, 8 Feb 2016
ActiveWatch susține scrisoarea inițiată de APADOR-CH și Asociația pentru Tehnologie și Internet (ApTI) prin care cele două organizații semnalează, în 5 idei principale, de ce nu sunt de acord cu noul proiect de Lege a securității cibernetice, aflată acum din nou în dezbatere publică, după ce precedenta lege votată pe ascuns în Parlament anul trecut a fost desființată de Curtea Constituțională.
5 principii pentru o securitate informatică sănătoasă pentru întreaga societate
Scrisoare deschisă
Securitatea informatică este o problemă care ne privește pe toți.
Dar securitatea informatică NU înseamnă doar securitatea sistemelor informatice care sunt de interes pentru stat, ci și securitatea informațiilor noastre electronice. Fie că vorbim despre securitatea informațiilor personale (ex. date personale, informații private) sau de securitatea informațiilor unei companii (ex. liste de clienți, informații confidențiale de serviciu).
Dar, uneori, informațiile noastre nu trebuie partajate cu statul. Fie că vorbim despre o anchetă cu informații din surse care nu se fac publice, de baza de date de clienți ai unei firme sau de chestiuni strict personale ale unei persoane fizice. Deci cu atât mai mult securitatea informațiilor noastre nu trebuie să fie comunicată statului, decât atunci când există un interes public superior interesului privat în cauză.
Propunerea legii securității cibernetice nu reușește să facă această distincție și creează iluzia că am putea fi într-o insulă de siguranță informatică într-un ocean de Internet. Propunem 5 modificări de concepție pentru a putea avea un act normativ coerent și care să răspundă acestor principii:
Ce propune propunerea de lege actuală |
Ce propunem noi |
Practic toate persoanele juridice sunt subiecții legii [1]. |
Subiecții legii trebuie să fie exclusiv infrastructurile naționale de interes public. Acestea trebuie definite clar prin lege, nu să avem definiții neclare, ca în Anexa II din directiva NIS. |
În ciuda principiilor (art. 4 lit. e) [2]), sectorul privat este tratat în textul propus ca un simplu raportor de incidente de securitate. Mai mult, furnizorii de servicii de securitate cibernetică sunt obligați să devină niște delatori, având obligația să notifice SRI de posibile amenințări informatice, dar nu au aceiași obligație față de propriul client (art. 20 alin. (1) [3]). |
La ora actuală sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ în domeniul securității cibernetice (de ex. să fie reprezentat în organele de conducere ale CERT-RO), dar în același timp respectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate de la persoanele fizice (de ex. un furnizor de servicii de securitate nu ar trebui să poată să trimită o notificare fără acceptul scris al clientului său). |
Textul actual nominalizează 12 instituții cu diverse atribuții (art. 9 [4]) cu obligația de comunicare reciprocă de date între ele (art. 12 lit. j) [5]). Toate incidentele de securitate cibernetică trebuie raportate (art. 3 lit. m) [6], art. 20 alin. (1) b) [7], art. 24 [8]). |
Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore. |
Proiectul de lege include o serie de obligații pentru deținătorii de infrastructuri cibernetice (cam orice persoană juridică), ce pot fi contractate către „furnizori de servicii de securitate”. Proiectul este foarte ambiguu cu privire la acești furnizori. În schimb în art. 22 alin. (3) [9]) se ascunde o obligație de înregistrare și creare a unui Registrul Furnizorilor de Audit de Securitate Cibernetică, în condițiile unui simplu ordin de ministru. |
Dacă acești furnizori au un rol important în această lege, rolul lor trebuie precizat clar într-un capitol special. Dacă se cere înregistrarea furnizorilor de servicii de securitate cibernetică pentru a realiza audit, aceste norme trebuie stabilite de lege și nu prin legislație secundară. |
Legea include texte din domenii multiple fără o minimă corelare cu actele normative primare:
etc. |
Toate celelalte obligații de securita
|
Prezentul document va fi înaintat în cadrul dezbaterii publice organizate de MCSI din data de 12.02.2016.
Semnatari - persoane fizice și juridice
Asociația pentru Tehnologie și Internet - ApTI - www.apti.ro
Asociația pentru Apărarea Drepturilor Omului în România - Comitetul Helsinki - APADOR CH - www.apador.org
Adrian Munteanu - https://adimunteanu.wordpress.com/
Asociația Pentru Minți Pertinente AMPER - www.amper.org.ro
Centrul pentru Jurnalism Independent - www.cji.ro
Jani Monoses - http://janimo.blogspot.ro/
Costin Oproiu, inginer programator - https://www.facebook.com/costin.oproiu
Miliția Spirituală - https://www.militiaspirituala.ro
Centrul pentru Inovare Publică - http://inovarepublica.fundatia.ro/
ActiveWatch - www.activewatch.ro
Asociația Divanul AdBlog (Cristian Ghingheș, vicepreședinte) - https://www.facebook.com/divanul/
Constantin Ioaja
Lucian Rotaru
Asociația IAB România - www.iab-romania.ro
Alin Popescu - www.avocatnet.ro
Dan Matei ([email protected])
Asociația Frontieră Electronică (Ștefan Stere, președinte)
Zando Computer SRL
Daniel Buligă
Vlad Maier
Doru Ilași
Mihai Jalobeanu
Referințe:
[1] Legea se aplică „persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal” (art. alin. (2) lit. b). Definiția largă a infrastructurilor cibernetice face ca orice persoană juridică să fie inclusă în această categorie. Spre exemplu:
- orice firmă care are o bază de date cu clienți persoane fizice
- orice ONG care lucrează cu datele personale ale beneficiarilor pe un calculator
- orice instituție publică, oricât de mică
Toate acestea vor fi obligate să facă diverse raportări sau chiar audituri, de la caz la caz, generând costuri suplimentare pentru ele.
[2] Art. 4 lit. e) asigurarea unei guvernanţe participative, democratice și eficiente a spaţiului cibernetic prin cooperarea autorităţilor competente cu sectorul privat;
[3] Art. 20 alin. (1) Deţinătorii de infrastructuri cibernetice prevăzuți la art. 2 lit. a) - c) au următoarele obligaţii:
a) să asigure implementarea cerinţelor minime de securitate cibernetică;
b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;
c) să se asigure că datele şi/sau informaţiile referitoare la configurarea și protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le Cunoască;
d) să nu permită accesul la datele de conţinut din infrastructurile cibernetice deţinute sau aflate în competenţă, în lipsa unei înștiinţări scrise din partea autorităţilor abilitate, privind existenţa unei autorizaţii emise de judecător, în condiţiile legii;
e) să gestioneze incidentele de securitate cibernetică;
f) să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice.
[4] Art. 9 Pentru asigurarea securităţii cibernetice, instituțiile publice din România au atribuţii după cum urmează:
a) Ministerul Comunicaţiilor și pentru Societatea informaţională, cu rol de autoritate de reglementare şi control al implementării măsurilor privitoare la asigurarea securităţii cibernetice, cu excepţia instituţiilor prevăzute la lit. d) şi e);
b) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, desemnat punct naţional de contact cu entitățile de tip CERT naţionale şi internaţionale și autoritate competentă pentru coordonarea activităţilor în domeniul securității cibernetice a infrastructurilor cibernetice, altele decât cele menționate la lit. c), d) și e);
c) Serviciul Român de informaţii, prin Centrul Naţional de Securitate Cibernetică, desemnat autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice organizate și desfăşurate la nivelul infrastructurilor cibernetice de interes naţional, cu excepția infrastructurilor cibernetice de interes naţional aflate în administrarea sau responsabilitatea celorlalte autorităţi prevăzute la lit. d) şi e);
d) Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, desemnată autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice a furnizorilor de rețele publice de comunicaţii electronice sau furnizorilor de servicii de comunicaţii electronice destinate publicului;
e) Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, Serviciul Român de Informaţii, Serviciul de Informații Externe, Serviciul de Telecomunicaţii Speciale și Serviciul de Protecţie şi Pază sunt autorităţi responsabile de securitate cibernetică cu rol în stabilirea de structuri şi implementarea de măsuri proprii privind coordonarea şi controlul activităţilor referitoare la asigurarea securităţii cibernetice pentru infrastructurile cibernetice, inclusiv infrastructurile cibernetice de interes naţional, aflate în domeniul lor de activitate și responsabilitate.
[5] Art. 12 lit. j) să coopereze și să-și comunice reciproc date referitoare la securitatea cibernetică, inclusiv către celelalte autorităţi şi instituţii publice sau deţinători de infrastructuri cibernetice;
[6] Art. 3 lit. m) incident de securitate cibernetică - eveniment survenit în spaţiul cibernetic ale cărui consecințe afectează securitatea cibernetică;
[7] Art. 20 alin. 1 lit. b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;
[8] Art. 24 (1) Notificarea incidentelor de securitate cibernetică se transmite în modalitatea stabilită de autoritatea competentă şi trebuie să conţină, în mod obligatoriu, următoarele elemente:
a) elementele de identificare ale infrastructurii cibernetice afectate;
b) descrierea incidentului;