Bostan, MCSI: Noi nu putem construi infrastructură cibernetică fără să ne asigurăm că este folosită în mod corect

‘Vorbim despre Big Data, Cloud, Internet of Things. Noi nu putem construi infrastructură cibernetică fără să ne asigurăm că este folosită în mod corect şi în interesul cetăţenilor. Nu putem folosi banii publici să construim infrastructuri, putere de calcul şi capabilităţi, iar ele să cadă în mâna unor oameni care nu respectă nici drepturile omului şi sunt adversarii democraţiei şi ai libertăţii, valori pe care noi toţi vrem să le apărăm. Trebuie să ne asigurăm că această putere nu este folosită în mod contrar’, a spus ministrul Marius Bostan.

Ministerul Comunicaţiilor şi pentru Societatea Informaţională a organizat vineri prima dezbatere publică referitoare la proiectul Legii Securităţii Cibernetice, scrie Agerpres.

La discuţii au fost prezenţi Violeta Alexandru, ministrul pentru Consultare Publică si Dialog Civic (MCPDC), Marius Bostan (MCSI), Augustin Jianu – director general CERT-RO, Marcel Opriş – director STS, Florin Cosmoiu – Directorul Centrului National Cyberint din cadrul Serviciului Român de Informaţii (SRI), alături de peste 60 de reprezentanţi ai societăţii civile.

‘Important este ca echipa guvernamentală să practice un proces decizional cu adevărat participativ şi eficient de la momentul iniţierii unui act normativ, trecând prin etapa de consultare şi dezbatere publică, până la integrarea, inclusiv comunicarea, propunerilor societăţii civile în varianta care va fi supusă aprobării Guvernului. Astfel de exerciţiu de dezbatere publică (care merge dincolo de etapa minimală de consultare prin afişare pe internet a proiectelor de politici publice) trebuie să devină parte firească a procesului decizional’, a precizat ministrul Violeta Alexandru, în deschiderea dezbaterii.

La rândul său, Augustin Jianu, director general al CERT-RO a susţinut o prezentare referitoare la realităţile spaţiului cibernetic şi necesitatea securităţii cibernetice.

‘În Raportul CERT-RO am subliniat că am procesat 68 de milioane de alerte de securitate cibernetică, din care am extras 2,3 milioane de adrese IP unice, compromise sau vulnerabile. Atacatorii, pentru a-şi anonimiza atacurile, folosesc nişte sisteme deja compromise, pentru a-i ataca mai departe pe alţii. La nivel global, în 2015, durata medie de detecţie a unei intruziuni a fost de 268 de zile. Asta înseamnă că atacatorul a intrat într-un sistem compromis şi a stat acolo 268 de zile, până să fie depistat’, a precizat Jianu.

Ministerul Comunicaţiilor şi pentru Societatea Informaţională (MCSI) a lansat, la finele lunii ianuarie, în dezbatere publică, pe propria pagină de Internet, un nou proiect de Lege privind Securitatea Cibernetică a României. Proiectul a fost întocmit fiind luate în considerare criticile aduse prin Decizia nr. 17/2015 a Curţii Constituţionale a României (CCR) asupra obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind Securitatea Cibernetică a României.

Noul actul normativ se adresează autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român sau cetăţenilor acestuia. De asemenea, legea se aplică: persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal, furnizorilor de reţele publice de comunicaţii electronice, furnizorilor de servicii de comunicaţii electronice destinate publicului, furnizorilor de servicii găzduire Internet şi furnizorilor de servicii de securitate cibernetică.

În plus, în cadrul proiectului se menţionează că furnizorii de servicii de găzduire de internet care desfăşoară activităţi pe teritoriul României au obligaţia de a-şi notifica utilizatorii şi abonaţii deîndată ce au fost sesizaţi de autoritatea competentă, dar nu mai târziu de 24 de ore din momentul în care au fost sesizaţi de autorităţile competente potrivit prezentei legi, cu privire la situaţiile în care sistemele informatice utilizate de aceştia au fost implicate în atacuri cibernetice şi de a recomanda măsurile necesare în vederea restabilirii condiţiilor normale de funcţionare. Mai mult, aceeaşi furnizori trebuie să acorde sprijin autorităţilor competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exerciţiului drepturilor şi libertăţilor persoanelor, emis de către judecător.

Articolul 25 din prezentul proiect de Lege prevede, de asemenea, că ‘autorităţile competente au obligaţia de a stoca şi păstra pe un termen de 5 ani notificările primite cu privire la incidentele de securitate cibernetică şi atacurile cibernetice’.

Normele metodologice de aplicare a prezentei legi se elaborează de Ministerul Comunicaţiilor şi pentru Societatea Informaţională (MCSI) şi se supun aprobării Guvernului în termen de 90 de zile de la publicarea acesteia în Monitorul Oficial al României, Partea I.

Curtea Constituţională a României (CCR) a anunţat, în 27 ianuarie 2015, că Legea privind securitatea cibernetică încalcă prevederile constituţionale privind statul de drept şi principiul legalităţii, precum şi cele privind viaţa intimă, familială şi privată, respectiv secretul corespondenţei. Motivul invocat de către CCR este faptul că autoritatea naţională în domeniul securităţii cibernetice ar trebui să fie un organism civil, pentru a garanta aceste drepturi, şi nu Centrul Naţional de Securitate Cibernetică (CNSC), care funcţionează deja în cadrul SRI, cu personal militar.