Kaspersky, interzis în instituțiile publice din România?

Proiectul vrea să interzică instituțiilor de stat să achiziționeze produse și servicii de tip antivirus de la companii din Federația Rusă sau aflate sub controlul Moscovei.

În expunerea de motive se arată că “prezența soluțiilor software rusești de tip antivirus poate reprezenta o vulnerabilitate la adresa securității cibernetice a României. Asta în contextul în care Federația Rusă utilizează inclusiv atacuri cibernetice la adresa statelor occidentale și își folosește companiile naționale și cetățenii ruși, prin diverse metode, în războiul împotriva Ucrainei, încălcând toate normele de drept internațional în materie.

În document este menționată compania Kaspersky.

Proiectul are destule neclarități și ridică semne de întrebare, comentează la RFI Bogdan Manolea  de la  Asociatia pentru Tehnologie si Internet.

Legea ar trebui să stabilească un principiu general valabil pentru situațiile în care vrem să aplicăm această regulă, mai explică Manolea.

Bogdan Manolea: În primul rând, proiectul de lege urmează un trend, o direcție care a apărut și în alte state europene care au început să limiteze diverse aplicații și soluții software care sunt furnizate de diverse firme din Rusia pe teritoriul Uniunii Europene.

Din punctul ăsta de vedere nu ar fi neapărat ceva nou. În schimb, partea care cred că ar trebui să fie discutată mai profund, iar același lucru l-am spus și în contextul discuțiilor cu privire la securitatea rețelelor 5G, este că ar trebui să fie un cadru normativ general care să se aplice pentru toate categoriile de produse și servicii software din zona critică.

Ar putea să fie astfel de măsuri necesare, dar ele trebuie să fie foarte clare pentru toată lumea. Vorbim de la autorități publice, care fac asemenea licitații, până la potențiale firme care ar putea să fie interesate să vândă soluțiile respective în România.

Reporter: Ca să fiu sigură că înțeleg. Dumneavoastră spuneți că nu contează țara de unde vin, ci riscul?

BM: Ceea ce zic eu este că nu este relevant să nominalizăm o firmă sau două. Ar trebui să ai un criteriu generic care să se aplice, de genul firmă care vine din Rusia și care se oferă pentru tipul de servicii a, b, c, d. Dar în același timp problema care se pune și care s-a pus și pentru rețeaua 5G este referitoare la care sunt țările respective, care sunt țările de unde nu vrem să avem astfel de software-uri. Pentru 5G s-a găsit țapul ispășitor China, venind și pe filiera unui memorandum of understanding cu Statele Unite. Acum apare Rusia. În viitor s-ar putea să apară Belarus.

Mi se pare că în loc să încercăm să rezolvăm problema la nivel generic mergem punctual atunci când apare o îngrijorare, ceea ce nu e neapărat cea mai bună metodă.

Ar trebui să fie o discuție în cadrul Guvernului României referitor la care sunt criteriile pe care un astfel de furnizor trebuie să le îndeplinească pentru a folosi anumite servicii software.

Și nu neapărat să vorbim despre o firmă sau alta și doar despre un stat sau altul. Trebuie să definim parametrii în care poți să definești aceste state ca nefiind de încredere și neputând asigura securitatea sistemelor puse la dispoziție.

Pe de altă parte, s-ar putea să fie nevoie și să se facă o verificare de la caz la caz.  În cazul rețelelor 5G s-a mers pe ideea că firmware-urile respective trebuie să primească un aviz de la CSAT. În cazul de acum acel aviz nu mai există.

Nu mai există acest sistem. Practic, orice firmă din Rusia ar trebui interzisă. Cred că trebuie mai multă consecvență și un principiu care să fie aplicat pentru toată lumea.

Rep: Ministrul digitalizării spune că proiectul acesta vine într-un context în care țările Uniunii Europene, Statele Unite au inițiat măsuri similare. E suficient să aplici și tu? Presupun că țările astea au lucrurile mult mai clar stabilite când iau niște măsuri de genul acesta.

BM: Nu neapărat, dar nu numai în Statele Unite, ci și în Germania, în Italia se discută. Nu e vorba doar de un stat sau altul. Înțeleg nevoie și înțeleg dorința de a-ți face un astfel de proiect de lege, doar că mi se pare că este o chestie prea punctuală în loc să vedem problema generală și în loc să ne acoperim și în viitor pentru soiul acesta de probleme.

Mai bine ne-am gândi la un sistem care poate fi aplicat în viitor și pentru alte tipologii de firme sau de state, decât să zicem că acum avem o problemă cu softul x și ca atare, trebuie să dăm o lege pentru softul x. Nu cred că asta este cea mai bună variantă. Poate că ar trebui să facă mai întâi o analiză să vedem în ce măsură chiar există o astfel de nevoie.

Nu am informații cu privire la câte astfel de software-uri există în sistemele publice românești ca să constatăm că există o asemenea problemă.

În expunerea de motive observ doar un exemplu care rezultă dintr-o informație publică din presă. Mi se pare că o instituție publică, un minister ar trebui să se bazeze pe o analiză făcută de instituțiile din subordine sau coordonare, cum este Directoratul pentru securitate cibernetică.

Ar trebui să știe, de exemplu, că 10% din piața românească de software de antivirus este deținută de o firmă din Rusia. Dacă este real, sigur că poate să fie o problemă. Dar dacă e o problemă punctuală nu cred că o lege este răspunsul corect. Răspunsul corect ar trebui să fie o notificare către acel exemplu punctual în care îi se spune că măsurile respective nu or să asigure partea de siguranță și de securitate a datelor publice.

Rep: Se menționează aici produsele și serviciile software provenite din Federația Rusă. Despre ce vorbim exact? În afară de Kasperky ce mai știm?

BM: Singurul exemplu care este menționat în descrierea situației actuale este Kaspersky. Cred că ar trebui să existe niște dovezi și o analiză din care să rezulte care sunt aceste servicii despre care vorbim.

Rep: Și în ce măsură instituțiile folosesc astfel de produse?

BM: Exact. Trebuie să vedem care este magnitudinea problemei. Dacă nu vedem care e magnitudinea s-ar putea ca o lege să sune bine, dar, de fapt, să nu aibă obiect. Atunci, nu știu dacă trebuie dată o lege dacă sunt o mie de software-uri care sunt la dispoziția unei singure instituții publice, de exemplu. Nu trebuie o lege pentru asta. Trebuie să te duci la instituția respectivă și să îi explici că este o problemă de securitate și să ia măsurile necesare în cazul respectiv.

Acum mă uitam la art. 1 alin. 2 care spune că lista finală a produselor, serviciilor și entităților producătoare și furnizoare interzise se stabilește de minister. Acest lucru este discutabil. Încerc să îmi dau seama dacă e doar o neclaritate a legii sau dacă obiectivul este să interzică orice firmă din Rusia sau anumite firme din Rusia și lista se face de minister pe baza a ce.

Lipsesc criteriile pe baza cărora se face această listă. Dacă nu sunt e ca și cum ai spune că ministrul poate să decidă că nu îl vrea pe x, dar îl vrea pe y, deși ambii sunt din Rusia. Cred că trebuie mai multă atenție în momentul în care se propun astfel de măsuri.

Cred că trebuie să avem un principiu general care să se aplice pentru situațiile în care vrem să aplicăm această regulă. Iarăși fac legătura și cu legea pe partea de cybersecurity pe partea de 5G, care privește o problemă similară. Și totuși, pentru ea avem o cu totul altă lege.