FreeEx Bună guvernare

5 motive pentru care contestăm noul proiect de lege a securității cibernetice

, 8 Feb 2016

ActiveWatch susține scrisoarea inițiată de APADOR-CH și Asociația pentru Tehnologie și Internet (ApTI) prin care cele două organizații semnalează, în 5 idei principale, de ce nu sunt de acord cu noul proiect de Lege a securității cibernetice, aflată acum din nou în dezbatere publică, după ce precedenta lege votată pe ascuns în Parlament anul trecut a fost desființată de Curtea Constituțională.
 

5 principii pentru o securitate informatică sănătoasă pentru întreaga societate

Scrisoare deschisă


Securitatea informatică este o problemă care ne privește pe toți.


Dar securitatea informatică NU înseamnă doar securitatea sistemelor informatice care sunt de interes pentru stat, ci și securitatea informațiilor noastre electronice. Fie că vorbim despre securitatea informațiilor personale (ex. date personale, informații private) sau de securitatea informațiilor unei companii (ex. liste de clienți, informații confidențiale de serviciu).


Dar, uneori, informațiile noastre nu trebuie partajate cu statul. Fie că vorbim despre o anchetă cu informații din surse care nu se fac publice, de baza de date de clienți ai unei firme sau de chestiuni strict personale ale unei persoane fizice. Deci cu atât mai mult securitatea informațiilor noastre nu trebuie să fie comunicată statului, decât atunci când există un interes public superior interesului privat în cauză.


Propunerea legii securității cibernetice
nu reușește să facă această distincție și creează iluzia că am putea fi într-o insulă de siguranță informatică într-un ocean de Internet. Propunem 5 modificări de concepție pentru a putea avea un act normativ coerent și care să răspundă acestor principii:


Ce propune propunerea de lege actuală

Ce propunem noi

Practic toate persoanele juridice sunt subiecții legii [1].

Subiecții legii trebuie să fie exclusiv infrastructurile naționale de interes public. Acestea trebuie definite clar prin lege, nu să avem definiții neclare, ca în Anexa II din directiva NIS.

În ciuda principiilor (art. 4 lit. e) [2]), sectorul privat este tratat în textul propus ca un simplu raportor de incidente de securitate. Mai mult, furnizorii de servicii de securitate cibernetică sunt obligați să devină niște delatori, având obligația să notifice SRI de posibile amenințări informatice, dar nu au aceiași obligație față de propriul client (art. 20 alin. (1) [3]).

La ora actuală sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ în domeniul securității cibernetice (de ex. să fie reprezentat în organele de conducere ale CERT-RO), dar în același timp respectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate de la persoanele fizice (de ex. un furnizor de servicii de securitate nu ar trebui să poată să trimită o notificare fără acceptul scris al clientului său).

Textul actual nominalizează 12 instituții cu diverse atribuții (art. 9 [4]) cu obligația de comunicare reciprocă de date între ele (art. 12 lit. j) [5]). Toate incidentele de securitate cibernetică trebuie raportate (art. 3 lit. m) [6], art. 20 alin. (1) b) [7], art. 24 [8]).

Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore.

Proiectul de lege include o serie de obligații pentru deținătorii de infrastructuri cibernetice (cam orice persoană juridică), ce pot fi contractate către „furnizori de servicii de securitate”. Proiectul este foarte ambiguu cu privire la acești furnizori. În schimb în art. 22 alin. (3) [9]) se ascunde o obligație de înregistrare și creare a unui Registrul Furnizorilor de Audit de Securitate Cibernetică, în condițiile unui simplu ordin de ministru.

Dacă acești furnizori au un rol important în această lege, rolul lor trebuie precizat clar într-un capitol special. Dacă se cere înregistrarea furnizorilor de servicii de securitate cibernetică pentru a realiza audit, aceste norme trebuie stabilite de lege și nu prin legislație secundară.

Legea include texte din domenii multiple fără o minimă corelare cu actele normative primare:

  • obligații pentru operatorii de date personale, ignorându-se Legea 677/2001, Ordinul 52/2002 al Avocatului Poporului și ANSPDCP

  • obligații pentru furnizorii de comunicații electronice, ignorându-se prevederile Legii 506/2004, OUG 111/2011 și obligații deja existente de la ANCOM de raportare a incidentelor de securitate

  • obligații pentru furnizorii de găzduire (art. 23 [10]) care contrazic Legea 365/2002

etc.

Toate celelalte obligații de securita


te a informației trebuie incluse în legislația sectorială (ex. securitatea datelor personale în legea datele personale, securitatea comunicațiilor electronice în legislația comunicațiilor electronice, furnizorii de găzduire în Legea 365/2002, securitatea instituțiilor subordonate SPP în legislația SPP, etc.)


Prezentul document va fi înaintat în cadrul dezbaterii publice organizate de MCSI din data de     12.02.2016.

Semnatari - persoane fizice și juridice

Asociația pentru Tehnologie și Internet - ApTI - www.apti.ro

Asociația pentru Apărarea Drepturilor Omului în România - Comitetul Helsinki - APADOR CH - www.apador.org

Adrian Munteanu - https://adimunteanu.wordpress.com/

Asociația Pentru Minți Pertinente AMPER - www.amper.org.ro

Centrul pentru Jurnalism Independent - www.cji.ro

Jani Monoses  -  http://janimo.blogspot.ro/

Costin Oproiu, inginer programator - https://www.facebook.com/costin.oproiu  

Miliția Spirituală - https://www.militiaspirituala.ro

Centrul pentru Inovare Publică - http://inovarepublica.fundatia.ro/

ActiveWatch - www.activewatch.ro

Asociația Divanul AdBlog (Cristian Ghingheș, vicepreședinte) - https://www.facebook.com/divanul/

Constantin Ioaja

Lucian Rotaru

Asociația IAB România - www.iab-romania.ro

Alin Popescu - www.avocatnet.ro

Dan Matei ([email protected])

Asociația Frontieră Electronică (Ștefan Stere, președinte)

Zando Computer SRL

Daniel Buligă

Vlad Maier

Doru Ilași

Mihai Jalobeanu

Referințe:

[1] Legea se aplică „persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal” (art. alin. (2) lit. b). Definiția largă a infrastructurilor cibernetice face ca orice persoană juridică să fie inclusă în această categorie. Spre exemplu:

- orice firmă care are o bază de date cu clienți persoane fizice

- orice ONG care lucrează cu datele personale ale beneficiarilor pe un calculator

- orice instituție publică, oricât de mică

Toate acestea vor fi obligate să facă diverse raportări sau chiar audituri, de la caz la caz, generând costuri suplimentare pentru ele.

[2] Art. 4 lit. e) asigurarea unei guvernanţe participative, democratice și eficiente a spaţiului cibernetic prin cooperarea autorităţilor competente cu sectorul privat;

[3] Art. 20 alin. (1) Deţinătorii de infrastructuri cibernetice prevăzuți la art. 2 lit. a) - c) au următoarele obligaţii:

a) să asigure implementarea cerinţelor minime de securitate cibernetică;

b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;

c) să se asigure că datele şi/sau informaţiile referitoare la configurarea și protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le Cunoască;

d) să nu permită accesul la datele de conţinut din infrastructurile cibernetice deţinute sau aflate în competenţă, în lipsa unei înștiinţări scrise din partea autorităţilor abilitate, privind existenţa unei autorizaţii emise de judecător, în condiţiile legii;

e) să gestioneze incidentele de securitate cibernetică;

f) să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice.

[4] Art. 9 Pentru asigurarea securităţii cibernetice, instituțiile publice din România au atribuţii după cum urmează:

a) Ministerul Comunicaţiilor și pentru Societatea informaţională, cu rol de autoritate de reglementare şi control al implementării măsurilor privitoare la asigurarea securităţii cibernetice, cu excepţia instituţiilor prevăzute la lit. d) şi e);

b) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, desemnat punct naţional de contact cu entitățile de tip CERT naţionale şi internaţionale și autoritate competentă pentru coordonarea activităţilor în domeniul securității cibernetice a infrastructurilor cibernetice, altele decât cele menționate la lit. c), d) și e);

c) Serviciul Român de informaţii, prin Centrul Naţional de Securitate Cibernetică, desemnat autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice organizate și desfăşurate la nivelul infrastructurilor cibernetice de interes naţional, cu excepția infrastructurilor cibernetice de interes naţional aflate în administrarea sau responsabilitatea celorlalte autorităţi prevăzute la lit. d) şi e);

d) Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, desemnată autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice a furnizorilor de rețele publice de comunicaţii electronice sau furnizorilor de servicii de comunicaţii electronice destinate publicului;

e) Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, Serviciul Român de Informaţii, Serviciul de Informații Externe, Serviciul de Telecomunicaţii Speciale și Serviciul de Protecţie şi Pază sunt autorităţi responsabile de securitate cibernetică cu rol în stabilirea de structuri şi implementarea de măsuri proprii privind coordonarea şi controlul activităţilor referitoare la asigurarea securităţii cibernetice pentru infrastructurile cibernetice, inclusiv infrastructurile cibernetice de interes naţional, aflate în domeniul lor de activitate și responsabilitate.

[5] Art. 12 lit. j) să coopereze și să-și comunice reciproc date referitoare la securitatea cibernetică, inclusiv către celelalte autorităţi şi instituţii publice sau deţinători de infrastructuri cibernetice;

[6] Art. 3  lit. m) incident de securitate cibernetică - eveniment survenit în spaţiul cibernetic ale cărui consecințe afectează securitatea cibernetică;

[7] Art. 20 alin. 1 lit. b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;

 

[8] Art. 24 (1) Notificarea incidentelor de securitate cibernetică se transmite în modalitatea stabilită de autoritatea competentă şi trebuie să conţină, în mod obligatoriu, următoarele elemente:

a) elementele de identificare ale infrastructurii cibernetice afectate;

b) descrierea incidentului;

Share această pagină: