Documente de munca electronice - la final (eIDAS #49)

La ceas de seară s-a adoptat Raportul pentru L142/2021, cea cu semnarea electronică a documentelor din relațiile de muncă, de către comisiile reunite de Muncă și IT a CDEP. Au fost adoptate următoarele amendamente.

👉a dispărut orice mențiune despre sigiliul calificat

👉nu mai sunt menționate semnăturile simple, nici mărcile temporale

👉au fost tăiate, aventuros în opinia mea, mai multe articole care asigurau echivalențe cu procedurile pe hârtie.

Totul într-o mare grabă, practic partidele politice doar astăzi s-au activat să se decidă cum votează. 

Argumentele prezentate de invitați au fost clasice:

👉Furnizorii de servicii de încredere au militat pentru exclusivitatea semnăturilor calificate, la fel și sindicatele.

👉ANIS și Concordia au promovat semnătura avansată.

👉USR, respectiv dep. Oana Țoiu, au promovat amendamentele aproape adoptate la Senat, și-au împărțit succesul convingerii cu cele ale PNL susținute de dep. Sabin Sărmaș.

Conform bancului, acum am scos capra din casă. 

Rămân însă câteva întrebări serioase. 🤔Cea mai evidentă este decizia ADR de a trimite din nou același reprezentant, sub nivelul protocolar de reprezentare cerut de lucrările parlamentului. Mai mult, acesta a susținut din nou, varianta inițială a OUG-ului, cea cu obligativitatea sigiliului calificat. Atât timp cât Octavian Oprea  a avut anterior unele declarații de regret cu privire la sfatul dat de ADR Ministerului Muncii pentru textul inițial al acestui OUG ne putem întreba în ce măsură controlează activitatea ADR sau este sincer în afirmațiile sale. Practic ADR a făcută notă discordantă fără sens, Ministerul Muncii și-a asumat debirocratizarea la fel ca toți cei prezenți – o situație previzibilă și ușor evitabilă care sugerează obligații mai importante decât prestigiul instituției.

CNPP - contra

A ieșit din Senat, aprobată cvasi-unanim, L179/2021 – așa numita lege a taloanelor de pensie (mov) electronice. Un bun reality-check cu privire la un eventual portal unic guvernamental, care să concentreze interacțiunea cu cetățenii. Până astăzi știam că există un număr de cetățeni, nu mulți, care se opun acestui concept din teama unei supravegheri a relațiilor lor cu autoritățile centrale. Iată însă că vedem și opoziție din partea instituțiilor publice.😤

Un amendament votat la Aviz de Comisia ITC a Senatului a fost respins cu unanimitate la Raport, în Comisia pentru muncă, la cererea Casei Naționale de Pensii Publice. Aceasta a refuzat să existe în lege opțiunea ca aceste taloane electronice să poată fi comunicate și pe alte portaluri, nu numai cel propriu. Motivul ⁉️ ”pentru a nu încărca activitatea CNPP”😲

Era o simplă posibilitate ce putea fi pusă în practică la momentul ales și în condițiile tehnice stabilite de CNPP. În schimb s-au asigurat că va fi necesară o modificare a acestei legi dacă li se va cere acest lucru. Motivația expusă este puerilă – a furniza taloane ”en-gros” este mai ieftin/simplu operațional decât să interacționezi cu clientul, inclusiv să-i oferi suport.

Motivele reale pot fi doar speculate. Gradul de înțelegere a CNPP a ”încărcării tehnice” aduse de această opțiune este evident null. Însă este iarăși o dovadă a lipsei de guvernanță IT din România, chiar și la nivelul Senatului unde, în opinia mea și ținând cont de specificul legii, IT-ul ar fi trebuit să fie parte din Raport. 

Este necesar ca cineva, la nivel global, să conteste aceste 💩

Lupte pe nodul eIDAS (eIDAS #48)

Continuă baletul dintre Autoritatea pentru Digitalizarea României și CertSign cu rezultatul amânării apariției nodului eIDAS românesc. După anul pierdut din cauza definiției memoriei cache noua tură de contestații în justiție țintește recuperarea de către asocierea, care include Certsign, a 1,6 puncte ce o despart de asocierea Telekom, declarată câștigătoare. 

Avem 3 noi solicitări de lămurit în justiție.

👉👉În zona experților cheie este urmărită punctarea unui expert oferit de CertSign cu 4 puncte. Cerințele generale sunt bazate pe ”numărul de proiecte în care respectivii experți au îndeplinit același tip de activități ca cele pe care urmează să le îndeplinească în viitorul contract” (analiză, proiectare, dezvoltare, testare). 

În mod particular avem:

👉”2 puncte pentru fiecare proiect de interoperabilitate a tehnologiilor IT realizate în proiecte care conțin componente specifice mijloacelor de identificare”. Aceste puncte sunt solicitate de către CertSign în baza participării, în 2010 (deci înainte de apariția eIDAS), a expertului său la ” XAdES/CAdES Remote Plugtests Event” – un fel de hackathon online în care furnizorii de aplicații de semnătură electronică testează documentele semnate de produsul lor cu aplicația de testare standard și discută neconformitățile. La acea vreme nu existau soluții de remote-signature deci acele aplicații de semnare nu aveau cum să aibă o componentă de autentificare/identificare online sau, în orice caz, acest lucru ar trebui demonstrat indubitabil.

👉”2 puncte pentru expertul care a participat la implementarea unui sistem de interoperabilitate care utilizează componente de tip CEF Telecom”. Cum CEF pune la dispoziție componente software ca open-source cerința ar fi firesc înțeleasă ca solicitând experiență cu aceste componente sau derivate ale acestora. Însă CertSign solicită punctele pentru participarea într-un proiect de cercetare construit pe FIDO® UAF (Universal Authentication Framework) – un alt standard, american. Vom vedea ce înțelege instanța din sintagma ”componente de tip CEF Telecom”, derivate ale codului furnizat de CEF sau orice produs cu un scop general asemănător ?

👉👉A doua solicitare, în valoare de 2 puncte, este foarte interesantă. ADR susține că nu i se furnizează sprijinul de care are nevoie pentru Planul de implementare de business, respectiv etapa GoLive. Contestatarul susține că trecerea la utilizarea în producție este, prin lege, responsabilitatea ADR și că el dă sfaturi/planificare fără a fi responsabil de rezultate. Situație interesantă deoarece, în analiza mea, furnizorii de certificate calificate au interesul comercial ca nodul eIDAS să nu fie utilizat și astfel să nu fie deschise porțile către furnizorii europeni de eID.

👉👉A treia solicitare este de a descalifica Telekom întrucât, într-un calcul complicat, acesta nu ar fi atins un anume criteriu legat de cifra de afaceri.

Vom avea deci încă un an de întârziere urmat, posibil, de atribuire către Phoenix – CertSign – Maguay cu unele dubii în commitmentul acestora pentru reușita proiectului. Având în vedere riscul de infringement (avem obligația de a-l avea încă din 2019) și faptul că esența sa este disponibilă ca open-source cred că conducerea ADR trebuie să renunțe la amenajările de camere de date, la această procedură, să hosteze cele 6 servere în altă parte (STS sau chiar un dc comercial) și să configureze un nod eIDAS standard, bazat pe codul CEF, achiziționând expertiză direct sau apelând la cea a STS. Cred, dar nu mă aștept 😥Sunt prea multe micile erori sau neclarități în documentația de atribuire, dincolo de limita inocenței. La fel cum dincolo de perioada de rambursare va ajunge acest proiect, nu cred că OPISI (parte a ADR) va observa asta, însă MIPE sau oricine este preocupat de 2 miliona euro din Bugetul Național ar cam trebui să o facă.

Plăceri vinovate

Pe FB există distracția unor scandaluri și plăceri vinovate. Un exemplu apropo de aplicația pentru casele de marcat, în 2020 o postare mi-a atras un dialog aprins cu unul dintre băieții deștepți de pe orbita ADR.

Draft regulament eIDAS (eIDAS #47)

Mult așteptata propunere de revizuire a regulamentului eIDAS este publică. Foarte ambițioasă și destul de neclară, simultan😅. Noi servicii electronice sunt reglementate (arhivarea electronică, electronic ledgers - termen general care include blockchain) dar multe aspecte sunt trimise direct în zona standardelor tehnice. Putem totuși selecta câteva aspecte de mare impact.

Noile European Digital Identity Wallets sunt o aplicație, par a nu avea o componenta hardware securizată dedicată precum actualele dispozitive pentru certificatele calificate ci vor accesa zone securizate din telefonul mobil (acolo unde este stocat azi cardul bancar folosit pentru plata cu telefonul). Statul  este obligat să pună gratuit la dispoziția cetățeanului acest portofel. Tot statul va include, să zic așa – în primul buzunar al portofelului, o identitate electronică emisă într-o schemă națională pe care este obligat să o notifice către UE (este indicată specific cartea națională de identitate). În celelalte ”buzunare” mai pot exista:

👉mijloace de semnare calificate (nu neapărat certificate X509)

👉atribute calificate (”adeverințe” semnate de o entitate calificată care conțin o identificare a persoanei, un atribut specific acesteia (spre exemplu că este asigurat medical) și perioada de valabilitate)

Portofelul va putea fi utilizat și offline, spre exemplu prin afișarea unui QRcode.

Concluzii la cald: pentru cetățean o veste excelentă. În sfârșit va arăta telefonul în locul CI și a permisului de  conducere. La fel – cardul de asigurat, carnetul de elev, etc. Pentru administrația publică românească termenele de implementare sunt groaznice: în 6 luni de la adoptarea regulamentului COM va indica specificațiile tehnice iar în doar alte 6 luni guvernul va trebui să emită primul portofel. Asta înseamnă maxim 2 ani începând de azi.

La nivel de proiecte aflate astăzi in pipeline, noul sistem de administrare a asigurărilor de sănătate, propus în PNRR și bazat pe CEI, va trebui adaptat din mers pentru a accepta și aceste carduri virtuale. În schimb PSCID, care ar putea fi gata în 4 ani, rămâne complet în aer, fără nicio utilitate practică întrucât nu oferă niciun serviciu suplimentar celor oferite de portofelul UE.

Legea Arhivelor Electronice devine preistorie tehnologică – foarte probabil abordarea COM se va baza pe eArchiving. Electronic ledgers va deveni soluția tehnică preferată în fața mărcilor temporale.

Tare mult mi-aș dori să existe o discuție guvernamentală despre acest salt tehnologic combinat cu o schimbare de direcție. Există experiența OUG 140 care mi-a arătat că există câteva probleme fundamentale în administrația publică care ne vor face foarte grea această tranziție. Trebuie discutată începând de ieri o strategie de transformare mentală digitală, prevăd probleme chiar dacă tehnologia perfectă ar fi pusă pe masă.

PS: nu umblă deloc la valoarea juridică a diverselor tipuri de semnături. Nici nu abordează câteva probleme precum furnizorii de identificare sau limitările netransparente de utilizare a certificatelor. În schimb comisia își asumă reglemntarea procedurii de identificare video. 

Link text: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52021PC0281&from=EN

Legea 5G este cea mai bună variantă posibilă

Este departe de a fi o lege perfectă însă Legea 5G este cea mai bună variantă posibilă. ⚠️ Fiind adoptată azi voi puncta mai jos câteva argumente, nu am făcut-o în timpul dezbaterii pentru a nu fi asimilate selectiv.

TLDR: Problema securității platformei 5G este cât se poate de reală. Nu este numai o miză a comunicațiilor ci și una a aplicațiilor esențiale, aparent fără legătură. Există din ce în ce mai multe aplicații pretențioase ca volum de date sau timp de răspuns. Astăzi, pentru acestea, a apărut ”cloud-ul la purtător”, o ladă cu servere și alte echipamente pe care o cari cu tine, îți procesează local informațiile dar funcțional și operațional apare ca fiind parte din marele cloud comercial. Spre exemplu AWS Panorama este un device la care se conectează camere video și cu care poți aplica tehnici de I.A. pentru numărare obiecte, detecție defecte, etc. Asta se numește ”edge computing”, dar nu este chiar rezonabil să cari lada după tine, nu ar fi mai bine să poți închiria capacitate pe o ladă fixă, aflată la câteva sute de metrii de tine ⁉️ Exact, în final un turn 5G va avea atașat și un rack de servere, la care vei fi conectat excelent, servere din a căror capacitate vei putea închiria și plăti după nevoi. În deplasare, aplicațiile vor urma utilizatorul 🚖mutându-se din turn în turn, de aceea acest sistem nu poate fi administrat decât de operatorul 5G. Noi suntem departe de acest moment. Operatorii oferă azi, cu mică acoperire, doar transfer de date pentru telefoane mobile. ANCOM va scoate în licitație alte frecvențe pentru 5G fără a impune operatorilor lansarea și acestor servicii specifice. Însă fundația pusă azi va determina soliditatea întregii construcții.

⚠️S-a spus că ar trebui autorizat echipamentul și nu producătorul.

Pare a avea sens, în definitiv echipamentul este sursa problemelor. Însă ....

👉Universul 5G este software based. Platforma hardware este generică, universală, software-ul specializat este cel care construiește serviciile. A spune că ai verificat hardware-ul este ca și cum ai spune că ai verificat un PC fără sistem de operare și ai concluzionat acesta nu va avea niciodată viruși. Iar software-ul se modifică des, cu fiecare update. Cine, cum ar putea să verifice totul la fiecare 3 luni ? 

👉Cum te-ai putea asigura că toate instalările sunt identice cât timp sunt bine cunoscute cazuri de resoftări de echipamente pe timpul tranzitului, în depozitul curierului?

👉Chiar poate fi verificat software-ul ? În 2004 Vodafone Grecia nu și-a dat seama de ce nu mai poate trimite SMS-uri, i-a luat fabricantului, Ericsson, 2 luni să descopere un software care intercepta de mai bine de 1 an convorbirile primului ministru și a încă +100 de personalități.

Nu cred că CA-ul unei mari companii ar decide vreodată formal să spioneze sau submineze alte state. Atât patronii cât și angajații sunt însă vulnerabili în fața statului în a cărui putere sunt. Cu cât guvernul este capabil de o presiune mai mare cu atât produsele sunt mai vulnerabile, de aceea controlul legii asupra activității guvernamentale este un criteriu esențial. Practic nu este evaluat echipamentul, nici producătorul ci influența care poate fi exercitată asupra acestuia.

⚠️S-a spus: Dar ce avem cu chinezii ?. Într-adevăr ....

👉Singura relație cu alte state bazată pe certitudini legale și practice aproape imposibil de înfrânt este cea cu celelalte state membre ale Uniunii Europene 🇪🇺. Am văzut prin Brexit cât este de complicat să nu mai respecți regulile. Cu restul lumii avem, sau nu, afinități culturale, economice, istorice. Indicarea Chinei ca fiindu-ne un posibil viitor adversar este o acțiune geo-politică mult peste nivelul și interesul nostru, o abordare separată care trebuie să-și dovedească meritele. Puteam bine-merci să facem precum UE, același lucru fără 📣

⚠️S-a spus că legea distorsionează piața. Nu prea ...

👉Este adevărat că operatorii mobili sunt afectați diferit. Vodafone peste 95% dintre echipamente, Telekom aproape deloc. Însă perioada de tranziție de 7 ani depășește bine durata de viață a echipamentelor, adăugăm cei 2 ani de când se știe de această lege și vedem că niciun echipament nu ar trebui aruncat din cauza ei. Pe de altă parte, operatorii europeni vor rețele europene tehnic omogene, cine chiar vrea și poate să rămână utilizator de astfel de echipamente va avea costuri mărite dacă va lucra multi-vendor.

⚠️S-a spus că legea trece dincolo de rețeaua 5G. Nu imediat ...

👉Într-adevăr obiectul legii sunt și echipamentele edge computing ba chiar, poate, și centrele de date. Însă adevăratele pedepse, % din cifra de afaceri, sunt strict pentru rețeaua 5G principală. Pentru restul, dacă ar fi clasificate infrastructură critică, conform OUG 98 /2010 amenda ar fi de maxim 30.000 lei. Mesajul este clar, probabil cândva va fi apăsată și pedala de accelerație.

⚠️S-a spus că legea contravine legislației UE. Așa este, in spirit dar nu în literă – și asta este ce contează azi 🤭.

👉UE și-a perfecționat cu anii măiestria barierelor non-tarifare. Alături de tarifele vamale acestea (specificații tehnice obligatorii – cel mai cunoscut exemplu este obligația ca puiul să nu fie spălat cu clor) au protejat cu impunitate producătorii europeni de importuri ieftine. Criteriul geo-politic nu este încă pe deplin în arsenalul Comisiei, doar pentru investiții și sancțiuni. Nu va mai dura mult, ține de coerența politicii externe comune europene, însă momentan această lege se regăsește perfect în lista măsurilor non-tehnice stabilite de Comisie în așa-numitul Toolbox 5G și, nefiind tehnică, nu trebuie notificată.

Voi rămâne cu 2 concluzii:

‼Este îmbucurător că funcționarii publici, din ministere și parlament, nu au cedat probabil celei mai intense activități de lobby postdecembriste. 

‼Este o cheltuială majoră pentru noi – buget și populație – și bine ar fi să ne ținem de proiect. Și mai bine ar fi dacă recompensa ar fi mai clară și mai rapidă decât bucuria de a trece cu bine peste o criză probabilă în următorii 10 ani, în definitiv ne-am depășit clar condiția. 

Dezbatere 5G Senat

 

O imagine a ultimei bătălie la vedere, pe legea 5G. În ring: senatori prezenți și online, operatori mobili, ONG-uri în susținerea acestora, coaliția anti-5G. Singura noutate – secretarul de stat Bologan, de la MCID, victimă a d-lui senator PSD Zamfir. Întâi i s-a cerut să nu mai citească, la final i s-a reproșat că nu a deschis gura toată dezbaterea, nu a avut niciun răspuns sau contra-argument. Noroc cu reprezentantul ANCOM care a combătut fără mare chef.

Operatorii au declarat că susțin securitatea națională dar că obiectul legii este neclar. ONG-urile în susținerea acestora au spus că legea este ilegală fiind necesară notificarea CE. Coaliția anti-5G a aberat obișnuit, deosebirea fiind că acum au avut susținerea senatorilor AUR în fața tentativelor de a li se limita revărsarea verbală.

Legea a trecut azi de raport, cu un singur amendament notabil – perioada de grație a fost mărită de la 5 la 7 ani. Poate va fi votată săptămâna viitoare, lăsăm concluziile pentru atunci.