SRI și MAPN ar putea primi acces sporit și discreționar la date private, iar furnizorii de servicii de securitate cibernetică și-ar pârî propriii clienți – atenționează APTI

0
111

Serviciul Român de Informații (SRI) ori Ministerul Apărării Naționale (MAPN) ar putea primi un acces sporit și discreționar la problemele de securitate și la datele persoanelor private, iar furnizorii de servicii de securitate cibernetică s-ar transforma în delatori profesioniști, atenționează Asociația pentru Tehnologie și Internet (APTI) cu privire la noul proiect de lege privind securitatea și apărarea cibernetică.

CyberInt_SRIFoto: SRI

O nouă propunere legislativă în domeniul securității informative impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității, scrie APTI, asociație al cărei director executiv este Bogdan Manolea, jurist specializat în legislația internetului.

Este vorba de proiectul de lege scos în dezbatere publică, vineri, 4 noiembrie, de Ministerul Cercetării, Inovării și Digitalizării, condus de liberalul Sebastian Burduja, despre care HotNews.ro a scris că va obliga toți privații care dețin rețele și sisteme IT să notifice incidentele de securitate într-o platforma gestionată de DNSC, la care SRI, SIE, STS, MAPN și alte instituții vor avea acces garantat.

Principalele probleme identificate de APTI sunt:

  • măsuri disproporționate pentru categorii largi de actori privați;
  • definiții vagi, neclare sau care contrazic alte legi în vigoare;
  • delațiunea specialiștilor privați, ca procedeu de securizare a Internetului;
  • acces sporit si discreționar al serviciilor de informații la problemele de securitate și la datele persoanelor private.

Nu orice site trebuie să fie supus obligațiilor de securitate, conform directivelor UE

Asociația susține printre altele că datele personale ale persoanelor private, și securitatea sistemelor pe care sunt stocate, nu trebuie să fie comunicate statului decât ca excepție, decât atunci când există un interes public superior interesului privat în cauză, aspecte care sunt deja definite limitat de Directivele europene NIS1 și NIS2.

Asociația spune că includerea în Art 3 (1) c) a rețelelor și sistemelor informatice ale persoanelor juridice care furnizează servicii publice ori de interes public (fără a defini acești termeni în cuprinsul acestui act normativ) face ca spectrul de aplicare să fie exagerat de larg.

„Obligația de notificare în 24 de ore și obligațiile de la Art 40 sunt imposibil de îndeplinit pentru oricare din următoarele:

  • un site cu 3 utilizatori, administrat de un PFA la ONG, care oferă un serviciu online (care este public prin definiție),
  • un site care aparține unei publicații mici mass-media, serviciu gratuit sau plătit,
  • un mic magazin offline (care și el are un serviciu public) dotat cu casă de marcat electronică (deci un sistem informatic).

Așadar, este de neînțeles includerea sectorului privat într-o singură categorie cu rețelele sectorului public în următoarea formulare:

  • “c) rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale, altele decât cele prevăzute la lit. a), precum și de persoane juridice care desfășoară activități industriale, de cercetare științifică sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b).”

Recomandarea noastră este de corelare a acestui subiect cu categoriile de rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de persoane juridice conform directivei NIS2 (citată și de autorii propunerii în expunerea de motive) și care probabil va intra în vigoare până la finalul lui 2022:

  • limitarea actorilor privați cu obligații exclusiv la sectoarele acoperite de NIS1 și NIS2;
  • limitarea la actori mari și mijlocii, și excluderea actorilor mici, inclusiv din aceste sectoare pentru a evita măsuri excesive și imposibil a fi implementate;
  • acordarea unei singure obligației de notificare a incidentelor de securitate în legea de implementare a directivei NIS2.”, scrie APTI.

Furnizorii de servicii de securitate ar deveni delatori profesioniști

Un alt aspect criticat este articolul 24 care prevede următoarele:

  • “Furnizorii de servicii de securitate cibernetică au obligația de a pune la dispoziția autorităților prevăzute la art. 10 (n.a DNSC, SRI, SIE, STS, MAPN, MAI, SPP etc. ), la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau sistem informatic a deținătorului sau a unor terți”

„Scopul unui furnizor de servicii de securitate este acela de a proteja și de a rezolva problemele clientului său. De obicei, furnizorii de servicii de securitate cibernetică sunt niște profesioniști tehnici care au obligații contractuale de confidențialitate extrem de stricte față de clienții lor (din România sau străinătate). O parte din informațiile la care au access, sau pe care le descoperă, sunt legate de incidente, amenințări, riscuri sau vulnerabilități.

Conform proiectului de lege privind securitatea cibernetică a României, acești furnizori sunt obligați ca, la orice întrebare de la una din instituțiile din Art. 10, să pârască propriii clienți. Fără mandat judecătoresc, fără autorizație precisă, acești furnizori sunt obligați să dea informații despre starea securității unui client, sau, mai rău, a unei întregi infrastructuri (ceea ce poate include informații personale și secrete ale mai multor clienți, fie ei direct afectați de o posibilă vulnerabilitate sau nu).

O asemenea obligație – care a făcut parte și din legea cu același obiect declarată neconstituțională prin decizia CCR 17/2015 – ar fi asemănătoare obligației unui auditor sau contabil ca în primul rând să pârască la ANAF și nu să își sfatuiască clientul ce trebuie să facă pentru a fi în legalitate.”, avertizează APTI.

Care sunt, de fapt, sistemele informatice din competența SRI? Le mai poate identifica cineva?

APTI mai solicită definirea separată, corectă și completă a Art 10 alin d) astfel încât să fie clar care sunt exact domeniile de competență ale fiecărei instituții. În prezent, textul este vag și folosește termeni generici: “a rețelelor și sistemelor informatice din domeniul lor de competență, activitate sau responsabilitate.”

Art. 10, alin d) este următorul:

  • “Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Oficiul Registrului Național al Informațiilor Secrete de Stat, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază pentru asigurarea securității și apărării cibernetice, respectiv pentru cunoașterea, prevenirea și contracararea amenințărilor cibernetice la adresa rețelelor și sistemelor informatice din domeniul lor de competență, activitate sau responsabilitate. În acest sens, stabilesc structuri și măsuri tehnice și organizatorice privind coordonarea și controlul activităților de securitate și apărare cibernetică.”

Asociația subliniază că din textul de mai sus este imposibil să știm, de exemplu, care ar putea fi sistemele informatice din domeniul de competență sau responsabilitate a SRI.

  • „Includ acestea sistemele informatice instalate în alte instituții publice prin proiectul SII Analytics? Includ sisteme pe care le vor achiziționa – poate – pentru cloud-ul guvernamental? Includ sisteme informatice de interceptare a comunicațiilor electronice instalate de SRI, dar folosite astăzi de alte organe din domeniul cercetării penale (ca urmare a deciziei CCR 51/2016)? Tocmai pentru a evita aceste neclarități ar trebui rescris textul în vederea clarificării și delimitării atribuțiilor fiecărei instituții.”, spune APTI.

Nu trebuie incluse activitățile și sistemele din domeniul civil în domeniul militar

Un alt aspect criticat de Asociație vizează definiția „apărării cibernetice”, pentru care MAPN este desemnată autoritate competentă la nivel național.

Iată cum este definită apărarea cibernetică la Art. 2:

  • a) apărare cibernetică – totalitatea activităților, mijloacelor și măsurilor utilizate pentru a contracara amenințările provenite din spațiul cibernetic și a atenua efectele acestora asupra sistemelor de comunicații și tehnologia informației, sistemelor de armament, rețelelor și sistemelor informatice, inclusiv cele ce susțin capabilitățile militare de apărare;

Definiția apărării cibernetice, spune APTI, trebuie limitată pentru a se adresa exclusiv activităților legate de domeniul militar și a exclude activitățile sau sistemele informatice din sectorul civil. În caz contrar definiția și Art de la 29 sau 30 vor privi întreg Internetul ca un spațiu de manevră a acțiunilor militare.

O altfel de interpretare ar încălca principiul enunțat de CCR prin declarația de neconstituționalitate din 17/2015: “Instituțiile care se ocupă de domeniul securității cibernetice trebuie să fie organisme civile, sub controlul cetățenilor”.

Accesul la platforma natională cu incidente de securitate IT este neclar

Un alt aspect criticat de APTI este „accesul garantat” pe care-l vor avea Serviciile de Informații, MAI, SPP ori MAPN la platforma națională pentru raportarea incidentelor de securitate cibernetice – PNRISC.

Articolul 19 prevede următoarele:

  • (1) DNSC dezvoltă și asigură managementul Platformei naționale pentru raportarea incidentelor de securitate cibernetică, denumită în continuare PNRISC.
  • (2) Autoritățile prevăzute la art. 10 au acces garantat la PNRISC.
  • (3) Accesul la informațiile din PNRISC este restricționat prin politici de confidențialitate stabilite și implementate de DNSC.

APTI subliniază că termenii din Art 19 alin 2 si 3 sunt neclari și nu iau în considerare protectia datelor confidențiale trimise de subiecții legii (fie date legate de propriile vulnerabilități, fie date personale).

O politică de confidențialitate nu poate fi un mecanism de protecție a acestor informații, pentru că DNSC poate redacta această politică după bunul plac. Mai mult, ce treabă ar avea ORNISS sau SPP cu un incident declarat de un furnizor privat?

În opinia noastra alin 2 trebuie reformulat ca ”Autoritățile să aibă acces – pe baza dreptului specific de a avea nevoie conform obligațiilor legale, stabilit in mod precis prin lege – la date statistice sau raporturi anonimizate”.

Alin 3 trebuie reformulat pentru a preciza că scopul acelor norme de confidențialitate este de a proteja datele personale și alte informații nepublice. Mai mult, scopul accesului este limitat la folosirea informațiilor în scopul asigurarii propriei securități informatice.”, susține APTI.

Asociația spune că a trimis observațiile către Minister și că a solicitat o dezbatere publică pe tema proiectului de lege.

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here