Noua propunere de Lege a securității cibernetice probabil va fi aprobată după trecerea perioadei de dezbatere publică. Impresia mea este că noua versiune a legii este o traducere și adaptare din legislația USA.

Deși mă declar liberal, nu susțin dereglementarea din acest domeniu ci dimpotrivă. Am însă cîteva observații, fără a face o analiză punctuală a noii propuneri.

1. Art. 37 –(2) În termen de 90 zile de la publicarea prezentei legi în Monitorul Oficial al României, Partea I, Ministerul Comunicațiilor și pentru Societatea Informaţională supune aprobării Guvernului Programul naţional destinat managementului riscului în domeniul securităţii cibernetice.

Riscul „securității cibernetice„ nu poate fi legiferat! Așa cum am mai scris pe aici, de vreo 3-4 ani mediul academic tocmai despre asta scrie: modelele de evaluare a riscurilor nu prea au fost  testate la nivel operațional. Cînd au fost testate s-a descoperti că nu pot fi aplicate!

Dacă totuși se va încerca o astfel de reglementare rezultatul foarte probabil va fi de tip „check list„. IRELEVANT în practică.

Omitem că traversăm o perioadă „revoluționară„ din punct de vedere tehnologic. Niciodată o listă de controale nu va fi completă și adecvată situației „de mîine„. Riscurile există, sînt inerente oricărei tehnologii și oricărui sistem informatic!

Art. 3 – În sensul prezentei legi, termenii şi expresiile de mai jos au următoarea semnificaţie:

1. ameninţare cibernetică – circumstanţă sau eveniment care constituie un pericol potenţial la adresa securităţii cibernetice;

Omul, cel care scrie malware, cel care „este la butoane„ este „circumstanță„ sau eveniment?

Cred că încercăm să trăim viitorul prin istorie. „Hacking„-ul nu mai este cel promovat prin certificările XYZ, pentru că Interntul de mîine nu este cel de azi și nici cel de acum 5-10 ani!

”Atacul” de azi și cel de mîine se bazează pe „intelligence„, pe multă analiză. Ce citim astăzi este..istorie

Art.2 – Prezenta lege se aplică:

1. autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român ori cetăţenilor acestuia
2. persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal
3. furnizorilor de reţele publice de comunicaţii electronice şi furnizorilor de servicii de comunicaţii electronice destinate publicului;
4. furnizorilor de servicii de găzduire internet;
5. furnizorilor de servicii de securitate cibernetică.

Pentru fiecare din categoriile de la Art. 2 se cunoaște numărul exact? Să luăm ca exemplu „datele cu caracter personal„ aflate sub controlul Autorității desemnată. Sînt cîteva mii de operatori sau poate zeci de mii.

Sînt de acord că avem nevoie de coerență, dar legea păcătuiește în primul rînd prin „centralism„.

Esența legii mi se pare că ține de „partajarea„/„raportarea„ incidentelor de securitate. Să aruncăm un ochi la raportarea pe care trebuie să o facă spitalele cu privire la numărul de infecții instraspitalicești. Stiți că, în acte, avem cel mai mic număr de astfel de infecții la nivel eurpean. Acesta este efectul/realitatea legii.

Cînd SIUI de la CNAS va fi indisponibil cum va fi tratată o astfel de situație?

Dar la instituțiile publice care au bugete aprobate la începutul anului, cum se va face achiziția unei „măsuri de securitate„ care este critică pentru eliminarea unei vulnerabilități?