Categories
eDržava Internet Priroda i društvo

Zaustavimo štetni eIDAS 2.0

eIDAS (electronic IDentification, Authentication and trust Services) je europska regulativa koja je nastala 2014. godine i koja u svojoj biti pokušava upravljati elektronskom identifikacijom i servisima povjerenja u elektronskim transakcijama. Ovih dana, nakon dovršetka procesa trialoga, u proceduru ulazi i reforma eIDAS sustava koja se popularno naziva eIDAS 2.0.

Pojednostavljeno, eIDAS koji na današnji dan defacto slabo ili nikako funkcionira, regulira pitanja elektroničkog identiteta (dakle kako se neko računalo predstavlja) u europskom internet prostoru, te kome se u tom prostoru može vjerovati ili ne (usluge povjerenja).

Na ovom linku možete pročitati trenutno dostupni tekst eIDAS 2.0 regulative (ovo nije finalna verzija, ako nađete/naiđete na UPDATE: našao sam finalnu verziju svakako je linkajte u komentaru). Problem s eIDAS direktivom u formi u kojoj se trenutno nalazi je članak 45. Taj članak teksta omogućava državama da drastično prošire opseg nadzor nad svojim građanima kroz kreiranje mehanizma za presretanje internet prometa.

Konkretnije, i da pokušam objasniti malo slikovitije, promet internetom je danas gotovo u cijelosti enkriptiran (šifriran) a kako bi se spriječilo da neka treća strana kroz čiju opremu taj promet prolazi (ili je promet snimljen, ili preusmjeren) bude u mogućnosti čitati koji je bio sadržaj poruke (tekst, audio, video ili uostalom bilo koji drugi sadržaj kojeg poželite poslati putem interneta). To se postiže korištenjem digitalnih certifikata, a što je digitalni dokument koji sadrži odgovarajuće enkripcijske ključeve temeljem kojih se sadržaj “šifrira” na putu prema i od krajnjeg korisnika. Autentičnost certifikata pružaju CA (Certificate Authority) serveri koji svojim digitalnim potpisom “jamče” da kada npr. utipkate u svojem browseru whatsapp.com da doista i razmjenjujete podatke s whatsapp.com. CA potpisni ključevi su tvornički ugrađeni u operativne sustave i browsere koje koristimo i oni su objektivno “ahilova peta” sigurnosnog sustava na kojem počiva današnji internet, jer kompromitacijom nekog od ključeva odjednom možemo “potpisivati” štogod želimo.

Članak 45. eIDAS 2.0 regulative eksplicitno govori o tome kako svaka EU država (i odobrene treće zemlje) mogu doslovno propisati kriptografske ključeve za koje je povjerenje obavezno u koje nije moguće proglasiti kompromitiranim bez eksplicitnog dopuštenja države (koja je taj CA potpis izdala). I ne samo to, nego se eksplicitno zabranjuje provjeravati sigurnost izdanih certifikata u EU osim ako je to eksplicitno dopušteno.

To otprilike znači da će svaka EU zemlja imati zakonsko pravo u browsere koje koristite “ubaciti” potpisne ključeve čija se sigurnost uopće ne smije preispitivati, a koji će omogućiti da bilo koja od tih zemalja kreira SSL/TLS certifikate s nazivom bilo koje domene, a koji će zbog “ugrađenog državnog” CA certifikata biti proglašeni ispravnim te vaše računalo neće generirati bilo kakvo upozorenje.

Ukratko, institucionalizirati ćemo “man in the middle” napad. Prevedeno i krajnje pojednostavljeno, to znači da će država biti u stanju kreirati certifikat kojim će oni svoj server predstaviti prema vama kao npr. gmail.com, i dok vi mislite da komunicirate s gmailom, u biti ćete komunicirati preko nekog državnog računala (proxya) koje će pojedinačno ili masovno pratiti i bilježiti promet koji se tim putem događa (još malo dodajte i AI-ja koji odlučuje što je bitno a što nije i odjednom smo usred Orwellove 1984.). To nije nikakva tehnologija koju tek treba izmisliti, to su komercijalno dostupna rješenja koja je potrebno samo konfigurirati. I naravno, ovdje ne govorim samo o vašem kontaktu s web servisima poput gmaila, nego i svim drugim servisima koji koriste SSL/TLS rješenja što uključuje WhatsApp, Signal, Telegram i u biti bilo koji browser ili aplikaciju koju koristite (uključivo, ali ne i ograničeno na npr. internet bankarstvo).

Pitanje povjerenja u CA (Certificate Authority) je ogromno tehničko pitanje i na njemu počiva sigurnost interneta. Ako se prebacimo na nama lokalne primjere, postoje odlični razlozi zašto recimo domaći CA (a imamo dva, AKD i FINA) nisu priznati. Po kriterijima sigurnosti i povjerenja, oni jednostavno ne udovoljavaju temeljne uvjete da bi im se vjerovalo i da bi “tvornički” stigli zapakirani u vašoj windows, linux ili MacOS instalaciji, upravo zato kada pokrećete npr. novu osobnu, jedna od operacija koju radite je i instalacija AKD CA root certifikata budući da mu vaši windowsi (s dobrim razlogom) ne vjeruju.

Nije to samo pitanje nepovjerenja u državu koja je sklona prekomjernom nadzoru svojih građana, zloupotrebama sustava (i podkapacitirane organizacije kojima je ovaj posao povjeren), nego i u tome što postoji cijeli povijesni niz kompromitacije certificate autohoritya i kada se tako nešto dogodi, ne samo da ćemo teško od državnih uhljeba dobiti priznanje da su kompromitirani (a jesu), nego će EU regulativa priječiti uklanjanje takvog kompromitiranog CA potpisa a automatizmom će biti onemogućeni mehanizmi za rješavanje takvih situacija.

Sažeto, implementacija eIDAS 2.0 u postojećoj formi i prijedlogu će drastično umanjiti sigurnost internet korisnika na području EU-a, te će posljedično umanjiti i sigurnost interneta širom svijeta. Nije zato nikakvo čudo što je više stotina znanstvenika i stručnjaka iz 39 zemalja širom svijeta nedavno napisalo otvoreno pismo u kojem upozoravaju na sistemske prijetnje internetu a koje proizlaze iz ovog prijedloga regulacije, jer prihvaćanje ovog prijedloga će unazaditi sigurnost na internetu na točku u kojoj smo bili prije 10-15 godina.

Misao dana:
For me, I will take freedom over security and I will take security over convenience, and I will do so because I know that a world without failure is a world without freedom. A world without the possibility of sin is a world without the possibility of righteousness. A world without the possibility of crime is a world where you cannot prove you are not a criminal. A technology that can give you everything you want is a technology that can take away everything that you have. At some point, in the near future, one of us security geeks will have to say that there comes a point at which safety is not safe.

Categories
Politika

Andrej Plenković JE korumpirani političar

Promatram ovu situaciju koja se dogodila s Gordan Grlić Radmanom kojem se “dogodilo” da je zaboravio prijaviti neke milijune EUR-a isplaćene dobiti u svojoj imovinskoj kartici. Ta dobit proizlazi iz suvlasništva nad tvrtkom koja posjeduje defacto monopol dodijeljen od države. Tu Agroproteinku sam prvi puta primjetio u izvještajima Ureda Predsjednice pa mi je bilo zanimljivo shvatiti što oni tamo rade i zašto (prije ih, koliko znam, tamo nije bilo kao dobavljača).

Dakle imamo problem da čovjek koji je navodno zadužen voditi vanjsku politiku cijele države, koji ima dvojbene jezične sposobnosti i na materinjem jeziku, te sasvim sigurno pogrešne procjene vanjskopolitičkih partnera, ima problema u ispunjavanju imovinske kartice. Grlić Radman je tako još jedan u nevjerojatnom nizu Plenkovićevih ministara koji nije u stanju ispoštivati ovakve jadne, okljaštrene i po svim kriterijima nevjerojatno blage antikoruptivne mjere poput ispunjavanja imovinske kartice. Nisam brojao, ali broj ministara koji je morao otići u posljednjih šest-sedam godina je sada skoro pa duplo veći od ukupnog broja ministarskih pozicija u vladi.

Propusti ovog tipa, da državni dužnosnik propusti navesti svoju imovinu su tu s razlogom i samo totalnom idiotu može promaknuti misao da je možda morao nekome prijaviti neke milijune eura koji su mu sjeli na račun dok obavlja javnu dužnost. Ipak obzirom na opću toleranciju na korupciju koju imamo, apsolutni nedostatak volje da se vodi primjerom i da sam predsjednik vlade “plijevi” loše primjere iz svoje administracije, počevši od Radmana, preko raznih Barbarića na dalje, nema nikakvog čuda da postoji mišljenje kako je plaćanje kazne povjerenstvu za sukob interesa samo po sebi dovoljno da ispere grijeh sakrivanja. U uređenom društvu, svima bi bilo odmah jasno, počevši od Radmana, kako ovaj propust nije dopušten, ostavka bi odavno bila na stolu, te bi mi svi zajedno danas već razglabali o tome tko je (više nego zakašnjela i dobrodošla) zamjena, no u kleptokratskom društvu u kojem živimo, “propusti” se minoriziraju i svode na razinu nebitnog prometnog prekršaja poput pogrešnog parkiranja.

Dvomilijunski “propust” Gordana Grlić Radmana je simboličke prirode, “osim” monopola kojeg mu je država dodijelila i koju ovaj aktivno njeguje desetljećima čini se, barem zasada, kako nije bilo druge materijalne štete. Ipak, borba protiv korupcije se vodi prvenstveno na simboličkoj razini i pozitivnim primjerima. Ako malo bolje pogledate što korupcija radi, vidjeti ćete kako korupcija direktno utječe na naše osobne slobode i vladavinu prava, kako erodira naše povjerenje u državu i u konačnici direktno utječe na našu vlastitu mogućnost da sagradimo bogatstvo i imovinu. Razlog zbog kojeg su stotine tisuća ljudi u proteklim godinama napustile hrvatsku nije nužno taj što su ovdje živjeli loše, nego velikim dijelom zato što znaju da znanje, uporni rad i vještina nisu dovoljni za uspjeh, da je osim tih elemenata potrebno još “sastojaka” a koji se uglavnom sastoje od nekog tipa korupcije koji je prečesto povezan s bojom stranačke knjižice (neovisno o tome koje je ona boje, ovisno već o aktualnoj pobjedničkoj opciji ili zemljopisnom porijeklu).

Korupcija nije uvijek razmjena novca, ja pogodujem nekome a on meni isplaćuje naknadu. Daleko opasniji oblici su razmjene usluga koje nisu uvijek mjerljive ili uočljive jer nije moguće direktno povezati transakcijsku prirodu aktivnosti dvije strane. Korupciju je teško otkriti jer, za razliku od “običnog” kriminala u kojem je jedna strana kriminalac a druga oštećeni, u slučaju korupcije obje strane su vitalno zainteresirane da se nikada ne sazna da je do došlo do neke koruptivne radnje. Tko npr. može jamčiti da neka tvrtka ili pojedinac kojoj je Radman pogodovao nije naručila neku fiktivnu uslugu od Agroproteinke? I to isto možemo reći za svaku tvrtku koja je povezana s bilo kojim državnim dužnosnikom i tisućama državnih i javnih službenika na svim razinama. Zato je simbolika transparentnosti iznimno bitna, no mi je niti približno ne poštujemo, dapače, od samog vrha vlasti na niže ona se ignorira i minorizira.

I tu nas priča dovede do aktualnog predsjednika vlade. Kada on ispadne kao tema razgovora, vrlo često ćete čuti kako on nije korumpiran, no korupcija koju razmatramo je ona u kojoj je on direktno i novčano bio nagrađen za neku “transakciju”. Ali korupcija je daleko više od toga, korupcija je svaka situacija u kojoj osoba na vlasti omogućuje korupciju, primjerice instaliranjem na pozicije moći ljudi koji aktivno kradu ili pogoduju drugima (različiti Radmani, Žalci, Marići, Kujundžići, Kitarovići, Beroši, Barbarići i tko zna koliko velika bulumenta kompromitiranih i korumpiranih na svim razinama). Korupcija je i nečinjenje u trenucima kada je nužno djelovati i poslati simboličnu poruku kako bi se održao autoritet i povjerenje u sustav, baš kao što je to sada s Radmanom (ili Barbarićem ili…). Korupcija je i manipulacija cjelokupnim sustavom kako bi se ostvarile ambicije jedne osobe (koliko god one neracionalne i sulude bile), a za ostvarenje čega je netko, poput Plenkovića, voljan žrtvovati sudbinu cijele nacije – a cijeli proces se još u postupku interpretira kao velika pobjeda, postignuće ili kako je to jučer lijepo interpretirao “Čovjeku na kraju bude žao činiti dobro“, a što je osobita razina samoobmane.

Ova država će na kraju, kada se bude radio obračun, zapamtiti Plenkovića kao predsjednika vlade koji je bio korumpiraniji, karakterno kvarniji i veća štetočina od Ive Sanadera, sedam godina vlasti će biti sedam izgubljenih godina rasta u kojem plodove tog rasta i okolnosti koje su nam išle u prilog nismo iskoristili za boljitak sviju, nego za gradnju velikog PR-ovskog Potemkinovog sela tankih fasada i stvaranja privida borbe za uspješniju Hrvatsku, a sve u funkciji utaživanja gladi za moći jedne jedine osobe.

Mart Laar je jednom prilikom, usred Zagreba, izgovorio rečenicu “Borba protiv korupcije počinje tako da sam nisi korumpiran.”. Tada ju je izgovorio u lice Ivi Sanaderu, ali kao što vidimo, petnaest godina kasnije, s borbom i dalje ne možemo početi jer oni koji bi je morali započeti i voditi su sami kompromitirani i korumpirani.

Misao dana:
Power-lust is a weed that grows only in the vacant lots of an abandoned mind.

Categories
Business eDržava Internet

Zakon o kibernetičkoj sigurnosti (moje primjedbe njima)

Kako sam i napisao prije nekoliko dana, doradio sam i malo preciznije formulirao moje primjedbe i prijedloge na tekst zakona o kibernetičkoj sigurnosti i sve je svedeno na nekoliko točaka, a sve zajedno možete pronaći i na stranicama eSavjetovanja (skupa s mojim prijedlozima promjena):

Opći komentar

NIS2 direktiva u svojoj preambuli (točka 15), upozorava na potrebi „osiguranja pravedne ravnoteže između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane“. Nacrt zakona kakav je ovdje prezentiran ne predviđa, niti govori o osiguranju ravnoteže nego na istovjetni način kreira zahtjeve i obveze usklađenosti za sve subjekte, neovisno o njihovoj relativnoj veličini i/ili riziku – što će rezultirati nerazmjernim opterećenjem za niz subjekata, uključivo i za središnje državno tijelo koje će istim mjerilima morati promatrati sve zahvaćene subjekte.

Nadalje, iako u se u NIS2 direktivi na više mjesta spominje potreba koordinacije različitih javnih tijela, u nacrtu zakona kakvog vidimo ovdje cjelokupna regulacija je svedena na središnje državno tijelo za kibernetičku sigurnost koje je smješteno u Sigurnosnu obavještajnu agenciju.

Za razliku od ostalih sastavnica (nacionalne) sigurnosti koje često zahtijevaju različite razine tajnosti ili opskurnosti, kibernetička sigurnost je, po svojoj prirodi, osobito zbog svoje sveobuhvatnosti u cijelosti u javnoj sferi. Stoga smatram da je za središnje tijelo za kibernetičku sigurnost nužno imenovati ured ili agenciju koja je, poput Europske ENISA-e, u cijelosti civilna organizacija.

Kao i drugi sudionici savjetovanja, upozorio bi i na nelogičnost Ministarstva hrvatskih branitelja kao predlagača (u smislu da ne posjeduje kadrove koji su kompetentni za izradu ovakvog nacrta zakona, kao i činjenicu da je ovaj zakon sasvim očigledno izvan djelokruga djelovanja ministarstva kako je ono definirano u Zakonu o ustrojstvu i djelokrugu tijela državne uprave, članak 19.), te činjenice da je predlagač prekšio Zakon o pravu na pristup informacijama članak 11. stavak 2. samom činjenicom da nije objavio sastav radne skupine odnosno autore nacrta prijedloga zakonskog teksta.

Članak 24.

Članak 24. vrlo široko i bez jasnih kriterija opisuje kako Vlada donosi mjerila za razvrstavanje ključnih odnosno važnih subjekata i to isključivo na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.  Ovom definicijom se odluka o tome koji će subjekt biti obveznik zakona svodi na diskrecijsku odluku tijela koje po svojoj prirodi nije transparentno.

Ovaj članak je u značajnom raskoraku s NIS2 direktivom, koja u svojem članku 13. stavak 5. predviđa da sva nadležna tijela (kako su definirana u članku 13. stavak 4.) redovno surađuju i razmjenjuju informacije kako bi identificirali kritične subjekte, prijetnje i dr., što znači da bi kao donji minimum u zakonski tekst trebalo uvrstiti obvezu suradnje s nadležnim tijelima (sektorskim, regulatornim) poput HAKOM, HERA, HNB, HANFA, Ministarstvo financija, Ministarstvo gospodarstva i održivog razvoja, Ministarstvo mora, prometa i infrastrukture (i druge po potrebi).

Napominjem također, da se ovaj članak zakona bavi posebnim kriterijima, te se razlikuje od obveze definirane člankom 17. prijedloga iako za to nema argumenta.

Članak 28.

U stavku 1. taksativno se navode „najnovija tehnička dostignuća“ koja se koriste u okviru „najbolje sigurnosne prakse u području kibernetičke sigurnosti“. Obzirom da za sukladnost s člankom 28. zakona postoje prekršajne odredbe (članak 101. prijedloga), postavlja se pitanje kako nadzirani subjekt može nedvosmisleno znati da se nalazi u prekršaju uz subjektivno postavljeni cilj sukladnosti, a što je suprotno temeljnom načelu da bilo koji prekršaj mora jasno utvrđen da bi bio kažnjiv.

Nadalje, ovaj članak je u raskoraku s NIS2 direktivom i to na način da je u stavku 2. dodana formulacija „ili nacionalnih shema kibernetičke sigurnosne certifikacije“, a koja ne postoji u članku 24. NIS2 direktive.

Nadalje, taj dodatak je u direktnoj suprotnosti s EU uredbom o kibernetičkoj sigurnosti (EU2019/881), koji u članku 57. stavak 2. eksplicitno naređuje kako „članice EU neće uvoditi nove nacionalne kibernetičke certifikacijske sheme za ICT proizvode, ICT servise i ICT procese koji su već pokriveni Europskom kibernetičkom certifikacijskom shemom koja je na snazi“.

Također, potrebno je detaljno razraditi što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju. Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa). Ovo je nužno razraditi i zbog primjene prekršajnih odredbi članka 101. i 102. nacrta.

Predlaže se brisanje dijela koji glasi „ili nacionalnih shema kibernetičke sigurnosne certifikacije“ obzirom da nepotrebno izlazi iz prostora NIS2 direktive, te je u direktnoj suprotnosti s obvezama koje proizlaze iz EU uredbe o kibernetičkoj sigurnosti.

Članak 51.

Ovim člankom se propisuje kako će subjekt, a koji je diskrecijskom odlukom definiranom u članku 24. ovog prijedloga morati pristupiti „nacionalnom sustavu za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora“.

Sustav SK@UT koji predstavlja nacionalni „kibernetički kišobran“ (gore spomenuti nacionalni sustav) sastoji se od nekoliko komponenti (alata), od kojih su neki invazivne prirode na način da podrazumijevaju pristup lokalnoj mreži/komunikaciji nadziranog subjekta. Obzirom da je sukladno zakonu, nadležni CSIRT obavještajna agencija, postavlja se pitanje prekomjernosti dosega obavještajne agencije prema podacima kojima subjekt raspolaže (osobnim podacima, poslovnim tajnama i sl.) pod krinkom zakonske obveze.

NIS2 direktiva (točka 44. preambule), precizno navodi kako bi CSIRT-ovi trebali imati „mogućnost na zahtjev ključnog ili važnog subjekta pratiti imovinu subjekta s internetskim sučeljem“. Nadalje, u NIS2 direktivi nema naznake da bi CSIRT (sa svojim alatima) mogao ili smio imati pristup lokalnim resursima subjekta koji je kategoriziran kao ključni ili važni.

Predlaže se da se članak 51. preformulira na način da se precizno navede kako je primjena dopuštena na zahtjev ključnog ili važnog subjekta isključivo pratiti imovinu subjekta s internetskim sučeljem, a kako bi se spriječile buduće zlouporabe obavještajnog sustava.

Članak 61.

Mandat SOA-e (članak 23. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno definira kako SOA brine o neovlaštenom ulasku u zaštićene informacijske i komunikacijske sustave državnih tijela. Definiranjem SOA-e kao središnjeg državnog tijela za kibernetičku sigurnost izlazi se iz zakonom definiranog djelokruga rada SOA-e.

Nadalje, SOA je kao obavještajna agencija u svojem radu zaštićena tajnom, izuzeta je iz zakona o javnoj nabavi, te ne podliježe većini demokratskih mehanizama za nadzor svojeg poslovanja, nema gotovo nikakve obveze za transparentnim djelovanjem. Istovremeno, u smislu NIS2 direktive biti će zadužena za redovitu komunikaciju, te postaje regulatorno tijelo za vrlo veliki broj pravnih subjekata (državnih, javnih i privatnih) što je suprotno samoj prirodi funkcioniranja obavještajne agencije. Osim toga, u okviru koordinacije i izvještavanja koje proizlaze iz primjene NIS2 direktive, SOA će komunicirati s drugim EU tijelima, a koja su redom civilna.

Istovremeno, Zavod za sigurnost informacijskih sustava (ZSIS) u svojem mandatu (članak 14. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno navodi kako ZSIS obavlja poslove u područjima sigurnosti informacijskih sustava. Stoga je sasvim jasno i logično kako je ZSIS tijelo koje je trebalo biti imenovano središnjim državnim tijelom za kibernetičku sigurnost.

Širina obuhvata NIS2 direktive će posljedično u redovima veličine proširiti prostor na kojem SOA djeluje, a značajno izvan zakonskog okvira koji je za SOA-u definiran, ali i definicije koja je sadržana u NIS2 direktivi.

Predlaže se stoga da se središnjim državnim tijelom za kibernetičku sigurnost proglasi ZSIS, te da se ZSIS izdvoji iz obavještajnog sustava RH i pretvori u Vladin ured ili Agenciju, a koji u cijelosti djeluje kao civilni subjekt. Alternativno, moguće je (neovisno o nepopularnosti takve odluke), osnovati sasvim novi ured ili agenciju koja će se baviti ovim iznimno značajnim aspektom funkcioniranja društva.

I svakako treba spomenuti i problem financiranja, SOA za svoje cjelokupno djelovanje ima 55mil EUR, a ZSIS nešto manje od 3mil EUR godišnje; istovremeno i usporedbe radi, HAKOM kao regulator telekomunikacijskog sektora ima 15mil EUR proračuna.

Članak 101. i Članak 102.

Ovaj članak navodi niz prekršajnih kazni za subjekte, no nigdje nije definirano što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju.

Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa).

Misao dana:
My main problem with cops is that they do what they’re told. They say ‘Sorry mate, I’m just doing my job’ all the fucking time.