​Ministerul Apărării a confirmat oficial pentru HotNews.ro că numele uitat în metadatele proiectului de lege privind securitatea și apărarea cibernetică este al generalului care conduce Apărarea Cibernetică a Armatei. Asociația pentru Tehnologie și Internet (APTI) subliniază că acest caz arată că meta-datele sunt date personale prin care pot fi identificate persoanele.

Securitate ciberneticăFoto: Michael Borgers / Dreamstime.com

Cum explică MApN de ce a rămas numele Apărării Cibernetice a Armatei în metadatele proiectului de lege

Ministerul Apărării Naționale (MApN) a confirmat oficial informațiile HotNews.ro care a arătat în exclusivitate că generalul din MAPN care a coordonat proiectul de lege privind securitatea și apărarea cibernetică și-a uitat numele pe document.

Iată explicațiile MApN:

• „Generalul de brigadă inginer Gheorghe Iordache este comandantul Comandamentului Apărării Cibernetice din cadrul Ministerului Apărării Naționale.
• Numele său apare încă în metadatele proiectului de lege privind securitatea și apărarea cibernetică a României deoarece, în perioada 2020 – 2022, a coordonat grupul de lucru interinstituțional responsabil de elaborarea proiectului în discuție.
• Proiectul de lege propus are menirea de a clarifica limitele de responsabilitate, rolul și atribuțiile corespunzătoare apărării cibernetice, astfel încât să se asigure corelarea cu legislația națională în domeniul apărării și tratatele internaționale, care stabilesc obligații și răspunderi statelor și, subsecvent, forțelor armate.”, a precizat MApN.

În privința prevederilor proiectului de lege, MApN susține într-un comunicat din 11 noiembrie că nu i-ar fi conferite atribuții în afara domeniului de responsabilitate, ci doar instrumente specifice prin care își îndeplinește responsabilitățile pe care le are în noul domeniu operațional.

• „Astfel, putem compara apărarea spațiului cibernetic cu situația existentă în ceea ce privește spațiul aerian, în care majoritatea covârșitoare a utilizării revine aeronavelor civile, iar apărarea spațiului aerian revine în responsabilitatea MApN.
• De asemenea, deși traficul maritim de mărfuri și persoane este preponderent aferent marinei comerciale, care are propriile instituții și mecanisme de asigurare a siguranței în navigație, totuși apărarea spațiului maritim național și garantarea libertății de navigație este prerogativul Forțelor Navale din cadrul MApN, care planifică și organizează operații militare în spațiul maritim sau fluvial național, dezvoltă capabilități de apărare, ceea ce nu lezează desfășurarea liberă a activităților în domeniul maritim.”, susține MApN.

De ce nu este normal ca numele generalului MAPN să apară pe un proiect de lege inițat de alt minister

HotNews.ro a semnalat în exclusivitate că numele generalului MAPN a rămas în metadatele proiectului de lege însușit și scos în dezbatere publică de Ministerul Digitalizării, condus de Sebastian Burduja.

Ca autor apare un anume Iordache Gheorghe, care nu se regăsește printre angajații Ministerului Digitalizării în acest an.

În schimb, un domn numit Iordache Gheorghe, general de brigadă conduce Comandamentul Apărării Cibernetice din MAPN.

Pus în fața acestor informații, Ministerul Digitalizării a admis că a preluat proiectul de lege de la MApN și că în prima versiune a proiectului de lege, anterior preluării de către MCID, acesta a fost elaborat de către un grup de lucru format din toate autoritățile care sunt în prezent avizatoare ale proiectului de lege, coordonat de către MApN.

APTI: Articolul HotNews.ro a arătat că meta-datele conțin datele personale

Tot în legătură cu acest subiect, Asociația pentru Tehnologie și Internet (APTI), condusă de Bogdan Manolea, jurist specializat în legislația internetului, arată că articolul HotNews.ro a demonstrat tocmai faptul că meta-datele sunt date personale, care pot conduce la identificarea persoanelor, un aspect care nu este recunoscut în actualul proiect de lege.

Într-un text mai lung, în care răspunde unui punct de vedere al Ministerului Digitalizării, APTI susține că este greșit ca metadatele să NU fie considerate date personale:

„MCID susține:

• „Comunicarea incidentelor, amenințărilor, riscurilor sau vulnerabilităților de securitate cibernetică nu presupune transferul de date de conținut și, sub nicio formă, nu presupune transferul de date cu caracter personal. Aceasta presupune exclusiv seturi de date tehnice (metadate), aflate în legătură cu modalitatea de funcționare a sistemelor și rețelelor informatice protejate.” si “PNRISC nu va conține date de conținut sau date personale, ci doar date tehnice, care privesc funcționarea sistemelor și rețelelor informatice”

Am marcat cu bold textul pe care ApTI îl găsește ca fiind cel mai îngrijorător. Acest răspuns comite două erori grave:

• Consideră că metadatele si datele tehnice nu pot fi folosite pentru a identifica direct persoane și a deduce informații personale despre acestea.
• Consideră că este posibil să raportezi incidente de securitate sau vulnerabilitățile de securitate ale unor entități fără să raportezi date cu caracter personal despre aceste entități.

În primul rând faptul că meta-datele conțin datele personale v-a fost demonstrat practic de articolul recent din Hotnews.ro chiar despre acest proiect, pe care – apropo – ar fi trebuit sa le anonimizați;

Dar aceast fapt este consfințit nu doar de toate deciziile CJUE are au avut ca subiect păstrarea datelor de trafic (C-623/1, C-511/18, C-512/18, C-520/18, C‑293/12 și C‑594/12, C-203/15 și C-698/15), CEDO ( vezi Benedik v. Slovenia, 2016 , Centrum förrättvisa v. Sweden (2021) sau (Big Brother Watch and Others v. the United Kingdom) dar și de Regulamentul UE 679/2016 în art 4 pct 1 și mai clar explicitat în considerentul 30.

• “Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio.”

• În practică, orice dată tehnică cum ar putea fi adresă IP, adresă MAC, IMEI, IMSI, Android ID, Apple ID, GUID, orice identificator unic de dispozitiv creat de o aplicație, cale fișier, cale director, URL, Hostname, etc. va trebui tratată ca dată cu caracter personal.”, scrie vineri Asociația pentru Tehnologie și Internet (APTI).

APTI: Datele despre vulnerabilitățile de securitate pe care le prezintă o entitate pot fi folosite pentru a amenința, a compromite sau a monitoriza acea entitate

Proiectul de lege în domeniul securității informatice se aplică oricărei rețele sau sistem informatic care “furnizează servicii publice ori de interes public”.

• „Spectrul este atât de larg, încât ne putem aștepta ca autoritățile descrise la Articolul 10 să aibe acces la informații despre starea de securitate a oricărui site, oricărei aplicații web, operate de persoane fizice.
• Site-urile de media, care publică știri și investigații, vor trebui să raporteze starea de securitate a website-urilor chiar autorităților despre care publică material, și care au încercat deja să compromită și să intimideze presa. Unele dintre redacțiile de investigație din România operează platforme pentru avertizorii de integritate – cum sunt platformele de Global Leaks și Secure Drop. Autoritățile române ar putea avea, deci, acces direct la informații despre infrastructura de avertizare, în contextul în care însuși președintele României, Klaus Iohannis, a amenințat avertizorii de integritate, care au făcut publică exact acest proiect de lege (ce ironic!) încă de acum 6 luni.
• Acest exemplu este cu atât mai înfricoșător cu cât Uniunea Europeană este în plin scandal spyware, după cum a relatat recent publicația de investigație Context.ro. Conform jurnaliștilor, Ministerul Afacerilor Externe din România a refuzat să spună dacă instituțiile din România au cumparat sau utilizat software de spionaj. Mai mult, raportorul comisiei PEGA (din Comisia Europeană) a declarat pentru Context.ro că softuri precum PEGASUS au fost utilizate la o scară largă în UE. “Nu avem toate datele pentru că nu le-am primit de la statele membre, dar putem să spunem cu siguranță că sunt folosite în toate țările UE”, a declarat Sophie in ‘t Veld.”, susține APTI.

Asociația dă și un exemplu ipotetic:

• „Un cabinet de avocatură angajează un furnizor de servicii de securitate cibernetica. În mod normal avocații care lucrează acolo vor discuta cu aceștia despre dispozitivele lor, conturile lor de social media, politica de parole pe care o folosesc și metodele de comunicare prin care țin legătura cu clienții pe care-i reprezintă.
• Conform proiectului actual, după această sesiune de consultanță, orice (!) agenție guvernamentală dintre cele numite în proiectul de lege la Art 10 pe baza unei simple “scrisori motivate” poate cere furnizorului să raporteze incidentele, riscurile de securitate sau vulnerabilitățile pe care le-au depistat la cabinetul de avocatură.
• Să presupunem că firma raportează că unul dintre avocați a spus, în timpul sesiunii de consultanță, că are o singură parolă pentru toate conturile sale online. Mai mult, folosește o adresă de e-mail Yahoo! pentru a ține legătura cu clienții săi. (ambele sunt riscuri de securitate) Aceste două informații – fără a conține numele avocatului sau orice altă informație tehnică – sunt suficiente pentru a compromite dispozitivele acestuia, pentru că serverele Yahoo! au fost compromise în mai multe rânduri, iar datele clienților, inclusiv parolele lor, în clar, sunt disponibile online, în baze de date.”, spune Asociația.

APTI: Securitizarea/Militarizarea Internetului – Internetul NU este ca “teritoriul maritim național” sau “spațiul aerian național”

Asociația mai amintește că „în ciuda deciziei CCR 17/2015 și a unei alte legi prăbușite între timp în 2016, în ciuda faptului ca aveam milioane de români online și 4 miliarde la nivel mondial aceiași marotă se plimbă în fața noastră:

Dacă nu includem toate infrastructurile cibernetice (inclusiv pe cele private) în “apărarea cibernetică”, în atribuțiile MApN și SRI, ba chiar și STS, statul român nu mai poate să asigure securitatea informatică.

Nu există “spațiul virtual românesc”, deci paralelismul cu “teritoriul maritim național” sau “spațiul aerian național” este în cel mai bun caz o exagerare. Internetul este internațional și ubicuu. Exista doar persoane fizice și juridice românești care activează pe Internet și cărora o să li se aplice legislația românească.

În niciun act normativ internațional nu se insistă pe reglementarea infrastructurii cibernetice de către instituții militare sau de servicii secrete.”, susține APTI.

Sursa foto: Dreamstime.com