NSA-ul românesc la orizont. Legea Securităţii Cibernetice - noua abureală a serviciilor - II

În ultimele două luni, Ministerul Comunicaţiilor împinge agresiv o nouă Lege a Securităţii Cibernetice a României pe agenda consultărilor publice. Cât de necesară este, totuşi, o asemenea lege, chiar în contextul actual, aşa frământat cum este? Cât de serios este efortul Guvernului în acest sens?
(.)

În ultimii ani Serviciul Român de Informaţii s-a chinuit să introducă mai multe pachete de legi numite Big Brother. Toate au iscat controverse şi proteste din cauza articolelor evident abuzive, care, deşi treceau de avizarea Comisiei Juridice în Parlament, încălcau flagrant Constituţia.

Acum guvernul Cioloş, prin Ministerul Comunicaţiilor, împinge o nouă lege, a Securităţii Cibernetice (LSC) a României, despre care s-a scris prea puţin.

În ciuda a două sesiuni de consultare publică, ţinute la Ministerul Comunicaţiilor, noul text de lege este vag inspirat din cele precedente, iar expunerea de motive chiar copiată cu copy paste, după modelul deja patentat de doctoranzii de la Academia de Informaţii.

În deja buna tradiţie a proiectelor de lege propuse de SRI, chiar de la primele paragrafe, textul de lege insultă inteligenţa - afirmând că proiectul LSC este menit protejării drepturilor şi libertăţilor fundamentale ale cetăţenilor.

În ciuda enunţului pompos, transparenţa pe care o va genera această iniţiativă legislativă, în cazul în care va fi adoptată, este zero - enunţurile sunt vagi, la fel responsabilităţile, se vorbeşte despre organizarea unui Sistem Naţional de Securitate Cibernetică, entitate care va fi coordonată de opacul CSAT, iar Centrul Naţional de Securitate Cibernetică (aparţinând la-fel-de-transparentului SRI) devine "autoritate competentă pentru coordonarea activităţilor în domeniul securităţii cibernetice a infrastructurilor cibernetice".

La dezbaterile ţinute de Ministerul Comunicaţiilor, susţinătorii legii, ministrul Marius Bostan, dar şi Gen. Marcel Opriş, şeful STS, au centrat strategia promovării proiectului de lege pe două linii - prima subliniind ameninţările pe care le aduc atacurile cibernetice, care pot prejudicia societatea - iar a doua meniţionând caracterul benefic al regulamentelor noi prin care providerii de servicii de internet vor fi obligaţi să avertizeze clienţii că sunt supuşi unor atacuri cibernetice, în momentul în care acestea sunt decelabile.

Ambele motive invocate de susţinătorii proiectului sunt false.

Primul motiv - afirmaţia conform căreia propunerea de lege ar ajuta împotriva atacurilor cibernetice pentru populaţie - este o aberaţie.

Ameninţările cu atacuri cibernetice nu sunt noi, iar în întreaga lume ele NU sunt tratate în mod special - pentru că, de fapt, se deosebesc foarte puţin de ameninţările privind securitatea în general. Astfel încât, în mod logic, li se aplică acelaşi regim.

Responsabilitatea de a proteja serverele în cazul unei persoane fizice sau juridice - cade asupra respectivei persoane, care, dacă nu este atentă, îşi va expune businessul/datele la atacuri cibernetice. Aşa cum, dacă o bancă nu îşi protejează seifurile, riscă să rămână fără bani şi fără clienţi.

Pentru cei care sunt atenţi la pericolele de această natură există firme de securitate, aşa cum există firme de securitate cibernetică.

În cazul atacurilor asupra siturilor sau serviciilor web, lucrurile sunt clare: nicio lege nu te poate proteja de aşa ceva. De obicei singurul mod de a limita atacurile este aplicarea de filtre pentru a restrânge accesul atacatorilor la server - şi/sau (doar uneori) comutarea pe o infrastructură de failover, către alte servere de backup, aflate într-un alt lot (dacă victima are aşa ceva).

Cât despre furturile de date sau inflitrarea de programe spion: nicio lege nu te poate proteja de aşa ceva, aşa cum nicio legea împotriva furturilor şi nici un poliţist din lume nu te poate proteja de spargeri.

În acest caz noul proiect nu face altceva decât să impună (sub imperiul unor amenzi) aşa numite minime cerinţe de securitate - care în mod evident nu vor folosi nici cât o frecţie Diana la piciorul de lemn. Asemenea prevederi nu vor opri decât - eventual - adolescenţii care se distrează încercând parole pe diverse servere - în niciun caz nu vor stopa cazuri profesionale, care ating niveluri înalte de sofisticare.

Mai rău: dacă impui ceva trebuie să creezi şi mecanisme de control. Aceste minime cerinţe de securitate sunt extrem de greu de verificat - în afară, doar, de cazul ridicol în care guvernul doreşte înfiinţarea încă unei agenţii de control şi verificare a parolelor şi a serverelor de pe întinsul patriei noastre.

Iniţiativa, dacă stai să te gândeşti este similară cu a cere oamenilor lacăte de o anumită complexitate la uşi. Este tipică ţărilor cu regimuri care au tendinţe autoritare, care încă visează că mai pot controla ceva în această lume scăpată de sub control.

În ciuda unor cazuri răsunătoare precum atacurile împotriva SONY, a ţărilor precum Coreea de Nord, sau chiar asupra companiilor de inteligence precum Stratfor, sau a birourilor guvernamentale americane, soluţia folosită NU este ca Statul să impună "cerinţe minime de securitate" societăţii în general şi nici să creeze organizaţii opace care să auditeze şi să îşi bage nasul prin serverele oamenilor pentru a "proteja drepturile fundamentale". Ci de a lăsa piaţa să echilibreze lucrurile.

Cât despre protejarea aşa numitelor reţele de interes naţional - chiar şi fără o asemenea nouă lege - cade oricum în sarcina Guvernului, care ar trebui să aibă grijă de ele.

Totuşi în ce măsură se întâmplă acest lucru este greu de stabilit, dată fiind opacitatea serviciilor care se ocupă de aşa ceva în România.

Noul proiect de lege este o aiureală din punctul de vedere al asigurării unei mai bune securităţi cibernetice pentru România. De ce a apărut, atunci? Va oferi opacitate suplimentară şi noi oportunităţi de afaceri, băieţilor din servicii.

Legat de acest lucru, în anul 2010 a avut loc un incident major în ceea ce priveşte securitatea informaţională pe întreaga planetă. 15 (cincisprezece!!!) la sută din traficul global de internet a fost rerutat pentru 18 minute prin China (amănunte aici). Incidentul a implicat routere de fabricaţie chineză, care au început să aleagă în mod bizar dar concertat, rute prin China, pentru comunicaţii locale în diverse ţări.

Evident, un asemenea incident este o vulnerabilitate majoră pentru securitatea cibernetică a unei ţări.

Întrebarea mea pentru corifeii securităţii cibernetice a României: cum putem vorbi despre securitatea cibernetică a României ţară NATO - etc. etc. - în momentul în care infrastructura de comunicaţii a României se bazează masiv pe echipamente Huawei, firmă considerată suspectă în mai multe ţări NATO - companie care a beneficiat de tăieri de panglici şi tururi de onoare ale lui Victor Ponta, pe atunci premier?

Cum poate cineva de la Guvern/SRI vorbi serios despre securitate cibernetică dacă liderul PSD Liviu Dragnea propunea, cu puţin timp în urmă, firmei Huawei realizarea Sistemului Naţional de Informaţii şi Comunicaţii şi la Sistemul de Monitorizare a Traficului?

Unde era SRI/SIE atunci? L-a informat cineva pe Dragnea despre ameninţarea la adresa securităţii naţionale adusă de un asemenea proiect? Dacă nu, de ce nu, dacă da, cum se face că Dragnea nu a retras iniţiativa?

Beneficiile pentru populaţie

A doua linie de promovare a Legii Securităţii Cibernetice - aşa numitele beneficii pentru populaţie - ar fi faptul că providerii de servicii de internet vor fi obligaţi să raporteze incidentele către clienţi, atunci când acestea apar.

Aspectul acesta este chiar mai ridicol. În mod evident el nu se referă la furturi de date - care, de obicei nu au de a face cu providerii de servicii de internet - ci mai mult cu atacurile împotriva siturilor.

Pentru o persoană a cărei website/server ajunge sub atac, primul care se sesizează este de obicei compania de hosting, providerul de internet etc, compania care ţine serverul în colocare etc - care începe să taie accesul către website, server etc - astfel încât infrastructura providerului să nu fie afectată. Actul este pornit din simplul instinct de supravieţuire şi nu necesită legi. Se întâmplă firesc.

Cât despre faptul că respectivul client află imediat, sau mai târziu, că websitul sau serverul aflat în colocare nu funcţionează din cauză că a fost tăiat, fiind atacat, este prea puţin important - căci oricum nu se poate face mare lucru fără un sistem de failover.

Studiu de caz

Serverele Epoch Times din întreaga lume, inclusiv cel care găzduieşte ediţia în limba română, sunt supuse periodic unor atacuri din China - regimul comunist de la Beijing încă nu s-a resemnat că nu va putea face nimic împotriva Epoch Times şi uneori comandă hackerilor chinezi să atace concertat compania noastră. De obicei atacurile au un înalt grad de profesionalism şi sunt masive - beneficiază de bugetele uriaşe ale Chinei în ceea ce priveşte activităţile de spionaj şi atacuri cibernetice.

Este, a fost, va fi absolut irelevant dacă suntem sunaţi de provider, care să ne aducă la cunoştinţă faptul că ne-au tăiat comunicaţia pe anumite rute, porturi sau protocoale.

Interesant este că nimeni din partea autorităţilor române, nici SRI nici ANCOM nici CERT-RO, nu ne-a contactat vreodată să ne alerteze sau să ne ajute într-un fel. Singurul gest din partea Guvernului relativ la Epoch Times versus Partidul Comunist Chinez a fost o interdicţie temporară şi ilegală aplicată reporterilor noştri de a intra în Parlament cu ocazia vizitei unei delegaţii de la Beijing. Ştiind multe amănunte despre strânsa prietenie dintre premierul român al momentului şi comuniştii chinezi, am înţeles gestul - deşi ni s-a părut jenant. La fel ca tăcerea SRI relativ la întreaga poveste.

Concluzie: noul proiect de lege este o aiureală din punctul de vedere al asigurării unei mai bune securităţi cibernetice pentru România. De ce a apărut, atunci? Va oferi opacitate suplimentară şi noi oportunităţi de afaceri, băieţilor din servicii.

Legat de acest aspect, nu e nimic rău să mai faci un bănuţ pe margine, să mai iei un parfum nevestei sau o tabletă copiilor. Dar nu despre asta este vorba, aşa-i? S-a trecut de mult de nivelul ăla de corupţie.

Serviciile ar mai trebui, din când în când - măcar miercurea - să-şi mai facă şi treaba. Iar treaba lor nu este de a deveni o reţea de putere absolută, absolut coruptă şi tenebroasă - ci de a apăra românii, România, de miriadele de asalturi zilnice din partea unei lumi aflate în completă dezintegrare morală.