despre legea securitatii cibernetice

diverse

Mai nou, in Romania, avem parte de Legea securitatii cibernetice, pentru ca trebuie tara protejata de oamenii rai ai internetului.

In primul rand, un mic sumar al definitiilor folosite in lege:

  • infrastructuri cibernetice: infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice.
  • infrastructuri cibernetice de interes national (ICIN): infrastructurile cibernetice care sustin serviciile publice sau de interes public, ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia, denumite in continuare ICIN
  • managementul identitatii: metode de validare a identitatii persoanelor, cand acestea acceseaza anumite anumite infrastructuri cibernetice
  • operatii in retele de calculatoare: procesul complex de planificare, coordonare, sincronizare si desfasurare a actiunilor in spatiul cibernetic pentru protectia, controlul si utilizarea retelelor de calculatoare in scopul obtinerii superioritatii informationale, concomitent cu neutralizarea capabilitatilor adversarului
  • spatiu cibernetic: mediul virtual, generat de infrastructurile cibernetice, incluzand continutul informational procesat, stocat sau transmis, precum si actiunile derulate de utilizatori in acesta
  • securitate cibernetica: starea de normalitate rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si non-repudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private din spatiul cibernetic. Masurile proactive si reactive pot include politici, concepte, standarde si ghiduri de securitate, managementul riscului, activitati de instruire si constientizare, implementarea de solutii tehnice de protejare a infrastructurilor cibernetice, managementul identitatii, managementul consecintelor.

Ce zice prin lege (am scos pasajele care mi se par importante):

  • Cap. II, Art. 6 (1): In vederea asigurarii cadrului general de cooperare pentru realizarea securitatii cibernetice se constituie Sistemul National de Securitate Cibernetica (SNSC), care reuneste autoritatile si institutiile publice cu responsabilitati si capacitati in domeniu.
  • Cap. II, Art. 6 (2): SNSC colaboreaza cu detinatorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociatiile profesionale si organizatii neguvernamentale.
  • Cap. II, Art. 8 (1): Coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit in continuare COSC
  • Cap. II, Art. 8 (2): COSC este format din reprezentanti ai MApN, MAI, MAE, MSI, SRI, SIE, STS, SPP, ORNISS, secretarul CSAT
  • Cap. II, Art. 8 (5): La activitatile COSC pot participa, in calitate de invitati, reprezentanti ai altor institutii sau autoritati publice.
  • Cap. II, Art. 9 (1) (f): In exercitarea atributiilor sale, COSC analizeaza si evalueaza starea securitatii cibernetice, formuleaza si inainteaza CSAT propuneri privind cerinte minime de securitate cibernetica si politici de securitate cibernetica pentru autoritatile si institutiile publice prevazute la Cap. II, Art. 10 (1) si (2).
  • Cap. II, Art. 9 (2): COSC coopereaza pentru realizarea securitatii cibernetice cu organismele de coordonare sau sau conducere constituite, potrivit legii, la nivel national, pentru managementul situatiilor de urgenta, a actiunilor in situatii de criza in domeniul ordinii publice, pentru prevenirea si combaterea terorismului si pentru apararea nationala, asa cum sunt prevazute in legislatia in domeniu.
  • Cap. II, Art. 10 (1): SRI este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC, precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica, denumit in continuare CNSC
  • Cap. II, Art. 11 (1) (e): CNSC are urmatoarele atributii principale: genereaza avertizari pentru detinatorii de infrastructuri cibernetice si ICIN cu privire la posibile incidente de securitate cibernetica si emite recomandari cu privire la modalitatea de actiune
  • Cap. II, Art. 15 (1): La nivel national se constituie Sistemul National de alerta Cibernetica, denumit in continuare SNAC, reprezentand un ansamblu organizat de masuri tehnice si proceduri, si principalul mijloc al SNSC destinat prevenirii si contracararii activitatilor de natura sa afecteze securitatea cibernetica.
  • Cap. II, Art. 15 (3): In cadrul SNAC, starile de amenintare reflecta gradul de risc pentru securitatea cibernetica si sunt identificate prin niveluri de alerta cibernetica. Acestea pot fi instituite pentru intreg teritoriul national, pentru o zona geografica delimitata, pentru un anumit domeniu de activitate sau pentru una sau mai multe persoane juridice de drept  public sau privat.
  • Cap. II, Art. 15 (2): Organizarea SNAC, masurile specifice pe care autoritatile si institutiile publice competente le implementeaza pentru fiecare nivel de alerta, precum si procedura de instituire a nivelurilor de alerta si cerintele privind elaborarea planurilor de actiune se aproba prin norme metodologice, la propunerea SRI.
  • Cap. II, Art. 15 (5): Pentru punerea in aplicare a masurilor specifice prevazute la alin. (2), persoanele juridice de drept public sau privat detinatori de ICIN elaboreaza planuri de actiune proprii, corespunzatoarea fiecarui nivel de alerta cibernetica.
  • Cap. II, Art. 15 (7): Detinatorii de infrastructuri cibernetice au obligatia sa sprijine autoritatile si institutiile publice competente pentru implementarea masurilor corespunzatoare fiecarui nivel de alerta cibernetica, potrivit solicitarilor acestora, adresate in condtiile Cap. III, Art. 17 (1) (a).
  • Cap. III, Art. 16: Detinatorii de infrastructuri cibernetice au urmatoarele obligatii:
    • (a) sa aplice politici de securitate cibernetica, cu respectarea cerintelor minime de securitate stabilite la nivel national MSI, ANCOM sau alte autoritati publice competente, potrivit legii
    • (b) sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate in infrastructurile cibernetice proprii sau aflate in responsabilitate
    • (c) sa previna si sa reduca la minimum impactul incidentelor care afecteaza infrastructurile cibernetice proprii sau aflate in responsabilitate
    • (d) sa nu afecteze, prin actiunile proprii, securitatea altor infrastructuri cibernetice
    • (e) sa se asigure ca datele si/sau informatiile referitoarea la configurarea si protectia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate sa le cunoasca
  • Cap. III, Art. 17 (1): Pentru realizarea securitatii cibernetice, detinatorii de infrastructuri cibernetice au urmatoarele responsabilitati:
    • (a) sa acorde sprijinul necesar, la solicitarea motivata a SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii
    • (b) sa informeze, de indata, autoritatile si institutiile publice prevazute la (a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege
  • Cap. III, Art. 18: Detinatorii de infrastructuri cibernetice, furnizorii de servicii de internet au obligatia de a-si notifica clientii, persoane de drept public sau privat, de indata, dar nu mai tarziu de 24 de ore din momentul in care au fost sesizati de autoritatile competente potrivit prezentei legi, cu privire la situatiile in care sistemele informatice folosite de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare.
  • Cap. III, Art. 19 (1): La nivel national se constitue catalogul ICIN, care se aproba in termen de 90 de zile de la intrarea in vigoare a prezentei legi, prin hotarare a Guvernului.
  • Cap III, Art. 19 (3): Identificare ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metogologia elaborata de SRI si MSI, si aprobata in termen de 60 de zile de la intrarea in vigoare a prezentei legi, prin hotarare de Guvern.
  • Cap. III, Ar. 19 (4): La elaborarea catalogului ICIN, MSI va colabora si cu ANCOM, in situatia persoanelor de drept privat care detin calitatea de furnizori de retele publice sau servicii de comunicatii electronice destinate publicului
  • Cap III, Art. 20 (1): Persoanele juridice de drept public sau privat care detin sau au responsabilitate ICIN, au urmatoarele obligatii:
    • (a) sa stabileasca si sa aplice masuri pentru asigurarea rezilientei infrastructurilor cibernetice proprii sau aflate in responsabilitate
    • (b) sa intocmeasca planul de securitate al ICIN, precum si planuri de actiune proprii corespunzatoarea fiecarui nivel de alerta cibernetica
    • (c) sa efectueze anual auditari de securitate cibernetica sau sa permita efectuarea unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit legii
    • (f) sa aplice politicile de securitate prevazute prin cerintele minime stabilite conform dispozitiilor prezentei legi
  • Cap. III, Art. 21 (2) (c): […] sa permita autoritatilor competente sa intervina pentru identificarea si analizarea cauzelor incidentelor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice
  • Cap. III, Art. 21 (2) (d): […] sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii, cu respectarea principiului confidentialitatii si sa le puna la dispozitia autoritatilor competente
  • Cap. III, Art. 23 (6): In implementare prevederilor prezentei legi, ANCOM va constitui si va operationaliza o structura specializata de securitate cibernetica, de tip CERT.
  • Cap. IV, Art. 26 (2): Conducerea operatiunilor de aparare cibenetica in caz de agresiune armata, la instituirea starii de asediu, declararea starii de mobilizare sau de razboi se realizeaza de catre Centrul National Militar de Comanda in cooperare cu COSC.
  • Cap. V, Art. 27 (1): Monitorizarea si controlul aplicarilor prevederilor prezentei legi se asigura, potrivit competentelor stabilite prin lege, de catre:
    • (b) SRI […] pentru detinatorii de ICIN, persoane juridice de drept public
    • (c) MSI, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat
  • Cap. V, Art. 27 (2): […] conducatorii autoritatilor desemneaza persoane abilitate care […] au dreptul […] sa:
    • (b) sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura destinata ICIN […]
    • (c) sa primeasca la cerere, la fata locului, justificari sau informatii

Acum, parerea mea unde sunt problemele:

  • SRI, prin aceasta lege, se autoproclameaza imparatul absolut infrastructurilor din Romania. Ceea ce este “wrong on so many levels”. Si cum asta nu era suficient, ii aduce si pe prietenii lui din aproape toate structurile de securitate din Romania.
  • Conform definitiilor folosite, orice firma din Romania care detine mai mult de 2 computere are o “infrastructura cibernetica”. Asta inseamna ca probabil in afara de orice firma cu un singur computer, legal SRI-ul poate accesa datele oricarei firme fara absolut nici un control sau raspundere in fata unui judecator.
  • Sunt tare curios cum va arata procesul si cine va plati despagubiri atunci cand SNAC va decreta alerta pentru o anumita firma (conform abilitatilor) si se dovdeste a fi alarma falsa.
  • Conform “prezentei legi” (sa folosesc limbajul de lemn care place asa mult legiuitorilor tarii) reprezentantii societatii civile nu au ce cauta la COSC si nici nu pot reclama in vreun fel activitatea acestuia. Un fel de “statul stie mai bine ce e bine pentru pentru populatie, aveti incredere”. O alta mare problema.
  • Toate firmele de comunicatii, la cum arata legea, vor deveni ICIN si drept urmare toate institutiile alea de au membri in COSC isi vor putea baga nasul in cum arata retelele operatorilor, cum sunt configurate si tot asa. Pentru ca “national security, terrorists” si ce o mai fi maine la moda pe tema bau-bau.
  • Sunt cerinte in lege care nu sunt realizabile si se bat un pic cap in cap, precum cele din Cap. III, Art. 16.
  • Daca da fericirea peste tine si te clasifica SRI drept ICIN, ai supt-o in fericire. Vine si te inspecteaza “autoritatea competenta” cand vrea muschii ei si “conform legii (Cap. V, Art. 27 (2))” tre sa stai drepti si sa raspunzi la intrebari si sa te justifici. Pentru ca asa functioneaza o societate normala, sa stai cu palaria in maini si cu capul plecat in fata organului.
  • Articolul 17 (cel mai contestat dintre toate):
    • orice firma detinatoare de infrastructuri cibernetice, care conform definitiei inseamna orice firma cu cel putin 2 computere care comunica intre ele, este obligata prin lege sa accepte accesul reprezentantilor statului cand li se scoala sa vada ce date au pe acolo pe baza “solicitarii motivate”. Ti-ai luat un virus de pe “Internet” care sa zicem ca spameaza chestii si tu habar nu ai (acu ca ala o fi plantat chiar de baietii si fetele albastre e alta traba), legal are voie SRI sa-ti ceara datele din computer ca sa “le investigheze” si sa scoata necuratul din ele.
    • nu exista nicio mentiune cum ca “solicitarea motivata” trebuie intai aprobata de un judecator sau sa poata fi cumva contestata in instanta atunci cand este considerata abuziva. Adica o sa fie un fel de “ete motivatia, da-mi alea doua laptopuri de pe birou – de se vad de aici din usa si ne mai gandim ce sa-ti luam data viitoare”.
    • Nu vad nicaieri obligatii ale statului, vad doar obligatii ale firmelor private. Ca altfel vine SRI-ul si le da peste degete daca gresesc. Chiar iti poate da si amenda.
  • Legea asta parca e facuta sa legitimize un abuz deja pus la cale.

Pare mea:

  • O sa se inventeze politici de securitate nationale pe care diversi trebuie sa le implementeze. Daca sunt firme de stat, o sa se mai justifice angajari pe “securitate cibernetica”.  O sa fie plina de specialisti tara asta.
  • O sa se faca treaba la minimul necesar si dupa aia “dupa mine potopul”. Si daca totusi o sa dea coltul careva din cauza unei brese de “securitate cibernetica” o sa se trambiteze sus si tare ca “institutiile statului si-au facut treaba” si aia e, viata merge mai departe. De ce? Pentru ca in loc de dialog frumos cu explicatii si chestii, SRI-ul a luat-o pe calea securista: faceti ca noi ca numai noi stim cu e bine, altfel va dam amenda.
  • O sa fie Romania plina ce CERT-uri: la SRI, la ANCOM si la toti aia din lista. N-o sa mai stie malware-ul pe unde sa fuga de atatia politisti cibernetici care il alearga cu pulanele cibernetice pe Internetul romanesc.
  • Cuiva i-a placut la nebunie termenul asta de “cibernetic” ca e folosit in textul legii de parca l-a castigat la lotto si n-a stiut ce sa faca cu atatea exemplare.

Eu nu pricep de unde atata incrancenare din partea SRI-ul cu Internetul, retele de comunicare si ce mai intra la mijloc. Parca au fumat lipici din ala expirat, asa pe aratura sunt. Adica am inteles ca pentru ei “dreptul la viata privata”, sustinut de trei ori de CCR (o data cu BigBrother initial cand le-a taiat din pretentii, a doua oara cand au dat-o jos pe baza precedentului de la Curtea Europeana de Justitie si a treia oara cand SRI-ul a vrut sa ne faca tara bananiera sa luam internet cu buletinul) este ceva la care cetateanul nu are voie si daca s-ar putea sa ne instalam de buna voie microfoane si in fund, ei ar fi cei mai fericiti oameni. Acu au gasit o alta cale sa se duca dupa datele oamenilor. E un fel de soarecele si pisica, doar ca intr-un film prost.

O alta chestie pe care nu pot s-o pricep este de ce, ca si in alelalte legi unde si-a bagat SRI-ul coada nu zice nimic ca inainte sa se duca sa spioneze romanii, intai sa treaca pe la un judecator care sa zica DA/NU. Si o alta intrebare este, cum poate afla o firma cine i s-a uitat prin date si pe unde au mai fost trimise?

Cu legil ca astea o sa ajungem democratici ca americanii, cand primesti un NSL si la schimb trebuie sa dai din casa tot.

Pur si simplu mi se par stupide justificarile cu teroristiisi sau ce bau-bau mai e acu la moda. Deja in Romania au distrus politicienii tot ce era functional; ce-o sa distruga un terorist cu bomba prin Bucuresti mai rau decat poate distruge Oprescu din pix?

One thought on “despre legea securitatii cibernetice

  1. “ce-o sa distruga un terorist cu bomba prin Bucuresti mai rau decat poate distruge Oprescu din pix?”

    EPIC.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.