​Serviciul Român de Informații (SRI) va prelua integral mentenanța sistemului național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor de securitate cibernetică, potrivit unui Memorandum prezentat vineri în ședința de Guvern. Andrei Nicoară, expert în servicii de e-guvernare, avertizează că acest sistem are echipamente de detecție a intruziunilor, pe conexiunea la internet a 54 de instituții publice, prin care este monitorizat tot traficul de internet, inclusiv activități private ale angajaților ori documente trimise prin email de cetățeni. Actul promovat de Guvern ar putea oferi SRI posibilitatea de a extrage și stoca aceste informații, spune acesta.

CyberInt_SRIFoto: SRI

Guvernul are pe ordinea ședinței de vineri un Memorandum prin care Serviciul Român de Informații (SRI) va prelua responsabilitatea de a asigura integral mentenanța "Sistemului național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic", un sistem creat în 2013 cu fonduri UE de 97 milioane de lei, potrivit unui Memorandum care va fi adoptat vineri de Guvern. Mai mult, SRI va demara un nou proiect ce presupune actualizarea și modernizarea acestui sistem IT național de securitate cibernetică, care va beneficia de o finanțare UE de peste 206,6 milioane de lei.

Sistemul a fost lansat în anul 2013, când premier era Victor Ponta, iar ministru al Comunicațiilor era Dan Nica (PSD).

Click pentru a deschide

Cu privire la acest sistem IT, generalul SRI, Dumitru Cocoru, declara în septembrie 2013 că va fi implementat împreuna cu alte instituții printre care Ministerul de Interne, Ministerul Apărării și Serviciul de Telecomunicatii Speciale (STS) și va proteja circa 50-60 de instituțiii publice.

Click pentru a deschide

  • "Este vorba de echipamente de detectie a intruziunilor, de analiza a elementelor de securitate pentru protectia site-urilor si a sistemelor informatice care gestioneaza baze de date cu informatii sensibile. Va fi si o componenta de instruire in vederea gestionarii acestor echipamente. Urmeaza ca echipamentele care vor fi instalate sa fie gestionate de proprietarii acestor infrastructuri informatice si de comunicatii. In cadrul proiectului s-a propus instruirea specialistilor pe toate domeniile de programare, configurare si analiza a evenimentelor de securitate cibernetica", a declarat Dumitru Cocoru, general SRI in cadrul unui eveniment dedicat securitatii cibernetice organizat în luna septembrie a anului 2013.

Sistemului național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic a devenit operațional în 2015.

  • Andrei Nicoară, expert e-guvernare: Acest memorandum ar putea oferi SRI posibilitatea de a extrage și stoca orice informație din traficul de internet al acestor instituții

Andrei Nicoara

Andrei Nicoara

Foto: Arhiva personala

La 5 ani de atunci, sunt probleme de mentenanță la echipamentele și aplicațiile acestui sistem, mentenanță care nu este asigurată unitar, fiind mai multe instituții implicate, așa că invocând acest motiv Guvernul PNL propune ca SRI să preia integral mentenanța acestui sistem IT.

Mai mult, sistemul va fi extins la un număr de 61 de instituții cu infrastructuri critice și va fi actualizat și modernizat cu fonduri UE în valoare de peste 206,6 milioane de lei.

Proiectul a atras atenția unor experți în servicii de e-guvernare, precum Andrei Nicoară, care, dincolo de nemulțumirea de a nu fi existat o dezbatere publică pe acest subiect, atenționează că Memorandumul ar putea ridica unele probleme mai puțin evidente publicului larg:

"Pe lângă DNSC, cu aceeași grabă și lipsă de transparență, intră azi în discuția guvernului și un memorandum, tot pe cybersecurity, care ridică unele probleme mai puțin evidente publicului larg. Vor fi necesare deci explicații ”popular science”.

Instituțional un memorandum al guvernului este o expresie, stabilită prin votul miniștrilor, a unei direcții/voințe comune. Miniștrii o vor urma ”din convingere” și nu ca urmare a unei obligații legale (precum cea adusă de un HG).

Acest memorandum va duce la ”asigurare integrala a mentenanței echipamentelor și aplicațiilor informatice” de către SRI pentru acele echipamente de tip IDS montate pe conexiunea la internet a 54 de instituții publice.

Un echipament IDS profesional poate scana traficul, inclusiv cel criptat, căutând cuvinte cheie sau alte amprente ale unui comportament malițios. Conținutul suspect poate fi stocat pentru analiză ulterioară și informări / alerte sunt trimise către centrul de comandă unic, operat de SRI.

Dacă prin ”mentenanță” se înțelege inclusiv activitatea de configurare a acestor echipamente practic acest memorandum oferă SRI posibilitatea de a extrage și stoca orice informație din traficul de internet al acestor instituții. Acest trafic include însă inevitabil atât activități private ale angajaților cât și problemele populației de rezolvat de acea instituție.

Din perspectiva GDPR angajatorul nu ar trebui să monitorizeze conținutul traficului privat, cu atât mai puțin să ofere altcuiva acest drept. Din perspectiva SRI este firească colectarea de date însă pe măsură ce acestea se conturează a fi conversația unei persoane devine, probabil, necesar să existe un mandat.

Dispozitivele IDS sunt esențiale pentru securitatea cibernetică iar funcționalitatea lor previne numeroase tipuri de atacuri și ex-filtrări de date. Modul de utilizare a datelor colectate este însă o problemă pe care am auzit-o discutată oficial încă din 2016 fără a i se găsi o rezolvare civilizată. Ar fi păcat ca astăzi să acționăm ca și cum problema nu există și încă intr-o soluție legală ce responsabilizează individual conducători de instituție incapabili să înțeleagă contextul.", atenționează Andrei Nicoară pe Facebook.

  • Juristul Bogdan Manolea: Cine se ocupă până la urmă de securitatea infrastructurii IT a statului - CERT-RO (sau viitorul Directorat Națioanl pentru Securitatea Cibernetică) sau SRI?

Bogdan Manolea

Bogdan Manolea

Foto: Hotnews

Semne de întrebare sunt ridicate și de Bogdan Manolea, jurist specializat în drept online și director executiv al Asociației pentru tehnologie și internet (APTI).

Acesta a criticat pe site-ul asociației un alt proiect promovat fără dezbatere și în regim de urgență vineri, 4 decembrie 2020, de către Guvernul condus de Ludovic Orban - crearea Directoratului Național de Securitate Cibernetică, o nouă instituție care va înlocui CERT-RO și care va fi responsabilă de securitatea cibernetică la nivel național pentru cel puțin 10 ani.

În textul: Propunerea de OUG privind Directoratul Național de Securitate Cibernetică (DNSC) - o nouă struțo-cămilă birocratică cu efecte perverse? - juristul Bogdan Manolea critică lipsa de transparență și de dezbatere publică pe acest subiect.

"Normele de dezbatere publică din Legea 52 si normele de transparenta sunt bune doar de clamat în dezbaterile electorale. Pe site-ul ADR sau CERT.ro sau Ministerul Transporturilor nu a fost niciodată postat niciun draft al acestui act normativ. Mult-laudatul Consiliul Naţional pentru Transformare Digitală a fost sarit din schema. Iarăși. Măcar în 2015-2016 s-au mimat mai bine aspectele de consultare publică.

DNSC este un panaceu pentru securitatea cibernetica românească. Strategie, reglementare, aplicarea reglementării, control, certificare, autorizarea certificatorilor, evaluarea securității unor tehnologii, cercetare, educare, crearea de firme pentru toate acestea (curat liberal, coane Orban!), inclusiv furnizare de produse și servicii de securitate cibernetică. (oare acestea din urmă vor fi verificate de laboratoarele care sunt acreditate de însuși furnizorul? Sic!). Și nici măcar nu le-am enumerat pe toate.

Nici nu știu cum sa comentez – baleiez între incompetenta legislativă funcțională, idealism benevolent si tendințe despotice. Depinde cine o sa fie șeful....", precizează juristul Bogdan Manolea.

Referitor la Memorandumul prin care SRI va prelua mentenanța sistemului național de proiecție a infrastructurilor IT&C de interes național împotriva amenințărilor de securitate cibernetică, acesta a precizat următoarele, pentru HotNews.ro:

  • "Mie mi se pare în primul rând o contradicție cu OUG-ul propus. Cine se ocupă până la urmă de securitatea infrastructurii IT a statului - CERT (sau DNSC) sau SRI? De ce SRI trebuie să se ocupe de securitatea cibernetică și nu o instituție civila?", a declarat pentru HotNews.ro juristul Bogdan Manolea.

Pentru detalii legate de cele două proiecte promovate vineri de Guvern citește: