Category Archives: diverse

quis custodiet ipsos custodes?

diverse

(bucata de mai jos a fost scrisa cam pe 22 August 2013)

Orice tara zisa civilizata are, printre altele, trebuie sa asigure siguranta cetatenilor care o compun. Asta inseamna politie (cei mai vizibili), armata (when shit happens), servicii secrete (interne si externe).

Serviciile secrete externe culeg informatii din alte tari si le transmit celor care formeaza ramura executiva a guvernului la un moment dat. In felul asta, cand ai de luat o decizie strategica sau tactica ale carei efecte se rasfrang asupra populatiei, e bine sa o iei in cunostinta de cauza. Ca de exemplu cand te bagi intr-un tratat, intr-o negociere, intr-un razboi etc.

Serviciile interne in principiu trebuie sa stea cu ochii pe diversi care prin actiunile lor pot produce efecte nedorite in tara (spionaj militar/economic strain, deturnari importante de fonduri, atentate asupra conducerii tarii etc.).

Se cheama servicii secrete, ca doar ele stiu ce fac, cum fac, de ce fac si cand fac. Si fix aici e una din marile probleme ale zilelor noastre, cand mai degraba faci o criza de nervi ca nu-ti merge wireless-ul decat ca nu mai ai ciorapi curati in care sa te incalti si sa te duci la serviciu.

Premiza unui guvern ales democratic pleaca de la ideea ca deciziile luate sunt in interesul celor care i-au votat pe cei care au ajuns la conducerea tarii, ca fiecare cetatean e tratat in mod egal in fata legii, ca fiecare are dreptul sa se exprime liber, ca se pot organiza manifestatii fara opunerea statului si ca nu exista discriminari de nici un fel.

Pe aceleasi principii se bazeaza (sau ar trebui sa se bazeze) si celelalte institutii ale statului.

Cand vine vorba de institutiile al caror obiect de activitate are un caracter secret si asupra carora nu se aplica toate legile tarii, situatia devine interesanta. Pentru ca nu exista nici un fel de transparenta asupra activitatii desfasurate iar numarul de persoane care au de obicei acces la rapoartele de activitate ale acestor institutii este destul de restrans.

In situatii de criza, sunt foarte putini oameni care reactioneaza rational si calculat. De obicei e o panica teribila si toata lumea tipa “cineva sa faca ceva”. A doua treaba cu situatiile de criza se rezuma la imprejurarile in care ceva rau care duce la moartea unor persoane se intampla. Si aici exista o specula foarte parsiva a sentimenlor si a starii de spirit a populatiei.

De exemplu, daca in fiecare in Romania mor sa zicem 100 de persoane in accidente de masina si fiecare accident ar fi mediatizat, sansele ca ceilalti soferi sa cirucle mai atent sunt probabil nule sau nesemnificative. Daca in fiecare zi un autocar s-a rasturna intr-o prapastie… la fel, probabil a doua zi nu ar zice careva, gata, nu mai circulam cu autocarele. Cel mai probabil o sa fie considerata accidente care “se intampla” si care “nu mi se intampla mie din astea”.

Daca in schimb intr-o zi se gaseste careva sa arunce in aer un 335 sau ce-o mai circula prin Bucuresti, brusc toata lumea e afectata. Pentru ca metoda prin care s-a intamplat asta e considerata barbara si premeditata si asociata cu terorismul. Si toata lumea stie ca terorismul e ceva rau.

E ceva ce se putea preveni ? Poate. De ce nu s-a putut preveni ? Pentru ca nu s-au putut colecta informatii in timp util si din mai multe surse. Solutia ? Interceptarea comunicatiilor fara prea multa bataie de cap si justificarea acestora.

O data facuta treaba asta, cu greu o mai schimbi, daca nu imposibil.

Lucrand in securitate (informatica, dar totusi) stiu ca nu poti analiza trenduri sau evenimente suspecte daca nu ai vizibilitate si n-ai cat mai multe informatii. Sa previi devine si mai dificil din cauza faptului sunt foarte multe tinte si foarte multe metode de a pune la cale un atentat.

Intr-un fel inteleg si dilema diversilor oameni in a intercepta informatii care prinse la momentul si timpul potrivit pot impiedica pe diversi oameni sa inceapa cu Allahu Akbar prin metrou sau in autobuz sau unde o mai fi acu la moda sa-ti incepi drumul spre cele 72 de virgine.

Pe de alta parte, nu mi se pare normal ca automat orice debitez pe internet, sau intr-un SMS sau mai stiu eu ce sa fie interceptat din doua motive:

1) nu’s terorist (lol)
2) este obligatoriu sa fiu considerat nevinovat pana la proba contrarie, pana atunci n-au nici o taina cu ce fac, ce cred si ce gandesc.

De cand a iesit buboiul cu NSA/GCHQ si restul + Snowden ma uit cu atentie la ce se intampla. Bine, ma uitam si inainte la toata distractia asta cu “war on terror”, da acum a devenit mai interesant.

Pe mine m-a socat faptul ca se intercepteaza tot si se stocheaza pe termen nelimitat datele ce trec prin diverse colturi ale lumii. Desi tot zic ca nu se poate fizic, dupa ce dai spam-ul si ce e pe youtube si alte chestii din astea la o parte, nu raman chiar asa multe informatii sa zici ca vai… n-avem atata loc sa le tinem. Ma asteptam sa fie chestii asa mai specifice, la nivel de grup relativ geografic restrans, dar nu chiar tot. Pur si simplu totul. Probabil si fiecare draft al postului astuia pe blog cand mai dau save, ca na… mai pica si conexiunea la internet.

Toate ziarele si televiziunile (alea mai putin asa) vorbesc despre guvernele tarilor “civilizate” care au pornit un razboi impotriva propriilor cetateni. Si toata referirea se face la guvern, agentie, politie de parca ar fi obiecte materiale cu propria vointa.

Guvernul sunt prietenii din scoala/liceu/facultate, vecinu de la 3, nevasta lu colegu’to de la serviciu si tot asa. Sunt oameni ca si noi restul. Doar angajatorul difera.

Ce ma face sa fiu trist e faptul ca pur si simplu, din diverse motive nu le pasa ca ceea ce fac nu e tocmai ok, din foarte multe puncte de vedere. O problema cu politia in general, dar care este valabila pentru orice om angajat ca “law enforcement” se cred superiori celorlalti oameni. Multi care intra in aceste structuri cred ca intra cu intentii bune (ca sunt si d’aia de se duc pentru un loc de munca sigur si ceva beneficii pe langa). Dar li se spune zi de zi ca ei sunt pe baricade sa protejeze lumea de ultimul bau: comunisti, teroristi, islamisti si ce rahat o mai iesi maine pe post de “bau bau” dupa ce ailalti au fost anihiliati. Si la un moment dat incep sa creada ca sunt mai buni ca restul. Aici e buba.

Ca in loc sa vada oamenii ca oameni, ii vad ca pe potentiali suspecti. Pe toti.

Tot timpul se anunta atacuri, nimic nu se intampla. Dar, mereu sa gaseste cate un om care sa zica “avem nevoie ca guvernul/parlamentul sa ne dea puteri si mai mari sa ii cautam pe restul care nu lucreaza cu noi sa-i cautam si’n cur fara motiv daca vrem, ca teroristii sunt peste tot”.

Pe langa asta, sunt si senatorii/parlamentarii din toate tarile care iau decizii pe baza de cate voturi e posibil sa castige sau sa piarda, nu pe date concrete si spre interesul oamenilor pe care ii reprezinta.

Totul e asa pervers ca daca stai sa te uiti un pic de departe la ce se intampla, iti vine asa o sila si-o greata ceva de speriat.

Nu vad sa zica careva: ba, ia sa facem un pas inapoi si sa vedem ce cacat am facut pana acum, unde suntem si unde vrem sa fim si sa gasim calea corecta.

Cred cu tarie ca multe din lucrurile nasoale care se intampla sunt din cauza unor oameni in anumite functii care pot influenta decizii importante. La modul ca ori incearca sa-si justifice existenta propunand tot felul de chestii dubioase si absurde, din purtatul de ochelari de cal, din convingeri absurde, din nevoie de a-si satisface ego-ul si tot asa.

Cred cele de mai sus din simplu motiv ca nici un om sanatos la cap nu se trezeste dimineata si zice: hm, hai sa interzicem criticarea guvernului. Sau, hai sa propun o lege prin care orice om poate fi perchezitionat pe strada ca daca e terorist si are o bomba in cur ?

De asemenea, chiar exista oameni care vad doar violenta ca mod de a-si atinge scopurile personale, politice si de ce fel or mai fi ele. Si asta nu e OK.

Insa, de mici invatam ca lumea e nedreapta si ca nu e totul roz. Fix din acest motiv nu cred ca putem avea numai bucurii, fara nici un fel de tristete. Bineinteles, cred ca e bine sa limitam la maxim tristetile, dar asta nu inseamna sa traiam intr-o bula in care sunt numai ponei roz care se plimba toata ziua pe curcubee.

La fel, din cand in cand tragedii se intampla. Oameni mor in fiecare zi. Doar ca unii s-au prins ca pot specula anumite morti in scopuri nu tocmai ok.

Personal nu cred ca toate sunt inventii, insa cred cu tarie ca pericolul se exagereaza cat se poate de mult dintr-un motiv foarte simplu: oamenii reactioneaza impulsiv in fata necunoscutului si ar da aproape orice sa vina cineva sa-i salveze.

Si uite asa apar tot felul de legi care sunt folosite de oameni impotriva altor oameni care nu sunt cu nimic diferiti unii de altii, decat prin faptul ca unul e politist, spion, militar sau jandarm iar restul sunt fara aparare.

Transferand treaba asta in era digitala, e si mai rau pentru “omul de rand”.

(ce este mai jos este nou-nout, de acum din 2015)

Cu un an si un pic in urma ziceam ca ca niste oameni abia asteapta sa se intample o nenorocire pentru a propune legi prin care sa fie foarte usor sa comita abuzuri impotriva altor oameni.

Nici bine nu si-au revenit francezii din socul celor doi frati suparati ca un ziar zice de rau de prietenul lor imaginar, ca “boom”, seful SRI-ului si procurorul general al Romaniei au sarit repede sa planga prin presa ca uite, ne tebuie legea BigBrother 4.0 sa prindem teoristii invizibili din tara; ca sunt peste tot, dar nu pot fi vazti fara sa aiba SRI dreptul sa spioneze o tara intreaga fara nici un fel de grija ca i-ar putea trage cineva la raspundere.

Eu personal cred ca teroristii castiga un pic cate un pic de fiecare data cand drepturile fundamentela ale omului sunt incalcate bucata cu bucata de alti oameni in numele securitatii.

Divaghez, ca pana la o noua revolutie a bunului simt, trebuie sa vorbim incet pe Internet, ca firele pe care se plimba bitii au urechi. Mai mici sau mai mari dupa posibilitati.

Pana la urma, cine-i urmareste pe aia de ne urmaresc? Si cine la randul lor ii urmareste pe aia de ii urmaresc pe aia care ne urmaresc pe noi?

transportul public

diverse

Cam prin decembrie asa in 2013, cand mi-am inceput vacanta de iarna, am incetat sa mai folosesc masina in mod curent. Cand am avut nevoie am inchiriat un weekend si cam aia a fost, in rest m-am dat cu transportul in comun. Acum o folosesc mai mult sa ma duc la sala ca e un pic inaccesibila cu RATB (nu de departare, ci din cauza de localizare care presupune sa schimb cateva mijloace pana ajung in zona).

Tot plimbandu-ma asa prin oras am inceput sa ma uit la cum e transportul public in Bucuresti si mi se pare destul de OK ca si numar de vechicule pe trasee. Unde nu mi se pare OK este faptul ca nu exista benzi dedicate pentru asta. Singurele exceptii sunt tramvaiul 41 si traseul de autobuz/troilebuz de la Piata Operei la Universitate (cu toate ca din motive care-mi scapa, taximetristii sunt lasati sa circule pe acolo).

O alta chestie pe care nu o inteleg este faptul ca oamenii care au abonament la RATB nu valideaza cardurile, desi regulamentul zice ca trebuie. Asta in sine este o sursa valoroasa de date pentru prelucrare sa stii cati oameni circula la un moment dat intr-un mijloc de transport, unde se urca cei mai multi si tot asa. Anonimizarea datelor in cazul asta mi se par extrem de simplu de realizat astfel incat toti paranoicii sa stea linistiti ca nu-i urmareste nimeni :)

Urmand oarecum ideea asta, daca s-ar face benzi pentru transportul in comun si s-ar face si “enforcement” la asta, la modul pazit benzile alea si amendat pana la faliment pe cine le incalca, traficul din Bucuresti ar scadea simtitor.

De ce cred asta? Pentru ca avand predictibilitate la timpii facuti cu RATB, ar fi mult mai multi oameni care ar prefera acest mod de transport; venind mai multe mijloace de transport la intervale regulate n-ar mai fi asa aglomerate (nu ca acum cand nu stii cand vine urmatorul); chiar si cu marirea pretului biletului ca sa reflecte costurile reale cred ca ar fi mai ieftin decat costul masiniii pe 21 de zile pe luna (presupunand ca posesorii folosesc masinile doar in weekend, iar cand zic costul masinii ma refer la benzina + intretinere).

Un prim pas, usor de realizat, ar fi ca pe traseul tramvaielor sa se puna “Jersey barriers” astfel incat sa nu poata intra masinile pe sine (in Amsterdam am vazut un sistem misto: la intrarea pe sinele de tramvai, dupa ce se termina intersectia, exista un fel de poarta elastica si tramvaiul impinge cu putere sa o desparta sa treaca, iar dupa ce trece se inchide la loc. O masina daca ar vrea sa faca asta s-ar zgaria de nu s-ar vedea). Asta combinat cu faptul ca un tramvai este destul de lung si poate cara foarte multi pasageri, se pot pune destul de multe pe un traseu, ar fi din punctul meu de vedere mijlocul ideal de transport intr-un oras precum Bucurestiul si ar putea complementa metroul in zonele in care nu exista.

Nu-mi dau seama exact de ce, dar am inceput sa am o mica aversiune fata de a merge cu masina versus RATB/metrou de cand n-am mai mers constant cu masina si nici nu prea-i duc lipsa.

Un avantaj la treaba asta este ca atunci cand ma duc la cumparaturi imi cumpar cat am nevoie si cam atat, nemaiexistand tentatia de a lua un carucior mare in care sa pun toate crapurile care nu-mi trebuie, ci doar un cos mic cu chestiile de chiar imi trebuie.

o poveste cu becuri

diverse,

Acu o saptamana mi s-a ars un bec de faza scurta la masina.

Azi dupa vreo juma de ora de cautat pe internet am gasit cum sa dau jos becurile.

Dat jos becul defect, pus in buzunar, luat troleul pana in Auchan, gasit doua becuri no-name (ca din alea bune n-aveau), luat si inapoi cu tramvaiul la masina.

In filmuletul despre schimbarea becurilor, zicea nenea ala ca sa pun capacul de protectie undeva bine ca poate sa scape prin motor si o sa fie greu de gasit.

Schimbat becul defect, pus faza scurta, totul ok. Nu stiu de ce, da pornii si motorul. Si bineinteles ca a scapat capacul in motor. Noroc ca a scapat in fata si n-a fost chiar greu de scos de acolo.

Acu cu muschii umflati pe mine de la schimbat becul defect, zic sa-l schimb si pe alalalt sa nu fie diferente de lumina si sa bata farurile aiurea.

Dat jos becul bun, pus becul nou, si cam aici se opreste povestea mea de succes in a schimba becul. Ca dupa o juma de ora de incercat sa potrivesc rahatul ala de suport sa intre in soclu am renuntat pentru ca deja nu mai puteam de maini inghetate.

Asa ca acu sunt cam de unde am plecat: am un bec care merge si unul care nu prea merge (ca se balangane acolo in soclu), doar ca acu merge ala din dreapta si nu merge ala din stanga.

optiuni

diverse

i'm with stupid

De ceva vreme ma tot screm intre doua chestii:

  • sa ma apuc de facut diverse proiecte pe security/infrastructure
  • sa imi iau un rucsac in spinare si sa ma duc aiurea in lume

Ambele optiuni se completeaza cu “si vad io mai departe ce si cum”.

Creierul zice ca pot sa fiu din nou geek, sa fac chestii computericesti care-mi plac, sa pot sa arat cu degetul si sa zic “eu am construit asta” si alte chestii din astea.

Inima zice ca un rucsac mediu de backpacker, laptopul si cateva haine sunt tot ce-mi trebuie. Sa ma duc sa “ma arunc in lume” si sa vad pe unde ma poarta valurile.

Astea doua optiuni ma omoara zi de zi, ora de ora.

Intr-o ora ma gandesc la ce chestii cool mai sunt prin IT si cum se aplica practic si ce-as putea construi; intr-o alta ora ma gandesc ca nu este nici o experienta mai misto decat sa dormi intr-un hostel ingramadit cu oameni din intreaga lume.

Pana la urma ma gandesc foarte serios sa dau cu banul si ce-o fi, o fi.

despre legea securitatii cibernetice

diverse

Mai nou, in Romania, avem parte de Legea securitatii cibernetice, pentru ca trebuie tara protejata de oamenii rai ai internetului.

In primul rand, un mic sumar al definitiilor folosite in lege:

  • infrastructuri cibernetice: infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice.
  • infrastructuri cibernetice de interes national (ICIN): infrastructurile cibernetice care sustin serviciile publice sau de interes public, ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia, denumite in continuare ICIN
  • managementul identitatii: metode de validare a identitatii persoanelor, cand acestea acceseaza anumite anumite infrastructuri cibernetice
  • operatii in retele de calculatoare: procesul complex de planificare, coordonare, sincronizare si desfasurare a actiunilor in spatiul cibernetic pentru protectia, controlul si utilizarea retelelor de calculatoare in scopul obtinerii superioritatii informationale, concomitent cu neutralizarea capabilitatilor adversarului
  • spatiu cibernetic: mediul virtual, generat de infrastructurile cibernetice, incluzand continutul informational procesat, stocat sau transmis, precum si actiunile derulate de utilizatori in acesta
  • securitate cibernetica: starea de normalitate rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si non-repudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private din spatiul cibernetic. Masurile proactive si reactive pot include politici, concepte, standarde si ghiduri de securitate, managementul riscului, activitati de instruire si constientizare, implementarea de solutii tehnice de protejare a infrastructurilor cibernetice, managementul identitatii, managementul consecintelor.

Ce zice prin lege (am scos pasajele care mi se par importante):

  • Cap. II, Art. 6 (1): In vederea asigurarii cadrului general de cooperare pentru realizarea securitatii cibernetice se constituie Sistemul National de Securitate Cibernetica (SNSC), care reuneste autoritatile si institutiile publice cu responsabilitati si capacitati in domeniu.
  • Cap. II, Art. 6 (2): SNSC colaboreaza cu detinatorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociatiile profesionale si organizatii neguvernamentale.
  • Cap. II, Art. 8 (1): Coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit in continuare COSC
  • Cap. II, Art. 8 (2): COSC este format din reprezentanti ai MApN, MAI, MAE, MSI, SRI, SIE, STS, SPP, ORNISS, secretarul CSAT
  • Cap. II, Art. 8 (5): La activitatile COSC pot participa, in calitate de invitati, reprezentanti ai altor institutii sau autoritati publice.
  • Cap. II, Art. 9 (1) (f): In exercitarea atributiilor sale, COSC analizeaza si evalueaza starea securitatii cibernetice, formuleaza si inainteaza CSAT propuneri privind cerinte minime de securitate cibernetica si politici de securitate cibernetica pentru autoritatile si institutiile publice prevazute la Cap. II, Art. 10 (1) si (2).
  • Cap. II, Art. 9 (2): COSC coopereaza pentru realizarea securitatii cibernetice cu organismele de coordonare sau sau conducere constituite, potrivit legii, la nivel national, pentru managementul situatiilor de urgenta, a actiunilor in situatii de criza in domeniul ordinii publice, pentru prevenirea si combaterea terorismului si pentru apararea nationala, asa cum sunt prevazute in legislatia in domeniu.
  • Cap. II, Art. 10 (1): SRI este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC, precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica, denumit in continuare CNSC
  • Cap. II, Art. 11 (1) (e): CNSC are urmatoarele atributii principale: genereaza avertizari pentru detinatorii de infrastructuri cibernetice si ICIN cu privire la posibile incidente de securitate cibernetica si emite recomandari cu privire la modalitatea de actiune
  • Cap. II, Art. 15 (1): La nivel national se constituie Sistemul National de alerta Cibernetica, denumit in continuare SNAC, reprezentand un ansamblu organizat de masuri tehnice si proceduri, si principalul mijloc al SNSC destinat prevenirii si contracararii activitatilor de natura sa afecteze securitatea cibernetica.
  • Cap. II, Art. 15 (3): In cadrul SNAC, starile de amenintare reflecta gradul de risc pentru securitatea cibernetica si sunt identificate prin niveluri de alerta cibernetica. Acestea pot fi instituite pentru intreg teritoriul national, pentru o zona geografica delimitata, pentru un anumit domeniu de activitate sau pentru una sau mai multe persoane juridice de drept  public sau privat.
  • Cap. II, Art. 15 (2): Organizarea SNAC, masurile specifice pe care autoritatile si institutiile publice competente le implementeaza pentru fiecare nivel de alerta, precum si procedura de instituire a nivelurilor de alerta si cerintele privind elaborarea planurilor de actiune se aproba prin norme metodologice, la propunerea SRI.
  • Cap. II, Art. 15 (5): Pentru punerea in aplicare a masurilor specifice prevazute la alin. (2), persoanele juridice de drept public sau privat detinatori de ICIN elaboreaza planuri de actiune proprii, corespunzatoarea fiecarui nivel de alerta cibernetica.
  • Cap. II, Art. 15 (7): Detinatorii de infrastructuri cibernetice au obligatia sa sprijine autoritatile si institutiile publice competente pentru implementarea masurilor corespunzatoare fiecarui nivel de alerta cibernetica, potrivit solicitarilor acestora, adresate in condtiile Cap. III, Art. 17 (1) (a).
  • Cap. III, Art. 16: Detinatorii de infrastructuri cibernetice au urmatoarele obligatii:
    • (a) sa aplice politici de securitate cibernetica, cu respectarea cerintelor minime de securitate stabilite la nivel national MSI, ANCOM sau alte autoritati publice competente, potrivit legii
    • (b) sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate in infrastructurile cibernetice proprii sau aflate in responsabilitate
    • (c) sa previna si sa reduca la minimum impactul incidentelor care afecteaza infrastructurile cibernetice proprii sau aflate in responsabilitate
    • (d) sa nu afecteze, prin actiunile proprii, securitatea altor infrastructuri cibernetice
    • (e) sa se asigure ca datele si/sau informatiile referitoarea la configurarea si protectia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate sa le cunoasca
  • Cap. III, Art. 17 (1): Pentru realizarea securitatii cibernetice, detinatorii de infrastructuri cibernetice au urmatoarele responsabilitati:
    • (a) sa acorde sprijinul necesar, la solicitarea motivata a SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii
    • (b) sa informeze, de indata, autoritatile si institutiile publice prevazute la (a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege
  • Cap. III, Art. 18: Detinatorii de infrastructuri cibernetice, furnizorii de servicii de internet au obligatia de a-si notifica clientii, persoane de drept public sau privat, de indata, dar nu mai tarziu de 24 de ore din momentul in care au fost sesizati de autoritatile competente potrivit prezentei legi, cu privire la situatiile in care sistemele informatice folosite de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare.
  • Cap. III, Art. 19 (1): La nivel national se constitue catalogul ICIN, care se aproba in termen de 90 de zile de la intrarea in vigoare a prezentei legi, prin hotarare a Guvernului.
  • Cap III, Art. 19 (3): Identificare ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metogologia elaborata de SRI si MSI, si aprobata in termen de 60 de zile de la intrarea in vigoare a prezentei legi, prin hotarare de Guvern.
  • Cap. III, Ar. 19 (4): La elaborarea catalogului ICIN, MSI va colabora si cu ANCOM, in situatia persoanelor de drept privat care detin calitatea de furnizori de retele publice sau servicii de comunicatii electronice destinate publicului
  • Cap III, Art. 20 (1): Persoanele juridice de drept public sau privat care detin sau au responsabilitate ICIN, au urmatoarele obligatii:
    • (a) sa stabileasca si sa aplice masuri pentru asigurarea rezilientei infrastructurilor cibernetice proprii sau aflate in responsabilitate
    • (b) sa intocmeasca planul de securitate al ICIN, precum si planuri de actiune proprii corespunzatoarea fiecarui nivel de alerta cibernetica
    • (c) sa efectueze anual auditari de securitate cibernetica sau sa permita efectuarea unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit legii
    • (f) sa aplice politicile de securitate prevazute prin cerintele minime stabilite conform dispozitiilor prezentei legi
  • Cap. III, Art. 21 (2) (c): […] sa permita autoritatilor competente sa intervina pentru identificarea si analizarea cauzelor incidentelor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice
  • Cap. III, Art. 21 (2) (d): […] sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii, cu respectarea principiului confidentialitatii si sa le puna la dispozitia autoritatilor competente
  • Cap. III, Art. 23 (6): In implementare prevederilor prezentei legi, ANCOM va constitui si va operationaliza o structura specializata de securitate cibernetica, de tip CERT.
  • Cap. IV, Art. 26 (2): Conducerea operatiunilor de aparare cibenetica in caz de agresiune armata, la instituirea starii de asediu, declararea starii de mobilizare sau de razboi se realizeaza de catre Centrul National Militar de Comanda in cooperare cu COSC.
  • Cap. V, Art. 27 (1): Monitorizarea si controlul aplicarilor prevederilor prezentei legi se asigura, potrivit competentelor stabilite prin lege, de catre:
    • (b) SRI […] pentru detinatorii de ICIN, persoane juridice de drept public
    • (c) MSI, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat
  • Cap. V, Art. 27 (2): […] conducatorii autoritatilor desemneaza persoane abilitate care […] au dreptul […] sa:
    • (b) sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura destinata ICIN […]
    • (c) sa primeasca la cerere, la fata locului, justificari sau informatii

Acum, parerea mea unde sunt problemele:

  • SRI, prin aceasta lege, se autoproclameaza imparatul absolut infrastructurilor din Romania. Ceea ce este “wrong on so many levels”. Si cum asta nu era suficient, ii aduce si pe prietenii lui din aproape toate structurile de securitate din Romania.
  • Conform definitiilor folosite, orice firma din Romania care detine mai mult de 2 computere are o “infrastructura cibernetica”. Asta inseamna ca probabil in afara de orice firma cu un singur computer, legal SRI-ul poate accesa datele oricarei firme fara absolut nici un control sau raspundere in fata unui judecator.
  • Sunt tare curios cum va arata procesul si cine va plati despagubiri atunci cand SNAC va decreta alerta pentru o anumita firma (conform abilitatilor) si se dovdeste a fi alarma falsa.
  • Conform “prezentei legi” (sa folosesc limbajul de lemn care place asa mult legiuitorilor tarii) reprezentantii societatii civile nu au ce cauta la COSC si nici nu pot reclama in vreun fel activitatea acestuia. Un fel de “statul stie mai bine ce e bine pentru pentru populatie, aveti incredere”. O alta mare problema.
  • Toate firmele de comunicatii, la cum arata legea, vor deveni ICIN si drept urmare toate institutiile alea de au membri in COSC isi vor putea baga nasul in cum arata retelele operatorilor, cum sunt configurate si tot asa. Pentru ca “national security, terrorists” si ce o mai fi maine la moda pe tema bau-bau.
  • Sunt cerinte in lege care nu sunt realizabile si se bat un pic cap in cap, precum cele din Cap. III, Art. 16.
  • Daca da fericirea peste tine si te clasifica SRI drept ICIN, ai supt-o in fericire. Vine si te inspecteaza “autoritatea competenta” cand vrea muschii ei si “conform legii (Cap. V, Art. 27 (2))” tre sa stai drepti si sa raspunzi la intrebari si sa te justifici. Pentru ca asa functioneaza o societate normala, sa stai cu palaria in maini si cu capul plecat in fata organului.
  • Articolul 17 (cel mai contestat dintre toate):
    • orice firma detinatoare de infrastructuri cibernetice, care conform definitiei inseamna orice firma cu cel putin 2 computere care comunica intre ele, este obligata prin lege sa accepte accesul reprezentantilor statului cand li se scoala sa vada ce date au pe acolo pe baza “solicitarii motivate”. Ti-ai luat un virus de pe “Internet” care sa zicem ca spameaza chestii si tu habar nu ai (acu ca ala o fi plantat chiar de baietii si fetele albastre e alta traba), legal are voie SRI sa-ti ceara datele din computer ca sa “le investigheze” si sa scoata necuratul din ele.
    • nu exista nicio mentiune cum ca “solicitarea motivata” trebuie intai aprobata de un judecator sau sa poata fi cumva contestata in instanta atunci cand este considerata abuziva. Adica o sa fie un fel de “ete motivatia, da-mi alea doua laptopuri de pe birou – de se vad de aici din usa si ne mai gandim ce sa-ti luam data viitoare”.
    • Nu vad nicaieri obligatii ale statului, vad doar obligatii ale firmelor private. Ca altfel vine SRI-ul si le da peste degete daca gresesc. Chiar iti poate da si amenda.
  • Legea asta parca e facuta sa legitimize un abuz deja pus la cale.

Pare mea:

  • O sa se inventeze politici de securitate nationale pe care diversi trebuie sa le implementeze. Daca sunt firme de stat, o sa se mai justifice angajari pe “securitate cibernetica”.  O sa fie plina de specialisti tara asta.
  • O sa se faca treaba la minimul necesar si dupa aia “dupa mine potopul”. Si daca totusi o sa dea coltul careva din cauza unei brese de “securitate cibernetica” o sa se trambiteze sus si tare ca “institutiile statului si-au facut treaba” si aia e, viata merge mai departe. De ce? Pentru ca in loc de dialog frumos cu explicatii si chestii, SRI-ul a luat-o pe calea securista: faceti ca noi ca numai noi stim cu e bine, altfel va dam amenda.
  • O sa fie Romania plina ce CERT-uri: la SRI, la ANCOM si la toti aia din lista. N-o sa mai stie malware-ul pe unde sa fuga de atatia politisti cibernetici care il alearga cu pulanele cibernetice pe Internetul romanesc.
  • Cuiva i-a placut la nebunie termenul asta de “cibernetic” ca e folosit in textul legii de parca l-a castigat la lotto si n-a stiut ce sa faca cu atatea exemplare.

Eu nu pricep de unde atata incrancenare din partea SRI-ul cu Internetul, retele de comunicare si ce mai intra la mijloc. Parca au fumat lipici din ala expirat, asa pe aratura sunt. Adica am inteles ca pentru ei “dreptul la viata privata”, sustinut de trei ori de CCR (o data cu BigBrother initial cand le-a taiat din pretentii, a doua oara cand au dat-o jos pe baza precedentului de la Curtea Europeana de Justitie si a treia oara cand SRI-ul a vrut sa ne faca tara bananiera sa luam internet cu buletinul) este ceva la care cetateanul nu are voie si daca s-ar putea sa ne instalam de buna voie microfoane si in fund, ei ar fi cei mai fericiti oameni. Acu au gasit o alta cale sa se duca dupa datele oamenilor. E un fel de soarecele si pisica, doar ca intr-un film prost.

O alta chestie pe care nu pot s-o pricep este de ce, ca si in alelalte legi unde si-a bagat SRI-ul coada nu zice nimic ca inainte sa se duca sa spioneze romanii, intai sa treaca pe la un judecator care sa zica DA/NU. Si o alta intrebare este, cum poate afla o firma cine i s-a uitat prin date si pe unde au mai fost trimise?

Cu legil ca astea o sa ajungem democratici ca americanii, cand primesti un NSL si la schimb trebuie sa dai din casa tot.

Pur si simplu mi se par stupide justificarile cu teroristiisi sau ce bau-bau mai e acu la moda. Deja in Romania au distrus politicienii tot ce era functional; ce-o sa distruga un terorist cu bomba prin Bucuresti mai rau decat poate distruge Oprescu din pix?

biting the bullet (1)

diverse

De cand m-am intors in .ro si pana o sa-mi iau iar bocceluta in spate, mi-am propus sa-mi rezolv din dilemele de le am pe diverse planuri.

  • Anxietatea sociala: mereu mi-a fost tarsa sa ma duc sa ma bag in seama cu lumea. Chestiile de baza de gen “buna, io sunt sin. voi cine sunteti si ce faceti?”. Daca ma introduce cineva intr-un grup e OK, ma decurc singur dupa aia sa ma imprietenesc (sau nu) cu lumea. Da de capu meu mai bine dau cu degetele de la picioare aiurea in mobila. Asa ca saptamana asta m-am dus (in stilul meu carcateristic) direct la apa mare: nu intr-un grup cu interese comune cu ale mele, ci intr-un grup de oameni cu interese si “background-uri” extrem de diverse. Si m-am descurcat onorabil, n-am dat cu bata in balta, am vorbit frumos, am cunoscut oameni interesanti si abia astept sa ma duc si data viitoare, sa exersez si sa ma cizelez pe baza observatiilor facute de mine asupra mea (da, fac si de astea).
  • Conditia fizica: cu scuza “io’s IT-ist, nu-mi trebuie muschi” sunt “couch potato” in cel mai adevarat sens al cuvantului. Asa ca dupa ceva dat inapoi de la initiative (mi-am facut inclusiv abonament  si nu m-am dus niciodata), mi-am gasit o sala diferita. N-are aparate clasice, tot efortul fizic il fac folosindu-ma de forta/greutatea corpului si de gantere, saci tactici, coarda (behai dupa ce sar duda aia de coarda de parca as fi alergat pana la ploiesti) si alte inventii de astea care tot la folosirea fizicului meu se rezuma. Vroiam sa saptamana trecuta, dar n-am putut, asa ca saptamana asta am bagat ca migu, cum se zice. Am antrenoare personala (de care mi-e frica, ca stie stuff), imi arata ce sa fac, cum sa fac, sta sa-mi zica cand nu e bine si tot asa.In fiecare zi am alte exercitii (sa nu ma plictisesc). Momentan merg ca robotul si ma dor toate alea, dar e bine. Azi am mers normal. Dar ma omoara un pic mainile. Dupa fiecare antrenament bag calciu, magneziu si aspirina sa treaca mai repede febra. E frig in sala ca nu e caldura, si se vede foarte misto respiratia pe vremea asta.