Interviu cu dl. Călin RANGU

Dl. Călin RANGU este director al serviciului financiar al Autorității de Supraveghere Financiară ASF, președinte al Institutului de Management al Asigurărilor, fost director adjunct al Direcției de Supraveghere Integrată, responsabil pentru riscurile operaționale generate de IT și de criminalitatea informatică. Dublu licențiat în economie și inginerie, cu master în domeniul bancar financiar și doctor în domeniul rețelelor neuronale aplicate în prelucrarea datelor financiar, dl. Călin RANGU este lector la Universitatea Financiar Bancară din București, Institutul Bancar Român  și Universitatea City din Seattle, având o vastă experiență în management, operațiuni bancare, riscuri operaționale, servicii, produse și tehnologii IT financiare.

Având o activitate de peste 13 ani ca director în Banca Națională a României și Raiffeisen Bank, precum și ca director general al filialei românești a Raiffeisen Informatik Austria Group, dl. Călin RANGU activează în mai multe asociații, fiind președinte al Camerei Bilaterale de Comerț România-Islanda.

A publicat două cărți și peste 100 de articole, fiind organizator sau vorbitor la conferințe majore din România legate de tehnologiile financiar bancare, operațiuni cibernetice și management al riscului operațional.

 

1. În toamna anului 2014 ați organizat conferința CyberRisks in Financial Services și conferința CyberThreats cu tema Securitatea informatică între extreme: managementul riscurilor operaționale și nevoile de business. Ce elemente noi au adus aceste evenimente în peisajul conferințelor de specialitate?

CyberRisksConferința CyberRisks in Financial Services 2014

Cele două conferințe au mutat discursul de la aspectele generale ale securității informatice, repetate la toate conferințele de profil, către beneficiile concrete din perspectiva beneficiilor de business, a reducerii riscurilor operaționale generate de sistemele informatice, a importanței protecției informației, a flagelului furtului de identitate, a necesității implementării de procese structurate aferente managementului schimbării în general și cele specifice aferente ISO 20.000 si ISO 27.001.

CyberthreatsConferința CyberThreats 2014

Majoritatea riscurilor țin de organizarea sau de fapt de lipsa organizării interne a companiilor, marile prejudicii sunt produse din interior, nu țin doar de atacurile informatice externe.

 

2. În cadrul conferințelor s-a discutat despre necesitatea unui CERT financiar,  corelat cu noua legislație aferentă criminalității informatice și cu definirea infrastructurilor financiare critice și cele de importanță națională. De ce este importantă înființarea unui CERT financiar și cât de eficientă ar colaborarea acestuia cu CERT-RO și alte structuri similare?

Nivelul de specialitate al domeniului, costurile de a lua măsuri individuale sunt foarte mari. Multe companii din domeniul financiar, de exemplu sutele de firme de brokerage ale pieței de capital sau asigurări, nu își permit să investească în tehnologii și oameni specializați în securitate informatică. CERT-ul financiar ar trebui sa aibă un rol preventiv și de suport al acestor firme. Atacatorii vor fi întotdeauna înaintea măsurilor, în general reactive. Din acest motiv este nevoie de o entitate profesionalizată de prevenire și combatere a criminalității informatice. Schimbul de informații, anonimizate, este foarte important. Când o entitate financiară e atacată, va urma alta.

 

3. Cât de urgentă considerați că este nevoia de reglementare a riscurilor operaționale, pornind de la legea securității cibernetice și până la reglementările sectoriale financiar-bancare?

Atacurile si pierderile cresc constant. Nevoia de reglementare este foarte urgentă, deoarece măsurile care vor trebui aplicate vor lua timp, unul–doi ani, nu își pot arăta beneficiile imediat și din acest motiv trebuie sa ne apucăm din timp pentru a putea fi pregătiți într-o perspectivă de timp mediu. O companie ia greu măsuri proprii, mai ales când se uită la business-case-uri imediate. Lupta cu criminalitatea informatica e de termen lung. Din acest motiv autoritățile au un rol de a impune măsuri și nu a aștepta ca firmele sa le ia, deoarece nu le vor lua decât după ce prejudiciile sunt mari. Cei mai afectați sunt de fapt clienții companiilor, consumatorii de servicii financiare. Din acest motiv autoritățile trebuie să le protejeze prin reglementari, supraveghere și control.

 

4. Care este gradul actual de conștientizare a beneficiilor reglementărilor în domeniul securității cibernetice și al asigurării unui nivel optim de securitate de către instituțiile financiare?

Este scăzut, deoarece gradul de maturitate este încă scăzut. Rolul educației continue în domeniu este foarte importat. Trebuie prezentate exemple concrete, cazuri reale, pentru a percepe riscurile și a conștientiza nevoia de măsuri.

 

5. Atacurile cibernetice devin din ce în ce mai sofisticate și sunt ațintite tot mai mult către sistemul financiar-bancar. Vă îngrijorează această evoluție a criminalității informatice?

Da, si nu numai pe mine. Flagelul este în extindere. Se iau masuri la nivel statal, la nivelul NATO, deci este o îngrijorare care se extinde. Pe măsură ce știi mai multe, înțelegi implicațiile și riscurile majore asupra vieții fiecăruia dintre noi.

 

6. Ce considerați că ar fi util pentru o reacție de răspuns cât mai rapidă în situații de urgență, în cazul unor atacuri cibernetice de amploare?

Probabil CERT-ul este soluția optima, cu tot ce înseamnă el, plus partea de specializare financiară.

 

7. Puține companii au plan de management al riscurilor sau măsuri de asigurare a continuității. Ce factori ar putea determina companiile să implementeze astfel de măsuri?

Educația și exemple concrete. Exemplele pot fi obținute prin solicitarea de teste de penetrare, de ethical hacking. Când va vedea cum se pot fura bani, sau se pot substitui identități, cu conotații penale, managerul nu va mai sta impasibil.

 

8. Clienții băncilor doresc să-și utilizeze cardurile bancare pentru a face cumpărături, plăți de facturi sau rezervări direct de pe Internet, în condiții de maximă siguranță. Persoanele ce efectuează astfel de operațiuni bancare sunt expuse la riscuri?

Sunt expuse, furtul de identitate este la modă, dar există asigurări din partea băncilor că dacă vor respecta minimele reguli de securitate (de genul a nu iți da altcuiva PIN-ul), băncile își asumă riscul, vor prelua pierderile iar clienții nu vor avea de suferit.

 

9. Veți continua seria de conferințe în domeniul riscurilor și amenințărilor cibernetice în domeniul financiar? Ne puteți prezenta câteva din punctele de interes ale următoarelor evenimente?

Cred ca e important să se continue, conferințele Cyberthreats vor ajunge în 2015 la ediția a VIII-a. Punctele de interes vor fi cele ale pieței. Este un domeniu în care anual apar lucruri noi. Atacatorii nu ne lasă sa ne plictisim. Și pe măsura ce cunoaștem mai multe, mai multe măsuri trebuie luate. Intervin mult noile reglementări europene, care trebuie transpuse la nivel de conținut nu doar formal. În acest caz este nevoie de dezbaterea lor. La nivelul protecției consumatorilor de servicii financiare sunt foarte multe de făcut, trebuie crescut nivelul de educație practica, comportamentală, atât a entităților furnizoare de servicii, cât și a clienților beneficiari. Cred că pe zona prevenirii prin abordare și educație comportamentală sunt multe lucruri încă nespuse.

Autor: Lect.dr.ing. Ioan-Cosmin MIHAI - Vicepreședinte ARASEC

Sursa foto: www.arasec.ro
Sursa articolului: www.arasec.ro