Categories
eDržava Ekonomija Priroda i društvo

Promjene Zakona o elektroničkim komunikacijama

Krenuo sam baciti pogled na diskusiju o “novoj legalizaciji” (inače jednog od najsramotnijih zakona koji su ikada izglasani u ovoj državi) pa sam na web stranici eSavjetovanja naletio na pravi mali ljetni biser sakriven među kiselim krastavcima.

Naime u ovoj ljetnoj rupi, Ministarstvo mora, prometa i infrastrukture je u eSavjetovanje pustilo nacrt prijedloga zakona o izmjenama i dopunama zakona o elektroničkim komunikacijama. Unutra ima nekoliko zanimljivih dijelova koji malo vrijeđaju moj afinitet za tržišnim natjecanjem i kibernetičkoj sigurnosti. Formalni razlog koji je naveden za promjene je usklađivanje zakonskog teksta s EU direktivom 2014/61/EU, a što je direktiva koja se odnosi na različite mjere čiji je cilj smanjenje troškova postavljanja elektroničkih komunikacijskih mreža velikih brzina (tzv. širokopojasni internet). Otprilike ovo što smo prije nekoliko dana čitali da je propalo (kod nas). Sama direktiva je iz 2014. godine, a zaključci o oblikovanju digitalne budućnosti Europe na koje se zakonodavac poziva su još iz 2020. godine, dvije godine prije nego što su nastale posljednje značajnije izmjene Zakona o elektroničkim komunikacijama. Dakle, samo ako promatramo slijed i starost odluka na koje se ministarstvo poziva, nešto baš ne štima (no eto, svi smo na GO pa nema tko preispitati o čemu se točno radi). Probajte prebrojati koliko se promjena odnosi na tzv. gigabit act, a koliko na sve ostalo? Čudnovati omjer.

Promjene zakona o elektroničkim komunikacjama

Prva bitna točka na koju bih skrenuo pozornost je problematika uvođenja sasvim nove fraze “kritične komunikacije” koja do sada nije postojala niti u javnom diskursu niti u postojećim zakonskim tekstovima. Ako krenete čitati tekst promjena, biti će jasno da se želi koncentrirati kritična komunikacija u jednome pojmu, a zakonodavac želi svu kritičnu komunikaciju ubaciti u jedan (novi) pravni subjekt koji se naziva “jedinstveni pružatelja kritičnih komunikacija“. Zakon eksplicitno kaže da će Vlada RH donijeti o odluku tko bi to bio (a ako malo bolje čitate opise, vjerojatni kandidat za to je državna firma Odašiljači i veze d.o.o.). Obzirom da su OiV već ionako u posjedu ili kontroli većine odašiljača i veza, jedini značajni segment kojeg oni nemaju pokriven, nemaju direktni utjecaj ili posjeduju su mobilne javne telefonske mreže. Moja interpretacija teksta promjene zakona jest da će Vlada kreirati paradržavni telekom (iako ih imamo već nekoliko; FINA i Carnet u nekim segmentima svojeg djelovanja već djeluju kao telco operateri). Nejasno je kako će taj telekom funkcionirati, hoće li biti pravi zakonom definirani telekom bez koncesije ili virtualni telekom ali nešto od toga će biti.

Problematika tržišne ekonomije se sastoji u detalju koji je propisan prijedlogom, a koji kaže da postojeći operateri moraju osigurati pristup svojim mrežama ovom novome jedinstvenom pružatelju kritičnih komunikacija. To otprilike znači da postojeći telekomi o svojem trošku (a svi znamo da je njihov trošak preliven u cijenu naše usluge) moraju osigurati pristup njihovim mrežama a što će sasvim sigurno generirati neki trošak (investicija, održavanja i slično). Taj trošak operateri ne smiju prenositi na novi paradržavni telekom i doslovno je napisano kako je dio tih usluga koje komercijalni operateri moraju pružati besplatan, dio smiju naplatiti po stvarnom trošku održavanja, a dio po “razumnom” trošku povrata investicije (čim vidite u zakonskom tekstu fraze koje ne možete pretvoriti u jasnu matematičku formulu morate se podsjetiti da je perspektiva u oku promatrača, pa je “razumni trošak” subjektivna ocjena državnog činovnika kako bi se izbjegla tržišna utakmica i “ekstraprofit”). Kako je novi državni telekom državni onda je po definiciji izuzet iz javnih nabava i njihove cijene koje će naplaćivati državi nisu predmetom tržišne utakmice te ih stoga nećemo (osim deklarativno) tražiti da budu troškovno efikasni. Taj fenomen često vidimo u različitim državno/administrativnim monopolima poput FINA, APIS, Carnet i sličnima gdje plaćanja države prema tim subjektima u svojoj osnovi čine zakonom i EU pravilima zabranjenu subvenciju (a što će prije ili kasnije doći na naplatu). Naravno tu je i činjenica da će nepoznati broj (vjerojatno nekoliko desetaka tisuća državnih službenika; računajte samo da policija ima preko 30k zaposlenih, vojska dodatnih 15-20k, potom malo civilne zaštite, vatrogasaca, medicinskog osoblja + naši elitni političari) svoje mobilne telefone prebaciti tim dekretom određenom pružatelju kritičnih usluga.

Mimo gornjega, za primjetiti je i opći trend i inflaciju proglašavanja svega i svačega kritičnim, pa smo eto sada dobili i kritične komunikacije koji rade na kritičnoj infrastrukturi (ne kažem da to nije potrebno ili da ne postoji potreba, ali posezanje za ovom klasifikacijom je uglavnom samo izgovor za centralizaciju i zatvaranje tržištu uz inferiornu a istovremeno beskrajno skupu uslugu).

Zanimljivi je i detalj promjene članka 141 Zakona o elektroničkim komunikacijama, odnosno članak 24 nacrta promjena. Do sada je zakonom bila propisana mogućnost razmjene podataka o korisnicima neplatišama između operatera, dok je ovom promjenom ona propisana kao obvezna – ako vam moja interpretacija te semantičke promjene ne izgleda ozbiljnom, onda pročitajte tekst obrazloženja koje doslovno kaže “utvrđivanje obveze operatora javno dostupnih elektroničkih komunikacijskih usluga za prikupljanje i elektroničku razmjenu podataka o korisnicima, u svrhu procjene platežne sposobnosti podnositelja zahtjeva za sklapanje ugovora kojim se uređuju prava i obveze između operatora i krajnjih korisnika”. Ponavljam, iako je totalno jasan cilj zašto želimo razmjenjivati takve podatke, strašno me zanima koji slijed događaja je doveo do toga da se zakonom propisana mogućnost pretvara u obvezu.

I u konačnici, ima nekoliko suptilnih promjena u tekstu Zakona a koje se odnose na kibernetički sigurnost. U proteklih nekoliko godina smo donijeli Zakon o kibernetičkoj sigurnosti (koji je, koincidencije radi, također prolazio savjetovanje u ovo doba godine, a predlagač je bilo Ministarstvo branitelja!?) a na kojeg sam imao niz primjedbi. Moja temeljna zamjerka tada (a i danas) je u tome što je Vlada RH kao tijelo zaduženo za provedbu i praćenje kibernetičke sigurnosti odredilo SOA-u što je, da to vrlo pristojno napišem, vrlo inovativno rješenje na razini EU čija genijalnost do današnjeg dana nije prepoznata. Kibernetička sigurnost u svojoj srži je sličnija preventivnoj zdravstvenoj zaštiti ili sigurnosti prometa na cestama, što znači da većina kibernetičke sigurnosti masovni napor edukacije građana i pravnih osoba o sigurnosti na računalnim mrežama i sustavima, a u daleko manjoj mjeri posao obavještajnih agencija koje nikome ne obrazlažu što i kako rade. Komentirao sam ozbiljnost njihovih aktivnosti i ranije, no vidim da i u novom izvješću SOAe za 2025 kibernetička sigurnost zauzima skromne tri stranice obogaćene velikim slikama i skromnim rezultatima. Pretpostavljam (i iskreno se nadam) da tamo ima profesionalaca koji znaju što rade, ali osim povremenih naznaka sustavnog pristupa kroz pojedine dokumente, nije da se vidi neki efekt.

Zakon o kibernetičkoj sigurnosti kao i promjene koje je ZEK imao utvrđuju poziciju nacionalnog tijela da utvrđuje sigurnosne rizike lanaca dobave operatera javnih usluga. Specifičnost našeg konkretnog rješenja u odnosu na ostatak EU prakse jest u tome što samo mi imamo obavještajnu agenciju koja daje finalni pravorijek o tome što jest a što nije sigurno, dok sve druge EU ili EEA zemlje uopće nemaju takva ograničenja, ili postoje odobrenja koja izdaju specijalne komisije, Vlada, premijer ili resorni ministar (samo u tri zemlje se traži odobrenje sigurnosne agencije i to Njemačka, Latvija i Cipar) – no zajedničko svima je da funkcioniraju po preporukama koje proizlaze iz 5G toolboxa odnosno preporuka ENISA-e. Kriteriji koje SOA može koristiti (i pritom uopće ne obrazložiti) su i oni političke prirode i ne moraju biti utemeljene na stvarnim tehničkim ugrozama. Tu je i srž problema, problematiziranje dobavljača iz potencijalno neprijateljskih zemalja (Kine) proizlazi još od početaka prvog mandata Donalda Trumpa (tzv. Chip war, napisao sam i nastavak). Temeljna teza je da dobavljači iz non-allied zemalja mogu koristiti isporučenu opremu za nadzor naših građana i ustanova, te tu istu opremu na različite načine mogu pretvoriti u oružje kroz mis-konfiguraciju opreme ili korištenjem različitih tipova kill-switcheva (ili na tko zna koji drugi način kojeg još nismo imali prilike vidjeti). U stvarnosti, ograničavanje kineskih dobavljača se svodi na pokušaj stvaranja time-outa za europske i američke dobavljače da sustignu astronomsku prednost koje je Kina ostvarila u odnosu na sve druge, osobito u 5G mrežama (sedam-osam godina kasnije sasvim je jasno da ova taktika nije riješila a čak niti ublažila tehnološki raskorak).

Naravno da je svaki rizik potrebno dobro odvagnuti, temeljito i iznimno kritično provjeriti, no do današnjeg dana nije dokazano da se oprema kineskih dobavljača koristila ili uopće može koristiti za nadzor ili da postoje kill-switchevi. Postoji naravno cijeli niz sigurnosnih propusta koji su otkriveni, no oni svojom prirodom ili namjerom ne odudaraju od sličnih sigurnosnih propusta na europskim ili američkim proizvodima

U kontekstu telekom operatera, rizici korištenja opreme non-allied zemalja se dijele na tzv. jezgrene sustave i sustave koji se koriste u radio mreži. Kako bi se adresirali rizici koji proizlaze iz masovnog korištenja mobilne tehnologije, Europska unija kroz svoje institucije i alate daje konkretne sigurnosne preporuke, dva za telekome najzanimljivija su 5G toolbox i ENISA (europska cyber security agencija). Po svim trenutno dostupnim preporukama i praksama, sve EU zemlje razlikuju rizike između jezgrenih – core sustava koji su identificirani kao kritični sustavi i radio mreže (RAN) koje su označene kao rizičnom komponentom.

Prijedlozi nadopuna zakona idu u smjeru koji će zacementirati ulogu nadležnog tijela za kibernetičku sigurnost u odnosu na odlučivanje koji su to sigurni lanci nabave i koji se dobavljači smatraju sigurnima. Pitanje tehnološke argumentacije su u cijelosti sekundarna i dodatkom u zakon se odluka u cijelosti prepušta nadležnom tijelu a koje po svojoj prirodi ne funkcionira transparentno a i izrijekom zakona ne mora obrazložiti svoje odluke. Sve skupa je dodatno zanimljivo ako znamo da smo istim ovim promjenama izdvojili “kritičnu komunikaciju” u zasebni entitet i izdvojili iz sustava ostalih operatera, dakle koji je smisao regulirati ako smo kritične komponente iz razloga sigurnosti već izdvojili? Osim naravno ako nemamo namjeru intervenirati u tržišne odnose?

Promjena zakona nadležnoj agenciji za elektroničke komunikacije (HAKOM-u) ostavlja samo specifičnosti koje su vezane za telekom operatere kroz mehanizam pravilnika koji je postojao i u prethodnom zakonskom tekstu ali je (defacto) ukinut donošenjem uredbe o kibernetičkoj sigurnosti da bi sada bio ponovno uveden ali u okljaštrenom opsegu (što samo govori o tome kako lijeva ruka ne zna što radi desna, ili pak da postoje “unutarnje borbe” oko regulatornog teritorija između agencija).

Proces eSavjetovanja traje još svega dva dana, pa ako imate nešto za reći sada je prilika.

Misao dana:
Regulation has nothing to do with setting standards; it meant putting rules in place that worked in favor of a few.

Categories
Politika Priroda i društvo

Naša vlada je kompromitirana i/ili korumpirana

Prije nekoliko mjeseci napisao sam blog objašnjavajući kako je i zašto predsjednik vlade korumpirana osoba, tekst možete pročitati, bio je dosta kopiran i citiran no sažetak argumentacije je u tome da je korumpiran po zapovjednoj odgovornosti (toliko znamo zasada, nitko ne isključuje i druge pojavne oblike koji će biti vidljivi naknadno). Nakon što sam objavio tekst bilo je tu svega i svačega, od onog nekog frustrirano-nabildanog HDZ-ovca koji je pokušao moj blog svesti na ad-hominem, pa do samog predsjednika vlade kojem sam bio “drug Rakar” koji je, valjda u okviru neke zavjere, krenuo pisati tekst o njemu (iako, tekst je samo zapažanje trenutka), preko uobičajenih telefonskih uvjeravanja i ukazivanja na moje najbolje interese, do ispričavanja i molbi da više ne pišem jer je eto, “šef osjetljiv”. Njemu za informaciju, jer se na SOA-u ionako ne može osloniti, niti sam ja drug Rakar niti postoji zavjera (a ako postoji dvojbe, ima niz ljudi u vladi moj broj telefona pa neka nazovu ili pozovu na kavu pa im sve objasnim, nije nikakav problem). Kako god okrenuli, jučer su stečeni uvjeti za nastavak tog teksta, pa kako ne želim predsjedniku HDZ-a kvariti SEO (iako, pitam se da li je to uopće moguće) neću ga ovom prilikom spominjati ali u biti svi znamo o kome se radi, zar ne?

Prva tema o kojoj vrijedi pričati je sada već (donekle) bivši Barbarić od HEP-a koji je trebao dobiti pedalu, no kako ga predsjednik vlade u biti nema ovlasti smijeniti, ovaj je preduhitrio birokratski aparat davši ostavku što mu navodno osigurava backup poziciju u tom istom HEP-u. Priča o dotičnom se raspliće već duže vremena i ona možda ima ili nema temelja, teško je to reći u našem fluidnom društvu, no činjenica je da je upravo u njegovom mandatu nestalo brdo novaca te je očito nastala neka šteta za HEP. Kreativci apologeti su naravno skočili i krenuli objašnjavati kako se cijela situacija odigravala na burzi gdje nema direktnog kontakta između prodavatelja i kupca, no svi smo nekako zaboravili ili olako ignorirali da je većinski kupac diktiran odnosima na tržištu (a ti odnosi su kreirani umjetno), a još je manje primjećena informacija kako je famozna energija poravnanja u tom kritičnom trenutku za HEP bila na povijesno visokoj razini i to u redovima veličina. Dakle, da su ti famozni viškovi bili u nekom očekivanom prosjeku još bi mogli pravdati situaciju, no ako su oni nekoliko puta veći od najvećeg dosadašnjeg uravnoteženja onda vrijedi razmotriti barem teoretsku mogućnost da je riječ o kaskadnom efektu koji nije nužno nastao slučajno.

Ilustracija demoliranja vile.

Potom je tu i pitanje “rekonstrukcije” vile koja je sada okupirana bagerima i koja se pomalo pretvara u građevinski otpad. Zanimljiv mi je bio i taj bezobrazluk ignoriranja elementarnih činjenica. Naravno da postoji “presumpcija nedužnosti” te ona naravno postoji s razlogom, no postoje situacije koje su toliko nevjerojatno očigledne da ne možemo previše preispitivati da li se nešto dogodilo ili nije (poput primjerice ilegalne gradnje), nego je uloga suda i pravosuđa da tu indiskreciju i bahatluk izmjeri i pretvori u primjerenu kaznu. Niti sekunde nije bilo upitno da li je vila izgrađena ili nije, to je moralo svima biti bjelodano i očito, pitanje je samo koja će biti konsekvenca (osim naravno rušenja, koje ide ili bi barem trebala ići po definiciji).

I tu dolazimo do tog, za nas eluzivnog koncepta vladavine prava kojeg često zazivamo a nikako da shvatimo. Poštivanje zakona je doslovno dno dna, to je najmanji zajednički nazivnik, neizrečeni društveni ugovor u kojem svi koji obitavamo na ovom prostoru unaprijed pristajemo da nećemo živjeti i djelovati po standardima i pravilima koja su lošija od zakona koje smo donijeli u demokratskoj i zakonodavnoj proceduri. Poštivanje zakona države u kojoj živiš nije nikakvi uzvišeni ideal kojem treba stremiti, nego donji minimum civiliziranog ponašanja u uređenom društvu.

Za razliku od toga, politika (kao uostalom i svi koji se bave javnim poslom, neovisno o tome koji je to posao i jesu li ili nisu do te pozicije došli kroz izborni proces, imenovanja ili na neki drugi način) bi morala stremiti prema standardima ponašanja koju su bitno stroži od pukog poštivanja i zadovoljavanja zakonske norme. U nekim zemljama, političari odstupe zbog nesmotrenog emaila, toblerone kupljene pogrešnom kreditnom karticom, zbog neplaćanja TV pretplate, neprijavljene kućne pomoćnice, no kod nas je to daleko teže pa tako i velike i teško transgresije poput izravne štete državi, ministarstvu ili javnom poduzeću prolaze nekažnjeno i to ne zato što smo veliki zagovornici procesa i legalisti (pa slijepo vjerujemo konceptu nedužnosti do dokazivanja krivnje) nego uglavnom zbog kombinacije osobnih taština jer se kažnjavanje posrnulih podanika smatra slabošću (gdje je percipirana osobna slabost i priznanje pogrešnog odabira suradnika nadređena općem dobru i gore spomenutoj vladavini prava), neodlučnosti u donošenju teških odluka (jer smo mi tradicionalno uvijek reaktivni a rijetko kada proaktivni). Čak i kada do smjene dođe, kao što je to jučer bilo s ovim Lovrinčevićem i Filipovićem, ignoriramo očigledno i u pozadini se ispričaju priče koje, iako možda čak i točne, ponovno stvaraju prostor da se tvrdi kako je do smjena došlo iz nekog drugog razloga a ne očiglednog.

Bizarno, ako ćemo baš i o razlozima, postoje dvije priče vezane uz Lovrinčevića, prva je ona koja je objavljena u Nacionalu, a koja (pod pretpostavkom da su snimke autentične, a zasada ne vidimo da nisu), jasno implicira kako je dotični tražio za “nas” (tkogod taj “nas” bio) isplatu polovice alociranog marketinškog budžeta. Čisti, jedan kroz jedan, mito i korupcija i bez ikakvog dvoumljenja situacija u kojoj je kazneni progon očigledan a odogovornost na svakoj razini jasna.

No, razlog zbog kojeg je napravljeno razrješenje ministra i posebnog savjetnika (posebni savjetnici su oni koji nisu u radnom odnosu u ministarstvu) je, ako ćemo baš doslovno promatrati, drugi tekst u drugom mediju, gdje informacija naizgled dolazi od istih autora (kao i snimke), a koji defacto govore o tome kako je državni dužnosnik/posebni savjetnik proslijedio određene informacije saborskom zastupniku (da, taj zastupnik je predstavnik oporbe ali istovremeno i predsjednik Nacionalnog vijeća za praćenje provedbe Strategije suzbijanja korupcije) – a informacije koje je prenio se u biti odnose na sumnju o određenim koruptivnim radnjama u sektoru energetike. Zanimljivo, zar ne?

Hrvatski politilčari diskutiraju antikorupcijske mjere, idealizirano.

Ali, da se trenutak vratimo na zakone kao donji minimum normalnog ponašanja. Ako se sjećate, prije nešto malo više od godinu dana, Allianz je u zadnjim trenucima iskočio iz vlaka koji je trebao preuzeti Fortenovu, a što je rezultiralo bijesom politike i produženih ruku politike. Taj bijes i nemoć se pretvorila u konkretni zakonski prijedlog koji će ovih dana omogućiti političko diktiranje i kreiranje alternativnog investicijskog fonda koji će ulagati privatnu imovinu građana u politički sponzorirane i predodređene projekte. A sve zato kako bi se (vjerojatno) spriječio još jedan promašaj u preuzimanju Fortenove, vjerojatno zbog od ranije slomljenog ortačkog kapitalizma. Naravno, nije tu Fortenova i odabrani budući vlasnik jedini predodređeni korisnik, vjerujem da je žestoka klika lobista iza cijelog prijedloga te da žele ponoviti iskupljivanje loših plasmana banaka kroz premošćivanje financiranja, izdavanje različtih obveznica ili vlasničkih dokumenata na način na koji smo to radili ranije s Nexe, Ingrom, IGH, Ledom i na različite druge načine kroz koje smo javno spaljivali novce mirovinaca (da, OMF-ovi su zločinci sami za sebe, ali čini se da povremeno pokazuju barem nekakve naznake postojanja kičme, AIF je dizajniran kao beskičmenjak od početka).

Situacija u kojoj se zakoni kroje kako bi pogodovali točno određenoj kasti businessmana je od ranije poznata u političkoj teoriji i praksi i zove se crony kapitalizam, a ovaj specifični oblik nazivamo kleptokracija. Naša aktualna vlast jedan na jedan odgovara udžbeničkoj definiciji oba pojma. Promjena zakona koja će omogućiti alternativni investicijski fond je čisto pogodovanje i zaobilaženje uobičajenih tržišnih mehanizama koji bi osigurali zdravo financiranje projekata (mogli bi to nazvati i kontinuitetom socijalističke misli), a oni koji donose odluke, smatraju da ako se situacija legalizira kroz neko ministarstvo, izglasa na vladi i bude potvrđena u zakonskom tekstu kroz saborsku proceduru da je onda i ta krađa legalizirana i “jail free” za svoje sudionike, no nije to baš tako. Isto tako, nije ovo ni prvi puta da se sabor koristio kako bi se legalizirale određene manipulacije i krađe, ima primjera. Šteta što DORH/Uskok nemaju dovoljno znanja, volje ili autonomnosti da istražuju i utužuju takve situacije.

Kako god okrenuli, čak i ako pogledamo ukupnost svega što se događalo, a današnje otpuštanje Lovrinčevića i Filipovića lijepo uvezuje cijeli paket, sasvim je jasno kako se uvijek ista imena provlače kao krajnji korisnici cijele priče oko Barbarića i njegovog pogodovanja (na svim razinama), prije toga one milijarde plina koja je nestala iz INA-e, preko plina za cent u HEP-u, pa sve do sada ovog razrješenja ministra i njegovog savjetnika (btw. ovo je prvi puta da smo smijenili ministra zbog djelovanja njemu podređenih djelatnika, očito je i Filipović, kakav god da je bio, bio smetnja prema nečemu).

Razina nervoze je ogromna, i u cijelosti proporcionalna razmjerima grabeža koji se trenutno događa. Zanimljiva vremena su pred nama i više je nego očigledno kako nam slijedi eskalacija neke vrste, pa ako smo istrpili cijelu ovu predstavu, predlažem da ostanemo i pogledamo i vatromet.

Misao dana:
I must confess the activities of the Croatian governments for the past couple of years have been watched with frank admiration and amazement by Lord Vetinari. Outright theft as a policy had never occurred to him.

Categories
eDržava Internet Priroda i društvo

Zaustavimo štetni eIDAS 2.0

eIDAS (electronic IDentification, Authentication and trust Services) je europska regulativa koja je nastala 2014. godine i koja u svojoj biti pokušava upravljati elektronskom identifikacijom i servisima povjerenja u elektronskim transakcijama. Ovih dana, nakon dovršetka procesa trialoga, u proceduru ulazi i reforma eIDAS sustava koja se popularno naziva eIDAS 2.0.

Pojednostavljeno, eIDAS koji na današnji dan defacto slabo ili nikako funkcionira, regulira pitanja elektroničkog identiteta (dakle kako se neko računalo predstavlja) u europskom internet prostoru, te kome se u tom prostoru može vjerovati ili ne (usluge povjerenja).

Na ovom linku možete pročitati trenutno dostupni tekst eIDAS 2.0 regulative (ovo nije finalna verzija, ako nađete/naiđete na UPDATE: našao sam finalnu verziju svakako je linkajte u komentaru). Problem s eIDAS direktivom u formi u kojoj se trenutno nalazi je članak 45. Taj članak teksta omogućava državama da drastično prošire opseg nadzor nad svojim građanima kroz kreiranje mehanizma za presretanje internet prometa.

Konkretnije, i da pokušam objasniti malo slikovitije, promet internetom je danas gotovo u cijelosti enkriptiran (šifriran) a kako bi se spriječilo da neka treća strana kroz čiju opremu taj promet prolazi (ili je promet snimljen, ili preusmjeren) bude u mogućnosti čitati koji je bio sadržaj poruke (tekst, audio, video ili uostalom bilo koji drugi sadržaj kojeg poželite poslati putem interneta). To se postiže korištenjem digitalnih certifikata, a što je digitalni dokument koji sadrži odgovarajuće enkripcijske ključeve temeljem kojih se sadržaj “šifrira” na putu prema i od krajnjeg korisnika. Autentičnost certifikata pružaju CA (Certificate Authority) serveri koji svojim digitalnim potpisom “jamče” da kada npr. utipkate u svojem browseru whatsapp.com da doista i razmjenjujete podatke s whatsapp.com. CA potpisni ključevi su tvornički ugrađeni u operativne sustave i browsere koje koristimo i oni su objektivno “ahilova peta” sigurnosnog sustava na kojem počiva današnji internet, jer kompromitacijom nekog od ključeva odjednom možemo “potpisivati” štogod želimo.

Članak 45. eIDAS 2.0 regulative eksplicitno govori o tome kako svaka EU država (i odobrene treće zemlje) mogu doslovno propisati kriptografske ključeve za koje je povjerenje obavezno u koje nije moguće proglasiti kompromitiranim bez eksplicitnog dopuštenja države (koja je taj CA potpis izdala). I ne samo to, nego se eksplicitno zabranjuje provjeravati sigurnost izdanih certifikata u EU osim ako je to eksplicitno dopušteno.

To otprilike znači da će svaka EU zemlja imati zakonsko pravo u browsere koje koristite “ubaciti” potpisne ključeve čija se sigurnost uopće ne smije preispitivati, a koji će omogućiti da bilo koja od tih zemalja kreira SSL/TLS certifikate s nazivom bilo koje domene, a koji će zbog “ugrađenog državnog” CA certifikata biti proglašeni ispravnim te vaše računalo neće generirati bilo kakvo upozorenje.

Ukratko, institucionalizirati ćemo “man in the middle” napad. Prevedeno i krajnje pojednostavljeno, to znači da će država biti u stanju kreirati certifikat kojim će oni svoj server predstaviti prema vama kao npr. gmail.com, i dok vi mislite da komunicirate s gmailom, u biti ćete komunicirati preko nekog državnog računala (proxya) koje će pojedinačno ili masovno pratiti i bilježiti promet koji se tim putem događa (još malo dodajte i AI-ja koji odlučuje što je bitno a što nije i odjednom smo usred Orwellove 1984.). To nije nikakva tehnologija koju tek treba izmisliti, to su komercijalno dostupna rješenja koja je potrebno samo konfigurirati. I naravno, ovdje ne govorim samo o vašem kontaktu s web servisima poput gmaila, nego i svim drugim servisima koji koriste SSL/TLS rješenja što uključuje WhatsApp, Signal, Telegram i u biti bilo koji browser ili aplikaciju koju koristite (uključivo, ali ne i ograničeno na npr. internet bankarstvo).

Pitanje povjerenja u CA (Certificate Authority) je ogromno tehničko pitanje i na njemu počiva sigurnost interneta. Ako se prebacimo na nama lokalne primjere, postoje odlični razlozi zašto recimo domaći CA (a imamo dva, AKD i FINA) nisu priznati. Po kriterijima sigurnosti i povjerenja, oni jednostavno ne udovoljavaju temeljne uvjete da bi im se vjerovalo i da bi “tvornički” stigli zapakirani u vašoj windows, linux ili MacOS instalaciji, upravo zato kada pokrećete npr. novu osobnu, jedna od operacija koju radite je i instalacija AKD CA root certifikata budući da mu vaši windowsi (s dobrim razlogom) ne vjeruju.

Nije to samo pitanje nepovjerenja u državu koja je sklona prekomjernom nadzoru svojih građana, zloupotrebama sustava (i podkapacitirane organizacije kojima je ovaj posao povjeren), nego i u tome što postoji cijeli povijesni niz kompromitacije certificate autohoritya i kada se tako nešto dogodi, ne samo da ćemo teško od državnih uhljeba dobiti priznanje da su kompromitirani (a jesu), nego će EU regulativa priječiti uklanjanje takvog kompromitiranog CA potpisa a automatizmom će biti onemogućeni mehanizmi za rješavanje takvih situacija.

Sažeto, implementacija eIDAS 2.0 u postojećoj formi i prijedlogu će drastično umanjiti sigurnost internet korisnika na području EU-a, te će posljedično umanjiti i sigurnost interneta širom svijeta. Nije zato nikakvo čudo što je više stotina znanstvenika i stručnjaka iz 39 zemalja širom svijeta nedavno napisalo otvoreno pismo u kojem upozoravaju na sistemske prijetnje internetu a koje proizlaze iz ovog prijedloga regulacije, jer prihvaćanje ovog prijedloga će unazaditi sigurnost na internetu na točku u kojoj smo bili prije 10-15 godina.

Misao dana:
For me, I will take freedom over security and I will take security over convenience, and I will do so because I know that a world without failure is a world without freedom. A world without the possibility of sin is a world without the possibility of righteousness. A world without the possibility of crime is a world where you cannot prove you are not a criminal. A technology that can give you everything you want is a technology that can take away everything that you have. At some point, in the near future, one of us security geeks will have to say that there comes a point at which safety is not safe.