Asociația pentru Tehnologie și Internet (ApTI) a solicitat Ministerului Comunicaţiilor şi Societăţii Informaţionale să modifice integral proiectul de Lege a securităţii cibernetice, despre care afirmă că prezintă puncte neconstituţionale şi nu este sincronizat cu alte legi naţionale.
“Legea trebuie să stabilească foarte clar care sunt infrastructurile critice de interes naţional. Anul trecut, a fost adoptată o lege privind securitatea cibernetică, care a fost invalidată de Curtea Constituţionaşă a României, iar anul acesta a fost publicată o nouă propunere de lege, care, din păcate, preia foarte multe dintre punctele de neconstituţionalitate din legea anterioară, aşa încât am venit să discutăm o lege care, în mare parte, este neconstituţională, un text care nu îşi îndeplineşte principiile enunţate la articolul 4, printre care se numără protecţia vieţii private, iar prin faptul că sunt o serie de 12 autorităţi de tip militar sau cu atribuţii în domeniul serviciilor secrete asupra cărora nu există niciun fel de control democratic, această lege nu îşi îndeplineşte din niciun punct de vedere scopul, de a proteja cetăţenii şi drepturile fundamentale. În momentul acesta există o serie de erori foarte grave, atât din punct de vedere constituţional, cât şi din punct de vedere al sincronizării cu legi europene sau naţionale, pe care trebuie să le refacă”, a declarat vineri Valentina Pavel, membru al ApTI.
Vineri au avut loc la sediul Ministerului Comunicaţiilor şi Societăţii Informaţionale dezbateri privind Legea securităţii cibernetice, la care au participat organizaţii non-guvernamentale, furnizori de servicii de comunicaţii electronice, internet service provideri.
“Proiectul trebuie refăcut în totalitate. Autoritatea cu cele mai mari atribuţii este SRI-ul, care se spune că este sub control parlamentar, dar nu este sub un control direct al cetăţenilor şi nu poate oferi suficiente garanţii pentru respectarea drepturilor cetăţeneşti. Trebuie eliminată această serie de 12 autorităţi asupra cărora nu există control democratic, trebuie oferite mai multe garanţii pentru respectarea drepturilor cetăţeneşti, trebuie modificate o serie de definiţii şi trebuie definiţi mult mai clar care sunt subiecţii legii”, spune reprezentantul ApTI.
În opinia sa, proiectul nu se sincronizează cu legile naţionale.
“Nu este sincronizat cu alte legi naţionale, în sensul că în propunerea de lege sunt incluse o serie de obligaţii pentru furnizorii de servicii electronice, de exemplu, care deja există în alte legi speciale, iar lipsa de sincronizare cu textele europene, şi aici mă refer la Directiva NIS (Network Information Security). Textul a fost agreat, dar îi lipseşte o adoptare formală ce va veni într-un timp foarte, foarte scurt. Mai mult, prezentul text de lege nu îndeplineşte o serie de criterii de tehnică legislativă elementară”, afirmă Pavel.
Dacă va fi aprobat în prezenta variantă, atunci, spune oficialul ApTI, toată lumea va fi subiectul legii, “orice persoană juridică ce lucrează cu date de caracter personal, iar aceasta poate înseamna orice firmă juridică şi orice PFA (persoană fizică autorizată)”.
La rândul său, în cadrul dezbaterilor, ministrul Comunicaţiilor şi Societăţii Informaţionale, Marius Bostan, a precizat că proiectul va ţine cont de opiniile Curţii Constituţionale. Ministrul a subliniat că toate punctele de vedere vor fi luate în considerare, după care proiectul de Lege îşi va urma cursul, începând cu circuitul de avizare.
“Vreau să vă spun că toţi cei care au transmis observaţii la proiectul de Lege privind securitatea cibernetică vor primi răspunsuri în perioada următoare. Proiectul va intra în circuitul de avizare şi, dacă trece de acest circuit, va merge în dezbaterea Parlamentului. (…) Metoda aleasă este să ascultăm, să luăm în considerare punctele de vedere, să preluăm ce considerăm noi, conform legii, că este bun. Vom trimite legea în circuitul de avizare, printre care şi la Ministerul Justiţiei, şi după aceea merge în Parlament. Mai e un filtru, al preşedintelui. Vom elimina lucrurile care ţin de constituţionalitate şi vom lucra la acest aspect”, a spus vineri ministrul Marius Bostan.
Acesta a menţionat totodată că nu i s-a părut corect faptul că Asociaţia pentru Tehnologie şi Internet a transmis o scrisoare publică prin care reclamă nepublicarea minutei primei dezbateri,deşi reprezentanţii ApTI au fost prezenţi la prima dezbatere.
Cinci ONG-uri – Asociaţia pentru Tehnologie şi Internet – ApTI, ActiveWatch, Asociaţia Pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH), Centrul pentru Inovare Publică şi Asociaţia Miliţia Spirituală- au transmis joi o scrisoare Ministerului Comunicaţiilor şi Ministerului pentru Consultare Publică şi Dialog Civic în care critică modul în care au fost organizate dezbaterile pe Legea securităţii cibernetice. ONG-urile solicită corectarea acestei propuneri şi îşi exprimă dezamăgirea faţă de nerespectarea termenilor angajamentelor luate de către cele două ministere în timpul primei dezbateri din 12 februarie 2016.
Ministerul Comunicaţiilor şi pentru Societatea Informaţională (MCSI) a lansat în dezbatere publică, la finele lunii ianuarie, un nou proiect de Lege privind Securitatea Cibernetică a României. Proiectul de lege presupune introducerea de măsuri de protejare a securităţii cibernetice numai la categoriile de persoane juridice: “autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român, ori cetăţenilor acestuia; persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal; furnizorilor de reţele publice de comunicaţii electronice şi furnizorilor de servicii de comunicaţii electronice destinate publicului”.
Curtea Constituţională a României (CCR) a anunţat, în 27 ianuarie 2015, că Legea privind securitatea cibernetică încalcă prevederile constituţionale privind statul de drept şi principiul legalităţii, precum şi cele privind viaţa intimă, familială şi privată, respectiv secretul corespondenţei. Potrivit CCR, autoritatea naţională în domeniul securităţii cibernetice ar trebui să fie un organism civil, pentru a garanta aceste drepturi, şi nu Centrul Naţional de Securitate Cibernetică, care funcţionează deja în cadrul SRI, cu personal militar.
Potrivit MCSI, riscurile pentru România se încadrează în peisajul general al amenințărilor cibernetice la adresa Europei, iar în peisajul globalizat nu există zone ferite de această amenințare. Singura diferență constă în nivelul diferit de risc, mai crescut în România comparativ cu alte zone europene. Mai mult, se constată că nivelul de risc este în continuă creștere și potențialul distructiv în planul fizic se conturează tot mai clar, în contextul în care în vecinătatea României deja au avut loc atacuri cibernetice majore.
Conform unui raport CERT-RO, numai în cursul anului trecut au fost generate mai mult de 68 de milioane de alerte cibernetice, care au implicat 2,3 milioane de adrese IP. Circa 78% din alerte se referă la sisteme vulnerabile, 21% au fost infectate şi 17.000 din domeniile ”.ro” au fost compromise. Ca urmare, “este absolut obligatorie întărirea apărării cibernetice precum și securizarea spațiului cibernetic național atât cu privire la amenințările externe, cât și la cele realizate prin echipamente compromise în interiorul țării, iar legea securității cibernetice este una din măsurile ce trebuie luate de urgență pentru realizarea acestui scop”, spun oficialii MCSI.
Potrivit acestora, în contextul provocărilor regionale, este absolută obligatorie definirea atacatorilor, respectiv a aliaților. “Pentru o mai bună înțelegere a legii cât și pentru a clarifica anumite temeri în legătură cu acest proiect, precizăm că numai deținătorii de infrastructuri cibernetice care fac obiectul acesteia, vor avea obligațiile de implementare a cerințelor minime de securitate cibernetică -și acestea diferențiate în funcție de infrastructura deținută-, notificarea incidentelor de securitate cibernetică și de gestionare a acestora. În cadrul acestor activități, deținătorii de structuri cibernetice trebuie să asigure protecția datelor cu carcater personal. În proiectul de lege este prevăzută expres obligația de a nu permite accesul la datele de conținut în absența unui mandat emis de judecător, în condițiile legii.
Infrastructura îmbătrânită, vulnerabilitate majoră în faţa atacurilor cibernetice
Infrastructura îmbătrânită şi structura organizaţională învechită sunt cele mai mari vulnerabilităţi ale companiilor în faţa atacurilor cibernetice, potrivit raportului Cisco de securitate, ajuns la cea de-a noua ediţie.
Potrivit cercetărilor, la nivel global, doar 45% dintre managerii care se ocupă de securitatea informatică a companiilor au încredere în soluţiile de securitate IT pe care le folosesc. Totodată, atacurile cibernetice actuale sunt tot mai sofisticate, mai îndrăzneţe şi se desfăşoară pe o perioadă mai mare de timp.
Infrastructura îmbătrânită şi structura organizaţională învechită sunt cauzele care expun cel mai mult companiile şi le fac vulnerabile în faţa atacatorilor, iar aceste lucruri împiedică organizaţiile să detecteze atacurile la timp, să le diminueze impactul şi să se refacă în urma lor.
Raportul pe teme de securitate (Security Capabilities Benchmark Study) a fost făcut pe 2.400 de companii, din 12 ţări. Scopul lui a fost determinarea gradului de pregătire al companiilor în faţa acestor tipuri de atacuri.
Potrivit calculelor Cisco, doar o singură campanie de atac de tip ransomware generează venituri de 34 de milioane de dolari anual.
Între 2014 şi 2015, numărul de companii care au afirmat că infrastructura lor este actualizată din punct de vedere al securităţii, a scăzut cu 10%. Studiul a descoperit că 92% dintre echipamentele conectate la internet au vulnerabilităţi cunoscute. În plus, pentru 31% dintre dispozitivele analizate, vendorii nu mai asigură actualizări sau mentenanţă.
Ca parte a unei tendinţe de a adresa lipsa de personal specializat, companiile de toate mărimile conştientizează valoarea externalizării serviciilor pentru a echilibra portofoliul în materie de securitate. Iar acest lucru include consultanţă, verificare permanentă a nivelului de securitate şi răspunsuri la incidente. IMM-urile, cărora adesea le lipsesc resursele pentru a avea un nivel de securitate satisfăcător, îşi îmbunătăţesc abordarea în materie de securitate, în parte, prin externalizare. Astfel, anul trecut, 23% dintre IMM-uri au ales externalizarea componentei de securitate, faţă de 14% un an mai devreme.
Studiul mai arată că infractorii cibernetici se orientează mai mult către compromiterea serverelor, precum cele dedicate platformelor WordPress, pentru a-şi susţine atacurile şi folosesc platformele social media să lanseze atacuri. Spre exemplu, numărul domeniilor WordPress utilizate de infractorii cibernetici a crescut cu 221% între februarie şi octombrie 2015.
Centrul de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) a anunţat că 2,3 milioane de IP-uri unice alocate spaţiului cibernetic naţional (26%) au fost implicate, anul trecut, în cel puţin o alertă de securitate cibernetică. Totodată, 17.088 de domenii .ro au fost raportate la CERT-RO ca fiind compromise anul trecut, în creştere cu aproximativ 58% faţă de 2014.
Totuşi, CERT-RO susţine că alertele colectate se referă doar la adresele IP publice, deoarece clienţii rezidenţiali nu poti fi monitorizaţi.
