Serviciul Român de Informații (SRI) ar putea obține acces la o serie de date privind activitatea unor angajați din instituții publice precum și la informațiile transmise de cetățeni către aceste instituții, avertizează Andrei Nicoară, expert în servicii de e-guvernare.
SRI va prelua, potrivit unui memorandum discutat vineri în ședința de Guvern, mentenanța sistemului național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor de securitate cibernetică.
Andrei Nicoară, expert în servicii de e-guvernare, avertizează că acest sistem are echipamente de detecție a intruziunilor, pe conexiunea la internet a 54 de instituții publice, prin care este monitorizat tot traficul de internet, inclusiv activități private ale angajaților ori documente trimise prin email de cetățeni.
”Un echipament IDS profesional poate scana traficul, inclusiv cel criptat, căutând cuvinte cheie sau alte amprente ale unui comportament malițios. Conținutul suspect poate fi stocat pentru analiză ulterioară și informări / alerte sunt trimise către centrul de comandă unic, operat de SRI. Dacă prin <<mentenanță>> se înțelege inclusiv activitatea de configurare a acestor echipamente practic acest memorandum oferă SRI posibilitatea de a extrage și stoca orice informație din traficul de internet al acestor instituții. Acest trafic include însă inevitabil atât activități private ale angajaților cât și problemele populației de rezolvat de acea instituție.”, a scris Andrei Nicoară, pe pagina sa de Facebook.
El a avertizat totodată că, din perspectiva GDPR, angajatorul nu ar trebui să monitorizeze conținutul traficului privat, cu atât mai puțin să ofere altcuiva acest drept.
”Din perspectiva SRI este firească colectarea de date însă pe măsură ce acestea se conturează a fi conversația unei persoane devine, probabil, necesar să existe un mandat”, scrie specialistul.
Dispozitivele IDS sunt esențiale pentru securitatea cibernetică, iar funcționalitatea lor previne numeroase tipuri de atacuri și exfiltrări de date, punctează el.
”Modul de utilizare a datelor colectate este însă o problemă pe care am auzit-o discutată oficial încă din 2016 fără a i se găsi o rezolvare civilizată. Ar fi păcat ca astăzi să acționăm ca și cum problema nu există și încă într-o soluție legală ce responsabilizează individual conducători de instituție incapabili să înțeleagă contextul”, mai precizează Andrei Nicoară.
Serviciul Român de Informații (SRI) a inițiat un proiect de dezvoltare a nivelului de protecție a infrastructurilor IT&C cu valențe critice pentru securitatea națională, în valoare de 206,7 milioane de lei, potrivit unui memorandul aprobat în ședința de guvern de vineri.
Documentul mai prevede și ca SRI să preia responsabilitatea de asigurare integrală a mentenanței echipamentelor și aplicațiilor informatice implementate prin proiectul ”Sistem național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic”. Acest proiect a fost inițiat în 2013, valoarea sa fiind de 97 de milioane de lei.
În baza acestui proiect, 54 de instituții și autorități publice au beneficiat de securizarea rețelelor și protejarea datelor prelucrate și stocate, prin achiziționarea și instalarea de echipamente și aplicații de securitate cibernetică performante, precum și prin derularea de cursuri de pregătire a administratorilor de securitate.