Articol postat inițial: https://www.contributors.ro/starea-pietei-de-securitate-cibernetica-in-romania/
Securitatea cibernetică în România rămâne în continuare un subiect ”fierbinte”. Sintagme de tipul ”hub regional de securitate cibernetică” răsună în continuare în spațiul politic, atrăgând atenție sporită asupra unui domeniu unde poate notorietatea precedă realizările de facto.
Într-un articol scris acum ceva timp (2021), deplângeam situația de la acea vreme, subliniind, printre altele, lipsa informațiilor publice necesare pentru a trage o concluzie clară asupra stadiului de dezvoltare al pieței naționale de securitate cibernetică. Este clar că securitatea cibernetică nu suferă de lipsă de atenție din partea presei sau a altor actori relevanți, și de asemenea este clar că avem deja reglementare serioasă în domeniu, poate chiar supra reglementare. Dar aceste aspecte nu asigură succesul unui domeniu de activitate, ci mai degrabă oferă doar premisele unei reușite, dacă sunt întreprinse și acțiunile practice necesare.
În acest sens, după câțiva ani buni, am reușit realizarea primului studiu de piață din zona de securitate cibernetică din România. Spun primul, pentru că nu știu de existența altuia în spațiul public. Studiul a analizat piața pe mai multe paliere, respectiv legislativ, economic, social și tehnologic, atât la nivel național cât și internațional. În cele ce urmează am să sumarizez principalele aspecte identificate în cadrul studiului, concentrându-mă în principal pe contextul național. Studiul este mult mai amplu, dar din diverse considerente printre care și cele legate de spațiu, aici nu vor fi împărtășite toate detaliile.
Este important de menționat că studiul a fost realizat cu sprijinul financiar al Fondului European de Dezvoltare Regională prin intermediul Programului Operațional Regional, și are ca autori pe subsemnatul alături de Adrien Ogee (expert internațional recunoscut), în cadrul proiectului CYMAROP, implementat de către parteneriatul dintre Universitatea Maritimă Constanța și GMB Computers SRL. Scopul proiectului a fost dezvoltarea unui centru de tip SOC (security operations center) la partenerul privat al proiectului, prin cercetarea și transferul tehnologic al unei soluții tehnice realizate de către partenerul academic. Probabil vorbim de primul SOC/CSIRT din România, sau chiar estul Europei, dezvoltat cu co-finanțare din fonduri europene și prin transfer tehnologic din zona academică. Realizarea unui studiu de piață a fost una dintre activitățile proiectului, menită să susțină lansarea comercială a serviciilor de securitate cibernetică ale partenerului privat, prin înțelegerea tendințelor pieței de profil și în vederea realizării unei strategii de comercializare (go-to-market).
Legislativ
În ultimii ani, România a făcut progrese semnificative în domeniul reglementării securității cibernetice, iar guvernul, prin autoritățile responsabile, a adoptat o serie de politici și strategii pentru a îmbunătăți securitatea cibernetică a țării.
Autoritatea ce coordonează domeniul securității cibernetice la nivel național este Directoratul Național de Securitate Cibernetică (DNSC). Totuși, în România există și alte instituții publice cu atribuții în zona de securitate cibernetică, respectiv: SRI, STS, SIE, MAPN – Comandamentul Apărării Cibernetice, MAI – CERT-INT, SPP, ANCOM, ORNISS, ANSPDCP, Consiliul Operativ de Securitate Cibernetică. Majoritatea instituțiilor enumerate mai sus (mai puțin ANSPDCP) reprezintă SNSC (SISTEMUL NAȚIONAL DE SECURITATE CIBERNETICĂ), o structură interinstituțională care coordonează activitățile destinate asigurării securității cibernetice a României la nivel strategic.
Este limpede că securitatea cibernetică în România este o zonă de activitate coordonată în principal de instituții militare. Chiar și la nivelul DNSC, instituția de reglementare specifică spațiului civil, există detașați din structurile de forță ale statului, pe poziții de management. În acest sens, politicile publice/strategia din domeniu sunt clar influențate de acest aspect.
Prin urmare, dacă urmărim fluxurile financiare publice alocate pentru acest domeniu, , majoritatea fondurilor publice din PNRR și fonduri structurale și de investiții, sunt destinate construirii de sisteme de securitate centralizate (mamut), deseori redundante, în administrarea unor instituții dintre cele menționate mai sus, și care au drept scop cu precădere achiziția masivă de echipamente, mai puțin servicii. Spre exemplu, cele aprox. 181.92 milioane euro prin programul PNRR, sunt împărțite astfel:
- I12. Asigurarea protecției cibernetice atât pentru infrastructurile TIC publice, cât și pentru cele private cu valențe critice pentru securitatea națională […] (100 mil. euro) – autoritate eligibilă: SRI.
- I13. Dezvoltarea sistemelor de securitate pentru protecția spectrului guvernamental (38,53 mil. euro) – autorități eligibile: STS, SPP.
- I14. Creșterea rezilienței și a securității cibernetice a serviciilor de infrastructură ale furnizorilor de servicii de internet pentru autoritățile publice din România (18,39 mil. euro) – autorități eligibile: STS.
- I15. Crearea de noi competențe de securitate cibernetică pentru societate și economie (25 mil. euro) – autorități eligibile: DNSC.
Singura componentă din PNRR, dedicată sectorului privat, ce conține fonduri ce pot fi utilizate pentru adoptarea de tehnologii avansate, printre care și securitatea cibernetică, este ”Componenta 9. Suport pentru sectorul privat, cercetare, dezvoltare și inovare”. Prin această componentă se acordă maxim 100.000 euro pe IMM pentru digitalizare. Apelul a fost deja lansat.
Un exemplu de politică echitabilă și coerentă în acest domeniu ar fi vizat finanțarea securizării operatorilor de servicii esențiale, privați și publici, ce reprezintă componenta centrală a directivei NIS. Cooperarea între actorii privați si cei publici, fie ei din structurile de forță sau din mediul academic, poate pune bazele unei piețe de servicii de securitate cibernetică relevantă la nivel regional. De asemenea, susținerea actorilor privați pentru formarea personalului în domeniul securității cibernetice poate reprezenta o intervenție publică de impact în creșterea generală a pieței de securitate cibernetică cu efecte asupra nivelului de securitate general.
Legislație există, poate chiar prea multă! DNSC a publicat un pachet extins de reglementări, care acoperă problematica securității cibernetice. Nu a fost obiectivul studiului să analizăm conținutul, relevanța sau eficacitatea acestora.
Pe lângă legislația specifică NIS, avem și GDPR, ce completează pe zona de date cu caracter personal, precum și legea securității cibernetice. De asemenea, în 2022, Guvernul României a aprobat Strategia de Securitate Cibernetică pentru perioada 2022-2027.
Pe hârtie, stăm bine la capitolul legislativ. Ce este vizibil cu ochiul liber este că existența reglementărilor a acționat ca și catalizator pentru creșterea cererii de securitate în general, în special de servicii de audit și SOC. Partea bună este că cererea a crescut, și probabil va crește în continuare, dar partea negativă este că a crescut forțată de obligația legală de conformitate, și nu natural, pe baza conștientizării riscurilor și a unei necesități crescânde de securitate cibernetică. Pe cale de consecință, ca orice creștere forțată, va crea anomalii și distorsiuni în piață care vor trebui în continuare analizate și ajustate prin măsuri de reglementare.
Pe măsură ce legislația în domeniu se va dezvolta (e.g. NIS2, DORA etc.), probabil cererea va crește și mai mult. Totuși, o astfel de creștere este superficială, și nu atrage neapărat și maturizarea pieței. Clienții vor căuta cu precădere cel mai mic preț, ce în unele cazuri va asigura securitatea doar pe hârtie, necontribuind la atingerea obiectivelor macro, de țară.
Economic
Potrivit unui raport Fortune Business Insights, dimensiunea pieței globale de securitate cibernetică a fost estimată la 153,65 miliarde de dolari în 2022 și se preconizează că va crește la 424,97 miliarde de dolari până în 2030, cu o rată de creștere anuală compusă (CAGR) de 13,8%. Creșterea numărului de atacuri cibernetice, proliferarea platformelor de comerț electronic, apariția dispozitivelor inteligente și implementarea cloud-ului sunt unii dintre factorii care au contribuit la creșterea pieței de securitate cibernetică. Un alt raport McKinsey arată că cheltuielile cu produsele și serviciile furnizorilor din domeniul securității cibernetice vor crește cu 13% anual până în 2025.
Statista (accesat noiembrie 2023) estimează că veniturile de pe piața securității cibernetice din România vor ajunge la 166,50 milioane USD în 2023 (0,001% din piața globală). Soluțiile COTS (commercial off the shelf) domină cu un volum de piață estimat de 101,20 milioane USD în 2023, reprezentând mai mult de 60% din total (serviciile reprezintă sub 40%). Se preconizează că veniturile vor arăta o rată anuală de creștere (CAGR 2023-2028) de 12,88%, rezultând un volum de piață de 305,20 milioane USD până în 2028. Se estimează că cheltuielile medii per angajat pe piața securității cibernetice vor ajunge la 19,48 USD în 2023 (cam 100 de RON per angajat).
Prin comparație, Franța, o piață matură la nivelul UE, are o valoare totală estimată pentru 2023 de 5.09 miliarde USD, serviciile dominând 55% din piață (USD2.85 miliarde USD). Cheltuielile medii per angajat în Franța se ridică la 167.10 USD.
Germania, o piață si mai matură din UE, are o valoare totală estimată pentru 2023 de 6.68 miliarde USD, serviciile dominând 54% din piață (3.64 miliarde USD). Cheltuielile medii per angajat în Germania se ridică la 154.00 USD.
SUA, considerată cea mai matură piață pe segmentul securității cibernetice, are o valoare totală estimată pentru 2023 de 71.79 miliarde USD, serviciile dominând 55% din piață (39.78 miliarde USD). Cheltuielile medii per angajat în SUA se ridică la 426.20 USD.
Putem concluziona că România este încă o piață incipientă, unde se cumpără preponderent soluții și nu servicii. Managementul soluțiilor se face intern, outsourcing-ul de personal sau achiziția de servicii nefiind adoptată la scară largă, în ciuda deficitului de forță de muncă înregistrat la nivel global cât și pe piața locală. Bugetele companiilor, sunt de asemenea mult mai mici, după cum se observă cu ochiul liber din analiza de mai sus.
Plaja de prețuri
Îmbucurător este faptul că piața este totuși în mișcare, deși mai mult din inerție. Analiza noastră a indicat existența mai multor firme specializate în piață, unele chiar nou apărute, ce au deja o ofertă serioasă și profesională de servicii. Deși este dificil de disecat piața privată de profil, având în vedere confidențialitatea sub care se desfășoară tranzacțiile, putem totuși să aruncăm o privire la ce se întâmplă în zona publică, unde procesul de achiziții e mult mai transparent.
Astfel, în urma analizei datelor din SICAP, pe perioada 01.01.2023 – 31.10.2023, a rezultat faptul că majoritatea achizițiilor din zona de securitate cibernetică vizează soluții hardware/software, audituri în baza legii NIS și servicii SOC, exact în această ordine. Marea majoritate a achizițiilor din această zonă (ca număr), sunt încadrate ca achiziții directe (deci valori mai mici). Sume exorbitante sunt totuși oferite la licitație de către instituțiile sus-amintite, eligibile pentru accesarea fondurilor din PNRR, și sunt destinate în principal achiziției soluțiilor, nu serviciilor. Cel mai mare număr de cumpărători vin din zona de sănătate publică, deși nu ei sunt cei ce dețin majoritatea fondurilor publice din această piață. Acest lucru este corelat și cu faptul că, unitățile medicale sunt cele mai numeroase înregistrate în Registrul Operatorilor de Servicii Esențiale (OSE). Campaniile de conștientizare dedicate domeniului sănătății, desfășurate pe timpul pandemiei de către DNSC, concomitent cu trecerea sectorului medical printr-o criză adevărată, se pare că au catalizat sistemul sanitar către acțiune în acest domeniu.
Astfel, pentru audituri de securitate în baza legii NIS au fost identificate prețuri de până la 65.000 RON, pentru organizații mici/medii. Media pentru un astfel de audit, pentru o organizație de complexitate mică sau medie se situează între valorile 10.000 -25.000 RON. Pentru organizațiile mari/complexe, prețurile diferă. O organizație de tip aeroport a oferit 117.800 RON pentru audit în baza legii NIS, iar o altă companie din domeniul energiei a oferit 162.231 RON.
Serviciile de tip SOC sunt achiziționate la prețuri între 6.500 și 15.000 RON pe lună (media 8.000-10.000 RON/lună), pentru organizații de complexitate mică sau medie, cu până la 150-200 de utilizatori/device-uri. Prețul crește odată cu complexitatea organizației, respectiv numărul de utilizatori/device-uri sau tehnologiile existente ce trebuie acoperite de serviciile de tip SOC. Au fost identificate și valori mai mari pentru organizațiile mai complexe, respectiv 34.500 RON/lună la o organizație de tip medical cu peste 450 de device-uri.
În cazul unui spital, a fost identificată o licitație publică la prețul de 4.494.840 RON/24 luni/462 device-uri, incluzând și licențele software aferente. Dacă facem calculele obținem 187.285 RON / lună = 4.864 RON/device/lună (aprox. 1000 USD) cu toate licențele incluse. Acesta este cel mai mare preț identificat pe piața din România pentru un serviciu SOC. Conform datelor publicate de spital, în luna septembrie 2023 spitalul avea 1148 angajați, rezultând un cost per angajat de aprox. 164 RON/luna, peste media identificată în studiu. Totuși spitalul nu are decât 462 de device-uri în administrare.
Impactul economic al incidentelor
Nu sunt foarte multe date publice despre costul incidentelor de securitate cibernetică în România, totuși o declarație publică a directorului DNSC (Dan Cîmpean) ne-a atras atenția: ”Costul estimat – şi asta nu am făcut-o noi de la Directorat, au făcut-o analiştii, firmele de asigurări – la nivelul UE şi cred că este cam acelaşi şi la nivelul României, al unui incident care impactează o organizaţie este estimat undeva la peste 150.000 de euro”. Nu am putut identifica sursa exactă pentru acest studiu, dar am crezut pe cuvânt.
O altă analiză, realizată de compania Bit Sentinel, menționează că incidentele de securitate cibernetică pot produce pagube care pornesc de la 50.000 de euro şi pot ajunge până la 1 milion de euro, doar în primul an după atac, în cazul companiilor care nu aveau implementate sisteme şi proceduri de protecție cibernetică.
Desigur, costul unui incident depinde foarte mult de tipul organizației afectate, mărime, industria în care operează, cât și despre tipul de incident. Ca și regulă generală, cu cât gradul de reziliență este mai mare, cu atât costul unui incident va fi mai mic. Așadar, nu putem generaliza referitor la costul unui incident, ci analiza trebuie făcută riguros, de la caz la caz. Determinarea impactului unui incident de securitate cibernetică este o operațiune complexă, specifică fiecărei organizații în parte. Totuși, astfel de cifre estimative pot ajuta la formarea unei idei despre amploarea fenomenului și riscul aferent. Ce este de reținut aici, este că nu există incident fără un cost asociat, fie el mai mare sau mai mic.
Jucători din piață
Figura de mai sus reprezintă peisajul furnizorilor de servicii și soluții de securitate cibernetică din România, ordonați descrescător, după cifra de afaceri din 2022. Nu sunt toți, ci doar cei pe care am putut sa-i identificăm cu ușurință. Neavând un cod CAEN specific sectorului, identificarea s-a facut pe baza informațiilor publice disponibile. Lista nu include corporații!
Se observă clar discrepanța între furnizorii de soluții/servicii și furnizorii de servicii pure. Cifra de afaceri a companiilor ce oferă soluții și servicii de securitate cibernetică, este net superioară celor ce oferă doar servicii. Un alt aspect important este faptul că unele firme (ex: CERTSIGN) oferă o plajă mai largă de servicii (ex: semnătură digitală), fiind greu de diferențiat cât din cifra de afaceri reprezintă servicii de securitate pure. Acest aspect este valabil și pentru alte companii din raport.
De asemenea, nu toți furnizorii de servicii de securitate cibernetică oferă servicii de tip SOC. Majoritatea oferă servicii de audit de securitate NIS, acestea fiind în general activități de tip one-time, ce nu necesită investiții masive. Serviciile de tip SOC reprezintă activități complexe, necesită investiții în sisteme, personal și mentenanță de-a lungul timpului. Așadar, se pare că nu sunt încă accesibile tuturor jucătorilor.
La nivelul DNSC, există o listă a auditorilor de securitate cibernetică valabil atestați (LASC), ce în ianuarie 2024 număra 58 de companii. Tot la nivelul DNSC există și o pagină dedicată echipelor de intervenție în caz de incidente de securitate informatică, unde ar trebui practic să găsim furnizorii de servicii. Pagina este goală. În piață, companiile care oferă ca principal obiect de activitate servicii de tip SOC se pot număra pe degete.
Figura de mai jos reprezintă o altă analiză publică a furnizorilor ce oferă doar servicii de securitate cibernetică. Piața este clar dominată de un singur jucător, momentan. Studiul semnalează, de asemenea, o creștere spectaculoasă a pieței din România în ultimii doi ani cu 227% (2022 față de 2020).
Costul unui SOC
Costul implementării unui SOC (security operations center), care să deservească o organizație mijlocie este de cca. 350.000-420.000 Euro la care se adaugă un cost anual recurent de cca. 240.000 Euro. Calculul de mai sus, realizat în cadrul studiului nostru, a inclus toate componentele necesare, inclusiv componenta de personal, pentru un SOC multi-client, bazat în principal pe tehnologii open-source. Tehnologiile open-source nu se pretează pentru orice fel de scenariu, iar economia realizată la investiția inițială se poate pierde foarte ușor în cazul în care staff-ul nu este suficient de pregătit pentru întâmpinarea oricăror probleme tehnice sau lacune pe care astfel de software-uri le pot avea. Un SOC intern, destinat unei companii de talie medie sau mare poate fi cu până la 20-30% mai ieftin, atât când vine vorba de investiția inițială, cât și de costuri recurente.
Și în acest caz, situația de facto, respectiv costurile inițiale relativ mari, alături de alte probleme ce pot apărea în operarea SOC-ului (retenție personal, schimbări tehnologice ce pot necesita noi investiții etc.), împing către externalizare, respectiv achiziția de servicii, ca soluție optimă pentru managementul securității în cadrul unei organizații.
Social
În România, de-a lungul timpului, s-a dezvoltat o numeroasă comunitate de securitate cibernetică care nu a antrenat, din păcate, o creștere în, cererea internă de servicii de securitate cibernetică. Principalul beneficiar al subvențiilor oferite de guvernul român dar și al talentului conaționalilor, prin outsourcing-ul job-urilor în România, a fost piața globală de securitate cibernetică, și marii jucători internaționali. În acest sens, aici găsim foarte multe joburi (și personal calificat), dar care deservesc piețe externe. În susținerea comunității locale s-au dezvoltat o serie de evenimente media și comunități, deși în continuare cererea de servicii la nivel local rămâne mică.
Când vine vorba de marea masă a populației, securitatea cibernetică rămâne în continuare un domeniu dificil de înțeles. Articolele din presa mainstream, nu acoperă fenomenul așa cum ar trebui, oferind doar informații generice și deseori incomplete sau eronate, iar reviste/publicații specifice domeniului există, dar în special în mediul academic, ce nu ajung de multe ori la marea masă a populației.
Tehnologic
Din punct de vedere tehnologic, în România, pot fi achiziționate și implementate orice fel de soluții disponibile la nivel global. Chiar și în cazurile în care nu există distribuitori locali, se poate negocia direct cu furnizorul.
Singurul impediment este prețul. Piața locală nu poate susține momentan soluții scumpe sau complexe, de cele mai multe ori din considerente de preț. De aici și apetitul sporit pentru software open-source sau soluții cu costuri reduse. Nu este nimic rău în asta, dar este încă o dovadă de imaturitate a pieței. Este un obstacol peste care trebuie să trecem. Serviciile de top se susțin de obicei cu soluții de top.
Concluzii
Starea pieței de securitate cibernetică în România reflectă o evoluție lentă, pozitivă, dar în mare parte bazată pe nevoia de conformitate, fără tendințe puternice de maturizare și adaptare continuă la provocările și dinamica globală a domeniului. Sub nicio formă nu ne putem declara un hub regional de securitate cibernetică, ci mai degrabă, o țară cu mult potențial exploatat cu succes de alții. Ca și hub regional de outsourcing în IT probabil că ne calificăm foarte bine.
Legislația extensivă a avut un impact semnificativ asupra cererii de servicii de securitate cibernetică, și va continua să aibă un efect similar în viitor. Totuși, ”organismele abilitate” trebuie să se asigure că aceasta conduce la o creștere reală a securității la nivel de țară, precum și la dezvoltarea pieței, nu doar la conformitate formală (securitate pe hârtie).
Piața securității cibernetice din România necesită maturizare, cu o trecere graduală de la focusul pe soluții hardware/software spre un echilibru mai mare cu serviciile. Trecerea poate fi naturală, și ne poate lua foarte mult timp, sau poate fi impulsionată prin politici publice de finanțare coerente, care să grăbească procesul. Raportul publicat de World Economic Forum “Cybersecurity Futures 2030, New Foundations”, menționează următoarea slăbiciune, ce trebuie neapărat considerată la nivel organizațional, dar mai ales la nivel de țară (traducere din EN): ”Prea mult consumerism digital poate fi o slăbiciune atunci când duce la o dependență de cele mai mari firme de tehnologie sau de produse și servicii tehnologice exportate de alte țări. Organizațiile și țările deopotrivă ar trebui să ia în considerare cu atenție avantajele investiției în inovație înainte de a utiliza automat soluții pregătite pentru piață”.
Factorul determinant pentru succesul tuturor țărilor mature din punct de vedere al securității cibernetice a fost facilitarea dezvoltării unui ecosistem național de securitate cibernetică (instituții publice, companii, universități și centre de cercetare, ONG-uri etc.). Granturi de cercetare, parteneriate public-private, finanțări de la bugetul de stat, reprezintă cheia succesului în astfel de situații. Statul are datoria să creeze premisele pentru ca sectorul privat să exceleze. În această ecuație, toți jucătorii au rol predeterminat, iar cel al sectorului privat este să inoveze, să producă plus valoare, dacă este lăsat.