Serviciul Român de Informații (SRI) și Ministerul Apărării ar putea primi acces discreționar la date private ale cetățenilor, potrivit proiectului de lege privind securitatea și apărarea cibernetică a României, avertizează Asociația pentru Tehnologie și Internet (ApTI).

Proiectul introduce delațiunea specialiștilor privați ca metodă de securizare a internetului și include condiții absurde, măsuri disproporționate și definiții vagi, mai acuză asociația.

Instituții multe

Un articol considerat vag de către aceasta este cel care prevede ce instituții pun legea în aplicare.

În cadrul acestuia apar Serviciul Român de Informații, Ministerul Apărării, Oficiul Registrului Național al Informațiilor Secrete de Stat (ORNISS), Serviciul Român de Informații (SRI), Serviciul de Informații Externe (SIE), Serviciul de Telecomunicații Speciale (STS) și Serviciul de Protecție și Pază (SPP).

Conform documentului, Ministerul Apărării este competent pentru apărarea cibernetică și rețelele ce susțin capabilitățile militare.

Insă, conform Asociației pentru Tehnologie și Internet, ar trebui trecută separat la fiecare entitate o delimitare a atribuțiilor.

Care sunt competențele SRI?

„Care sunt, de fapt, sistemele informatice din competența SRI? Le mai poate identifica cineva?”, se întreabă asociația în punctul său de vedere, publicat luni pe site-ul organizației.

Includ sisteme pe care le vor achiziționa – poate – pentru cloud-ul guvernamental? Includ sisteme informatice de interceptare a comunicațiilor electronice instalate de SRI, dar folosite astăzi de alte organe din domeniul cercetării penale (ca urmare a deciziei CCR 51/2016)?

Asociația pentru Tehnologie și Internet:

Delațiunea specialiștilor

Un alt punct din lege criticat este obligația impusă furnizorilor de servicii de securitate de a pune la dispoziția autorităților, în termen de 48 de ore de la solicitare, „date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau sistem informatic a deținătorului sau a unor terți”, conform proiectului de lege.

De obicei, acești specialiști au contracte cu obligații de confidențialitate.

Dar proiectul obligă specialiștii să ofere date despre proprii clienți.

„Fără mandat judecătoresc, fără autorizație precisă, acești furnizori sunt obligați să dea informații despre starea securității unui client, sau, mai rău, a unei întregi infrastructuri (ceea ce poate include informații personale și secrete ale mai multor clienți, fie ei direct afectați de o posibilă vulnerabilitate sau nu)”, arată asociația.

De asemenea, aceasta mai spune că nu orice site trebuie să fie supus obligațiilor de securitate, ci doar cele din sectoare esențiale și de la companii mari și mijlocii.

Asociația pentru Tehnologie și Internet cere dezbateri publice privind proiectul de lege.

Documentul a fost elaborat de către Ministerul Cercetării, condus de către Sebastian Burduja (PNL).

Ministerul Cercetării nu a răspuns până acum solicitării Libertatea pentru un punct de vedere cu privire la acuzele asociației.

Avalanșa de proiecte

În ultimii ani, au apărut în spațiul public mai multe proiecte de legi care au introdus SRI în mai multe sectoare.

În proiectul privind cloud-ul guvernamental SRI apare drept operator de date. Cloud-ul Guvernamental reprezintă un sistem prin care statul vrea să unifice toată infrastructura sa IT.

Societatea civilă a cerut eliminarea SRI din proiect, pe motiv că ar putea accesa date private ale cetățenilor.

Un alt caz a fost cel al noului Cod al Comunicațiilor. Acesta a căzut la Curtea Constituțională, după ce Parlamentul nu a inclus garanții corespunzătoare pentru apărarea vieții private.