Specialist IT&C: Furnizorii de găzduire devin calul troian al interceptărilor? Învățați să criptați end-to-end. E cea mai bună variantă, oricâte legi imberbe s-ar da

Adaugă-ne ca sursă preferată în Google

Urmărește-ne in Discover

Proiectul de lege a Codului Comunicațiilor rămâne cu aproape toate obligațiile pentru furnizorii de găzduire și după trecerea prin Comisiile Senatului, fiind doar scoase referințele către “furnizorii de comunicații interpersonale”, scrie Bogdan Manolea pe site-ul Asociației pentru Tehnologie și Internet.

În practică asta înseamnă că acești furnizori pot primi cereri de:

(am ales exemple extreme pe baza textului din art 10^2 pct a-c, pentru a sublinia riscurile)

• a crea infrastructură de interceptare conținut, pe costuri propriu, fără a știi ce și cum se interceptează și nu e criptat (exemplu: Google poate obligat ca să creeze aceasta infrastructură ca „organele” românești sa aibă acces la conținut necriptate – Gmail, Google Chat, etc.) sau GTS (furnizor român de găzduire) să fie obligat sa facă o camera neagră (black box) sau un sistem informatic similar în care „organele” să poată intra sa aibă acces la ce pot. Evident, o s-o facă “cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi (sic!) ale Legii nr. 51/1991 privind securitatea naţională”, mai ales când nu poate să-i verifice absolut nimeni.
• să acorde accesul la conținutul comunicațiilor necriptate tranzitate în rețelele proprii. Facebook e un găzduitor cu propriile adrese IP, deci va trebui sa ofere acces la chat-ul din Facebook Messenger (dacă nu cumva ați fost deștepți și ați activat criptarea)
• sa informeze date de trafic, inclusiv istoricul accesărilor cu momentele de timp aferente. (Găzduitorul serverului al apti.ro poate fi obligat să dea exact cine a citit acest articol și de la ce IP dar și cine a trimis un email către o adresă de pe apti.ro, la ce oră și cu ce subiect) (oricum mai bine ne contactați pe Signal sau mail criptat).

În practică suntem siguri că furnizorii serioși din afara României vor refuza astfel de măsuri intruzive și vor ridica probleme inerente de jurisdicție aplicabilă. Cu succes.

În același timp mesajul trimis de politicienii români este clar:

Furnizorii români de găzduire (în sensul larg al legii) nu vor putea oferi confidențialitatea comunicațiilor;
Utilizatorilor români de Internet le este recomandat să NU găzduiască la un furnizor român, dacă vor un minimum de confidențialitate.

D.Textul propus nu respectă garanțiile CCR

Curtea Constituțională a României a precizat în mod constant că astfel de texte vagi și neclare nu pot sa fie constituționale, în special în domeniul interceptării comunicațiilor și a datelor de trafic, cum ar fi de exemplu:

Decizia CCR 461/2014 Par 37

“ci lărgește sfera subiectelor de drept cărora le incumbă obligația de a reține și stoca datele generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului.”

Decizia CCR 17/2015 par 63

“fără a reglementa modalitatea în care se realizează accesul efectiv la datele deţinute, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să le asigure protecţia împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate şi nu stabileşte că accesul autorităţilor naţionale la datele stocate este condiţionat de controlul prealabil efectuat de către o instanţă judecătorească,”

E. Ce urmează?

Mai avem șansa unei epifanii de ultim minut a majorității din Senat ca să-și dea seama ce cal troian au votat. Sau poate au făcut-o intenționat. Altfel este uimitoare schimbarea de opinie în mai puțin de o săptămână (la ședința trecută a Comisie de Comunicații din Senat 3 partide spuneau că o să respingă art 10^2, azi primele 2 au votat un amendament pe bandă rulantă fără să dezbata sensul).

Dacă nu, rămâne doar varianta eventuală a contestării constituționalității articolului cu pricina.

Sau, evident, mutarea digitală a găzduirii în străinătate. Și învățați să criptați end-to-end. E cea mai bună variantă, oricâte legi imberbe s-ar da.

Citește integral textul semnat de Bogdan Manolea pe site-ul Asociației pentru Tehnologie și Internet.

Citește și

Specialist IT&C: Guvernul Cîțu a lărgit sfera interceptărilor / Ce obligații au furnizorii de servicii de găzduire electronică față de organele cu atribuții în domeniul securității naționale