Șmecheriile din noul proiect de lege al securității cibernetice

0
481

de Bogdan Manolea, https://privacy.apti.ro

Dupa cum deja ati aflat deja, acum 2 zile MCSI a propus o noua lege privind securitatea cibernetica (cititi de aici textul si expunerea de motive) . Propunerea vine la 1 an dupa ce vechea propunere, trecuta lapidar prin neconsultare publica si nediscutare in Parlament, a fost respinsa integral de Curtea Constitutionala.

Incercam asadar o analiza la cald a noii propuneri, fara sa ne ascundem dezamagirile, dar remarcand totusi evolutia fata de anul trecut – macar chestiunile neconstitutionale majore (accesul la data fara mandat de la judecator sau SRI ca auditor al sistemelor informatice) nu mai apar in noul proiect.

Problema de fond – o Marie cu o alta Palarie

Noul proiect este o versiune resapata a vechiului proiect cu mult mai alambicata si mai generica, dar cu acelasi principii ca data trecuta:

  • toate persoanele juridice sunt subiectii legii (legea zice in art 2 ca doar cele care au calculatoare care prelucreaza date cu caracter personal – sa fim seriosi ce persoana juridica care foloseste un calculator nu are date personale pe el. Macar datele angajatilor sau datele din facturi si tot ai)
  • toate persoanele juridice trebuie sa “elaboreze si sa implementeze politici si planuri de securitate cibernetica”, inclusiv sa aiba masuri organizatorice si tehnice pentru “managementul incidentelor de securitate” si sa raporteze “toate incidentele de securitate”. Toate aceste vor fi realizate fara niciun impact financiar pentru aceste persoane juridice – conform expunerii de motive.
  • Statul se ocupa de asigurarea cibernetice (vezi art 9 pentru lunga lista de acronime – MCSI, CERT, SRI, ANCOM, MApN, MAI, ORNISS, iarasi ANCOM, iarasi SRI, SIE si STS care devin toate “autoritati responsabile” pe diverse paliere prea vagi pentru a fi identificate la prima citire)

De aici incepe problema principala – proiectul de lege vede securitatea informatica ca pe o problema a statului, care trebuie sa vina si sa le spuna cetatenilor si persoanelor juridice ce si cum trebuie sa faca. Trebuie sa-i fie raportate incidentele de securitatea si sa dea amenzi pentru cei care nu le respecta. De ce? Ca sa facem cetateanul sa fie sigur, chiar daca el nu vrea.

Sa luam un exemplu, pentru a fi mai clari

OchiulVesel SRL e o firma care produce ochelari. Pentru ca OchiulVesel SRL are o baza de date de clienti pe un laptop, el se va supune legii securitatii cibernetice, desi o tine pe o partitie separata si criptata. Administratorul OchiulVesel SRL observa ca are pe un browser o infectie, care face ca atunci cand cauta o pagina care nu exista, de fapt il duce pe o pagina de reclame. Baiat inteligent si calculatorist, Administratorul OchiulVesel SRL isi da seama ca are un “incident de securitate” si deci este obligat conform art 20 1(b) si 24 sa notifice MCSI (cu toate detaliileca are o problema, desi nu afecteaza datele personale. Altfel, primeste amenda. MCSi va pastra aceste date timp de 5 ani de zile. Societatea romaneasca e dintr-o data sigura si fericita.

Dar inlocuiti in exemplul de mai sus ca in loc de OchiulVesel SRL este o redactie de presa care face o ancheta asupra MCSI sau SRI. Si redactia trebuie sa raporteze toate “incidentele de securitate” fie care MCSI, fie catre SRI (daca intra in vaga lista de infrastructuri cibernetice de interes national – ICIN), inclusiv daca a avut un acces neautorizat la subiectul in lucru. Care poate contine si identitatea sursei…

Nu e mai bine sa ajutam si redactiile de presa. Chiar daca ele nu vor !?!

Si cum ar trebui sa fie?

Deci problema nu este o lege a securitatii informatice, ci cu aceasta propunere. Care nu tine cont ca de fapt sectorul privat este cel care face jocurile in acest domeniu. Si care este interesat de securitatea IT nu pentru ca ii zice statul, ci pentru ca asa isi protejeaza secretele comerciale sau baza de date cu clienti. Care sunt mai importante decat orice amenda de 1000 de lei. Si nu tine cont nici ca veriga slaba – si in acelasi timp veriga principala – este cetateanul. Pentru ca poti sa ai cele mai fabuloase proceduri de securitate, daca Gigel de la Cazane isi pune parola 123, ele sunt zero barat. La fel daca Maricica de la Contabilitate trebuie sa foloseasca doar IE 6.0 sa acceseze zona de depuneri de la Ministerul Finantelor.

De aceea statul nu trebuie sa isi propuna sa rezolve securitatea cibernetica a natiunii (si de fapt nici nu poate practic in conditiil Internetului), ci sa-si controleze institutiile publice ca sa aiba un minim de proceduri, iar din sectorul privat exclusiv acele zone care sunt efectiv critice pentru intreaga societate. Nu mai departe decat directiva NIS (deja agreata la nivelul UE) si ignorata din nou de MCSI vine cu o lista clara si fara echivoc de 7 tipuri de operatori considerati critici (vezi Anexa II pag 52-54): furnizori de electricitate, gaze, petrol, servicii transport, servici bancare, servicii de sanatate, apa de baut. Iar din cei digitali sunt doar 3 tipuri mari si late: Internet Exchange Points, Furnizori de servicii de nume de domenii si registrii TLD.

Deci nici OchiulVesel SRL si nici Redactiaonline.

Alte chestiuni punctuale

Deja am scris mult si inca nici nu am ajuns la puricarea textului articol cu articol (imi e si greu, avand doar un text in PDF – dar cu stampila!), dar sunt cel putin alte trei subiecte care efectiv au sarit in ochi:

Securitatea datelor personale este prevazuta ca principalul principiu al legii. Doar ca astea sunt vorbe goale, pentru ca legea nu doar ca nici macar nu mentioneaza legea 677/2001 sau Autoritatea din domeniu,dar nici macar nu prevede ceea ce ar trebui sa aduca ca noutate pe domeniul securitatii datelor personale – raportarea pierderii datelor personale (data breach), pentru a intra in trendul european.

Mentionarea furnizorilor de servicii de gazduire Internet in mod expres la art 2 d) mi-a sarit in ochi. Cu ce ar fi ei mai speciali decat restul furnizorilor societatii informationale? De ce nu se pastreaza regimul lor din legea 365/2002? Singurul raspuns este articolul 23 care pare a le fi dedicat – si care ii obliga in alin a) sa respecte o eventuala decizie judecatoareasca (pentru asta nu iti trebuie un articol special!) pentru restrangerea drepturilor si libertatilor persoanelor (adica ce? libertatea de exprimare, viata privata?) si in alineatul urmator sa… pastreze orice date de interactiune cu acel sistem informatic. Adica cum? ce date? pentru ce? Daca eu, care am vazut de vreo 15 ani legi in domeniu nu-mi dau seama ce vrea sa spuna…

Daca ar fi sa ne intoarcem si la motivatia reala a vechii legii, unele voci sopteau ca scopul este de fapt realizarea a unui business pentru un nou corp de auditori de securitate cibernetica (spre deosebire de notiunea de securitate informatica sau securitatea informatiei, deja practicata astazi si unde corpul de auditori este auto-reglementat). Ei bine, noul text strecoara in art 22 alin 3 noua obligatie prin care asa numitii furnizori de servicii de securitate cibernetica care fac audit de securitate pentru ICIN vor trebuie sa fie autorizati de acelasi MCSI, care va stabili detaliile intr-un ordin. Eh, detalii, ce surpriza!

Culmea este ca obligatia este strecurata intr-un articol din noul act normativ (art 22) care ilustreaza cel mai bine scopul legii –  articolul obliga furnizorii de servicii de securitate cibernetica sa notifice autoritatile competente in maxim 24 de ore de amenintari care pot afecta infrastructura critica a detinatorului. (care nu e definit). Deci in loc ca obligatia principala a expertului in securitate sa fie sa rezolve problema clientului si sa ii securizeze sistemul informatic – ei bine, nu, singura obligatie prevazute de lege este sa raporteze incidentele catre autoritatile competente.

Ne auzim pe saptamana viitoare, cand o sa reusim sa finalizam si analiza pe articole.