După agitația anului 2016 din jurul proiectului de lege propus de MCSI și dedicat securității cibernetice iată că anul 2018 este mai înțelept și reușește să treacă textul prin dezbaterea publică în deplin anonimat. A contat probabil și suprapunerea cu săptămâna ciuntă, când s-au lucrat doar 3 zile între Rusalii și 1 Iunie, dar și faptul că inițiatorul este de această dată MAPN, o instituție mai puțin în atenția opiniei publice. Expunerea de motive și proiectul pot fi găsite aici.
Mărturisesc că nu am mari regrete că am ratat perioada de transmitere a observațiilor, textul coincide în mare măsură cu cele cunoscute pe parcursul anului 2017. La observațiile mele de atunci astăzi am libertatea de a adăuga și o tușă de culoare balcanică fără de care nu am fi noi.
Trebuie să încep cu o explicație, rolul MAPN nu este întâmplător și putea fi anticipat de cei care au audiat înregistrarea întâlnirii ministrului MCSI Cojocaru cu Comisia ITC a CDEP în care acesta a spus că organizația sa încă analizează dacă să-și asume rolul de inițiator al legii. La nivel NATO, dar mai ales în SUA, armata este principalul player în cyberwar, DOD controlând prin United States Cyber Command chiar și mult mai faimoasa NSA. Într-o situație apropiată celei de război, MAPN preia coordonarea unor sectoare întregi mergând până la transporturile feroviare, mult înaintea acestora este lupta cibernetică ca vector asimetric, iar pentru a putea prelua coordonarea acestor activități trebuie să existe un anume control/cunoaștere a situației.
Chiar dacă multe persoane se vor arunca direct pe evaluare protecției drepturilor cetățenești eu aș începe cu cea mai dificilă de scris parte din lege – Art.8 – nominalizarea autorităților competente. Unele dintre cele nominalizate sunt acolo doar pentru a le împiedica pe celelalte să-și bage nasul în activitatea lor, atât în zona sistemelor IT cât și în zona instituțiilor arondate lor. Avem și o mare lipsă în componența Consiliului Operativ de Securitate Cibernetică COSC (Art.6), cea a Secretarului de Stat din SGG coordonator al sistemelor de e-guvernare, așa numitul CIO Guvernamental. Analizând putem observa că sunt prezente MAPN, MAI, MAE cu responsabilități sectoriale, MCSI este limitat doar la elaborarea de politici publice și inițiative legislative iar Consilierul de Stat al Prim-ministrului pe probleme de securitate națională nu are, prin definiție, rol executiv iar prin tradiție nicio competență IT. Așadar executivul nu are în COSC nici un reprezentant apt și abilitat să evalueze și să intervină în întreaga zonă a eguvernării, nu-i de mirare - dacă nu ceri nu ți se dă !
Trecând de zona sângeroasă a nașterii acestei legi putem trece la prevederile cu adevărat de impact – faptul că se va aplica instituțiilor publice și unui număr arbitrar de entități private. Obligațiile impuse acestora sunt de bun-simț: să-și auditeze anual sistemele, să aibă personal specializat, să raporteze orice breach. Mai dificilă este finanțarea acestor obligații, ar fi fost necesar să apară în expunerea de motive o sumă consistentă reprezentând creșterea cheltuielilor instituțiilor care sunt subiect al legii. Pentru mine este un subiect sensibil, pe care l-am mai abordat, mi se pare stupid acest furt al propriei căciuli – trecem obligații mari aparent cu costuri zero pe care apoi nu le îndeplinim din lipsă de fonduri. Odată ce conducătorul organizației va fi forțat să încalce legea este posibil să implementeze mai puțin decât ar fi făcut în cadrul unei legi aplicabile.
Aș remarca formularea ponderată a Art.10 f) care acordă autorității competente dreptul de a coordona managementul incidentului de securitate cibernetică (inclusiv survenit într-o entitate privată) comparat cu celelalte variante posibile: să conducă / să sprijine. Rămâne un grad de ambiguitate care permite adaptarea la natura incidentului și profilul entității atacate.
Formularea Art.19 care vorbește despre ”obligația să acorde sprijin autorităților competente, respectiv organelor de urmărire penală,” pentru restrângerea drepturilor cetățenești (interceptări) este nefericită părând a pune pe picior de egalitate autorități precum SRI cu parchetele în privința dreptului de a iniția acest proces. În aceeași notă, și art.18 care obligă firmele auditoare să anunțe autoritățile competente despre vulnerabilitățile critice identificate este într-o traiectorie de coliziune cu secretul profesional.
Una peste alta, fiind un proiect de lege propus de guvern ce va fi dezbătut în parlament, vor fi destule oportunități de exprimare cu privire la toate aceste prevederi precum și altele care necesită poate fine tunning.
Niciun comentariu:
Trimiteți un comentariu