- "In legea securitatii cibernetice care a fost declarata neconstitutionala in acest an de catre Curtea Constitutionala exista un articol prin care doream ca autoritatile statului care au stiinta de aceste atacuri sa instiinteze persoanele in cauza, prin intermediul furnizorilor de internet, astfel incat aceste persoane sa ia masuri de remediere. Acest articol a suscitat multa dezbatere pentru ca - si este un fapt real - sustinerea acestui proces de informare a persoanelor fizice, care au calculatoarele infectate de catre providerii de internet, implica anumite costuri. Cert este ca la ora actuala nu avem aceste instrumente legale pentru a informa cetatenii privind existenta acestor infectii la nivelul unor calculatoare", a spus Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI, in cadrul unei conferinte pe teme de securitate cibernetica organizata de Cursdeguvernare.ro si PWC Romania in parteneriat cu AmCham.
Acesta a precizat ca este vorba de articolul 18. Iata ce prevedea acest articol:
- "Art. 18. - Detinatorii de infrastructuri cibernetice, furnizori de servicii de internet au obligatia de a-si notifica clientii, persoane de drept public si privat, de indata, dar nu mai tarziu de 24 de ore din momentul in care au fost sesizati de autoritatile competente potrivit prezentei legi, cu privire la, situatiile in care sistemele informatice utilizate de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare".
Si reprezentantii CERT-RO, Centrul national de raspuns la incidente de securitate cibernetica au atentionat asupra problemei notificarii utilizatorilor rezidentiali.
- "Cea mai mare problema o reprezinta notificarea utilizatorilor. Nu este vorba de o supraveghere a cetatenilor, ci de o notificare care vine din exteriorul Romaniei. Parteneri din alte tari ne prezinta dovezi privind anumite IP-uri din Romania implicate in incidente de securitate. Noi ne ducem catre ISP-isti si aceastia, de cele mai multe ori, nu se duc mai departe. Daca cetetanul nu vrea sa ia nici o masura este dreptul lui, dar trebuie sa stie. Nu vrem sa-l constrangem, ci doar sa-l notificam ca este posibil sa-si piarda datele personale", a declarat miercuri Mircea Grigoras - Directorul general adjunct al Centrului National de Raspuns la Incidente de natura cibernetica - CERT-RO.
Nu in cele din urma, Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI, a precizat ca in prezent se lucreaza la definirea unei noi Legi a Securitatii Cibernetice, in care SRI incaerca mentinerea acestei prevederi privind notificarea utilizatorilor, lege care ar urma sa intre in dezbatere publica in urmatoarele luni.
Curtea Constitutionala a Romaniei (CCR) a decis in 21 ianuarie 2015 ca este neconstitutionala Legea privind securitatea cibernetica, unul dintre motive fiind lipsa avizului CSAT.
In motivarea deciziei, Curtea constata ca legea nu excludea accesarea datelor personale si deschidea posibilitatea unor abuzuri din partea autoritatilor, ca accesul se putea face fara mandat judecatoresc, lipsind garantia unei protectii a datelor impotriva riscurilor de abuz si incalcand astfel drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si ca SRI nu ar trebui sa fie autoritatea nationala in domeniul securitatii cibernetice. In plus, legea facea trimiteri catre acte administrative, cu o forta juridica inferioara, nu reglementa posibilitatea subiectilor carora le era destinata legea de a contesta in justitie actele administrative si incalca si principiul separatiei puterilor in stat.
- Pentru detalii citeste si: De ce a cazut Legea securitatii cibernetice. Motivarea Curtii Constitutionale
Un "botnet" e exact ce ii spune numele: o retea de boti. Nu este un "virus" care infecteaza, este rezultatul unei infectii, mai exact reteaua formata de calculatoarele infectate.
Si ca sa va dati seama de nivelul la care se organizeaza aceste conferinte la noi in tara, citatul e de la seful Cyberint la o conferinta pe teme de securitate:
"Florin Cosmoiu, seful Centrului Cyberint din cadrul SRI, in cadrul unei conferinte pe teme de securitate cibernetica organizata de Cursdeguvernare.ro si PWC Romania in parteneriat cu AmCham".
Si chiar daca exprimarea poate e defectuoasa (desi si-n engleza gasesti exprimarea asta, chiar si-n cercuri de profesionisti), ideea ce-o sustine articolul - de care comentariu' matale nici macar nu se atinge - mi se pare buna. Nu toata lumea care foloseste un calculator are knowhow-ul de a se proteja de malware, si din cauza lipsei de educatie din domeniu prea putina lume ia problema in serios.
Iar eu sincer nu am auzit niciodata ca un expert in securitate sa spuna "infected by/with botnets". "infected by bots" sau "infected by botnet malware" da. Dar sa spui "infectat cu botneti" e ca si cum ai spune ca ai "doua interneturi" acasa referindu-te la cele doua calculatoare pe care le detii.
Si este descurajant sa vezi ca unui om pus la carma unui centru de securitate ii lipsesc asemenea concepte de baza.
Evident, nu poate decat sa ajute ca expertii ISP-ului sa te alerteze cand ai o problema. Dar sper ca un ISP sa aiba oameni mai capabili. Un sef care nu-si cunoaste biznisul il pune pe calea pieirii. Daca nu cumva e structura a statului, caz in care nu face decat sa cimenteze starea de facto a institutiilor de stat romane.
Desigur cara o daca cu factura imi vine o scrisoare cum in care providerul meu ma atentioneaza ca am calculatorul virusat si ca fac obiectul unor cercetari din partea CERT. SRI, S.A.M.D. sau daca scrisoarea vine chiar de la SRI voi face cu siguranta tot ce depinde de mine sa rezolv problema..
Sa ai obligatia sa trimiti un mail cand un client al tau cand aceasa are un virus devine teribil de complicat: ai nevoie de angajati penru monitorizare, ( ca e evident ca e nevoie de monitorizare, nu?) de fisa postului care sa imcluda obligatii legale, de programe care sa faca asta automat. Toate costa bani. Multi!