Noua propunere de lege privind securitatea cibernetica adoptata de guvern pe 30 Aprilie 2014 a trecut aproape neobservata, desi ar trebui sa priveasca orice cetatean detinator de telefon mobil, calculator sau laptop. Pentru ca prin noua lege acestia vor avea nu doar obligatia “să adopte şi să pună în aplicare politici de securitate cibernetică", dar si “să permită accesul reprezentanţilor desemnaţi (ai SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM) în acest scop la datele deţinute.”

Inainte sa explicam mai in detaliu, trebuie sa lamurim doua aspecte:

1. Intai ar trebui sa explic titlul.

Cand ma refer la securitate cibernetica, ma gandesc la faptul ca trebuie sa fiu sigur ca la anumite informatii stocate digital are acces doar cine cred eu ca trebuie sa aiba. Fie ca vorbim de date personale, informatii financiare sau date comerciale confidentiale stocate digital - toate trebuie sa fie pastrate in siguranta, pentru ca cei neautorizati sa nu aiba acces la ele. Aici e treaba mea sau a firmei mele cum le securizez - daca vreau sa le criptez cu cheie de 256 sau deloc. Putem discuta in ce masura anumite informatii digitale nesecurizate pot afecta alte terte persoane, dar si acolo sunt de acord ca in cazul unei culpe grave sau a intentiei trebuie sa pot sa fiu tinut responsabil. Sau daca se pierd date cu caracter personal (cum am mai povestit de data breach notifications).

Cand ma refer la securism cibernetic, ma gindesc ca statul - prin bratul sau de forta - adica structuri care apartin zone de servicii secrete, structuri de aparare a legii sau altele cu atributii in aceste zone - imi impun conduita de securitate in societatea digitala. Trecem de la scopul de a-mi proteja mie datele la a avea o (utopica) societate securizata perfect, in care orice activitate presupus neautorizata sa nu poata avea loc. Si in care statul ma poate obliga, inclusiv prin accesul la datele mele - sa imi respect aceasta conduita. Asta pare a fi o zona in care renunti la zona privata sau comerciala secrete, pentru a asigura securitatea generala. Adica securitate de dragul securitatii. Cam asta pare ca vrea noua lege.

Sa incerc sa subliniez mai bine ideea cu un exemplu practic:

Nu am cont personal pe Facebook si nici nu vreau sa imi fac vreunul (din motive personale si de privacy). Dar asta nu inseamna ca nu ii respect pe care il folosesc cum doresc ei (privat, public, profesional sau un mix).

Securitatea cibernetica ar insemna ca il las sa puna ce vrea acolo, dar pot sa incerc sa educ, sa explic, sa recomand ce anume sa nu puna pe o retea sociala - dar in cele din urma este decizia persoanei ce publica si este responsabil pentru asta.

Securismul cibernetic ar inseamna ca nu ii dau voie sa posteze infromatii daca este intr-un loc sau altul (pentru ca ar insemna ca nu este nimeni acasa), ca nu are voie sa se logheze daca nu are sistemul de operare actualizat sau ca - daca profilul sau pagina lui a fost folosit in mod fraudulos (de ex. a incitat la un protest neautorizat) atunci am voie sa intru in cont sa vad cine l-a sustinut in aceasta activitate presupus ilegala.

2. Acesta este un alt proiect adoptat pe ascuns de Guvern (al treilea numarat de mine - dupa cel cu pre-pay explicat ieri si cel cu protectia consumatorilor in comertul electronic in care efectiv ne-a mintit in fata).

Dincolo de temele legate de teoria conspiratiei, nu poti sa nu ai o intrebare legitima, dar retorica - de ce Guvernul intai adopta un act normativ, iar apoi acesta apare spre “dezbatere publica” pe site-ului Minsiterului Societatii Informationale? Si de ce MSI “organizeaza” un eveniment nepublic de “dezbatere publica” in care comunicatul final spune ca va primi comentarii de la o asociatie dupa data depunerii raportului comisiilor in Camera Deputatilor

Cred ca daca ne apucam sa analizam in detaliu proiectul o sa plictisesc prea mult cititori (si oricum planuiesc cu colegii din ApTI sa trimitem o opinie mai formala si detaliata - in special pe distinctiile majore fata de propunerea de directiva europeana privind securitatea infromatica - vezi aici textul adoptat de Parlamentul European in prima lectura si aici textul propus initial de Comisie), asa ca ma rezum la o critica punctuala si una generica.



3. Critica punctuala a proiectului de lege privind securismului cibernetic

Prevederile la care fac referire sunt defintia din art 5 pct. 8

8. infrastructuri cibernetice - infrastructuri din domeniul tehnologiei informaţiei şi comunicaţiilor, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice

unde termenul de sistem informatic trebuie inteles in relatia directa cu definitia din noul codul penal (si care inainte era in legea 161/2003)

(1) Prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.

Practic asta inseamna orice calculator, laptop, tableta, smartphone, PoS, ATM, smart meter, microprocesor programabil si altele asemenea

la care adaugam obligatiile impuse de lege pentru detinatorii de infrastructuri cibernetice din art 16 si 17:

a) să adopte şi să pună în aplicare politici de securitate cibernetică, cu respectarea cerinţelor minime de securitate stabilite la nivel naţional de Ministerul pentru Societatea Informaţională sau de către alte autorităţi publice competente potrivit legii;

b) să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate în infrastructurile cibernetice proprii sau aflate în responsabilitate;

c) să prevină şi să reducă la minimum impactul incidentelor care afectează infrastructurile cibernetice proprii sau aflate în responsabilitate;

(…)

Art. 17 - (1) Pentru realizarea securităţii cibernetice, deţinătorii de infrastructuri cibernetice au următoarele responsabilităţi:

a) să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării;

b) să informeze, de îndată, autorităţile şi instituţiile publice prevăzute la lit.a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege.

Sunt convins ca trebuie sa fie o greseala de a mea de interpretare intr-un text perfect normal. Dar daca stam stramb si citim textul drept asta vedem:

1. Toti utilizatorii de calculatoare si smartfoane trebuie sa aiba politici de securitate cibernetica. Si sa aiba masuri organizatorice adecvate.

Doar cine nu a vazut un raport de audit de securitate informatica, nu poate sa intelega despre cata hartogaraie vorbim si cat costa sa le faci. Ati innebunit???

Mai ramine sa ne impuna fiecarui utilizator sa facem un audit cibernetic (am vazut ca au evitat termenul de audit informatic, ca sa ne bage in ceata si mai rau, nu Adrian?) care costa citeva mii de euro si am rezolvat problemele de securitate ale Romaniei. Vom fi un stat sigur.

2. Toti utilizatorii trebuie sa “permita accesul la date” acestor autoritati la solicitarea lor motivata.

Adica trecem de la situatia actuala in care accesul la un sistem informatic al altuia se poate face doar cu mandat de la judecator sau, evident, cu consimtamintul proprietarului sistemului informatic la o situatie in care 9 institutii sa li se “permita accesul la date”. Doar pe o motivare interna? Deci nu mai trebuie sa le dai tu datele relevante, ci sa le dai tu intregul acces? Catre MapN? Catre SPP? Ce treaba au ele cu sistemele tale informatice?

Incep sa cred ca oamenii care au scris proiectul de legea au vise legate de a avea acces oriunde si oricum la orice sistem informatic din Romania. Dar sa pui asta intr-un proiect de lege care sa fie si adoptat de Guvern, este deja neverosimil. Inca sper ca este o greseala pe care toti specialistii guvernului nu au vazut-o si ca de fapt nu au vrut sa reglementeze asta.



4. Critica de fond a proiectului de lege privind securismului cibernetic

Cred ca proiectul de lege porneste de la o premisa falsa: Sistemele informatice ne apartin noua, cetatenilor. Sau noua, firmelor. Internetul este o retea publica, dar este administrata de privati. ICANN, IETF sau IANA sunt institutii care sunt deschise prin esenta si care implica cati mai multi actori. (multi-stakeholders). Furnizorii de Internet sunt societati comerciale private. Furnizorii de retele si servicii de comunicatii electronice sunt privati. Aceastia nu pot fi reglementati la fel ca sistemele informatice sau retelele detinute de autoritatile publice.

Nu rezolvi problema de securitate informatica prin nominalizarea unui serviciu secret eminamente opac care sa se ocupe de un subiect unde cooperarea intre sectorul public si privat, transparenta si respectarea legislatiei privind protectia datelor personale sunt stalpi esentiali.

Nu zic eu asta, ca buricul pamintului, ci sunt si concluzii ale textului adoptat de Parlamentul European in prima citire a directivei (si care e inca in dezbatere):

Cadrul juridic ar trebui să se întemeieze pe nevoia de a garanta viața privată și integritatea cetățenilor.

Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. (…) Sunt necesare garanții adecvate pentru a se asigura că o astfel de cooperare nu va expune operatorii în cauză la un risc de conformitate mai mare sau la noi obligații în temeiul legislației privind concurența, proprietatea intelectuală, protecția datelor sau criminalitatea informatică, printre altele, nici nu îi va expune la riscuri operaționale sau de securitate mai mari.

Autoritățile competente și punctele unice de contact ar trebui să fie organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor, al aplicării legii sau al apărării și nici să fie legate organizațional în vreun fel de organismele active în aceste domenii.

5. Concluzii?

Da, securitatea cibernetica ne priveste pe noi toti, ca parte a unui eco-sistem digital.

Nu, securitatea nu trebuie impusa cu de-a sila de o institutie de securitate pentru toti cetatenii care au dispozitive informatice.