Category: "Criminalitate informatica"

Pages: 1 3 4 5 ...6 ...7 8 9

09/02/16

  18:26:00, by Bogdan, 600 words  
Categories: Stiri - Romania, Pareri personale, Legislatie, Criminalitate informatica, Viata privata

Noul proiect de lege privind securitatea cibernetică și principiile care lipsesc

A. Principiile securității informatice - de la stat la privat

Securitatea informatică este o problemă care ne privește pe toți. Dar securitatea informațiilor noastre electronice înseamnă nu doar securitatea statului, ci și securitatea informațiilor personale (ex. date personale, informații private) sau de securitatea informațiilor unei companii (ex. liste de clienți, informații confidențiale de serviciu). Care uneori nu trebuie să fie știute de stat.

De aceea propunem 5 principii pe care propunerea de lege actuală nu le respectă:

1. Trebuie să fie clar cui se aplică legea, nu definiții vagi care bagă toate persoanele juridice în aceiasi oală. Noi credem că subiecții legii trebuie să fie exclusiv infrastructurile naționale de interes public (ca în propunerea de directivă europeană).

2. Sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ dar în același timp respectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate

3.  Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore.

4.  Dacă se creează categoria “furnizorilor de servicii de securitate” care trebuie să fie înregistrați undeva, atunci toate detaliile trebuie reglementate prin lege și nu printr-o legislație viitoare secundară și neclară - ei trebuie să aibă obligații clar stipulate prin lege de a-și proteja clienții in primul rând și nu să devină delatori ai statului.

5. Toate celelalte obligații de securitate a informației trebuie incluse în legislația sectorială

Vezi documentul integral cu motivațiile și posibilitatea de a susține aceste principii pe privacy.apti.ro sau pe documentul de pe Google Docs -

B. Efectul legii asupra sectorului privat - birocrația securistică

Mai adaug o chestiune aici ca sa punctez ca noul proiect de lege are de fapt un efect nociv mai mare asupra sectorului privat digital, decat al drepturilor fundamentale - in comparatie cu vechiul proiect.

Astfel- dupa cum cititorii bine informați ai blogului o știu foarte bine - orice serviciu pe Internet (de la o pagina de e-commerce, un site de știri sau serviciu online) intra în categoria “serviciilor societatii informationale)".

Asta inseamna ca toti furnizorii de servicii digitale cel putin vor trebui să:
- notifice orice incident de securitate cibernetică identificat catre o autoritate a statului (art 20 1) b)
- elaborareze și implementeze politici și planuri de securitate cibernetică
, cu respectarea cerinţelor minime de securitate - art 18 1) b)
- adopte măsuri tehnice și organizatorice pentru managementul incidentelor de securitate cibernetică; art 18 1) c)

De fapt daca intrepretam in mod cinic definitia de la art 2 o), ar putea sa fie toate infrastucturi critice de interes national (ICIN). Daca vreuna din firme e declarata ICIN, atunci o sa fiti obligati la audit de securitate anual, rapotarea incidentelor de securitate la SRI si angajarea unor furnizori de servicii de securitate acreditati de MCSI.

Daca o interpretam pozitiv, in cel mai rau caz o sa trebuiasca sa treceti prin parcursul birocratic mirific prevazut de art 14-16 din lege (succes sa va dati seama!)

Abia astept sa vad daca trece proiectul de lege in formula asta sa vad cum MCSI o sa se chinuie sa identifice cine sunt furnizorii de servicii ai societatii informationale din Romania si sa le trimite chestionar in care probabil veti regasi intrebarea:

Care este potenţialul impact asupra securităţii infrastructurilor cibernetice prin compromiterea confidenţialităţii, integrităţii, disponibilităţii, autenticităţii sau a non-repudierii datelor, resurselor şi serviciilor dumneavoastra si cum va afecta viaţa şi siguranţa cetăţeanului și încrederii utilizatorilor în serviciile dvs.?

În fabuloasa Romănie digitală care promoveaza antreprenoriatul digital o să fie mai bine să vă faceți firma de IT în Bulgaria sau Moldova, chiar dacă prestați serviciile in Romănia.

Va dorim birocrație securistică placută!

Pentru masochistii ca mine, textul legii e aici.

23/09/14

  14:27:00, by Bogdan, 809 words  
Categories: Stiri - Romania, Legislatie, Drept & Internet, Criminalitate informatica, Viata privata

Legea securitatii cibernetice revine pe fast forward

Doar nu credeati ca o data cu decizia pe pre-pay, onor alesii nostrii si institutiile impingatoare de securism cibernetic au inteles ca textele de lege ar trebui dezbatute serios - mai ales cele care aduc atingere libertatilor fundamentale?

Propunerea de lege prvind securitatea cibernetica a Romaniei n-a mai fos dezbatuta in Camera Deputatilor, ca a trecut prin adoptare tacita pe 17 Septembrie.

De cum a fost trimisa la Senat, a primit termen de 2 (doua) zile (adica maine) pentru a primi raport de la Comisia de aparare (adica Comisia de fond). (desi NU este oficial in procedura de urgenta). Evident, comisia de drepturile omului nu a fost inclusa nici macar pentru aviz.

Dupa cum v-am mai precizat deja, propunerea asta de lege este mult mai naspa decat cea cu pre-pay-ul care un mizilic. Sa va reamintesc cele mai interesante propuneri:

  • Toate firmele (ca SRI zice ca utilizatori nu inseamna persoane fizice, eu zic ca inseamna - dar sa nu ne pierdem in detalii) trebuie sa “permita accesul la date” acestor autoritati (SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM). Accesul se face la simpla “solicitare motivata". Atentie mare - nu e vorba sa dai datele informatice pe care le ai si care ar putea sa ajute la vreo investigatie, ci “accesul la date", daca n-am fost prea subtil cu diferenta asta.
  • Toate firmele care au un laptop, smartphone sau orice alt device trebuie sa adopte politici de securitate cibernetică, ca si să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Asta inseamnă minim 1500 de euro/firma investiți in securitate. (o sa vedeti ce chestii frumoase trebuie sa scrieti in politicile de securitate cibernetica…)
  • In vreme ce UE ne cere ca aceste instituții care se ocupa de domeniul securității cibernetice să fie “organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor", noi dam SRI-ul ca cea mai democratica, civila si apropriata de cetateni dintre institutii. Competenta tehnica o avea, dar sub control democratic nu este. Si nici nu cunoaste termeni precum dezbatere publica, acces la informatii publice sau transparenta decizionala.

Dar va zic - nu va agitati prea mult!

Oricum Senatul nu are timp sa dezbata, iar cele “18 victime/secunda (n.m - asta vine 1.5 mil de victime pe zi) ale Internetului” au nevoie de SRI sa le protejeze. Chiar daca ele nu vor.:roll:

De asemenea, observatiile unora si amendamentele depuse nici macar nu sunt luate in considerare pentru este greu sa judeci cu mintea ta. Daca ne zice SRI ceva, atunci asa este cu siguranta. :roll:

Iar argumentele de drepturile omului sau deciziile CCR nu sunt suficiente pentru nimeni - oricum Romania nu este o democratie. CCR a declat ca accesul la datele de trafic trebuie supus controlului unui judecator, dar cu siguranta va decide altfel daca datele accesate pot fi si date de continut (deci mai mult decat date de trafic).:roll:

Solicitările de acces la datele reţinute în vederea utilizării lor în scopul prevăzut de lege, formulate de către organele de stat cu atribuţii în domeniul securităţii naţionale, nu sunt supuse autorizării sau aprobării instanţei judecătoreşti, lipsind astfel garanţia unei protecţii eficiente a datelor păstrate împotriva riscurilor de abuz precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date. Această
împrejurare este de natură a constitui o ingerinţă în drepturile fundamentale la viaţă intimă, familială şi privată şi a secretului corespondenţei şi, prin urmare, contravine dispoziţiilor constituţionale care consacră şi protejează aceste drepturi.

Am zis destule. Pentru o completare a imaginii generale cititi si articolul lui Dan Tapalaga - Tara Democratiei cu Epoleti. Iar unul dintre autorii de pe Contributors comenteaza sec situatia de detaliu mai bine decat v-as fi descris-o eu:

Mai există de asemenea în România legi proaste, cu dispoziții neconstituționale, adoptate de parlamentari ce fac exces de zel în clădirea unor relații de bună vecinătate cu alte instituții ale statului, precum și instituții ale statului ce fac exces de zel în criticarea Curții Constituționale pentru că cenzurează excesele de prostie intenționată ale Parlamentului. Toate acestea sub acoperirea unei șarade legate de rezultate deosebite, însă selective (mai nou chiar în sens activ-negativ), în lupta împotriva corupției, precum și sub acoperirea a de acum omniprezentei amenințări externe, în special cibernetice și în special din Orientul Mijlociu. Ar fi rizibil dacă nu ar fi trist pentru că înainte să fie albastru precaut a fost roz imaginat, mai ales înainte ca prietenoasa primăvară rusească să își arate delicat ghioceii la Odessa.

Într-un cuvânt, totul e bine în România, țara este sigură și va fi bine protejată cibernetic de acțiuni de subversiune internă realizate în forță, precum puciul parlamentar anticonstituțional din vara lui 2012, un maxim de stabilitate roz sub umbrela alianței ce e datoare să apere România. Uneori chiar și de ea însăși, nu-i așa? Și în continuare, în România, nimeni nu are absolut nicio problemă.

Noapte buna!

06/06/14

  17:07:00, by Bogdan, 1641 words  
Categories: Stiri - Romania, Pareri personale, Drept & Internet, Criminalitate informatica, Viata privata

Ce vrem: Securitate cibernetica sau securism cibernetic?

Noua propunere de lege privind securitatea cibernetica adoptata de guvern pe 30 Aprilie 2014 a trecut aproape neobservata, desi ar trebui sa priveasca orice cetatean detinator de telefon mobil, calculator sau laptop. Pentru ca prin noua lege acestia vor avea nu doar obligatia “să adopte şi să pună în aplicare politici de securitate cibernetică", dar si “să permită accesul reprezentanţilor desemnaţi (ai SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM) în acest scop la datele deţinute.”

Inainte sa explicam mai in detaliu, trebuie sa lamurim doua aspecte:

1. Intai ar trebui sa explic titlul.

Cand ma refer la securitate cibernetica, ma gandesc la faptul ca trebuie sa fiu sigur ca la anumite informatii stocate digital are acces doar cine cred eu ca trebuie sa aiba. Fie ca vorbim de date personale, informatii financiare sau date comerciale confidentiale stocate digital - toate trebuie sa fie pastrate in siguranta, pentru ca cei neautorizati sa nu aiba acces la ele. Aici e treaba mea sau a firmei mele cum le securizez - daca vreau sa le criptez cu cheie de 256 sau deloc. Putem discuta in ce masura anumite informatii digitale nesecurizate pot afecta alte terte persoane, dar si acolo sunt de acord ca in cazul unei culpe grave sau a intentiei trebuie sa pot sa fiu tinut responsabil. Sau daca se pierd date cu caracter personal (cum am mai povestit de data breach notifications).

Cand ma refer la securism cibernetic, ma gindesc ca statul - prin bratul sau de forta - adica structuri care apartin zone de servicii secrete, structuri de aparare a legii sau altele cu atributii in aceste zone - imi impun conduita de securitate in societatea digitala. Trecem de la scopul de a-mi proteja mie datele la a avea o (utopica) societate securizata perfect, in care orice activitate presupus neautorizata sa nu poata avea loc. Si in care statul ma poate obliga, inclusiv prin accesul la datele mele - sa imi respect aceasta conduita. Asta pare a fi o zona in care renunti la zona privata sau comerciala secrete, pentru a asigura securitatea generala. Adica securitate de dragul securitatii. Cam asta pare ca vrea noua lege.

Sa incerc sa subliniez mai bine ideea cu un exemplu practic:

Nu am cont personal pe Facebook si nici nu vreau sa imi fac vreunul (din motive personale si de privacy). Dar asta nu inseamna ca nu ii respect pe care il folosesc cum doresc ei (privat, public, profesional sau un mix).

Securitatea cibernetica ar insemna ca il las sa puna ce vrea acolo, dar pot sa incerc sa educ, sa explic, sa recomand ce anume sa nu puna pe o retea sociala - dar in cele din urma este decizia persoanei ce publica si este responsabil pentru asta.

Securismul cibernetic ar inseamna ca nu ii dau voie sa posteze infromatii daca este intr-un loc sau altul (pentru ca ar insemna ca nu este nimeni acasa), ca nu are voie sa se logheze daca nu are sistemul de operare actualizat sau ca - daca profilul sau pagina lui a fost folosit in mod fraudulos (de ex. a incitat la un protest neautorizat) atunci am voie sa intru in cont sa vad cine l-a sustinut in aceasta activitate presupus ilegala.

2. Acesta este un alt proiect adoptat pe ascuns de Guvern (al treilea numarat de mine - dupa cel cu pre-pay explicat ieri si cel cu protectia consumatorilor in comertul electronic in care efectiv ne-a mintit in fata).

Dincolo de temele legate de teoria conspiratiei, nu poti sa nu ai o intrebare legitima, dar retorica - de ce Guvernul intai adopta un act normativ, iar apoi acesta apare spre “dezbatere publica” pe site-ului Minsiterului Societatii Informationale? Si de ce MSI “organizeaza” un eveniment nepublic de “dezbatere publica” in care comunicatul final spune ca va primi comentarii de la o asociatie dupa data depunerii raportului comisiilor in Camera Deputatilor

Cred ca daca ne apucam sa analizam in detaliu proiectul o sa plictisesc prea mult cititori (si oricum planuiesc cu colegii din ApTI sa trimitem o opinie mai formala si detaliata - in special pe distinctiile majore fata de propunerea de directiva europeana privind securitatea infromatica - vezi aici textul adoptat de Parlamentul European in prima lectura si aici textul propus initial de Comisie), asa ca ma rezum la o critica punctuala si una generica.

3. Critica punctuala a proiectului de lege privind securismului cibernetic

Prevederile la care fac referire sunt defintia din art 5 pct. 8

8. infrastructuri cibernetice - infrastructuri din domeniul tehnologiei informaţiei şi comunicaţiilor, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice

unde termenul de sistem informatic trebuie inteles in relatia directa cu definitia din noul codul penal (si care inainte era in legea 161/2003)

(1) Prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.

Practic asta inseamna orice calculator, laptop, tableta, smartphone, PoS, ATM, smart meter, microprocesor programabil si altele asemenea

la care adaugam obligatiile impuse de lege pentru detinatorii de infrastructuri cibernetice din art 16 si 17:

a) să adopte şi să pună în aplicare politici de securitate cibernetică, cu respectarea cerinţelor minime de securitate stabilite la nivel naţional de Ministerul pentru Societatea Informaţională sau de către alte autorităţi publice competente potrivit legii;
b) să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate în infrastructurile cibernetice proprii sau aflate în responsabilitate;
c) să prevină şi să reducă la minimum impactul incidentelor care afectează infrastructurile cibernetice proprii sau aflate în responsabilitate;
(…)

Art. 17 - (1) Pentru realizarea securităţii cibernetice, deţinătorii de infrastructuri cibernetice au următoarele responsabilităţi:
a) să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării;
b) să informeze, de îndată, autorităţile şi instituţiile publice prevăzute la lit.a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege.

Sunt convins ca trebuie sa fie o greseala de a mea de interpretare intr-un text perfect normal. Dar daca stam stramb si citim textul drept asta vedem:

1. Toti utilizatorii de calculatoare si smartfoane trebuie sa aiba politici de securitate cibernetica. Si sa aiba masuri organizatorice adecvate.

Doar cine nu a vazut un raport de audit de securitate informatica, nu poate sa intelega despre cata hartogaraie vorbim si cat costa sa le faci. Ati innebunit???

Mai ramine sa ne impuna fiecarui utilizator sa facem un audit cibernetic (am vazut ca au evitat termenul de audit informatic, ca sa ne bage in ceata si mai rau, nu Adrian?) care costa citeva mii de euro si am rezolvat problemele de securitate ale Romaniei. Vom fi un stat sigur.

2. Toti utilizatorii trebuie sa “permita accesul la date” acestor autoritati la solicitarea lor motivata.

Adica trecem de la situatia actuala in care accesul la un sistem informatic al altuia se poate face doar cu mandat de la judecator sau, evident, cu consimtamintul proprietarului sistemului informatic la o situatie in care 9 institutii sa li se “permita accesul la date”. Doar pe o motivare interna? Deci nu mai trebuie sa le dai tu datele relevante, ci sa le dai tu intregul acces? Catre MapN? Catre SPP? Ce treaba au ele cu sistemele tale informatice?

Incep sa cred ca oamenii care au scris proiectul de legea au vise legate de a avea acces oriunde si oricum la orice sistem informatic din Romania. Dar sa pui asta intr-un proiect de lege care sa fie si adoptat de Guvern, este deja neverosimil. Inca sper ca este o greseala pe care toti specialistii guvernului nu au vazut-o si ca de fapt nu au vrut sa reglementeze asta.


4. Critica de fond a proiectului de lege privind securismului cibernetic

Cred ca proiectul de lege porneste de la o premisa falsa: Sistemele informatice ne apartin noua, cetatenilor. Sau noua, firmelor. Internetul este o retea publica, dar este administrata de privati. ICANN, IETF sau IANA sunt institutii care sunt deschise prin esenta si care implica cati mai multi actori. (multi-stakeholders). Furnizorii de Internet sunt societati comerciale private. Furnizorii de retele si servicii de comunicatii electronice sunt privati. Aceastia nu pot fi reglementati la fel ca sistemele informatice sau retelele detinute de autoritatile publice.

Nu rezolvi problema de securitate informatica prin nominalizarea unui serviciu secret eminamente opac care sa se ocupe de un subiect unde cooperarea intre sectorul public si privat, transparenta si respectarea legislatiei privind protectia datelor personale sunt stalpi esentiali.

Nu zic eu asta, ca buricul pamintului, ci sunt si concluzii ale textului adoptat de Parlamentul European in prima citire a directivei (si care e inca in dezbatere):

Cadrul juridic ar trebui să se întemeieze pe nevoia de a garanta viața privată și integritatea cetățenilor.

Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. (…) Sunt necesare garanții adecvate pentru a se asigura că o astfel de cooperare nu va expune operatorii în cauză la un risc de conformitate mai mare sau la noi obligații în temeiul legislației privind concurența, proprietatea intelectuală, protecția datelor sau criminalitatea informatică, printre altele, nici nu îi va expune la riscuri operaționale sau de securitate mai mari.

Autoritățile competente și punctele unice de contact ar trebui să fie organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor, al aplicării legii sau al apărării și nici să fie legate organizațional în vreun fel de organismele active în aceste domenii.

5. Concluzii?

Da, securitatea cibernetica ne priveste pe noi toti, ca parte a unui eco-sistem digital.

Nu, securitatea nu trebuie impusa cu de-a sila de o institutie de securitate pentru toti cetatenii care au dispozitive informatice.

12/04/13

  18:59:00, by Bogdan, 601 words  
Categories: Stiri - Romania, Legislatie, Evenimente, Criminalitate informatica

Despre drepturile consumatorului in comertul online

Am moderat pe 10 Aprilie 2013 o masă rontundă despre drepturile consumatorilor în comerțul online, organizată de către proiectului Consumator European susținut de către Comisia Europeană.

Au mai scris și alții despre dezbatere mai pe larg, despre rolul Centrelor Europene ale Consumatorilor sau un caz concret prezentat care ridică niște semne de întrebare referitoare la standardul 3D secure și modul cum (nu) este explicat consumatorilor. Sau chestii amuzante.

Eu mi-am notat patru chestiuni care mi se par importante de împărtășit și publicului mai larg:

1. ANPC are pe site un prim draft al unei propuneri de proiect de lege care va implementa în legislația românească Directiva 2011/83/UE privind drepturile consumatorului. Cum este doar un proiect ar fi prematur să facem supoziții, dar remarc că nu pleacă prea mult dincolo de textul directivei. (ceea ce în cazul acesta nu este prea rău)

2. Am apreciat faptul că domnul Meiu de la ANPC a susținut în mai multe rânduri necesitatea auto-reglementării, ca și a rezolvării problemelor cu comerciantul, înainte de a face o plângere la ANPC. De fapt chiar a spus că autoritatea (care oricum este subdimensionată la nivelul de plângeri care le primește) încurajează acest lucru pentru plângerile care le primește. Acest lucru mi-a adus aminte cât am insistat ca să includem în standardele Trusted.ro ca să fie o bună practică obligatorie pentru magazinele atestate Trusted.ro ca să aibă un sistem de conciliere internă, tocmai pentru a rezolva amiabil, pe cât posibil, problemele consumatorilor.

3. O chestiune concretă și utilă a fost și intervenția dnului Virgil Spiridon de la Serviciul Combaterea Criminalitatii Informatice din cadrul DIICOT, Politia Romana, care a punctat unde trebuie să faci o plângere în cazul în care ești victimă în cele mai des întâlnite cazuri penale de fraudă legate comerțul online:

  • dacă este vorba de o înșelăciune (de ex. plătești un produs și nu primești coletul sau primești un colet gol. Ori cazul în care primești un produs evident diferit - ai comandat un telefon și primești suruburi) - plângerea se va face la secția de poliție din localitatea unde stai.
  • dacă este vorba de comenzi online în care s-a folosit în mod fraudulos cartea ta de debit/credit - plângerea se va face la Serviciul de Combatere a Criminalitatii Informatice
  • dacă este vorba de licitații frauduloase - plângerea se va face la Serviciul de Combatere a Criminalitatii Informatice

În ultimele 2 cazuri plângerea se poate face și online la efrauda.ro.

4. Iarăși o chestiune practică a reieșit din dezbatere legată de situația unei probleme legată de o comandă din străinătate. Trei posibile soluții au reieșit (mai ales pentru că in acest caz ANPC nu este competent):

  • Încercare de rezolvare amiabilă, inclusiv prin Centrul European al Consumatorilor din Romania și organismele similare din UE.
  • Dacă ai plătit cu cardul, poți să ceri un refuz la plată (chargeback)

    Indiferent de unde platesti cu cardul - ca platesti la POS fizic, ca platesti online in Romania sau strainatate, ai dreptul, daca ai primit un produs care nu-ti satisface cerintele, si daca nu ai reusit pe cale amiabila sa te intelegi, sa te duci la banca ta si sa faci refuz de plata (n.a charge back) pentru acea tranzactie si banca e obligata sa investigheze acel caz si in caz in care ai dreptate sa-ti dea banii inapoi. Este o regula impusa de Visa si Mastercard si de sistemul bancar", a explicat Horia Grozea, director in cadrul Netopia mobilPay.ro. (via Hotnews)

  • Dacă nu merg soluțiile de mai sus poți face o plângere la Poliție, dar soluționarea cazului va depinde mult de colaborarea cu celelalte forțe de poliție din alte țări (de ex. în UK pentru o fraudă cu prejudiciu mic, Poliția nu are competență).

18/03/13

CFR crede ca are monopol pe mersul trenurilor. Si pe net!

Mi-a ajuns la urechi zilele trecute un caz interesant (dar deranjant în același timp!) de un presupus caz de criminalitate infromatică. Care ne arată că povestea lui Aaron Swartz se poate replica și în România, doar că la un nivel mult mai ridicol.

Cazul
Pe scurt, una din firmele CFR-ul, proprietar al site-ului infofer.ro sau www.cfrcalatori.ro de unde puteți afla mersul trenurilor din România (asta dacă nu va pierdeți în interfața de secol trecut), a început să dea în judecată în penal pe toți cei care i-au copiat informațiile din mersul trenurilor, considerând că aceștia au preluat informațiile accesând fără drept (infracțiune prevazută de art 42, legea 161/2003) sistemul informatic al CFR, adică site-ul mai sus menționat.

Deci CFR consideră că unii oamenii ar trebui să intre la pârnaie pentru ca au facut o aplicație mai bună decât a lor.

Citeva aspecte juridice, si nu doar merita dezbatute:

De ce?

Dincolo de orice argument pro sau contra din spectrul juridic mă întreb de ce naiba o fi vrând CFR să-și “protejeze” mersul trenurilor. În fond informația nu doar că este publică prin esența ei, dar este unul din principalele motoare prin care poți să-ți atragi călătorii. Faptul că orice călător poate să afle căt mai repede că există un tren care pleacă la 14 30 din București și ajunge la 15 30 în Ploiești mă face să mă duc la gară și să îmi cumpăr bilet (sau chiar să-l cumpăr online). Dar de ce ar trebui să pot afla această informație doar de pe site-ul lor oficial? Cu ce te-ar putea deranja că alții îti fac practic reclamă în mod gratuit?

Singura motivație cât de cât posibilă ar fi explicația că aceste site-uri (cum a fost http://merstrenuri.ro) îți dădeau posibilitatea de căuta nu doar în mersul trenurilor CFR, ci și în mersul trenurilor private. Care ar fi fost dăunător mai ales dacă ar fi trecut la pasul 2 - să compari și prețurile. Deci teama stupidă de concurența (în loc să se axeze pe îmbunătățirea serviciilor) este singurul motiv al unei decizii nu doar stupide, ci care dovedește o gândire comercială retrogradă.

Poate fi scrape-ingul o infracțiune?

Practic - cei ce au “copiat” mersul trenurilor probabil au luat o informație ce deja este pe site-ul public de pe Internet (sunt mai multe in speță gen : mersultrenurilor.ro , merstren.ro, mersul-trenurilor.infoturism.ro, http://merstrenuri.ro) - asta daca nu cumva or fi platit 2 studenți sa ia filă cu filă din Mersul Trenurilor pe hârtie și să le bage într-o bază de date.

Cazuri similare cu preluarea mersurilor trenurilor au mai fost și în Germania sau SUA (și acolo au stârnit indignarea publicului, mult înainte de orice verdict).

Simplificând mult problema juridică, putem rezuma acest subiect pe o singură întrebare - era “fără drept” acest acces la site-ul public al CFR?

Răspunsul evident este negativ, în opinia mea. Dintr-un motiv extrem de simplu - site-ul public al CFR cu mersul trenurilor nu are nicio informare cum că o asemenea utilizare nu ar fi legală. (obligatorie cf art 41 din legea 161/2003)

Chiar si dacă o asemenea informare ar fi existat (de exemplu în Termeni și Condiții), este discutabil (iar deciziile de pina acum - din afara României, evident) în ce masura acel text ar fi fost opozabil unui terț care poate face web scraping, fără a citi Termenii si Conditiile înainte.

Dar din punct de vedere practic o asemenea interpretare ar fi doar o mare prostie în era web 2.0, dacă ma întrebați pe mine.(evident, nu vorbim de situația în care conținutul parsat ar fi fost protejat de alte drepturi). Daca vreți ca un anumit conținut să nu fie parsat, puneți niște mijloace tehnice minime de protecție și atunci putem discuta și de fapta penală a celui ce le depășește. EFF are o campania în SUA tocmai pentru modificarea legii lor de criminalitate informatică pentru a dezincrimina în mod direct acest aspect.

Este baza de date de Mersul Trenurilor protejată de vreo lege?

Iarăsi răspunsul meu ar fi negativ.

În primul rând nu există nimic original în baza de date în sine sau în metoda de prezentare publică pentru a putea beneficia pentru o protecție prin dreptul de autor.

Am putea însă discuta mai în detaliu despre posibila protecție prin dreptul sui-generis asupra conținutului integral al bazei de date. (cap VI legea 8/1996). Din fericire însa jurisprudența destul de recentă și bogată a Curții Europene de Justiție pe acest subiect a limitat extrem de mult definiția producătorului de baze de date, care ar putea benficia de o protecție prin dreptul sui-generis:

Astfel CEJ interpretează în mod restrictiv termenul de „obținere” a conținutului unei baze de date, excluzând costurile legate direct de crearea acestor date, comentând:

„ Scopul protecției prin dreptul sui generis stabilit prin directivă este să stimuleze punerea în funcțiune de sisteme de stocare și procesare pentru informația existentă și nu crearea unor elemente susceptibile ulterior să fie incluse într-o bază de date”

Practic Curtea decide ca fabricantul poate avea un drept sui generis doar dacă a investit substanțial în obținerea sau verificarea de date din surse independente, iar investiția în crearea datelor care formează baza de date nu duce la dreptul sui-generis. Cei care creează datele trebuie sa investească substanțial în aranjarea și selectarea lor pentru a beneficia de acest drept.

Autocitare din “Introducere în subiectul datelor deschise Și problemelor sale juridice", Revista Romana de Dreptul Afacerilor 1/2013

Pot fi datele de transport date deschise (a.k.a open data)?

Eu cred ca experiențele din Marea Britanie, dar nu numai, din zona de open data prin reutilizarea informațiilor legate de trafic sau transporturi (de fapt indiferent dacă vorbim de mașini, trenuri sau feriboturi) ne demonstrează că există un beneficiu social imens din re-utilizarea acestor date, iar uneori și un beneficiu economic pentru cei ce sunt suficient de deștepți pentru a prezenta într-un mod atractiv. Și în final poate duce la o mai bună utilizare a mijloacelor de transport în comun.

Iar faptul că există aceste servicii, e adevărat la nivel incipient și în România, ne arată că și la noi există antreprenori din zona privată care doresc să o exploreze.

Intrebarea de fond, dincolo de toate aspectele juridice, este una simplă:

Punem umărul (deschizând datele) sau punem frână (inventând procese stupide)?

29/11/12

  13:08:28, by Bogdan, 1003 words  
Categories: Stiri - Romania, Pareri personale, Criminalitate informatica, Viata privata

Incidentul de securitate de ieri cu Google.ro: Stati linistiti, nimeni nu este vinovat si nimic nu s-a intamplat

Precum probabil o parte din voi stiti, Google.ro a afisat ieri pentru citeva ore bune pentru unii utilizatori de Internet din Romania un mesaj al unui hacker alegerian..

O analiza tehnica mai larga a ceea ce s-a intamplat o gasiti in articolul lui Stefan Tanase de la Kaspersky Romania (romana, dar fara actualizari si in engleza- cu actualizari) sau Bitdefender.

Concluzia este cea mai probabila este ca incidentul de securitate (DNS hijacking/poisoning) se pare ca s-a petrecut la serverele DNS administrate de ICI/RoTLD.

Cum in urma cu aproape o saptamana, scriam despre un incident similar la administratorul ccTLD .ie nu pot sa nu imi pun un mare semn de exclamare si citeva intrebari.

Este inacceptabil ca niciunul dintre actorii implicati in incidentul de securitate sa nu iasa public cu un comunicat oficial a ceea ce s-a intamplat sau macar de recunoastere a problemei!!!

Asta este semnul mare de exclamare! In cazul similar din Irlanda, a existat imediat o nota publica din partea administratorului domeniului .ie, in care si-au recunoscut.

In cazul nostru - nimic. La mai mult de 24 de ore dupa atac (de care au scris toate ziarele) site-ul RoTLD apare ca si cum nimic nu s-ar fi implicat. CERT Romania vobeste de un raport ENISA in prima stire (oricum sunt in aceiasi cladire cu RoTLD), Google Romania sau ISP-isti dau vina pe altii: nu e problema noastra, serviciile noastre sunt perfecte.

Singurii care au iesit cu ceva au fost cei de la Kaspersky Romania, care au recunoscut ca si domeniul lor ar fi fost afectat.

Doua intrebari:
1. Au notificat ISP-istii pe cei de la ANCOM pentru o “pierdere a integritatii care are un impact semnificativ asupra furnizarii (…) serviciilor”, asa cum le cere art 47 alin 1 din OUG 111/2011?

(1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a notifica ANCOM, în cel mai scurt timp, cu privire la orice încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra furnizării reţelelor sau serviciilor.

Din pacate obligatia este momentan doar pentru ISP-istii, dar ne arata cit de complicat este eco-sistemul Internet si de ce este esential ca obligatia de notificare a incalcarii securitatii sa fie extinsa - de fapt exista deja in propunerea de Regulament pentru protectia datelor personale.

2. Fiind vorba in mod evident de posibilitatea savirsirii unei infractiuni (de ex. acces la drept la un sistem informatic) a anuntat cineva organele competente de Politie. Si daca da, cine?
A inceput vreo investigatie interna in locul unde s-a produs incidentul de securitate si care sa se incheie cu un raport public din care sa rezulte exact ce s-a intamplat si ce masuri s-au luat pentru a nu se mai intampla acest lucru?

Macar sa invatam ceva din experienta irlandeza - aici este raportul lor public dupa incident.

Si mai vorbim despre cyber-securitate la conferinte pompoase? Sa fim seriosi…

Dar ca sa nu credeti ca doar romanii sunt destepti (atit de destepti, incat au uitat sa ia domeniul .com http://romaniisuntdestepti.com), aruncati-va o privire cum blogul ITU (institutia aia ce vroia sa ia controlul Internetului, pt ca nu este o retea sigura) avea username-ul si parola identice: admin.

Alta lectie de cyber-securitate. Noapte buna, copii!

Update 3.12.2012, ora 19.03.

In fine a aparut un scurt comunicat pe site-ul RoTLD (copiat si mai jos). Nu stim ce domenii au fost afectate. Nu se spune nimic daca a existat un acces la baza de date de domenii si daca (sau de ce) toate parolele de administrare a domeniilor au fost resetate.

Intre timp astazi CERT Romania a postat ceva despre spear fishing, iar atacul de la RoTLD nu apare inca raportat. Probabil ca nu este un incident important de securitate.

Full story »

10/10/12

  17:35:45, by Bogdan, 728 words  
Categories: Evenimente, Criminalitate informatica

Criminalitatea informatica in dezbaterea judecatorilor romani

La sfarsitul saptamanii trecute a avut la Targu Jiu a 4-a editie (consecutiva!) anuala a conferintei “Justitie si Criminalitate Informatica” organizata de Tribunalul Gorj si Curtea de Apel Craiova.

Evenimentul incepe sa capete contur precis si din ce in ce mai multa substanta, nu doar prin includerea sa in calendarul oficial al evenimentelor organizate de Institutul National al Magistraturii (de fapt cred ca este singurul din zona dreptului si IT), ci si prin 3 trasaturi ce il fac din ce in ce mai necesar:

- continuitatea este poate un element care la prima vedere nu ar fi important. Dar este mult mai usor sa organizezi un eveniment o data (sau de 2 ori) si mult mai greu sa il repeti anual pe o perioada indelungata. Aici principalul “vinovat” este jud. Florin Encescu, care are nu doar o pasiune pentru subiectul conferintei, ci si o “manie a organizarii perfecte", care te obliga sa te simti bine. :D

- multi-disciplinaritatea este inerenta subiectului. Nu poti intelege pe deplin infractiunea de acces fara drept la un sistem informatic, daca nu stii ce poate fi in practica un sistem informatic. Dar dincolo de teorie, doar daca pui la un loc reprezentanti din sectoare atit de diverse - de la mediul privat bancar sau solutii de securitate si pina la judecatori - este imposibil sa nu iasa macar una sau doua idei/interpretari sau macar intrebari pe care le poti folosi in activitatea ta zilnica.

- evolutia tehnologica este atit de rapida incat ai ceva nou de discutat in fiecare an. Din pacate cam acelasi lucru se poate spune si despre evolutia normelor legislative, unde insa rapiditatea nu este neaparat un element pozitiv. Iar calitatea normelor… hai mai bine sa nu intram in detaliile aceastea

Cu siguranta, ca este loc si de mai bine - dar criticile le trimit direct organizatorilor. :)

Revenind la subiect in sine, nu o sa abordez prezentarea mea de la eveniment ce s-a axat pe diferentele de definitie a monedei electronice si interpretarile sale ( Intre Legea 127/2011 si legea 365/2002) si o speta interesanta exact pe o asemenea interpretare culeasa din Jurindex - 664 din 28 octombrie 2009 (via Juridice.ro). Pentru ca ar putea fi referitoare la un subiect de nisa ce sa plictiseasca pe multi.

In schimb, o sa va propun 2 teme de reflectie, mai generale, bazate de 2 subiecte de discutie din a doua zi:

a. Prezentarile colegilor din BCR (ce pacat ca au fost la finalul celei de-a doua zile) au aratat cel putin 2 directii noi (si concrete cu exemple si fotografii!) de infractiuni din domeniu. De la utilizarea unei… tineti-va bine !… furculite :!::!::!: (da, da, furculita aia pe care o folositi la o masa obisnuita) la scoaterea unor bani in mod ilegal dintr-un bancomat si pina la un malware dedicat pentru o aplicatie de Internet banking a unei banci anume dintr-o tara din Uniunea Europeana.

Prezentarile m-au facut sa ma gindesc (dupa eveniment, ce-i drept) la un joc de-a soarecele si pisica in care pisica deseori pierde pentru ca trebuie sa joace dupa anumite reguli, pe cind soarecele nu are nicio limita impusa.

Asta ma face sa ma gindesc ca solutia pentru problema de fond nu este si nu poate fi (doar) in justitie. Ci tine mai degraba in educatie si in unele penalizari legale sau contractuale in cazul in care niste conditii de bun simt de securitate nu sunt respectate.

b. Unul din panel-urile de dezbatere s-a invartit (cu public cu tot) in jurul subiectului de expert tehnic judiciar din domeniul tehnologiei informatiei (am mai scris in trecut despre asta 1 si 2) Desi s-au conturat citeva posibile solutii (iar in Civil se pare ca ar fi mai mult loc de manevra - cum indicam si eu anul trecut intr-o speta de la Tribunalul Bucuresti), par mai degraba niste paliative si nu o solutie pe fond.

Nici macar improspatarea listei cu experti a MJ nu ar rezolva pe depin problema de fond. De fapt cei mai buni specialisti din zona IT (sau a securitatii IT) sunt bine platiti in privat si nici nu se pune problema ca ei sa stea la cheremul unei instante. (time is money, remember?). Cred in continuare cu tarie ca solutia reprezinta schimbarea modului de a privi problema. (adica ideea de “numire a expertilor” de catre Ministerul Justitiei).

Pina atunci, parafrazind ce ziceam acum un an:
Imi e mila de judecatorii care au nevoie intr-un proces de un expert juridic IT. Ba chiar si de avocatii ce cauta asa ceva.

13/09/12

  17:39:20, by Bogdan, 756 words  
Categories: Evenimente, Criminalitate informatica, Viata privata, Comert electronic

Si inca 3 evenimente de la inceputul toamnei...

Pentru ca ultima insemnare din blog a fost legata de 3 evenimente de la sfarsitul verii (despre care o sa va zic cite ceva la finalul insemnarii) am zis ca insemnarea legata de urmatoarele evenimente (ordinea e cronologica) pe care vroiam sa vi le prezint este legata tot ce cifra 3:

1. Pe 19-21 Octombrie 2012 la Bucuresti, Romexpo are loc Internet and Mobile World 2012 Am fost invitat la sfarsitul primei zilei pentru o dezbatere pe teme juridice legata de moduri de protectie ale tehnologiilor online pe IBM Stage (cred ca e in jur de 17 00), impreuna cu Alin Popescu si Ana Maria Andronic.

Pentru cei interesati sa participa la dezbatere, am 5 invitatii de dat, deci va rog lasati un comentariu (sau un email direct daca ne stim) in care sa mentionati de ce va intereseaza dezbaterea si veti primi informatiile necesare pe email. Pentru ceilalti, Asociatia pentru Tehnologie si Internet are un cod e discount de 30%.

2. Tot pe 19 Septembrie se va (re)lansa si Restart Romania

Ai o idee punctuală legată de creșterea transparenței și eficientizarea actului de guvernare sau crezi în soluții noi de agregare a comunităților pentru a se ajuta singure?

Propune ideea la restartromania.ro si daca ideea ta este votată de public, convinge juriul nostru și ajunge printre cele 7 idei finaliste, noi te ajutăm să găsești o echipă tehnică care îți va transforma *ideea* într-un *prototip* funcțional. Cele mai bune 3 prototipuri vor primi finanțări în valoare de 5.000 USD pentru a se dezvolta și lansa mai departe.

3. Pe 29-30 Septembrie la Bucuresti, Universitatea Politehnica are loc un hacaton, cu titlul Open Media Challenge - hack cu noi!

Programatori, graficieni, jurnalisti, activisti si studenti cu spirit de echipa si pasionati de date deschise colaboreaza in cadrul unui hacaton pe 29-30 Septembrie. Hack cu noi si inregistreaza-te aici!
Un juriu international va decide care este cea mai buna aplicatie rezultata din acest efort colaborativ. Printre altii, Stephen King, partener in cadrul Omidyar, va fi prezent la Bucuresti ca parte din acest juriu.

OMC faciliteaza scrierea de cod, avand ca rezultat programe libere, care raspund la probleme reale legate de media, in special referitoare la agregari si vizualizari de date. OMC este un efort colaborativ, axat pe colectia si distributia de informatie in Estul Europei si se va desfasura in limba engleza.

Mai multe detalii pe Thesponge.eu

Si pentru ca am zis ca va mentionez si doua vorbe despre evenimentele promovate in postul anterior.

a)Scoala de vara organizata de ELSA Iasi a iesit genial, atit dpdv al programului academic, cit si al celui social. Iar concursul de procese simulate i-a tinut pe toti in priza pina in ultima secunda a programului. Multumesc celor 5 entuziasti din comitetul de organizare care au facut un eveniment fenomenal, speakerilor invitati si tuturor participantilor pentru implicarea activa.
Daca sunteti studenti si mai auziti de un eveniment facut de ei si la anu’ va zic de acum sa nu-l ratati! :-)

b) Scoala de vara pe comert electronic organizata de Andrei Radu de la Gala Premiilor Ecommerce a fost (din nou) un eveniment Jos Palaria! in spectrul profesional al celor interesati de comert electronic. Desi nu am participat decit in ultimele 2 zile, am regasit aceiasi atmosfera deschisa, dar incinsa de discutii in grup si 1-to-1 care de multe ori tot la comert online s-au intors. Andrei a facut o descriere elocventa pe blogul Galei. Poate un element suplimentar, care a asigurat anul acesta mai multa vizibilitate evenimentului (dar si pareri mai diverse) a fot legat de prezenta mai multor bloggeri ce au scris cu virf si indesat despre eveniment. - iYli, Lavinia, Dan, Sorin, George, si , evident, atotcunoscatorul (in ale mimei empirice, nu ma intelegeti gresit:) ) Liviu Taloi.

c) Conferinta CONSENT de la Cluj (de data aceasta mai degraba in zona academica si de policy) a reunit un public interesant si specializat pe protectia datelor personale si a vietii private. Dincolo de partea de networking (care intotdeauna merita), remarc si nivelul dezbaterii de vineri dimineata unde dna Europarlamentar Renate Weber a reusit sa incite dezbaterile pe tema unui act normativ inca putin cunoscut sau dezbatut in Romania (este vorba de propunerea de Regulament pentru protectia datelor personale) dar care va avea o aplicare directa in tot spatiul european.

Le multumesc public si celor ce au raspuns invitatiei mele de a participa la eveniment - fie ca speakeri, fie ca participanti!

Bogdan Pencea de la DasCloud are o insemnare ce detalieaza key-note speech-ul lui Rainey Raitman de la Electronic Frontier Foundation (EFF) - disponibil partial si video (vezi si mai jos in insemnare), insa si in transcript.

Full story »

1 3 4 5 ...6 ...7 8 9

Blog juridic al lui Bogdan Manolea cu informatii referitoare la legislatie, jurisprudenta, articole si stiri legate de domeniul Dreptului Tehnologiei Informatiei din Romania si strainatate.

Subscrie la acest blog pentru a primi actualizarile prin e-mail

Adresa de e-mail


Realizat de FeedBlitz

  XML Feeds

Search

December 2017
Mon Tue Wed Thu Fri Sat Sun
 << <   > >>
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

Multumesc

V-a fost util ceva de pe blog sau pe de site ?
De azi va permit sa imi lasati un multumesc
powered by b2evolution free blog software