916_cp SRI îi contrazice pe criticii Legii Big Brother 2

    Sunt articole care ma ajuta sa exemplific ce sustin si ca sa fiu sigur ca nu dispar din locatia originala apelind la performantul instrument "copy/paste" le fixez la mine pe site. Pornind de la ele cu resursele mele limitate caut sa le adaug TVA.(fara "Taxa" mai mult "Valoare Adaugata")
Ca reusesc sau nu asta este alta poveste.  Sursa-gandul 

Legea securitatii cibernetice, adoptata de Parlament si trimisa spre promulgare presedintelui Klaus Iohannis, însa contestata la Curtea Constitutionala de PNL, prevede ca în cazul unui atac cibernetic asupra unor sisteme informatice care tin de siguranta nationala, orice persoana juridica, inclusiv furnizorii de internet si telefonie mobila, care detine sisteme informatice este obligata sa ofere acces serviciilor secrete, dar si MAI sau MApN, la respectivele sisteme, fara un mandat judecatoresc, doar în baza unei „solicitari motivate”.

Duminica, SRI a comunicat un punct de vedere în care sustine ca prevederile acestei legi, poreclita Big Brother 2 (prima lege Big Brother fiind cea care prevedea obligatia furnizorilor de telefonie mobila si internet de a stoca timp de 6 luni datele de identificare ale utilizatorilor - locatii, ip-uri, date despre comunicatii, însa nu continutul), au fost prost întelese în spatiul public.

De fapt, sustine SRI, accesul la aceste sisteme informatice ar urma sa se faca tot cu mandatul unei autoritati judecatoresti, chiar daca acest lucru nu este specificat în legea securitatii cibernetice. Aceasta lipsa este justificata de SRI prin faptul ca obligatia de a obtine un mandat judecatoresc înainte de a accesa astfel de sisteme este prevazuta în Codul de Procedura Penala si în Legea sigurantei nationale.

„Referitor la unele critici aduse la adresa legii securitatii cibernetice, SRI îsi reafirma preocuparea constanta pentru deplina respectare a cadrului normativ referitor la protectia drepturilor si libertatilor fundamentale ale omului si actioneaza permanent pentru protejarea acestora. În acest sens, reiteram faptul ca legea, asa cum a fost adoptata de Parlamentul României, nu permite institutiilor statului accesul la date care tin de viata privata a persoanelor, fara autorizarea prealabila a unui judecator. Din aceasta perspectiva, consideram ca temerile, speculatiile si acuzatiile manifestate în spatiul public sunt lipsite de orice fundament real”, sustine SRI.

„Pâna în prezent, în conditiile unui cadru legislativ deficitar in domeniu cyber, SRI, alaturi de alte institutii responsabile în domeniu, a realizat achizitii semnificative de resurse umane si materiale, a dezvoltat o serie de proceduri, în acord cu ritmul evolutiei tehnologice si al noilor amenintari asociate acesteia, a consolidat permanent capabilitati informative si operationale care sa permita îndeplinirea cu eficienta a misiunii sale la standarde internationale de referinta”, arata SRI, care aminteste de angajamentele asumate de România la nivelul NATO si UE, în domeniul cyberintelligence, precum si de faptul ca, în urma summitului NATO din Tara Galilor, România a devenit, prin SRI, responsabila de proiectul Fondului NATO de sprijin pentru Ucraina în domeniul apararii cibernetice.

Modul de lucru al SRI: mai întâi cerem date tehnice, apoi cu mandat cerem acces la echipamente

SRI îsi detaliaza, în comunicatul de presa, modul în care ar urma sa lucreze în baza noii legi a securitatii cibernetice.

Astfel, potrivit articolului 17 al acestei legi, doar detinatorii de infrastructuri cibernetice (nu persoane fizice detinatoare de echipamente IT&C - computere, tablete, smartphone etc.) au responsabilitatea de a pune la dispozitia autoritatilor competente (la solicitare motivata) exclusiv date tehnice, cum ar fi indicatorii ce descriu activitatile desfasurate la nivelul sistemelor de operare (log-uri), cu privire la amenintarea (atac cibernetic, incident de securitate etc.) care face obiectul solicitarii, explica SRI.

„Ulterior, daca din evaluarea datelor tehnice obtinute preliminar, care restrâng câmpul de investigatie, rezulta necesitatea extinderii cercetarii asupra unor echipamente implicate în agresiunea cibernetica si care pot fi asociate în mod absolut concret unor persoane determinate, accesul la aceste echipamente se va realiza numai în baza unei autorizari eliberate de judecator”, mai adauga SRI.

Aceste lucruri si proceduri de lucru nu sunt însa specificate în legea securitatii cibernetice.

„În raport cu criticile legate de absenta din corpul legii a unor garantii suplimentare privind respectarea drepturilor omului, mentionam faptul ca procedura autorizarii accesului autoritatilor competente la date de continut sau cu caracter personal este deja reglementata, atât în codul de procedura penala, cât si în legea securitatii nationale, recent modificate în acord cu cele mai înalte standarde în materie de protectia drepturilor omului, iar preluarea lor repetata în continutul mai multor legi este în contradictie cu norme imperative de tehnica legislativa”, sustine însa SRI.

„Asadar, subliniem în mod responsabil ca accesul autoritatilor competente la un anume echipament IT (computer, tableta, smartphone etc.), respectiv la datele cu caracter privat stocate pe acestea, care presupune restrângerea exercitiului unor drepturi sau libertati fundamentale, se poate realiza exclusiv în baza unei autorizatii eliberate de judecator”, mai arata SRI, care îsi exprima în concluzie speranta ca va putea asigura securitatea spatiului cibernetic al României si al aliatilor sai „beneficiind de instrumente legislative adecvate”.

Noua lege a securitatii cibernetice, adoptata de Parlament pe 19 decembrie 2014, prevede ca serviciile secrete (SRI, SIE, STS, SPP), dar si Ministerul Apararii Nationale, Ministerul Afacerilor Interne, ORNISS, CERT-RO si ANCOM pot avea acces la datele detinute de furnizorii de servicii de internet si telefonie, doar în baza unei „solicitari motivate”, conform Legii securitatii cibernetice a României, adoptate vineri de Senat, care este camera decizionala. Legea a fost initiata de Guvern si adoptata tacit de Camera Deputatilor, în urma cu trei luni.

Cel mai controversat articol din legea respectiva, numarul 17, stabileste ca printre atributiile detinatorilor de infrastructuri cibernetice (termen definit vag în lege drept infrastructuri din domeniul tehnologiei informatiei si comunicatii, constând în sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice) se numara si: „sa acorde sprijinul necesar, la solicitarea motivata a SRI, MApN, MAI, Oficiului Registrului National al Informatiilor Secrete de Stat, SIE, STS, SPP, CERT-RO si ANCOM, în îndeplinirea atributiilor de serviciu ce le revin acestora si sa permita accesul reprezentantilor desemnati în acest scop la datele detinute, relevante în contextul solicitarii”.

Legea elimina astfel necesitatea unui mandat judecatoresc pe care aceste institutii trebuie sa îl obtina în prezent pentru a avea acces la datele oricarui sistem informatic susceptibil ca este implicat într-o activitate ilegala. De asemenea, legea nu specifica ce forma legala trebuie sa aiba aceasta solicitare si ce elemente trebuie sa contina si nici situatiile în care poate fi facuta.

Legea se aplica doar persoanelor juridice publice si private, nu si simplilor cetateni care detin un calculator sau o retea.

Parlamentarii au adoptat aceasta lege în contextul în care judecatorii Curtii Constitutionale au desfiintat prevederile altor doua legi din domeniu. Astfel, articolul asa-numitei legi „Big Brother”, prin care furnizorii de comunicatii electronice si telefonice erau obligati sa stocheze datele de identificare si de localizare în spatiu si timp ale utilizatorilor sai, timp de 6 luni, a fost declarat neconstitutional în luna iulie. În aceste conditii, prevederile noii legi adoptate astazi ramân partial fara obiect, pentru ca autoritatile primesc acces la niste date care, legal, nu mai pot fi stocate de furnizorii de comunicatii electronice.

Ulterior, în luna septembrie, CCR a declarat neconstitutionale si prevederile unei alte legi, prin care utilizatorii de cartele telefonice prepay erau obligati sa prezinte un act de identitate la achizitionarea unei astfel de cartele, iar furnizorii de internet prin retele wi-fi publice erau obligati sa solicite utilizatorilor datele de identificare.

Curtea a constatat atunci ca dispozitiile legii criticate nu au un caracter precis si previzibil, iar modalitatea prin care sunt obtinute si stocate datele necesare pentru identificarea utilizatorilor serviciilor de comunicatii electronice pentru care plata se face în avans, respectiv a utilizatorilor conectati la puncte de acces la internet nu reglementeaza garantii suficiente care sa permita asigurarea unei protectii eficiente a datelor cu caracter personal fata de riscurile de abuz, precum si fata de orice accesare si utilizare ilicita a acestor date.