Serviciul e-n toate cele ce sunt… NOUL PROIECT AL LEGII CIBERNETICE – ACELEASI MANEVRE SECURISTE (Video)

23-02-2016 11 minute Sublinieri

Mai multe ONG-uri si-au exprimat joi [18 februarie – n.n.] dezamagirea fata de nerespectarea angajamentelor luate de Ministerul Comunicatiilor si de Ministerul pentru Consultare Publica si Dialog Civic, in cadrul primei sesiuni de dezbateri publice privind noul proiect de lege a securitatii cibernetice. Cele doua ministere au promis ca vor publica minuta primei dezbateri, publicarea textului refacut al propunerii de lege, dupa analizarea tuturor punctelor de vedere transmise in scris sau verbal si motivarea opiniilor respinse. Mai mult, Ministerul Comunicatiilor organizeaza vineri inca o sesiune de dezbateri, iar Ministerul pentru Dialog Civic le-a raspuns ONG-urilor ca nu va fi prezent la aceasta dezbatere, a carei organizare fara publicarea minutei primei dezbateri respectiv motivarea opiniilor respinse reprezinta in totalite decizia Ministerului Comunicatiilor.

  • UPDATE Ministerul Comunicatiilor a afisat joi, dupa publicarea articolului HotNews.ro, minuta dezbaterii publice (vezi doc atasat) din data de 12 februarie 2016 si propunerile trimise de participantii la dezbateri, in anexele atasate minutei.
  • Redam mai jos integral scrisoarea publicata joi de Asociatia pentru Tehnologie si Internet (APTI), unul dintre ONG-urile semnatare:

“In urma anuntului de pe site-ul Ministerului pentru Comunicatii si pentru Societatea Informationala cu privire la organizarea celei de-a doua sesiuni de dezbateri cu privire la legea securitatii cibernetice in data de 19 februarie 2016, dorim sa ne exprimam dezamagirea fata de nerespectarea termenilor angajamentelor luate de catre cele doua ministere in timpul primei dezbateri din 12 februarie 2016. Mai exact, au fost promise de catre organizatori:

  • publicarea minutei primei dezbateri;
  • publicarea textului refacut al propunerii de lege, dupa analizarea tuturor punctelor de vedere transmise in scris sau verbal;
  • motivarea opiniilor respinse.

Aceasta a doua runda de dezbateri, pe care am sugerat-o in vederea discutarii punctuale a articolelor din propunerea de lege, este inutila pe acelasi text, in conditiile in care nici macar minuta primei intalniri nu a fost publicata sau comunicata participantilor sau publicului larg interesat de dezbatere. Mai mult, documentul explicativ in ceea ce priveste includerea sau respingerea motivata a comentariilor ridicate nu exista, iar textul de lege propus este identic.

De asemenea, am sublinia faptul ca este insuficienta simpla publicare a anuntului pe site-ul ministerului, si mai ales neinformarea directa a celor care au participat prima data sau au trimis deja opinii MCSI – mai ales daca se doreste primirea de opinii din afara Bucurestiului.

In acesta situatie consideram ineficienta reluarea discutiilor de la prima dezbatere, intrucat o noua dezbatere identica cu prima nu face decat sa stagneze discutiile si amana gasirea unor solutii de fond cu privire la continutul defectuos al textului, care in continuare incalca decizia Curtii Constitutionale a Romaniei nr. 17 din 2015 in numeroase puncte.

In concluzie solicitam publicarea minutei impreuna cu toate comentariile scrise sau adresate verbal, corectarea propunerii de lege dupa analizarea tuturor observatiilor supuse atentiei in cadrul perioadei de consultare publica, motivarea tuturor punctelor care nu au fost luate in considerare in noua varianta de text a propunerii si organizarea celei de-a doua dezbateri dupa ce aceste documente au fost puse la dispozitia publicului pentru cel putin 30 de zile, conform art. 6 alin. 2 din Legea 52/2003 privind transparenta decizionala.

Semnatari

  • Asociatia pentru Tehnologie si Internet – ApTIActiveWatch
  • Asociatia Pentru Apararea Drepturilor Omului in Romania – Comitetul Helsinki (APADOR-CH)
  • Centrul pentru Inovare Publica
  • Asociatia Militia Spirituala
  • Alex Lungu – copy-me.org
  • Lucian Rotaru


Update 18 februarie 2016 ora 16:00: Am primit intre timp raspunsul Ministerului pentru Consultare Publica si Dialog Civic, pe care il redam in integralitate dupa lista de semnatari. Va incurajam sa sustineti scrisorile deschise publicate prin trimiterea unui comentariu pe site. Prima scrisoare este disponibilaaici, iar a doua aici.

Raspunsul Ministerului pentru Consultare Publica si Dialog Social:

‘Buna ziua,

In legatura cu cea de a doua scrisoare deschisa formulata de catre organizatiile dumneavoastra in data 18 februarie 2016 si adresata Ministerului Comunicatiilor si pentru Societatea Informationala si Ministerul pentru Consultare Publica si Dialog Civic, permiteti-mi sa va informez asupra urmatoarelor:

Organizarea vineri, 19 februarie 2016, a unei a doua consultari publice, fara publicarea minutei primei dezbateri respectiv motivarea opiniilor respinse reprezinta in totalite decizia MCSI. De altfel, aspect comunicat de noi catre MCSI, Ministerul pentru Consultare Publica si Dialog Civic nu va fi prezent la a doua sesiune de dezbateri cu privire la Legea Securitatii Cibernetice, prevazuta pentru vineri, 19 februarie 2016.

Din informatiile pe care le avem, MCSI va publica, in cel mai scurt timp, minuta privind dezbaterea din data de 12 februarie, respectiv toate propunerile primite, recomandarea noastra fiind de a motiva opiniile respinse, aspect ce va fi dus la indeplinire in perioada urmatoare.

Va multumesc inca o data pentru semnalizarea acestor aspecte si va asigur de intreaga mea consideratie.

Violeta Alexandru
Ministru
Ministerul pentru Consultare Publica si Dialog Civic’

Context

In urma invalidarii de catre Curtea Constitutionala a legii securitatii cibernetice conform deciziei nr. 17 din 2015, o noua propunere de lege privind securitatea cibernetica a fost publicata pe site-ul Ministerului pentru Comunicatii si pentru Societatea Informationala in data de 27 ianuarie 2016.

Ca urmare a mai multor solicitari din partea societatii civile a unei dezbateri publice, aceasta a fost organizata in data de 12 februarie 2016 de catre Ministerul Comunicatiilor si pentru Societatea Informationala (MCSI) in parteneriat cu Ministerul pentru Consultare Publica si Dialog Civic (MCPDC). Inregistrarea video facuta de APADOR-CH este disponibila aici, iar un scurt moment aici.

Anterior organizarii primei dezbateri, pe fondul problemei, a fost supuse discutiei cinci principii majore dupa care propunerea de lege ar trebui sa se ghideze. Principiile sunt explicate in prima scrisoare deschisa care poate fi in continuare sustinuta si semnata de orice persoana fizica sau juridica” […]/ integral pe hotnews.ro

Astăzi [19 februarie – n.n.] am mers la a doua dezbatere privind legea securității cibernetice organizată de Ministerul pentru Comunicații și pentru Societatea Informațională (MCSI), de data aceasta fără suportul logistic al Ministerului pentru Consultare Publică și pentru Dialog Civic (MCPDC).

Am mers să înțelegem și noi de ce s-a organizat o a doua dezbatere, în condițiile în care:

1. minuta primei dezbateri nu a fost publicatăa fost publicată ieri, undeva pe la ora 19:00, după care ore bune spre seară site-ul MCSI nu a mai fost funcțional. Minută este mult spus – documentul este o transcriere a ceea ce s-a discutat în timpul dezbaterii. Adică cine, ce a zis și de unde vine. Și cam atât.

2. nu s-a publicat un document de analiză a comentariilor trimise în scris sau verbal pentru prima dezbatere – deci nu știm ce observații s-au luat în calcul și care nu (cu motivarea aferentă).

Aceste motive ne-au făcut ieri să trimitem celor două ministere a doua scrisoarea deschisă. Apreciem cu toată sinceritatea și faptul că MCPDC și-a depus sprijinul, și felul cum a decurs prima dezbatere și că am putut interveni și susține punctul de vedere, și faptul că s-a luat în considerare solicitarea noastră de a se organia o a doua dezbatere. Păcat că în ceea ce privește ultimul punct au fost considerate ca niște mici detalii publicarea minutei, analiza comentariilor și publicarea motivată a modificărilor pe propunerea de text de lege.

Deci ce ne-am întâlnit astăzi să dezbatem? În viziunea domnului ministru Bostan, ca să stăm iar cuminți să ascultăm aceeași prezentare a domnului Augustin Jianu, director CERT-RO, despre cât de amenințați și în pericol suntem, să stăm să ascultăm din partea SRI că dacă s-a introdus accesul la date doar cu mandat judecătoresc altceva mai mult de atât n-avem ce să ne dorim și să ne mai spună încă o dată domnul Opriș, director al Serviciilor de Telecomunicații Speciale cum că trebuie să ne apere ei că altfel suntem pierduți. Plus, să colecteze noi puncte de vedere care nu au fost exprimate anterior. Nu era cazul nostru, așa că am plecat.

Din punctul nostru de vedere textul trebuie refăcut integral.

Faptul că ne-am ridicat și am plecat nu însemnă că nu ne pasă de subiect, că nu vom trimite comentarii punctuale față de propunerea de lege sau că vrem să ne opunem unei astfel de legi. Adica revenim săptămânia viitoare cu un comentariu mai pe larg, în interioriul perioadei legale de 30 de zile de consulatare publică.

Gestul nostru înseamnă că vrem :

1. ca promisiunile să fie duse la îndeplinire

2. o dezbatere reală – nu să stăm să ascultăm aceleași lucruri vagi din partea celor de la prezidiu, ci întrebări și răspunsuri cu argumente. Se presupune că cei care vin la dezbatere știu principiile, textul și legislația aplicabilă, nu?

3. vrem ca toate comentariile trimise în scris sau susținute verbal să fie analizate

4. vrem să existe un text modificat în care să se motiveze de ce anumite comentarii au fost încorporate și altele nu

5. vrem să se mai organizeze o dezbatere după ce punctele anterioare au fost rezolvate

Am spus-o și azi și o mai spunem și aici.

Textul actual:

  • NU îndeplinește toate condițiile de constituționalitate, așa cum au fost enunțate de Curtea Constituțională în decizia 17/2015
  • NU este deloc armonizat cu textele europene (în special directiva NIS – Network Information Security care este la un pas de adoptare formală)
  • NU este sincronizat cu diferite obligații ce sunt deja prezente într-o serie de acte normative naționale
  • NU respectă regulile de tehnică legislativă

Din aceste motive spunem că textul trebuie refăcut în întregime. Doar după aceea vom mai putea avea o discuție și vom fi bucuroși să punem toată expertiza noastră la dispoziție.

Altfel, toată dezbaterea publică va fi o formalitate care trebuie bifată și nu o dezbatere pe principii, fundamente și pe text. Am vazut deja scenariul acesta la prima versiune a legii din 2014.

După cum ați aflat deja, acum 2 zile MCSI a propus o nouă lege privind securitatea cibernetică (citiți de aicitextul și expunerea de motive). Propunerea vine la 1 an după ce vechea propunere, trecută lapidar prin neconsultare publică și nediscutare în Parlament, a fost respinsă integral de Curtea Constituțională.

Încercăm așadar o analiză la cald a noii propuneri, fără să ne ascundem dezamăgirile, dar remarcând totuși evoluția față de anul trecut – măcar chestiunile neconstituționale majore (accesul la date fără mandat de la judecător sau SRI ca auditor al sistemelor informatice) nu mai apar în noul proiect.

Problema de fond – o Marie cu o altă Pălărie

Noul proiect este o versiune resăpată a vechiului proiect cu mult mai alambicată și mai generică, dar cu același principii ca data trecută:

  • toate persoanele juridice sunt subiecții legii (legea zice în art. 2 că doar cele care au calculatoare care prelucrează date cu caracter personal – să fim serioși ce persoană juridică care folosește un calculator nu are date personale pe el. Măcar datele angajaților sau datele din facturi și tot ai)
  • toate persoanele juridice trebuie să “elaboreze și să implementeze politici și planuri de securitate cibernetică”, inclusiv să aibă măsuri organizatorice și tehnice pentru “managementul incidentelor de securitate” și să raporteze “toate incidentele de securitate”. Toate aceste vor fi realizate fără niciun impact financiar pentru aceste persoane juridice – conform expunerii de motive.
  • Statul se ocupă de asigurarea securității cibernetice (vezi art. 9 pentru lunga listă de acronime – MCSI, CERT, SRI, ANCOM, MApN, MAI, ORNISS, iarăși ANCOM, iarăși SRI, SIE și STS care devin toate “autoriăți responsabile” pe diverse paliere prea vagi pentru a fi identificate la prima citire)

De aici începe problema principală – proiectul de lege vede securitatea informatică ca pe o problemă a statului, care trebuie să vina și să le spună cetățenilor și persoanelor juridice ce și cum trebuie să facă. Trebuie să-i fie raportate incidentele de securitate și să dea amenzi pentru cei care nu le respectă. De ce? Ca să facem cetățeanul să fie sigur, chiar dacă el nu vrea.

Să luam un exemplu, pentru a fi mai clari

OchiulVesel SRL e o firmă care produce ochelari. Pentru că OchiulVesel SRL are o baza de date de clienți pe un laptop, el se va supune legii securității cibernetice, deși o ține pe o partiție separată și criptată. Administratorul OchiulVesel SRL observă că are pe un browser o infecție, care face ca atunci când caută o pagină care nu există, de fapt îl duce pe o pagină de reclame. Băiat inteligent și calculatorist, Administratorul OchiulVesel SRL își dă seama că are un “incident de securitate” și deci este obligat conform art. 20 1(b) și 24 să notifice MCSI (cu toate detaliile) că are o problemă, deși nu afectează datele personale. Altfel, primește amendă. MCSI va păstra aceste date timp de 5 ani de zile. Societatea românească e dintr-o dată sigură și fericită.

Dar înlocuiți în exemplul de mai sus ca în loc de OchiulVesel SRL să fie o redacție de presă care face o anchetă asupra MCSI sau SRI. Și redacția trebuie să raporteze toate “incidentele de securitate” fie către MCSI, fie către SRI (dacă intră în vaga listă de infrastructuri cibernetice de interes național – ICIN), inclusiv dacă a avut un acces neautorizat la subiectul în lucru. Care poate conține și identitatea sursei…

Nu e mai bine să ajutăm și redacțiile de presa. Chiar dacă ele nu vor !?!

Și cum ar trebui să fie?

Deci problema nu este o lege a securității informatice, ci cu această propunere. Care nu ține cont că de fapt sectorul privat este cel care face jocurile în acest domeniu. Și care este interesat de securitatea IT nu pentru că ii zice statul, ci pentru că așa își protejează secretele comerciale sau baza de date cu clienți. Care sunt mai importante decât orice amendă de 1000 de lei. Și nu ține cont nici că veriga slabă – și în același timp veriga principală – este cetățeanul. Pentru că poți să ai cele mai fabuloase proceduri de securitate, dacă Gigel de la Cazane își pune parola 123, ele sunt zero barat. La fel, dacă Maricica de la Contabilitate trebuie să folosească doar Internet Explorer 6.0 să acceseze zona de depuneri de la Ministerul Finanțelor.

De aceea statul nu trebuie să își propună să rezolve securitatea cibernetică a națiunii (și de fapt nici nu poate practic în condițiile Internetului), ci să-și controleze instituțiile publice ca să aibă un minim de proceduri, iar din sectorul privat exclusiv acele zone care sunt efectiv critice pentru întreaga societate. Nu mai departe decât directiva NIS (deja agreată la nivelul UE) și ignorată din nou de MCSI vine cu o lista clară și fără echivoc de 7 tipuri de operatori considerați critici (vezi Anexa II paginile 52-54): furnizori de electricitate, gaze, petrol, servicii transport, servici bancare, servicii de sănătate, apă de băut. Iar din cei digitali sunt doar 3 tipuri mari și late: Internet Exchange Points, furnizori de servicii de nume de domenii și registrii Top Level Domain.

Deci nici OchiulVesel SRL și nici Redacțiaonline.

Alte chestiuni punctuale

Deja am scris mult și încă nici nu am ajuns la puricarea textului articol cu articol (îmi e și greu, având doar un text în PDF – dar cu stampilă!), dar sunt cel puțin alte trei subiecte care efectiv au sărit în ochi:

Securitatea datelor personale este prevăzută ca principalul principiu al legii. Doar că astea sunt vorbe goale, pentru că legea nu doar că nici măcar nu menționează Legea 677/2001 sau Autoritatea din domeniu, dar nici măcar nu prevede ceea ce ar trebui să aducă ca noutate pe domeniul securității datelor personale – raportarea pierderii datelor personale (data breach), pentru a intra în trendul european.

Menționarea furnizorilor de servicii de găzduire Internet în mod expres la art. 2 d) mi-a sărit în ochi. Cu ce ar fi ei mai speciali decât restul furnizorilor societății informaționale? De ce nu se păstrează regimul lor din Legea 365/2002? Singurul răspuns este articolul 23 care pare a le fi dedicat – și care îi obligă în alin. a) să respecte o eventuală decizie judecătorească (pentru asta nu îți trebuie un articol special!) pentru restrângerea drepturilor și libertăților persoanelor (adica ce? libertatea de exprimare, viața privată?) și în alineatul următor să… păstreze orice date de interacțiune cu acel sistem informatic. Adică cum? ce date? pentru ce? Dacă eu, care am văzut de vreo 15 ani legi în domeniu nu-mi dau seama ce vrea să spună…

Dacă ar fi să ne întoarcem și la motivația reală a vechii legii, unele voci șopteau că scopul este de fapt realizarea unui business pentru un nou corp de auditori de securitate cibernetică (spre deosebire de noțiunea de securitate informatică sau securitatea informației, deja practicată astăzi și unde corpul de auditori este auto-reglementat). Ei bine, noul text strecoară în art. 22 alin. 3 noua obligație prin care așa numiții furnizori de servicii de securitate cibernetică care fac audit de securitate pentru ICIN vor trebui să fie autorizați de același MCSI, care va stabili detaliile într-un ordin. Eh, detalii, ce surpriză!

Culmea este că obligația este strecurată într-un articol din noul act normativ (art. 22) care ilustrează cel mai bine scopul legii –  articolul obligă furnizorii de servicii de securitate cibernetică să notifice autoritățile competente în maxim 24 de ore de amenințări care pot afecta infrastructura critică a deținătorului (care nu e definit). Deci în loc ca obligația principală a expertului în securitate să fie să rezolve problema clientului și să îi securizeze sistemul informatic – ei bine, nu, singura obligație prevăzută de lege este să raporteze incidentele către autoritățile competente.

Ne auzim pe săptămâna viitoare, când o să reușim să finalizăm și analiza pe articole.

Ieri [27 ianuarie – n.n.], pe site-ul Ministerului Comunicațiilor și pentru Societatea Informațională (MCSI) a apărut o nouă propunere de lege privind securitatea cibernetică (vezi punctul 4 din link) ca un cadou pentru Ziua Protecției Datelor Personale sărbătorită pe 28 ianuarie 2016. Acum, o propunere reală de a crește securitatea datelor din Internet nu ar fi rea ca intenție – dar propunerea este pe aceleași linii directoare ca și data trecută. Și dacă de data asta invocă ca prim scop “protecția vieții private și a datelor personale”, propunerea uită să menționeze Autoritatea pentru Protecția Datelor Personale și se axează pe aceleași principii ca și în trecut (cu unele mici modificări): toate persoanele juridice sunt subiecții legii, și tot structurile militare sau de servicii secrete sunt cele către care trebuie raportat.

Ce le-a mai scăpat?

Definițiile sunt mai vagi, autoritățile însărcinate cu atribuții în domeniul securității informatice sunt tot aceleași, doar că e mai alambicată structura și împărțirea responsabilităților dintre ele, iar bineînțeles, niciuna nu este sub control democratic.

Deci pe scurt, iar nu am învățat nimic din experiențele anterioare (vezi Decizia CCR din 21 ianuarie 2015care declara neconstituțională legea securității cibernetice în totalitatea ei), am păstrat aceeași termeni, dar i-am organizat altfel și iar ne-am grăbit să scoatem o lege proastă care nu este în concordață nici cu decizia CCR, nici cu directiva Network Information Security (NIS) care a fost recent agreată de instituțiile europene.

Termenul stabilit pentru primirea de comentarii şi propuneri pe baza textului de lege este cel clasic pentru MCSI – de 10 zile.  Deciiar nu s-au respectat obligațiile de transparență în ceea ce privește procesul decizional – art. 6 alin. 2 din Legea 52/2003 stipulează că anunţul referitor la elaborarea unui proiect de act normativ va fi adus la cunoştinţă publicului cu cel puţin 30 de zile înainte de supunerea spre analiză, avizare şi adoptare de către autorităţile publice.

Cam așa sărbătorim noi astăzi Ziua Internațională a Protecției Datelor Personale – trimițând scrisori cerând să se organizeze o dezbatere publică pe marginea unei propuneri de lege care conține ingerințe disproporționate în viața noastră privată. La a 2-a strigare.

O analiză mai amănunțită a noilor prevederi vom publica curând, dar până atunci găsiți aici textul integral al solicitării trimise. Chemați să intervină activ în ceea ce privește respectarea măsurilor de transparență sunt MCSI pentru respectarea obligațiilor de transparență decizională, dar și noul Ministru pentru Consultare Publică și Dialog Social pentru luarea unui rol activ în asigurarea transparenței procesului decizional în acest caz pentru evitarea unui simulacru.

Și cine să fie instituțiile competente?

N-avem un răspuns perfect, dar uitându-ne la competențele date MCSI pe noul proiect de lege, ne gândim că ar trebui să-și facă curat în propria ogradă înainte de a ne vorbi despre securitate cibernetică și mai ales să-și aroge atribuții pe domeniul acesta înainte să fie siguri că ei sunt un model de bună practică. Sau – cum ne demonstrează prin 2 imagini un utilizator de pe Facebook (verificate de noi, nu punem URL-ul aici din motive lesne de înțeles) – au diverse coduri ce par malițioase în propriul site unde se află spre dezbatere propriul proiect de lege. Privind securitatea cibernetica. Ironic, nu? :-)

Serviciul e-n toate, în cele ce sunt şi-n cele ce mâine rânji-vor la soare. În marele mahăr, în omul mărunt. Nu ştii care care toarnă pe care.

Te vede, te-ascultă, te dă şi în gât. E-ntrecere, e ca un viciu. Serviciul în toate cu sârg s-a vârât, serviciul e şi la serviciu.

Are ochi mari şi urechile lungi, nu-l poţi confunda cu nimica. E ca în povestea Scufiţei în dungi: te umflă şi râsul, te-apucă şi frica.

Am priceput şi îmi pare util, subînţeles din oficiu: nu e stamină fără pistil, nici democraţie fără serviciu.

Culmea serviciului însă ar fi (riscul pândeşte, vezi bine) ca barem o singură dată pe zi să se asculte pe sine.

*


Categorii

1. DIVERSE, Panopticon, Servicii secrete, Video

Etichete (taguri)

, ,

Articolul urmator/anterior

Comentarii

3 Commentarii la “Serviciul e-n toate cele ce sunt… NOUL PROIECT AL LEGII CIBERNETICE – ACELEASI MANEVRE SECURISTE (Video)

  1. Pingback: DE LA STATUL DE DREPT LA STATUL SECURITAR. Instalarea noilor regimuri totalitare prin permanentizarea stării de urgență | Cuvântul Ortodox
  2. Pingback: COLONIA MILITARISTĂ ROMÂNIA ŞI ACOPERIŢII “STORMTROOPERS”. Adevarul despre ce a ajuns tara noastra, spus verde-n fata de avocatul GHEORGHE PIPEREA: “Visul vechii Securităţi de a ajunge să ne fie din nou frică de ea e deja realita
Formular comentarii

* Pentru a deveni public, comentariul dumneavoastra trebuie aprobat de un administrator. Va rugam sa ne intelegeti daca nu vom publica anumite mesaje, considerandu-le nepotrivite, neconforme cu invatatura ortodoxa sau nefolositoare sufleteste. Va multumim!

Carti

Documentare