fbpx

Sesizarea către CCR privind legea securității cibernetice: ”este de fapt o obligaţie de delațiune”

Sesizarea depusă la Curtea Constituțională, semnată de parlamentari USR și neafiliați, arată că ”mult clamata colaborare – este de fapt o obligaţie de delatiune (care nu există în niciun alt stat membru al UE) pentru adunare de informaţii confidentiale de către stat pentru nişte scopuri neclare.”

Extras din sesizare: ”Conform art. 25 alin. (1) din legea votată, ”Furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor prevăzute la art. 10, la cererea motivată a acestora, în termen de maximum 48 de ore 16 de la data primirii solicitării, date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1), precum şi interconectarea acestora cu terţii şi cu utilizatorii finali”

Art. 25 reia o propunere din legea declarată neconstituţională în 2015 şi creează o obligaţie de delaţiune de la o categorie de profesionişti care, in mod normal, ar avea obligaţii de confidenţialitate stricte pentru proprii clienţi.

Scopul unui furnizor de servicii de securitate este acela de a proteja şi de a rezolva problemele clientului său. De obicei, furnizorii de servicii de securitate cibemetică sunt nişte profesionişti tehnici care au contractuale de confidenţialitate extrem de stricte faţă de clienţii lor (din România sau străinătate). O parte din informaţiile la care au access, sau pe care le descoperă, sunt fegate de incidente, ameninţări, riscuri sau vulnerabilităţi.

Conform legii votate privind securitatea cibemetică a României, acesti furnizori sunt obligaţi ca, la orice întrebare de la una din Institutuile din art. 10. să-şi reclame/denunţe~clienţi. Fără a exista un mandat judecătoresc, fără autorizare expresă, aceşti fumizori sunt obligaţi să dea lnformaţii despre starea securităţii unui client, sau, mai grav, a unei întregi infrastructuri (ceea ce poate include informaţii personale şi secrete ale mai multor clienţi, fie ei direct afectaţi de o posibilă vuinerabilitate sau nu).

În ciuda limitării de la art. 25 alin. (2), informaţllle sunt de o sensibilitatea extremă, mai ales când spectrul de aplicare de la art. 3 alin. (1) lit. c) este atât de larg, Tricât ne putem aştepta ca autorităţile descrise ia articolui 10 să aibă acces la informaţii despre starea de securitate a oricărui site, oricărei aplicaţii web, operate de persoane fizice,

De exemplu, orice expert de securitate ar trebui să raporteze orice potenţială problemă a unui site de media care publică ştiri şi investigații, care pot ajunge chiar către autorităţile despre care sunt materialele. Unele dintre redacţiile de investigatie din România şi, mai nou, orice sublect al legii de implementare a directivei privind avertizorii de integritate, ar fi obligaţi să creeze sisteme de raportare anonimâ. (care ar trebui sa fie publice) a infracţiunilor de corupţie – deci s-ar putea avea acces direct la informatii despre infrastructura de avertizare.

O asemenea obligatie – care a făcut parte şi din legea cu acelaşi obiect declarată neconstitutională prin Decizia CCR nr. 17/2015 – ar fi asemănătoare obligatiei unui auditor sau contabil ca, în primul rând să denunţe la ANAF şi nu să îşi consilieze clientul ce trebuie să facă pentru a fi în legalitate.

Deci mult clamata colaborare – este de fapt o obligaţie de delatiune (care nu există în niciun alt stat membru al UE) pentru adunare de informaţii confidentiale de către stat pentru nişte scopuri neclare. Formularea actuală presupune din start că fumizorii de servicii de securitate ar refuza să sprijine statul în interesul legitim al acestui de asigurare a apărării cibernetice.

Scopul ar fi, conform declaraţiilor publice ale MCID (Ministerul Cercetării, Inovării și Digitalizării – n.red): ,,Flecare autoritate publică cu atribuţii in domeniul securităţii clbernetice, pentru a-şi putea exercita atribuţille legale de protejare a reţelelor şl sistemelor informatice, are nevoie de o colaborare loială cu furnizod de servicii de securitate cibemetică. Această colaborare presupune inclusiv protejarea reţelelor şi a sistemelor informatice ale acelor care deservesc unor scopuri publice sau private.”

De fapt, obligatia impusă este o Ignorare completă a importantei confidenţialităţii în relaţia dintre doi profesionişti privati – este ca şi cum ai obliga să dai unei institutiu publice în conditii incerte informalii sensibife, similare cu: avocatui să dea informatii despre ce face clientul său, doctorui să identifice punctele slabe ale propriului pacient sau lăcătuşul să anunţe tipui de uşă folosită (şi cum poate fi spartă).

De asemenea, această obligatie împiedică experții şi furnizorii de servicii de securitate informatică străini să îşi furnizeze serviciile în România, pentru că în ţărfle de origine – de exemplu în Germania – dezvăluirea unor astfel de informatil oricăror terţi este ilegală. Deci, astfel de furnizori internationali de servicii de securitate informatică vor avea de ales între a respecta legea în Românla sau a respecta legile celorlaile tări în care activează, rezultatul cel mai plauzibil fiind că se vor retrage din România şi, prin urmare, firmele şi organizaţlile române vor avea de suferit din cauza lipsei accesului la expertiza de top internaţională în domeniu.”

Sesizarea completă

Loader Loading...
EAD Logo Taking too long?

Reload Reload document
| Open Open in new tab

Proiectul de lege adoptat și trimis la promulgare

Loader Loading...
EAD Logo Taking too long?

Reload Reload document
| Open Open in new tab

Download [335.43 KB]

Comments

comentarii

Mai multe dosare au fost deschise în legătură cu primul tur al alegerilor prezidențiale de anul trecut. Printre faptele cercetate de procurori figurează influențarea scrutinului, finanțarea ilicită și spălarea de bani.... Citește mai mult
Un conflict produs între suporteri pe stadion la meciul Dinamo – „U” Cluj s-a lăsat cu amenzi pentru fanii „studenților” și acces interzis pe stadioane timp de un an.... Citește mai mult
Sărbători fericite!

Lasă un răspuns