Vorbim de „sisteme de management al documentelor”, încercăm să avem NORME DE SECURITATE PENTRU SERVICIILE PUBLICE ON-LINE (Sic), e-guvernare, SOA….dar suntem departe de provocările cărora trebuie să le facem faţă…. Spoială, cum spuneam în postarea precedentă.
Să ne gândim puţin la informaţiile noastre medicale, de exemplu. Sîntem protejați?
Avem parte de servicii la nivelul vremurilor pe care le trăim? Suntem „la un click distanţă” când interacţionăm cu instituţiile statului? Avem parte de integrarea serviciilor? Ştim care este gradul de reutilizare a informaţiilor procesate de către instituţiile statului? Nu prea….Trăim într-o birocraţie „informatizată„. În continuare trebuie să dovedem statului, prin „hârtii„ că suntem sau facem ceea ce tot statul a aprobat sau confirmat deja printr-un alt document.
Pe tapet este de ceva timp Legea securității cibernetice a României despre care am mai scris ( aici și aici. Sau Bogdan Manolea aici). Nu vreau să se înțeleagă că nu ar fi nevoie de o astfel de lege. Mă întreb însă, nu ar fi mai firesc să vedem, să înțelegem unde ne aflăm în acest moment? Cum să proiectăm „ceva„ dacă nu este clar de unde pornim?
Cîteva exemple din puținul legiferat în acest moment în domeniul ITC.
1. Ordinul MCTI nr. 389 din 27 iunie 2007 privind procedura de avizare a instrumentelor de plata cu acces la distanta, de tipul aplicatiilor internet-banking, home-banking sau mobile-banking.
Să luăm următoare speță. o bancă din România are un contract de furnizare de servicii de tip internet/mobile banking cu o companie din altă țară. Nu cu o filială sau banca-mamă ci cu un „service provider„. „Acoperă actul normativ o astfel de situație? (și asta ar fi cea mai mică problemă a acestui Ordin )
2. Legea pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date – 677 / 2001 are ca instrument de aplicare Ordin nr.52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal. Prevederile citate sînt desuete!
Sînt foarte curios dacă în 12 ani a verificat cineva următoarea cerință: „Pentru prelucrările automate aceste informaţii (n.m informațiile înregistrate în fișierul de acces) vor fi stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator.„
3. Nu știu să existe definită „proba digitală„/ „digital evidence„ în vreun act normativ. Cum dovedim o nevinovăție/vinovăție? „Investigațiile informatice„/computer forensics reprezintă un domeniu aproape inexistent în România!
4. Proiectul Instrucțiunii privind adecvarea sistemelor informatice utilizate de entităţile reglementate, autorizate/avizate şi supravegheate de Autoritatea de Supraveghere Financiară , un document de 62 de pagini despre care am mai scris (1, 2, 3, 4). O propunere cu un obiectiv grozav dar care păcătuiește prin incoerența conținutului.
Pe „hîrtie„ sîntem plini de securitate.
ADRIAN B. MUNTEANU 
Aceste lacune legislative, nedefinirea situatiilor particulare, al niselor cum se spune, ci generalizarea situatiilor de aplicare, instrumente teoretice fara acoperire practica, institutii prost echipate si fara pregatire specializata de a manipula ceea ce numim noi Big data ne putem trezi cu trafic de informatii de tipul facebook (comercializarea datelor pentru scopuri publicitare si de tip sondaje).
Pot duce la cazuri vadite de discriminare sau utilizare abuziva sau chiar crearea de brese de securitate ce se pot solda (in cazul cardurilor de sanatate de ex. cu acordul de a fi donator de organe fara a fi acordat in fizic un act explicit in care sa fii de acord cu aceasta) cu mari pierderi.
Aceste legi sunt implementate din cauza curentului modern si sub indrumare externa, sunt create dupa ureche fara a avea scheletul proiectului efectiv sau macar viziunea lor. Sunt proiecte facute din birou de multi care nu stiu ce inseamna sistem de informatii, ce inseamna infractiuni informatice si care nu au habar cat de profitabil este acest domeniu gri slab reprezentat la legislatie.
Multi din profani vad in aceste legi inca un instrument de control, inca o lege, iar niste bani aruncati (sunt si cazuri unde asa si este) si nu vad utilitatea unei legi clare, precise care sa anticipeze si sa descurajeze elementul infractional.
Traiasca „spoiala”….
ApreciazăApreciază
Mulțumesc pentru comentariu Lavinia.
În opinia mea, problema înregistrări acceptului donării de organe pe cardul de sănătate este secundară în comparație cu restul aspectelor.
Deși nu sînt jurist, pentru mine o lege (în sens general) este un „control„. Sau „regula jocului„ cum îmi place să îi mai spun. Dacă este un control, atunci TREBUIE să prevină și corecteze abaterile de la regulă.
ApreciazăApreciază