SRI îi contrazice pe criticii Legii Big Brother 2: „Accesul la echipamente se va realiza numai în baza unei autorizări eliberate de judecător”. GRAFICUL unei acțiuni SRI

Legea securității cibernetice, adoptată de Parlament și trimisă spre promulgare președintelui Klaus Iohannis, însă contestată la Curtea Constituțională de PNL, prevede ca în cazul unui atac cibernetic asupra unor sisteme informatice care țin de siguranța națională, orice persoană juridică, inclusiv furnizorii de internet și telefonie mobilă, care deține sisteme informatice este obligată să ofere acces serviciilor secrete, dar și MAI sau MApN, la respectivele sisteme, fără un mandat judecătoresc, doar în baza unei „solicitări motivate”.

Duminică, SRI a comunicat un punct de vedere în care susține că prevederile acestei legi, poreclită Big Brother 2 (prima lege Big Brother fiind cea care prevedea obligația furnizorilor de telefonie mobilă și internet de a stoca timp de 6 luni datele de identificare ale utilizatorilor – locații, ip-uri, date despre comunicații, însă nu conținutul), au fost prost înțelese în spațiul public.

De fapt, susține SRI, accesul la aceste sisteme informatice ar urma să se facă tot cu mandatul unei autorități judecătorești, chiar dacă acest lucru nu este specificat în legea securității cibernetice. Această lipsă este justificată de SRI prin faptul că obligația de a obține un mandat judecătoresc înainte de a accesa astfel de sisteme este prevăzută în Codul de Procedură Penală și în Legea siguranței naționale.

„Referitor la unele critici aduse la adresa legii securității cibernetice, SRI își reafirmă preocuparea constantă pentru deplina respectare a cadrului normativ referitor la protecția drepturilor și libertăților fundamentale ale omului și acționează permanent pentru protejarea acestora. În acest sens, reiterăm faptul că legea, așa cum a fost adoptată de Parlamentul României, nu permite instituțiilor statului accesul la date care țin de viața privată a persoanelor, fără autorizarea prealabilă a unui judecător. Din această perspectivă, considerăm că temerile, speculațiile și acuzațiile manifestate în spațiul public sunt lipsite de orice fundament real„, susține SRI.

„Până în prezent, în condițiile unui cadru legislativ deficitar in domeniu cyber, SRI, alături de alte instituții responsabile în domeniu, a realizat achiziții semnificative de resurse umane și materiale, a dezvoltat o serie de proceduri, în acord cu ritmul evoluției tehnologice și al noilor amenințări asociate acesteia, a consolidat permanent capabilități informative și operaționale care să permită îndeplinirea cu eficiență a misiunii sale la standarde internaționale de referință”, arată SRI, care amintește de angajamentele asumate de România la nivelul NATO și UE, în domeniul cyberintelligence, precum și de faptul că, în urma summitului NATO din Țara Galilor, România a devenit, prin SRI, responsabilă de proiectul Fondului NATO de sprijin pentru Ucraina în domeniul apărării cibernetice.

Modul de lucru al SRI: mai întâi cerem date tehnice, apoi cu mandat cerem acces la echipamente

SRI își detaliază, în comunicatul de presă, modul în care ar urma să lucreze în baza noii legi a securității cibernetice.

Sursa: SRI.

Astfel, potrivit articolului 17 al acestei legi, doar deținătorii de infrastructuri cibernetice (nu persoane fizice deținătoare de echipamente IT&C – computere, tablete, smartphone etc.) au responsabilitatea de a pune la dispoziția autorităților competente (la solicitare motivată) exclusiv date tehnice, cum ar fi indicatorii ce descriu activitățile desfășurate la nivelul sistemelor de operare (log-uri), cu privire la amenințarea (atac cibernetic, incident de securitate etc.) care face obiectul solicitării, explică SRI.

„Ulterior, dacă din evaluarea datelor tehnice obținute preliminar, care restrâng câmpul de investigație, rezultă necesitatea extinderii cercetării asupra unor echipamente implicate în agresiunea cibernetică și care pot fi asociate în mod absolut concret unor persoane determinate, accesul la aceste echipamente se va realiza numai în baza unei autorizări eliberate de judecător„, mai adaugă SRI.

Aceste lucruri și proceduri de lucru nu sunt însă specificate în legea securității cibernetice.

„În raport cu criticile legate de absența din corpul legii a unor garanții suplimentare privind respectarea drepturilor omului, menționăm faptul că procedura autorizării accesului autorităților competente la date de conținut sau cu caracter personal este deja reglementată, atât în codul de procedură penală, cât și în legea securității naționale, recent modificate în acord cu cele mai înalte standarde în materie de protecția drepturilor omului, iar preluarea lor repetată în conținutul mai multor legi este în contradicție cu norme imperative de tehnică legislativă„, susține însă SRI.

„Așadar, subliniem în mod responsabil că accesul autorităților competente la un anume echipament IT (computer, tabletă, smartphone etc.), respectiv la datele cu caracter privat stocate pe acestea, care presupune restrângerea exercițiului unor drepturi sau libertăți fundamentale, se poate realiza exclusiv în baza unei autorizații eliberate de judecător”, mai arată SRI, care își exprimă în concluzie speranța că va putea asigura securitatea spațiului cibernetic al României și al aliaților săi „beneficiind de instrumente legislative adecvate”.

CITEȘTE AICI COMUNICATUL SRI INTEGRAL

Ce prevede legea Big Brother 2

Noua lege a securității cibernetice, adoptată de Parlament pe 19 decembrie 2014, prevede că serviciile secrete (SRI, SIE, STS, SPP), dar și Ministerul Apărării Naționale, Ministerul Afacerilor Interne, ORNISS, CERT-RO și ANCOM pot avea acces la datele deținute de furnizorii de servicii de internet și telefonie, doar în baza unei „solicitări motivate”, conform Legii securității cibernetice a României, adoptate vineri de Senat, care este cameră decizională. Legea a fost inițiată de Guvern și adoptată tacit de Camera Deputaților, în urmă cu trei luni.

Cel mai controversat articol din legea respectivă, numărul 17, stabilește că printre atribuțiile deținătorilor de infrastructuri cibernetice (termen definit vag în lege drept infrastructuri din domeniul tehnologiei informației și comunicații, constând în sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice) se numără și: „să acorde sprijinul necesar, la solicitarea motivată a SRI, MApN, MAI, Oficiului Registrului Național al Informațiilor Secrete de Stat, SIE, STS, SPP, CERT-RO și ANCOM, în îndeplinirea atribuțiilor de serviciu ce le revin acestora și să permită accesul reprezentanților desemnați în acest scop la datele deținute, relevante în contextul solicitării”.

Legea elimină astfel necesitatea unui mandat judecătoresc pe care aceste instituții trebuie să îl obțină în prezent pentru a avea acces la datele oricărui sistem informatic susceptibil că este implicat într-o activitate ilegală. De asemenea, legea nu specifică ce formă legală trebuie să aibă această solicitare și ce elemente trebuie să conțină și nici situațiile în care poate fi făcută.

Legea se aplică doar persoanelor juridice publice și private, nu și simplilor cetățeni care dețin un calculator sau o rețea.

Parlamentarii au adoptat această lege în contextul în care judecătorii Curții Constituționale au desființat prevederile altor două legi din domeniu. Astfel, articolul așa-numitei legi „Big Brother”, prin care furnizorii de comunicații electronice și telefonice erau obligați să stocheze datele de identificare și de localizare în spațiu și timp ale utilizatorilor săi, timp de 6 luni, a fost declarat neconstituțional în luna iulie. În aceste condiții, prevederile noii legi adoptate astăzi rămân parțial fără obiect, pentru că autoritățile primesc acces la niște date care, legal, nu mai pot fi stocate de furnizorii de comunicații electronice.

Ulterior, în luna septembrie, CCR a declarat neconstituționale și prevederile unei alte legi, prin care utilizatorii de cartele telefonice prepay erau obligați să prezinte un act de identitate la achiziționarea unei astfel de cartele, iar furnizorii de internet prin rețele wi-fi publice erau obligați să solicite utilizatorilor datele de identificare.

Curtea a constatat atunci că dispozițiile legii criticate nu au un caracter precis și previzibil, iar modalitatea prin care sunt obținute și stocate datele necesare pentru identificarea utilizatorilor serviciilor de comunicații electronice pentru care plata se face în avans, respectiv a utilizatorilor conectați la puncte de acces la internet nu reglementează garanții suficiente care să permită asigurarea unei protecții eficiente a datelor cu caracter personal față de riscurile de abuz, precum și față de orice accesare și utilizare ilicită a acestor date.