Legea siguranţei cibernetice: SRI nu interacţionează cu operatorii de internet. Autorităţile intervin doar la notificare

‘SRI-ul nu intră în interacţiune cu furnizorii de internet. În această lege raportul dintre un deţinător de reţele şi autorităţile competente nu înseamnă decât că atunci când constată un incident de securitate, are obligativitatea să notifice o autoritate competentă. Autoritatea competentă nu bate niciodată la uşa deţinătorului. Dacă deţinătorul nu poate gestiona singur problema apărută, trebuie să cheme o autoritate competentă. Se tot spune că SRI-ul are acces la date fără mandat, ceea ce nu este adevărat. Securitatea cibernetică a României are şi o componentă de securitate naţională. Toate infrastructurile pot interconecta şi e normal să se facă schimb de date pe teme punctuale. Securitatea cibernetică se realizează prin componente de prevenire, în sensul realizării unui sistem de protecţie. După aceea, componenta de identificare a atacului şi componenta de gestionare. Coordonarea strategică a securităţii se face la CSAT, aşa zice legea. Nicio instituţie nu are drept de control a datelor fără notificare prealabilă. Legea îşi propune să crească nivelul de protecţie a reţelelor cibernetice deţinute de persoanele juridice’, a spus Cosmoiu.

La sediul MCSI au loc, în această perioadă, dezbateri privind Legea securităţii cibernetice, la care participă organizaţii non-guvernamentale, furnizori de servicii de comunicaţii electronice, internet service provideri şi alte persoane, ori organizaţii interesate.

Conform unui raport CERT-RO, numai în cursul anului trecut au fost generate mai mult 68 de milioane de alerte cibernetice, care au implicat 2,3 milioane de adrese IP. Circa 78% dintre alerte se referă la sisteme vulnerabile, 21% au fost infectate şi 17.000 din domeniile ‘.ro’ au fost compromise.

Ministerul Comunicaţiilor şi pentru Societatea Informaţională (MCSI) a lansat, la finele lunii ianuarie, în dezbatere publică, pe propria pagină de Internet, un nou proiect de Lege privind Securitatea Cibernetică a României. Proiectul a fost întocmit fiind luate în considerare criticile aduse prin Decizia nr. 17/2015 a Curţii Constituţionale a României (CCR) asupra obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind Securitatea Cibernetică a României.

Conform ministerului, actul normativ vizează introducerea de măsuri de protejare a securităţii cibernetice numai la categoriile de persoane juridice enumerate în art. 2, din proiectul de lege: ‘autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român, ori cetăţenilor acestuia; persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal; furnizorilor de reţele publice de comunicaţii electronice şi furnizorilor de servicii de comunicaţii electronice destinate publicului’.

Proiectul de lege aflat în dezbatere nu expune suplimentar utilizatorii oneşti de sisteme cibernetice, sisteme de calcul, portabile, telefoane mobile, mini şi micro gadgeturi.

‘În mod cert, proiectul de lege nu este perfect, dar acesta va fi îmbunătăţit cu ajutorul sugestiilor venite din partea societăţii civile, a organizaţiilor non-guvernamentale şi a cetăţenilor care îşi doresc o lege a Securităţii Cibernetice mai bune, mai aplicabilă, dar care să vină în sprijinul cetăţenilor fără a împieta asupra intimităţii lor şi a drepturilor cetăţeneşti. Intervenţia statului împotriva furtului, spionajului şi atacurilor cibernetice este legitimă şi obligatorie’, notează MCSI.

Curtea Constituţională a României (CCR) a anunţat, în 27 ianuarie 2015, că Legea privind securitatea cibernetică încalcă prevederile constituţionale privind statul de drept şi principiul legalităţii, precum şi cele privind viaţa intimă, familială şi privată, respectiv secretul corespondenţei. Motivul invocat de către CCR este faptul că autoritatea naţională în domeniul securităţii cibernetice ar trebui să fie un organism civil, pentru a garanta aceste drepturi, şi nu Centrul Naţional de Securitate Cibernetică (CNSC), care funcţionează deja în cadrul SRI, cu personal militar.