La începutul acestei luni, Ministerul Cercetării, Inovării și Digitalizării a pus în dezbatere publică un proiect de lege privind securitatea și apărarea cibernetică a României, o lege de altfel necesară pentru România. Cu un titlu actual, propunerea începe cu abordarea unor provocări reale, într-o țară ca România din a cărei școală de inginerie software ies specialiști care protejează spațiul digital al multor alte țări. Îngrijorătoare este frecvența cu care dinspre Guvern se tot revine, mascată sub diverse forme, cu încercarea de a permite accesul excesiv al serviciilor de informații la traficul personal de date, fără mandat judecătoresc.
Acum, în conformitate cu art. 14, alin 1. lit. c din legea 51/1991, activitățile specifice culegerii de informații care presupun restrângerea exercițiului unor drepturi sau libertăți fundamentale ale omului sunt condiționate de obținerea unei autorizații. Condiționare care se ocolește prin noile prevederi - art. 24 din proiectul supus dezbaterii publice fiindcă noua formă îi obligă pe toți furnizorii de securitate cibernetică (orice persoană fizică și/sau juridică) să pună la dispoziția DNSC, SRI, SIE, STS, MAPN, MAI, SPP etc date și informații cu privire la incidente, riscuri, vulnerabilități. Aceste alte informații includ adesea detalii despre conținutul utilizatorilor, despre starea de securitate electronică a unui client la care instituțiile de mai sus vor avea acces liber, fără mandat. Și nu vorbim despre clienți gen instituții publice, unde lucrurile sunt mult mai permisive din acest punct de vedere, ci și despre situația unor persoane fizice. Iar sintagma de „furnizor de servicii de securitate cibernetică" este definită clar în propunerea de proiect, reprezentând orice persoană fizică/juridică care realizează clasice activități informatice.
Pot înțelege și susține necesitatea unui spațiu informatic securizat, însă sub nicio formă ca sub această umbrelă să fie create scurtături, ocolindu-se mandatul judecătoresc, pentru accesul la informațiile private care au legătură cu drepturi și libertăți fundamentale ale omului. Pe de altă parte, diferit de modul la grămadă propus în acest proiect, trebuie ca incidentele de securitate cibernetică să fie împărțite pe categorii diferite pentru instituțiile din zona de apărare față de entitățile civile/private, cu măsuri clar diferențiate și proporționale în funcție de dimensiunea și de gravitatea situației. De asemenea, trebuie clarificate definițiile din această lege pentru a se evidenția limitele ariei de competența a serviciilor de informații.
Este absurd să nu existe o diferențiere între situații, cu un răspuns diferențiat asociat. Atacul unui sistem informatic de dimensiuni mari, cu informații critice necesită implicații și reacții diferite față de vulnerabilitățile unei mini-rețele de calculatoare, spre exemplu.
Da, este o balanță fin de echilibrat între a proteja utilizatorul de vulnerabilități cibernetice și de a-i încălca la liber intimitatea. Acest echilibru poate fi stabilit doar prin trasabilitatea bocancilor. Printr-o metodă aflată funcțional sub control civil special astfel încât în urma unui audit să se poată vedea pentru fiecare încercare de „protecție" cibernetică asocierea documentului cum că a existat o încuviințare din partea unei terțe părți (judecător) și că intrarea cu bocancii a fost îndreptățită, a fost de fapt chirurgicală și realizată cu buna credință, în limita respectării drepturilor și libertăților fundamentale ale omului. Or, în situația în care pentru aspecte neclar definite, foarte interpretabile gen „incidente care pot afecta o rețea", se obligă punerea la dispoziție în 48 de ore a unor informații vaste din care rezultă detalii care au legătură cu drepturile fundamentale ale omului, fără mandat și fără o trasabilitate ulterioară, lucrurile sunt de fapt la liber. Unde mai punem scenariul pur teoretic, în care un astfel de incident poate fi chiar intenționat generat pentru a se justifica apoi solicitarea informațiilor?
O metodă similară de acces excesiv al serviciilor de informații la traficul de date din serverele cu conținut privat din Romania a mai fost propusă și chiar legiferată la începutul acestui an prin Codul Comunicațiilor, metodă pe care USR a contestat-o la Curtea Constituțională și a primit dreptate, salvând atunci încălcarea intimității persoanelor.
Și Codul Comunicațiilor, și prezentul proiect privind securitatea și apărarea cibernetică a României sunt legi necesare pentru România, dar nu trebuie să conțină posibilitatea comiterii unor abuzuri care să nu se mai regăsească ulterior în nicio altă înregistrare.
Având în vedere că în mod constant se încearcă sub diverse forme legiferarea unui acces excesiv în viață privată, ocolindu-se mandatul judecătoresc, premierul Ciucă trebuie fie să își asume această abordare, fie să dispună stoparea unor astfel de demersuri, fiindcă văzând aceste încercări repetate de încălcare a vieții private pare că tot încearcă să treacă pe sub radar, prin diverse metode, această abordare.
Nu în ultimul rând, Guvernul trebuie să clarifice de ce mai este MCID autoritate națională în domeniul securității cibernetice, cât timp, prins în fapt, recunoaște că proiectul de securitate cibernetică asumat de MCID i-a fost livrat de generali din MApN? Are Ministerul Digitalizării specialiști și în birouri, apreciați și lăsați să își exprime puncte de vedere, sau doar oameni de partid pe ștatul de plată, care nu înțeleg nimic din ceea ce înseamnă digitalizarea României?
