Experți IT, îngrijorați de proiecte majore de securitate cibernetică promovate fără dezbatere de Guvernul PNL: Va avea SRI acces la date transmise de cetățeni către instituții publice?

de Adrian Vasilache     HotNews.ro
Vineri, 4 decembrie 2020, 17:41 Economie | Telecom


CyberInt_SRI
Foto: SRI
​Serviciul Român de Informații (SRI) va prelua integral mentenanța sistemului național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor de securitate cibernetică, potrivit unui Memorandum prezentat vineri în ședința de Guvern. Andrei Nicoară, expert în servicii de e-guvernare, avertizează că acest sistem are echipamente de detecție a intruziunilor, pe conexiunea la internet a 54 de instituții publice, prin care este monitorizat tot traficul de internet, inclusiv activități private ale angajaților ori documente trimise prin email de cetățeni. Actul promovat de Guvern ar putea oferi SRI posibilitatea de a extrage și stoca aceste informații, spune acesta.

Guvernul are pe ordinea ședinței de vineri un Memorandum prin care Serviciul Român de Informații (SRI) va prelua responsabilitatea de a asigura integral mentenanța "Sistemului național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic", un sistem creat în 2013 cu fonduri UE de 97 milioane de lei, potrivit unui Memorandum care va fi adoptat vineri de Guvern. Mai mult, SRI va demara un nou proiect ce presupune actualizarea și modernizarea acestui sistem IT național de securitate cibernetică, care va beneficia de o finanțare UE de peste 206,6 milioane de lei.

Sistemul a fost lansat în anul 2013, când premier era Victor Ponta, iar ministru al Comunicațiilor era Dan Nica (PSD).


Click pentru a deschide


Cu privire la acest sistem IT, generalul SRI, Dumitru Cocoru, declara în septembrie 2013 că va fi implementat împreuna cu alte instituții printre care Ministerul de Interne, Ministerul Apărării și Serviciul de Telecomunicatii Speciale (STS) și va proteja circa 50-60 de instituțiii publice.


Click pentru a deschide


  • "Este vorba de echipamente de detectie a intruziunilor, de analiza a elementelor de securitate pentru protectia site-urilor si a sistemelor informatice care gestioneaza baze de date cu informatii sensibile. Va fi si o componenta de instruire in vederea gestionarii acestor echipamente. Urmeaza ca echipamentele care vor fi instalate sa fie gestionate de proprietarii acestor infrastructuri informatice si de comunicatii. In cadrul proiectului s-a propus instruirea specialistilor pe toate domeniile de programare, configurare si analiza a evenimentelor de securitate cibernetica", a declarat Dumitru Cocoru, general SRI in cadrul unui eveniment dedicat securitatii cibernetice organizat în luna septembrie a anului 2013.

Sistemului național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic a devenit operațional în 2015.

  • Andrei Nicoară, expert e-guvernare: Acest memorandum ar putea oferi SRI posibilitatea de a extrage și stoca orice informație din traficul de internet al acestor instituții

Andrei Nicoara
Foto: Arhiva personala
La 5 ani de atunci, sunt probleme de mentenanță la echipamentele și aplicațiile acestui sistem, mentenanță care nu este asigurată unitar, fiind mai multe instituții implicate, așa că invocând acest motiv Guvernul PNL propune ca SRI să preia integral mentenanța acestui sistem IT.

Mai mult, sistemul va fi extins la un număr de 61 de instituții cu infrastructuri critice și va fi actualizat și modernizat cu fonduri UE în valoare de peste 206,6 milioane de lei.

Proiectul a atras atenția unor experți în servicii de e-guvernare, precum Andrei Nicoară, care, dincolo de nemulțumirea de a nu fi existat o dezbatere publică pe acest subiect, atenționează că Memorandumul ar putea ridica unele probleme mai puțin evidente publicului larg:

"Pe lângă DNSC, cu aceeași grabă și lipsă de transparență, intră azi în discuția guvernului și un memorandum, tot pe cybersecurity, care ridică unele probleme mai puțin evidente publicului larg. Vor fi necesare deci explicații ”popular science”.

Instituțional un memorandum al guvernului este o expresie, stabilită prin votul miniștrilor, a unei direcții/voințe comune. Miniștrii o vor urma ”din convingere” și nu ca urmare a unei obligații legale (precum cea adusă de un HG).

Acest memorandum va duce la ”asigurare integrala a mentenanței echipamentelor și aplicațiilor informatice” de către SRI pentru acele echipamente de tip IDS montate pe conexiunea la internet a 54 de instituții publice.

Un echipament IDS profesional poate scana traficul, inclusiv cel criptat, căutând cuvinte cheie sau alte amprente ale unui comportament malițios. Conținutul suspect poate fi stocat pentru analiză ulterioară și informări / alerte sunt trimise către centrul de comandă unic, operat de SRI.

Dacă prin ”mentenanță” se înțelege inclusiv activitatea de configurare a acestor echipamente practic acest memorandum oferă SRI posibilitatea de a extrage și stoca orice informație din traficul de internet al acestor instituții. Acest trafic include însă inevitabil atât activități private ale angajaților cât și problemele populației de rezolvat de acea instituție.

Din perspectiva GDPR angajatorul nu ar trebui să monitorizeze conținutul traficului privat, cu atât mai puțin să ofere altcuiva acest drept. Din perspectiva SRI este firească colectarea de date însă pe măsură ce acestea se conturează a fi conversația unei persoane devine, probabil, necesar să existe un mandat.

Dispozitivele IDS sunt esențiale pentru securitatea cibernetică iar funcționalitatea lor previne numeroase tipuri de atacuri și ex-filtrări de date. Modul de utilizare a datelor colectate este însă o problemă pe care am auzit-o discutată oficial încă din 2016 fără a i se găsi o rezolvare civilizată. Ar fi păcat ca astăzi să acționăm ca și cum problema nu există și încă intr-o soluție legală ce responsabilizează individual conducători de instituție incapabili să înțeleagă contextul.
", atenționează Andrei Nicoară pe Facebook.

  • Juristul Bogdan Manolea: Cine se ocupă până la urmă de securitatea infrastructurii IT a statului - CERT-RO (sau viitorul Directorat Națioanl pentru Securitatea Cibernetică) sau SRI?

Bogdan Manolea
Foto: Hotnews
Semne de întrebare sunt ridicate și de Bogdan Manolea, jurist specializat în drept online și director executiv al Asociației pentru tehnologie și internet (APTI).

Acesta a criticat pe site-ul asociației un alt proiect promovat fără dezbatere și în regim de urgență vineri, 4 decembrie 2020, de către Guvernul condus de Ludovic Orban - crearea Directoratului Național de Securitate Cibernetică, o nouă instituție care va înlocui CERT-RO și care va fi responsabilă de securitatea cibernetică la nivel național pentru cel puțin 10 ani.

În textul: Propunerea de OUG privind Directoratul Național de Securitate Cibernetică (DNSC) - o nouă struțo-cămilă birocratică cu efecte perverse? - juristul Bogdan Manolea critică lipsa de transparență și de dezbatere publică pe acest subiect.

"Normele de dezbatere publică din Legea 52 si normele de transparenta sunt bune doar de clamat în dezbaterile electorale. Pe site-ul ADR sau CERT.ro sau Ministerul Transporturilor nu a fost niciodată postat niciun draft al acestui act normativ. Mult-laudatul Consiliul Naţional pentru Transformare Digitală a fost sarit din schema. Iarăși. Măcar în 2015-2016 s-au mimat mai bine aspectele de consultare publică.

DNSC este un panaceu pentru securitatea cibernetica românească. Strategie, reglementare, aplicarea reglementării, control, certificare, autorizarea certificatorilor, evaluarea securității unor tehnologii, cercetare, educare, crearea de firme pentru toate acestea (curat liberal, coane Orban!), inclusiv furnizare de produse și servicii de securitate cibernetică. (oare acestea din urmă vor fi verificate de laboratoarele care sunt acreditate de însuși furnizorul? Sic!). Și nici măcar nu le-am enumerat pe toate.

Nici nu știu cum sa comentez – baleiez între incompetenta legislativă funcțională, idealism benevolent si tendințe despotice. Depinde cine o sa fie șeful...."
, precizează juristul Bogdan Manolea.

Referitor la Memorandumul prin care SRI va prelua mentenanța sistemului național de proiecție a infrastructurilor IT&C de interes național împotriva amenințărilor de securitate cibernetică, acesta a precizat următoarele, pentru HotNews.ro:

  • "Mie mi se pare în primul rând o contradicție cu OUG-ul propus. Cine se ocupă până la urmă de securitatea infrastructurii IT a statului - CERT (sau DNSC) sau SRI? De ce SRI trebuie să se ocupe de securitatea cibernetică și nu o instituție civila?", a declarat pentru HotNews.ro juristul Bogdan Manolea.

Pentru detalii legate de cele două proiecte promovate vineri de Guvern citește:







Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.

















4258 vizualizari

  • 0 (14 voturi)    
    Evident ! (Vineri, 4 decembrie 2020, 18:07)

    Jupanu1970 [utilizator]

    nu ca " va avea " are deja. I loc sa desfiinteze aceasta capuse a statului numita SRI ei o promoveaza la rang de IBM. aiiaia enoriasilor :)))
  • +5 (9 voturi)    
    nu v-a zis SNOWDEN deja ca toti suntem spionati? (Vineri, 4 decembrie 2020, 18:20)

    Gryphus [utilizator]

    CIA, NSA, NCA etc toate alea au conexiune directa la fibra de net care traverseaza atlanticul, in romania sigur si SRI spioneaza la nivelul lor (scazut rau)

    dar in Romania e greu de spionat ca suntem tot la pix si hartie.
  • +5 (9 voturi)    
    iar se abate discutia, 1. cate pozitii bugetare se (Vineri, 4 decembrie 2020, 18:33)

    hopsinoi [utilizator]

    desfiinteaza ca sa face 1200 de noi pozitii bugetare?
    Da, daca reducem 3000 si facem pe criterii meritocratice (examene scrise) 1200 de pozitii bugetare . Asta trebuie facut in Romania.

    2. evident ca expertii STS, SRI simt ca isi pierd din influenta printr-o agentie fara speciali, dar ii asiguram ca dupa ce ies la pensiea speciala la 48 de ani vor gasi sinecuri in noua agentie bugetara.
  • +2 (4 voturi)    
    Securizarea (Vineri, 4 decembrie 2020, 20:44)

    Harald2 [utilizator]

    informatiei/traficului de informatii de catre structuri competente este absolut necesara.

    Doar doua comentarii: implementarea sa se faca pe baze legale, informatiile colectate sa nu fie partajate cu terte state (cu exceptia partenerilor europeni, in cadrul juridic al UE).

    Iar celor care se tem de aceste schimbari, le recomand sa se uite mai atent la ce aplicatii folosesc zi de zi (la birou, pe calculatorul personal, pe telefon...) Mai ramane ceva ce nu au partajat deja (traseul parcurs zilnic, discutiile cu sotia/amanta etc.)? Pentru profesionisti, provocarea consta in a sti unde sa cauti, nu sa ai acces la informatia personala.
  • 0 (4 voturi)    
    Pffff (Vineri, 4 decembrie 2020, 21:59)

    Zero_Kelvin [utilizator]

    O sa mai lucreze dracu de acasa din telemunca! Voi va dati seama unde se ajunge ? Vor fi cunoscute toate ip-urile angajatilor de la stat (profesori, funtionari, inspectori, avocati, judecatori, etc) care muncesc de acasa, din telemunca, si targetati (intelegeti ce vreti) ! Asa ceva incalca dreptul la viata privata, gdpr si ce mai vreti voi !
    Orbane, ai grija, prietene, ce-ti doresti !!!
    • -1 (1 vot)    
      ip-ul de acasă e alocat dinamic (Sâmbătă, 5 decembrie 2020, 3:57)

      let_s_twist_again [utilizator] i-a raspuns lui Zero_Kelvin

      adică la fiecare conectare e mereu altul.
      doar firmele au ip fix.
      • +2 (2 voturi)    
        Ei, na... (Sâmbătă, 5 decembrie 2020, 22:24)

        Zero_Kelvin [utilizator] i-a raspuns lui let_s_twist_again

        E dinamic pe dracu. Se aloca dinamic la scos router-ul din priza. atat.
  • +3 (5 voturi)    
    Experti IT (Vineri, 4 decembrie 2020, 23:34)

    Betabeta [utilizator]

    Acesti domni experti IT sunt de un haz induiosator. SRI-ul are DEJA acces la datele stocate de institutiile publice si nu isi imagineaza cineva cu tiglele pe casa ca va renuntat la acest lucru. Nu ma pronunt pe cazul organizatiilor private...
  • +1 (3 voturi)    
    Felicitari HotNews (Sâmbătă, 5 decembrie 2020, 0:56)

    lucistanescu [utilizator]

    M-as fi asteptat ca in vinerea dinaintea alegerilor un subiect atat de sensibil, cu potential de creare a panicii, sa fie tratat cu mai mult profesionalism. M-as fi asteptat ca echipa editoriala sa ceara opinia unui expert in domeniul securitatii informatice, nu a unui “expert in e-guvernare”.

    M-ati pierdut cand ati publicat citatul “ Un echipament IDS profesional poate scana traficul, inclusiv cel criptat”, formulare ce poate usor sa ma faca sa cred ca este menit sa dezinformeze opinia publica.

    Felicitari HotNews. Macar daca ati fi marcat articolul ca fiind “sustinut de PSD”.
  • +1 (1 vot)    
    Miscarea noastra (Sâmbătă, 5 decembrie 2020, 3:49)

    triflex [utilizator]

    Institutiile " abilitate " au in plan controlul total al populatiilor, iar asta nu numai pe plan local, este valabil peste tot.

    In concluzie: pentru inceput pana o sa incepem sa aruncam la liber solutii pentru combaterea intruziunii in vietile private;

    1. Schimbati-va adresele DNS, nu mai folositi DNS'urile alocate de catre ISP'istii cu care aveti contracte, gasiti liste DNS necenzurate si fara filtre de colectare la liber pe wikipedia, aveti de unde alege!

    2. Nu mai folositi clasicele browsere de net, instalati BROWSERUL TOR pentru ascunderea IP'urilor si a destinatiei virtuale catre care vreti sa va indreptati! Nu aveti prea mare incredere nici in VPN'uri, multe dintre ele colecteaza date, filtreaza si comunica la randul lor " va spun asta deoarece lucrez " undeva " si informatia este 100% corecta!!!

    3. Evitati cu orice pret sistemul de operare WINDOWS 10 " recomand linux dar fiind un sistem greoi pentru un utilizator comod recomand sa ramaneti pe windows 7 " evitati update'uri windows dupa anul de 2016, instalati-va un antivirus din top 3 " recomand panda antivirus ", instalati-va un firewall " recomand pfSense ", alegeti softuri doar open source, instalati obligatoriu softuri de genul " Reboot Restore " in cazul in care va alegeti cu vreun MALLWARE in sistem.

    4. Nu deschideti mailuri venite de la adrese necunoscute / suspecte in cazul in care o faceti iar continutul pare suspect nu accesati linkurile din mail, nu deschideti atasamentele din mail de genul " documente, poze, etc " daca nu cunoasteti sursa care v-a expediat acel mail.

    5. De preferat sa investiti intr-un device hardware " router cu firewall " care sa functioneze ca un fel de bariera intre calculatorul vostru si internet

    6, 7, 8, etc. incepeti sa va documentati, aveti internetul la dispozitie, internet care a inceput sa fie cenzurat dar cu ajutorul TOR browser o sa faceti cunostinta cu zone libere care sunt in plina dezvoltare!

    Tine de voi si doar de voi daca va lasati calcati pe cap, succes


Abonare la comentarii cu RSS

ESRI

Întâlniri on-line | #deladistanță

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.



powered by
developed by