vineri, 11 mai 2018

Scapă cine poate !


Există un subiect care m-a preocupat constant, care mi-a prilejuit de la mici și nevinovate întrebări publice până la valuri interne și supărări instituționale la adresa mea. Este una dintre rarele ocazii în care nu am o soluție, recunosc dificultatea problemei și nu-mi doresc decât ca aceasta să fie discutată într-un cadru relevant prin nivel și diversitate de reprezentare. În 2016 cumva această discuție am stârnit-o, nu am participat la ea, dar observând evoluția ulterioară cred că atunci nu s-a ajuns la o concluzie. Astăzi însă pare că da !

Astăzi îmi reamintesc de ea două documente aflate în dezbatere publică: transpunerea Directivei NIS și Ghidul Acţiunea 2.3.2 – Asigurarea securității cibernetice a sistemelor TIC și a rețelelor informatice.

Este vorba de securitatea cibernetică. Devine din ce în ce mai importantă, mai complicată, mai pretențioasă tehnologic. La modul general un sistem robust de securitate cibernetică este compus în principal din device-uri specializate care scanează traficul și comportamentul integrate într-un punct de comandă central care detectează obiectiv sau statistic comportamente anormale, atacuri. Acest centru poate seta dinamic device-urile să observe mai atent anumite aspecte și eventual să le blocheze.  Dincolo de această foarte simplistă descriere este important de înțeles că, prin definiție, cybersecurity și privacy sunt antonime. Pentru a evalua traficul echipamentul de securitate trebuie să poată să ajungă la esența acestuia trecând peste diversele modalități de criptare specifice fiecărei aplicații sau măcar să-l recunoască și să-l blocheze. Nu este o noutate, și pe calculatoarele personale programul de antivirus are unul dintre cele mai ridicate nivele de drepturi de acces.

Problema vine din apetența angajaților de a utiliza infrastructura și pentru chestiuni private iar un astfel de device va ajunge să procesez și astfel de trafic. Avem onoarea de a sparge gheața europeană cu cazul Bogdan Bărbulescu vs Angajator de la CEDO. Esența cazului este dreptul angajatorului de a verifica respectarea de către angajat a obligației de a nu utiliza infrastructura pusă la dispoziție în scop personal. În primă instanță angajatorul a câstigat, în Marea Cameră a CEDO s-a decis însă că traficul nu poate fi scanat. Deși aceste device-uri pot ignora sau anonimiza acele date personale care nu sunt relevante pentru natura atacului totuși foarte repede s-ar ajunge la necesitatea de a accesa întreaga comunicare – cele mai evidente sunt cazurile de phishing.


Ne aflam deci în situația de a investi în echipamente care pot face bine sau rău la distanță de o bifă (de activare a unei reguli în interfață) a căror administrare este greu de înțeles sau de controlat. Iată însă că în cadrul comisiei ITC din CDEP proiectul de lege a fost îmbogățit cu următorul amendament (pag. 58) :

(8) În scopul îndeplinirii atribuțiilor ori furnizării serviciilor prevăzute de prezenta lege, precum și în scopul prevenirii și răspunsului la incidentele de securitate informatică, ori al cooperării la nivel național, comunitar și internațional în prevenirea și răspunsul la incidentele de securitate informatică, CERT-RO colectează, primește, prelucrează și transmite date și informații ce pot constitui sau pot conține date cu caracter personal, în limitele legislației aplicabile, cu asigurarea respectării prevederilor alin (6).

Dincolo de aspectele social-filozofice teoretice există și un impact semnificativ. Prin ghidul menționat anterior se alocă câte 30.000.000 euro pentru 2 proiecte:

snip_20180511181035

o sumă semnificativă care permite mii de device-uri instalate.

O altă consecință interesantă este descurajarea, spre interzicere, instituțiilor publice de a-și rezolva nevoile de securitate cibernetică înafara sistemului patronat de CERT-RO întrucât acestea vor putea fi acuzate de prelucrări ilegale de date personale și amendate conform GDPR.

Dar entitățile private ? Acestea, dacă sunt ICIN, au obligații de asigurare a securității cibernetice dar vor avea același risc legat de GDPR și nu este clar dacă vor putea apela la CERT-RO pentru a prelucra datele în locul lor.

Față de cealaltă postare de astăzi aș spune că cineva și-a dat interesul să rezolve o problemă reală dar iarăși doar pentru sine accentuând off-side-ul celorlalți jucători. Poate că ar fi fost mai mult de muncă dar cred că ar fi fost mai ok ca acest drept de a procesa date personale să fie acordat oricărei echipe CSIRT acreditată cu obligativitatea respectării unui Cod de Conduită conform Art.40 din GDPR.


Niciun comentariu:

Trimiteți un comentariu