Securitate cibernetică: de la site-uri sub supravegherea serviciilor până la pâra specialiștilor

Posted on: 14 November 2022
By: Redacția ApTI

O nouă propunere legislativă în domeniul securității informatice impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității.

Ministerul Cercetării, Inovării și Digitalizării a pus în dezbatere publică Proiectul de Lege privind securitatea și apărarea cibernetică a României vineri, 4 noiembrie 2022, la 8 seara. Textul integral al propunerii poate fi consultat aici.

Analiza pe care am făcut-o a scos la iveală toate ingredientele unei legi pe care speri că lumea o va uita până sâmbătă dimineață:

măsuri disproporționate pentru categorii largi de actori privați;
definiții vagi, neclare sau care contrazic alte legi în vigoare;
delațiunea specialiștilor privați, ca procedeu de securizare a Internetului
acces sporit si discreționar al serviciilor de informații la problemele de securitate și la datelor persoanelor private;

Am trimis Ministerului observațiile Asociației pentru Tehnologie și Internet, împreună cu cererea de organizare a unei dezbateri publice pe tema proiectului de lege.

Observăm că textul propus dezbaterii publice este aproape identic cu cel făcut public de G4Media în mai-iunie 2022, ca atare ar fi fost de apreciat - pentru o transparența adecvată - să fie precizat exact care a fost parcursul lui de până acum și care sunt de fapt instituțiile care au fost implicate în scrierea acestui text.

De asemenea proiectul pare a susține idei mai vechi prin care “securitatea cibernetica” e un subiect în care doar statul are un interes, iar sectorul privat trebuie sa se supună, nu sa fie un partener egal.

Proiectul pare a eluda că există un interes major pentru securitate informatica atât din partea persoanelor fizice, cît și a persoanelor juridice. Scopul celor două entități diferă, drept pentru care uneori nici nu vrem ca datele protejate și private să fie puse la dispoziția statului. Cu atât mai mult, datele noastre, ale unor persoane private, și securitatea sistemelor pe care sunt stocate, nu trebuie să fie comunicate statului decât ca excepție, decât atunci când există un interes public superior interesului privat în cauză. Aceste aspecte sunt deja definite limitat de directivele NIS1 si NIS2 (ultima încă nu e în vigoare).

Redăm aici argumentele noastre principale. La finalul articolului, puteți găsi PDF-ul cu întreg textul observațiilor, pe care l-am trimis Ministerului.

1. Nu orice site trebuie să fie supus obligațiilor de securitate, doar cele din sectoare esențiale și de la firme mari și mijlocii, conform directivei NIS2

2. Furnizorii de servicii de securitate cibernetică = delatori profesioniști

3. Care sunt, de fapt, sistemele informatice din competența SRI? Le mai poate identifica cineva?

4. Nu trebuie incluse activitățile și sistemele din domeniul civil în domeniul militar

5. Accesul la PNRISC este neclar

6. Să nu facem 7 legi cu 7 obligații de raportare!

7. Dezbatere publică

Atasamente:

observatii.pdf

Add new comment

Susține activitatea noastră:

Susține Activitatea ApTI!

Resurse 2023/2024

Resurse educationale deschise 2023-2024:

Urmărește activitatea noastră:

Manifest

ApTI este o asociație nonguvernamentală care susține și promovează o lume digitală liberă și deschisă prin respectarea drepturilor fundamentale ale omului. Un Internet liber este un mediu în care libertatea de exprimare și viața privată sunt respectate și garantate. O lume digitală deschisă reprezintă o garanție a accesului legal și sigur la beneficiile aduse de tehnologia informației.