miercuri, 30 noiembrie 2022

Identificarea Video - regulile UE (eIDAS #66)

EBA – European Banking Authority a produs versiunea finală a Ghidului de utilizare a soluțiilor online de identificare a clienților de către instituțiile financiar-bancare din EU.

Vor intra in vigoare la 6 luni de la publicare și pot produce valuri în România.

Pentru că soluția noastră a fost să fie scoasă din foc castana cu mâna ADR, aceștia să publice o listă cu operatorii de identificare video agreați iar băncile și IFN-urile  să le cumpere serviciile fără alte întrebări.

Iată însă că acest nou document expune o serie lungă de criterii tehnice și, foarte neplăcut, la paragraful 54 impune beneficiarilor să se asigure că aceste criterii sunt îndeplinite de furnizorii lor de servicii de identificare chiar dacă aceștia sunt deja acreditați de autoritatea națională.

Este genul de situație în care entitățile financiar-bancare mici, locale, vor citi și înțelege ce le convine în timp ce instituțiile cu prezență masivă în UE vor ezita având mai mult de pierdut decât piața românească.

Evident ADR va trebui să evalueze dacă Ordinul lor este aliniat acestui ghid, eu aș zice că mai este loc de îmbunătățire, și, mai ales, va conștientiza că, de acum, există cineva foarte relevant care le va evalua și eventual contesta acel ordin și toată activitatea lor din această zonă.

Sau nu.

Poate mergem pe ideea că la noi merge și așa.

LINK

vineri, 25 noiembrie 2022

Cum ne-ar ajuta ECCC

Avem prima șansă să înțelegem practic cum va funcționa și cum am putea profita de noul centru pentru securitate cibernetică, inexplicabil încă neoperaționalizat, al Comisiei Europene, de la Bucureștii  - ECCC.

S-a lansat prima ofertă de finanțare pentru platforme SOC comune între minim 3 state membre.

Acestea ar urma să adune din aceste trei părți evenimente, indicatori de securitate (materia primă clasică a unui SOC) și să obțină valoarea atât prin cantitatea mare de informații cât și prin tehnologiile moderne finanțate din zona A.I.

Unul dintre state va fi gazdă a centrului comun și va opera infrastructura acestuia ca stat coordonator.

Infrastructura va fi cumpărată de ECCC în consultare cu statul coordonator. Proprietatea asupra infrastructurii se împarte conform finanțării, ECCC va deține maxim 75%.

Vânzătorii infrastructurii trebuie să fie entități sub controlul UE.

Dacă pentru bugetul total de 30 mln euro candidează mai multe consorții (fiecare de minim 3 state membre) atunci va exista o etapă de armonizare astfel încât infrastructura tehnică achiziționată să fie asemănătoare în toate SOC-urile. 

Așadar DNSC are vocație să fie membru într-un consorțiu, poate chiar coordonator. Ar trebui să găsească minim alți doi parteneri din alte state, să scrie un proiect tehnic pe placul ECCC, să arate că există un număr cât mai mare de instituții publice care vor fi deservite de acest SOC.

Cum cloudul guvernamental este deja finanțat de PNRR această nouă finanțare poate ferici instituțiile publice în activitatea lor on-prem.

Link informații suplimentare: https://lnkd.in/dS-vfuDk

Proiect Tehnic și Studiu Fezabilitate Cloud Guvernamental



Cele 2 documente importante pentru cloudul guvernamental sunt disponibile pentru download încă din data de 19 Oct, titlurile lor fiind de fapt linkuri. Putem citi peste weekend Studiul de Fezabilitate și Proiectul Tehnic și să ne reamintim să mergem întotdeauna la sursă – siteul oficial.

Ar ajuta mult, desigur, dacă acesta, imposibil de oprit, nu ne-ar sparge urechile cu un text-to-speech extrem de enervant.

Studiu de fezabilitate:  https://www.adr.gov.ro/.../2022/10/SF_CG_17.10.2022_.pdf

Proiectul Tehnic: https://www.adr.gov.ro/.../Proiect_Tehnic_CG_17.10.2022_.pdf 

miercuri, 23 noiembrie 2022

Vot final CDEP - mărirea salariilor DNSC și CPM

Astăzi este în plen la vot final în CDEP legea de mărire a salariilor din DNSC și Cancelaria Prim-ministrului despre care am scris cu ocazia votării la Senat. Există însă unele modificări față de acea variantă.

După cum am anticipat Raportul celor 3 comisii din CDEP nu marchează ca negativ punctul de vedere al guvernului, nici nu scrie că acesta a fost contrazis verbal de reprezentantul trimis. 

Înțelegem însă mai bine problema salarizării în CPM. Astfel, când a fost reînființată, CPM a preluat 57 de angajați din SGG cu tot cu un spor de 15% „pentru complexitatea muncii” însă cei care au fost angajați ulterior, practic oamenii noului guvern, nu mai puteau beneficia de acest spor. Au rezolvat această problemă.🤝

O altă problemă rezolvată este că au rescris proiectul astfel încât să nu mai modifice legea de funcționare a DNSC ci chiar legea salarizării unice în care au modificat zona de anexe pentru a cuprinde salariile DNSC.

O modificare substanțială de formă care ar putea pune probleme de constituționalitate.

După cum spuneam, DNSC devine parte a SGG și astfel, după promulgare, SGG este cel care va fi inițiator de legislație pe zona de securitate cibernetică.

sâmbătă, 19 noiembrie 2022

Inacțiunea demnitarului sub lupa SRI


Acum că, sper, ne-am răcorit, cred că este momentul să explic problema ridicată de mine în dezbaterea proiectului de lege a securității cibernetice.

Proiectul, la final, modifică L51/1991 a securității naționale introducând 2 noi amenințări: acțiuni și inacțiuni care pot avea consecințe în zona infrastructurilor critice de comunicații și tehnologia informației precum și în zona amenințările de tip hibrid.

Voi încerca să structurez mai bine decât am făcut-o verbal.

Modificarea L51 are ca rezultat direct abilitarea SRI să investigheze prin toate metodele sale specifice aceste noi amenințări. Sunt aici incluse și măsurile tehnice de supraveghere specifice zonei de securitate națională?

Focusul meu este pe conducătorii instituțiilor publice. 

Aceștia sunt, în multe moduri, mai sensibili față de o astfel de intruziune în viața privată putând-o dezvolta în felurite scenarii care vor ajunge să le afecteze activitatea profesională. Poate că „amenințarea SRI” le va crește atenția față de securitatea cibernetică sau poate că, dimpotrivă, vor vedea securitatea cibernetică ca un cal troian forțat în cetatea lor. 

În orice caz, crima de „inacțiune” este tare neclară din perspectiva alocării responsabilități.

Dacă ne uităm în L51 putem observa că toate amenințările de competența SRI au ca finalitate un articol din Codul Penal aflat într-o parte specială dedicată infracțiunilor contra securității naționale.

Este firesc, SRI investighează apoi se implică în urmărirea penală pentru acest număr limitat de infracțiuni.

Pentru orice altceva din Codul Penal informațiile strânse de SRI nu pot fi folosite în procesul penal.

În 2016 în L51 a fost introdusă și o amenințare deosebită: acțiuni sau inacțiuni care ... au ca efect periclitarea, gestionarea ilegală, degradarea ori distrugerea resurselor naturale, fondurilor forestier, cinegetic și piscicol, apelor și altor asemenea resurse... Este singura amenințare de tip „inacțiune” și singura pentru care nu sunt clare infracțiunile corespondente. Poate nu este o întâmplare că am auzit mai nimic de la SRI ca rezultate pe acest subiect.

Revenind ...

În Codul Penal cea mai apropiată infracțiune este „Neglijența în serviciu”, însă aceasta impune producerea unei pagube sau vătămări – clar este tardiv. De asemenea SRI nu poate fi implicat în urmărirea sa penală.

Întrebarea mea către panel a fost: care este finalitatea implicării și eforturilor SRI de descoperire și documentare a conducătorilor de instituții rău-voitori❓ Care este justiția îndeplinită cu costul agitării spirituale a unor oameni în cel mai mare număr nevinovați?

⚠️Reamintesc că multe persoane până astăzi nu au avut „nimic de împărțit” cu SRI, spre exemplu primarii nu au fost nici măcar beneficiari de informații clasificate.

Așadar, ori implicăm SRI cu introducerea în Codul Penal a unei infracțiuni specifice neasigurării securității cibernetice în zona Infracțiunilor contra securității naționale, ori nu o facem și introducem o nouă infracțiune fără condiționarea de existența unui prejudiciu în zona Infracțiunilor de serviciu.

Nici una, nici alta, atunci va fi interpretat ca 👉un cec în alb pentru SRI să supravegheze conducătorii instituțiilor publice - pentru că nu există instituție pe deplin apărată cibernetic – un scop în sine fără altă finalitate.

vineri, 18 noiembrie 2022

Filmul dezbaterii Legii Securității Cibernetice

Am publicat înregistrarea completă a dezbaterii Legii Securității Cibernetice.

La https://youtu.be/WOA_ZkdqAuw aveți marcate temporal în descriere principalele momente, puteți sări direct la ce știu 🧏‍♂️ că vă interesează.



Scandalul dezbaterii Legii Securității Cibernetice



Să dăm Cezarului ce este de dat, încerc să epuizez în această postare aspectele scandaloase ale dezbaterii publice a legii securității cibernetice pentru a posta ulteriori chestiunile serioase.

Da, a existat un incident pornografic.

De pe o zi pe alta dezbaterea s-a mutat de la MCID la Rectoratul UPB, în sala de consiliu. Platforma zoom era setată ca pentru niște domni în baston, nu pentru românii verzi care se luptă cu Statul asupritor. Așadar nu aveau control asupra drepturilor și, evitabil doar dacă făceau efortul să se documenteze cu privire la dezbaterile anterioare, s-au găsit participanți online care inițial ne-au oferit un imn (probabil hitlerist) apoi un catalog pornografic.

Am remarcat seriozitatea dată securității cibernetice, cam toată lumea râdea.

Apoi au oprit zoom-ul și l-au recreat fără a se întrerupe însă dezbaterea, spre pierderea celor din online. Nici noua configurație nu era prea grozavă, nu-i împiedica pe participanți să-și activeze microfonul.

Deși ar fi cazul, presupun că nici plângere nu o să depună MCID.

Trecând la problemele adevărate.

Din prezidiu au lipsit MAPN și SRI, ca principali actori ai legii, dar și toate celelalte instituții menționate cu excepția DNSC.

A fost prezent în schimb în prezidiu, inexplicabil, dl sen USR Cristinel-Gabriel BEREA care nu a deschis gura, nici măcar pentru a se prezenta.

Organizarea unei dezbateri publice se bazează pe ideea că cei din prezidiu, susțin, explică și apără proiectul în fața criticilor celorlalți participanți.

O mențiune specială merită Andrei Popa, consilier al ministrului MCID, care a acceptat cu succes  un dialog juridic argumentat, risc pe care, în istorie, puțini alții l-au asumat în dezbaterile acestui tip de lege.

Apogeul a fost  un cetățean care țipa fără microfon că domnul Klaus Iohannis este fascist, hitlerist și swinger, cu susținerea online a unui parlamentar AUR care cerea să fie lăsat poporul să vorbească, să i se răspundă la întrebări. 

Voi publica pe youtube înregistrarea completă.

marți, 15 noiembrie 2022

Este necesar să existe un punctaj comunicațional (eIDAS #65)

În mai puțin de o săptămână au fost 2 emisiuni TV despre identitatea digitală, ambele cu un twist nefericit din partea redacției. Astfel, la Antena3, dna Porumbel a găsit cu cale să asocieze identitatea digitală cu recunoașterea facială în spațiile publice iar dl. Mihai Constantin  TVR, de la care am pretenții mult mai mari, a concluzionat arătând că îi este teamă că aceasta ne va face să avem cipuri implantate sub piele.

Cea mai simplă explicație este că aceste emisiuni au căutat să activeze o frică a cetățenilor, cea de a fi identificați fără acordul lor. Adevărul este că sistemele despre care s-a discutat, PSCID și EUID Wallet, pot fi accesate doar prin introducerea unei parole sau altă formă de consimțământ explicit.

Știu că frica vinde dar, măcar TVR, ar trebui să contribuie la evoluția societății și educarea oamenilor.

Cei care sunt implicați în aceste subiecte, mai ales cei cu atribuții oficiale, ar trebui să înceapă să înțeleagă acest trend și să se pregătească la fel cum este pregătită o dezbatere politică.

În primul rând ar trebui să înțeleagă corect subiectul despre care vorbesc. În PSCID nu te autentifici cu fața, la fiecare accesare a unui serviciu public, ci o folosești la identificarea de la deschiderea contului apoi te autentifici clasic, cu user/parolă sau alte mijloace nebiometrice în fața serviciului public utilizat.

EUID Wallet poate conține într-adevăr date autentice diverse, diplome, permise, etc. dar suntem, în România, foarte departe de acel moment, nu știm cine va produce aceste date de încărcata în portofel, nici măcar nu știm cine va inițializa portofelul cu identitatea de bază.

EUID Wallet este definitoriu pentru minim 10 ani de istorie europeană. Puține, dar există, avem companii românești, experți români parte a unor entități europene, implicate în grupurile de lucru care desenează acest produs. Este bine când aceștia sunt întrebați, este rău că este spontan, în căutarea unui click-bait țintit și nu parte a unei strategii de comunicare națională.

Este necesar să existe un punctaj comunicațional.

Este necesar ca atunci când te adresezi unui public foarte larg să previi și să combați astfel de derapaje. Nu este îndeajuns să spui că legea nu permite acel scenariu, prea puțin sunt convinși românii cu asta, trebuie să arăți că este vorba de cu totul altceva.

În general invitatul are o discuție cu ziaristul înainte de emisiune. Și invitatul poate fi activ în orientarea acestuia, nu numai ziaristul este cel care anticipează răspunsurile invitatului.

Spre deosebire de alte subiecte fierbinți identitatea digitală poate și trebuie să fie complet transparentă către cetățeni. Orice probleme poate avea una sau alta dintre implementări, acestea trebuie adresate profesionist dar niciodată nu trebuie translatate către subiectul general. 



sâmbătă, 12 noiembrie 2022

Ofertanți PKI CEI (eIDAS #64)

Săptămâna încheiată au fost deschise ofertele pentru infrastructura PKI, componentă de bază a Cărții Electronice de Identitate. Știm astfel ofertanții și, fiind un proiect important, putem trage unele concluzii despre starea nației.

Certsign este în 3 din cele 5 oferte depuse.

Așadar avem:

1. Dataware Consulting + Certsign S.A.

2. Orange Romania Communicatons + Certsign S.A.

3. Advice Information Technology + OSI sistemske integracije d.o.o. + Entrust Limited + Network One Distribution

4. Trencadis Corp + CertSign

5. Trans Sped + BIT4ID srl + Dendrino Solutions srl

Ca o pată (de culoare), umblă zvonul că Orange a jucat la mai multe capete lăsând în offside un jucător european de renume.

Pamflet !

Un porumbel și-o porumbiță se întâlnesc pe-un fir. Încep o discuție pe un subiect la modă, împănată de complimente: „vai ce întrebare bună”.

Fiind pe fir, la înălțime îi aude tot cartierul cum:

🤦‍♂️ Confundă identificarea video cu autentificarea biometrică

🤦‍♂️ Vorbesc despre cazul unor gemeni identici și cad de acord că în cazul acestora sunt necesare măsuri suplimentare de securitate. Astfel neagă că imaginea de referință este cea de pe actul de identitate și sugerează că va fi folosită întreaga bază de date a populației. Astfel operațiunea nu mai este de confirmare a identității declarate de utilizator ci una de identificare la nivel național care ar putea produce rezultate fals pozitive și oarece probleme pentru utilizator.

🤦‍♂️ Acceptă să treacă lejer la un scenariu complet diferit, al supravegherii video, într-o asociere care subminează încrederea în identitatea electronică.

Sub fir, niște guguștiuci, iau notițe de publicat pe web, și-și imaginează că toate cele de mai sus o să fie folosite de ANAF și ONRC pentru interacțiunea cu cetățenii.

Eu rămân sub impresia dialogurilor „mă auziți – vă aud” și primesc un nou înțeles pentru „per aspera ad astra”  ca naturală temelie pentru îndrăznește să crezi prin tine însuți. Restul e tăcere

joi, 10 noiembrie 2022

Idei, Idei despre CEI (eIDAS #63)

Am participat astăzi la un elegant eveniment organizat de Namirial România  în cadrul căruia au fost câteva momente interesante legate de MAI și ADR, ambele reprezentate la nivel de Director.

La întrebarea dacă pentru Ordinul ADR cu privire la identificarea la distanță a existat susținere (în sens de endorsement) MAI a afirmat doar că a fost consultat dar a refuzat să confirme o evaluare pozitivă din partea lor. De altfel, la un moment dat, s-a discutat că, în general, în EU cărțile de identitate românești nu sunt acceptate pentru identificarea video și am aflat cu această ocazie că identificarea fizică conduce la zeci de CI false trimise lunar în România de alte autorități.

O altă întrebare a fost legată de eventuala achiziție prin PNRR de certificate calificate de la furnizori privați și instalarea lor pe CEI în momentul producției acestuia. Răspunsul a fost că există această idee dar că tehnic nu este posibil.

ADR nu a comentat nimic pe acest subiect dar, evident, asta nu exclude o inițiativă a ADR de a le achiziționa separat pentru toți posesorii de CEI.

Subiectul este relevant deoarece textul PNRR a fost modificat în această privință, neasumat (de persoane necunoscute), pe traseul dintre MCID și Palatul Victoria astfel încât să sprijine explicit achiziția certificatelor furnizorilor privați. Este întotdeauna important momentul în care se închide cercul.

luni, 7 noiembrie 2022

Draft Lege Securitate Cibernetica

Avem pus in dezbatere publică de către MCID un nou proiect de lege pentru Securitatea Cibernetică. Este al treilea la care asist, a mai exista inițiativa MCSI din 2016 urmată de cea a MAPN.

Preluarea sarcinii de la MAPN de către MCID vine în sprijinul construirii unui rol instituțional pentru acesta însă pune în capul mesei un actor momentan slab, fără expertiză, experiență și capacitate de impunere.

Legea în sine este, la prima vedere, cât mai simplă, ca pentru a trece cu bine de jalonul PNRR.

Pot saluta alăturarea transparentă a noțiunilor de „cyber intelligence” și „cyber counter-intelligence” care ajută la înțelegerea diferențelor.

Am fost uimit de obligația pentru MCID de a aloca pentru proiecte de cercetare, dezvoltare și inovare în domeniul securității cibernetice minim 10% din bugetul său total. În forma actuală prin „bugetul total” nu se înțeleg doar fondurile cu care MCID finanțează cercetarea din România ci și fondurile aferente investițiilor, inclusiv cele din PNRR. 

Rămâne și în acest proiect definirea foarte vagă, imprevizibilă, a sistemelor informatice de „interes național” în orice formă este descrisă această idee, lipsește o grilă de evaluare obiectivă măcar la nivelul celei aferentă NIS. Dacă diverșii actori pot evita să se calce pe picioare, operațional, cu sprijinul COSC, pentru entitatea atacată/vulnerabilă, inclusiv cele private, nu există nici un drept de apreciere asupra gravității situației, autorității competente sau a naturii și întinderii intervenției asupra sistemelor sale. Nici măcar nu știe că are vocație de a trece prin această experiență.

Oricum, o să vedem poate o dezbatere interesantă.

miercuri, 2 noiembrie 2022

DNSC mărește salariile în Cancelaria PM



De curând a existat o mică inflamare prilejuită de un amendament la Legea care mărește salariile DNSC, care introducea un spor de 15% atât pentru DNSC cât și pentru Cancelaria Primului Ministru.

Mai există însă un amendament adoptat în comisia CDEP care transformă  DNSC de la „în subordinea Guvernului” la „în cadrul aparatului de lucru al Guvernului”.

Ideea nu este deloc rea, însă ar impune și alte modificări ⚠️ în vederea alinierii la Codul Administrativ.

Un amănunt, dar ar trebui să-și schimbe numele din Directorat în Departament, pentru a se integra între:

✅Departamentul pentru Românii de Pretutindeni

✅Departamentul pentru relația cu Republica Moldova

✅Departamentul pentru Luptă Antifraudă – DLAF

Trecând la consecințe mai serioase, DNSC în exercitarea Art.5 a) 7, care îi permită să propună modificări legislative, nu se va mai adresa către MCID ci, în aplicarea Art.20 (6) din Codul Administrativ, va lucra cu SGG pentru inițierea acestora. 

Dar cea mai ciudată situație ar fi persistarea implicării CSAT în viața DNSC, în special în numirea conducerii acestuia. Aparatul de lucru al guvernului este cetatea Prim-Ministrului, el este suveran în deciziile cu privire la funcționarea sa. 

Crește riscul dat de abordarea salarizării printr-o grilă în legea de funcționare în locul modificării legii unice a salarizării. S-ar putea ca alți colegi din aparatul de lucru al guvernului să se simtă nedreptății și să se agite în această privință.