Pe 14 decembrie 2022, s-a publicat în Monitorul Oficial și a intrat în vigoare Legea privind protecția sistemelor informatice ale autorităților și instituțiilor publice în contextul invaziei declanșate de Federația Rusă împotriva Ucrainei, se arată într-un comunicat al Directoratului Național pentru securitatea cibernetică. Conform acestei legi produse antivirus precum Kaspersky nu mai pot fi folosite de instituțiile publice din România.
Proiectul de lege a fost inițiat de Ministerul Cercetării, Inovării și Digitalizării (MCID) și a fost votat de către Parlament la data de 23.11.2022. Discuțiile despre interzicerea unor astfel de soluții software au apărut după invazia Ucrainei a armatei ruse și după ce mai multe state europene au adoptat măsuri similare.
Legea stabilește cadrul juridic și instituțional pentru interzicerea achiziționării și utilizării de către autoritățile și instituțiile publice a produselor și serviciilor software de securitate cibernetică și securitate a sistemelor informatice provenind direct sau indirect:
- din Federația Rusă
- de la un operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federația Rusă
- de la un operator economic al cărui capital este constituit cu participație provenind în mod direct sau prin firme interpuse din Federația Rusă ori din ale cărui organe de administrare fac parte persoane din Federația Rusă
Legea face referire la toate rețelele și sistemele informatice care gestionează informații clasificate, deținute de persoane juridice de drept public și privat aflate pe teritoriul României, cu excepția celor deținute de autoritățile și instituțiile publice cu atribuții proprii în domeniul securității naționale, în domeniul securității cibernetice, apărării naționale și ordinii publice.
Securitatea produselor hardware și software și nivelul de încredere în acestea sunt vitale pentru asigurarea rezilienței rețelelor și sistemelor informatice la nivel național. În contextul războiului declanșat de Rusia în Ucraina și al atacurilor cibernetice adiacente acestui conflict, atacuri care au avut ca țintă și au afectat inclusiv instituții, organizații sau utilizatori din România, este necesară asigurarea securității lanțului de furnizori prin stabilirea unor criterii de încredere pentru furnizorii de echipamente și servicii.
De ce au fost vizați cei de la Kaspersky de această interdicție ?
La începutul războiului din Ucraina, companiile rusești de software aveau o cotă de piață semnificativă și o utilizare pe scară largă în cadrul corporațiilor din întreaga lume, inclusiv în România. Unele dintre acestea au fost fondate în Rusia, în timp ce altele au sediul în altă parte, dar își mențin o parte semnificativă a prezenței lor de dezvoltare în Rusia și în alte părți ale Europei de Est.
Kaspersky Lab, de exemplu, este un jucător important și bine stabilit în spațiul antivirus/antimalware. În luna februarie IT MANIA publica o analiză din care reieșea că firma avea sediul central internațional și capacități substanțiale de cercetare și dezvoltare în Rusia, chiar dacă centrul său principal de cercetare și dezvoltare a fost mutat în Israel în 2017. Kaspersky Lab avea un birou local și în România, înregistrat sub numele Kaspersky Info Systems SRL și are și un site local. După publicarea articolului site-ul local a fost modificat astfel încât să nu mai apară nici o legătură sau date de contact ale sediului din Rusia. În prezent, Kaspersky se prezintă ca fiind o companie privată internațională a cărei companie holding își are sediul în Regatul Unit.
De ce este trecut în textul de lege mențiunea că un produs software nu trebuie să se afle sub controlul unei persoane fizice sau juridice din Rusia ?
Se crede că Eugene Kaspersky, fondatorul companiei, are legături personale puternice cu guvernul controlat de Putin. Kaspersky a negat în mod repetat aceste acuzații, dar întrebările despre fondatorul companiei rămân și vor fi analizate în continuare de jurnaliști, în special pe măsură ce conflictul din Ucraina continuă. De aici și interdicția utilizării unor produse precum Kaspersky de către instituțiile din România.
Cine se va ocupa să supravegheze interdicția utilizării unor astfel de produse ?
Directoratul Național de Securitate Cibernetică (DNSC), alături de Autoritatea pentru Digitalizarea României (ADR), Serviciul Român de Informații (SRI), Ministerul Apărării Naționale (MApN), Ministerul Afacerilor Interne (MAI), Serviciul de Telecomunicații Speciale (STS), Serviciul de Protecție și Pază (SPP) și de Oficiul Registrului Național al Informațiilor Secrete de Stat (ORNISS), au un rol activ în identificarea produselor și serviciilor care fac obiectul acestei legi.
Legea are impact direct doar asupra unor categorii de organizații, dar Directoratul recomandă ca toți utilizatorii și factorii de decizie din România să analizeze cu atenție soluțiile de securitate pe care le folosesc, în contextul conflictului hibrid dintre Rusia și Ucraina.