Astăzi m-am învoit și am asistat la dezbaterea organizată de către MCSI și MCPDC pe textul proiectului legii pentru securitate cibernetică. Un eveniment important ținând cont de modul cum a fost tratat subiectul cu ocazia vechiului text – cel blamat de către Curtea Constituțională. De această dată au putut vorbi toți cei care au vrut sub moderarea Violetei Alexandru care a adus cu ea credibilitatea în ochii societății civile.
Un pas înainte important a fost si componența prezidiului: SRI STS MCSI CERT-RO + MCPDC ca expert în organizarea dezbaterii publice, o garnitură mult mai solidă și corectă în comparație cu ieșirea intempestivă a ministrului Grindeanu. Cât pe ce să fi și transmisă live, am înțeles însă ca va fi disponibilă înregistrarea. Doar seara trecută am reușit să iau contact cu textul legii aici așadar m-am dus mai mult pentru dezbatere decât pentru conținut.
Publicul se încadra, în mare, în 3 categorii: companii de tip ISP/TELCO, societate civilă profesionistă și societate civilă conspiraționistă, probabil împărțite numeric egal. De departe cei mai spectaculoși au fost cei din ultima categorie. Un discurs tipic începea cu o auto-prezentare urmată de considerații de tipul ați vândut țara, România este sub stăpânirea masonilor / securiștilor / etc. apoi se nominalizau tehnici de manipulare identificate in documentele dezbătute și se încheiau cu acuzația că, o seară mai înainte, SRI sau alcoliții lui (spre exemplu ICI) au intrat în calculatorul vorbitorului. Cu greu se putea extrage o opinie pe text, de obicei că acesta trebuie abandonat acum că poporul s-a deșteptat. Cred că au fost 3 prezențe de acest gen însă temporal au fost jumătate de dezbatere întrucât nu se lăsau duși de la microfon. Cum aceștia s-au înfipt primii la microfon creând atmosferă cei din industrie au cam renunțat să se exprime public spunând că vor depune documente sau că așteaptă o nouă dezbatere dedicată lor. Și ong-iștii de tradiție au cerut o dezbatere suplimentară însă s-au străduit, și au reușit, să aducă argumente solide și bine exprimate multe dintre acestea urmând, cred, să-și găsească locul în forma finală.
Din punctul meu de vedere la baza acestei legi stă o problemă reală pe care însă o rezolvă parțial, acoperind-o variabil în funcție de actorii implicați. Legea are trei idei principale: riscurile și evenimentele de securitate trebuie să fie cunoscute / comunicate instituțiilor și cetățenilor după anumite reguli, reglementează wiretap-ul necesar in lupta contra cybercrime și definește o structură piramidală executivă compusă din diverse instituții cu atribuții în domeniu. Mai detaliat … pentru sistemele de interes național boss este SRI, CERT-RO rămâne să se spele pe cap cu restul; se introduce obligația pentru hosteri (s-ar subînțelege și operatorii de cloud) de a permite monitorizarea activității clienților pe același sistem care funcționează astăzi pentru telefonie și transferurile de date; toate persoanele juridice trebuie să se gândească – sub diverse forme – la ce probleme ar putea avea, ce ar face dacă apar iar dacă se întâmplă trebuie să anunțe statul și clientela. Într-un acces democratic demn și de alte cauze (spre exemplu politica fiscală) legea nu face practic nici o diferență între o instituție de stat și o companie din punctul de vedere al drepturilor și obligațiilor și astfel mi-a dat prilejul să mă amuz în timpul dezbaterii publice. O bună parte din discuții s-au învârtit în jurul exemplului cabinetului medical care trebuie să protejeze secretele pacientului dar nu-și permite partea de prevenție IT. În realitate instituțiile publice sunt într-o găleată și mai mare … legea le permite să ceară ajutor tehnic dar nu obligă pe nimeni să li-l ofere ! Să presupunem că descoperim, conform statisticii în a 250-a zi de la apariție, că există un malware care a infectat, să spunem, 25% din lan-urile din România. Asta ar însemna câteva mii de LAN-uri ale administrației publice și câteva zeci sau sute de mii de rețele /sisteme ale agenților economici. Agentul economic are oameni propri, nu neapărat certificați ca specialiști în securitate cibernetică, care se vor descurca să ruleze aplicațiile necesare pe baza de tutoriale de pe net. Instituțiile publice, majoritatea neavând specialiști infosec, vor avea de ales între a aștepta echipa CERT să ajungă la ei sau să inițieze o procedură de achiziție publică pentru servicii infosec comerciale. Ambele variante durează zeci de zile timp în care conducerea instituției publice va avea de ales între a închide sistemul compromis pentru a opri exfiltrarea/coruperea datelor sau de a continua activitatea instituției pe răspunderea ei. Ghici ce ar alege funcționarul public tipic ? Din acest motiv cred că legea este aplicabilă real doar pentru infrastructurile de interes național iar restul vor merge la noroc până la un incident serios de tip Colectiv & PSI când brusc o grămadă de oameni se vor da disperați cu capul de pereți încercând să intre în litera legii de care până atunci nu i-a întrebat nimeni nimic. Eu consider că legea trebuie aplicată în egală măsură de toți subiecții ei, trebuie să fie făcută în acest sens și din acest motiv acest proiect de lege este inadecvat și ireparabil în lipsa unei reduceri drastice a ariei sale de adresabilitate până la o anvelopă sustenabilă.
O altă particularitate interesantă a acestui proiect de lege este că legiferează un sistem gândit nu de inițiator – MCSI – ci construit în timp prin decizii CSAT care își primesc acum cheia de boltă. Lipsa transpareței și consultării publice în aceste stadii incipiente pune astăzi o serie de actori privați în situația de a fi coordonați de SRI, o relație care, dincolo de scopul pozitiv, nu este îndeajuns de clară – spre exemplu nu știu dacă această relație se bazează pe acte administrative care pot fi atacate în contencios. O situație de o amploare mult mai mare decât singura similitudine care îmi vine în minte: agenții economici care lucrează cu secrete de stat.
Niciun comentariu:
Trimiteți un comentariu