Noua propunere de lege a securității cibernetice – de ce e aceiași Mărie cu altă Pălărie

După cum ați aflat deja, acum 2 zile MCSI a propus o nouă lege privind securitatea cibernetică (citiți de aici textul și expunerea de motive). Propunerea vine la 1 an după ce vechea propunere, trecută lapidar prin neconsultare publică și nediscutare în Parlament, a fost respinsă integral de Curtea Constituțională.

Încercăm așadar o analiză la cald a noii propuneri, fără să ne ascundem dezamăgirile, dar remarcând totuși evoluția față de anul trecut – măcar chestiunile neconstituționale majore (accesul la date fără mandat de la judecător sau SRI ca auditor al sistemelor informatice) nu mai apar în noul proiect.

Problema de fond – o Marie cu o altă Pălărie

Noul proiect este o versiune resăpată a vechiului proiect cu mult mai alambicată și mai generică, dar cu același principii ca data trecută:

toate persoanele juridice sunt subiecții legii (legea zice în art. 2 că doar cele care au calculatoare care prelucrează date cu caracter personal – să fim serioși ce persoană juridică care folosește un calculator nu are date personale pe el. Măcar datele angajaților sau datele din facturi și tot ai)

toate persoanele juridice trebuie să “elaboreze și să implementeze politici și planuri de securitate cibernetică”, inclusiv să aibă măsuri organizatorice și tehnice pentru “managementul incidentelor de securitate” și să raporteze “toate incidentele de securitate”. Toate aceste vor fi realizate fără niciun impact financiar pentru aceste persoane juridice – conform expunerii de motive.

Statul se ocupă de asigurarea securității cibernetice (vezi art. 9 pentru lunga listă de acronime – MCSI, CERT, SRI, ANCOM, MApN, MAI, ORNISS, iarăși ANCOM, iarăși SRI, SIE și STS care devin toate “autoriăți responsabile” pe diverse paliere prea vagi pentru a fi identificate la prima citire)

De aici începe problema principală – proiectul de lege vede securitatea informatică ca pe o problemă a statului, care trebuie să vina și să le spună cetățenilor și persoanelor juridice ce și cum trebuie să facă. Trebuie să-i fie raportate incidentele de securitate și să dea amenzi pentru cei care nu le respectă. De ce? Ca să facem cetățeanul să fie sigur, chiar dacă el nu vrea.

Să luam un exemplu, pentru a fi mai clari

OchiulVesel SRL e o firmă care produce ochelari. Pentru că OchiulVesel SRL are o baza de date de clienți pe un laptop, el se va supune legii securității cibernetice, deși o ține pe o partiție separată și criptată. Administratorul OchiulVesel SRL observă că are pe un browser o infecție, care face ca atunci când caută o pagină care nu există, de fapt îl duce pe o pagină de reclame. Băiat inteligent și calculatorist, Administratorul OchiulVesel SRL își dă seama că are un “incident de securitate” și deci este obligat conform art. 20 1(b) și 24 să notifice MCSI (cu toate detaliile) că are o problemă, deși nu afectează datele personale. Altfel, primește amendă. MCSI va păstra aceste date timp de 5 ani de zile. Societatea românească e dintr-o dată sigură și fericită.

Dar înlocuiți în exemplul de mai sus ca în loc de OchiulVesel SRL să fie o redacție de presă care face o anchetă asupra MCSI sau SRI. Și redacția trebuie să raporteze toate “incidentele de securitate” fie către MCSI, fie către SRI (dacă intră în vaga listă de infrastructuri cibernetice de interes național – ICIN), inclusiv dacă a avut un acces neautorizat la subiectul în lucru. Care poate conține și identitatea sursei…

Nu e mai bine să ajutăm și redacțiile de presa. Chiar dacă ele nu vor !?!

Și cum ar trebui să fie?

Deci problema nu este o lege a securității informatice, ci cu această propunere. Care nu ține cont că de fapt sectorul privat este cel care face jocurile în acest domeniu. Și care este interesat de securitatea IT nu pentru că ii zice statul, ci pentru că așa își protejează secretele comerciale sau baza de date cu clienți. Care sunt mai importante decât orice amendă de 1000 de lei. Și nu ține cont nici că veriga slabă – și în același timp veriga principală – este cetățeanul. Pentru că poți să ai cele mai fabuloase proceduri de securitate, dacă Gigel de la Cazane își pune parola 123, ele sunt zero barat. La fel, dacă Maricica de la Contabilitate trebuie să folosească doar Internet Explorer 6.0 să acceseze zona de depuneri de la Ministerul Finanțelor.

De aceea statul nu trebuie să își propună să rezolve securitatea cibernetică a națiunii (și de fapt nici nu poate practic în condițiile Internetului), ci să-și controleze instituțiile publice ca să aibă un minim de proceduri, iar din sectorul privat exclusiv acele zone care sunt efectiv critice pentru întreaga societate. Nu mai departe decât directiva NIS (deja agreată la nivelul UE) și ignorată din nou de MCSI vine cu o lista clară și fără echivoc de 7 tipuri de operatori considerați critici (vezi Anexa II paginile 52-54): furnizori de electricitate, gaze, petrol, servicii transport, servici bancare, servicii de sănătate, apă de băut. Iar din cei digitali sunt doar 3 tipuri mari și late: Internet Exchange Points, furnizori de servicii de nume de domenii și registrii Top Level Domain.

Deci nici OchiulVesel SRL și nici Redacțiaonline.

Alte chestiuni punctuale

Deja am scris mult și încă nici nu am ajuns la puricarea textului articol cu articol (îmi e și greu, având doar un text în PDF – dar cu stampilă!), dar sunt cel puțin alte trei subiecte care efectiv au sărit în ochi:

Securitatea datelor personale este prevăzută ca principalul principiu al legii. Doar că astea sunt vorbe goale, pentru că legea nu doar că nici măcar nu menționează Legea 677/2001 sau Autoritatea din domeniu, dar nici măcar nu prevede ceea ce ar trebui să aducă ca noutate pe domeniul securității datelor personale – raportarea pierderii datelor personale (data breach), pentru a intra în trendul european.

Menționarea furnizorilor de servicii de găzduire Internet în mod expres la art. 2 d) mi-a sărit în ochi. Cu ce ar fi ei mai speciali decât restul furnizorilor societății informaționale? De ce nu se păstrează regimul lor din Legea 365/2002? Singurul răspuns este articolul 23 care pare a le fi dedicat – și care îi obligă în alin. a) să respecte o eventuală decizie judecătorească (pentru asta nu îți trebuie un articol special!) pentru restrângerea drepturilor și libertăților persoanelor (adica ce? libertatea de exprimare, viața privată?) și în alineatul următor să… păstreze orice date de interacțiune cu acel sistem informatic. Adică cum? ce date? pentru ce? Dacă eu, care am văzut de vreo 15 ani legi în domeniu nu-mi dau seama ce vrea să spună…

Dacă ar fi să ne întoarcem și la motivația reală a vechii legii, unele voci șopteau că scopul este de fapt realizarea unui business pentru un nou corp de auditori de securitate cibernetică (spre deosebire de noțiunea de securitate informatică sau securitatea informației, deja practicată astăzi și unde corpul de auditori este auto-reglementat). Ei bine, noul text strecoară în art. 22 alin. 3 noua obligație prin care așa numiții furnizori de servicii de securitate cibernetică care fac audit de securitate pentru ICIN vor trebui să fie autorizați de același MCSI, care va stabili detaliile într-un ordin. Eh, detalii, ce surpriză!

Culmea este că obligația este strecurată într-un articol din noul act normativ (art. 22) care ilustrează cel mai bine scopul legii - articolul obligă furnizorii de servicii de securitate cibernetică să notifice autoritățile competente în maxim 24 de ore de amenințări care pot afecta infrastructura critică a deținătorului (care nu e definit). Deci în loc ca obligația principală a expertului în securitate să fie să rezolve problema clientului și să îi securizeze sistemul informatic – ei bine, nu, singura obligație prevăzută de lege este să raporteze incidentele către autoritățile competente.

Ne auzim pe săptămâna viitoare, când o să reușim să finalizăm și analiza pe articole.