Ministerul Cercetării, Inovării și Digitalizării a pus în dezbatere publică, la începutul acestei luni, un proiect de lege privind securitatea și apărarea cibernetică a României, o lege de altfel necesară. Cu un titlu actual, propunerea începe cu abordarea unor provocări reale, într-o țară ca România, din a cărei școală de inginerie software ies specialiști care protejează spațiul digital al multor țări. Îngrijorătoare este însă frecvența cu care actualul Guvern PSD-PNL tot revine cu încercarea, mascată sub diverse forme, de a permite accesul excesiv al serviciilor de informații la traficul personal de date, fără mandat judecătoresc.

Radu Miruță: În prezent, în conformitate cu art. 14, alin 1. lit. c din legea 51/1991, activitățile specifice culegerii de informații care presupun restrângerea exercițiului unor drepturi sau libertăți fundamentale ale omului sunt condiționate de obținerea unei autorizații.

Condiționare care se ocolește prin noile
prevederi - art. 24 din proiectul supus dezbaterii publice - fiindcă noua formă
îi obligă pe toți furnizorii de securitate cibernetică (orice persoană fizică
și/sau juridică) să pună la dispoziția DNSC, SRI, SIE, STS, MAPN, MAI, SPP etc.
date și informații cu privire la incidente, riscuri, vulnerabilități.

Aceste alte informații includ adesea detalii
despre conținutul utilizatorilor, despre starea de securitate electronică a
unui client la care instituțiile de mai sus vor avea acces liber, fără mandat.
Și nu vorbim despre clienți gen instituții publice, unde lucrurile sunt mult
mai permisive din acest punct de vedere, ci și despre situația unor persoane
fizice. Iar sintagma de „furnizor de servicii de securitate cibernetică” este
definită clar în propunerea de proiect, reprezentând orice persoană
fizică/juridică care realizează clasice activități informatice.

Pot înțelege și susține necesitatea unui spațiu
informatic securizat, însă, sub nicio formă, nu pot accepta ca, sub această
umbrelă, să fie create scurtături, ocolindu-se mandatul judecătoresc, pentru
accesul la informațiile private care au legătură cu drepturi și libertăți
fundamentale ale omului.

Pe de altă parte, diferit de modul la grămadă
propus în acest proiect, trebuie ca incidentele de securitate cibernetică să
fie împărțite pe categorii diferite pentru instituțiile din zona de apărare
față de entitățile civile/private, cu măsuri clar diferențiate și proporționale
în funcție de dimensiunea și de gravitatea situației. De asemenea, trebuie
clarificate definițiile din această lege pentru a se evidenția limitele ariei
de competență a serviciilor de informații.

Este absurd să nu existe o diferențiere între
situații, cu un răspuns diferențiat asociat. Atacul unui sistem informatic de
dimensiuni mari, cu informații critice necesită implicații și reacții diferite
față de vulnerabilitățile unei mini-rețele de calculatoare, spre exemplu.

Da, este o balanță fin de echilibrat între a
proteja utilizatorul de vulnerabilități cibernetice și de a-i încălca la liber
intimitatea. Acest echilibru poate fi stabilit doar prin trasabilitatea
bocancilor. Printr-o metodă aflată funcțional sub control civil special astfel
încât, în urma unui audit, să se poată vedea pentru fiecare încercare de
„protecție” cibernetică asocierea documentului cum că a existat o încuviințare
din partea unei terțe părți (judecător) și că intrarea cu bocancii a fost
îndreptățită, a fost de fapt chirurgicală și realizată cu bună credință, în
limita respectării drepturilor și libertăților fundamentale ale omului.

Or, în situația în care pentru aspecte neclar
definite, foarte interpretabile gen „incidente care pot afecta o rețea” se
obligă punerea la dispoziție în 48 de ore a unor informații vaste din care
rezultă detalii ce au legătură cu drepturile fundamentale ale omului, fară
mandat și fară o trasabilitate ulterioară, lucrurile sunt de fapt la liber.
Unde mai punem scenariul pur teoretic în care un astfel de incident poate fi
chiar intenționat generat pentru a se justifica apoi solicitarea informațiilor?

O metodă similară de acces excesiv al
serviciilor de informații la traficul de date din serverele cu conținut privat
din Romania a mai fost propusă și chiar legiferată la începutul acestui an prin
Codul Comunicațiilor, metodă pe care USR a contestat-o la Curtea
Constituțională și ni s-a dat dreptate, salvând atunci încălcarea intimității
persoanelor.

Și Codul Comunicațiilor și prezentul proiect
privind securitatea și apărarea cibernetică a României sunt legi necesare
pentru România, dar nu trebuie să conțină posibilitatea comiterii unor abuzuri,
care să nu se mai regăsească ulterior în nicio altă înregistrare.

Având în vedere că, în mod constant, se
încearcă sub diverse forme legiferarea unui acces excesiv în viață privată,
ocolindu-se mandatul judecătoresc, premierul Ciucă trebuie fie să își asume
această abordare, fie să dispună stoparea unor astfel de demersuri, fiindcă,
văzând aceste încercări repetate de încălcare a vieții private, pare că tot
încearcă să treacă pe sub radar, prin diverse metode, această abordare.

Nu în ultimul rând, Guvernul trebuie să
clarifice de ce mai este MCID autoritate națională în domeniul securității
cibernetice, cât timp, prins în fapt, recunoaște că proiectul de securitate
cibernetică asumat de MCID i-a fost livrat de generali din MApN? Are Ministerul
Digitalizării specialiști și în birouri, apreciați și lăsați să își exprime
puncte de vedere, sau doar oameni de partid pe ștatul de plată, care nu înțeleg
nimic din ceea ce înseamnă digitalizarea României?