Ministerul Cercetării, Inovării și Digitalizării a pus în dezbatere publică, la începutul acestei luni, un proiect de lege privind securitatea și apărarea cibernetică a României, o lege de altfel necesară. Cu un titlu actual, propunerea începe cu abordarea unor provocări reale, într-o țară ca România, din a cărei școală de inginerie software ies specialiști care protejează spațiul digital al multor țări. Îngrijorătoare este însă frecvența cu care actualul Guvern PSD-PNL tot revine cu încercarea, mascată sub diverse forme, de a permite accesul excesiv al serviciilor de informații la traficul personal de date, fără mandat judecătoresc.

Radu Miruță: În prezent, în conformitate cu art. 14, alin 1. lit. c din legea 51/1991, activitățile specifice culegerii de informații care presupun restrângerea exercițiului unor drepturi sau libertăți fundamentale ale omului sunt condiționate de obținerea unei autorizații.

Condiționare care se ocolește prin noile prevederi – art. 24 din proiectul supus dezbaterii publice – fiindcă noua formă îi obligă pe toți furnizorii de securitate cibernetică (orice persoană fizică și/sau juridică) să pună la dispoziția DNSC, SRI, SIE, STS, MAPN, MAI, SPP etc. date și informații cu privire la incidente, riscuri, vulnerabilități.

Aceste alte informații includ adesea detalii despre conținutul utilizatorilor, despre starea de securitate electronică a unui client la care instituțiile de mai sus vor avea acces liber, fără mandat. Și nu vorbim despre clienți gen instituții publice, unde lucrurile sunt mult mai permisive din acest punct de vedere, ci și despre situația unor persoane fizice. Iar sintagma de „furnizor de servicii de securitate cibernetică” este definită clar în propunerea de proiect, reprezentând orice persoană fizică/juridică care realizează clasice activități informatice.

Pot înțelege și susține necesitatea unui spațiu informatic securizat, însă, sub nicio formă, nu pot accepta ca, sub această umbrelă, să fie create scurtături, ocolindu-se mandatul judecătoresc, pentru accesul la informațiile private care au legătură cu drepturi și libertăți fundamentale ale omului.

Pe de altă parte, diferit de modul la grămadă propus în acest proiect, trebuie ca incidentele de securitate cibernetică să fie împărțite pe categorii diferite pentru instituțiile din zona de apărare față de entitățile civile/private, cu măsuri clar diferențiate și proporționale în funcție de dimensiunea și de gravitatea situației. De asemenea, trebuie clarificate definițiile din această lege pentru a se evidenția limitele ariei de competență a serviciilor de informații.

Este absurd să nu existe o diferențiere între situații, cu un răspuns diferențiat asociat. Atacul unui sistem informatic de dimensiuni mari, cu informații critice necesită implicații și reacții diferite față de vulnerabilitățile unei mini-rețele de calculatoare, spre exemplu.

Da, este o balanță fin de echilibrat între a proteja utilizatorul de vulnerabilități cibernetice și de a-i încălca la liber intimitatea. Acest echilibru poate fi stabilit doar prin trasabilitatea bocancilor. Printr-o metodă aflată funcțional sub control civil special astfel încât, în urma unui audit, să se poată vedea pentru fiecare încercare de „protecție” cibernetică asocierea documentului cum că a existat o încuviințare din partea unei terțe părți (judecător) și că intrarea cu bocancii a fost îndreptățită, a fost de fapt chirurgicală și realizată cu bună credință, în limita respectării drepturilor și libertăților fundamentale ale omului.

Or, în situația în care pentru aspecte neclar definite, foarte interpretabile gen „incidente care pot afecta o rețea” se obligă punerea la dispoziție în 48 de ore a unor informații vaste din care rezultă detalii ce au legătură cu drepturile fundamentale ale omului, fară mandat și fară o trasabilitate ulterioară, lucrurile sunt de fapt la liber. Unde mai punem scenariul pur teoretic în care un astfel de incident poate fi chiar intenționat generat pentru a se justifica apoi solicitarea informațiilor?

O metodă similară de acces excesiv al serviciilor de informații la traficul de date din serverele cu conținut privat din Romania a mai fost propusă și chiar legiferată la începutul acestui an prin Codul Comunicațiilor, metodă pe care USR a contestat-o la Curtea Constituțională și ni s-a dat dreptate, salvând atunci încălcarea intimității persoanelor.

Și Codul Comunicațiilor și prezentul proiect privind securitatea și apărarea cibernetică a României sunt legi necesare pentru România, dar nu trebuie să conțină posibilitatea comiterii unor abuzuri, care să nu se mai regăsească ulterior în nicio altă înregistrare.

Având în vedere că, în mod constant, se încearcă sub diverse forme legiferarea unui acces excesiv în viață privată, ocolindu-se mandatul judecătoresc, premierul Ciucă trebuie fie să își asume această abordare, fie să dispună stoparea unor astfel de demersuri, fiindcă, văzând aceste încercări repetate de încălcare a vieții private, pare că tot încearcă să treacă pe sub radar, prin diverse metode, această abordare.

Nu în ultimul rând, Guvernul trebuie să clarifice de ce mai este MCID autoritate națională în domeniul securității cibernetice, cât timp, prins în fapt, recunoaște că proiectul de securitate cibernetică asumat de MCID i-a fost livrat de generali din MApN? Are Ministerul Digitalizării specialiști și în birouri, apreciați și lăsați să își exprime puncte de vedere, sau doar oameni de partid pe ștatul de plată, care nu înțeleg nimic din ceea ce înseamnă digitalizarea României?