Am amânat pentru după sărbători o discuție despre legea privind securitatea informatică; momentul și contextul mi s-a părut nepotrivit în raport cu importanța subiectului. Între timp evenimentele se precipită, barbarii sunt la granițele imperiului și deja serviciile încearcă să fructifice momentul.

Mihai BadiciFoto: Arhiva personala

Mărturisesc două lucruri: mai întâi mă voi deosebi de mulți comentatori în legătură cu oportunitatea legii: consider că ea era oportună și pe ansamblu e binevenită. Al doilea lucru este că nu reușesc să înțeleg limbajul juridic: am o educație atât pozitivistă, am făcut inginerieși matematica a rămas dintotdeauna preferata mea; pe de altă parte mi-am dat licența în litere cu o lucrare despre lirica modernistă românească, deci nu se poate spune că nu înțeleg limbajul imprecis al artelor. Pe cel juridic însă nu îl pot înțelege, pentru că pe de o parte mi s-ar părea normal să aibă precizia celui tehnic, legislația fiind o chestiune de ordin tehnic în cele din urmă. Pe de altă parte, este firesc să existe niște limite mai vagi, deoarece e greu să cuprinzi într-un text diversitatea societății omenești. Totuși, dintotdeauna senzația mea a fost că scopul final al oricărei legi produse la noi ( nu știu cum e la alții) este să lase loc oricărei interpretări, chiar și contradictorii. Rog pe cei mai informați în domeniu să mă lămurească.

De ce e oportună legea? Mai întâi pentru că definește o arie de competență. De fapt, așa cum ziceam, nu o definește ci doar pretinde, invocând acele ICIN (infrastructuri cibernetice de interes național). Acestea nu sunt definite, urmează a fi. Presupun însă că în această zonă nu se vor întâmpla abuzuri în ceea ce privește definirea lor; probabil că unele autorități vor considera abuzivă autoritatea SRI, dar asta e o altă discuție. Este clar că există instituții publice care gestionează date ale cetățenilor: primării, instituțiile fiscului, ale asigurărilor sociale, poliție, armată etc. Starea securității multora dintre acestea este deplorabilă; mai ales primăriile care nu sunt în partidul potrivit nu au ( sau nu a fost prioritar să aloce) nici măcar bani pentru un banal antivirus. Aceste primării dețin cam toate datele noastre personale, de la adresă și avere ( respectiv impozitele pe proprietate) până la amenzi de circulație și modelul de mașină. În multe dintre ele accesul la aceste date este floare la ureche pentru un atacator experimentat. Ceea ce propune legea este ca aceste ICIN să facă măcar un audit anual ( presupun că prietenul nostru domnul Ghiță deja își freacă mâinile și a dat anunț de angajare pentru specialiști în domeniu) iar dacă nu, să permită realizarea unui astfel de audit ( de către cine? Presupunem că de către SRI, care eventual îl va subcontracta cuiva, dar nu scrie. Nu ni se spune nici cine îl va plăti și dacă îl va plăti) . Aici intervine acea imprecizie de care vorbeam mai devreme. Pentru că de exemplu majoritatea primăriilor mici probabil nu vor avea bani pentru asta, deci o vor lăsa pe seama SRI, cu tot riscul ca aceștia să o subcontracteze către un subcontractor, fapt de natură a-i oferi eventual acestuia un avantaj competițional în alte proiecte. Cei mai mari probabil că vor alege să plătească, ideea de a lăsa SRI (măcar de-ar fi SRI) să zburde prin documentele instituției parându-li-se periculoasă, nu de alta dar nu se știe pe unde le mai fug ochii. Deci vor plăti pentru un serviciu pe care l-ar putea avea pe gratis. Straniu, nu?

Legea mai e oportună pentru că definește alerta cibernetică. Cum în diverse situații excepționale se poate institui starea de urgență, starea de necesitate ori de război, e normal ca în cazul unui atac cibernetic intens ( pentru că altfel rețelele sunt în permanență supuse atacurilor, așa cum pe stradă se petrec zilnic infracțiuni) să se poată defini o stare de alertă cibernetică.

Problema este însă cu articolul 17 punctul a. Conform acestuia, deținătorii de infrastructuri cibernetice ( deci oricine, nu cei de ICIN) trebuie „să acorde sprijinul” și „să permită accesul” „la solicitarea motivată”. Aici intervine acea imprecizie a legii pe care eu o consider intenționată. Cine stabilește că motivația e corectă? Nu ar trebui un judecător? Ok, presupun că dacă mi-ar bate în poartă un agent și mi-ar arăta un extras de „log” din care rezultă că am probleme cu un server le-aș acorda sprijinul și fără mandat; de altfel fac asta mereu la solicitarea providerilor. Dar poate că sprijinul meu nu implică neapărat accesul lor, s-ar putea să pot rezolva singur situația sau eventual să opresc mașina cu totul până se rezolvă.

Lucrurile pot funcționa bine o perioadă la nivelul bunei credințe. Totuși, rolul legilor nu este să reglementeze buna credință ( dacă ar exista mereu buna credință probabil că nici de Constituție nu ar fi nevoie) ci tocmai dimpotrivă, să prevină abuzurile.

Părerea mea este că soluția rezonabilă se află chiar în această lege, însă nu a fost folosită.

Da, sunt de acord să ofer acces „organelor” dar în anumite condiții. Ce-ar fi dacă acest articol ar fi condiționat de ridicarea nivelului de alertă la un anumit prag? Așa cum în „starea de război” pierd anumite drepturi democratice, sunt de acord ca în „starea de război cibernetic” să ofer acces organelor. Starea să fie instituită și ridicată de președinte la solicitarea organismului nou înființat. Nu cred că e necesar să mă trezesc cu „agenții” la poartă de câte ori un client hăbăuc a uitat să își updateze wordpress-ul.

Citeste intreg apricolul si comenteaza peContributors.ro