Noua lege privind Securitatea Cibernetica este acum in dezbatere publica pe site-ul Ministerului Comunicatiilor si Societatii Informationale, la un an dupa ce varianta precedenta pica testul in fata Curtii Constitutionale.

Proiectul actual are ca obiective: crearea unei terminologii unitare in domeniul securitatii cibernetice, responsabilizarea detinatorilor de infrastructuri cibernetice, cresterea capabilitatii de reactie la incidente cibernetice si diminuarea impactului acestora, asigurarea unui cadru de cooperare la nivel national intre institutiile cu competente in domeniu si mediul privat si stabilirea infrastructurilor cibernetice de interes national.

Juristul Bogdan Manolea a publicat pe site-ul Asociatiei pentru Tehnologie si Internet o analiza a textului noii propuneri legislative. "Chestiunile neconstitutionale majore (accesul la data fara mandat de la judecator sau SRI ca auditor al sistemelor informatice) nu mai apar in proiect", spune el.

Manolea se arata, insa, "dezamagit" de noua lege.

Noul proiect este o versiune resapata a vechiului proiect cu mult mai alambicata si mai generica, dar cu acelasi principii ca data trecuta:

  • toate persoanele juridice sunt subiectii legii (legea zice in art 2 ca doar cele care au calculatoare care prelucreaza date cu caracter personal – sa fim seriosi ce persoana juridica care foloseste un calculator nu are date personale pe el. Macar datele angajatilor sau datele din facturi si tot ai)
  • toate persoanele juridice trebuie sa “elaboreze si sa implementeze politici si planuri de securitate cibernetica”, inclusiv sa aiba masuri organizatorice si tehnice pentru “managementul incidentelor de securitate” si sa raporteze “toate incidentele de securitate”. Toate aceste vor fi realizate fara niciun impact financiar pentru aceste persoane juridice – conform expunerii de motive.
  • Statul se ocupa de asigurarea cibernetice (vezi art 9 pentru lunga lista de acronime – MCSI, CERT, SRI, ANCOM, MApN, MAI, ORNISS, iarasi ANCOM, iarasi SRI, SIE si STS care devin toate “autoritati responsabile” pe diverse paliere prea vagi pentru a fi identificate la prima citire)

Manolea spune ca principala problema a proiectului de lege este ca acesta vede securitatea informatica "ca pe o problema a statului, care trebuie sa vina si sa le spuna cetatenilor si persoanelor juridice ce si cum trebuie sa faca".

"[Propunerea] nu tine cont ca de fapt sectorul privat este cel care face jocurile in acest domeniu. Si care este interesat de securitatea IT nu pentru ca ii zice statul, ci pentru ca asa isi protejeaza secretele comerciale sau baza de date cu clienti. Care sunt mai importante decat orice amenda de 1000 de lei", explica juristul

El da ca exemplu firma care produce ochelari OchiulVesel SRL, care are o baza de date de clienti pe un laptop, firma care se va supune prevederilor acestei legi. 

Administratorul OchiulVesel SRL observa ca are pe un browser o infectie, care face ca atunci cand cauta o pagina care nu exista, de fapt il duce pe o pagina de reclame. Baiat inteligent si calculatorist, Administratorul OchiulVesel SRL isi da seama ca are un “incident de securitate” si deci este obligat conform art 20 1(b) si 24 sa notifice MCSI (cu toate detaliile ca are o problema, desi nu afecteaza datele personale. Altfel, primeste amenda. MCSi va pastra aceste date timp de 5 ani de zile. Societatea romaneasca e dintr-o data sigura si fericita.

Bogdan Manolea mai spune ca lucrurile sunt si mai sensibile daca in loc de o firma care produce ochelari am avea o redactie de presa, care face o ancheta asupra SRI sau asupra Ministerului Comunicatiilor si Societatii Informationale.

"Statul nu trebuie sa isi propuna sa rezolve securitatea cibernetica a natiunii (si de fapt nici nu poate practic in conditiil Internetului), ci sa-si controleze institutiile publice ca sa aiba un minim de proceduri, iar din sectorul privat exclusiv acele zone care sunt efectiv critice pentru intreaga societate", mai spune juristul de la ApTI.

Si alte voci ale societatii civile critica noul proiect, despre care spun ca are articole "vagi". Cel mai controversat este cel care se refera la conditiile in care SRI sau parchetul pot avea acces la datele personale.

Potrivit stirileprotv.ro, articolul precizeaza ca nu au voie "in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator, in conditiile legii. "

Cu alte cuvinte, furnizorul de internet trebuie sa il creada pe cuvant pe agentul SRI sau pe politist ca are mandat de la judecator.

Articolul nu spune cine nu are acces la informatiile din sistem fara mandat judecatoresc. Alexandru Balan, expert in securitate, a declarat pentru stirileprotv.ro: "Daca ii interzici operatorului sa aiba acces la date, e cel mai explicit pasaj din lege, daca ii interzici, trebuie sa-si dea jos tot sistemele de securitate care asigura siguranta traficului clientilor."