SRI ar vrea ca furnizorii de internet sa-si notifice clientii cand calculatoarele acestora sunt implicate in incidente de securitate cibernetica

de Adrian Vasilache     HotNews.ro
Miercuri, 24 iunie 2015, 13:08 Economie | Telecom

Conferinta pe tema securitatii cibernetice
Foto: Hotnews
"Sunt multe situatii si detinem si noi si expertii CERT-Ro informatii despre existenta unor calculatoare ale unor persoane fizice infectate cu botneti. Practic calculatoarele acestor utilizatori sunt infectate si folosite, fara stiinta acestora, pentru atacuri impotriva unor terte parti", a declarat miercuri Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI. Acesta a atentionat ca in legea securitatii cibernetice care a fost declarata neconstitutionala in acest an era un articol prin care furnizorii de internet trebuiau sa-si notifice clientii aflati in astfel de situatii, prevedere care se incearca a fi mentinuta si in noua lege a securitatii cibernetice care ar urma sa intre in dezbatere publica in urmatoarele luni.

  • "In legea securitatii cibernetice care a fost declarata neconstitutionala in acest an de catre Curtea Constitutionala exista un articol prin care doream ca autoritatile statului care au stiinta de aceste atacuri sa instiinteze persoanele in cauza, prin intermediul furnizorilor de internet, astfel incat aceste persoane sa ia masuri de remediere. Acest articol a suscitat multa dezbatere pentru ca - si este un fapt real - sustinerea acestui proces de informare a persoanelor fizice, care au calculatoarele infectate de catre providerii de internet, implica anumite costuri. Cert este ca la ora actuala nu avem aceste instrumente legale pentru a informa cetatenii privind existenta acestor infectii la nivelul unor calculatoare", a spus Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI, in cadrul unei conferinte pe teme de securitate cibernetica organizata de Cursdeguvernare.ro si PWC Romania in parteneriat cu AmCham.

Acesta a precizat ca este vorba de articolul 18. Iata ce prevedea acest articol:

  • "Art. 18. - Detinatorii de infrastructuri cibernetice, furnizori de servicii de internet au obligatia de a-si notifica clientii, persoane de drept public si privat, de indata, dar nu mai tarziu de 24 de ore din momentul in care au fost sesizati de autoritatile competente potrivit prezentei legi, cu privire la, situatiile in care sistemele informatice utilizate de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare".

Si reprezentantii CERT-RO, Centrul national de raspuns la incidente de securitate cibernetica au atentionat asupra problemei notificarii utilizatorilor rezidentiali.

  • "Cea mai mare problema o reprezinta notificarea utilizatorilor. Nu este vorba de o supraveghere a cetatenilor, ci de o notificare care vine din exteriorul Romaniei. Parteneri din alte tari ne prezinta dovezi privind anumite IP-uri din Romania implicate in incidente de securitate. Noi ne ducem catre ISP-isti si aceastia, de cele mai multe ori, nu se duc mai departe. Daca cetetanul nu vrea sa ia nici o masura este dreptul lui, dar trebuie sa stie. Nu vrem sa-l constrangem, ci doar sa-l notificam ca este posibil sa-si piarda datele personale", a declarat miercuri Mircea Grigoras - Directorul general adjunct al Centrului National de Raspuns la Incidente de natura cibernetica - CERT-RO.

Nu in cele din urma, Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI, a precizat ca in prezent se lucreaza la definirea unei noi Legi a Securitatii Cibernetice, in care SRI incaerca mentinerea acestei prevederi privind notificarea utilizatorilor, lege care ar urma sa intre in dezbatere publica in urmatoarele luni.

Curtea Constitutionala a Romaniei (CCR) a decis in 21 ianuarie 2015 ca este neconstitutionala Legea privind securitatea cibernetica, unul dintre motive fiind lipsa avizului CSAT.

In motivarea deciziei, Curtea constata ca legea nu excludea accesarea datelor personale si deschidea posibilitatea unor abuzuri din partea autoritatilor, ca accesul se putea face fara mandat judecatoresc, lipsind garantia unei protectii a datelor impotriva riscurilor de abuz si incalcand astfel drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si ca SRI nu ar trebui sa fie autoritatea nationala in domeniul securitatii cibernetice. In plus, legea facea trimiteri catre acte administrative, cu o forta juridica inferioara, nu reglementa posibilitatea subiectilor carora le era destinata legea de a contesta in justitie actele administrative si incalca si principiul separatiei puterilor in stat.



Citeste mai multe despre   









2724 vizualizari
  • +3 (11 voturi)    
    Like! (Miercuri, 24 iunie 2015, 13:29)

    CosmiN [anonim]

    O idee foarte buna!!
    • +1 (3 voturi)    
      infectate cu botneti (Miercuri, 24 iunie 2015, 14:49)

      Close [utilizator] i-a raspuns lui CosmiN

      M-am oprit la "infectate cu botneti". Daca e citat exact din ce a spus omul ala atunci avem de-a face cu inca un guvid pus sa dea din gura dar fara nici o competenta tehnica.

      Un "botnet" e exact ce ii spune numele: o retea de boti. Nu este un "virus" care infecteaza, este rezultatul unei infectii, mai exact reteaua formata de calculatoarele infectate.

      Si ca sa va dati seama de nivelul la care se organizeaza aceste conferinte la noi in tara, citatul e de la seful Cyberint la o conferinta pe teme de securitate:
      "Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI, in cadrul unei conferinte pe teme de securitate cibernetica organizata de Cursdeguvernare.ro si PWC Romania in parteneriat cu AmCham".
      • 0 (0 voturi)    
        Poate nu e exprimarea cea mai riguroasa ... (Miercuri, 24 iunie 2015, 17:03)

        Eu the first [utilizator] i-a raspuns lui Close

        ... da' comunica IMO destul de bine ideea.

        Si chiar daca exprimarea poate e defectuoasa (desi si-n engleza gasesti exprimarea asta, chiar si-n cercuri de profesionisti), ideea ce-o sustine articolul - de care comentariu' matale nici macar nu se atinge - mi se pare buna. Nu toata lumea care foloseste un calculator are knowhow-ul de a se proteja de malware, si din cauza lipsei de educatie din domeniu prea putina lume ia problema in serios.
        • 0 (0 voturi)    
          Ideea (Joi, 25 iunie 2015, 15:01)

          Close [utilizator] i-a raspuns lui Eu the first

          Ideea este una foarte buna dar de cele mai multe ori implementarea e mai importanta decat ideea.

          Iar eu sincer nu am auzit niciodata ca un expert in securitate sa spuna "infected by/with botnets". "infected by bots" sau "infected by botnet malware" da. Dar sa spui "infectat cu botneti" e ca si cum ai spune ca ai "doua interneturi" acasa referindu-te la cele doua calculatoare pe care le detii.

          Si este descurajant sa vezi ca unui om pus la carma unui centru de securitate ii lipsesc asemenea concepte de baza.

          Evident, nu poate decat sa ajute ca expertii ISP-ului sa te alerteze cand ai o problema. Dar sper ca un ISP sa aiba oameni mai capabili. Un sef care nu-si cunoaste biznisul il pune pe calea pieirii. Daca nu cumva e structura a statului, caz in care nu face decat sa cimenteze starea de facto a institutiilor de stat romane.
  • 0 (0 voturi)    
    "a trebui"versus "a putea" (Miercuri, 24 iunie 2015, 14:21)

    _tudor_ [utilizator]

    "Trebuie" intr-un text de lege genereaza o obligatie legala. Orice obligatie legala consta timp si bani. Eu ca si client cu vreau sa platesc din abonamentul meu acoperirea costurilor providerului de net cu privire la aceasta obligatie legala.
    Desigur cara o daca cu factura imi vine o scrisoare cum in care providerul meu ma atentioneaza ca am calculatorul virusat si ca fac obiectul unor cercetari din partea CERT. SRI, S.A.M.D. sau daca scrisoarea vine chiar de la SRI voi face cu siguranta tot ce depinde de mine sa rezolv problema..
    • 0 (0 voturi)    
      Asa e, da' ... (Miercuri, 24 iunie 2015, 17:08)

      Eu the first [utilizator] i-a raspuns lui _tudor_

      ... sa trimiti un mail - atunci cand ai obligatia legala - e un cost destul de redus pt. un ISP-ist. Oricum majoritatea iti trimit notificari de facturare deja pe mail.
      • 0 (0 voturi)    
        Poate n-si inteles (Joi, 25 iunie 2015, 0:39)

        _tudor_ [utilizator] i-a raspuns lui Eu the first

        Sa trimiti un mail unui client in legatura cu o problema (in particular in legatura cu un virus informatic) e foarte simplu. Nimic nu impiedica nici acum un ISP-ist sa faca asta.
        Sa ai obligatia sa trimiti un mail cand un client al tau cand aceasa are un virus devine teribil de complicat: ai nevoie de angajati penru monitorizare, ( ca e evident ca e nevoie de monitorizare, nu?) de fisa postului care sa imcluda obligatii legale, de programe care sa faca asta automat. Toate costa bani. Multi!
  • -1 (1 vot)    
    Dar legile Big Brother (Miercuri, 24 iunie 2015, 15:17)

    andreitr [utilizator]

    pe cand? Am mai auzi si noi din interceptari cum ne injura si cum ne trateaza pe noi oamenii simpli, parlamentarii si reprezentantii puterii...
  • 0 (0 voturi)    
    deja o fac multi ;) (Miercuri, 24 iunie 2015, 18:01)

    boogiewoogie [utilizator]

    si nu doar la notificarile primite din partea "hautoritatilor"
  • 0 (0 voturi)    
    De fapt se urmareste (Miercuri, 24 iunie 2015, 18:03)

    netbot [anonim]

    Un control total asupra firmelor ISP. Ce ar insemna o exprimare vaga "... incidente sau atacuri cibernetice....de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare". Cine defineste conditiile normale si ale cui sunt aceste conditii. Dar ce este un incident? orice adware poate fi considerat un incident etc. De fapt legea respinsa de catre CCR era plina de astfel de formulari, toate portite pentru abuzuri. Mai slabiti-ne!


Abonare la comentarii cu RSS





ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Duminică