Opinia ApTI privind proiectul de decizie ANCOM referitoare la securitatea reţelelor şi serviciilor de comunicaţii electronice

  • Posted on: 27 May 2013
  • By: Redacția ApTI

ApTI a transmis astăzi, către ANCOM (Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii), un punct de vedere referitor la Proiectul de Decizie privind stabilirea măsurilor minime de securitate ce trebuie luate de către furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului și raportarea incidentelor cu impact semnificativ asupra furnizării rețelelor și serviciilor de comunicații electronice, supus consultării publice de către autoritate.

Proiectul de decizie este construit pe baza unora dintre prevederile OUG nr.111/2011 privind comunicațiile electronice și detaliază obligațiile furnizorilor de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului în ceea ce privește:

  • luarea tuturor măsurilor de securitate adecvate pentru administrarea riscurilor care pot afecta securitatea rețelelor și serviciilor;
  • notificarea ANCOM cu privire la existența unor incidente cu impact semnificativ asupra securității rețelelor și serviciilor de comunicații electronice.

ApTI îşi exprimă susţinerea faţă de iniţiativa ANCOM, considerând că adoptarea unei decizii care să abordeze problema măsurilor minime de securitate ce trebuie luate de către furnizori este o măsură necesară și bine-venită, mai ales în contextul concluziile desprinse de către ANCOM din cele două studii efectuate în anul 2012 cu privire la securitatea și integritatea serviciilor și rețelelor de comunicații electronice, conform cărora „doar o parte dintre furnizori au proceduri clare și documentate pentru asigurarea continuității rețelelor și serviciilor, în majoritatea cazurilor stabilirea unor măsuri de securitate efectuându-se reactiv, în momentul apariției unui incident” (Raportul anual de activitate al ANCOM, paginile 13-14).

În punctul de vedere transmis, ApTI a formulat şi o serie de propuneri de modificare şi completare a proiectului de decizie:

  • introducerea unor proceduri care să permită ANCOM să verifice şi să evalueze măsurile de securitate stabilite şi implementate de către furnizori;
  • introducerea obligației ca furnizorii să prezinte ANCOM, anual, rezultatele a două audituri de securitate: un audit realizat intern, de către resurse proprii furnizorilor, și un audit realizat de către un auditor extern independent;
  • ANCOM să poată să impună (sau cel puțin să recomande, iar, dacă nu se respectă, să facă public acest lucru) furnizorilor adoptarea anumitor măsuri care să contribuie la rezolvarea problemelor de securitate identificate;
  • ANCOM să organizeze, anual, o întâlnire cu furnizorii de rețele și servicii de comunicații electronice și cu cercetători/experți independenți în securitate informatică, în cadrul căreia să poată fi semnalate și discutate vulnerabilitățile identificate la nivelul rețelelor și serviciilor de comunicații electronice. Ca exemplificare, au fost prezentate astfel de vulnerabilități actuale și nerezolvate de operatori români în ceea ce priveşte securitatea rețelelor de telefonie mobilă.
  • introducerea, în proiectul de decizie, a unor referiri la sancţiunile aplicabile în cazul nerespectarea obligațiilor referitoare la măsurile de securitate și la notificarea încălcării securității (aşa cum acestea sunt reglementate prin OUG nr.111/2011 privind comunicaţiile electronice);
  • raportul anual de activitate al ANCOM să conțină o serie de informații generale referitoare la  notificările primite de către ANCOM în legătură cu incidentele de securitate care au „un impact semnificativ asupra securității și integrității rețelelor și serviciilor de comunicații electronice”: numărul incidentelor notificate, o descriere sumară a acestor incidente (informații care pot fi publicate fără a genera riscuri), durata de timp în care respectivele incidente au fost soluționate, câte dintre aceste incidente au fost notificate publicului și/sau clienților afectați;
  • utilizarea sintagmei „securitatea rețelelor și serviciilor de comunicații electronice” în locul celei de „securitate și integritate a rețelelor și serviciilor de comunicații electronice”  și definirea acesteia prin raportare la noțiunile de confidențialitate, integritate și disponibilitate.

Comentarii

Cand evomag.ro (si altii) transmit si proceseaza CNP-uri fara cea mai mica urma de criptare ssl/tls ignorand normele legale in vigoare inca din 2002 (Ordinul Avocatului Poporului nr. 52 din 18 aprilie 2002 privind aprobarea Cerintelor minime de securitate a prelucrarilor de date cu caracter personal publicat in M.O. 383 din 5 iunie 2002 - Art. 7), credeti ca o noua prevedere legala ii va determina sa faca ceva?

Ordinul este in vigoare de mai bine de 10 ani si inca este ignorat complet.

Acum aprox o luna, la o comanda, cei de la evomag m-au "somat" fie sa le transmit cnp corect sau sa platesc 3% in plus... (cand am vazut ca site-ul lor nici macar nu foloseste criptare am completat cnp cu ultimele 6 cifre numai 0 - 000000 - site-ul l-a acceptat)...

Magazinele de comert electronic nu sunt considerati operatori de comunicatii electronice si deci nu li se vor aplica obligatiile de mai sus.

Ce părere ai?

Plain text

  • Etichetele HTML nu sunt permise.
  • Adresele de situri web şi adresele de e-mail se transformă automat în linkuri.
  • Liniile şi paragrafele sunt rupte automat.