Proiectul de lege care interzice autorităților și instituțiilor publice, de la nivel central și local, achiziționarea de produse și servicii de tip antivirus de la entități provenind din Federația Rusă sau aflate sub controlul Federației Ruse va fi aplicat tuturor rețelelor și sistemelor informatice care gestionează informații clasificate, deținute atât de persoane juridice de drept public, cât și de drept privat, potrivit unui amendament adoptat prin vot final de Parlament. Amendamentul a fost propus chiar de ministrul Cercetării, Inovării și Digitalizării, Sebastian Burduja, în calitate de deputat și, conform ințiatorului, are în vedere rețele și sisteme informatice din domeniul securității industriale.
23 aprilie - Profit News TV - Maratonul de Educație Financiară. Parteneri: 123 Credit, ARB, BCR, BRD, CEC Bank, PAID, UNSAR, XTB
25 aprilie - MedikaTV - Maratonul Sănătatea Digestiei
27 mai - Eveniment Profit.ro Real Estate (ediţia a IV-a) - Piața imobiliară românească sub aspectul crizei occidentale
De ce este important: În contextul războiului de agresiune asupra Ucrainei, tot mai multe state membre ale Uniunii Europene au emis recomandări sau acte normative cu caracter imperativ, prin care au impus propriilor autorități și instituții publice să schimbe soluțiile antivirus dacă folosesc anumite soluții, deoarece există riscul ca Rusia să exploateze aceste soft-uri într-un atac cibemetic. Prin urmare, și Guvernul României a adoptat, în septembrie, un proiect de lege care interzice administrației centrale și locale achiziționarea de produse și servicii de tip antivirus de la entități provenind din Federația Rusă sau aflate sub controlul Federației Ruse.
Cum proiectul de lege impune un regim de restrăngere a exercițiului unor drepturi și libertăți fundamentale pentru rațiuni de securitate națională, soluția legislativă trebuie adoptată numai prin lege, astfel că după ce a fost aprobat de Guvern, proiectul a fost tansmis pentru adoptare Parlamentului.
Proiectul a trecut fără modificări de Senat la finele lunii septembrie, dar recent la Camera Deputaților, care are votul final asupra prevederilor, ministrul Burduja a impus în comisii modificarea legii.
Astfel, amendamentul adoptat stabilește că noua lege se va aplica ”tuturor rețelelor și sistemelor informatice care gestionează informații clasificate, deținute de persoane juridice de drept public și privat aflate pe teritoriul României”, cu excepția celor deținute de autoritățile și instituțiile cu atribuţii proprii în domeniul securităţii naţionale, în domeniul securităţii cibernetice, apărării naţionale şi ordinii publice.
Autoritățile au susținut că entitățile din urmă pot achiziționa astfel de software în scopuri de cercetare și prevenire a eventualelor riscuri ridicate de produsele resepective.
”În concret, avem în vedere acele rețele și sisteme informatice ale posesorilor de autorizații de securitate industrială, aviz de securitate industrială sau certificat de securitate industrială care pot fi persoane juridice de drept privat și care, deși îndeplinesc condițiile de acces și autorizare prevăzute de HG nr, 585/2002, dețin licențe de antiviruși rusești. Din punctul de vedere al criteriilor de protecție a surselor generatoare de informații INFOSEC, aceștia îndeplinesc condițiile prevăzute de Legea nr, 182/2002 și HG nr. 585/2002 (ambele fiind legislații vechi), deoarece ele nu prevăd ca protecția cibernetică să se realizeze cu un anumit tip de operator. Cu toate acestea, există o vulnerabilizare a persoanelor juridice de drept privat care vehiculează informații clasificate în virtutea HG nr. 585/2002 și care, în prezent, nu pot fi oprite să-și apere rețelele și sistemele informatice cu softuri de antivirus din Federația Rusă. De aceea, acest amendament are menirea de a conferi o protecție completă și corectă a informațiilor clasificate, inclusiv a celor vehiculate de persoane juridice de drept privat prin intermediul INFOSEC”, explică ministrul Burduja.
Administrația din România cumpără Kaspersky pe baza prețurilor mici
Guvernul prezintă ca exemplu în România, citând însă surse din presă, faptul că Primăria București ar fi organizat o licitație pentru achiziționarea unui antivirus Kaspersky Endpoint Security For Business Select pentru 1.200 de echipamente, cu mentenanță inclusă 12 luni. Biroul de Presă al instituției primarului general a transmis că Primăria Capitalei folosește antivirusul Kaspersky din anul 2012.
Foarte multe instituții publice și autorități ale administrației publice locale achiziționează programe software de antivirus rusești din cauza prețurilor mici, arată Guvernul, care susține că acestea sunt însă o vulnerabilitate.
”Prezența software-urilor rusești de tip antivirus reprezintă o vulnerabilitate la adresa securității cibernetice autorităților și instituțiilor românești, din cauză că aceste programe acaparează funcții importante ale rețelelor și sistemelor informatice, creând relații de interdependență. În contextul în care Federația Rusă utilizează inclusiv atacuri de tip cibemetic la adresa statelor occidentale și își folosește companiile naționale și cetățenii ruși, prin diverse metode, în războiul asupra Ucrainei, încălcând toate normele de drept internațional în materie, România nu poate să-și asume prezența unor produse și servicii IT rusești în infrastructuia cibernetică națională”, consideră Executivul.
Prevederile proiectului
Prin urmare, proiectul de lege interzice autorităților și instituțiilor publice dc la nivel central și local să achiziționeze și să utilizeze produse și servicii privind securitatea dispozitivului (securitatea punctului final), aplicații și programe software de detecție antivirus, anti-malware, firewall pentru aplicații web (Web Application Firewall), rețele virtuale private (Virtual Private Network), precun și sisteme de detecție și răspuns pentru endpointuri (Endpoint Detection Response) provenind din Federația Rusă sau aflată sub controlul direct sau indirect al unei persoane fizice sau juridice din Federația Rusă.
În 60 de zile de la data intrării în vigoare a legii, toate produsele și serviciile de tipul celor prevăzute mai sus vor fi deconectate, respectiv dezinstalate de la rețelele și sistemele informatice ale autorităților și instituțiilor publice de la nivel central și local.
Deconectarea, respectiv dezinstalarea se va face chiar de către autoritățile și instituțiile publice centrale și locale care au instalate pe rețelele și sistemele lor informatice astfel de programe.
Deconectarea, respectiv dezinstalarea se va realiza cu sprijinul Ministeiului Cercetării, Inovării și Digitalizării, Autorității pentru Digitalizarea României, Directoratului Național de Securitate Cibernetică, Serviciului Român de Informații și Serviciului de Telecomunicații Speciale.
Interdicția prevăzută este însă una temporară, aplicăndu-se până la data de 31 decembrie 2026, dar Guvernul arată că proiectul produce efecte strict pe întreaga durată a invaziei declanșată de Federația Rusă împotriva Ucrainei, până la data semnării unui tratat de pace sau a unui acord permanent de armistițiu care să consfințească integritatea teritorială a Ucrainei, reparații pentru prejudiciile suferite de țara invadată, precum și cooperarea Federației Ruse cu organismele naționale și internaționale competente pentru pedepsirea persoanelor care se fac vinovate de crime de război sau crime împotriva umanității.
Pentru nerespectarea de către autoritățile și instituțiile publice a noilor prevederi se instituie contravenție și se sancționează cu amendă de la 50.000 și 200.000 lei.
Prevederile noii legi nu se vor aplica autorităților publice cu atribuții în domeniul securității naționale, apărării naționale și ordinii publice, deoarece acestea au propriile reguli de protecție a securității cibernetice, congruente fiind cu regimul juridic de protecție al informațiilor clasificate. De asemenea, unele dintre aceste autorități, în exercitarea activității lor de culegere de informații și intelligence, pot folosi, în scopul exercitării atribuțiilor, unele dintre astfel de programe.
