5 motive pentru care contestăm noul proiect de lege a securității cibernetice
Împreună cu Asociația pentru Tehnologie și Internet (ApTI) am semnat o scrisoare deschisă prin care semnalăm, în 5 idei principale, de ce nu suntem de acord cu noul proiect de Lege a securității cibernetice, aflată acum din nou în dezbatere publică, după ce precedenta lege votată pe ascuns în Parlament anul trecut a fost desființată de Curtea Constituțională.
5 principii pentru o securitate informatică sănătoasă pentru întreaga societate
Scrisoare deschisă
Securitatea informatică este o problemă care ne privește pe toți.
Dar securitatea informatică NU înseamnă doar securitatea sistemelor informatice care sunt de interes pentru stat, ci și securitatea informațiilor noastre electronice. Fie că vorbim despre securitatea informațiilor personale (ex. date personale, informații private) sau de securitatea informațiilor unei companii (ex. liste de clienți, informații confidențiale de serviciu).
Dar, uneori, informațiile noastre nu trebuie partajate cu statul. Fie că vorbim despre o anchetă cu informații din surse care nu se fac publice, de baza de date de clienți ai unei firme sau de chestiuni strict personale ale unei persoane fizice. Deci cu atât mai mult securitatea informațiilor noastre nu trebuie să fie comunicată statului, decât atunci când există un interes public superior interesului privat în cauză.
Propunerea legii securității cibernetice nu reușește să facă această distincție și creează iluzia că am putea fi într-o insulă de siguranță informatică într-un ocean de Internet. Propunem 5 modificări de concepție pentru a putea avea un act normativ coerent și care să răspundă acestor principii:
Ce spune propunerea de lege actuală | Ce propunem noi |
Practic toate persoanele juridice sunt subiecții legii [1]. | Subiecții legii trebuie să fie exclusiv infrastructurile naționale de interes public. Acestea trebuie definite clar prin lege, nu să avem definiții neclare, ca în Anexa II din directiva NIS. |
În ciuda principiilor (art. 4 lit. e) [2]), sectorul privat este tratat în textul propus ca un simplu raportor de incidente de securitate. Mai mult, furnizorii de servicii de securitate cibernetică sunt obligați să devină niște delatori, având obligația să notifice SRI de posibile amenințări informatice, dar nu au aceiași obligație față de propriul client (art. 20 alin. (1) [3]). | La ora actuală sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ în domeniul securității cibernetice (de ex. să fie reprezentat în organele de conducere ale CERT-RO), dar în același timp respectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate de la persoanele fizice (de ex. un furnizor de servicii de securitate nu ar trebui să poată să trimită o notificare fără acceptul scris al clientului său). |
Textul actual nominalizează 12 instituții cu diverse atribuții (art. 9 [4]) cu obligația de comunicare reciprocă de date între ele (art. 12 lit. j) [5]). Toate incidentele de securitate cibernetică trebuie raportate (art. 3 lit. m) [6], art. 20 alin. (1) b) [7], art. 24 [8]). | Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore. |
Proiectul de lege include o serie de obligații pentru deținătorii de infrastructuri cibernetice (cam orice persoană juridică), ce pot fi contractate către „furnizori de servicii de securitate”. Proiectul este foarte ambiguu cu privire la acești furnizori. În schimb în art. 22 alin. (3) [9]) se ascunde o obligație de înregistrare și creare a unui Registrul Furnizorilor de Audit de Securitate Cibernetică, în condițiile unui simplu ordin de ministru. | Dacă acești furnizori au un rol important în această lege, rolul lor trebuie precizat clar într-un capitol special. Dacă se cere înregistrarea furnizorilor de servicii de securitate cibernetică pentru a realiza audit, aceste norme trebuie stabilite de lege și nu prin legislație secundară. |
Legea include texte din domenii multiple fără o minimă corelare cu actele normative primare:
etc. |
Toate celelalte obligații de securitate a informației trebuie incluse în legislația sectorială (ex. securitatea datelor personale în legea datele personale, securitatea comunicațiilor electronice în legislația comunicațiilor electronice, furnizorii de găzduire în Legea 365/2002, securitatea instituțiilor subordonate SPP în legislația SPP, etc.) |
Prezentul document va fi înaintat în cadrul dezbaterii publice organizate de MCSI din data de 12.02.2015.
Semnatari – persoane fizice și juridice
- Asociația pentru Tehnologie și Internet – ApTI – www.apti.ro
- Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki – APADOR CH – www.apador.org
-
Adrian Munteanu – https://adimunteanu.wordpress.com/
-
Asociația Pentru Minți Pertinente AMPER – www.amper.org.ro
-
Centrul pentru Jurnalism Independent – www.cji.ro
-
Jani Monoses – http://janimo.blogspot.ro/
-
Costin Oproiu, inginer programator – https://www.facebook.com/costin.oproiu
-
Miliția Spirituală – https://www.militiaspirituala.ro
-
Centrul pentru Inovare Publică – http://inovarepublica.fundatia.ro/
- ActiveWatch – http://www.activewatch.ro/
- Lista e deschisă, semnați aici: https://docs.google.com/document/d/1CIQ26Wv39cbeAt9iZek5XgkcYzrkSHIJwKhMc_uGi-I/edit
Referințe:
[1] Legea se aplică „persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal” (art. alin. (2) lit. b). Definiția largă a infrastructurilor cibernetice face ca orice persoană juridică să fie inclusă în această categorie. Spre exemplu:
- – orice firmă care are o bază de date cu clienți persoane fizice
- – orice ONG care lucrează cu datele personale ale beneficiarilor pe un calculator
- – orice instituție publică, oricât de mică
Toate acestea vor fi obligate să facă diverse raportări sau chiar audituri, de la caz la caz, generând costuri suplimentare pentru ele.
[2] Art. 4 lit. e) asigurarea unei guvernanţe participative, democratice și eficiente a spaţiului cibernetic prin cooperarea autorităţilor competente cu sectorul privat;
[3] Art. 20 alin. (1) Deţinătorii de infrastructuri cibernetice prevăzuți la art. 2 lit. a) – c) au următoarele obligaţii:
- a) să asigure implementarea cerinţelor minime de securitate cibernetică;
- b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;
- c) să se asigure că datele şi/sau informaţiile referitoare la configurarea și protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le Cunoască;
- d) să nu permită accesul la datele de conţinut din infrastructurile cibernetice deţinute sau aflate în competenţă, în lipsa unei înștiinţări scrise din partea autorităţilor abilitate, privind existenţa unei autorizaţii emise de judecător, în condiţiile legii;
- e) să gestioneze incidentele de securitate cibernetică;
- f) să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice.
[4] Art. 9 Pentru asigurarea securităţii cibernetice, instituțiile publice din România au atribuţii după cum urmează:
- a) Ministerul Comunicaţiilor și pentru Societatea informaţională, cu rol de autoritate de reglementare şi control al implementării măsurilor privitoare la asigurarea securităţii cibernetice, cu excepţia instituţiilor prevăzute la lit. d) şi e);
- b) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, desemnat punct naţional de contact cu entitățile de tip CERT naţionale şi internaţionale și autoritate competentă pentru coordonarea activităţilor în domeniul securității cibernetice a infrastructurilor cibernetice, altele decât cele menționate la lit. c), d) și e);
- c) Serviciul Român de informaţii, prin Centrul Naţional de Securitate Cibernetică, desemnat autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice organizate și desfăşurate la nivelul infrastructurilor cibernetice de interes naţional, cu excepția infrastructurilor cibernetice de interes naţional aflate în administrarea sau responsabilitatea celorlalte autorităţi prevăzute la lit. d) şi e);
- d) Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, desemnată autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice a furnizorilor de rețele publice de comunicaţii electronice sau furnizorilor de servicii de comunicaţii electronice destinate publicului;
- e) Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, Serviciul Român de Informaţii, Serviciul de Informații Externe, Serviciul de Telecomunicaţii Speciale și Serviciul de Protecţie şi Pază sunt autorităţi responsabile de securitate cibernetică cu rol în stabilirea de structuri şi implementarea de măsuri proprii privind coordonarea şi controlul activităţilor referitoare la asigurarea securităţii cibernetice pentru infrastructurile cibernetice, inclusiv infrastructurile cibernetice de interes naţional, aflate în domeniul lor de activitate și responsabilitate.
[5] Art. 12 lit. j) să coopereze și să-și comunice reciproc date referitoare la securitatea cibernetică, inclusiv către celelalte autorităţi şi instituţii publice sau deţinători de infrastructuri cibernetice;
[6] Art. 3 lit. m) incident de securitate cibernetică – eveniment survenit în spaţiul cibernetic ale cărui consecințe afectează securitatea cibernetică;
[7] Art. 20 alin. 1 lit. b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;
[8] Art. 24 (1) Notificarea incidentelor de securitate cibernetică se transmite în modalitatea stabilită de autoritatea competentă şi trebuie să conţină, în mod obligatoriu, următoarele elemente:
- a) elementele de identificare ale infrastructurii cibernetice afectate;
- b) descrierea incidentului;
- c) perioada de desfăşurare a incidentului;
- d) impactul incidentului.
(2) Pentru gestionarea incidentelor de securitate cibernetică, deținătorii de infrastructuri cibernetice pot solicita sprijinul furnizorilor de servicii de securitate cibernetică sau al autorităților prevăzute de art. 9 lit. b) – e), potrivit competențelor acestora, cărora le pot pune la dispoziție date tehnice referitoare la incidentele şi atacurile cibernetice pe care le gestionează, cu asigurarea anonimizării datelor cu caracter personal deţinute.
(3) Datele tehnice transmise în condițiile prevăzute la alin. (2) nu vor conţine:
a) informații clasificate;
b) date care pot aduce atingere drepturilor şi libertăţilor cetăţeneşti ori intereselor legitime ale unor terţe entităţi implicate.
[9] Art. 22 alin. (3) Furnizorii de servicii de securitate cibernetică care realizează audit de securitate pentru infrastructuri cibernetice de interes naţional au obligaţia de a se înregistra la Ministerul Comunicaţiilor și pentru Societatea Informaţională, potrivit normelor aprobate prin ordin al ministrului, care stabilesc condiţiile pentru înregistrarea și radierea acestora din Registrul Furnizorilor de Audit de Securitate Cibernetică.
[10] Art. 23 (1) Furnizorii de servicii de găzduire internet care desfășoară activităţi pe teritoriul României au obligaţia să acorde sprijin autorităţilor competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exerciţiului drepturilor și libertăţilor persoanelor, emis de judecător.
(2) Furnizorii de servicii de găzduire internet au obligaţia de a înregistra și stoca date de jurnalizare a activităţilor din sistemele informatice deţinute care fac obiectul actului de autorizare de la alin. (1), pe toată perioada de valabilitate a acestuia.
(3) Persoanele care sunt chemate să acorde spriijn tehnic la punerea în executare a actelor de autorizare, precum și persoanele care iau la cunoștință despre aceasta au obligaţia să păstreze secretul operațiunii efectuate, sub sancţiunea legii penale