Pages: 1 2 3 4 5 6 7 8 9 10 11 ... 103 >>

11/11/14

Permalink 09:12:00, by bogdan, 515 words   Romanian (RO)
Categories: Anunturi, Pareri personale, Legislatie, Viata privata

Protectia datelor personale nu poate sa blocheze depistarea votului multiplu


Articol publicat pe blogul Privacy.apti.ro

Trei ONG-uri au cerut saptamina trecuta Autoritatii Electorale Permanente “sa verifice toate listele suplimentare pentru indicii de vot multiplu, inclusiv prin compararea lor cu cele permanente.". De asemenea au declarat ca “decizia Biroului Electoral Central de a ingradi accesul la obtinerea de copii dupa listele electorale organizatiilor neguvernamentale si candidatilor independenti este una restrictiva.”

Practic decizia BEC spune ca doar reprezentantii partidelor politice din birourile de votare ale sectiilor de votare - care au depus in prealabil o cerere scrisa prin care dovedesc ca sunt inscrise ca operatori de date cu caracter personal - au voie sa faca copii dupa aceste liste suplimentare, ca si dupa tabelele electorale permanente in conditiile legii 677/2001.

Interpretarea este una eronata din punctul nostru de vedere. In primul rand ca niciuna din legile invocate de decizia BEC nu precizeaza in mod expres ca cineva ar avea dreptul sa faca copii dupa listele electorale (fie ele normale sau suplimentare). Legea 677/2001 privind protectia datelor cu caracter personal nici nu le-ar da un asemenea drept in lipsa unui scop adecvat si precis, si doar pentru satisfacerea unui drept legitim.

In al doilea rand informatiile cu privire la cine a votat, sau care sunt exact persoanele care au votat pe listele suplimentare sunt deosebit de importante pentru orice partid politic si pot fi folosite in scopuri evident eronate. De exemplu, un partid care a “incurajat participarea la vot” poate sa vada daca anumite persoane de pe lista au votat sau nu - inchipuiti-va ce inseamna asta in cazul unei comune relativ mici. In cazul in care unul din partide ar incuraja “turismul electoral” lista suplimentara poate reprezenta un instrument de santaj pentru acele persoane care se stie ca au votat de 2 ori.

facebook-screentshotMai mult, datele personale pot fi folosite in alte scopuri - cum ne arata si postarea anexata de pe Facebook (vezi screenshot in stanga) al unui fost candidat la presedentie intrat in posesia unei astfel de liste si care nu are nicio problema sa posteze online date personale, cu acuze nefondate - in mod vadit ilegal.

In acest conext, opinia noastra este ca regimul listelor electorale si al listelor suplimentare, in contextul aplicarii corecte a legii 677/2001, este ca nimeni nu are voie sa faca copii ale acestor liste, in afara de regimul stabilit prin lege - si anume ca acele informatii se trimit catre Autoritatea electorala permanenta (AEP).

Cu toate acestea, pentru indeplinirea obiectivului unui vot corect si a depistarii infractiunilor legate de votul multiplu, AEP ar putea sa permita accesul tertelor parti (ONG-uri, cetateni interesati, partide, etc.) la aceste date personale, daca prelucrarea este necesară în vederea realizării unui interes legitim al AEP (depistarea votului multiplu) si sunt folosite doar in acest scop. Mai direct spus, legea privind protectia datelor personale nu trebuie sa fie folosita - in mod gresit - pentru a bloca verificari legate de corectitudinea voturilor.

In acest sens AEP ar trebui sa adopte o procedura clara pentru a permite protectia datelor personale in contextului accesului la date, care ar putea fi confirmata de Autoritatea pentru protectia datelor, si care ar putea contine masuri de genul:

Vezi finalul articolului pe http://privacy.apti.ro

30/10/14

Permalink 10:00:00, by bogdan, 506 words   Romanian (RO)
Categories: Legislatie, Viata privata

Nimic despre securitatea cibernetica

La una din ultimele insemnari scriam de pericolul iminent numit legea privind securitatea cibernetica si felul cum Senatul a dat doar 2 zile pentru depunerea unui raport Ei bine, conform site-ului Senatului nu s-a mai intamplat nimic de atunci pe acest proiect.

Nu stiu daca e vorba doar de vacanta electorala, faptul ca s-au temut sa discute acest subiect in plina campanie electorala sau daca, intr-o actiune de nebunie, au inceput sa citeasca deciziile CCR pe subiectul pastrarii datelor de trafic sau al inregistrarii cartelelor pre-pay sau utilizatori WiFi si sa inteleaga ca trebuie sa puna niste garantii, altfel este posibil ca si legea asta sa fie declarata neconstitutionala.

Cert este ca presiunea din partea celor care au propus legea continua, iar argumentele nu conteaza. Articolul intreaba - Cum isi pregateste Romania strategia de securitate informatica? Raspunsul este simplu din textul articolului - doar autoritatile publice o pregatesc. Restul nu au voie - mai ales daca nu sunt de acord cu unele propuneri.

Asa ca mai bine va dau 3 linkuri din recent lansatul nostru blog colaborativ al ApTI pe teme de protectia datelor si privacy (apropo, daca aveti vreun subiect interesant, contactati-ne ca sa va publicam):

Sa fiti sanatosi!

29/10/14

Victorie si totusi un esec! Comentarii despre motivarea deciziei Curtii Constitutionale la inregistrarea utilizatorilor Prepay si WiFI

Articol publicat initial pe http://privacy.apti.ro

Acum câteva zile (mai precis pe 24 octombrie) a fost publicată și motivarea Curții Constituționale (CCR) cu privire la neconstituționalitatea proiectului de lege de înregistrare a cartelelor pre-pay și a utilizatorilor de WiFi.

Deși am susținut de multă vreme că este un proiect de lege prost, care nu-și va atinge scopul propus și care aduce atingere dreptului la viață privată – deci ar trebui să mă bucur de decizia CCR. Dar trebuie să recunosc că motivarea este extrem de subțire și – cu privire la unele aspecte tehnice importante - pur și simplu eronată.

1. Eroare: datele de trafic și datele abonaților sunt 2 chestiuni distincte.

Motivația este axată în jurul ideii că legea pentru înregistrarea datelor abonaților este doar o anexă sau un follow-up al legii privind păstrarea datelor de trafic. Ba chiar am impresia că CCR confundă datele de trafic cu datele abonaților. Cred că, din păcate, CCR se află într-o eroare de fond majoră care și-a pus amprenta în mod negativ asupra argumentației.

Chiar dacă nu mi-ar servi la nimic să demontez decizia CCR, trebuie să fim corecți: nu există nicio legătură directă între datele de trafic și datele abonaților. Sunt două concept diferite atât tehnic, cât și juridic. Singura legătură dintre cele două este că ambele pot fi date personale (sau cel puțin date care pot aduce atingere vieții private) în sectorul comunicațiilor electronice.

Să înțelegem corect diferențele:

Datele de trafic sunt date tehnice necesare comunicațiilor electronice. Ele sunt colectate și procesate de către operatorii de telefonie și Internet ca urmare a necesității realizării comunicației. Fără colectarea lor comunicația electronică nu ar fi posibilă. Ele sunt definite în mod precis în art 2 (b) din legea 506/2004.

Datele de trafic pot identifica în mod indirect o persoană șî ca atare, conform definiției de la art 3 a) din legea 677/2001 pot fi date cu caracter personal.

Un aspect suplimentar este că datele de trafic sunt colectate automat, fără ca o persoană fizică să știe în fiecare moment ce date sunt colectate despre el – deci ridică niște probleme suplimentare dpdv al vieții private. De aceea există obligații specifice cf. Legii 506/2004 art 4.

Accesul la datele de trafic ar trebui să se facă exclusiv cu autorizarea unui judecător așa cum este prevăzut și în Codul de Procedură Penală.

Datele abonaților (și ele sunt cele care sunt obiectul reglementării în propunerea pre-pay) sunt date personale care identifică în mod direct o persoană. Ele sunt transmise în mod direct de o persoană ce vrea să se aboneze la serviciile de comunicații electronice și să beneficieze de un abonament (deci plată după efectuarea serviciilor) și sunt necesare pentru derularea contractului de comunicațiile electronice. Sunt date personale trimise voluntar și vizibil.

Cu toate acestea, o comunicație electronică poate să aibă loc fără a avea datele abonaților.

Ca atare procesarea datelor abonaților este identică cu procesarea datelor persoanelor fizice din alte contracte (de ex. energie, credite, apa, gaz) și este reglementată de regulile generale din legea 677/2001. De aceea nici nu există o definiție a datelor abonaților. Singurul aspect specific sectorului comunicațiilor electronice – și care este reglementat prin art 11 legea 506/2004 – este înscrierea în Registrul Abonaților – care este un drept și nu o obligație pentru abonat.

Accesul la datele abonaților în sectorul comunicațiilor electronice ar trebui să se facă exact în aceleași condiții ca și accesul la datele abonaților din orice alt sector comercial.

Deci ceea ce aduce nou legea cu privire la înregistrarea cartelelor pre-pay și WiFi – și un aspect tratat superficial de decizia CCR, IMHO - este dacă operatorii trebuie să colecteze mai multe date personale decât ar fi strict necesar pentru realizarea tehnică a unei comunicații – doar pentru ca ar putea fi necesare organelor de urmărire penală. Aici CCR face un copy-paste din decizia trecuta precizând doar că „nici Constituția și nici jurisprudența Curții Constituționale nu interzic stocarea preventivă, fără o ocazie anume, a datelor de trafic și de localizare” (par 46) , deși în proiectul de lege supus discuției nu este vorba de date de trafic și de localizare, ci de datele abonaților.

Deci , daca Constituția nu ne interzice stocarea preventivă, înseamnă ca se pot da orice legi pentru a stoca orice date personale, doar în ideea ca ar putea fi necesare pentru activitatea de poliție sau combatere a terorismului?

Eu cred că nu și CEDO a fost foarte clar în privința asta – atât în cazul Marper vs. UK, dar și în Klass vs Germania:

CEDO a statuat pericolul pe care o lege care permite supravegherea secretă îl reprezintă la adresa democrației sub pretextul apărării ei, afirmând că “statele contractante nu pot, în numele luptei împotriva terorismului și spionajului, să adopte orice măsuri pe care acestea le consideră necesare”

2. În același timp să apreciem corect fondul analizei textului criticat care puncteaza o serie de aspecte concrete – pe care le-am subliniat și noi în luările de poziție publice anterioare – care duc la considerarea măsurii ca fiind total disproporționate:

Propunerea nu este formulată clar, riguros și exhaustiv pentru a oferi încredere cetățenilor, caracterul strict necesar într-o societate democratică nu este pe deplin justificat, iar proporționalitatea măsurii nu este asigurată prin reglementarea unor garanții corespunzătoare (Par. 44 din Decizie)

cum ar fi:

  • inexistența garanțiilor și măsurilor tehnice și operaționale pentru întreaga activitate

  • lărgirea subiectelor de drept cărora le incumbă obligația de a reține și stoca datele

  • neclaritate cu privire la cine pune la dispoziție formularul tipizat și care, astfel, colectează aceste date

  • neclaritate cu privire la obligațiile celor ce vand cartele pre-pay cu privire la a garanta confidențialitatea, securitatea și utilizarea acestor date

  • neclaritate cu privire la obligațiile de garantare a securității datelor din partea celor care colectează datele cu privire la

  • inexistența modalitații în care datele sunt accesate și utilizate, ceea ce face ca “legea să fie viciată în mod iremediabil”

În concluzie decizia CCR lasă larg ușa deschisă pentru un nou text legislativ pe problema înregistrării cartelelor PrePay și lasă impresia că nu a înțeles aspectele tehnice de bază ale cazului.

Daca aveti comentarii - puteti sa le lasati pe articolul initial de pe http://privacy.apti.ro

23/09/14

Legea securitatii cibernetice revine pe fast forward

Doar nu credeati ca o data cu decizia pe pre-pay, onor alesii nostrii si institutiile impingatoare de securism cibernetic au inteles ca textele de lege ar trebui dezbatute serios - mai ales cele care aduc atingere libertatilor fundamentale?

Propunerea de lege prvind securitatea cibernetica a Romaniei n-a mai fos dezbatuta in Camera Deputatilor, ca a trecut prin adoptare tacita pe 17 Septembrie.

De cum a fost trimisa la Senat, a primit termen de 2 (doua) zile (adica maine) pentru a primi raport de la Comisia de aparare (adica Comisia de fond). (desi NU este oficial in procedura de urgenta). Evident, comisia de drepturile omului nu a fost inclusa nici macar pentru aviz.

Dupa cum v-am mai precizat deja, propunerea asta de lege este mult mai naspa decat cea cu pre-pay-ul care un mizilic. Sa va reamintesc cele mai interesante propuneri:

  • Toate firmele (ca SRI zice ca utilizatori nu inseamna persoane fizice, eu zic ca inseamna - dar sa nu ne pierdem in detalii) trebuie sa “permita accesul la date” acestor autoritati (SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM). Accesul se face la simpla “solicitare motivata". Atentie mare - nu e vorba sa dai datele informatice pe care le ai si care ar putea sa ajute la vreo investigatie, ci “accesul la date", daca n-am fost prea subtil cu diferenta asta.
  • Toate firmele care au un laptop, smartphone sau orice alt device trebuie sa adopte politici de securitate cibernetică, ca si să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Asta inseamnă minim 1500 de euro/firma investiți in securitate. (o sa vedeti ce chestii frumoase trebuie sa scrieti in politicile de securitate cibernetica…)
  • In vreme ce UE ne cere ca aceste instituții care se ocupa de domeniul securității cibernetice să fie “organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor", noi dam SRI-ul ca cea mai democratica, civila si apropriata de cetateni dintre institutii. Competenta tehnica o avea, dar sub control democratic nu este. Si nici nu cunoaste termeni precum dezbatere publica, acces la informatii publice sau transparenta decizionala.

Dar va zic - nu va agitati prea mult!

Oricum Senatul nu are timp sa dezbata, iar cele “18 victime/secunda (n.m - asta vine 1.5 mil de victime pe zi) ale Internetului” au nevoie de SRI sa le protejeze. Chiar daca ele nu vor.:roll:

De asemenea, observatiile unora si amendamentele depuse nici macar nu sunt luate in considerare pentru este greu sa judeci cu mintea ta. Daca ne zice SRI ceva, atunci asa este cu siguranta. :roll:

Iar argumentele de drepturile omului sau deciziile CCR nu sunt suficiente pentru nimeni - oricum Romania nu este o democratie. CCR a declat ca accesul la datele de trafic trebuie supus controlului unui judecator, dar cu siguranta va decide altfel daca datele accesate pot fi si date de continut (deci mai mult decat date de trafic).:roll:

Solicitările de acces la datele reţinute în vederea utilizării lor în scopul prevăzut de lege, formulate de către organele de stat cu atribuţii în domeniul securităţii naţionale, nu sunt supuse autorizării sau aprobării instanţei judecătoreşti, lipsind astfel garanţia unei protecţii eficiente a datelor păstrate împotriva riscurilor de abuz precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date. Această
împrejurare este de natură a constitui o ingerinţă în drepturile fundamentale la viaţă intimă, familială şi privată şi a secretului corespondenţei şi, prin urmare, contravine dispoziţiilor constituţionale care consacră şi protejează aceste drepturi.

Am zis destule. Pentru o completare a imaginii generale cititi si articolul lui Dan Tapalaga - Tara Democratiei cu Epoleti. Iar unul dintre autorii de pe Contributors comenteaza sec situatia de detaliu mai bine decat v-as fi descris-o eu:

Mai există de asemenea în România legi proaste, cu dispoziții neconstituționale, adoptate de parlamentari ce fac exces de zel în clădirea unor relații de bună vecinătate cu alte instituții ale statului, precum și instituții ale statului ce fac exces de zel în criticarea Curții Constituționale pentru că cenzurează excesele de prostie intenționată ale Parlamentului. Toate acestea sub acoperirea unei șarade legate de rezultate deosebite, însă selective (mai nou chiar în sens activ-negativ), în lupta împotriva corupției, precum și sub acoperirea a de acum omniprezentei amenințări externe, în special cibernetice și în special din Orientul Mijlociu. Ar fi rizibil dacă nu ar fi trist pentru că înainte să fie albastru precaut a fost roz imaginat, mai ales înainte ca prietenoasa primăvară rusească să își arate delicat ghioceii la Odessa.

Într-un cuvânt, totul e bine în România, țara este sigură și va fi bine protejată cibernetic de acțiuni de subversiune internă realizate în forță, precum puciul parlamentar anticonstituțional din vara lui 2012, un maxim de stabilitate roz sub umbrela alianței ce e datoare să apere România. Uneori chiar și de ea însăși, nu-i așa? Și în continuare, în România, nimeni nu are absolut nicio problemă.

Noapte buna!

18/09/14

Permalink 21:38:00, by bogdan, 268 words   Romanian (RO)
Categories: Stiri - Romania, Legislatie, Retentia datelor, Viata privata

Romania 2014 - Separatia puterilor in stat? Exemplu practic

Actul 1: Curtea Constitutionala a Romaniei (CCR) decide ca 2 legi sunt neconstitutionale.

Actul 2: SRI si MAI, adica exact cei care au promovat legile, si alti moguli/securistoizi incep sa scrie in presa ca se creeaza un “vacuum juridic” si ca deciziile sunt “de neexplicat".

Culmea este ca Romania are o institutie specializata pe zona de protectia datelor, dar care nu este intrebata niciodata (sau opinia nu este luata in considerare).

Deci puterea executiva si legislativa se unesc sa spuna ca puterea judecatoareasca da decizii obligatorii proaste.

Actul 3: Pentru ca nici jurnalistii si nici onor “specialistii” din ministere nu sunt in stare sa citeasca decizia motivata si sa foloseasca argumentele de acolo , CCR da un comunicat de presa (!?!) in care reia aceleasi argumente juridice.

Curat murdar, coane Fanica!

Dar nu fiti pacaliti de fum - exista un interes direct al MAI si SRI si al celorlalti: motivarea CCR - cea care va conta extrem de mult in a intelege daca o astfel de lege ar fi posibila in viitor si in ce conditii - se va publica intr-o luna, si deci exista un motiv direct pentru a face presiuni pe fata (si probabil si prin spate).:>

Oricum este impresionanta capacitatea celor care se ocupa de aplicarea legii sa fie peste noapte si experti pe zona de drepturile omului. Sunt sigur ca citatul din Klass vs. Germania (CEDO, 1979) sta la loc de cinste in fiecare birou:

“statele nu pot, în numele luptei împotriva terorismului și spionajului, să adopte orice măsuri pe care acestea le consideră necesare”

PS: pe data retention, revin - problema e nitel mai complicata si nu neaparat in bine. Dar rezolvarea e simpla :-)

Tags: ccr, fum, mai, pre-pay, presa, sri

16/09/14

Permalink 16:49:00, by bogdan, 48 words   Romanian (RO)
Categories: Stiri - Romania, Jurisprudenta, Drept & Internet, Viata privata

Legea PrePay e neconstitutionala. Ne vedem la urmatoarea tentativa...

Curtea Constitutionala a decis astazi ca legea privind inregistrarea utilizatorilor PrePay si Wifi Free este neconstitutionala.

Este a patra tentativa in acest sens, restul de 3 s-au oprit in Parlament. La aceasta am explicat in detaliu de ce este o ineptie, am fost la singura dezbatere publica organizata si niste presiuni facute pe sub masa.

Din fericire, legea a fost atacata la CCR, tot la presiunea societatii civile, iar CCR a decis azi - absolut logic - ca este total disproportionata si deci neconstitutionala in ansamblul ei.

Am trimis ieri la CCR o interventie la Curte, in care am analizat in mod amanuntit de ce o astfel de lege incalca drepturile omului din perspectiva jurisprudentei CCR, CJUE si CEDO. Va rog sa o cititi cu atentie - inclusiv footnote-urile.

Nu am scris la ea doar eu, a fost un efort colaborativ in care am fost unul din editori alaturi de Estelle (Inthemis) si Anonymousa (stie ea cine e), Valentina si Monica de la ApTI, ca si Niki si Mihai de la APADOR-CH. Ramine se vedem in ce masura Curtea a luat-o in considerare sau nu (motivarea se publica in cam 1 luna in Monitorul Oficial).

Dar aceasta varianta nu va fi ultima cu siguranta, doar sper ca noii sau vechii initiatori, care nici macar la dezbaterile publice nu au curajul sa isi asume proiectul, in loc sa trimita comunicate catre CCR, sa faca bine si sa studieze cateva manuale de drepturile omului. Nu din cele copy&paste de la noi, ci din cele adevarate. Pot sa inceapa cu asta si sa-l puna in practica. Si macar de data asta sa simuleze mai bine dezbatere publica. Macar a cincea oara… Va rog eu frumos!!

Iar industria de profil sa vina sa ne dea 2% din cat nu au cheltuit ei cu implementarea legii asteia ca sa facem o campanie de educare pentru tinerii care sar din like in like fara sa inteleaga ca parerea lor conteaza. (sau oricare din uneltele pozitive, cool si trendy cum ar fi Top 10 cele mai bune unelte (românești) de democrație digitală )

Ah - si mai am o propunere - Comisiile de Drepturile Omului din Senat si Camera Deuptatilor sa fie renumite in Comisiile pentru validarea legilor fara judecata, pentru ca au putut sa dea un aviz - fie el amarit si consultativ - pozitiv pentru un proiect de 5 articole si cu o motivare de 10 randuri in conditiile in care se impunea un human rights impact assesment.

Iar pentru publicul larg - mai bine fiti atenti la proiectul de lege privind securismul cibernetic, ca e mai periculos decat povestea cu prepay. Si care a ajuns la Senat.

Sa fie pace!

01/07/14

Permalink 11:39:00, by bogdan, 1015 words   Romanian (RO)
Categories: Viata privata

O dimineata frumoasa

Popescu se trezi, ca de obicei, la 7 dimineața după ce aplicația Butonul de pe smartphone i-a trimis 2-3 sunete stridente. Știa că nu are rost să mai încearcă să doarmă pentru ca Butonul o sa-l deranjeze din nou în cinci minute, așa că mai bine se trezi cu totul și își făcu ritualul de dimineață – un ceai de iasomie (inițial nu ii plăcuse, dar acum se obișnui cu el) și cele 350 de calorii regulamentare pe care le introduse în programul special din meniul Mâncare din aplicația Butonul.

Adevărul este că se simțea mai bine după ce trecuse la noul regim cerut de Butonul versiunea 3.5 și renunțase la fumat. Fumatul nu mai era o alegere de când cu noua lege anti-tutun din 31 octombrie anul trecut, iar Butonul fusese un ajutor neprețuit la a renunța la fumat. Oricum de la varianta 3.6 ii verifica pe cei care mai trăgeau un fum pe ascuns, iar de la 3.7 deja amenda instant. Dar adevărul este că simțea singur cum sănătatea lui era din ce în ce mai bună – iar sănătatea publică a națiunii, anunțată zilnic în programul TV de divertisment de dimineață, arăta aproape de perfecțiune.

Mâncând o delicioasă pâine organică cu gem natural (tot ca parte a recomandărilor Butonului) își aduse aminte de Schimbarea din 2015.

Începuse în 2014 când Parlamentul adoptase niște noi legi care practic obligau orice utilizatori care foloseau vreun mijloc de comunicație electronică (cartele pre-pay, abonamente sau acces Internet – inclusiv WiFi) să fie identificați, dar și dădeau acces mai multor instituții (SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO și ANCOM) la datele informatice deținute. Cetățenii României au aprobat tacit noile măsuri și au realizat că securitatea lor cibernetică este mai importantă decât orice. Iar de fapt SRI și restul instituțiilor sunt interesate exclusiv de binele nostru, deci nu are rost să ne punem vreo întrebare. De la cele 18 victime pe Internet în fiecare secundă din 2014, am ajuns în mai puțin de 6 luni la niciuna din România conform statisticilor oficiale ale Guvernului. Deci chiar a funcționat!!

În anul următor Consiliul Superior de Apărare a Țării și-a dat seama că poate să ne facă și mai siguri printr-un proiect simplu și eficient: Un Smartfone cu 3G pentru fiecare Cetățean! Am rezolvat 2 probleme într-una – am atins instant cerințele UE din agenda digitală de acces la Internet și am asigurat securitatea cibernetică în mod instant prin aplicația Butonul. În versiunea 1.0 Butonul avea doar funcționalități de bază – asigura securitatea cibernetica completă a smartfone-ului, actualizări automate ale acestuia – dar și posibilitatea de acces de la distanță la datele informatice – evident, doar de către autoritățile competente.

Butonul fusese creat de la 0 de specialiști în securitate români din noua Autoritate în domeniul securității cibernetice, dar ulterior a fost actualizat cu noi funcționalități – de la acces automat la contul bancar până la amendă automată în cazul unor contravenții minore (procentul de încasare sărise de la 20% la 99% în doar câteva luni). De la versiunea 1.5 putea să fie deschis doar prin verificarea cu amprentă sau ADN, ca să nu poată fi folosit de altcineva.

Deci Ion Popescu termină de mâncat, se îmbracă și s-a îndreptat spre autobuzul de 7:53, unde fusese alocat de Buton. Această nouă funcționalitate – încă în stadiul beta – permitea alocarea automata și personală a mijloacelor de transport folosite, astfel încât nimeni nu mai trebuia să stea în picioare și toată lumea ajungea la serviciu la timp.

Ieși din bloc și stătu o secundă să miroasă aerul proaspăt de primăvară din părculețul unde nu mai găseai nici urmă de deșeuri (Butonul te amenda instant dacă cineva arunca vreun gunoi pe jos!).

Dar exact în secunda următoare o pungă cu apă în cazu în cap și un chicotit de copil se auzi de la etajul 1:
- Să te %&$^# în &%*&%(*X!, izbucni Popescu în cuvinte nemaifolosite de 10 ani.
În mod automat Smartfone-ul îi vibră de 2 ori în pantalon, semn că 50 de RON au fost deduși din contul său pentru limbaj public licențios.

Se repezi înapoi în casă, se schimbă repede cu alte haine și se grăbi din nou spre autobuzul de 7:53. Își aduse aminte că era o consultare publică pe tema extinderii aplicației Butonul și pentru copii de sub 10 ani, și a scos imediat Smartphone-ul să voteze Pentru. E clar că programul trebuie extins!!!

Deja vedea autobuzul pe partea cealaltă a drumului, stopul era verde pentru pietoni, deci dacă aleargă un pic sigur îl prinde. După 2 pași pe trecerea de pietoni se trezi însă azvârlit la un metru în dreapta și cu o mașină cu numărul B-45-BUTONUL în stânga lui. Șoferul coborî nervos:

Să te %&$^# în &%*&%(*X!, se auzi Șoferul nemulțumit.

În mod automat Smartfone-ul lui Popescu îi vibră de 2 ori în pantalon, semn că 50 de RON au fost deduși din contul său pentru limbaj public licențios.

Țăranii dracului – noi vă asigurăm securitatea cibernetică și voi nu sunteți în stare să deschideți ochii când mergeți pe stradă!! continuă Șoferul care se apropie de el cu un mic dispozitiv necunoscut pe care îl îndreptă spre Popescu. Smartfone-ul lui Popescu mai vibră o dată mai lung și de două ori scurt.

Popescu bălmăji un „Scuze” scurt, iar mașina plecă în trombă.

Autobuzul plecase, deci Popescu se sculă de pe jos și își deschise smartfone-ul să vadă când poate fi realocat către următorul autobuz. Smartfone-ul îi zicea neutru:

„ Eroare 434. Aveți 30 de minute să ajungeți la cea mai apropiată secție a autorității pentru securitate cibernetică pentru verificarea aplicației Butonul. În caz contrar veți plăti o amendă de 50 de RON.”

Popescu rămase nedumerit – cum avea să găsească secția, dacă aplicația de GPS nu funcționa? Nedumerit, se așeza pe bordură și se uita în jur neștiind ce să facă. În mod automat, după un minut, Smartfone-ul lui Popescu îi vibră de 2 ori în pantalon, semn că 50 de RON au fost deduși din contul său pentru că încălca regulile Codului Rutier.

- Funcționează din nou!!! sări în sus de bucurie Popescu

Popescu stătu o secundă să miroasă aerul proaspăt de primăvară. Strada era curată și fără urmă de gunoaie.

Este o dimineață frumoasă.

Disclaimer: Acesta nu este un sfat juridic. Orice asemanare cu realitatea este pur intamplatoare. Niciun animal nu a fost ranit in realizarea acestui material.

06/06/14

Ce vrem: Securitate cibernetica sau securism cibernetic?

Noua propunere de lege privind securitatea cibernetica adoptata de guvern pe 30 Aprilie 2014 a trecut aproape neobservata, desi ar trebui sa priveasca orice cetatean detinator de telefon mobil, calculator sau laptop. Pentru ca prin noua lege acestia vor avea nu doar obligatia “să adopte şi să pună în aplicare politici de securitate cibernetică", dar si “să permită accesul reprezentanţilor desemnaţi (ai SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM) în acest scop la datele deţinute.”

Inainte sa explicam mai in detaliu, trebuie sa lamurim doua aspecte:

1. Intai ar trebui sa explic titlul.

Cand ma refer la securitate cibernetica, ma gandesc la faptul ca trebuie sa fiu sigur ca la anumite informatii stocate digital are acces doar cine cred eu ca trebuie sa aiba. Fie ca vorbim de date personale, informatii financiare sau date comerciale confidentiale stocate digital - toate trebuie sa fie pastrate in siguranta, pentru ca cei neautorizati sa nu aiba acces la ele. Aici e treaba mea sau a firmei mele cum le securizez - daca vreau sa le criptez cu cheie de 256 sau deloc. Putem discuta in ce masura anumite informatii digitale nesecurizate pot afecta alte terte persoane, dar si acolo sunt de acord ca in cazul unei culpe grave sau a intentiei trebuie sa pot sa fiu tinut responsabil. Sau daca se pierd date cu caracter personal (cum am mai povestit de data breach notifications).

Cand ma refer la securism cibernetic, ma gindesc ca statul - prin bratul sau de forta - adica structuri care apartin zone de servicii secrete, structuri de aparare a legii sau altele cu atributii in aceste zone - imi impun conduita de securitate in societatea digitala. Trecem de la scopul de a-mi proteja mie datele la a avea o (utopica) societate securizata perfect, in care orice activitate presupus neautorizata sa nu poata avea loc. Si in care statul ma poate obliga, inclusiv prin accesul la datele mele - sa imi respect aceasta conduita. Asta pare a fi o zona in care renunti la zona privata sau comerciala secrete, pentru a asigura securitatea generala. Adica securitate de dragul securitatii. Cam asta pare ca vrea noua lege.

Sa incerc sa subliniez mai bine ideea cu un exemplu practic:

Nu am cont personal pe Facebook si nici nu vreau sa imi fac vreunul (din motive personale si de privacy). Dar asta nu inseamna ca nu ii respect pe care il folosesc cum doresc ei (privat, public, profesional sau un mix).

Securitatea cibernetica ar insemna ca il las sa puna ce vrea acolo, dar pot sa incerc sa educ, sa explic, sa recomand ce anume sa nu puna pe o retea sociala - dar in cele din urma este decizia persoanei ce publica si este responsabil pentru asta.

Securismul cibernetic ar inseamna ca nu ii dau voie sa posteze infromatii daca este intr-un loc sau altul (pentru ca ar insemna ca nu este nimeni acasa), ca nu are voie sa se logheze daca nu are sistemul de operare actualizat sau ca - daca profilul sau pagina lui a fost folosit in mod fraudulos (de ex. a incitat la un protest neautorizat) atunci am voie sa intru in cont sa vad cine l-a sustinut in aceasta activitate presupus ilegala.

2. Acesta este un alt proiect adoptat pe ascuns de Guvern (al treilea numarat de mine - dupa cel cu pre-pay explicat ieri si cel cu protectia consumatorilor in comertul electronic in care efectiv ne-a mintit in fata).

Dincolo de temele legate de teoria conspiratiei, nu poti sa nu ai o intrebare legitima, dar retorica - de ce Guvernul intai adopta un act normativ, iar apoi acesta apare spre “dezbatere publica” pe site-ului Minsiterului Societatii Informationale? Si de ce MSI “organizeaza” un eveniment nepublic de “dezbatere publica” in care comunicatul final spune ca va primi comentarii de la o asociatie dupa data depunerii raportului comisiilor in Camera Deputatilor

Cred ca daca ne apucam sa analizam in detaliu proiectul o sa plictisesc prea mult cititori (si oricum planuiesc cu colegii din ApTI sa trimitem o opinie mai formala si detaliata - in special pe distinctiile majore fata de propunerea de directiva europeana privind securitatea infromatica - vezi aici textul adoptat de Parlamentul European in prima lectura si aici textul propus initial de Comisie), asa ca ma rezum la o critica punctuala si una generica.

3. Critica punctuala a proiectului de lege privind securismului cibernetic

Prevederile la care fac referire sunt defintia din art 5 pct. 8

8. infrastructuri cibernetice - infrastructuri din domeniul tehnologiei informaţiei şi comunicaţiilor, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice

unde termenul de sistem informatic trebuie inteles in relatia directa cu definitia din noul codul penal (si care inainte era in legea 161/2003)

(1) Prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.

Practic asta inseamna orice calculator, laptop, tableta, smartphone, PoS, ATM, smart meter, microprocesor programabil si altele asemenea

la care adaugam obligatiile impuse de lege pentru detinatorii de infrastructuri cibernetice din art 16 si 17:

a) să adopte şi să pună în aplicare politici de securitate cibernetică, cu respectarea cerinţelor minime de securitate stabilite la nivel naţional de Ministerul pentru Societatea Informaţională sau de către alte autorităţi publice competente potrivit legii;
b) să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate în infrastructurile cibernetice proprii sau aflate în responsabilitate;
c) să prevină şi să reducă la minimum impactul incidentelor care afectează infrastructurile cibernetice proprii sau aflate în responsabilitate;
(…)

Art. 17 - (1) Pentru realizarea securităţii cibernetice, deţinătorii de infrastructuri cibernetice au următoarele responsabilităţi:
a) să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării;
b) să informeze, de îndată, autorităţile şi instituţiile publice prevăzute la lit.a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege.

Sunt convins ca trebuie sa fie o greseala de a mea de interpretare intr-un text perfect normal. Dar daca stam stramb si citim textul drept asta vedem:

1. Toti utilizatorii de calculatoare si smartfoane trebuie sa aiba politici de securitate cibernetica. Si sa aiba masuri organizatorice adecvate.

Doar cine nu a vazut un raport de audit de securitate informatica, nu poate sa intelega despre cata hartogaraie vorbim si cat costa sa le faci. Ati innebunit???

Mai ramine sa ne impuna fiecarui utilizator sa facem un audit cibernetic (am vazut ca au evitat termenul de audit informatic, ca sa ne bage in ceata si mai rau, nu Adrian?) care costa citeva mii de euro si am rezolvat problemele de securitate ale Romaniei. Vom fi un stat sigur.

2. Toti utilizatorii trebuie sa “permita accesul la date” acestor autoritati la solicitarea lor motivata.

Adica trecem de la situatia actuala in care accesul la un sistem informatic al altuia se poate face doar cu mandat de la judecator sau, evident, cu consimtamintul proprietarului sistemului informatic la o situatie in care 9 institutii sa li se “permita accesul la date”. Doar pe o motivare interna? Deci nu mai trebuie sa le dai tu datele relevante, ci sa le dai tu intregul acces? Catre MapN? Catre SPP? Ce treaba au ele cu sistemele tale informatice?

Incep sa cred ca oamenii care au scris proiectul de legea au vise legate de a avea acces oriunde si oricum la orice sistem informatic din Romania. Dar sa pui asta intr-un proiect de lege care sa fie si adoptat de Guvern, este deja neverosimil. Inca sper ca este o greseala pe care toti specialistii guvernului nu au vazut-o si ca de fapt nu au vrut sa reglementeze asta.


4. Critica de fond a proiectului de lege privind securismului cibernetic

Cred ca proiectul de lege porneste de la o premisa falsa: Sistemele informatice ne apartin noua, cetatenilor. Sau noua, firmelor. Internetul este o retea publica, dar este administrata de privati. ICANN, IETF sau IANA sunt institutii care sunt deschise prin esenta si care implica cati mai multi actori. (multi-stakeholders). Furnizorii de Internet sunt societati comerciale private. Furnizorii de retele si servicii de comunicatii electronice sunt privati. Aceastia nu pot fi reglementati la fel ca sistemele informatice sau retelele detinute de autoritatile publice.

Nu rezolvi problema de securitate informatica prin nominalizarea unui serviciu secret eminamente opac care sa se ocupe de un subiect unde cooperarea intre sectorul public si privat, transparenta si respectarea legislatiei privind protectia datelor personale sunt stalpi esentiali.

Nu zic eu asta, ca buricul pamintului, ci sunt si concluzii ale textului adoptat de Parlamentul European in prima citire a directivei (si care e inca in dezbatere):

Cadrul juridic ar trebui să se întemeieze pe nevoia de a garanta viața privată și integritatea cetățenilor.

Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. (…) Sunt necesare garanții adecvate pentru a se asigura că o astfel de cooperare nu va expune operatorii în cauză la un risc de conformitate mai mare sau la noi obligații în temeiul legislației privind concurența, proprietatea intelectuală, protecția datelor sau criminalitatea informatică, printre altele, nici nu îi va expune la riscuri operaționale sau de securitate mai mari.

Autoritățile competente și punctele unice de contact ar trebui să fie organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor, al aplicării legii sau al apărării și nici să fie legate organizațional în vreun fel de organismele active în aceste domenii.

5. Concluzii?

Da, securitatea cibernetica ne priveste pe noi toti, ca parte a unui eco-sistem digital.

Nu, securitatea nu trebuie impusa cu de-a sila de o institutie de securitate pentru toti cetatenii care au dispozitive informatice.

1 2 3 4 5 6 7 8 9 10 11 ... 103 >>

Blog juridic al lui Bogdan Manolea cu informatii referitoare la legislatie, jurisprudenta, articole si stiri legate de domeniul Dreptului Tehnologiei Informatiei din Romania si strainatate.

Gpec Summit 2014


Subscrie la acest blog pentru a primi actualizarile prin e-mail

Adresa de e-mail


Realizat de FeedBlitz

XML Feeds

Search

December 2014
Mon Tue Wed Thu Fri Sat Sun
 << <   > >>
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Multumesc

V-a fost util ceva de pe blog sau pe de site ?
De azi va permit sa imi lasati un multumesc

Licenta Creative Commons BY-SA 3.0 Romania

Licenţa Creative Commons
Blogul Legi-internet.ro de Bogdan Manolea este licenţiat printr-o Licenţă Creative Commons Atribuire - Distribuire-în-condiţii-identice 3.0 România .

Who's Online?

  • Guest Users: 57
powered by b2evolution free blog software