Scrisoare deschisă pentru o securitate informatică sănătoasă – 5 principii pentru un act normativ coerent

ApTI lansează astăzi, 9 februarie 2016, o scrisoare deschisă care enumeră 5 principii majore care ar trebui să stea la baza reglementării domeniului securității cibernetice.

Invităm orice persoană fizică sau juridică să se alăture semnării acestui document de poziție. Vă puteți arăta susținerea fie prin adăugarea numelui într-un comentariu în acest document (google doc), fie printr-un comentariu la acest articol.

Scrisoarea deschisă va fi înaintată în cadrul dezbaterii publice organizate de MCSI în data de 12.02.2015 ora 10:00.

Textul integral al scrisorii este disponibil aici.

Ce propune propunerea de lege actuală Ce propunem noi
Practic toate persoanele juridice sunt subiecții legii [1]. Subiecții legii trebuie să fie exclusiv infrastructurile naționale de interes public. Acestea trebuie definite clar prin lege, nu să avem definiții neclare, ca în Anexa II din directiva NIS.
În ciuda principiilor (art. 4 lit. e) [2], sectorul privat este tratat în textul propus ca un simplu raportor de incidente de securitate. Mai mult, furnizorii de servicii de securitate cibernetică sunt obligați să devină niște delatori, având obligația să notifice SRI de posibile amenințări informatice, dar nu au aceiași obligație față de propriul client (art. 20 alin. (1) [3]. La ora actuală sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ în domeniul securității cibernetice (de ex. să fie reprezentat în organele de conducere ale CERT-RO), dar în același timp respectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate de la persoanele fizice (de ex. un furnizor de servicii de securitate nu ar trebui să poată să trimită o notificare fără acceptul scris al clientului său).
Textul actual nominalizează 12 instituții cu diverse atribuții (art. 9) [4] cu obligația de comunicare reciprocă de date între ele (art. 12 lit. j) [5]. Toate incidentele de securitate cibernetică trebuie raportate (art. 3 lit. m) [6], art. 20 alin. (1) b) [7], art. 24) [8]. Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore.
Proiectul de lege include o serie de obligații pentru deținătorii de infrastructuri cibernetice (cam orice persoană juridică), ce pot fi contractate către „furnizori de servicii de securitate”. Proiectul este foarte ambiguu cu privire la acești furnizori. În schimb în art. 22 alin. (3) [9] se ascunde o obligație de înregistrare și creare a unui Registrul Furnizorilor de Audit de Securitate Cibernetică, în condițiile unui simplu ordin de ministru. Dacă acești furnizori au un rol important în această lege, rolul lor trebuie precizat clar într-un capitol special. Dacă se cere înregistrarea furnizorilor de servicii de securitate cibernetică pentru a realiza audit, aceste norme trebuie stabilite de lege și nu prin legislație secundară.
Legea include texte din domenii multiple fără o minimă corelare cu actele normative primare:

  • obligații pentru operatorii de date personale, ignorându-se Legea 677/2001, Ordinul 52/2002 al Avocatului Poporului și ANSPDCP
  • obligații pentru furnizorii de comunicații electronice, ignorându-se prevederile Legii 506/2004, OUG 111/2011 și obligații deja existente de la ANCOM de raportare a incidentelor de securitate
  • obligații pentru furnizorii de găzduire (art. 23) [10] care contrazic Legea 365/2002
Toate celelalte obligații de securitate a informației trebuie incluse în legislația sectorială (ex. securitatea datelor personale în legea datele personale, securitatea comunicațiilor electronice în legislația comunicațiilor electronice, furnizorii de găzduire în Legea 365/2002, securitatea instituțiilor subordonate SPP în legislația SPP, etc.)

 

Prezentul document va fi înaintat în cadrul dezbaterii publice organizate de MCSI din data de  12.02.2015.

Semnatari – persoane fizice și juridice

Adaugă semnătura ta printr-un comentariu la finalul articolului sau printr-un comentariu pe documentul Google Docs.

Asociația pentru Tehnologie și Internet – ApTI – www.apti.ro

Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki – APADOR CH – www.apador.org

Adrian Munteanu – https://adimunteanu.wordpress.com/

Asociația Pentru Minți Pertinente – AMPER – www.amper.org.ro

Centrul pentru Jurnalism Independent – CJI – www.cji.ro

Jani Monoses – http://janimo.blogspot.ro

Costin Oproiu, inginer programator – https://facebook.com/costin.oproiu

Miliția Spirituală – www.militiaspirituala.ro

Centrul pentru Inovare Publică – www.inovarepublica.fundatia.ro

ActiveWatch – www.activewatch.ro

Asociația Divanul AdBlog (Cristian Ghingheș, vicepreședinte) – https://facebook.com/divanul

Constantin Ioaja

Lucian Rotaru

IAB România – www.iab-romania.ro

Alin Popescu – www.avocatnet.ro

Asociația Frontieră Electronică (Ștefan Stere, președinte)

Dan Matei

Zando Computer SRL

Daniel Buligă

Vlad Maier

Doru Ilași

Mihai Jalobeanu

 

Referințe:

[1] Legea se aplică „persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal” (art. alin. (2) lit. b). Definiția largă a infrastructurilor cibernetice face ca orice persoană juridică să fie inclusă în această categorie. Spre exemplu:

- orice firmă care are o bază de date cu clienți persoane fizice

- orice ONG care lucrează cu datele personale ale beneficiarilor pe un calculator

- orice instituție publică, oricât de mică

Toate acestea vor fi obligate să facă diverse raportări sau chiar audituri, de la caz la caz, generând costuri suplimentare pentru ele.


[2] Art. 4 lit. e) asigurarea unei guvernanţe participative, democratice și eficiente a spaţiului cibernetic prin cooperarea autorităţilor competente cu sectorul privat;

[3] Art. 20 alin. (1) Deţinătorii de infrastructuri cibernetice prevăzuți la art. 2 lit. a) – c) au următoarele obligaţii:

a) să asigure implementarea cerinţelor minime de securitate cibernetică;

b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;

c) să se asigure că datele şi/sau informaţiile referitoare la configurarea și protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le Cunoască;

d) să nu permită accesul la datele de conţinut din infrastructurile cibernetice deţinute sau aflate în competenţă, în lipsa unei înștiinţări scrise din partea autorităţilor abilitate, privind existenţa unei autorizaţii emise de judecător, în condiţiile legii;

e) să gestioneze incidentele de securitate cibernetică;

f) să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice.

[4] Art. 9 Pentru asigurarea securităţii cibernetice, instituțiile publice din România au atribuţii după cum urmează:

a) Ministerul Comunicaţiilor și pentru Societatea informaţională, cu rol de autoritate de reglementare şi control al implementării măsurilor privitoare la asigurarea securităţii cibernetice, cu excepţia instituţiilor prevăzute la lit. d) şi e);

b) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, desemnat punct naţional de contact cu entitățile de tip CERT naţionale şi internaţionale și autoritate competentă pentru coordonarea activităţilor în domeniul securității cibernetice a infrastructurilor cibernetice, altele decât cele menționate la lit. c), d) și e);

c) Serviciul Român de informaţii, prin Centrul Naţional de Securitate Cibernetică, desemnat autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice organizate și desfăşurate la nivelul infrastructurilor cibernetice de interes naţional, cu excepția infrastructurilor cibernetice de interes naţional aflate în administrarea sau responsabilitatea celorlalte autorităţi prevăzute la lit. d) şi e);

d) Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, desemnată autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice a furnizorilor de rețele publice de comunicaţii electronice sau furnizorilor de servicii de comunicaţii electronice destinate publicului;

e) Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, Serviciul Român de Informaţii, Serviciul de Informații Externe, Serviciul de Telecomunicaţii Speciale și Serviciul de Protecţie şi Pază sunt autorităţi responsabile de securitate cibernetică cu rol în stabilirea de structuri şi implementarea de măsuri proprii privind coordonarea şi controlul activităţilor referitoare la asigurarea securităţii cibernetice pentru infrastructurile cibernetice, inclusiv infrastructurile cibernetice de interes naţional, aflate în domeniul lor de activitate și responsabilitate.

[5] Art. 12 lit. j) să coopereze și să-și comunice reciproc date referitoare la securitatea cibernetică, inclusiv către celelalte autorităţi şi instituţii publice sau deţinători de infrastructuri cibernetice;

[6] Art. 3  lit. m) incident de securitate cibernetică – eveniment survenit în spaţiul cibernetic ale cărui consecințe afectează securitatea cibernetică;

[7] Art. 20 alin. 1 lit. b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;

[8] Art. 24 (1)Notificarea incidentelor de securitate cibernetică se transmite în modalitatea stabilită de autoritatea competentă şi trebuie să conţină, în mod obligatoriu, următoarele elemente:

a) elementele de identificare ale infrastructurii cibernetice afectate;

b) descrierea incidentului;

c) perioada de desfăşurare a incidentului;

d) impactul incidentului.

(2) Pentru gestionarea incidentelor de securitate cibernetică, deținătorii de infrastructuri cibernetice pot solicita sprijinul furnizorilor de servicii de securitate cibernetică sau al autorităților prevăzute de art. 9 lit. b) – e), potrivit competențelor acestora, cărora le pot pune la dispoziție date tehnice referitoare la incidentele şi atacurile cibernetice pe care le gestionează, cu asigurarea anonimizării datelor cu caracter personal deţinute.

(3) Datele tehnice transmise în condițiile prevăzute la alin. (2) nu vor conţine:

a) informații clasificate;

b) date care pot aduce atingere drepturilor şi libertăţilor cetăţeneşti ori intereselor legitime ale unor terţe entităţi implicate.

[9] Art. 22 alin. (3) Furnizorii de servicii de securitate cibernetică care realizează audit de securitate pentru infrastructuri cibernetice de interes naţional au obligaţia de a se înregistra la Ministerul Comunicaţiilor și pentru Societatea Informaţională, potrivit normelor aprobate prin ordin al ministrului, care stabilesc condiţiile pentru înregistrarea și radierea acestora din Registrul Furnizorilor de Audit de Securitate Cibernetică.

[10] Art. 23 (1) Furnizorii de servicii de găzduire internet care desfășoară activităţi pe teritoriul României au obligaţia să acorde sprijin autorităţilor competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exerciţiului drepturilor și libertăţilor persoanelor, emis de judecător.

(2) Furnizorii de servicii de găzduire internet au obligaţia de a înregistra și stoca date de jurnalizare a activităţilor din sistemele informatice deţinute care fac obiectul actului de autorizare de la alin. (1), pe toată perioada de valabilitate a acestuia.

(3) Persoanele care sunt chemate să acorde spriijn tehnic la punerea în executare a actelor de autorizare, precum și persoanele care iau la cunoștință despre aceasta au obligaţia să păstreze secretul operațiunii efectuate, sub sancţiunea legii penale

14 Comments

  1. Adrian Munteanu

    Pe lîngă susținere îmi permit cîteva comentarii/observații

    Art. 22 – (1) Furnizorii de servicii de securitate cibernetică ce desfăşoară activităţi pe teritoriul României au obligaţia să notifice autorităţile competente, deîndată dar nu mai târziu de 24 de ore, cu privire la identificarea unor ameninţări sau vulnerabilităţi critice a căror manifestare poate afecta infrastructura cibernetică a deținătorului sau a unor terți.

    Pe de altă parte, deținătorii ICIN trebuie să implementeze un sistem de management al riscului.

    În practică, sistemul de management al riscurilor vizează tocmai amenințări-vulnerabilități-incidente.

    Cinde decide nivelul de „criticalitate„? Cînd se ajunge la o astfel de reglementare, auditorul trebuie să se raporteze la un referențial: în acest caz este această lege, normele de aplicare și eventual criteriile minime de securitate.

    Dar lucrurile se complică: În termen de 90 zile de la publicarea prezentei legi în Monitorul Oficial al României, Partea I, Ministerul Comunicațiilor și pentru Societatea Informaţională supune aprobării Guvernului Programul naţional destinat managementului riscului în domeniul securităţii cibernetice.

    Apreciez demersul, dar din păcate se doresc a se reglementa zone care nu vor putea reflecta niciodată evoluțiile tehnologice. Poate ar fi fost bine să fie lecturată înainte de această propunere legislația USA: Cybersecurity Act of 2015

    Reply
  2. bogdan

    @Adrian

    Multumim pentru sustinere!

    Recomand tuturor celor ce sa trimita comentariile pe text direct la initiatori – http://mcsi.ro/Minister/Legea-privind-Securitatea-Cibernetica-a-Romaniei

    Noi nu putem intermedia toate opiniile si pregatim si noi un document mai detaliat – insa acum doar doream sa subliniem probleme principale ridicate de unele articole – intr-un mod mai usor de inteles de publicul larg.

    Reply
  3. IOAJA Constantin

    Sustin scrisoarea deschisa.

    Succes!

    Constantin IOAJA

    Reply
  4. Anca Argesiu

    Susțin scrisoarea deschisă

    Reply
  5. Stefan Stere

    Asociatia Frontiera Electronica – presedinte. Sustin in totalitate modificarile si fac tot posibilul sa fiu prezent la dezbaterea din 12.02.2016. Multumesc!

    Reply
  6. Constantin

    Vă rog să ne daţi şi nouă ceva detalii de la Dezbatere Publică pe Proiectul de Lege privind Securitatea Cibernetică a României din data de 12 februarie 2016.

    Mulţam.

    Constantin

    Reply
  7. bogdan

    Cei de la APADOR-CH au filmat si speram sa revenim in curand cu filmul celor mai importante parti.
    Pina una alta s-a mai anuntat o dezbatere pe vineri la ora 12 00 – http://mcsi.ro/Minister/Anunturi-2016/A-doua-dezbatere-publica-la-proiectul-de-Lege-priv

    Reply
  8. Pingback: CCR decide că SRI nu mai poate face interceptări la ordinul procurorilor – 4 concluzii rapide | Date personale si viata privata

  9. Pingback: Ministerul comunicațiilor se face că dezbate Legea securității cibernetice a doua oară | APADOR-CH

  10. Pingback: A doua scrisoare deschisă. Dezbatere propunere de lege privind securitatea cibernetică – runda 2 | Date personale si viata privata

  11. bogdan

    Filmul a fost publicat aici – https://www.youtube.com/watch?v=LD59WBaSDyk
    Minuta nu a fost inca facuta publica de MCSI.

    Reply
  12. Pingback: Cum a fost la a doua dezbatere pe legea securitate cibernetică sau Ce naiba vrem de la dezbaterile publica? | Date personale si viata privata

  13. Pingback: Comentarii punctuale asupra propunerii de lege privind securitatea cibernetică. | Date personale si viata privata

  14. Pingback: CCR decide că SRI nu mai poate face interceptări la ordinul procurorilor – 4 concluzii | România curată

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>