Serviciile secrete (SRI, SIE, STS, SPP), dar și Ministerul Apărării Naționale, Ministerul Afacerilor Interne, ORNISS, CERT-RO și ANCOM pot avea acces la datele deținute de furnizorii de servicii de internet și telefonie, doar în baza unei „solicitări motivate”, conform Legii securității cibernetice a României, adoptate vineri de Senat, care este cameră decizională. Legea a fost inițiată de Guvern și adoptată tacit de Camera Deputaților, în urmă cu trei luni.
Cel mai controversat articol din legea respectivă, numărul 17, stabilește că printre atribuțiile deținătorilor de infrastructuri cibernetice (termen definit vag în lege drept infrastructuri din domeniul tehnologiei informației și comunicații, constând în sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice) se numără și: „să acorde sprijinul necesar, la solicitarea motivată a SRI, MApN, MAI, Oficiului Registrului Național al Informațiilor Secrete de Stat, SIE, STS, SPP, CERT-RO și ANCOM, în îndeplinirea atribuțiilor de serviciu ce le revin acestora și să permită accesul reprezentanților desemnați în acest scop la datele deținute, relevante în contextul solicitării”.
Legea elimină astfel necesitatea unui mandat judecătoresc pe care aceste instituții trebuie să îl obțină în prezent pentru a avea acces la datele oricărui sistem informatic susceptibil că este implicat într-o activitate ilegală. De asemenea, legea nu specifică ce formă legală trebuie să aibă această solicitare și ce elemente trebuie să conțină și nici situațiile în care poate fi făcută.
Legea se aplică doar persoanelor juridice publice și private, nu și simplilor cetățeni care dețin un calculator sau o rețea.
Legea adoptată astăzi stabilește practic un cadru de lucru pentru prevenirea unor incidente și atacuri cibernetice care implică structuri ale statului român și cadrul de acțiune în cazul unui astfel de atac. Legea înființează un Sistem Național de Securitate Cibernetică, reunind toate instituțiile cu atribuții în domeniu, de la servicii secrete la autorități din telecomunicații. Acest Sistem este condus de un Consiliu, condus la rândul său de consilierul Președintelui României pe siguranță națională și cel al premierului României din același domeniu, ca președinte respectiv vicepreședinte.
Coordonarea tehnică a acestui Sistem și a Consiliului este asigurată de SRI, care devine „autoritate națională în domeniul securității cibernetice”. Celelalte servicii secrete și cele două ministere de securitate națională (MAI și MApN) au însă responsabilitatea asupra securității cibernetice a propriilor sisteme electronice.
Legea impune obligații și pentru persoanele private din România, în acest domeniu, astfel că deținătorii de infrastructuri cibernetice au obligația să își asigure măsurile de securitate proprii.
CITEȘTE AICI LEGEA SECURITĂȚII CIBERNETICE
Bogdan Manolea: Moș Crăciun ne aduce calul troian: securismul cibernetic
Bogdan Manolea, expert în legislație privind internetul și comunicațiile, arată că legea prezintă defecte majore și că arogă puteri sporite și necontrolate autorităților de securitate națională.
„În condițiile în care astăzi orice acces la sistemele informatice unde se află date informatice se face doar cu autorizarea unui judecător, textul actual ne aruncă în haos”, scrie Manolea într-un articol intitulat „Moș Crăciun ne aduce calul troian: securismul cibernetic”, publicat de Asociația pentru Tehnologie și Internet.
Manolea arată că legea poate fi atacată la Curtea Constituțională sau întoarsă de la promulgare de președintele Klaus Iohannis, înainte ca prevederile ei să intre în vigoare.
CCR a desființat legea Big Brother și a cartelelor prepay
Parlamentarii au adoptat această lege în contextul în care judecătorii Curții Constituționale au desființat prevederile altor două legi din domeniu. Astfel, articolul așa-numitei legi „Big Brother”, prin care furnizorii de comunicații electronice și telefonice erau obligați să stocheze datele de identificare și de localizare în spațiu și timp ale utilizatorilor săi, timp de 6 luni, a fost declarat neconstituțional în luna iulie. În aceste condiții, prevederile noii legi adoptate astăzi rămân parțial fără obiect, pentru că autoritățile primesc acces la niște date care, legal, nu mai pot fi stocate de furnizorii de comunicații electronice.
Ulterior, în luna septembrie, CCR a declarat neconstituționale și prevederile unei alte legi, prin care utilizatorii de cartele telefonice prepay erau obligați să prezinte un act de identitate la achiziționarea unei astfel de cartele, iar furnizorii de internet prin rețele wi-fi publice erau obligați să solicite utilizatorilor datele de identificare.
Curtea a constatat atunci că dispozițiile legii criticate nu au un caracter precis și previzibil, iar modalitatea prin care sunt obținute și stocate datele necesare pentru identificarea utilizatorilor serviciilor de comunicații electronice pentru care plata se face în avans, respectiv a utilizatorilor conectați la puncte de acces la internet nu reglementează garanții suficiente care să permită asigurarea unei protecții eficiente a datelor cu caracter personal față de riscurile de abuz, precum și față de orice accesare și utilizare ilicită a acestor date.
Ulterior acestor decizii, CSAT a stabilit în luna septembrie că Parlamentul și Guvernul trebuie „de urgență” să intervină legislativ pentru restabilirea cadrului legislativ necesar îndeplinirii de către instituțiile abilitate a responsabilităților ce le revin în domeniul securității și siguranței naționale. SRI, dar și DNA au arătat că aceste decizii ale CCR le îngreunează munca.