​Guvernul vrea să adopte miercuri proiectul de lege care va interzice folosirea și achiziția de produse și servicii de tip antivirus de la entități provenind din Rusia sau aflate sub controlul acestei țări, pe motiv că, în contextul războiului din Ucraina, Rusia ar putea exploata aceste soft-uri într-un atac cibernetic. În nota de fundamentare sunt date ca exemplu companiile rusești Kaspersky și Group-IB.

Kaspersky LabFoto: Tatiana Belova, Dreamstime.com
  • UPDATE (miercuri 15:48) Guvernul a adoptat miercuri acest proiect de lege.

De ce se vrea interzicerea softurilor și produselor IT din Rusia

În nota de fundamentare a proiectului de lege se arată că în contextul războiului de agresiune asupra Ucrainei, tot mai multe state membre ale Uniunii Europene au emis recomandări sau acte normative cu caracter imperativ prin care au impus propriilor lor autorități și instituții publice să schimbe soluțiile antivirus dacă le folosesc pe cele de la Kaspersky Lab, deoarece există riscul ca Rusia să exploateze aceste soft-uri într-un atac cibernetic.

  • „Spre exemplu, Autoritatea germană BSI (Federal Office for Information Security) avertizează că riscul poate fi mai mare pentru companiile din domeniul infrastructurilor esențiale.
  • BSI susține că ar fi bine ca toate companiile germane care folosesc soluții AV sau alte tipuri de soft-uri de la Kaspersky să renunțe la ele și să folosească programe de la alte companii.
  • BSI explică faptul că soluțiile antivirus mențin o legătură permanentă, criptată și imposibil de verificat cu serverele vendor-ului, pentru o actualizare permanentă a definițiilor virușilor.
  • Teama este că fișiere sensibile ar putea fi extrase de pe computerele care folosesc soluțiile companiei, pentru a fi trimise pe serverele Kaspersky și ale altor companii rusești.
  • În Italia, Franco Gabrielli, secretar de stat la preşedinţia Consiliului de miniştri, a declarat în Senat că Guvernul de la Roma lucrează la un set de reguli care ar permite entităţilor de stat să înlăture programele software dezvoltate de firma rusă Kaspersky2. Între timp, reglementările au fost adoptate.
  • Potrivit unor informații publice apărute în presă, Primăria municipiului București a organizat o licitație pentru achiziționarea unui antivirus Kaspersky Endpoint Security For Business- Select pentru 1.200 de echipamente, cu mentenanță inclusă 12 luni.
  • Biroul de Presă al instituției primarului general a transmis că Primăria Capitalei folosește antivirusul Kaspersky din anul 2012.
  • Foarte multe instituții publice și autorități ale administrației publice locale achiziționează programe software de antivirus rusești din cauza prețurilor mici și care au prevalență prin Sistemul informatic colaborativ pentru mediu performant de desfășurare al achizițiilor publice (SICAP).
  • Prezența software-urilor rusești de tip antivirus reprezintă o vulnerabilitate la adresa securității cibernetice a autorităților și instituțiilor românești, din cauză că aceste programe acaparează funcții importante ale rețelelor și sistemelor informatice, creând relații de interdependență.
  • În contextul în care Federația Rusă utilizează inclusiv atacuri de tip cibernetic la adresa statelor occidentale și își folosește companiile naționale și cetățenii ruși, prin diverse metode, în războiul asupra Ucrainei, încălcând toate normele de drept internațional în materie, România nu poate să-și asume prezența unor produse și servicii IT rusești în infrastructura cibernetică națională”, se arată în document.

Ce produse, soluții IT și firme vor fi interzise: O listă nominală se va actualiza semestrial

În proiectul de lege se precizează la art. 2 că „se interzice achiziționarea, instalarea și utilizarea de către autoritățile și instituțiile publice a următoarelor produse și servicii software:

  • a) produse privind securitatea dispozitivului, securitatea punctului final;
  • b) aplicații și programe software de detecție antivirus;
  • c) aplicații și programe software anti malware, firewall pentru aplicații web, firewall as a service;
  • d) rețele virtuale private;
  • e) sisteme de detecție și răspuns pentru Endpoint-uri”.

Potrivit proiectului de lege, este considerat operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federația Rusă acela care se află în cel puțin una dintre următoarele situații:

  • a) una sau mai multe persoane fizice sau juridice din Federația Rusă dețin, individual sau împreună, în mod direct sau indirect, o participație calificată de cel puțin 25% din drepturile de vot ale respectivului operator;
  • b) una sau mai multe persoane fizice sau juridice din Federația Rusă dețin, în mod direct sau indirect, majoritatea drepturilor de vot în adunarea generală a operatorului respectiv;
  • c) în calitate de asociat sau acționar al respectivului operator, o persoană fizică sau juridică din Federația Rusă dispune de puterea de a numi sau de a revoca majoritatea membrilor organelor de administrație, conducere sau supraveghere;
  • d) una sau mai multe persoane fizice sau juridice din Federația Rusă finanțează, prin orice mod, direct sau indirect, pe operator;
  • e) una sau mai multe persoane fizice sau juridice din Federația Rusă promite, oferă sau dă bani sau alte foloase operatorului.

În termen de 15 zile de la intrarea în vigoare acestei legi, ministrul Digitalizării trebuie să emită un ordin privind criteriile de stabilire și lista nominală privind produsele, serviciile și entitățile producătoare și/sau furnizoare interzise, care va fi actualizată semestrial sau ori de câte ori este nevoie, după caz.

Tot în acest termen, prin ordin al ministrului cercetării, inovării și digitalizării se vor stabili procedura, metodele și instrumentele încetării utilizării produselor și serviciilor interzise.

În termen de 60 de zile de la intrarea în vigoare a ordinului de ministru, toate produsele și serviciile interzise vor fi deconectate, respectiv dezinstalate de la rețelele și sistemele informatice ale autorităților și instituțiilor publice.

În termen de 30 de zile de la data intrării în vigoare a ordinului de ministru menționat mai sus, autoritățile și instituțiile publice vor demara procedura de achiziționare a produselor și serviciilor software compatibile și legale.

Ce sancțiuni vor fi și ce instituții vor fi exceptate de la aceste obligații

Achiziționarea, instalarea și utilizarea produselor și serviciilor interzise, precum și neîndeplinirea obligației privind dezinstalarea, respectiv deconectarea produselor și

serviciilor interzise vor fi considerate contravenții și se vor pedepsi cu amenzi cuprinse între 50.000 de lei și 200.000 de lei.

Nu toate instituțiile vor fi însă obligate să respecte această lege.

În proiectul de lege se spune că „prevederile prezentei legi nu se aplică autorităților și instituțiilor publice cu atribuții proprii în domeniul securității naționale, în domeniul securității cibernetice (n.a. SRI, STS ori DNSC), apărării naționale și ordinii publice”.

După ce va fi adoptat de Guvern, proiectul de lege se va duce spre dezbatere și adoptare în Parlament.