Legea securitatii cibernetice, supranumita de presa si de unele ONG-uri Legea Big Brother 3, a fost adoptata de Parlament in decembrie 2014, si trimisa la presedintele tarii spre promulgare, insa in acelasi timp este atacata la Curtea Constitutionala de 69 de parlamentari. Serviciul Roman de Informatii afirma intr-un comunicat remis duminica publicitatii, ca legea securitatii cibernetice este „indispensabila” facilitarii unor masuri impotriva agresiunilor cibernetice, in „contextul actual al cresterii fara precedent a riscurilor si amenintarilor cibernetice”.
In comunicatul de duminica, SRI arata ca Legea securitatii cibernetice nu incalca drepturile si libertatile fundamentale ale omului, in forma adoptata de Parlament. „Reiteram faptul ca legea, asa cum a fost adoptata de Parlamentul Romaniei, nu permite institutiilor statului accesul la date care tin de viata privata a persoanelor, fara autorizarea prealabila a unui judecator. Din aceasta perspectiva, consideram ca temerile, speculatiile si acuzatiile manifestate in spatiul public sunt lipsite de orice fundament real”, precizează comunicatul citat de portalul de știri Hotnews.
In acest context, Serviciul sustine ca va putea asigura securitatea spatiului cibernetic al tarii beneficiind de instrumente legislative pe care serviciul le considera necesare. „Deplin constient de dificultatea legiferarii intr-un domeniu eminamente nou, aflat in plina expansiune si care forteaza constant limitele expertizei juridice clasice (…) SRI isi exprima speranta ca, beneficiind de instrumente legislative adecvate, alaturi de ceilalti parteneri interni si internationali, institutii ale statului, operatori privati, societate civila, va putea asigura securitatea spatiului cibernetic ca parte componenta a securitatii nationale a Romaniei si a aliatilor sai”, sustine institutia in comunicatul citat.
In plus, comunicatul remis publicitatii invoca si noile provocari pe care institutia le are de gestionat dupa ce, in baza unei decizii luate la Summit-ul NATO din Tara Galilor, din 2014, a fost desemnata coordonator al asistentei acordate de Alianta Nord-Atlantica Ucrainei in domeniul protectiei cibernetice.„Experienta acumulata si rezultatele obtinute au condus la validarea institutiei noastre ca pilon important in arhitectura de securitate colectiva, prin desemnarea SRI, la summitul NATO, desfasurat in Tara Galilor in 2014, drept autoritatea publica a statului roman responsabila cu gestionarea si implementarea proiectului Fondului NATO de sprijin (Trust Fund) pentru Ucraina in domeniul apararii cibernetice”, arata SRI.
Legea securitatii cibernetice – Articolul 17, punctul sensibil
Potrivit unei analize realizata de Hotnews, asa-numita lege Big Brother contine mai multe puncte sensibile, actul fiind contestat la Curtea Constitutionala.
Legea Securitatii Cibernetice a fost adoptata in 19 decembrie 2014 de Senat si prevede constituirea Sistemului National de Securitate Cibernetica, coordonarea unitara a activitatilor acestui Sistem fiind facuta de MAE, MAI, MApN, SRI, SIE, STS, SPP, ORNISS si CSAT.
Legea stabileste cadrul general de reglementare in domeniul securitatii cibernetice si obligatiile ce revin persoanelor juridice de drept public sau privat in scopul protejarii infrastructurilor cibernetice, inclusiv furnizorii de servicii de internet, si prevede obligatii privind asigurarea securitatii sistemelor lor si notificarea clientilor in situatia unor incidente/atacuri cibernetice si luarea de masuri pentru a restabili conditiile normale de functionare.
13 organizatii non-guvernamentale au facut un apel, in 22 decembrie 2014, catre presedintele Klaus Iohannis, catre liderii grupurilor parlamentare, catre Inalta Curte de Casatie si Justitie si catre Avocatul Poporului pentru a sesiza Curtea Constitutionala asupra Legii Securitatii cibernetice, care, in forma adoptata recent de Parlament, ar incalca garantiile constitutionale privind viata privata. Principala problema semnalata de ONG-uri o reprezinta „accesul la date informatice intr-un mod extrem de vag pentru foarte multe institutii”.
Articolul 17 din Legea Securitatii Cibernetice, incriminat de ONG-uri, precizeaza ca:
- a) Sa acorde sprijinul necesar, la solicitarea motivata a Serviciului Roman de Informatii, Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Oficiului Registrului National al Informatiilor Secrete de Stat, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii„.
Organizatiile au semnalat ca „oricare din aceste institutii, daca are o solicitare motivata ar trebui sa fie lasata sa aiba acces la datele detinute”, context in care – s-au intrebat ONG-urile – Cine stabileste daca aceasta solicitare este suficient de motivata si daca datele sunt relevante?
Conform explicatiilor formulate de SRI, autoritatile de resort au acces la datele continute de diverse echipamente IT doar cu incuviintarea prealabila a unui judecator. „Subliniem în mod responsabil că accesul autorităţilor competente la un anume echipament IT (computer, tabletă, smartphone etc.), respectiv la datele cu caracter privat stocate pe acestea, care presupune restrângerea exerciţiului unor drepturi sau libertăţi fundamentale, se poate realiza exclusiv în baza unei autorizaţii eliberate de judecător”, precizeaza comunicatul dat duminica publicitatii. In plus, precizeaza acelasi document, accesul la informatiile continute de echipamentele IT poate fi extins doar in situatia in care echipamente identificate ca fiind folosite in agresiuni cibernetice pot fi „asociate in mod absolut concret unor persoane”.
„Potrivit art.17 al acestei legi, doar deţinătorii de infrastructuri cibernetice (nu persoane fizice deţinătoare de echipamente IT&C – computere, tablete, smartphone etc.) au responsabilitatea de a pune la dispoziţia autorităţilor competente (la solicitare motivată) exclusiv date tehnice, cum ar fi indicatorii ce descriu activităţile desfăşurate la nivelul sistemelor de operare (log-uri), cu privire la ameninţarea (atac cibernetic, incident de securitate etc.) care face obiectul solicitării. Ulterior, dacă din evaluarea datelor tehnice obţinute preliminar, care restrâng câmpul de investigaţie, rezultă necesitatea extinderii cercetării asupra unor echipamente implicate în agresiunea cibernetică şi care pot fi asociate în mod absolut concret unor persoane determinate, accesul la aceste echipamente se va realiza numai în baza unei autorizări eliberate de judecător”, sustine institutia de securitate nationala.