Securitatea cibernetica pe masa Guvernului: cetățenii și persoanele juridice, și sub papucul serviciilor, și cu banii luați
Proiectul de lege privind securitatea cibernetică, primul care ajunge oficial pe masa Guvernului din cele scurse în presă în mai 2022 (si adoptat pe 8 decembrie 2022), ne demonstrează că procesul de consultare legislativă poate fi un moment de a aduce militarizarea și securismul erei digitale la un nou nivel prin:
- identificarea principalului pericol al securității statului - cetățenii și persoanele juridice, cu sau fără scop lucrativ - care "furnizează servicii publice ori de interes public" care vor fi obligați - printre altele - sa notifice orice incident de securitate în 48 de ore. Evident, exclusiv pentru securitatea și binele statului!
- adăugarea unor noi amenzi care încep de la 5.000 de lei și ajung până la 10% din cifra de afaceri, în cazul firmelor, pentru orice greșeală în acest sens!
- păstrarea obligațiilor de delatori profesioniști pentru ce ar trebui sa fie "doctorul" în ecuația securității cibernetice.
- lărgirea atribuțiilor SRI, inclusiv pentru "campanii de propagandă sau dezinformare".
Povestea pe larg:
Deci, cum mai stăm cu pâra obligatorie? Am scris despre proiectul de lege privind securitatea și apărarea cibernetică a României. Ministerul Cercetării, Inovării și Digitalizării, care a inițiat acel proiect, ne-a dat un răspuns care a declanșat mai multe alarme decât însuși proiectul de lege.
Am mai publicat o tură de observații legate de răspunsul MCID cu tot cu un exemplu clar al modului în care poate degenera aplicarea proiectului de lege.
Am cerut dezbatere publică și s-a organizat. Un incident de securitate (culmea!) din timpul dezbaterii a dovedit, dacă mai trebuia încă o dată, cât de absurd este să tratăm orice incident de securitate ca o faptă ilicită. Ministerul a certat tot participanții într-un mesaj public pe Facebook. Ba chiar a adăugat și o amenințare la adresa acelor participanți ”superficiali” care au profitat de o setare prost făcută în platforma Zoom. Deci întotdeauna e vina altora, asta e regula numărul 1!
Ne întoarcem la proiectul de lege în sine, care este pe masa Guvernului și va fi votat probabil azi.
Am fost surprinși să citim varianta asta. După o dezbatere publică, după poziții trimise în scris Ministerului, după propuneri și clarificări, ne-am ales cu o variantă mai periculoasă a proiectului de lege decât cea inițială.
1. S-a lărgit și mai tare spectrul celor care trebuie să se supună obligațiilor de securitate
Acum, conform Art. 3 (1), proiectul de lege reglementează: "rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de [...] persoane fizice și juridice care desfășoară activități cu scop lucrativ și nelucrativ, de cercetare, dezvoltare, inovare și producție în domeniul tehnologia informației și a comunicațiilor, sau furnizează servicii publice ori de interes public".
Înainte formularea era: "persoane juridice care desfășoară activități industriale, de cercetare științifică sau furnizează servicii publice ori de interes public,"
MCID ignoră, din nou, dispozițiile Deciziei CCR 17/2015, care spune, explicit, în paragraful 69, că obligațiile pe care le au entitățile trebuie să fie proporționale cu riscurile la care se expun:
"Or, dispozițiile legale în forma supusă controlului de constituţionalitate prezintă un grad mare de generalitate, obligaţiile vizând totalitatea deţinătorilor de infrastructuri cibernetice, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice, indiferent de importanţa acestora care poată viza interesul naţional sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproporţionate asupra micilor operatori, cerinţele trebuie să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză şi nu trebuie aplicat deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punctul de vedere al interesului general."
Cu o definiție atât de vagă a persoanelor vizate, proiectul de lege dă autorităților mână liberă să desemneze din pix cine va trebui să se supună noului proiect de lege: "Categoriile de persoane prevăzute la art. 3, alin. (1), lit. c) se stabilesc prin hotărâre de Guvern, inițiată de MCID, adoptată în maximum 60 de zile de la intrarea în vigoare a prezentei legi."
Toate aceste entități au obligația de a raporta orice incidente de securitate în 48 de ore de când le-ai depistat. Conform Art. 23 (e), datele despre incidente sunt păstrate 5 ani.
Am putea crede că, după ce raportăm autorităților o breșă de securitate, ele ne vor îndruma și ajuta să o rezolvăm. Nu vă țineți respirația, însă!
Proiectul de lege, însă, ne spune că autoritățile ne vor sufla în ceafă în timp ce ne chiuim să rezolvăm problema. Art 23 (c) spune că una din responsabilitățile autorităților e "c) să coordoneze managementul incidentelor de securitate cibernetică identificate în cadrul rețelelor și sistemelor informatice aflate în domeniul lor de competență, activitate sau responsabilitate; "
Dar, totuși, ne vor da și o mână de ajutor? Nu - litera (d) spune că autoritățile au responsabilitatea "să acorde sprijin, la cerere" doar pentru sisteme informatice "aflate în domeniul lor de competență".
2. Obligațiile - imposibil de implementat
Termenul de 48 de ore de raportat incidente de securitate (Art 21) este iluzoriu de pus în practică pentru categoriile de utilizatori din Art 3. Până și termenul de 72 de ore din Regulamentul GDPR, poate fi depășit în circumstanțe explicabile. La noi, nu - maximum 48 de ore. Evident - obligația este doar pentru cetățenii oridinari, pentru că serviciile de la Alin 1, nu au nicio astfel de obligație - ORNISS sau Politia Romana nu pot să aibă incidente de securitate!
Obligația de la Art 41 pentru securitatea lanțului de aprovizionare are sens poate pentru furnizori mari, nu pentru toată lumea. La Art. 41 (1), proiectul de lege spune că toți cei enumerați în Art. 3 (deci inclusiv persoane fizice care desfășoară activități cu scop nelucrativ) implementează "procesele de management al riscurilor de securitate cibernetică specifice lanțului de aprovizionare". Unul din exemplele acestor riscuri este "e) servicii software și hardware periculoase pentru funcționare".
Ce este un serviciu periculos pentru funcționare? Pentru orice persoană din domeniul IT, definiția poate să includă tot software-ul și hardware-ul produs vreodată. Orice produs poate avea vulnerabilități, iar ele pot fi descoperite repede sau la ani buni după lansare.
Cuvântul "periculos" poate să se refere și la o amenințare cum e cea percepută de multe țări când vine vorba de produse Huawei, Hikivision, Dahua și alte firme chinezești care produc software și hardware.
O discuție despre protejarea infrastructurii critice a României de vulnerabilități în lanțul de aprovizionare este bine-venită. Însă, smartphone-ul Huawei folosit de o persoană juridică privată nu expune țara la același risc la care ar expune-o rețeaua de camere de supraveghere a spațiului public marca Hikivision.
Lipsa unui certificat SSL pe un site e cu siguranță o vulnerabilitate de securitate. Apropo, cui raportăm faptul că Ministerul Mediului și Direcția de Sănătate Publică Cluj-Napoca încă nu au unul?
3. Amenzi
În plus față de forma inițială a proiectului de lege, Art. 48 introduce contravenții.
Ele se aplică atât tuturor entităților descrise în Art. 3 (1), care nu notifică incidente de securitate cât și furnizorilor de servicii de securitate care nu comunică informațiile (cel mai propbabil, personale, ale unor terți) cerute de autoriăți.
Nerespectarea obligațiilor se sancționează astfel:
"a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 200.000 lei;
b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 5% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 10% din cifra de afaceri netă."
Textul proiectului care e pe masa Guvernului azi are cele trei igrediente ale unei legi cu potențial de a fi folosită nu doar pentru a proteja, dar și pentru a abuza și intimida: o definiție largă și vagă a celor cărora li se aplică, obligații imposibil de îndeplinit și amenzi usturătoare.
4. Știrile false, o amenințare la adresa securității naționale
Art. 50 din proiectul de lege supus azi la vot completează Legea nr. 51/1991 privind securitatea națională a României cu trei noi situații care constituie amenințări la adresa securităţii naţionale a României:
"n) amenințări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice și de comunicații de interes național;
o) acțiuni, inacțiuni sau stări de fapt cu consecințe la nivel național, regional sau global care afectează reziliența statului în raport cu riscurile și amenințările de tip hibrid;
p) acțiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spațiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituțională."
Ne îngrijorează formularea vagă a acestor cazuri. Care sunt "infrastructurilor informatice și de comunicații de interes național"? Care e diferența între postări false care circulă pe Facebook și "o campanie de dezinformare"?
Mai mult, cum decidem când o stare de fapt afectează reziliența statului în fața atacurilor hibride (deci, cu componentă cibernetică)?
Faptul că persoane private trebuie să raporteze informații despre vulnerabilitățile din rețelele lor sau din software-ul pe care-l folosesc poate să contribuie la scăderea rezilienței statului. Faptul că informații private despre proiectele software ale unor ONG-uri sau ale unor persoane care lucrează cu secretul profesional ajung să fie stocate câte 5 ani pe serverele instituțiilor publice, doar din cauza unui bug sau a unui script vulnerabil, ne expune atacuri care exfiltrează informație.
5. Capitolul XI
Creatorii textului par a crede că dacă scrii ca "acest text nu înalcă legea X" au rezolvat toate problemele legate de drepturile omului. Analiza de impact asupra drepturilor omului, modul de implementare a principiilor din Art 5 Regulamentul GDPR, analiza exhaustiva a deciziilor CCR sau evaluarea de impact a protecției datelor conform Art 35 GDPR sunt aspecte complexe. Nu sunt copy & paste, deci leguitorul român le evită. Fără grație.
Add new comment