ENISA

Update 8 decembrie - pina la urma proiectul nu a fost adoptat de Guvern din motive neclare. Update 8 december - this draft OUG was not adopted in the end by the Governmet, for unclear reasons.

Updated on 6 December with the English translation below,

De atâtea ori am auzit în ultimele luni de ce e crucial să fie schimbat CERT.ro cu DNSC, incât aproape devenisem optimist că ar putea avea un act normativ modern de vreme ce lucrează la el de atâta vreme. Așteptam anunțul de dezbatere publică a unui proiect de lege. Mare greșeală.

Articol preluat din Newsletter-ul EDRi 11.1

Comisia Europeană a anunțat că va iniția o propunere de Directivă privind Strategia de securitate cibernetică; schița acestei propuneri, care circulă la Bruxelles în această perioadă, pare complet greșită.

Prin această directivă, Comisia întenționează să poziționeze ENISA în centrul unei rețele care să funcționeze ca sistem de alertă timpurie pentru lucrurile rele care se întâmplă pe Internet, ceea ce este un lucru bun. Partea rea constă în faptul că, în loc să acționeze ca și catalizator pentru organele polițienești, organismele CERT și furnziorii de servicii, ENISA încearcă că creeze o rețea clasificată de agenții militare și de informații.

Este adevărat că mulți cetățeni ai Uniunii Europene au suferit de pe urma fraudelor online și că posibilitatea de a obține despăgubiri în astfel de cazuri variază semnificativ la nivelul UE (chestiune abordată recent în lucrarea „The Costs of Cybercrime"). Însă politicile adecvate pentru abordarea acestor chestiuni sunt deja cunoscute și includ: armonizarea și îmbunătățirea protecției consumatorului, consolidarea cooperării polițienești, notificarea cazurilor de încălcare a securității și o politică prin care industria să furnizeze și să certifice echipamente conectabile la rețea care sunt sigure în mod implicit („by default”). Astfel de măsuri intră în mod clar în competența UE și unele dintre ele sunt deja implementate, cum ar fi prevederile referitoare la notificarea încălcării securității din propunerea de Regulament privind protecția datelor sau noul Centru European pentru Criminalitate Cibernetică. Aceste propuneri ar trebui urmărite și implementate cu rigurozitate.

Însă propunerea de directivă reprezintă o încercare de a militariza securitatea în spațiul cibernetic. Lucru care se întâmplă deja în câteva state membre; spre exemplu, Marea Britanie a alocat 640 milioane de lire (aproximativ 770 milioane de euro) pentru securitatea cibernetică, pentru perioada 2011-2015, însă GCHQ (agenția britanică de informații) a obținut 59% din această sumă. Poliția, care are, de fapt, responsabilitatea prinderii infractorilor, a primit suma aproape nesemnificativă de 5 milioane de lire (aproximativ 6 milioane de euro) pe an. Astfel, în loc să aloce poliției resursele de care are nevoie pentru a prinde și pedepsi infractorii din spațiul cibernetic, guvernul britanic a decis să direcționeze cea mai mare parte a banilor către spioni, astfel încât aceștia să poată comite și mai multe infracțiuni cibernetice (chiar dacă în alte țări).