Legea securității cibernetice: Atribuțiile SRI au fost extinse și la "campaniile de propagandă sau dezinformare" – atenționează ApTI
Noul proiect de lege privind securitatea și apărarea cibernetică, aflat joi pe agenda Guvernului, este mai periculos decât cel anterior, susține Asociația pentru Tehnologie și Internet (ApTI), care atenționează că s-a lărgit și mai tare spectrul celor care trebuie să se supună obligațiilor de securitate, iar atribuțiile SRI au fost extinse și la „campaniile de propagandă sau dezinformare”.
HotNews.ro a semnalat joi că Guvernul vrea să introducă amenzi pentru necomunicarea incidentelor de securitate și chiar să majoreze limitele maxime ale amenzilor legale care pot fi aplicate în astfel de cazuri, potrivit unui nou proiect de lege privind securitatea și apărarea cibernetică aflat pe agendă.
APTI: Ne-am ales cu o variantă mai periculoasă decât cea inițială
Asociația pentru Tehnologie și Internet (APTI), al cărei director executiv este Bogdan Manolea, jurist specializat în legislația internetului, susține că noua versiune ar fi mai periculoasă decât înainte.
„Am fost surprinși să citim varianta asta. După o dezbatere publică, după poziții trimise în scris Ministerului, după propuneri și clarificări, ne-am ales cu o variantă mai periculoasă a proiectului de lege decât cea inițială.”, scrie APTI.
Redăm mai jos îngrijorările APTI legate de noua versiune a proiectului de lege:
- 1. S-a lărgit și mai tare spectrul celor care trebuie să se supună obligațiilor de securitate
Acum, conform Art. 3 (1), proiectul de lege reglementează: „rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de […] persoane fizice și juridice care desfășoară activități cu scop lucrativ și nelucrativ, de cercetare, dezvoltare, inovare și producție în domeniul tehnologia informației și a comunicațiilor, sau furnizează servicii publice ori de interes public”.
Înainte formularea era: „persoane juridice care desfășoară activități industriale, de cercetare științifică sau furnizează servicii publice ori de interes public,”
MCID ignoră, din nou, dispozițiile Deciziei CCR 17/2015, care spune, explicit, în paragraful 69, că obligațiile pe care le au entitățile trebuie să fie proporționale cu riscurile la care se expun:
„Or, dispozițiile legale în forma supusă controlului de constituţionalitate prezintă un grad mare de generalitate, obligaţiile vizând totalitatea deţinătorilor de infrastructuri cibernetice, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice, indiferent de importanţa acestora care poată viza interesul naţional sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproporţionate asupra micilor operatori, cerinţele trebuie să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză şi nu trebuie aplicat deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punctul de vedere al interesului general.”
Cu o definiție atât de vagă a persoanelor vizate, proiectul de lege dă autorităților mână liberă să desemneze din pix cine va trebui să se supună noului proiect de lege: „Categoriile de persoane prevăzute la art. 3, alin. (1), lit. c) se stabilesc prin hotărâre de Guvern, inițiată de MCID, adoptată în maximum 60 de zile de la intrarea în vigoare a prezentei legi.”
Toate aceste entități au obligația de a raporta orice incidente de securitate în 48 de ore de când le-ai depistat. Conform Art. 23 (e), datele despre incidente sunt păstrate 5 ani.
Am putea crede că, după ce raportăm autorităților o breșă de securitate, ele ne vor îndruma și ajuta să o rezolvăm. Nu vă țineți respirația, însă!
Proiectul de lege, însă, ne spune că autoritățile ne vor sufla în ceafă în timp ce ne chiuim să rezolvăm problema. Art 23 (c) spune că una din responsabilitățile autorităților e „c) să coordoneze managementul incidentelor de securitate cibernetică identificate în cadrul rețelelor și sistemelor informatice aflate în domeniul lor de competență, activitate sau responsabilitate; „
Dar, totuși, ne vor da și o mână de ajutor? Nu – litera (d) spune că autoritățile au responsabilitatea „să acorde sprijin, la cerere” doar pentru sisteme informatice „aflate în domeniul lor de competență”.
- 2. Obligațiile – imposibil de implementat
Termenul de 48 de ore de raportat incidente de securitate (Art 21) este iluzoriu de pus în practică pentru categoriile de utilizatori din Art 3. Până și termenul de 72 de ore din Regulamentul GDPR, poate fi depășit în circumstanțe explicabile. La noi, nu – maximum 48 de ore. Evident – obligația este doar pentru cetățenii oridinari, pentru că serviciile de la Alin 1, nu au nicio astfel de obligație – ORNISS sau Politia Romana nu pot să aibă incidente de securitate!
Obligația de la Art 41 pentru securitatea lanțului de aprovizionare are sens poate pentru furnizori mari, nu pentru toată lumea. La Art. 41 (1), proiectul de lege spune că toți cei enumerați în Art. 3 (deci inclusiv persoane fizice care desfășoară activități cu scop nelucrativ) implementează „procesele de management al riscurilor de securitate cibernetică specifice lanțului de aprovizionare”. Unul din exemplele acestor riscuri este „e) servicii software și hardware periculoase pentru funcționare”.
Ce este un serviciu periculos pentru funcționare? Pentru orice persoană din domeniul IT, definiția poate să includă tot software-ul și hardware-ul produs vreodată. Orice produs poate avea vulnerabilități, iar ele pot fi descoperite repede sau la ani buni după lansare.
Cuvântul „periculos” poate să se refere și la o amenințare cum e cea percepută de multe țări când vine vorba de produse Huawei, Hikivision, Dahua și alte firme chinezești care produc software și hardware.
O discuție despre protejarea infrastructurii critice a României de vulnerabilități în lanțul de aprovizionare este bine-venită. Însă, smartphone-ul Huawei folosit de o persoană juridică privată nu expune țara la același risc la care ar expune-o rețeaua de camere de supraveghere a spațiului public marca Hikivision.
Lipsa unui certificat SSL pe un site e cu siguranță o vulnerabilitate de securitate. Apropo, cui raportăm faptul că Ministerul Mediului și Direcția de Sănătate Publică Cluj-Napoca încă nu au unul?
- 3. Amenzi
În plus față de forma inițială a proiectului de lege, Art. 48 introduce contravenții.
Ele se aplică atât tuturor entităților descrise în Art. 3 (1), care nu notifică incidente de securitate cât și furnizorilor de servicii de securitate care nu comunică informațiile (cel mai propbabil, personale, ale unor terți) cerute de autoriăți.
Nerespectarea obligațiilor se sancționează astfel:
„a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 200.000 lei;
b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 5% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 10% din cifra de afaceri netă.”
Textul proiectului care e pe masa Guvernului azi are cele trei igrediente ale unei legi cu potențial de a fi folosită nu doar pentru a proteja, dar și pentru a abuza și intimida: o definiție largă și vagă a celor cărora li se aplică, obligații imposibil de îndeplinit și amenzi usturătoare.
- 4. Știrile false, o amenințare la adresa securității naționale
Art. 50 din proiectul de lege supus azi la vot completează Legea nr. 51/1991 privind securitatea națională a României cu trei noi situații care constituie amenințări la adresa securităţii naţionale a României:
„n) amenințări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice și de comunicații de interes național;
o) acțiuni, inacțiuni sau stări de fapt cu consecințe la nivel național, regional sau global care afectează reziliența statului în raport cu riscurile și amenințările de tip hibrid;
p) acțiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spațiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituțională.”
Ne îngrijorează formularea vagă a acestor cazuri. Care sunt „infrastructurilor informatice și de comunicații de interes național”? Care e diferența între postări false care circulă pe Facebook și „o campanie de dezinformare”?
Mai mult, cum decidem când o stare de fapt afectează reziliența statului în fața atacurilor hibride (deci, cu componentă cibernetică)?
Faptul că persoane private trebuie să raporteze informații despre vulnerabilitățile din rețelele lor sau din software-ul pe care-l folosesc poate să contribuie la scăderea rezilienței statului. Faptul că informații private despre proiectele software ale unor ONG-uri sau ale unor persoane care lucrează cu secretul profesional ajung să fie stocate câte 5 ani pe serverele instituțiilor publice, doar din cauza unui bug sau a unui script vulnerabil, ne expune atacuri care exfiltrează informație.
- 5. Capitolul XI
Creatorii textului par a crede că dacă scrii ca „acest text nu înalcă legea X” au rezolvat toate problemele legate de drepturile omului. Analiza de impact asupra drepturilor omului, modul de implementare a principiilor din Art 5 Regulamentul GDPR, analiza exhaustiva a deciziilor CCR sau evaluarea de impact a protecției datelor conform Art 35 GDPR sunt aspecte complexe. Nu sunt copy & paste, deci leguitorul român le evită. Fără grație.”
- Pentru detalii despre proiectul de lege citește: Amenzi maxime între 200.000 lei și 10% din cifra de afaceri pentru necomunicarea informațiilor privind incidentele cibernetice / Ce puteri primesc SRI, STS ori MApN