Adevarata fata a ROMANIEI DIGITALE: SECURISMUL CIBERNETIC. Guvernul vrea ca furnizorii de internet si telefonie sa permita accesul SRI, SIE et comp. la datele utilizatorilor/ VODAFONE: AUTORITATILE ASCULTA IN TIMP REAL CONVORBIRILE/ Clasa politica romaneasca, supravegherea si puterea

8-06-2014 18 minute Sublinieri

Digital privacy, Internet Surveillance and The PRISM - Enemies of the Internet

S-ar parea ca bancul cu “Salutare tie si ascultatorilor nostri” este confirmat intru totul. Vodafone, unul dintre cei mai mari operatori de telefonie mobila din lume, a dezvaluit ca exista fire secrete care le permit agentiilor guvernamentale sa asculte toate convorbirile din aceasta retea. Mai mult, oficialii Vodafone au declarat ca tehnologia aceasta este foarte folosita in 29 de tari europene in care activeaza compania, dar si in alte zone din lume.

Compania a intocmit un raport gros cat o carte in care explica modul in care guvernele monitorizeaza conversatiile oamenilor.

Vodafone sustine ca nu e singura companie de telefonie care are fir direct cu statul, si ca aceasta tehnologie s-ar aplica in cazul tuturor operatorilor, scrie The Guardian.

Raportul celor de la Vodafone cuprinde aproape toate tarile europene.

Totusi, informatiile despre ceea ce se intampla in Romania sunt vagi, pentru ca in tara noastra e interzista prin lege divulgarea informatiilor privind metodele prin care telefoanele populatiei sunt ascultate, ori mesajele citite, chiar daca astfel de practici ar exista si la noi.

La fel se intampla si in Albania, Ungaria, dar si in Egipt, India, Malta, Watar, Africa de Sud si Turcia.

raport-vodafone

  • Hotnews:

Proiectul legii securitatii cibernetice a Romaniei: Furnizorii de internet si telefonie trebuie sa permita accesul la datele clientilor catre reprezentantii SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM ‘la solicitarea motivata’ a acestora

Detinatorii de infrastructuri cibernetice (n.a toti furnizorii de internet si telefonie) trebuie sa permita accesul la datele detinute, relevante în contextul solicitării, reprezentantilor Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM la “solicitarea motivata” a acestora. Dispozitia apare in proiectul Legii securitatii cibernetice a Romaniei, initiat si adoptat de Guvern in 30 aprilie, si dezbatut acum in Parlament.

Dispozitia din proiectul de lege a fost semnalata initial dejuristul Bogdan Manolea pe blogul sau:Drept & Internet – noutati si opinii.

Iata ce prevede articolul 17 din acest proiect legislativ:

Art. 17 –  (1) Pentru realizarea securităţii cibernetice, deţinătorii de infrastructuri cibernetice au următoarele responsabilităţi:

a) să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării;

Proiectul de lege are urmatoarea definitie pentru infrastructuri cibernetice:

infrastructuri cibernetice – infrastructuri din domeniul tehnologiei informaţiei şi comunicaţiilor, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice;

Proiectul Legii securitatii cibernetice a Romaniei a fost adoptat in sedinta Guvernului din data de 30 aprilie, in aceeasi zi in care a fost scos in dezbatere publica pe site-ul Ministerului pentru Societatea Informationala (MSI).

Proiectul a fost inregistrat la Camera Deputatilor in data de 27 mai 2014. Comisia pentru apărare, ordine publică şi siguranţă naţională si Comisia pentru tehnologia informaţiei şi comunicaţiilor au avut termen de depunere amendamente data de 3 iunie 2014, iar in 10 iunie 2014 au termen pentru depunere raport.

Potrivit proiectului Legii securitatii cibernetice a Romaniei, detinatorii de infrastructuri cibernetice, furnizori de servicii de internet, au obligatia de a-si notifica, de indata, clientii, persoane de drept public si privat, in  situatiile in care sistemele informatice utilizate de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare.

Nerespectarea acestei obligatii constituie contraventie si se va pedepsi cu amenda de la 500 la 5000 de lei. Cheltuielile firmelor private legate de executarea dispozitiilor acestei legi vor fi deductibile fiscal in conditiile si cuantumul stabilit de Ministerul Finantelor Publice.

Pentru detalii privind acest proiect, citeste si: UPDATE Proiectul Legii securitatii cibernetice a Romaniei: Furnizorii de servicii de internet risca amenzi de pana la 5000 lei daca nu-si notifica, de indata, clientii in cazul incidentelor sau atacurilor cibernetice

41 de deputati PNL si unul PD-L au initiat abrogarea asa numitei Legi Big Brother care obliga la stocarea datelor de trafic ale tuturor utilizatorilor de telefonie si internet

41 de deputati PNL si unul PD-L au depus la Senat un proiect de lege pentru abrogarea asa numitei legi Big Brother (legea 82 din 13 iunie 2012) care a transpus in legislatia nationala Directiva UE privind stocarea datelor adoptata in 2006 in urma atacurilor teroriste din Londra si Madrid. Initiativa vine dupa ce Curtea Europeana de Justitie a declarat in 8 aprilie, drept nevalida aceasta Directiva UE pe motiv ca ar reprezenta o imixtiune deosebit de grava in drepturile fundamentale la respectarea vietii private si la protectia datelor cu caracter personal.survei

41 de deputati PNL si unul PD-L (Cupa Ion) au facut o propunere legislativa, inregistrata la Senat in data de 29.04.2014, pentru abrogarea Legii 82 din 13 iunie 2012 privind stocarea pentru sase luni a datelor de trafic ale tuturor utilizatorilor de telefonie si internet.

Legea a fost adoptata in legislatia romaneasca in Guvernarea PD-L, transpunand o Directiva UE privind stocarea datelor adoptata in 2006 in urma atacurilor teroriste din Londra si Madrid. O lege similara, adoptata in Romania in anul 2008, a fost declarata neconstitutionala un an mai tarziu, pe motive de incalcare a dreptului la viata privata.

“Principalul argument al abrogarii acestei legi ar fi acela ca prin colectarea tuturor datelor se incalca principiul proportionalitatii si toti cetatenii sunt tratati ca suspecti de savarsirea unor infractiuni. De asemenea, legea mai are o problema: este imposibil sa gandesti, in bani, amenda pentru drepturile si libertatile omului”, se precizeaza in expunerea de motive a acestei propuneri legislative de abrogare a Legii 82/2012 (vezi document atasat).

Proiectul a primit in 29.05.2014 aviz favorabil (cu anumite observatii) de la Consiliul Legislativ.

Curtea Europeana de Justitie a declarat in data de 8 aprilie 2014, drept nevalida Directiva UE privind stocarea datelor adoptata in 2006 in urma atacurilor teroriste din Londra si Madrid. Curtea considera ca aceasta directiva reprezinta o imixtiune deosebit de grava in drepturile fundamentale la respectarea vietii private si la protectia datelor cu caracter personal. In Romania, directiva UE a fost transpusa in lege in vara anului 2012 si prevede stocarea pentru 6 luni a datelor de trafic ale tuturor utilizatorilor de telefonie si internet, nu si a continutului. O lege similara, adoptata in Romania in anul 2008, a fost declarata neconstitutionala un an mai tarziu, pe motive de incalcare a dreptului la viata privata.

“Curtea constata ca datele care trebuie pastrate permit, printre altele, (1) sa se cunoasca cu ce persoana si prin ce modalitate a comunicat un abonat sau un utilizator inregistrat, (2) sa se determine durata comunicarii, precum si locul de unde aceasta a avut loc si (3) sa cunoasca frecventa comunicatiilor abonatului sau a utilizatorului inregistrat cu anumite persoane intr-o perioada determinata. Aceste date, considerate in ansamblul lor, pot furniza indicatii precise cu privire la viata privata a persoanelor ale caror date sunt pastrate, cum sunt obiceiurile din viata cotidiana, locurile de sedere permanente sau temporare, deplasarile zilnice sau alte tipuri de deplasari, activitatile desfasurate, relatiile sociale si mediile sociale frecventate.
Curtea considera ca prin impunerea pastrarii acestor date si permitand accesul autoritatilor nationale competente, directiva reprezinta o imixtiune deosebit de grava in drepturile fundamentale la respectarea vietii private si la protectia datelor cu caracter personal.
In plus, faptul ca pastrarea si utilizarea ulterioara a datelor sunt efectuate fara ca abonatul sau utilizatorul inregistrat sa fie informat poate da persoanelor vizate sentimentul ca viata lor privata este obiectul unei supravegheri constante”, se arata in decizia Curtii Europene de Justitie (vezi documentul atasat).

Cum a fost implementata in Romania legea Big Brother

In Romania, directiva UE a fost transpusa in legislatie in vara anului 2012 si prevede stocarea pentru 6 luni a datelor de trafic ale tuturor utilizatorilor de telefonie si internet, nu si a continutului.

‘Furnizorii de telefonie fixa, mobila si internet sunt obligati sa stocheze timp de sase luni toate datele legate de convorbirile telefonice si schimbul de e-mail-uri, cu exceptia continutului corespondentei electronice sau al convorbirii telefonice. In cazul retelelor de telefonie fixa si mobila trebuie sa se retina numarul celui care formeaza, numarul destinatarului, numarul celui spre care a fost redirectionat apelul, precum si numele acestora. In cazul serviciilor de internet, se vor retine utilizatorul, serviciul de telefonie folosit, numarul de telefon al apelantului si al destinatarului, numele si adresa abonatilor, identitatea echipamentului folosit’, se arata in textul initiativei legislative. (vezi atasata legea asa cum a fost promulgata).

Furnizorii de telefonie si internet au obligatia ca timp de 48 de ore de la cererea organelor de urmarire sa transmita datele solicitate, iar daca acest lucru nu este posibil in 48 de ore, datele trebuie transmise in cel mult cinci zile.

In cazul in care datele nu pot fi transmise, furnizorul trebuie sa comunice in maximum cinci zile care este motivul acestui refuz.

Datele stocate vor fi distruse la finalul perioadei de pastrare, cu exceptia celor care au fost accesate si retinute.

Legea Big Brother: Intre incalcarea dreptului la viata privata si posibile sanctiuni de la Bruxelles

Adoptarea acestei legi in Romania a fost motivata de autoritati de nevoia de a implementa in legislatia nationala a prevederilor Directivei Uniunii Europene privind retinerea datelor generate sau procesate in cadrul activitatii de furnizare de servicii de comunicatii electronice destinate publicului sau de retele publice de comunicatii.

In 2012, Ministrul Afacerilor Europene, Leonard Orban, avertiza ca Romania risca sa plateasca Comisiei Europene penalizari de peste 30.000 de euro pentru fiecare zi de intarziere in adoptarea legii retinerii datelor de comunicatii.

Pe de alta parte o lege similara, adoptata in Romania in anul 2008, a fost declarata neconstitutionala un an mai tarziu, pe motive de incalcare a dreptului la viata privata.

In luna februarie 2012, mai multe ONG-uri si asociatii au avertizat ca noua propunere legislativa nu doar ca nu rezolva problemele de neconstitutionalitate, ci chiar este o varianta mai periculoasa pentru drepturile cetatenilor, cu o procedura vaga si neclara de acces la date.

  • Legi&Internet/ Bogdan Manolea:

Romania digitala – sa dai cu subsemnatul la WiFi free si cartele pre-pay !?!

O propunere de lege de 5 articole adoptata de Guvernul Romaniei in 30 Aprilie 2014 care cere inregistrarea obligatorie a utilizatorilor de free WiFi si a cartelelor pre-pay a trecut in viteza super-sonica prin Senat, iar in Camera Deputatilor are termene de 2 zile pentru depunere amendamente si raport – ne arata adevarata fata a Romaniei digitale dorita de guvernantii nostri – un spatiu virtual in care sa dai cu subsemnatul pentru orice utilizare a tehnicilor de comuncatie si in care (prin noul proiect de lege privind securitatea cibernetica) datele sa fie accesibile direct si fara mandat de toate serviciile secrete si nesecrete.

Intr-un stil traditional de ne-dezbatere publica (proiectul NU a fost transmis societatii civile si industriei inainte de adoptarea de guvern si niciuna din comisiile Senatului NU a fost interesata de alte opinii) riscam sa fie adoptate niste articole lacunare si care nu au niciun efect practic serios, in afara de limitarea drepturilor cetatenilor.

Dar sa analizam mai in detaliu.

A. Inregistrarea obligatorie a tuturor celor ce acceseaza un WiFi public

Propunerea

Art 73^2 (1) In cazul punctelor de conectare la internet puse gratuit la dispozitia publicului de catre persoane juridice, este obligatorie securizarea accesului pe bază de parolă, precum şi asigurarea procedurilor si echipamentelor necesare stocarii pe o perioada de 6 luni a datelor furnizorului de servicii pentru a identifica utilizatorii conectati in aceste puncte. Utilizatorii acestor puncte au obligatia de a-si comunica datele de identificare la accesarea acestor servicii.

Deci daca avem:

  • o conferinta
  • o cafenea
  • un acces la Internet in parc
  • o statie de metrou sau autogara
  • un hotel
  • mall, magazin, taxi, universitate, liceu, magazin de vinzare produse telefonice, cabinet de stomatologie, etc etc.

acestea vor trebui sa:

stabileasca o procedura de identificare a utilizatorilor conectati. Legea nu zice nimic detaliat, dar daca vorbim de date de identificare este clar ca vorbim cel putin de o declarare (voluntara?) a unor datele cu caracter personal. Ma intreb cum o sa fie in parc – te duci la paznic sa-i dai buletinul?

investeasca in echipamente tehnice pentru stocarea datelor intr-un mod sigur (ca sa nu le fure, hackerii, intelegeti ironia?)
investeasca in echipamente sau soft catre pot sterge toate datele colectate in mod automat si ireversibil in 6 luni

Cetatenii vor trebui sa aiba buletinul la ei si sa isi dea datele (nu se stie care) catre toate institutiile de mai sus daca vor sa acceseze un WiFI. Institutiile trebuie sa le pastreze in cazul in care le cere cineva. Nu se stie cine si cum are voie sa le ceara.

B. Inregistrarea cartelelor pre-pay

wirelessUtilizatorii vor trebui sa dea nume, prenume, CNP si numar si serie de buletin la achizitionarea oricarui serviciu de comuncatii electronice. Si pentru cartelele pre-pay va trebui incheiat un contract. Cu font lizibil. Marimea – cel putin 10p (sic!). Toate acestea vor trebui stocate. Probabil pentru un termen nelimitat, ca legea nu prevede altfel.

Atentie – Legea nu spune daca trebuie sa dai datele tale sau ale altuia. Nici nu precizeaza daca cel care colecteaza datele trebuie sa le verifice cu un act de identitate original.

Operatorii de telefonie mobila vor trebui sa investeasca in toate echipamentele necesare pentru a colecta datele personale si contractele. Pentru a respecta legea privind protectia datelor cu caracter personal, vor trebui sa investeasca in noi harduri, fisete cu lacat si altele asemenea pentru a pastra datele in siguranta. Conform aceleiasi legi, cei care colecteaza datele vor trebui instruiti pentru a intelege ce obligatii au la colectare.

Tot operatorii se vor ocupa si de partea cea mai distractiva a legii – notificarea prin mass-media a legii si obligarea la inregistrare a tuturor celor ce au cartele pre-pay acum. Adica vreo 12 milioane de bucati. Totul in 6 luni. Adica aprox. 60 000 de noi inregistrati/zi. Cei care nu se inregistreaza vor avea serviciile de comunicatii taiate.

C. De ce da si de ce nu?

Argumentele pentru un asemenea act normativ ar trebui sa fie in nota de fundamentare a Guvernului. Documentul este plin de informatii factuale eronate (a.k.a minciuni) – cu privire la lipsa impactului asupra mediului de afaceri, consultarea societatii civile si inexistenta unor hotarari ale CJUE pe aceasta tema.

C1. Argumente pro am gasit 2:

1. Elimina discriminarea intre utilizatorii de comunicatii electronice cu contract si pre-pay. Primii sunt inclusi in registrele de abonati, in timp ce a doua categorie nu este.

Asta e pur si simplu ridicola si prosteasca. Inscrierea in registrul de abonati se face numai daca exista consimtamintul abonatului cf legii 506. In plus acesta este un drept al abonatului si nu o obligatie. As rade, daca nu ar fi de plans

2. Face dificila urmarirea penala sau “cunoasterea, prevenirea si contracararea riscurilor ori amenintarilor la adresa securitatii nationale”

Aici exista intr-adevar un simbure de adevar. Faptul ca ai identificat un potential faptuitor pe care nu poti sa-l identifici in mod imediat pare a fi un obstacol in calea urmaririi penale. Cu toate acestea sunt mai multe contra-argumente care se pot aduce acestei teorii (pe linga faptul ca o argumentare serioasa ar fi adus exemple si procente de cazuri nerezolvate din cauza acestei probleme):

Cazurile Apostu (22 de telefoane cu cartele inter-sanjabile) si Fany (15 cartele folosite) – ambele in care inculpatii au fost trimisi de judecata ne arata ca nu este o problema insumontabila, nici macar daca persoanele ar folosi un numar relativ mare de telefoane mobile pentru a-si ascunde comunicarile. Deci se poate si tehnic si operational (nu vreau sa intram in detalii)

Daca o asemenea lege ar fi adoptata, cel mai probabil cei care chiar ar dori sa foloseasca telefonul mobil pentru a discuta aspecte legate de infractiuni ar fi avertizati astfel incat s-ar ascunde in a-si da propriile date la cumpararea unei cartele. Probabil ca majoritatea rau-voitorilor s-ar folosi alte metode deja utilizate in alte cazuri – folosirea de date false, CI furate sau intermediari (sageti) care pentru 10 lei ar fi primii ce ar cumpara o cartela pentru altul.

Sau – si mai rau pentru organele de cercetare penala sau pentru serviciile secrete – ar incepe sa foloseasca pe scara larga unelte care folosesc criptare serioasa ce fac imposibil accesul la convorbiri. (daca vreti detalii puteti participa in weekend la Coliberator unde se anunta mai multe speech-uri pe tema asta – sau aruncati-va o privire pe prism-break). Daca se adopta legea – si poate chiar si daca nu – va promit niste postari detaliate pe tema asta 🙂

C2. Argumente contra

Dincolo de cele deja mentionate mai sus, principalul argument contra este legat de faptul ca masura incalca in mod grosolan si ilegal dreptul la viata privata, care este un drept fundamental. In mod normal o analiza exaustiva ar trebui sa analizeze daca masura incalca dreptul la viata privata, dar si daca masura este necesara si proportionala intr-o societate democratica. Daca primul parte nu vad cum ar fi contestata, a doua este sustinuta prin argumentatiile din jurisprudenta Curtii Constitutionale Romane (Decizia nr.1258/2009), CJUE (C-193/12 – Digital Rights Ireland vs EC ) sau CEDO (Marper vs. UK). Am mai discutat subiectul, nu mai insist. Interesant ar fi si ca, asa cum am mai scris in opiniile ApTI, masura a fost respinsa de Comisia Europeana pentru a fi implementata in toate tarile membre din motive de ineficacitate.

Vezi raportul de evaluare a Comisiei Europene cu privire la directiva privind pastrarea datelor de trafic:

“Ponderea utilizatorilor de telefonie mobilă care folosesc servicii preplătite variază în UE. Unele state membre au susținut că, în special atunci când sunt achiziționate într-un alt stat membru, cartelele SIM preplătite, ai căror posesori nu sunt identificați, ar putea fi, de asemenea, utilizate de persoane implicate în activități infracționale ca mijloc de evitare a identificării în cursul cercetării penale. Șase state membre (Danemarca, Spania, Italia, Grecia, Slovacia și Bulgaria) au adoptat măsuri care necesită înregistrarea cartelor SIM preplătite. Acestea și alte state membre (Polonia, Cipru, Lituania) au susținut opțiunea adoptării de măsuri la nivelul UE pentru înregistrarea obligatorie a identității utilizatorilor de servicii preplătite. Eficacitatea acestor măsuri naționale nu a fost dovedită. Au fost evidențiate limitări potențiale, de exemplu, în cazurile de furt de identitate sau atunci când cartela SIM este achiziționată de un terț ori atunci când un utilizator activează serviciul de roaming prin conectarea cu o cartelă cumpărată într-o țară terță. În general, Comisia nu este convinsă de necesitatea de a acționa în acest domeniu la nivelul UE în acest stadiu.

De altfel proiectul are si alte lacune – pentru ca nu interzice (si nu poate interzice) vinzarea, schimbul, imprumutul sau orice transfer al unei cartele pre-pay catre o alta persoana – fie ea cunoscuta sau nu. De altfel faptul ca ai datele unei persoane care a cumparat o cartea pre-paid nu inseamna nicicum – dpdv al prezumtiei de nevinovatie – ca el este cel care o foloseste sau ca el este persoana care a vorbit de pe acea cartela.

La fel nu se poate interzice sa vii cu o cartela din afara Romaniei din alta tara unde nu exista aceasta obligatie, iar in contextul iminentei aboliri – in 2 ani ce-i drept – a taxelor de roaming, o astfel masura va deveni probabil absolut banala.

In final – sa vedem ce vor decide Comisiile Camerei Deputatilor si plenul. In cele din urma se pare ca Comisiile au dat un termen mai lung, iar cel putin Comisia de ITC a chemat la dezbateri mai multi actori din zona privata si a societatii civile. Cel mai frustrant este insa ca cei care de fapt au redactat textul (si care sunt anonimi pentru noi, ha!) refuza sa discute public si pe argumente si prefera (a patra oara!) sa impinga prin mijloace bizare un proiect care afecteaza in mod direct drepturile cetatenilor.

Si ca sa facem teoria conspiratiei completa va povestesc maine de alt proiect iesit pe sestache ca adoptat de guvern – un proiect de lege privind securitatea cibernetica care ar da dreptul reprezentantilor “SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii”.

Ce vrem: Securitate cibernetica sau securism cibernetic?

Noua propunere de lege privind securitatea cibernetica adoptata de guvern pe 30 Aprilie 2014 a trecut aproape neobservata, desi ar trebui sa priveasca orice cetatean detinator de telefon mobil, calculator sau laptop. Pentru ca prin noua lege acestia vor avea nu doar obligatia “să adopte şi să pună în aplicare politici de securitate cibernetică”, dar si “să permită accesul reprezentanţilor desemnaţi (ai SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM) în acest scop la datele deţinute.”

Inainte sa explicam mai in detaliu, trebuie sa lamurim doua aspecte:

1. Intai ar trebui sa explic titlul.

Cand ma refer la securitate cibernetica, ma gandesc la faptul ca trebuie sa fiu sigur ca la anumite informatii stocate digital are acces doar cine cred eu ca trebuie sa aiba. Fie ca vorbim de date personale, informatii financiare sau date comerciale confidentiale stocate digital – toate trebuie sa fie pastrate in siguranta, pentru ca cei neautorizati sa nu aiba acces la ele. Aici e treaba mea sau a firmei mele cum le securizez – daca vreau sa le criptez cu cheie de 256 sau deloc. Putem discuta in ce masura anumite informatii digitale nesecurizate pot afecta alte terte persoane, dar si acolo sunt de acord ca in cazul unei culpe grave sau a intentiei trebuie sa pot sa fiu tinut responsabil. Sau daca se pierd date cu caracter personal (cum am mai povestit de data breach notifications).

Cand ma refer la securism cibernetic, ma gindesc ca statul – prin bratul sau de forta – adica structuri care apartin zone de servicii secrete, SpectralLinesSurveillancestructuri de aparare a legii sau altele cu atributii in aceste zone – imi impun conduita de securitate in societatea digitala. Trecem de la scopul de a-mi proteja mie datele la a avea o (utopica) societate securizata perfect, in care orice activitate presupus neautorizata sa nu poata avea loc. Si in care statul ma poate obliga, inclusiv prin accesul la datele mele – sa imi respect aceasta conduita. Asta pare a fi o zona in care renunti la zona privata sau comerciala secrete, pentru a asigura securitatea generala. Adica securitate de dragul securitatii. Cam asta pare ca vrea noua lege.

Sa incerc sa subliniez mai bine ideea cu un exemplu practic:

Nu am cont personal pe Facebook si nici nu vreau sa imi fac vreunul (din motive personale si de privacy). Dar asta nu inseamna ca nu ii respect pe care il folosesc cum doresc ei (privat, public, profesional sau un mix).

Securitatea cibernetica ar insemna ca il las sa puna ce vrea acolo, dar pot sa incerc sa educ, sa explic, sa recomand ce anume sa nu puna pe o retea sociala – dar in cele din urma este decizia persoanei ce publica si este responsabil pentru asta.

Securismul cibernetic ar inseamna ca nu ii dau voie sa posteze infromatii daca este intr-un loc sau altul (pentru ca ar insemna ca nu este nimeni acasa), ca nu are voie sa se logheze daca nu are sistemul de operare actualizat sau ca – daca profilul sau pagina lui a fost folosit in mod fraudulos (de ex. a incitat la un protest neautorizat) atunci am voie sa intru in cont sa vad cine l-a sustinut in aceasta activitate presupus ilegala.

2. Acesta este un alt proiect adoptat pe ascuns de Guvern (al treilea numarat de mine – dupa cel cu pre-pay explicat ieri si cel cu protectia consumatorilor in comertul electronic in care efectiv ne-a mintit in fata).

Dincolo de temele legate de teoria conspiratiei, nu poti sa nu ai o intrebare legitima, dar retorica de ce Guvernul intai adopta un act normativ, iar apoi acesta apare spre “dezbatere publica” pe site-ului Minsiterului Societatii Informationale? Si de ce MSI “organizeaza” un eveniment nepublic de “dezbatere publica” in care comunicatul final spune ca va primi comentarii de la o asociatie dupa data depunerii raportului comisiilor in Camera Deputatilor

Cred ca daca ne apucam sa analizam in detaliu proiectul o sa plictisesc prea mult cititori (si oricum planuiesc cu colegii din ApTI sa trimitem o opinie mai formala si detaliata – in special pe distinctiile majore fata de propunerea de directiva europeana privind securitatea infromatica – vezi aici textul adoptat de Parlamentul European in prima lectura si aici textul propus initial de Comisie), asa ca ma rezum la o critica punctuala si una generica.

3. Critica punctuala a proiectului de lege privind securismului cibernetic

Prevederile la care fac referire sunt defintia din art 5 pct. 8

8. infrastructuri cibernetice – infrastructuri din domeniul tehnologiei informaţiei şi comunicaţiilor, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice

unde termenul de sistem informatic trebuie inteles in relatia directa cu definitia din noul codul penal (si care inainte era in legea 161/2003)

(1) Prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic.

Practic asta inseamna orice calculator, laptop, tableta, smartphone, PoS, ATM, smart meter, microprocesor programabil si altele asemenea

la care adaugam obligatiile impuse de lege pentru detinatorii de infrastructuri cibernetice din art 16 si 17:

a) să adopte şi să pună în aplicare politici de securitate cibernetică, cu respectarea cerinţelor minime de securitate stabilite la nivel naţional de Ministerul pentru Societatea Informaţională sau de către alte autorităţi publice competente potrivit legii;
b) să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate în infrastructurile cibernetice proprii sau aflate în responsabilitate;
c) să prevină şi să reducă la minimum impactul incidentelor care afectează infrastructurile cibernetice proprii sau aflate în responsabilitate;
(…)

Art. 17 – (1) Pentru realizarea securităţii cibernetice, deţinătorii de infrastructuri cibernetice au următoarele responsabilităţi:
a) să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării;
b) să informeze, de îndată, autorităţile şi instituţiile publice prevăzute la lit.a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege.

Sunt convins ca trebuie sa fie o greseala de a mea de interpretare intr-un text perfect normal. Dar daca stam stramb si citim textul drept asta vedem:

1. Toti utilizatorii de calculatoare si smartfoane trebuie sa aiba politici de securitate cibernetica. Si sa aiba masuri organizatorice adecvate.

Doar cine nu a vazut un raport de audit de securitate informatica, nu poate sa intelega despre cata hartogaraie vorbim si cat costa sa le faci. Ati innebunit???

Mai ramine sa ne impuna fiecarui utilizator sa facem un audit cibernetic (am vazut ca au evitat termenul de audit informatic, ca sa ne bage in ceata si mai rau, nu Adrian?) care costa citeva mii de euro si am rezolvat problemele de securitate ale Romaniei. Vom fi un stat sigur.

2. Toti utilizatorii trebuie sa “permita accesul la date” acestor autoritati la solicitarea lor motivata.

Adica trecem de la situatia actuala in care accesul la un sistem informatic al altuia se poate face doar cu mandat de la judecator sau, evident, cu consimtamintul proprietarului sistemului informatic la o situatie in care 9 institutii sa li se “permita accesul la date”. Doar pe o motivare interna? Deci nu mai trebuie sa le dai tu datele relevante, ci sa le dai tu intregul acces? Catre MapN? Catre SPP? Ce treaba au ele cu sistemele tale informatice?

Incep sa cred ca oamenii care au scris proiectul de legea au vise legate de a avea acces oriunde si oricum la orice sistem informatic din Romania. Dar sa pui asta intr-un proiect de lege care sa fie si adoptat de Guvern, este deja neverosimil. Inca sper ca este o greseala pe care toti specialistii guvernului nu au vazut-o si ca de fapt nu au vrut sa reglementeze asta.

4. Critica de fond a proiectului de lege privind securismului cibernetic

Cred ca proiectul de lege porneste de la o premisa falsa: Sistemele informatice ne apartin noua, cetatenilor. Sau noua, firmelor. Internetul este o retea publica, dar este administrata de privati. ICANN, IETF sau IANA sunt institutii care sunt deschise prin esenta si care implica cati mai multi actori. (multi-stakeholders). Furnizorii de Internet sunt societati comerciale private. Furnizorii de retele si servicii de comunicatii electronice sunt privati. Aceastia nu pot fi reglementati la fel ca sistemele informatice sau retelele detinute de autoritatile publice.

Nu rezolvi problema de securitate informatica prin nominalizarea unui serviciu secret eminamente opac care sa se ocupe de un subiect unde cooperarea intre sectorul public si privat, transparenta si respectarea legislatiei privind protectia datelor personale sunt stalpi esentiali.

Nu zic eu asta, ca buricul pamintului, ci sunt si concluzii ale textului adoptat de Parlamentul European in prima citire a directivei (si care e inca in dezbatere):

Cadrul juridic ar trebui să se întemeieze pe nevoia de a garanta viața privată și integritatea cetățenilor.

Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. (…) Sunt necesare garanții adecvate pentru a se asigura că o astfel de cooperare nu va expune operatorii în cauză la un risc de conformitate mai mare sau la noi obligații în temeiul legislației privind concurența, proprietatea intelectuală, protecția datelor sau criminalitatea informatică, printre altele, nici nu îi va expune la riscuri operaționale sau de securitate mai mari.

Autoritățile competente și punctele unice de contact ar trebui să fie organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor, al aplicării legii sau al apărării și nici să fie legate organizațional în vreun fel de organismele active în aceste domenii.

5. Concluzii?

Da, securitatea cibernetica ne priveste pe noi toti, ca parte a unui eco-sistem digital.

Nu, securitatea nu trebuie impusa cu de-a sila de o institutie de securitate pentru toti cetatenii care au dispozitive informatice.

Suprimarea activa a dezbaterii despre supravegherea in masa, a inregistrarii cartelelor SIM sau a retentiei de date de catre politicienii romani dezvaluie un simt bolnav al prioritatilor si foarte putin respect pentru drepturile si cererile cetatenilor.

Presa romana mainstream a tratat scurgerile de informatii ale lui Snowden ca pe orice alta stire internationala si, caracteristic, tratarea subiectului a fost sumara si de scurta durata. Tema a fost tratata aproape exclusiv ca o traducere a stirilor americane si europene, cu foarte putine pareri locale asupra subiectului. Canalele de stiri alternative si blogosfera au acoperit stirea ceva mai indraznet, insa viziunea acestora asupra subiectului poate fi descrisa printr-un singur cuvant: furie. Cu toate acestea, aprofundarea conversatiei a fost minimala – “conversatie” fiind un termen foarte generos, deoarece nu a existat una reala.

Tratarea in presa a fost superficiala, insa reactia autoritatilor a atins granita inexistentei. Dezvaluirile initiale au avut loc pe 9 iunie 2013; prima declaratie semnificativa a unui politician roman pe marginea subiectului a avut loc abia pe 16 iulie. Sebastian Ghita, membru foarte important al partidului social-democrat aflat la putere, a acordat un interviu pentru HotNews.ro, in care a fost discutata si tema supravegherii in masa. Citam cele mai pertinente pasaje:

“Reporter: Inteleg ca ati putea lua in considerare un program de tip PRISM pentru Romania?

S.Ghita: Da, cred cu tarie ca serviciile romane de securitate ar trebui sa dezvolte astfel de capabilitati, fie in cooperare cu parteneri externi, fie independent. Daca nu au si facut-o deja.

R: In strainatate au existat reactii foarte critice la adresa unor astfel de initiative.

SG: Din partea acelora care pretind ca le pasa prea mult despre societate. In cine sa am mai multa incredere? In cineva din serviciile de securitate care, teoretic, ar putea abuza de aceste informatii, sau intr-un nebun care si-ar putea dori sa detoneze o bomba intr-un campus universitar? Va spun de pe acum ca vom avea mai multa incredere in angajatii serviciilor de securitate. Aceasta este realitatea globala si va trebui sa ne obisnuim cu ea.

R: Si cum ramane cu acuzatiile de invadare a intimitatii?

SG: Intimitatea este folosita drept scuza pentru protejarea criminalitatii. Intimitatea ar trebui protejata, insa nu si abilitatea de a rani societatea si nu cred sa existe vreun politician care ar vatama libertatile civile, dar cred totodata ca nu ar trebui sa stam degeaba si sa toleram tot felul de rautati in numele libertatii si al drepturilor omului.”

Si alti politicieni au exprimat opinii extreme asemanatoare in lunile ce au urmat dezvaluirilor lui Snowden, mentionandu-le in treacat in cadrul emisiunilor televizate. Este totusi dificil a-i trage la raspundere pentru aceste declaratii, din moment ce arhivele video ale majoritatii posturilor romane de televiziune nu sunt inca disponibile online.

Aceasta atitudine de tipul “nu e mare scofala” tradeaza mentalitatea clasei politice romanesti. Dezvaluirile PRISM au aratat ca ceea ce pana atunci fusese respins drept teorie a conspiratiei era de fapt adevarat si, in intreaga lume occidentala, sustinatorii supravegherii au fost pusi in defensiva. Pe de alta parte, politicienii romani (care sunt in marea lor majoritate adeptii acestei viziuni) nici macar nu s-au prefacut a fi rusinati.

In acelasi interviu, Sebastian Ghita s-a laudat si cu privire la noua lege pregatita de catre partidul sau, care instaureaza obligativitatea inregistrarii tuturor cartelelor SIM preplatite. Din 2011 si pana la dezvaluirile lui Snowden, mai existasera deja doua incercari de a legifera obligativitatea inregistrarii cartelelor SIM, cu o a treia aflata in lucru. Prima fusese initiata in martie 2011 si fusese suspendata pana in decembrie. Cea de-a doua a inceput in decembrie 2011, cu o saptamana inainte ca prima sa fie respinsa, fiind la randul ei respinsa in aprilie 2013. Cea de-a treia incercare a pornit in martie 2013, din nou cu o luna si jumatate inaintea respingerii celei de-a doua. Si aceasta a fost respinsa in decembrie 2013.

Cel de-al patrulea proiect de lege a fost pus pe masa de discutii de catre guvern in aprilie 2014 si va ajunge curand in Parlament. Justificarile pentru aceste masuri distrugatoare de intimitate sunt mereu aceleasi: protejarea de teroristi, lupta impotriva criminalitatii etc. Incapatanarea cu care politicienii romani urmaresc legiferarea inregistrarii cartelelor preplatite este mai mult decat graitoare cu privire la prioritatile acestora.

Singura afirmatie semnificativa din partea serviciilor de securitate a avut loc pe 21 noiembrie 2013, cand directorul SRI, George Maior, a declarat in parlament:

“[…] nu a existat niciun acord, intelegere sau protocol secret intre SRI si NSA cu privire la activitatile de interceptare a comunicatiilor, la procedurile de interceptare a canalelor clasice de comunicatii sau oricare alt canal de comunicatii pe teritoriul Romaniei.”

Pana la acea data, majoritatea romanilor internalizasera situatia si revenisera la starea lor obisnuita de resemnare si umor negru sau o combinatie a celor doua, fara nicio discutie intre societatea civila, asa slaba cum este, si clasa politica, care, in mare majoritate, vede in supraveghere nu o problema ci un tel dezirabil, indiferent de doleantele publicului.

In afara de lipsa de reactie cu privire la dezvaluirile lui Snowden si a insistentei de a forta inregistrarea cartelelor SIM, mai exista o problema care tradeaza dispretul total al clasei politice fata de drepturile si opiniile cetatenilor romani: cea a retentiei de date.

Prima lege romana de retentie a datelor (care adopta retentia obligatorie a datelor pe o perioada de 6 pana la 24 de luni a Directivei UE din 2006) a fost declarata neconstitutionala de catre Curtea Constitutionala a Romaniei in 2009. La acel punct, Romania era folosita drept exemplu de urmat de catre toate organizatiile drepturilor omului din intreaga Uniune Europeana, laolalta cu cele alte cateva tari care refuzasera implementarea retentiei de date, precum Germania si Republica Ceha.

Acesta a fost unul dintre putinele momente cand Romania a detinut pozitia morala de varf cu privire la un subiect important, insa nu a durat foarte mult. La fel ca si in cazul cartelelor SIM, un nou proiect a fost introdus. In ciuda deciziei precedente a Curtii Constitutionale, in ciuda faptului ca Senatul a respins zdrobitor si a doua incercare in decembrie 2011 si desi Comitetul pentru Drepturile Omului din cadrul Camerei Deputatilor a dat proiectului un vot negativ, Camera Deputatilor a esuat in apararea drepturilor cetatenilor romani: sub pretextul temerii de sanctiuni din partea Comisiei Europene, legea privind retentia de date a fost promulgata.

In aprilie, atunci cand Curtea Europeana de Justitie a decis ca retentia de date este ilegala si incalca drepturi fundamentale, nu a existat nicio reactie oficiala. Dimpotriva: guvernul roman era preocupat cu initierea celui de-al patrulea proiect privind inregistrarea cartelelor preplatite.

Avand in vedere aceste dovezi, putem presupune fara probleme ca in Romania aproape ca nu exista dialog public pe marginea subiectului supravegherii. Clasa politica isi doreste mai multa supraveghere deoarece mai multa supraveghere inseamna mai mult control, iar mai mult control inseamna mai multa putere; se folosesc de scuza terorismului fara nicio jena.

In combinatie cu dispretul obisnuit al politicienilor romani fata de nevoile si dorintele cetatenilor, rezultatul nu poate fi altul decat lipsa desavarsita a dialogului. Insa, mai ales avand in vedere trecutul nostru comunist, multi, daca nu chiar toti cetatenii Romaniei simt ca sunt spionati. Aceasta stare moderata de paranoia si neincredere este constant reintarita de catre aparitia in mass-media a diverse transcripturi de conversatii telefonice interceptate.

Combinand acestea cu senzatia de neajutorare creata de lipsa dialogului intre politicieni si public, rezulta ca romanii devin din ce in ce mai catatonici. Aceasta nu este o stare durabila pentru o tara ce-si doreste sa ramana functionala.

traducere de BD pentru razbointrucuvant

Surveillance-2

*


Categorii

Articolele saptamanii, Era Big Brother, Guvernarea electronica (E-GUVERNARE), Internet, New Media, Noile Tehnologii, Panopticon, Servicii secrete, Traduceri, Uniunea Europeana, globalizare, guvernarea europeana (UE)

Etichete (taguri)

, , , , , , , , , , , , , , , ,

Articolul urmator/anterior

Comentarii

13 Commentarii la “Adevarata fata a ROMANIEI DIGITALE: SECURISMUL CIBERNETIC. Guvernul vrea ca furnizorii de internet si telefonie sa permita accesul SRI, SIE et comp. la datele utilizatorilor/ VODAFONE: AUTORITATILE ASCULTA IN TIMP REAL CONVORBIRILE/ Clasa politica romaneasca, supravegherea si puterea

  1. Cat s-a vorbit de incalcarea drepturilor omului inainte de ’89, cat s-a vorbit de acei securisti care puneau microfoane in casele oamenilor si ce sila crea acest gest, se ajunsese sa se considere ca unul din cele mai abjecte lucruri sa asculte un individ rau intentionat, ce vorbesti in casa si asta ca o expresie a unui regim totalitar.
    Acum aceiasi indivizi rau intentionati, cer firmelor de telefonie, sa le dea voie sa te asculte ce vorbesti. Nu mai e ceva ascuns, inainte venea in vizita un “coleg de serviciu” care punea microfoane de ascultare, pe baza carora puteai fi chiar arestat. Cui dadeau ei socoteala? Ce gest urat, care nu era recunoscut, dar iata ca azi se cere oficial sa se asculte ce vorbesti tu. Cer firmelor de telefonie sa te asculte pe tine. Nu mai exista jena fata de aparatorii drepturilor omului.
    Asta e statul de tip totalitar care o sa controleze si ameninte intreaga lume, format din reprezentanti alesi de popor, pentru ca oamenii din frica ii voteaza pe cei care mimeaza ca le sunt sefi. Cine joaca mai bine rolul de conducator ala e votat, iar apoi tot el dispune urmarirea acelei populatii de naivi, care nu stie sa voteze cu cei care le apara drepturile si libertatile. Cum sa mai schimbi aceasta situatie, cu asta vom ramane, pana la sfarsit cand antihristul se va folosi exact de aceasta tehnologie, plus de cipurile detinatoare de date personale, pentru a persecuta pe toti.
    Convorbirile sunt deja ascultate ilegal si neoficial, toti stiu asta, s-a tot spus si la tv si in presa si pe bloguri dar acum se cere o aprobare oficiala pt a deveni legal ceea ce s-a considerat ca o grava incalcare a drepturilor omului.

  2. am senzatia ca lumea s-a cam obisnuit cu ideea “supravegherii”, aproape ca nici nu mai exista reactii. cam in acelasi fel cum se intampla si cu toleranta fata de homosexuali. altfel, snowden nu a fost intamplator “lansat” de catre servicii. la fel nici assange de la care a pornit revolutia araba. nimic nu e intamplator. toate au un scop si vor mai urma si altele.

    doua stiri mi-au atras atentia in aceste zile:

    – Study: 70 percent of Americans on prescription drugs;
    – All Americans will receive a microchip implant in 2017.

    al doilea titlu nu e o stire oficiala, dar chiar si asa, din punctul meu de vedere, primul titlu l-ar putea sustine pe cel de-al doilea, cu mentiunea ca implanturile nu vor fi facute in 2017 ci atunci cand procentajul dependentilor de medicamente va ajunge la 100%

  3. err. “primavara araba”

  4. Pingback: SRI nu vrea “ANARHIE” pe INTERNET. “PERCHEZITII INFORMATICE” fara autorizatie judecatoreasca si computere “INMATRICULATE” – sau cum folosesc serviciile pretextul amenintarilor cibernetice pentru LEGIFERAREA FOLOSI
  5. Pingback: ACCES LA INTERNET WI-FI SI CARTELE PRE-PAY DOAR CU DATELE DE IDENTIFICARE: proiectul de lege a fost aprobat/ NSA a avut mandat de INTERCEPTARI si in ROMANIA - Recomandari
  6. Pingback: LEGILE SUPRAVEGHERII – IMPOTRIVA CETATEANULUI OBISNUIT SI PENTRU SIGURANTA MAFIILOR SECURISTICE - Recomandari
  7. Pingback: SECURISMUL CIBERNETIC. CCR va judeca in septembrie proiectul de lege privind IDENTIFICAREA UTILIZATORILOR de WI-FI. Obiectiile aduse de AVOCATUL POPORULUI incalcarilor dreptului viata privata - Recomandari
  8. Pingback: “Nu mai avem mult timp”; “Toti sunt sub riscul de a fi trecuti pe lista neagra”. METODELE FOLOSITE DE REGIMUL PUTIN PENTRU A CONTROLA SI CENZURA VOCILE CRITICE PE INTERNET - Recomandari
  9. Pingback: LEGEA SECURISMULUI CIBERNETIC A FOST VOTATA. Puteri sporite acordate SERVICIILOR SECRETE – tot inainte spre societatea Big Brother - Recomandari
  10. Pingback: update 9 ianuarie: AUTORITATILE ROMANE SE INTRUNESC “DE URGENTA” CA SA REINTRODUCA LEGILE BIG BROTHER, profitand de cazul atacului terorist de la “Charlie Hebdo” - Recomandari
  11. Pingback: Klaus Iohannis propune Parlamentului UN NOU PROIECT “BIG BROTHER” | Cuvântul Ortodox
Formular comentarii

* Pentru a deveni public, comentariul dumneavoastra trebuie aprobat de un administrator. Va rugam sa ne intelegeti daca nu vom publica anumite mesaje, considerandu-le nepotrivite, neconforme cu invatatura ortodoxa sau nefolositoare sufleteste. Va multumim!

Rânduială de rugăciune

Carti

Documentare