Cele 3 probleme majore ale Legii securității cibernetice. Și 3 soluții punctuale.

Eram pe cale să scriu o chestiune mai lungă legată de textul Legii securității cibernetice 580/2014 și o analiză mai detaliată, dar mi-am dat seama că publicul larg nu stă să disece chestiunile de nuanțe, și atunci ar fi mai utilă acum o chestiune scurtă și punctuală la acest moment, legată de problemele principalele și soluții.

Înainte să trec la ele, trebuie să spun că am trimis problemele și soluțiile detaliate, atât la Camera Deputaților, cât și la Senat (că la Minister nu a existat vreo dezbatere), doar că au fost pur și simplu ignorate.

1.Problema: Acces la date informatice într-un mod extrem de vag pentru foarte multe instituții.

Soluție: Clarificarea în text că accesul la datele informatice se poate face doar în condițiile Codului de Procedură Penală (art 138 (1) b și (3) + art. 140).

2. Problema: Legea se aplică tuturor persoanelor de drept public și privat, deci o arie extrem de largă și neclară. Un SRL cu un calculator nu poate fi o problemă de securitate cibernetică națională.

Soluție: Legea trebuie să se aplice doar persoanelor de drept public și privat identificate ca Infrastructuri Critice (ICIN). Lista acestora trebuie să fie în lege (la fel ca în propunerea de Directivă NIS).

3. Problema: Legea acordă SRI competențe principale în domeniul securității cibernetice.

Soluția: Conform propunerii de directivă NIS – această instituție ar trebui să fie un  „organism civil, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”.

După cum am mai spus și în alte dezbateri publice o lege pentru securitatea informatică nu este o idee rea. Dar ea trebuie să plece de la un text prezentat si dezbătut public și cu reglementări care să pornească de la premisa respectării drepturilor cetățenilor și nu pentru o securitate de dragul securității.

10 Comments

  1. cazacu bogdan

    1. de acord
    2. nota: dar mai multe srl-uri care au fiecare cate un calculator pot presenta o amenintare la securitatea cibernetica nationala? hint: botnet
    legat de lista, se specifica ca lista ICIN va fi alcatuita in maxim 60 de zile de la aprobarea legii (desi nici eu nu sunt de acord cu afirmatia asta).
    3. de acord din nou dar! ce entitatea civila cunosti care sa fie competenta si recunoscuta la nivel national capabila de aceasta raspundere?

    Reply
  2. bogdan (Post author)

    2. Daca merge pe aceasta logica si un calculator al unei persoane fizice poate sa reprezinte aceiasi amenintare la securitate nationala. Hint: acelasi botnet

    3. In mod normal ar trebui sa fie CERT-RO, dar cu o structura de conducere care sa nu mai fie dominata de institutii publice. Securitatea informatica NU este o chestiune care priveste exclusiv institutiile statului.

    Reply
    1. cazacu bogdan

      2. Corect, de aici putem spune cu certitudine ca un calculator (sau mai multe) POATE reprezenta interes national.

      3. In mod normal ar trebui sa exista o entitate special creata cu persoane atat din societatea civila (din companii dar si liberi profesionisti) cat si din institutiile tehnice (SRI, CERT, etc). Problema e ca nu se vede a se crea acea entitate…

      Reply
  3. Pingback: Noul Presedinte al Romaniei are un prim test – sa opreasca legea securitatii cibernetice | Date personale si viata privata

  4. q

    Cred ca serviciile din Ro actioneaza ca cele din uk – au insistat sa fie trecuta o lege pt a acoperi faptul ca in practica faceau demult interceptari ilegale pe net si nu numai (corelaza asta cu slide-ul din documentele dul Snowden ce plaseaza Romania pe lista tarilor ce intercepteaza traficul de internet -folosind tehnologia SUA presupun)Data la care legea a fost adoptata ( langa zile ocupate de evenimente publice semnificative), nr mare de parlamentari care au votat legea arata o pregatire din timp, ordine pe unitate pt parlamentarii sub acoperire, poate santaj pt ceilalti. Vezi ce fundatie pt. “democratie” a sustinut agresiv pe tv cauza serviciilor, ce tv canta in struna oamenilor afiliati serviciilor, ce parlamentari au votat legi ref avantajarea serviciilor. Ce incredere sa avem ca abuzurile vor fi pedepsite cand noi nu putem afla legal care sunt agentii sub acoperire din justitie si politica (e compromis tot pt ca nu mai exista in fapt separarea puterilor in stat)? La fel vor face si in cazul interceptarilor, nu vor oferi informatii deoarece e “strict secret”. Recent la tv, seful comisie de control al sie a spus, intrebat fiind daca ei chiar controleaza activitatea sie, ca “nu, sie ne controleaza pe noi”. Cum a ajuns individul care … pt Ambasada SUA (vezi wikileaks) “mare si tare” in comisia de control sri? De ce vrea Maior unirea sri si sie? Poate ca nu ar strica sa fie tradusa in Ro cartea “Nowhere to hide” ori macar o tv sa difuzeze documentarul recent aparut ref Snowden.

    Reply
  5. Erwin

    4. Amenzi mari pentru cei care nu aplică măsuri de securitate cibernetică. Cred că acest paragraf poate da naștere la abuzuri identice cu ale altor organe de control ale statului care “colectează” dela întreprinzătorii privați. Oricine poate constata că la ANAF dacă te duci cu un stick să depui un formular electronic care nu se transmite prin internet cu semnătură se căptușește cu specii de troieni și viruși de tot felul. După legea asta nouă sunt curios câți specialiști în securitate se vor angaja la stat și cu cât vor fi plătiți?

    Reply
  6. Pingback: Senat, senat, nu știi ce-ai votat! | Date personale si viata privata

  7. Pingback: Vesti bune înainte de Crăciun: Securitatea cibernetică la CCR, iar baza de date ANAF pe linie moartă | Date personale si viata privata

  8. Pingback: mediul virtual generat de infrastructurile cibernetice | Ştefan's rant

  9. Pingback: Legea securității cibernetice, serviciile secrete și găinile | Zoli Herczeg

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>