Autoritățile și instituțiile publice nu vor mai putea folosi programe antivirus provenind din Federația Rusă. Care sunt excepțiile

Guvernul vrea să interzică autorităților și instituțiilor publice de la nivel central și local să achiziționeze produse și servicii de tip antivirus, de la entități provenind din Federația Rusă sau aflate sub controlul Federației Ruse. 

Un proiect în acest sens, inițiat de Ministerul Cercetării, Inovării și Digitalizării, se află pe agenda ședinței Guvernului de miercuri, 14 septembrie. Potrivit acestuia, în 60 de zile de la data intrării în vigoare a legii, produsele și serviciile de securitate provenind din Federația Rusă vor fi deconectate, respectiv dezinstalate de la rețelele și sistemele informatice ale autorităților și instituțiilor publice. 

Potrivit expunerii de motive, legea privind protecția sistemelor informatice ale autorităților și instituțiilor publice în contextul invaziei declanșate de Federația Rusă împotriva Ucrainei a fost inițiată într-un context european mai larg în care state membre UE au interzis expres produsele și serviciile „Kaspersky Lab” și ale companiei „Group-IB”, deoarece cele două entități permit guvernului rus să penetreze sistemele și rețelele informatice în care le sunt instalate programele software.

Proiectul de lege interzice autorităților și instituțiilor publice de la nivel central și local să achiziționeze și să utilizeze produse și servicii privind securitatea dispozitivului (securitatea punctului final), aplicații și programe software de detecție antivirus, anti-malware, firewall pentru aplicații web (Web Application Firewall), rețele virtuale private (Virtual Private Network), precum și sisteme de detecție și răspuns pentru endpointuri (Endpoint Detection Response) provenind din Federația Rusă sau aflată sub controlul direct sau indirect al unei persoane fizice sau juridice din Federația Rusă.

„Foarte multe instituții publice și autorități ale administrației publice locale achiziționează programe software de antivirus rusești din cauza prețurilor mici și care au prevalență prin Sistemul informatic colaborativ pentru mediu performant de desfășurare al achizițiilor publice (SICAP). Prezența software-urilor rusești de tip antivirus reprezintă o vulnerabilitate la adresa securității cibernetice a autorităților și instituțiilor românești, din cauză că aceste programe acaparează funcții importante ale rețelelor și sistemelor informatice, creând relații de interdependență. În contextul în care Federația Rusă utilizează inclusiv atacuri de tip cibernetic la adresa statelor occidentale și își folosește companiile naționale și cetățenii ruși, prin diverse metode, în războiul asupra Ucrainei, încălcând toate normele de drept internațional în materie, România nu poate să-și asume prezența unor produse și servicii IT rusești în infrastructura cibernetică națională.

Rațiunile pentru care se instituie această interdicție sunt legate, pe de-o parte, de contextul dat de războiul pornit de Federația Rusă asupra Ucrainei iar, pe de altă parte, de lipsa de independență a entităților rusești care furnizează soluții IT.

În 60 de zile de la data intrării în vigoare a legii, toate produsele și serviciile de tipul celor prevăzute mai sus vor fi deconectate, respectiv dezinstalate de la rețelele și sistemele informatice ale autorităților și instituțiilor publice de la nivel central și local. Deconectarea, respectiv dezinstalarea se va face chiar de către autoritățile și instituțiile publice centrale și locale care au instalate pe rețelele și sistemele lor informatice astfel de programe. Având în vedere claritatea și calitatea textului, autoritățile pot aprecia în concret, încă de la data intrării în vigoare a prezentei legi, ce fel de produse și servicii trebuie să dezinstaleze.

Deconectarea, respectiv dezinstalarea se va realiza cu sprijinul Ministerului Cercetării, Inovării și Digitalizării, Autorității pentru Digitalizarea României, Directoratului Național de Securitate Cibernetică, Serviciului Român de Informații și Serviciului de Telecomunicații Speciale”, se precizează în expunerea de motive.

Prevederile proiectului nu se aplică autorităților publice cu atribuții în domeniul securității naționale, apărării naționale și ordinii publice, deoarece acestea au propriile reguli de protecție a securității cibernetice, congruente fiind cu regimul juridic de protecție al informațiilor clasificate.

„De asemenea, unele dintre aceste autorități, în exercitarea activității lor de culegere de informații și intelligence, pot folosi, în scopul exercitării atribuțiilor, unele dintre astfel de programe”, se mai precizează în expunerea de motive.