"Sunt multe situatii si detinem si noi si expertii CERT-Ro informatii despre existenta unor calculatoare ale unor persoane fizice infectate cu botneti. Practic calculatoarele acestor utilizatori sunt infectate si folosite, fara stiinta acestora, pentru atacuri impotriva unor terte parti", a declarat miercuri Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI. Acesta a atentionat ca in legea securitatii cibernetice care a fost declarata neconstitutionala in acest an era un articol prin care furnizorii de internet trebuiau sa-si notifice clientii aflati in astfel de situatii, prevedere care se incearca a fi mentinuta si in noua lege a securitatii cibernetice care ar urma sa intre in dezbatere publica in urmatoarele luni.

Conferinta pe tema securitatii ciberneticeFoto: Hotnews
  • "In legea securitatii cibernetice care a fost declarata neconstitutionala in acest an de catre Curtea Constitutionala exista un articol prin care doream ca autoritatile statului care au stiinta de aceste atacuri sa instiinteze persoanele in cauza, prin intermediul furnizorilor de internet, astfel incat aceste persoane sa ia masuri de remediere. Acest articol a suscitat multa dezbatere pentru ca - si este un fapt real - sustinerea acestui proces de informare a persoanelor fizice, care au calculatoarele infectate de catre providerii de internet, implica anumite costuri. Cert este ca la ora actuala nu avem aceste instrumente legale pentru a informa cetatenii privind existenta acestor infectii la nivelul unor calculatoare", a spus Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI, in cadrul unei conferinte pe teme de securitate cibernetica organizata de Cursdeguvernare.ro si PWC Romania in parteneriat cu AmCham.

Acesta a precizat ca este vorba de articolul 18. Iata ce prevedea acest articol:

  • "Art. 18. - Detinatorii de infrastructuri cibernetice, furnizori de servicii de internet au obligatia de a-si notifica clientii, persoane de drept public si privat, de indata, dar nu mai tarziu de 24 de ore din momentul in care au fost sesizati de autoritatile competente potrivit prezentei legi, cu privire la, situatiile in care sistemele informatice utilizate de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare".

Si reprezentantii CERT-RO, Centrul national de raspuns la incidente de securitate cibernetica au atentionat asupra problemei notificarii utilizatorilor rezidentiali.

  • "Cea mai mare problema o reprezinta notificarea utilizatorilor. Nu este vorba de o supraveghere a cetatenilor, ci de o notificare care vine din exteriorul Romaniei. Parteneri din alte tari ne prezinta dovezi privind anumite IP-uri din Romania implicate in incidente de securitate. Noi ne ducem catre ISP-isti si aceastia, de cele mai multe ori, nu se duc mai departe. Daca cetetanul nu vrea sa ia nici o masura este dreptul lui, dar trebuie sa stie. Nu vrem sa-l constrangem, ci doar sa-l notificam ca este posibil sa-si piarda datele personale", a declarat miercuri Mircea Grigoras - Directorul general adjunct al Centrului National de Raspuns la Incidente de natura cibernetica - CERT-RO.

Nu in cele din urma, Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI, a precizat ca in prezent se lucreaza la definirea unei noi Legi a Securitatii Cibernetice, in care SRI incaerca mentinerea acestei prevederi privind notificarea utilizatorilor, lege care ar urma sa intre in dezbatere publica in urmatoarele luni.

Curtea Constitutionala a Romaniei (CCR) a decis in 21 ianuarie 2015 ca este neconstitutionala Legea privind securitatea cibernetica, unul dintre motive fiind lipsa avizului CSAT.

In motivarea deciziei, Curtea constata ca legea nu excludea accesarea datelor personale si deschidea posibilitatea unor abuzuri din partea autoritatilor, ca accesul se putea face fara mandat judecatoresc, lipsind garantia unei protectii a datelor impotriva riscurilor de abuz si incalcand astfel drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si ca SRI nu ar trebui sa fie autoritatea nationala in domeniul securitatii cibernetice. In plus, legea facea trimiteri catre acte administrative, cu o forta juridica inferioara, nu reglementa posibilitatea subiectilor carora le era destinata legea de a contesta in justitie actele administrative si incalca si principiul separatiei puterilor in stat.