Erori, exagerări și definiții creative în răspunsul MCID

  • Posted on: 17 November 2022
  • By: Redacția ApTI

Din pacate, răspunsul MCID are unele erori majore - unele factuale, altele de înțelegere a reglementării aspectelor digitale, pe care le vom adresa punctual mai jos.

O să începem cu punctele unde poate să existe o cale normală pentru a atinge scopul pe care toți ni-l dorim - asigurarea unui climat de securitate informatică în România pentru a proteja în primul rând cetățenii iar apoi sectorul privat și cel public în conformitate cu drepturile fundamentale.

1. Colaborarea cu furnizorii se poate face doar pe picior de egalitate și respectând drepturile cetățenilor.

Răspunsul MCID precizează corect:

“Fiecare autoritate publică cu atribuții în domeniul securității cibernetice, pentru a-și putea exercita atribuțiile legale de protejare a rețelelor și sistemelor informatice, are nevoie de o colaborare loială cu furnizorii de servicii de securitate cibernetică. Această colaborare presupune inclusiv protejarea rețelelor și a sistemelor informatice ale acelor furnizori, care deservesc unor scopuri publice sau private. “

Așa este, însă răspunderea juridică pentru protecția rețelelor și a sistemelor informatice ale acelor furnizori este chiar a furnizorilor, nu a instituțiilor publice sau a furnizorilor de securitate! Și este, în multe cazuri, și un obiectiv de business pentru propriile interese: protejarea informațiilor de business, secretelor comerciale, listelor de clienți, etc.

Deci, dacă se dorește o colaborare, în niciun caz nu se poate propune o obligație legală, ci o relație pe picior de egalitate, respectând interesele fiecărei părți. În acest sens art 24 ar trebui recris după cum urmează:

(1) În măsura în care informațiile deținute ar fi utile pentru asigurarea securității cibernetice a altor rețele și în special pentru securitatea națională a României, furnizorii de servicii de securitate cibernetică au dreptul de a pune la dispoziția autorităților prevăzute la art. 10, în funcție de domeniul de competență adecvat, date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta alte rețele sau sisteme informatice, dacă:

- Datele și informațiile nu conțin date cu caracter personal; și

- Dezvăluirea datelor și informațiilor nu pot aduce atingere intereselor deținătorului rețelei sau sistemului informatic afectate, stabilite la nivel legal sau contractual între deținătorul rețelei și furnizorul de servicii de securitate cibernetică.

(2) În măsura în care informațiile deținute ar fi utile pentru asigurarea securității cibernetice a altor rețele și în special pentru securitatea națională a României, autoritățile prevăzute la art. 10, au dreptul de a pune la dispoziția furnizorii de servicii de securitate cibernetică, date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta alte rețele sau sisteme informatice, dacă:

- Datele și informațiile nu conțin date cu caracter personal; si

- Dezvăluirea datelor și informațiilor nu pot aduce atingere intereselor deținătorului rețelei sau sistemului informatic afectate, stabilite la nivel legal sau contractual.

(3) Datele și informațiile prevăzute la alin. (1) se transmit în scris, prin mijloace electronice sau prin orice altă modalitate stabilită de comun acord.

2, Separarea responsabilitatilor actorilor privați. Excluderea celor neimportanți

Răspunsul MCID susține “Securitatea cibernetică este dependentă de implementarea unui nivel minim obligatoriu de măsuri, în mod uniform, la nivelul tuturor infrastructurilor informatice, indiferent de mărimea acestora.

Doar că decizia CCR 17/2015 (pe care MCID insistă că o respectă) le explică clar că nu poate fi o obligație a “tuturor”. Formularea MCID este o exagerare, fapt descris explicit în par. 69 al deciziei CCR 17/2015:

“Or, dispozițiile legale în forma supusă controlului de constituţionalitate prezintă un grad mare de generalitate, obligaţiile vizând totalitatea deţinătorilor de infrastructuri cibernetice, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice, indiferent de importanţa acestora care poată viza interesul naţional sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproporţionate asupra micilor operatori, cerinţele trebuie să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză şi nu trebuie aplicat deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punctul de vedere al interesului general.”

Putem fi însă de acord ca orice infrastructură informatică neprotejată ar putea - la nivel teoretic - să fie folosită în scop malefic. Doar că aceasta infrastructura poate fi la fel de bine în Croația, Moldova, Burundi sau SUA, unde România nu are nicio jurisdicție. Deci a impune astfel de obligații la nivel național nu rezolvă problema de fond a asigurării securității, ci doar împovărează orice deținător din România.

Pentru a încerca sa susținem principiul, se poate formula art 3 c) în mai multe puncte:

c) rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale, altele decât cele prevăzute la lit. a)

d)  rețelele și sistemele informatice deținute sau administrate de persoane juridice, altele decât cele de la lit. b), care deservesc servicii esențiale sau importante, cu obligațiile specifice în conformitate cu legea 362/2018. 

e)  rețelele și sistemele informatice deținute sau administrate de persoane fizice sau juridice, prin care sunt prelucrate date cu caracter personal, cu obligațiile specifice în conformitate cu Regulamentul UE 679/2016.

f) alte rețelele și sistemele informatice deținute sau administrate de către persoane fizice sau juridice, care nu sunt cuprinse în pct b, d sau e).

Pe cale de consecință din art 20 ar trebui să rămână doar lit c) care va fi reformulată în consecința:

Art 20 c) Autoritățile prevăzute la art. 3 lit. a), ca și persoanele juridice prevăzute la art 3 e) și f) pot notifica în mod voluntar, fără a aduce atingere normelor legale aplicabile în materie de raportare, confidențialitate, protecția datelor personale și secret profesional, incidentele de securitate cibernetică prin intermediul PNRISC

Ca si art 40 alin 1)

(1) Entitățile care dețin, organizează, administrează și utilizează rețelele și sistemele informatice prevăzute la art. 3 lit a-d) implementează procesele de management al riscurilor de securitate cibernetică specifice lanțului de aprovizionare

3. Restul comentariilor rămân valide, răspunsul MCID neadresând problemele de fond ridicate.

Insistăm asupra unei analize complete a Deciziei CCR 17/2015, care privește nu doar aspecte legate de accesul la date, ci inclusiv aspecte legate de obligația de claritate a legii (par 59) definirea clară a termenilor care fac obiectul legii (par 67 și 68) , limitarea notificării la ceea ce este realmente necesar (par 75) iar aspectele de reglementare nu pot fi transmise catre acte normative de rang inferior (par 75 - vezi mutatis mutandis art 8 alin 2 din propunerea de lege).

Majoritatea sunt similare cu recomandările făcute de ApTI la alt proiect de lege pe domeniul securității cibernetice de acum 6 ani, proiect care a dispărut în neant

 

În continuare, corectăm și adresăm erori majore din răspunsul MCID:

  1. Metadatele și date tehnice pot fi date personale
  2. Raportarea datelor despre vulnerabilități de securitate prezintă un risc major pentru orice persoană
  3. Incidentele, amenințările, riscurile sau vulnerabilitățile de securitate cibernetică” NU au un caracter profund ilicit
  4. Securitizarea/Militarizarea Internetului - Internetul NU este ca “teritoriul maritim național” sau “spațiul aerian național”

1. Metadatele pot conține date personale. Datele tehnice pot fi date personale. De aceea ambele categorii sunt tratate și deci considerate date personale.

Noi ucidem oameni în baza metadatelor” - sunt cuvintele Generalului Michael Hayden, fost director al CIA-ului și al NSA-ului, rostite în aprilie 2014.

Guvernul American a sifonat date despre folosirea telefoanelor mobile în Pakistan, prin programul Skynet. Scopul monitorizării era de a depista curierii care lucrau pentru teroriști, conform guvernului american. O dată identificate de algoritmii de AI, victimele monitorizării se puteau aștepta inclusiv la un atac cu rachete lansate de drone.

MCID sustine:

“Comunicarea incidentelor, amenințărilor, riscurilor sau vulnerabilităților de securitate cibernetică nu presupune transferul de date de conținut și, sub nicio formă, nu presupune transferul de date cu caracter personal. Aceasta presupune exclusiv seturi de date tehnice (metadate), aflate în legătură cu modalitatea de funcționare a sistemelor și rețelelor informatice protejate.” si “PNRISC nu va conține date de conținut sau date personale, ci doar date tehnice, care privesc funcționarea sistemelor și rețelelor informatice”

Am marcat cu bold textul pe care ApTI îl găsește ca fiind cel mai îngrijorător. Acest răspuns comite două erori grave:

  1. Consideră că metadatele si datele tehnice nu pot fi folosite pentru a identifica direct persoane și a deduce informații personale despre acestea.
  2. Consideră că este posibil să raportezi incidente de securitate sau vulnerabilitățile de securitate ale unor entități fără să raportezi date cu caracter personal despre aceste entități. 

În primul rând faptul ca meta-datele contin datele personale v-a fost demonstrat practic de articolul recent din Hotnews.ro chiar despre acest proiect, pe care - apropo - ar fi trebuit sa le anonimizați;

Dar aceast fapt este consfințit nu doar de toate deciziile CJUE are au avut ca subiect păstrarea datelor de trafic (C-623/1,  C-511/18, C-512/18, C-520/18, C‑293/12 și C‑594/12,  C-203/15 și C-698/15), CEDO ( vezi Benedik v. Slovenia, 2016 , Centrum förrättvisa v. Sweden (2021) sau (Big Brother Watch and Others v. the United Kingdom) dar și de Regulamentul UE 679/2016 în art 4 pct 1 și mai clar explicitat în considerentul 30.

“Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio.”

O analiză mai pe larg a Art 8 în contextul CEDO poate fi citită aici.

În practică, orice dată tehnică cum ar putea fi adresă IP, adresă MAC, IMEI, IMSI, Android ID, Apple ID, GUID, orice identificator unic de dispozitiv creat de o aplicație, cale fișier, cale director, URL, Hostname, etc. va trebui tratată ca dată cu caracter personal.

Un exemplu de date tratate ca date personale colectate de o aplicatie de securitate informatică aici.

2. Datele despre vulnerabilitățile de securitate pe care le prezintă o entitate pot fi folosite pentru a amenința, a compromite sau a monitoriza acea entitate.

Proiectul de lege în domeniul securității informatice se aplică oricărei rețele sau sistem informatic care “furnizează servicii publice ori de interes public”. Spectrul este atât de larg, încât ne putem aștepta ca autoritățile descrise la Articolul 10 să aibe acces la informații despre starea de securitate a oricărui site, oricărei aplicații web, operate de persoane fizice.

Site-urile de media, care publică știri și investigații, vor trebui să raporteze starea de securitate a website-urilor chiar autorităților despre care publică material, și care au încercat deja să compromită și să intimideze presa. Unele dintre redacțiile de investigație din România operează platforme pentru avertizorii de integritate - cum sunt platformele de Global Leaks și Secure Drop. Autoritățile române ar putea avea, deci, acces direct la informații despre infrastructura de avertizare, în contextul în care însuși președintele României, Klaus Iohannis, a amenințat avertizorii de integritate, care au făcut publică exact acest proiect de lege (ce ironic!) încă de acum 6 luni.

Acest exemplu este cu atât mai înfricoșător cu cât Uniunea Europeană este în plin scandal spyware, după cum a relatat recent publicația de investigație Context.ro. Conform jurnaliștilor, Ministerul Afacerilor Externe din România a refuzat să spună dacă instituțiile din România au cumparat sau utilizat software de spionaj. Mai mult, raportorul comisiei PEGA (din Comisia Europeană) a declarat pentru Context.ro că softuri precum PEGASUS au fost utilizate la o scară largă în UE. “Nu avem toate datele pentru că nu le-am primit de la statele membre, dar putem să spunem cu siguranță că sunt folosite în toate țările UE”, a declarat Sophie in ‘t Veld.

Să vă dăm și un exemplu ipotetic - Un cabinet de avocatura angajează un furnizor de servicii de securitate cibernetica. În mod normal avocații care lucrează acolo vor discuta cu aceștia despre dispozitivele lor, conturile lor de social media, politica de parole pe care o folosesc și metodele de comunicare prin care țin legătura cu clienții pe care-i reprezintă.

Conform proiectului actual, după această sesiune de consultanță, orice (!) agenție guvernamentală dintre cele numite în proiectul de lege la Art 10 pe baza unei simple “scrisori motivate” poate cere furnizorului să raporteze incidentele, riscurile de securitate sau vúlnerabilitățile pe care le-au depistat la cabinetul de avocatură.

Să presupunem că firma raporteaza că unul dintre avocați a spus, în timpul sesiunii de consultanță, că are o singură parolă pentru toate conturile sale online. Mai mult, folosește o adresă de e-mail Yahoo! pentru a ține legătura cu clienții săi. (ambele sunt riscuri de securitate) Aceste două informații - fără a conține numele avocatului sau orice altă informație tehnică - sunt suficiente pentru a compromite dispozitivele acestuia, pentru că  serverele Yahoo! au fost compromise în mai multe rânduri, iar datele clienților, inclusiv parolele lor, în clar, sunt disponibile online, în baze de date.

3. Nu există sistem sigur, fără vulnerabilități. Există doar sisteme pentru care încă nu s-au descoperit vulnerabilități. Vulnerabilitatea nu este ilicită.

MCID afirmă  “Cu titlu prealabil, menționăm că ”incidentele, amenințările, riscurile sau vulnerabilitățile de securitate cibernetică” au un caracter profund ilicit, de multe ori faptele constituind infracțiuni sau contravenții. (...). Aserțiunea potrivit căreia furnizorul trebuie să-și ”protejeze” clientul care generează incidente, amenințări și riscuri de securitate cibernetică nu credem că poate constitui un argument licit și moral.”

Pentru a păstra un nivel decent al profesionalismului care s-ar impune, considerăm că textul de mai sus este o eroare sau o interpretare extrem de personală, bazată de definiții unicat în lume.

Termenii de “incidentele, amenințările, riscurile sau vulnerabilitățile de securitate cibernetică” sunt definite de ani buni în standarde de securitate informatică. Dacă are cineva dubii, Glosarul ENISA e public și e o resursă succintă bună în acest sens. Întreg Ghidul pentru OSE al DNSC si ISACA se bazează pe aceste definiții. Chiar și dacă am lua definițiile din strategia de securitate a României (Aprobată prin HOTĂRÂREA nr. 1.321 din 30 decembrie 2021, publicată în Monitorul Oficial, Partea I, nr. 2 din 3 ianuarie 2022) tot la aceeași concluzie ajungem.

Pe cale de consecință amenințările, riscurile sau vulnerabilitățile de securitate cibernetică nu sunt și nici nu pot fi vreodată catalogate ca “ilicite” pentru ca sunt o practic “circumstanță, eveniment sau acțiune potențială”, “o probabilitate”  si, respectiv,  “o slăbiciune.

Nici măcar incidentul de securitate nu este “ilicit.” în sine. Ce este adevărat, este că anumite incidente de securitate pot sa îmbrace elementele constitutive ale unei infractiuni. Alte incidente - dacă afectează date cu caracter personale - pot să fie, în anumite cazuri, încălcări ale legislației privind protecția datelor cu caracter personale cu potențiale repercusiuni contravenționale sau civile. Neraportarea incidentului în sine poate fi sancționată ca o contravenție. Dar, la fel de multe incidente de securitate nu intră în niciuna din categoriile de mai sus și, eventual, îți demonstrează că mai ai de lucrat pentru securitatea infrastructurilor tale. Nu este neapărat un lucru cu care ai vrea să ieși public, cu excepția cazului în care chiar ar fi necesar și util acest lucru.

De asmenea, pentru cei care nu sunt familiarizați cu domeniul, trebuie sa înțelegem că amenințările, riscurile sau vulnerabilitățile de securitate cibernetică, și chiar și incidentele sunt chestiuni zilnice (uneori și la nivelul de mii de incidente pe zi) cu care se întâlnește orice furnizori de securitate.

Nu există vreo infrastructură cibernetica sigură 100% și este imposbil pentru o infrastructură care sa nu aiba amenințări, riscuri sau vulnerabilități. Dacă chiar nu a avut niciun incident, cel mai probabil e doar o problemă de timp până când apare un incident.

Un Internet mai sigur se bazează pe munca fiecărui participant. Când fiecare companie care oferă servicii de e-mail, servicii de găzduire, servicii de stocare de fișiere face eforturi și investește în securitate, Internetul devine mai sigur pentru orice utilizator.

Ca atare, atunci când definim vulnerabilitatea de securitate ca fiind ilicită, reducem la tăcere discuțiile din spațiul public despre care sunt problemele cu care se confruntă anumite companii, sau persoane fizice, și care ar putea să fie soluțiile. Comunitatea de securitate se poate baza pe informațiile care circulă între companii și între experți, informație care conține, uneori, detalii despre incidente sau vulnerabilități, doar dacă se bazează pe încrederea dintre toate părțile implicate, colaborare și respectarea intereselor divergente.

4. Securitizarea/Militarizarea Internetului - Internetul NU este ca “teritoriul maritim național” sau “spațiul aerian național”

Acum 8 ani - tot discutând despre legea securității cibernetice - reprezentantul SRI - susținea în mod tranșant că orice calculator care accesează la Internet ar trebui să fie înmatriculat și cu ITP-ul făcut:

”Acum circulăm sigur, dar repet, pentru că mașinile noastre au obligația la doi ani să-și facă ITP-ul, să facem revizia, mă deranjează, că mă costă bani, dar atâta timp cât asta înseamnă siguranță… îmi înmatriculez mașina, că așa e frumos, să se știe cine e în spatele volanului,…

În ciuda deciziei CCR 17/2015 și a unei alte legi prăbușite între timp în 2016, în ciuda faptului ca aveam milioane de români online și 4 miliarde la nivel mondial aceiași marotă se plimbă în fața noastră:

Dacă nu includem toate infrastructurile cibernetice (inclusiv pe cele private) în “apărarea cibernetică”, în atribuțiile MApN și SRI, ba chiar și STS, statul român nu mai poate să asigure securitatea informatică.  

Nu există “spațiul virtual românesc”, deci paralelismul  cu “teritoriul maritim național” sau “spațiul aerian național” este în cel mai bun caz o exagerare. Internetul este internațional și ubicuu. Exista doar persoane fizice și juridice românești care activează pe Internet și cărora o să li se aplice legislația românească.

În niciun act normativ internațional nu se insistă pe reglementarea infrastructurii cibernetice de către instituții militare sau de servici secrete.

Dimpotriva, toata reglementarea se bazează pe o cooperare între toți actorii interesați.

O ilustrare a unor principii sănătoase ar putea fi ”Chemarea făcută la Paris pentru încredere și siguranță în spațiul virtual” (the Paris Call for Trust and Security in Cyberspace). Declarația lansată de președintele francez, Emmanuel Macron, la Internet Governance Forum în noiembrie 2018, descrie un cadru de principii comune. Aceste principii adresează atât reglementările privind Internetul, cât și răspunsul activ la adresa atacurilor cibernetice și a altor amenințări în spațiul online, care poate fi făcută doar în mod comun de toți actorii interesați:

“Recunoaștem necesitatea unei abordări consolidate cu toate părțile interesate și a eforturilor suplimentare de reducere a riscurilor pentru stabilitatea spațiul cibernetic și pentru a construi încrederea, capacitatea și încrederea.”

 

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.