Întrebări referitoare la propunerea de Directivă privind Strategia de securitate cibernetică
Articol preluat din Newsletter-ul EDRi 11.1
Comisia Europeană a anunțat că va iniția o propunere de Directivă privind Strategia de securitate cibernetică; schița acestei propuneri, care circulă la Bruxelles în această perioadă, pare complet greșită.
Prin această directivă, Comisia întenționează să poziționeze ENISA în centrul unei rețele care să funcționeze ca sistem de alertă timpurie pentru lucrurile rele care se întâmplă pe Internet, ceea ce este un lucru bun. Partea rea constă în faptul că, în loc să acționeze ca și catalizator pentru organele polițienești, organismele CERT și furnziorii de servicii, ENISA încearcă că creeze o rețea clasificată de agenții militare și de informații.
Este adevărat că mulți cetățeni ai Uniunii Europene au suferit de pe urma fraudelor online și că posibilitatea de a obține despăgubiri în astfel de cazuri variază semnificativ la nivelul UE (chestiune abordată recent în lucrarea „The Costs of Cybercrime"). Însă politicile adecvate pentru abordarea acestor chestiuni sunt deja cunoscute și includ: armonizarea și îmbunătățirea protecției consumatorului, consolidarea cooperării polițienești, notificarea cazurilor de încălcare a securității și o politică prin care industria să furnizeze și să certifice echipamente conectabile la rețea care sunt sigure în mod implicit („by default”). Astfel de măsuri intră în mod clar în competența UE și unele dintre ele sunt deja implementate, cum ar fi prevederile referitoare la notificarea încălcării securității din propunerea de Regulament privind protecția datelor sau noul Centru European pentru Criminalitate Cibernetică. Aceste propuneri ar trebui urmărite și implementate cu rigurozitate.
Însă propunerea de directivă reprezintă o încercare de a militariza securitatea în spațiul cibernetic. Lucru care se întâmplă deja în câteva state membre; spre exemplu, Marea Britanie a alocat 640 milioane de lire (aproximativ 770 milioane de euro) pentru securitatea cibernetică, pentru perioada 2011-2015, însă GCHQ (agenția britanică de informații) a obținut 59% din această sumă. Poliția, care are, de fapt, responsabilitatea prinderii infractorilor, a primit suma aproape nesemnificativă de 5 milioane de lire (aproximativ 6 milioane de euro) pe an. Astfel, în loc să aloce poliției resursele de care are nevoie pentru a prinde și pedepsi infractorii din spațiul cibernetic, guvernul britanic a decis să direcționeze cea mai mare parte a banilor către spioni, astfel încât aceștia să poată comite și mai multe infracțiuni cibernetice (chiar dacă în alte țări).
Este tragic faptul că Uniunea Europeană ia acum în considerare posibilitatea preluării modelului britanic și american. Propunerea de directivă trebuie reformulată, astfel încât rețeaua de cooperare în domeniul criminalității cibernetice să includă acele entități care au posibilitatea de a preveni și combate infracțiunile cibernetice: poliția, furnizorii de rețele și servicii, organismele CERT, cercetătorii, firmele de servicii online, producătorii de software și companiile de securitate. O rețea clasificată nu se va afla în postura de a obține încrederea celor mai mulți dintre acești actori, și, oricum, nu va putea să le ofere acestora prea multe informații utile. În momentul de față, organizațiile civile contribuie mult mai mult la combaterea criminalității cibernetice și, în plus, dețin cea mai mare parte a infrastructurii critice, ceea ce înseamnă că înțeleg mult mai bine problemele. O rețea de agenții care comunică doar între ele ar putea conduce la situația în care respectivele agenții nu fac altceva decât să-și amplifice concepțiile greșite.
Mai mult, conceptul de „autoritatea națională competentă unică” propus în directivă este greșit în principiu și nefuncțional în practică. Până și în Marea Britanie, unde securitatea cibernetică este deja militarizată parțial, după modelul american, există o multitudine de actori chiar și în sectorul public: GCHQ, Serious and Organised Crime Agency, Security Service, National Physical Laboratory și organele poliției locale. Diversitatea misiunii și a politicii este valoroasă. Similar, în Germania Bundesamt fuer Sicherheit in der Informationstechnik și Bundesnachrichtendienst au roluri clar separate. O directivă care încurajează existența unei singure agenții care să aibă întâietate în fiecare stat membru ar submina aranjamentele constituționale implementate de către fiecare stat pentru separarea puterilor în stat și delimitarea responsabilităților (oricât de slabe sunt acestea în unele cazuri). În cazul Germaniei, spre exemplu, ar submina separarea strictă dintre urmărirea penală și acțiunile din domeniul securității naționale.
Propunerea de directivă conferă puteri draconice ENISA și statelor membre, depășindu-le cu mult pe cele conferite prin Directiva privind reținerea datelor și care au fost declarate neconstituționale în multe state membre ale UE. Spre exemplu:
„Autoritățile competente trebuie să dispună de mijloacele necesare pentru îndeplinirea atribuțiilor, inclusiv puterea de a obține informații suficiente de la operatorii de piată, pentru a putea evalua nivelul securității rețelelor și sistemelor informatice, precum și date fiabile și cuprinzătoare despre incidentele de securitate care au impact asupra modului de operare a rețelelor și serviciilor informatice.”
Operatorul de piață este definit ca „facilitator de servicii Internet, spre exemplu platforme de comerț electronic, portaluri de plăți prin Internet, rețele sociale, motoare de căutare, servicii de cloud computing, magazine de aplicații, servicii de comunicații altele decât cele vizate de cadrul de reglementare a comunicațiilor electronice. Dezvoltatorii de software și producătorii de hardware sunt excluși.”
Cu alte cuvinte, ENISA și agențiile naționale din rețeaua sa vor avea acces la „informații suficiente” de la aproape orice are legătură cu mediul online, extinzându-se astfel puterile conferite prin Directiva privind reținerea datelor nu doar asupra operatorilor de telefonie și ISP-iștilor, ci și asupra furnizorilor de servicii de tipul motoarelor de căutare, furnizorilor de servicii webmail, rețelelor sociale și operatorilor de jocuri pe calculator. Acest lucru este complet inacceptabil, întrucât ar reprezenta o încălcare a constituțiilor multe state europene. În plus, este extrem de dificil de văzut cum o astfel de prevedere poate fi compatibilizată cu articolul 8 al Convenției Europene a Drepturilor Omului.
Propunerea de directivă este inacceptabilă în forma actuală. Trebuie fie rescrisă, fie abandonată.
Informații suplimentare:
- Studiu ENISA „Analysing Barriers and Incentives for Network and Information Security in the Internal Market for e-Communication”, 2008
Articol de Ross Andreson - FIPR, Marea Britanie, membru EDRi
Licenţă: Creative Commons Atribuire 3.0
Add new comment