SRI devine mama-cyber? La ce date va avea acces
Serviciul Român de informații devine un fel de mama-cyber. Cu alte cuvinte, SRI va deveni autoritate competentă la nivel național în domeniul cyber intelligence. La ce date va avea acces?
Un nou proiect de lege privind securitatea cibernetică a fost pus în data de 4 noiembrie în dezbatere publică de Ministerul Digitalizării, condus de Sebastian Burduja (PNL).
Sebastian Burduja este fiul lui Marinel Burduja, fiul bancherului Marinel Burduja, fost vicepreședinte Bancorex (fosta Bancă Română de Comerț Exterior) și fost membru FSN. Revenind la proiectul de lege menționat, prin acesta se vrea reglementarea cadrului juridic și instituțional în domeniile de securitate și apărare cibernetică, precum și mecanismele de cooperare și responsabilitățile instituțiilor cu atribuții în domeniile menționate.
În expunerea de motive la noul proiect de lege se spune că s-ar fi luat în considerare criticile formulate în 2015 de Curtea Constituțională și că adoptarea acestui act este jalon asumat în PNRR.
La ce date va avea acces SRI
Noul proiect de lege prevede la art. 13 că Serviciul Român de Informații (SRI) este „autoritate competentă la nivel național în domeniul cyber intelligence, precum și pentru cunoașterea, analizarea, prevenirea și contracararea incidentelor și atacurilor cibernetice care reprezintă amenințări, riscuri și vulnerabilități la adresa securității naționale a României”.
SRI va putea interveni și pentru prevenirea și combaterea amenințărilor avansate de tip Advanced Persistent Threat (APT) din domeniul său de competență activitate și responsabilitate în cazul acelor sisteme IT care nu sunt apărate cibernetic de SIE, SIE, MApN, MAI, SPP și STS.
În situația existenței unor amenințări cibernetice la adresa rețelelor și sistemelor informatice prevăzute la art. 3 lit. b) și lit. c) (n.a aici este vorba inclusiv sisteme IT private), care ar aduce atingere securității naționale, SRI informează ANCOM (n.a Autoritatea de reglementare în comunicații) și DNSC (Directoratul Național de Securitate Cibernetică), în condițiile legii, potrivit hotnews.ro.
Diferența între cyber intelligence și securitate cibernetică
Proiectul de lege definește separat termenii de cyber intelligence (zona de acțiune a SRI) și securitate cibernetică, respectiv:
- cyber intelligence: „activități de culegere, procesare, prelucrare analitică și valorificare a datelor și informațiilor privind acțiuni de natură a afecta interesele și obiectivele naționale de securitate pe linia tehnologiei informației și comunicațiilor, precum și identificarea, cunoașterea, prevenirea, apărarea și contracararea oricăror acțiuni din spațiul cibernetic care pot constitui riscuri, vulnerabilități și/sau amenințări la adresa securității naționale a României”;
- securitate cibernetică: „stare de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive prin care se asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea și non-repudierea informațiilor în format electronic a resurselor și serviciilor publice sau private din spațiul cibernetic”;
SRI este sub semnul întrebării
Autoritățile competente și responsabilitățile acestora în securitatea și apărarea cibernetică a României sunt prevăzute la articolul 10:
- a) Directoratul Național de Securitate Cibernetică, denumit în continuare DNSC, pentru spațiul cibernetic național civil, conform prevederilor prezentei legi și ale Ordonanței de urgență nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică, aprobată, cu modificări și completări, prin Legea nr. 11/2022;
- b) Ministerul Cercetării, Inovării și Digitalizării, denumit în continuare MCID, pentru elaborarea și inițierea actelor normative și politicilor publice naționale în domeniul securității cibernetice, a transformării digitale, societății informaționale, comunicațiilor, cercetării, dezvoltării și inovării.
- c) Autoritatea Națională pentru Administrare și Reglementare în Comunicații, denumită în continuare, ANCOM, pentru coordonarea activităților desfășurate în vederea asigurării securității cibernetice a rețelelor și sistemelor informatice proprii și a celor prevăzute la art. 3 alin (1) lit. b);
- d) Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Oficiul Registrului Național al Informațiilor Secrete de Stat, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază pentru asigurarea securității și apărării cibernetice, respectiv pentru cunoașterea, prevenirea și contracararea amenințărilor cibernetice la adresa rețelelor și sistemelor informatice din domeniul lor de competență, activitate sau responsabilitate. În acest sens, stabilesc structuri și măsuri tehnice și organizatorice privind coordonarea și controlul activităților de securitate și apărare cibernetică.
SRI: Rămâne de văzut
La articolul 19 din proiectul de lege se spune că Directorratul Național de Securitate Cibernetică (DNSC – cel care are rol de securitate pe domeniul civil) va gestiona o platformă de raportare a incidentelor de securitate, numită PNRISC.
În plus se mai prevede că „accesul la informațiile din PNRISC este restricționat prin politici de confidențialitate stabilite și implementate de DNSC”, fără alte detalii…Rămâne de văzut.