(IN)SECURITATE CIBERNETICĂ. Sebastian Burduja: În România avem cel puțin 6 forme de control asupra SRI

Legea securității cibernetice a fost declarată constituțională de CCR. Controversa rămâne, însă. Două perspective diferite ale actului legislativ, într-o analiză Q Magazine. Ministrul Cercetării, Inovării și Digitalizării, Sebastian Burduja, inițiator al Legii Securității Cibernetice, a explicat pentru Q Magazine de ce nu trebuie să ne temem de ea. În antiteză, Bogdan Manolea, director executiv al Asociației pentru Tehnologie și Internet, a subliniat într-o analiză care poate fi citită aici abuzurile pe care această lege le permite.

• Ficțiunea sancțiunilor: Europa continuă să cumpere gaz rusesc
• Inflație fără precedent de interviuri ale judecătorilor CCR. Oare ce îi sperie?
• Ilie Bolojan pune presiune pe români. Guvernul a adoptat o nouă măsură menită să-i facă de râs public
• Procurorul Emilian Eva încearcă să scape de condamnarea pentru luare de mită
• Criză de personal în construcții și instalații

DEZINFORMAREA PRODUCE URA DINTRE OAMENI

De ce, după dezbaterile publice de la minister, s-a introdus o nouă extindere a domeniului securității naționale la campanii de propagandă sau dezinformare?

În primul rând, menționez că amenințarea trebuie să fie în spațiul cibernetic și să afecteze ordinea constituțională a României. Aceste două precizări sunt importante și reprezintă, de fapt chintesența amenințării.

În al doilea rând, am plecat de la niște realități care au marcat lumea occidentală și de care România nu este străină. Punctez doar câteva:

Campaniile de dezinformare și propagandă ale Federației Ruse care au influențat alegerile prezidențiale din Statele Unite ale Americii, aspecte recunoscute de conducerea principalelor rețele sociale cu prilejul audierilor parlamentare din Congresul Statelor Unite ale Americii.

Totuși, interacțiunea dintre campania lui Donald Trump și Rusia nu a fost dovedită, deși a existat inclusiv o comisie de anchetă care să investigheze presupusele colaborări dintre cele două părți!

Campania de dezinformare și operațiuni de influență a Chinei pe canalele de social media privind obiectivul său strategic de a recupera Taiwan pe un modus operandi similar cu cel din cazul Hong Kong.

V-aș reaminti că în 1842, Marea Britanie a obținut de la împăratul Chinei controlul Hong Kong-ului, pentru a construi un port comercial, care  a fost concesionat apoi, pentru 99 de ani, de la statul chinez. Vă amintiți că în 1997 teritoriul a fost retrocedat guvernului de la Pekin într-o ceremonie emoționantă, însă nici Marea Britanie și nici China nu au făcut altceva decât să respecte propriile lor condiții puse într-un acord. N-a dezinformat nimeni pe nimeni.

Campania de dezinformare și operațiuni de influență a Federației Ruse pe canalele de social media după începerea războiului din Ucraina având ca obiectiv slăbirea suportului moral al societăților din blocul euroatlantic privind Ucraina, având ca efect presiunea publică asupra clasei politice de a lua decizii favorabile Rusiei în acest conflict.

V-am dat toate aceste exemple pentru a încerca să descriu valoarea supremă pe care acest nou tip de amenințare o apără – ordinea constituțională. În toate exemplele mele, actori statali sau nestatali au încercat să afecteze suveranitatea unui alt stat, să schimbe o ordine juridică, să-i facă pe oameni din același popor să se urască și să se lupte între ei. Toate acestea nu s-au mai făcut cu arme, cu soldați în tanc, ci cu o armată cibernetică compusă din aplicații de analizat tendințe, conturi false, roboți virtuali care răspundeau cu anumite tipare pe paginile de socializare sau informații false amestecate printre poze cu pisici și copii, care atrăgeau și convingeau oamenii de un anumit lucru.

Actori statali sau nestatali au încercat să afecteze suveranitatea unui alt stat, să schimbe o ordine juridică, să-i facă pe oameni din același popor să se urască și să se lupte între ei.

În al treilea rând, suntem singura țară din Europa și alianța nord-atlantică care nu a luat nicio măsură împotriva propagandei și a dezinformării.

Franța, care are un sistem de drept similar cu al nostru, a înființat chiar o agenție de apărare informațională, sub egida Secretariatului de apărare și securitate națională (SGDSN), numită Viginum, care combate propaganda și dezinformarea.

Realitatea virtuală este noua realitate socială, politică, economică. Este important să nu permitem ca realitatea virtuală să fie manipulată de state și oameni care vor răul României și al românilor, care vor să ne dezbine, care vor să ne ducă în fix punctul opus dezvoltării noastre ca națiune.

Ce rol trebuie să aibă SRI în aceste campanii?

Eu sunt ministrul Cercetării, Inovării și Digitalizării, deci nu cred că este apanajul meu să spun ce ar trebui sau nu să facă o altă instituție, cu atât mai puțin un serviciu de informații.

Totuși, ca observație generală valabilă, cred că nu doar SRI, ci probabil toate instituțiile cu atribuții în domeniul securității naționale, respectiv Serviciul de Informații Externe, Serviciul de Protecție și Pază, Direcția Generală de Protecție Internă a MAI și Direcția Generală de Informații a Apărării a MAPN, ar trebui să aibă un rol bine reglementat legislativ în prevenirea și combaterea acestor campanii de propagandă în spațiul cibernetic care afectează ordinea constituțională. Ceea ce cred că ne lipsește sunt norme legislative adaptate realității  zilelor noastre, care să dea instituțiilor statului posibilitatea de a face sau a nu face ceva.

SRI UL ESTE FOARTE CONTROLAT

Cine poate verifica sau controla SRI-ul cu adevărat?

Clivajul libertate-securitate este o dezbatere care a acaparat spațiul public ani de zile, dar cred că un control bun al serviciilor de informații poate fi reglementat doar prin legi clare, predictibile și previzibile. Până acum, faptul că țara noastră este o țară sigură, cel puțin sentimentul de securitate în România fiind mult mai ridicat decât în multe alte state, nu trebuie subapreciat.

Cu toate acestea, România are unul dintre cele mai complexe sisteme de control civil și, cu permisiunea dumneavoastră, le-aș enumera succint.

După cum am subliniat, cea mai puternică formă de control este cea judecătorească. Față de alte state unde mandatele de securitate națională se pot lua chiar și de la tribunale, în România se pot obține numai de la Înalta Curte de Casație și Justiție, și numai după ce trece de filtrul de legalitate și temeinicie al procurorului general (el făcând, de fapt, solicitarea la ICCJ).

Până de curând, când a fost declarat neconstituțională în ansamblu toată legea, ICCJ mai verifica anual și modalitatea în care SRI pune în executare ascultările prin Centrul Național de Interceptare a Comunicațiilor. Era un control judecătoresc suplimentar, peste cel făcut pe fiecare mandat de SN (n.r. siguranță națională) în parte.

Mai există un control judiciar penal, în care procurorii trebuie să verifice periodic dacă ofițerii de informații nu desfășoară ilegal activitatea de informații. Pedeapsa e până la 7 ani de închisoare și se pedepsește inclusiv tentativa (Legea 14/1992, art. 26).

Ofițerii SRI sunt militari, deci pe ei îi urmărește penal parchetul militar, ceea ce înseamnă că se bucură de o urmărire penală mai riguroasă, specifică regimului militarilor.

Cel mai important control este cel parlamentar, exercitat prin comisia permanentă comună de control a activității SRI. Față de alte țări, în care controlul parlamentar se face de comisia de apărare, în România, controlul parlamentar este asigurat de o comisie specială, cu reprezentanți din toate partidele. Tot față de alte țări, în care deputaților le este restrânsă activitatea de control, în România, ea este absolută. Adică ei pot verifica orice în cadrul SRI, oricând și oricum. Au cel mai înalt acces la informații clasificate, pot și trebuie să verifice orice suspiciune de abuz sau de activitate care ar fi în defavoarea României.

Sigur, mereu se vorbește despre calitatea profesională slabă a celor care sunt într-o astfel de comisie!

Nimic nu oprește partidele să-i propună pe cei mai buni.

Un alt control important este cel al Curții de Conturi, care are obligația verificării modului în care SRI execută bugetul de stat, fondurile obținute din venituri proprii și chiar fondurile operative.

Un ultim control, foarte important și el, este cel în cadrul CSAT, care coordonează activitatea SRI. Din CSAT fac parte peste 70% reprezentanții Guvernului și ai Președintelui, reprezentanți care sunt civili (miniștri, președintele României).

În concluzie, în România avem cel puțin 6 forme de control asupra SRI, fără să mai punem la socoteală și controalele efectuate de diversele agenții guvernamentale, la fel cum controlează toate instituțiile publice (ITM, Garda de Mediu, ISU, ANSVSA etc).

Cred că ține de fiecare dintre acești actori, adică de oamenii care lucrează în toate aceste instituții, să-și facă treaba în activitatea de control asupra activității SRI. Cred că avem mecanismul constituțional și legal perfect de control, însă oricât de bună am face o lege nouă, aceasta va trebui pusă în aplicare tot de oameni. Aceiași oameni au și azi dreptul și obligația să se asigure că SRI și orice alt serviciu de informații apără România și pe români, în matca lor constituțională.

CE ESTE PROPAGANDA

Ce este de fapt propaganda (pro vaccin, antivaccin, pro-unire cu Republica Moldova, anti unire)?

Noțiunea de propagandă are deja consacrare legislativă în art. 405 C. pen. privind propaganda pentru război. Aceasta  are o firească şi necesară dimensiune publică, propaganda fiind prin esenţa sa destinată a atinge mase mari de oameni, a influenţa comportamentul acestora, a genera reacţii puternice, a modifica sau crea tendinţe la nivel social, credinţe, opinii. Reamintesc că, în cazul discuției noastre, aceasta trebuie să fie realizată prin spațiul cibernetic și să afecteze ordinea constituțională. Aceste condiții trebuie îndeplinite cumulativ pentru a fi calificată drept amenințare la adresa securității naționale, iar această calificare o stabilește, în final, judecătorul ICCJ care emite mandatul.

Noțiunea de propagandă o regăsim și în art. 1 al Rezoluţiei Adunării Generale a O.N.U. nr. 3314 din 14 decembrie 1974.

De asemenea, noțiunea de propagandă cunoaște și o definiție legală, reglementată prin Legea nr. 535/2004 privind prevenirea şi combaterea terorismului, cu modificările și completările ulterioare, lege care face obiectul de interes al securității naționale. Astfel, la art. 4, pct. 9 din Lege, prin propagandă se înțelege „răspândirea în mod sistematic sau apologia unor idei, concepţii ori doctrine, cu intenţia de a convinge şi de a atrage noi adepţi”.

Protejarea normelor de rang constituțional de acte care constituie propagandă este deja consacrată în Legea partidelor politice nr. 14/2003, cu modificările și completările ulterioare, care, la art. 3 alin. (2), interzice absolut „partidele politice care, prin statutul, programele, propaganda de idei ori prin alte activităţi pe care le organizează, încalcă prevederile art. 30 alin. (7), art. 40 alin. (2) sau (4) din Constituţia României, republicată.” Sancțiunea care intervine în cazul constatării actelor de propagandă este dizolvarea partidului politic.

Ceea ce am vrut să demonstrez cu aceste exemple este că noțiunea există deja în legislația românească, este aplicată și produce efecte în diverse ramuri de mult timp. Astfel, nu se poate spune că am inventat un concept nou sau să nu cunoaștem limitele lui, cu atât mai mult cu cât este cenzurat de un judecător de la Înalta Curte de Casație și Justiție.

DESPRE AMENZI

De ce în proiectul de lege supus dezbaterii publice nu era nicio sancțiune? Iar apoi, când a fost înaintat către Parlament, a apărut un capitol cu amenzi de până la 10% din cifra de afaceri?

Orice normă juridică trebuie să aibă ipoteză, dispoziție și sancțiune. Este ceea ce ne-au semnalat atât Ministerul Justiției, cât și celelalte instituții avizatoare. Noi, în forma inițială, am gândit norma ca atrăgând cel mult o sancțiune disciplinară administrativă a persoanei responsabile de comunicarea incidentelor de securitate cibernetică din partea entității vizate.

Ulterior, am preluat modelul sancționat existent în ordonanța de urgență ce reglementează activitatea Directoratului Național de Securitate Cibernetică, care este și autoritate de control și reglementare.

De ce ați preluat acel model?

Pentru că este domeniul cel mai apropiat de reglementare cu ceea ce am făcut noi. În concret, era vorba despre sancționarea entităților care nu notifică incidentele de securitate prin Platforma Națională de Răspuns la Incidente de Securitate Cibernetică, precum și sancționarea celor care nu comunică, la solicitarea motivată, anumite amenințări, riscuri sau vulnerabilități privind atacurile cibernetice.

În perioada avizării și a dezbaterii parlamentare am reavut o discuție  cu  industria ITC și, pe baza modelelor de drept comparat, am redus cuantumul amenzii și am dilatat termenele de răspuns/ notificare. Astfel, putem spune, că actuala formă de reglementări corespunde voinței reprezentanților industriei ITC.

De ce nu este definit în lege termenul de „persoane care furnizează servicii publice sau de interes public”?

Răspunsul este foarte simplu, pentru a nu face paralelism legislativ. Acești termeni sunt deja definiți în Codul administrativ și în legi speciale care reglementează activitatea unor, spre exemplu, operatori de transport public, apă-canalizare, termoficare.

De ce toți aceștia sunt vizați de lege?

Deoarece infrastructurile lor informatice, odată atacate, indisponibilizează buna funcționare a serviciilor publice și a administrației. Gândiți-vă ce s-ar întâmpla dacă centrala de la Cernavodă sau Porțile de Fier este atacată cibernetic, sau dacă rețeaua informatică a unui operator de transport public care are o flotă de autobuze SMART ar fi atacată. Vorbim de blocarea unor servicii esențiale până la distrugerea de bunuri și vieți omenești.

Așadar, vă puteți deja forma o convingere că această lege nu este deloc despre controlul statului asupra oamenilor, ci despre colaborare loială, despre ceea ce numim „igienă cibernetică”, adică un comportament responsabil și coordonat de prevenire a atacurilor cibernetice care ne pot face mult rău.

De ce categoriile clar definite în directivele NIS 1 și NIS 2 cu obligații pe cybersecurity nu sunt suficiente, ci ar trebui să fie lărgite la niște categorii pe care nimeni nu le poate astăzi identifica?

Din capul locului trebui precizat că NIS1 și NIS 2 sunt directive, nu regulamente, astfel că scopul directivei este obligatoriu pentru statele membre. Transpunerea este atributul exclusiv al statului și fiecare creează o legislație specifică nevoilor naționale.

NIS1 și NIS2 îți spun să protejezi rețelele și sistemele informatice ale statului și ale serviciilor esențiale, ceea ce noi am și făcut.

Dar, pe lângă ceea ce reglementează NIS1 și NIS2, această lege reglementează și domeniul cyberintelligence, combaterea APT-urilor (n.r. Advanced Persisten Threat, amenințări avansate persistente) completarea amenințărilor la adresa securității naționale, apărarea cibernetică, concept strategic NATO, de care se ocupă MAPN, precum și elemente de noutate în relațiile internaționale precum diplomația cibernetică, cooperarea între state pentru utilizarea pașnică a mediului virtual.

Aici, România se poate mândri că este printre primele țări din lume, dacă nu chiar prima, care și-a reglementat la nivel de lege conceptul de diplomație cibernetică, implicând activ MAE în coordonarea demersurilor naționale de cooperare cu organizații internaționale și state în acest domeniu de nișă.

Referitor la identificarea tipurilor de rețele și sisteme informatice protejate de lege, aceasta e foarte simplă, pentru că vizează autorități și instituții publice din domeniul apărării, ordinii publice, securității naționale, justiției, situațiilor de urgență, Oficiului Registrului Național al Informațiilor Secrete de Stat; persoanele fizice și juridice de drept privat deținătoare de rețele și sistemele informatice și utilizate în vederea furnizării de servicii de comunicații electronice către autoritățile și instituțiile administrației publice centrale și locale; autorități și instituții ale administrației publice centrale și locale, precum și persoane fizice și juridice care desfășoară activități de cercetare, dezvoltare, inovare și producție industrială, activități de cercetare științifică sau furnizează servicii publice ori de interes public. Legea vine cu o garanție suplimentară și prevede că ele se individualizează nominal printr-o hotărâre de Guvern.  Această lege reglementează și domeniul cyberintelligence, combaterea APT, completarea amenințărilor la adresa securității naționale, apărarea cibernetică, concept strategic NATO, de care se ocupă MAPN, precum și elemente de noutate în relațiile internaționale precum diplomația cibernetică.

De ce Hotărâre de guvern și nu lege?

Pentru că apar și dispar instituții publice, la fel cum apar și dispar servicii publice și operatori care le prestează. De aceea, rigoarea normativă impune să le individualizăm prin hotărâre de guvern, dar respectând cu strictețe limitele legii. Mai mult, este mai facil pentru justițiabil  să se adreseze instanței de contencios administrativ pentru anularea unei hotărâri de guvern, decât să se adreseze Curții Constituționale pentru declararea ca fiind neconstituțională a unei listări de entități care să fie anexă la lege, adresarea către Curtea Constituțională putându-se realiza doar indirect, prin intermediul unui proces la instanța de drept comun.

În concluzie, am gândit toate elementele care să definească clar subiectele vizate de lege și să asigure proporționalitate între obiectivele țării de a asigura securitatea cibernetică a cetățenilor și instituțiilor și posibilitățile reale ale instituțiilor de a se adapta la noul cadru normativ.

Totul pare perfect. Așadar să ne bucurăm că de acum înainte, prin această lege, vom fi mai securizați! Vă mulțumesc.