Furnizorii de internet: Accesul la datele de trafic ale clientilor ar trebui sa se faca prin mandat judecatoresc, lucru care nu e specificat acum in Legea securitatii cibernetice

de Adrian Vasilache     HotNews.ro
Marţi, 20 ianuarie 2015, 14:50 Economie | Telecom

Cyber intelligence
Foto: breakinggov.com
 documente
(19 Ian 2015) PDF, 668KB
​Accesul la datele tehnice ale unui furnizor de internet inseamna acces la datele de trafic care identifica sursa si destinatia unei comunicari - adresa IP, data, durata comunicarii si volumul de informatie, nu si continutul - iar pentru impiedicarea unor posibile abuzuri, acest acces ar trebui sa se faca in baza unui mandat judecatoresc, lucru care nu este explicit precizat in Legea Securitatii cibernetice, a precizat pentru HotNews.ro Gheorghe Serban, directorul executiv al ANISP (asociatia furnizorilor de internet). Pe de alta parte, SRI sustine ca  legea securitatii cibernetice "nu permite institutiilor statului accesul la date care tin de viata privata a persoanelor, fara autorizarea prealabila a unui judecator".

  • "Intelegem unele ratiuni pentru care Serviciile ar dori sa aiba un acces mai rapid la anumite informatii, pentru ca nu este vorba de continut. Dar in continuare consideram ca tot un magistrat ar trebui sa se pronunte pentru a nu se crea posibilitatea unor abuzuri. Accesul la datele tehnice inseamna si acces la date personale daca asimilam adresa de IP cu o informatie considerata data personala. Aici este o mare discutie si pe plan mondial daca adresa IP alocata unui utilizator este o data personala sau nu. Cel mai bine ar fi ca accesul la datele respective, adica cererea lor catre un operator care pastreaza astfel de date, sa fie mandatata de un magistrat. Este mult mai bine pentru toata lumea pentru ca mai trece printr-un filtru si procedura respectiva intra sub supraveghere juridica", a declarat pentru HotNews.ro Gheorghe Serban, directorul executiv al ANISP.

Acesta a mai explicat ca o parte din informatiile de trafic sunt retinute de mecanismele tehnice pentru ca fac parte din sistemul de comunicatii si in acelasi timp si operatorii pastreaza anumite log-uri pentru a face diverse diagnoze de trafic, pentru a raspunde unor clienti care fac reclamatii cu privire la anumite servicii.

  • Cat de relevante sunt datele de trafic pentru viata personala

In 8 aprilie 2014, Curtea Europeana de Justitie (CEJ) a declarat drept nevalida Directiva UE privind stocarea datelor de trafic, motivand ca aceasta "reprezinta o imixtiune deosebit de grava in drepturile fundamentale la respectarea vietii private si la protectia datelor cu caracter personal". Curtea explica si relevanta datelor de trafic pentru viata privata:

  • "Curtea constata ca datele care trebuie pastrate permit, printre altele, (1) sa se cunoasca cu ce persoana si prin ce modalitate a comunicat un abonat sau un utilizator inregistrat, (2) sa se determine durata comunicarii, precum si locul de unde aceasta a avut loc si (3) sa cunoasca frecventa comunicatiilor abonatului sau a utilizatorului inregistrat cu anumite persoane intr-o perioada determinata. Aceste date, considerate in ansamblul lor, pot furniza indicatii precise cu privire la viata privata a persoanelor ale caror date sunt pastrate, cum sunt obiceiurile din viata cotidiana, locurile de sedere permanente sau temporare, deplasarile zilnice sau alte tipuri de deplasari, activitatile desfasurate, relatiile sociale si mediile sociale frecventate.

De ce Serviciile de Informatii isi doresc validarea Legii Securitatii cibernetice de catre Curtea Constitutionala

Serviciul Roman de Informatii (SRI) a iesit duminica, 18 ianuarie, sa explice faptul ca "Legea Securitatii cibernetice, asa cum a fost adoptata de Parlamentul Romaniei, nu permite institutiilor statului accesul la date care tin de viata privata a persoanelor, fara autorizarea prealabila a unui judecator. Din aceasta perspectiva, consideram ca temerile, speculatiile si acuzatiile manifestate in spatiul public sunt lipsite de orice fundament real".

Legea securitatii cibernetice va fi dezbatuta miercuri, 21 ianuarie, de Curtea Constitutionala, dupa ce mai multi deputati apartinand grupului parlamentar PNL au facut o sesizare de neconstitutionalitate.

De notat ca nicaieri in lege (vezi ducomentul atasat) nu apare cuvantul mandat sau cel de judecator.

Accesul la datele furnizorilor de comunicatii este reglementat intr-un singur loc - in articolul 17 alineatul (1) din aceasta Lege care va fi dezbatuta miercuri, 21 ianuarie, de Curtea constitutionala, dupa ce mai multi deputati apartinand grupului parlamentar PNL au facut sesizare de neconstitutionalitate.

Art 17 (1) din Legea Securitatii Cibernetice prevede ca detinatorii de infrastructuri cibernetice au o serie de responsabilitati, printre care:

  • a) Sa acorde sprijinul necesar, la solicitarea motivata a Serviciului Roman de Informatii, Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Oficiului Registrului National al Informatiilor Secrete de Stat, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii".

Societatea civila a reactionat imediat:


  • "Asta inseamna ca oricare din aceste institutii, daca are o solicitare motivata, ar trebui sa fie lasata sa aiba acces la datele detinute. Cine stabileste daca aceasta solicitare este suficient de motivata si daca datele sunt relevante? De ce nu un judecator, asa cum prevede acum Codul de procedura penala (art 138 si 140)"

Cum explica SRI datele la care poate avea acces fara mandat judecatoresc


Legea securitatii cibernetice - schema de functionare potrivit SRI
Foto: SRI
SRI a venit cu urmatoarele precizari legate de datele pe care le poate accesa fara mandat judecatoresc:

  • "Potrivit art.17 al acestei legi, doar detinatorii de infrastructuri cibernetice (nu persoane fizice detinatoare de echipamente IT&C - computere, tablete, smartphone etc.)  au responsabilitatea de a pune la dispozitia autoritatilor competente (la solicitare motivata) exclusiv date tehnice, cum ar fi indicatorii ce descriu activitatile desfasurate la nivelul sistemelor de operare (log-uri), cu privire la amenintarea (atac cibernetic, incident de securitate etc.) care face obiectul solicitarii.
  • Ulterior, daca din evaluarea datelor tehnice obtinute preliminar, care restrang campul de investigatie, rezulta necesitatea extinderii cercetarii asupra unor echipamente implicate in agresiunea cibernetica si care pot fi asociate in mod absolut concret unor persoane determinate, accesul la aceste echipamente se va realiza numai in baza unei autorizari eliberate de judecator (conform prezentarii grafice alaturate, care prezinta schematic modul de parcurgere a etapelor investigative).
  • Asadar, subliniem in mod responsabil ca accesul autoritatilor competente la un anume echipament IT (computer, tableta, smartphone etc.), respectiv la datele  cu caracter privat stocate pe acestea, care presupune restrangerea exercitiului unor drepturi sau libertati fundamentale, se poate realiza exclusiv in baza unei autorizatii eliberate de judecator.
  • In acelasi context, in raport cu criticile legate de absenta din corpul legii a unor garantii suplimentare privind respectarea drepturilor omului, mentionam faptul ca procedura autorizarii accesului autoritatilor competente la date de continut sau cu caracter personal este deja reglementata, atat in codul de procedura penala, cat si in legea securitatii nationale, recent modificate in acord cu cele mai inalte standarde in materie de protectia drepturilor omului, iar preluarea lor repetata in continutul mai multor legi este in contradictie cu norme imperative de tehnica legislativa".

Citeste si: INFOGRAFIC SRI cere Legea securitatii cibernetice, "in contextul cresterii fara precedent a amenintarilor" informatice

In legatura cu graficul prezentat de SRI se impune precizat ca sintagma: "solicitare motivata, avizata juridic" nu se regaseste nicaieri in Legea Securitatii Cibernetice.


  • ONG-urile: Accesul, fara autorizarea unui judecator, la orice date informatice, nu indeplineste criteriul apararii efective a dreptului la protectia vietii privat

Legea nu precizeaza clar nici aria de date care pot fi solicitate si tocmai acest lucru reclama si ONG-urile si furnizorii de internet.

Asociatia pentru Apararea Drepturilor Omului in Romania - Comitetul Helsinki (APADOR-CH) si Asociatia pentru Tehnologie si Internet (ApTI), sustinute de alte 11 ONG-uri, au depus luni, 19 ianuarie, la Curtea Constitutionala un demers de tipul amicus curiae prin care sustin obiectia de neconstitutionalitate ridicata de Grupul Parlamentar al PNL, cu privire la Legea 580/2014, a securitatii cibernetice. ONG-urile sustin ca "articolul 17(1) din legea criticata, prin care noua institutii publice au acces, fara autorizarea unui judecator, la orice date informatice, nu indeplineste criteriul apararii efective a dreptului la protectia vietii private".

  • "Terminologia articolului 17 (1) ne indica ca se vorbeste de orice date detinute de catre persoanele juridice de la art. 2. In mod logic este vorba despre date informatice, care sunt definite de Codul de procedura penala:
  • Art. 138 (5) Prin date informatice se intelege orice reprezentare de fapte, informatii sau concepte sub o forma adecvata prelucrarii intr-un siste m informatic, inclusiv un program capabil sa determine executarea unei functii de catre un sistem informatic.
  • SRI a intervenit (desi nu are nicio competenta de interpretare normativa) dupa adoptarea legii pentru a 'explica' termenul de 'date'. Insa conform principiul "Ubi lex non distinguit, nec nos distinguere debemus" nediferentierea tipurilor de date la care se refera legea ne determina sa consideram ca in lege este vorba de toate tipurile de date informatice posibile, deci inclusiv:
  •     Date cu privire la continutul comunicatiei (de ex. ce a spus Ion Popescu intr-un email);
  •     Date de trafic ale furnizorilor de comunicatii electronice, (de ex. la ce ora a trimis Ion Popescu un email) situatie deja considerata in Curtea Constitutionala in deciziile 1258/2009 si 440/2014;
  •     Date tehnice (care pot fi si date de trafic) ale unor alti furnizori, dar care pot fi si date personale (de ex. adresa de IP sau de email a unui abonat la un serviciu online);
  •     Date tehnice ale unor furnizori care nu sunt date personale (de ex. data si ora la care un site web a fost infectat sau lacuna de securitate folosita la un atac).
  • Nediferentierea cel putin intre aceste tipuri de date face textul legii criticate extrem de vag. De altfel nici macar comunicatul SRI mai sus mentionat nu reuseste sa distinga in exemplul dat de ei intre date personale (adresa de IP) si date pur tehnice", se mai arata in sesizarea de tip amicus curiae.

Citeste si:
Demers amicus curiae la Curtea Constitutionala pentru anularea Legii securitatii cibernetice - asa numita lege Big Brother 3

  • Principala problema a Serviciilor de Informatii si a organelor judiciare: Nu au temei legal pentru a mai accesa nici datele de facturare la telefonie si internet

Serviciile de Informatii si organele judiciare au intr-adevar o problema serioasa din punct de vedere legislativ care le limiteaza instrumentele de interventie in cazul unor atacuri asupra sigurantei nationale.

Problema a venit din respingerea de catre Curtea Constitutionala a Legii 82/2012 privind retinerea pentru 6 luni a tuturor datelor de trafic ale utilizatorilor de telefonie si internet din Romania - asa numita Lege Big Brother.

Legiuitorii au facut atat de prost aceasta lege, pentru a permite accesul SRI si al altor servicii de informatii, fara un mandat judecatoresc, la datele stocate de operatorii telecom, incat respingerea Legii a lasat Serviciile si organele judiciare atat fara posibilitatea legala de a mai accesa datele retinute 6 luni in baza acestei legi cat si datele retinute de catre furnizori pentru facturare, plati pentru interconectare ori in alte scopuri comerciale (n.a datele de trafic), pe care sa le foloseasca in cadrul activitatilor de prevenire, de cercetare, de descoperire si de urmarire penala a infractiunilor grave sau pentru rezolvarea cauzelor cu persoane disparute ori pentru punerea in executare a unui mandat de arestare sau de executare a pedepsei.



Citeste mai multe despre   
























Astra Film Festival 2017

VIDEO INTERVIU Bill Nichols, critic de film si pionier al studiului de film documentar: In timpul facultatii inca nu stiam ce voi deveni. Eu nu eram interesat sa fac bani, ci cautam implinirea. Si a durat o vreme sa imi dau seama.

Bill Nichols, critic de film american, profesor emerit si un pionier al studiului de film documentar contemporan a discutat in cadrul unui interviu despre visele si aspiratiile din tinerete, tehnicile din filmele documentare si influenta tehnologiei in industria cinematografica.
  • Intra in articol pentru a citi principalele declaratii ale lui Bill Nichols

4728 vizualizari

  • +4 (4 voturi)    
    cu sau fara mandat (Marţi, 20 ianuarie 2015, 15:54)

    VladBerliba [anonim]

    In primul rand interventiile ar trebui sa se faca la solicitarea proprietarilor retelelor informatice in cazul in care destinatarii atacurilor sunt acele retele. In cazul in care atacul origineaza din anumite retele, eventualele interventii trebuie sa se faca doar la solicitarea victimei si doar daca este imposibila izolarea atacului de catre proprietarii retelei informatice.

    In cazul colectarii datelor nu exista garantia ca impreuna cu datele in cauza nu sunt colectate si fluxuri de date legitime apartinand altor utilizatori care nu au nicio legatura cu eventualul atac.

    Cel mai mare pericol este NSA-ul, o agentie guvernamentala, care din cate se vede din documentele clasificate desconspirate de Edward Snowden aveau in plan infiltrarea si controlul in retelele informatice din intreaga lume.

    Care este atitudinea SRI vis-a-vis de acest comportament premeditat al NSA, orientat spre a cauza prejudicii, care incalca libertatile si viata privata a oamenilor ?

    Cum vad autoritatile romane implicarea NSA in dezvoltarea de programe de securitate pentru sisteme de operare, cum ar fi SELinux, precum si utilizarea in institutiile publice de sisteme de operare cu surse inchise, care nu respecta libertatile utilizatorilor ?
    • +1 (1 vot)    
      si ce te faci atunci cand victima nu stie? (Marţi, 20 ianuarie 2015, 19:08)

      tatalor [anonim] i-a raspuns lui VladBerliba

      În cele mai multe cazuri (peste 99%) victima habar nu are ca i-a fost compromis sistemul. Ce te faci in cazul asta? În toate cazurile, CERT-RO și CyberInt știu înainte să știe victima că sistemul este compromis. Cum se face? Simplu: daca sistemul tău e compromis atunci el este folosit pe mai departe sa lanseze atacuri către infrastructuri sensibile din alte țări. Oamenii ăia din alte țări își notifică serviciile și/sau CERT-urile lor naționale că sunt atacați din România. Ăia anunță CERT-ul național românesc, iar ai noștri cu învârtoșare roagă frumos ISP-ul să își notifice clientul. Pentru că pe ISP îl doare în fund de proprii clienți problema rămâne nerezolvată, iar victima nu știe nici după ani de zile că îi colcăie calculatorul de viruși.
  • -1 (1 vot)    
    SRI aces nelimitat la date (Marţi, 20 ianuarie 2015, 16:08)

    licarirea [anonim]

    In situatia actuala, de jaf si crminalitate economica a Romaniei, SRI-ul ar trebuii sa aiba acces la toate...la informare, si la decizie. Armata de politicieni, adunati sau nu " in cete, in smintiti, in misei", sau "in grupuri infractionale organizate", au facut ce-au vrut cu tara, timp de 25 de ani. SRI, ramane singura speranta de refacere a tarii, a cinstei, onoarei si demnitatii oamenilor. Cei 3 milioane de oameni plecati in bejenie, s-ar intoarce in tara, daca institutiile isi schimba naravul si comportamentul de opresiune. Statul, politicienii, bancherii, au devenit instrumente de opresiune, franand dezvoltarea. Poate ar trebuii axperimentat ca proba cel putin 5 ani, dupa aceea sa lasam politicienii sa gandeasca pentru echilibrul si controlul puterilor in stat, dupa modele experimentate.
  • 0 (0 voturi)    
    Cat ii costa pe ISP-isti legea securitatii cib? (Marţi, 20 ianuarie 2015, 18:44)

    tatalor [anonim]

    La dezbaterile organizate de comisia TIC a Camerei Deputatilor reprezentanții ISP-istilor s-au opus în totalitate legii!! Fără amendamente, fără îmbunătățiri, ci pur și simplu împotrivă! Inclusiv reprezentanții ONG-urilor pentru drepturile omului au avut poziții mai nuanțate și au dezbătut amendamente pe mai multe articole. De ce nu vor ISP-istii aceasta lege??
    Sunt 2 milioane de IP-uri infectate în România cu tot felul de malware și ISP-iștii primesc informare de la servicii despre aceste infecții!! De ce nu își anunță clienții că le sunt compromise sistemele??? Răspunderea lor contractuală față de clienți nu există???
  • 0 (0 voturi)    
    E ilegal sa intri in viata privata a oamenilor (Marţi, 20 ianuarie 2015, 21:07)

    adi [anonim]

    Ceea ce vrea sa faca sri si alte servicii secrete in care au ramas multi din fostii securisti si tortionari e scrigatori la cer. Pai ei vor sa stie tot dar fara mandat de la judecator si fara un motiv ceea ce e cel mai grav de dupa revolutie. Degeaba au luptat si murit tinerii aia?!! E ca si cum eu am un coleg de clasa sau vecin sau bun prieten la SRI si ii cer asa un favor pentru o sticla de sampanie si niste bani sau cadouri sa imi spune tot ce a vorbit vecina de la 3 sau colega de munca pe e-mail, telefon etc. As stii si tot despre partenerii de afaceri si as fi inaintea lor si le-as fura afacerile. Sau daca as fi obsedat de gina pistol il pun pe ala sa afle tot ca e foarte simplu. E un amestec grav in viata intima a familiilor, oamenilor si un abuz fara margini ce vor sa faca astia. Voi renunta la cetatenia romana si voi pleca din tara daca se legifereaza asta.
  • +1 (1 vot)    
    Va deranjeaza avizul judecatorului? (Marţi, 20 ianuarie 2015, 21:58)

    Perfect [anonim]

    In cazul in care doriti neaparat sa ne protejati pe toti atat de indeaproape, haideti sa instalam camere in fiecare locuinta, la fiecare 2 metri de strada si sa ne inmatriculam toti PC-urile, routerele si telefoanele.

    Ok! Insa din acel moment, dragi servicii de informatii, nu mai avem nevoie de voi.

    Din cele 15.000-18.000 de cadre, acoperiti si ce mai sunteti voi, sa ramana maxim 200-300 de operatori care sa monitorizeze ce face populatia.

    Cu salariul minim, ca nu e mare efort sa stai pe scaun si sa privesti niste monitoare, nu?

    In felul asta facem o economie fabuloasa la buget, scutim cetatenii sa intretina o armata care singura spune ca nu se descurca si suntem si urmariti, inregistrati, deci in maxima siguranta, este?!


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Marţi