responsabilă, nu mai e nimeni responsabil.
Un punct care a revenit frecvent în discuție a fost lipsa de încredere. Nu doar între instituții și companii, ci și între oameni. „Nu construiești încredere în timpul crizei. Trebuie să o faci înainte”, a avertizat Mădălin Dumitru de la SCUT, accentuând importanța simulărilor de atacuri și a colaborării pentru prevenire. CEO-ul SCUT a vorbit despre un caz concret, o situație în care a gestionat un incident de securitate dintr-o organizație publică atacată printr-un lanț de aprovizionare. „Am reușit să reducem răspunsul la incident de la zile, la ore, prin schimbul de informații în timp real”, a explicat el, evidențiind beneficiile cooperării eficiente.
Expertul a propus și o soluție pentru implicarea cetățenilor: o aplicație mobilă prin care oricine poate raporta SMS-uri sau emailuri suspecte, devenind astfel parte dintr-un „scut digital național”. Această abordare ar transforma fiecare român într-un „senzor” al sistemului de apărare cibernetică.
Eduard Mititelu a vorbit din perspectiva administrației și a spus destul direct că în instituțiile din România, responsabilitățile sunt împărțite în atâtea direcții încât, în realitate, nimeni nu își asumă nimic.
Acesta a insistat asupra nevoii unui lider clar în momente de criză și a recunoscut public o problemă des întâlnită: teama de a achiziționa servicii de la companii private contrabalansată de angajări de personal intern, deși costurile sunt uriașe și eficiența nu e garantată.
George Dobrea de la XEDUCO Institute a contestat o credință larg răspândită în industrie. „Cel mai slab inel în lanțul de securitate nu este utilizatorul care dă click pe emailul de phishing. Problema reală este lipsa de conștientizare consecventă și de responsabilitate la nivelul întregii organizații”, a explicat acesta. Dobrea a adăugat că noile reglementări, inclusiv NIS2, ajută la construirea unei culturi de securitate, dar implementarea trebuie să vină de sus în jos, cu management implicat.
Dan Gavojdea de la Fortinet a observat o schimbare în relația dintre furnizori și sectorul public în Europa de Sud-Est: „Trecem de la relații tranzacționale, la parteneriate reale. Vânzătorii nu mai trebuie doar să livreze echipamente, ci să transfere capacități către organizațiile din sectorul public”.
Gavojdea a atras atenția asupra unui studiu european care plasează România pe ultimul loc în Europa la capitolul încredere interpersonală, sub 25%, comparativ cu peste 75% în Suedia. „Această lipsă de încredere afectează colaborarea, dar legislația europeană precum NIS2 ne va uni, nu bazat pe voință, ci pe obligație”, a concluzionat el.
Panel-ul a evidențiat și noile provocări aduse de inteligența artificială. Dan Gavojdea a avertizat: „Nu există în acest moment nicio tehnologie care să poată opri atacurile prin indirect injection. Gândiți-vă că aveți un AI intern și primiți un PDF cu cod foarte bine scris, care se conectează automat la sistemul vostru. Ce spun eu aici se întâmplă chiar acum.”
Concluzia dezbaterii a fost unanimă. România are expertiza și capacitatea tehnică necesare, dar lipsa de unificare, coordonare și încredere între sectorul public și privat rămâne principala barieră în construirea unui sistem național de apărare cibernetică pregătit pentru orice atac.
Cum arată securitatea cibernetică în 2025, văzută de CEO-ul SCUT
După panel, am discutat pe larg cu Mădălin Dumitru, CEO-ul SCUT, despre schimbările aduse de NIS2, despre atacurile tot mai sofisticate generate de inteligența artificială, despre rolul lanțului de furnizori și despre modul în care conceptul „cyber-dome” propus de SCUT încearcă să unifice o piață fragmentată.
ZONA: Ce este NIS2 și de ce ar trebui companiile românești să fie atente?
Mădălin Dumitru, SCUT: NIS2 schimbă fundamental modul în care companiile tratează securitatea cibernetică. Nu mai vorbim despre un set de recomandări tehnice, ci despre obligații clare care urcă responsabilitatea direct în zona de management și board. Directiva introduce sancțiuni, raportări rapide și cerințe stricte privind lanțul de furnizori. Practic, companiile nu mai pot ascunde riscurile sub preș și nu mai pot amâna investițiile. În era NIS2, „nu avem buget” nu mai este o scuză, este un risc juridic și reputațional.
Care sunt cele mai frecvente greșeli în procesul de conformare?
Principala greșeală este tratarea NIS2 ca pe un proiect IT, când de fapt este un program de guvernanță. Multe organizații nici măcar nu au un inventar complet al activelor, nu știu exact ce încearcă să protejeze. Observ și o tentație periculoasă: tick-box compliance, adică documente făcute doar pentru audit. În plus, lanțul de furnizori este adesea neglijat, deși acolo apar cele mai multe breșe. Lipsa unor roluri clare și a proceselor interne transformă conformarea într-un exercițiu superficial, nu într-o schimbare reală.
Care sunt principalele amenințări pentru companiile românești în 2025?
Vedem o accelerare puternică a atacurilor bazate pe inteligență artificială, unde agenții AI pot automatiza întregul lanț al unui atac: de la recunoaștere până la exfiltrare. Supply-chain attacks (n.r. atacuri care exploatează vulnerabilități ale partenerilor, furnizorilor sau software-ului terț) rămân principala sursă de risc, pentru că vulnerabilitățile nu sunt întotdeauna în interiorul companiei, ci în ecosistemul ei. În paralel, fraudele de tip Business Email Compromise devin mult mai sofisticate, folosind deepfake voice și video. Ransomware-ul evoluează către tehnici low-noise, mult mai greu de detectat.
Ați spus că „un atac nu mai începe neapărat în rețea, ci poate începe cu un mesaj”. Ce înseamnă asta?
Astăzi, multe atacuri încep cu o interacțiune aparent banală. Poate fi un mesaj pe WhatsApp, un DM pe LinkedIn sau un e-mail scurt, construit astfel încât să pară legitim. Nu există malware, nu există exploit, există doar un atacator care manipulează un angajat să facă un pas greșit. Un deepfake audio care imită vocea CEO-ului poate genera aprobări financiare. Un link inteligent, generat de un agent AI, poate direcționa utilizatorul către o pagină falsă de autentificare. Atacul se desfășoară fără ca firewall-ul să vadă ceva suspect.
Ce înseamnă „public systems, private threats”?
Sistemele publice sunt interconectate, critice și dependente de infrastructuri naționale. În același timp, majoritatea atacurilor provin din sfera privată: grupări criminale, mercenari digitali, actori comerciali motivați financiar. Statul are rolul să creeze cadrul și să protejeze infrastructurile critice, dar responsabilitatea securității la nivel de organizație rămâne în mediul privat. Vulnerabilitatea reală se află exact în interfața dintre cele două lumi, unde adesea lipsesc procedurile, coordonarea și vizibilitatea comună.
Cum se integrează conceptul „cyber-dome” al SCUT în această viziune?
Cyber-dome înseamnă unificarea securității într-o singură arhitectură în care toate semnalele (rețea, endpoint, cloud, identitate) sunt corelate în timp real. Este o abordare care elimină „găurile” dintre tehnologii, procese și echipe, pentru că tocmai aceste spații sunt exploatate de atacatori. Cyber-dome nu este o soluție, ci un model operațional: vizibilitate completă, răspuns automatizat și capacitatea de a vedea un atac ca un întreg, nu ca un set de alerte disparate. Practic, este răspunsul la fragmentarea care domină piața.
De ce ați lansat SCUT Executive pentru antreprenori și top management?
Pentru că liderii unei organizații au devenit ținte directe. Folosesc device-uri personale, au acces privilegiat la informații și sunt expuși permanent. Un atacator care compromite identitatea digitală a unui CEO controlează, indirect, întreaga companie. Programul SCUT Executive creează un scut digital personalizat pentru acești lideri, protecție 24/7, monitorizare și răspuns rapid, atât pe zona profesională, cât și pe cea personală. Este o abordare necesară într-o lume în care persoana și funcția nu mai pot fi separate.
Cum folosește SCUT inteligența artificială pentru detectarea amenințărilor?
Inteligența artificială este esențială pentru că volumul de date și viteza atacurilor depășesc de mult capacitatea oamenilor. Modelele AI corelează semnale din surse diferite și identifică abateri subtile care, individual, nu ar ridica semne de întrebare. Aceste sisteme pot identifica mișcări laterale, acces neobișnuit, schimbări de comportament ale identităților. AI-ul nu înlocuiește analistul, îl amplifică. Într-o lume în care adversarul folosește AI, apărarea trebuie să fie cel puțin la același nivel.
Care sunt primele trei acțiuni pe care o companie ar trebui să le facă imediat pentru a-și îmbunătăți securitatea?
Primul pas este un inventar complet al activelor, urmat de o prioritizare pe risc. Nu poți proteja ceea ce nu știi că ai. Al doilea pas este implementarea autentificării multifactor pe toate sistemele critice, inclusiv pe cele mai vechi. Al treilea este hardening-ul accesului: principiu de minim acces, conturi privilegiate izolate și rotația periodică a credențialelor. Fără loguri active și un backup offline testat real, orice companie rămâne vulnerabilă.
Ce tendințe majore vedem în securitatea cibernetică în 2025–2026?
Vom vedea o creștere dramatică a atacurilor autonome, orchestrate de agenți AI care pot executa un atac cap-coadă fără intervenție umană. Granița dintre atacurile politizate, comerciale și operaționale va dispărea, ele se vor combina. Identitatea digitală va deveni perimetrul principal, iar parolele vor dispărea treptat. Lanțul de furnizori va deveni cea mai mare sursă de risc, iar reglementările vor deveni mai dure, cu audituri obligatorii și responsabilitate personală la nivel de board. Zona „on-premises = safe” va dispărea complet.
