Securitatea cibernetică - ce-am avut şi ce-am pierdut

Parlamentarii au mutat votând, fie prin ignoranţă tradusă în scurgerea termenului în care puteau emite o opinie, fie într-o unanimitate demnă de o înfrăţire politică naţională, pentru adoptarea Legii securităţii cibernetice. Societatea civilă, alături de o parte a aceloraşi parlamentari (?), a contracarat prin punerea la stâlpul infamiei şi introducerea în discurs la termenului de "securism informatic". O să ne caute SRI-ul în My Computer?

Trebuie spus din capul locului că proiectul de Lege cu număr de cod 560/2014 nu sare cu nimic în evidenţă faţă de alte acte normative cu caracter general specifice executivului ori legislativului naţional. Nici la prima citire, nici la a doua, nici la a zecea. Însăşi expunerea de motive a proiectului menţionează faptul că acesta conţine doar "formulări-cadru", pentru ca acestea să poată acoperi toate soluţiile din practică. E doar o formă aparent atotştiutoare de a spune că avem un context în care ameninţările cibernetice s-au înmulţit şi diversificat, iar noi, putere legislativă, simţim că trebuie să facem ceva. Doar că nu ştim exact cum, dar ne mai gândim. Până atunci, vă oferim o frântură din cum vrem să protejăm sistemele informatice naţionale - sau poate că nu.

Dacă tot am ajuns aici, se cuvine o mică paranteză: un principiu universal aplicabil, indiferent de ramura de drept în discuţie, este acela al interpretării unor norme juridice în sensul în care acestea pot produce efecte; cu alte cuvinte, nicio normă juridică, în teorie, nu este redactată în corpul unei legi de amorul artei, nimic nu este întâmplător sau accidental. Totuşi, din acest principiu nu trebuie să deducem şi că orice articol de lege pus pe masă trebuie servit cu forţa. Nu este prima dată - şi, din păcate, nici ultima dată - când legi importante sunt aproape imposibil de interpretat în mod coerent, până la apariţia normelor metodologice de aplicare. Iar acestea uneori ajung să adauge la lege, deşi din punct de vedere al tehnicii legislative, acest lucru nu ar trebui să fie permis. Una peste alta, această practică de a edicta legi-cadru, cu norme extrem de generale care pot fi interpretate în orice fel şi în niciunul ar trebui minimizată până la extincţie. Dacă vrei să-mi vinzi un tablou, nu-mi da doar rama, cu promisiunea că vei picta şi pânza - poate în 60 de zile, poate mai târziu.

560-ul suferă şi de sindromul abundenţei noilor instituţii care ar trebui să-şi facă loc pentru a putea gestiona securitatea cibernetică. Am încercat să citesc actul normativ ca un om de rând, fără "defectul" profesional de a schematiza întreaga reţea de instituţii gândită de artizanii proiectului. Dacă legea este promulgată în forma actuală, pregătiţi-vă să aflaţi cum SNSC-ul a colaborat cu deţinători de ICIN şi a fost coordonat unitar de către COSC, care la rândul său este coordonat tehnic de către CNSC. În schimb, nu se vorbeşte nicăieri despre un organism echidistant, coordonat de către specialişti ai domeniului, independent şi căruia să-i fie acordate atribuţii de putere publică - pentru că, dacă nu v-aţi prins, toate abrevierile menţionate anterior aparţin unor viitoare instituţii şi sisteme care vor fi coordonate de către CSAT ori SRI, şi din a căror componenţă fac parte membrii de ministere, "comitete şi comiţii". Un organism necontrolat politic ar însemna un organism puternic, mai ales într-un domeniu precum cibernetica ori tehnologia informaţiei, unul dintre motoarele economiei la momentul actual. Unde există progres şi bunăstare, influenţa politică se ofileşte, deci cine şi-ar dori un astfel de organism?

Şi dacă tot discutăm despre autorităţi cu diferite atribuţii conform proiectului de Lege, nicăieri nu se face referire la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal ca fiind implicată, măcar la nivel consultativ, în derularea acţiunilor de protecţie cibernetică. Până la urmă, avem în vedere întregi infrastructuri care vor fi interconectate şi prin intermediul cărora vor rula cantităţi impresionante de date - în mod cert, printre acestea se vor strecura şi date cu caracter personal, care foarte uşor, chiar din neglijenţă, pot ajunge în mâini greşite.

În sfârşit, două puncte au suscitat interesul societăţii civile. Pe de o parte, s-a pus problema în ce măsura supravegherea şi furnizarea de informaţii efectuate în temeiul Legii ar viza şi simplii utilizatori de calculator, persoane fizice (temere pe fondul definirii extrem de generale a deţinătorilor de infrastructuri cibernetice ca incluzând şi pe utilizatorii acestora), însă aici nu încape discuţie că aceştia nu sunt incluşi în domeniul de aplicare al Legii, care se referă strict la persoanele juridice de drept public sau privat care operează astfel de infrastructuri.

Pe de altă parte, proiectul de Lege prevede că deţinătorii de infrastructuri cibernetice sunt obligaţi să acorde sprijinul necesar, la solicitarea motivată a SRI ori a altor instituţii, pentru îndeplinirea atribuţiilor acestora, de asemenea trebuind să permită accesul reprezentanţilor desemnaţi ai acestor instituţii la datele deţinute, în contextul solicitării. Problema aici este în ce măsură menţiunea simplei "solicitări motivate" duce la concluzia unei derogări de la normele de procedură penală în materia percheziţiei informatice ori a altor metode speciale de supraveghere şi cercetare, care impun, printre altele, nevoia unui mandat emis în condiţiile legii şi intervenţia unei instanţe în tot acest proces de autorizare a procedurilor. Trebuie să nu uităm - fără a ignora dezavuările din paragrafele anterioare - că discutăm despre o simplă lege-cadru care, şi dacă ar fi promulgată în forma actuală, este aproape imposibil de pus în practică într-un mod previzibil şi coerent. Ar fi hilar ca, în răgazul dintre promulgarea Legii şi adoptarea normelor metodologice de aplicare, vreunul dintre deţinătorii de infrastructuri cibernetice să cadă într-o plasă, la rândul ei hilară dacă ar fi întinsă, a SRI ori a altui organism care ar înainta o solicitare de acces la datele deţinute de cel dintâi, deoarece acolo unde este loc de interpretare legislativă, acela a fost şi va fi tot timpul "câlcâiul lui Ahile" a oricărui stat de drept. 

Ce ar trebui să fie cu adevărat îngrijorător în contextul acestei legi avute în vedere este în ce măsură cei care o adoptă chiar au competenţa necesară, în mod solitar şi fără a cere ajutorul mediului privat, de a şti, cu un grad suficient de ridicat de detaliu, care sunt adevăratele probleme de securitate cibernetică cu care România ori lumea, în general, se confruntă. Personal, niciodată nu am crezut în validitatea funcţionării unor Comisii de specialitate ale Parlamentului, care avizează în prealabil proiectele de lege, pentru că şi acestea sunt formate din oameni afiliaţi politic, iar interesul în a aviza pozitiv sau negativ o lege înclina exact din acest motiv. Cum spuneam, e îngrijorător că înseşi deţinătorii privaţi de infrastructuri cibernetice nu par a fi fost consultaţi, iar Legea riscă să fie, ca multe altele, o formă fără fond.

Două exemple în sensul celor de mai sus sunt votarea în unanimitate a proiectului de Lege în Senat - Legea are unul sau două puncte nevralgice, care ar fi putut suscita interesul societăţii civile, iar un jurist cu o pregătire medie, cum cu siguranţă există printre parlamentari, ar fi putut sesiza într-o lectură rapidă care sunt acestea, pentru a propune înlăturarea ori, mai bine, detalierea acestora - şi contestarea ulterioară a Legii la Curtea Constituţională de către parlamentarii liberali - o măsură care, deşi menită să calmeze spiritele, este hilară din cel puţin două motive: contestatatorii sunt cei care, cu câteva zile în urmă, votaseră legea, iar contestarea ei ulterior vuietului stârnit în online devine deja o procedură cutumiară, şi nu doar o coincidenţă.