The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

07 iulie 2016

Punct de vedere: Securitatea juridica a cetateanului in era digitala

CSCI - Centrul pentru Studiul Criminalitatii Informatice a emis un punct de vedere referitor la directiile de actiune necesare pentru cresterea gradului de securitate juridica a cetateanului in cauzele ce implica elemente de IT, probe digitale sau criminalitate informatica.


Definita prin nevoia de predictibilitate a procesului, precizie a normelor, stabilitate in timp si practica unitara in cauze similare, securitatea juridica a cetateanului necesita in era digitala cateva elemente cheie precum: Reglementarea probelor digitale; Formarea specialistilor in drept sa contina si elemente specifice; Dezvoltarea si intretinerea de standarde si bune practici specifice "justitiei digitale" la instante; Un sistem de expertize tehnice judiciare dimensionat si adaptat evolutiei accelerate a domeniului IT si mediului cibernetic.

Cititi mai mult pe pagina CSCI: http://ro.cybercrime.org.ro/2016/07/securitatea-juridica-cetateanului-in.html

06 martie 2016

Semnalare: Revista stiintifica "Penalmente Relevant". Continut tip open access.

S-a lansat pagina web www.revista.penalmente.ro şi totodată primul număr al Revistei Penalmente Relevant (nr. 1/2016). Aceasta poate fi accesată ori/şi copiată integral în format PDF, în mod gratuit. De asemenea, fiecare material în parte poate fi accesat gratuit în format PDF pe pagina web a revistei.

Penalmente Relevant este o revistă ştiinţifică online, cotată BDI (indexată în HeinOnline), cu periodicitate bianuală şi conţinut de tip open access.

Potenţialii colaboratori sunt rugaţi să trimită materialele înspre publicare pe următoarea adresă de e-mail: office@penalmente.eu.

Consiliul de redacţie este format din: 
  • Director: Conf. univ. dr. Sergiu Bogdan – Facultatea de Drept, Universitatea Babeş-Bolyai; avocat – Baroul Cluj 
  • Redactor-şef: George Zlati, avocat – Baroul Cluj 
  • Secretar de redacţie: Dan-Sebastian Chertes, avocat – Baroul Cluj 

Consiliul ştiinţific este format din: 
  1. Prof. univ. dr. Florin Streteanu – Facultatea de Drept, Universitatea Babeş-Bolyai 
  2. Asist. univ. dr. Andra-Roxana Trandafir (Ilie) – Facultatea de Drept, Universitatea Bucureşti; avocat – Baroul București 
  3. Lect. univ. dr. Cristinel Ghigheci –  Facultatea de Drept a Universităţii Transilvania din Braşov; Judecător – Curtea de Apel Braşov. 

Revista este accesibilă aici, conținutul ei putând fi descărcat atât în întregime, cât și fiecare articol în parte. Revista are apariție bianuală și este cotată BDI fiind indexată în baza de date internațională HeinOnline.

Cuprinsul primului număr este următorul: 
I. Propuneri de lege ferenda 
  • Dan Chertes. De lege ferenda: camera preliminară 
II. Doctrină 
  • George Zlati. Privilegiul contra autoincriminării și criptografia 
  • Vlad Crăciun. Articolul 50 Cod penal. Succinte considerații Cristina Feșteu. Concursul de calificări (I) 
  • Ionuț Borlan. Considerații privind constituirea ca parte civilă în noul proces penal 
III. Bibliografie 
  • Maxim Dobrinoiu, George Zlati. Listă cu lucrări privind criminalitatea informatică și aspecte conexe

03 februarie 2016

Modalitati de participare la dezbaterea publica privind proiectul legii securitatii cibernetice a Romaniei.

1. MCSI - organizeaza in data de 12 februarie 2016 o dezbatere publica
In data de 12 februarie 2016, va fi organizată dezbaterea publică pe proiectul de Lege privind Securitatea Cibernetică a României.

In anuntul disponibil pe pagina ministerului se precizeaza faptul ca evenimentul va avea loc începând cu ora 10:00 la sediul Ministerului Comunicaţiilor şi pentru Societatea Informaţională.

2. CERT-RO primeste prin e-mail sugestii si comentarii privitoare la proiect
Totodata, CERT-RO pune la dispozitia publicului o adresa de e-mail pentru a transmite sugestii si comentarii referitoare la proiectul de lege.
Gasiti mai multe detalii pe pagina dedicata a CERT-RO, aici...


Intrucat textul proiectului a fost furnizat scanat in format PDF, ingreunand eventuala procesare de text, gasiti aici o versiune destul de buna generata automat in format HTML de catre Google...

02 februarie 2016

Noul proiect de lege a securitatii cibernetice si antreprenoriatul in domeniu

Zilele trecute, MCSI a pus in dezbatere pe site-ul propriu un nou proiect de lege privind securitatea cibernetica a Romaniei  - texte ce se regasesc in format PDF aici: Proiectul de lege si Expunerea de motive iar pentru cei care doresc sa proceseze textul fiind deranjati de documentul PDF scanat pus la dispozitie de minister, este disponibila o versiune HTML destul de buna, generata automat de Google din PDF aici… – prima incercare dupa declararea neconstitutionala a legii anterioare, anul trecut.

De la momentul publicarii au aparut si primele comentarii si analize ale textului atat in media sociala cat si pe pagini dedicate (gasiti trei exemple aici, aici si aici ) cu privire la propunere, unele critice, altele identificand elemente pozitive, in opinia mea toate avand ca element comun faptul ca in contextul vietii moderne dependente de sistemele informatice si ale noilor amenintari, avem nevoie de o lege a securitatii cibernetice.

Este punctul de plecare comun iar diferentele de opinii se pot media daca exista vointa si constientizarea faptului ca aceasta lege trebuie sa reziste pe termen lung si sa faca fata neprevazutului, un neprevazut cu care domeniul incidentelor de securitate cibernetica a inceput sa ne obisnuiasca la nivel cotidian.

05 octombrie 2015

Conferinta anuala “Noile Provocări Globale de Securitate Cibernetică”

În intervalul 5-6 octombrie 2015, se desfășoară cea de-a cincea ediție a conferinței anuale internaționale “Noile Provocări Globale de Securitate Cibernetică” organizată de Centrul Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO cu sprijinul și participarea Ambasadei Statelor Unite ale Americii la București și în parteneriat cu șapte actori din mediul privat: CISCO, Provision, Avira, certSIGN by UTI, Bitdefender, Q-East Software și Microsoft.
La conferință vor participa delegați ai structurilor de tip CERT din Europa, Asia și Africa, factori de decizie din structurile de securitate națională și din administrația publică precum și reprezentanți ai companiilor private și de stat, ai societății civile și ai mediului academic. 

22 iunie 2015

Ransomware sau sechestrarea datelor informatice. Negociere imposibila?

Presa si media sociala din ultimele luni abunda in semnalari referitoare la atacurile informatice de tip Ransomware - acele atacuri efectuate eminamente automatizat, prin intermediul unor virusi informatici specializati care encripteaza datele de pe sistemul informatic al victimei, atacatorii pretinzand sume de bani pentru a furniza cheia de decriptare. Sfaturile variaza, de la efectuarea preventiva de copii de rezerva si pana la plata rascumpararii (existand exemple "de succes", atacatorii livrand cheia). O alta categorie de articole ofera posibile retete de recuperare a datelor, dar care in general depind de gradul in care acestea se mai regasesc in sistem in forma neencriptata.

Se pot recupera datele fara a plati? Cui pot cere ajutorul? Cum abordez problema?


Fie ca suntem noi insine victime, fie ca ajutam un prieten sau facem parte din echipa de securitate a unei companii, in deciziile care se iau conteaza foarte mult evaluarea realista a situatiei. Incercam mai jos o scurta fisa de evaluare si decizie:

I. Argumentele atacatorilor:


A. Imposibilitatea obtinerii de ajutor de la politie si autoritati:  Din punct de vedere juridic, avem de a face cu cel putin doua fapte penale. Teoretic am putea avea concursul statului. In realitate insa, autorii se pot afla oriunde in lume, iar automatizarea procesului si intreg lantul de tehnici utilizate pentru anonimizare, face aproape imposibil acest ajutor in timp util. Simpla expertizare a sistemului informatic nu va conduce niciodata direct la atacator. Nu inseamna insa ca nu ar trebui depusa plangere penala, situatie care necesita atentie in a nu compromite probe prin interventia asupra datelor.

B. Datele sunt practic imposibil de decriptat cu mijloacele aflate la dispozitie si intr-un timp rezonabil, pentru a nu produce consecinte asupra afacerii sau vietii personale. Companiile de securitate au incercat si incearca diverse metode, oferind fie servicii online fie produse software care incearca identificarea cheii respective, dar si acestea pe moment depind de "norocul" ca investigatorii sa descopere baze de date cu chei de decriptare.
 
C. Factorul timp: in cazul unor atacuri, in 7 zile se dubleaza pretul rascumpararii - pentru a spori presiunea in luarea deciziei de a plati.

D. Aspectul psihologic: Atacul nu ar fi posibil fara doua componente psihologice cheie:
  1. Nu facem o rutina din a efectua copii de rezerva (backup) la datele informatice, desi poate pentru compania sau cariera noastra ele sunt singurul capital important.
  2. Panica de moment pe care o genereaza amenintarea cu pierderea "tuturor" datelor informatice, mai ales ca tindem sa pastram in acelasi sistem informatic tot ce am adunat in timp.
 
E. Impactul financiar: Fie ca vorbim de munca proprie din care obtinem venituri, fie ca, in cazul companiilor, vorbim de punerea in pericol a afacerii prin pagube materiale sau afectarea renumelui, o evaluare corecta a optiunilor trebuie sa cuantifice si acest aspect pe care se bazeaza si atacatorii de altfel.

F. Devirusarea sistemului informatic nu decripteaza datele, nefiind neaparat alegerea logica imediata. Prin devirusare sistemul informatic este doar curatat de virusul propriu-zis, datele ramanand encriptate, fiind in acelasi timp sterse urmele care ar putea constitui probe in cazul in care cerem ajutorul autoritatilor.


II. Negocierea in cazul "sechestrarii de date" este cu sine insusi. Ce date accept sa pierd?

Dupa socul initial, dat fiind factorul timp, este importanta perceperea argumentelor atacatorilor si trecerea rapida la evaluarea si decizia cu privire la situatia creata. Este de la sine inteleasa incercarea de a nu plati rascumpararea, dar decizia trebuie sa fie luata in cunostinta de cauza si in urma unei atente cantariri a consecintelor.

Iata un set de intrebari la care ar fi indicat sa raspundem in timp scurt, cerand si ajutorul specialistilor pentru unele dintre raspunsuri, astfel incat sa adoptam strategic o decizie:
  1. Cat de "importante" sunt acele date si documente per ansamblu? Care este repartizarea pe categorii a pagubelor posibile (materiale, sentimentale, etc)?
  2. Care e acel set de 20% din date (fisiere) care produce paguba cea mai mare daca se pierd si cand au fost acestea modificate ultima data?
  3. Sigur nu le regasim in alta parte (e-mail, stick, CD, trimise la colegi etc.)?
  4. Cate backup-uri/restore points avem in sistem si cat de vechi sunt acestea?
  5. La ce riscuri de alta natura ne expunem daca recuperarea nu reuseste (ex. juridice, pierdere job etc.)
  6. Este suma platita ca rascumparare mai mica sau mai mare decat costul in ore de munca pentru a aduce la zi datele de la nivelul de la care le putem recupera?
  Intrebarile de mai sus sunt generice. Acestea si altele pot ajuta la luarea unei decizii, mai ales in cazul companiilor unde dealtfel, daca s-a ajuns la situatia “sechestrarii de date informatice”, ar fi fost multi alti pasi de facut pentru a preveni incidentul.

III. Preventia este singurul ajutor real in acest caz


Atentia speciala de care a beneficiat in ultimul timp fenomenul desi nu este unul nou aparut, are rolul de a trage semnalul de alarma: Desi este o fapta penala, doar preventia ne poate ajuta, autoritatile neavand cum.

Efectuarea frecventa de copii rezerva a datelor pe alte sisteme si medii de stocare va trebui sa ne intre in reflex si se poate automatiza. La aceasta putem adauga un antivirus si sistem de operare aduse la zi. Pentru companii, politicile de securitate pornesc de la a renunta la tinerea tuturor datelor "intr-un singur cos" alocand sisteme separate pentru procesele cheie, nepermiterea utilizarii in alte scopuri a sistemelor informatice care contin date vitale, instruirea angajatilor dar si a departamentelor specializate, introducerea de proceduri specifice.

Companiile mari pot avea deja astfel de proceduri, dar "sechestrarea" este nediscriminatorie. Companiile mici si persoanele private pot primi lovituri grele prin pierderea datelor.

In acest context inchei cu intrebarea:
In cate locuri separate aveti stocat acel set de date si documente pentru care ati da pe loc 500 USD sa nu le pierdeti?

09 iunie 2015

Un proiect CERT-RO si inceputul abordarii integrate a prevenirii si combaterii criminalitatii informatice in Romania.


Anul trecut am avut ocazia sa contribui, impreuna cu alti experti, la elaborarea unor propuneri de politici publice pe domeniile prevenirii si combaterii criminalitatii informatice si cresterii gradului de securitate cibernetica, in cadrul proiectului "CyberCrime" dezvoltat de CERT-RO.

Unul dintre aspectele extrem de importante de care trebuie tinuta seama pentru  eficientizarea luptei impotriva criminalitatii informatice, este

06 iunie 2015

Criminalitatea Informatica si Colectiile de bune practici

Sistemul juridic este continuu sub presiune pentru a se adapta noului si a ingloba, recunoaste si apara noile tipuri de relatii sociale si fapte. Specific, tehnologia informatiilor  a adus poate cele mai dramatice  schimbari si presiuni inimaginabile asupra sistemului de drept penal. Notiunile tehnice implicate, noi tipuri de mijloace de proba, transferul relatiilor sociale in mediul cibernetic, criminalitatea informatica, dar mai ales avansul permanent al tehnologiilor reclama o adaptare rapida si continua pentru ca sistemul juridic sa ofere in continuare aceeasi protectie si sa nu piarda teren in fata anarhiei si haosului.

In cazul criminalitatii informatice, miliardele de combinatii care se pot realiza intre elemente tehnice, modalitati de atac si de comitere a faptelor antisociale, sutele de posibilitati de inducere in eroare a utilizatorilor prin inginerie sociala, ascunderea identitatii, prejudiciile enorme si usor de cauzat la distanta zecile de actori implicati, etc. constituie doar o latura a problemei (poate cea mai cunoscuta prin mediatizare) si care pune presiune asupra fortelor de ordine si asupra celorlalti actori implicat in procesul penal.

03 mai 2015

Amenintarile din interior / Insider Threat. Sunteti pregatiti?

Amenintarile din interior (Insider Threat) reprezinta acea categorie de riscuri privind securitatea datelor si sistemelor informatice ale organizatiei, venite din partea persoanelor (si organizatiilor) care fie au acces direct (acces fizic) la sistemele informatice si datele organizatiei dvs. fie au acces la distanta (parole, conturi, etc.), in baza unei relatii contractuale (angajat, partener, etc) sau de incredere.

Cel mai des, notiunea de securitate cibernetica este asimilata cu masuri de asigurare impotriva atacurilor ce ar putea veni din exteriorul organizatiei. Dar cat de pregatita este organizatia dvs. pentru amenintarile "din interior" de tipul angajati neglijenti sau rauvoitori ori parteneri neglijenti sau rauvoitori?

Cu siguranta ati auzit de situatii in care un angajat "a plecat cu baza de date a companiei", pornind propria afacere. Furtul de date privind clientii este doar un exemplu de risc la care sunt supuse organizatiile, dar lista poate continua:

08 martie 2014

Infractiuni informatice - definitiile termenilor RELOADED! (Cod Penal vs. Lege 161/2003 vs. Cod de Procedura Penala :)

In articolul anterior intitulat "Infractiuni informatice - definitiile termenilor in Noul Cod Penal vs. Legea 161/2003" pornisem cu avant la a identifica sursa de unde, o persoana interesata de sensul dat de legea penala unor termeni tehnici, mai poate gasi termenii atat de bine preluati din Conventia privind Criminalitatea Informatica si care erau redati de Art. 35 din Legea 161/2003.

Omul cat traieste invata. Iar cand e vorba de Noile Coduri, o tara intreaga va avea de aflat si de invatat cate ceva nou in fiecare zi. Nu mai vorbim de interpretari, exegetii noilor coduri avand o sarcina mult mai interesanta decat cei ai lui Eminescu.

Analiza din articolul anterior a pornit de la rationamentul urmator: Daca o lege care incrimineaza un set de fapte, contine in partea introductiva a respectivului titlu definitiile si intelesul unor termeni si expresii din textul incriminator, este natural ca respectivele definitii sa le regasim in Codul Penal, odata cu preluarea acolo a textelor ce incrimineaza respectivele fapte.

Tocmai cand parea clar ca:
  1. Legea de aplicare a codului penal 187/2012 nu abroga Art. 35 din Legea 161/2003
  2. Noul Cod Penal preia doar doua definitii din Art. 35 dintre care una trunchiat
  3. ...rezultand concluzia ca pentru intelesul notiunilor respective se va recurge la deja celebrul Art. 35, iar pentru lamuriri privind prevederea trunchiata a notiunii de "date informatice" in Codul Penal luam sensul dat de Conventie.
...La o cercetare mai amanuntita a noii legislatii penale am avut surpriza sa constatam ca legiuitorul nu a uitat cu totul de definitiile respective. Pentru moment am crezut ca doar logica noastra a fost defecta, leguitorul reparand greseala de a nu le include in Codul Penal si preluandu-le macar in - nu o sa ghiciti - Codul de Procedura Penala!

Iluzia nu a durat mult intrucat si in procedura sunt preluate tot numai cele doua, dar, surpiza, cu modificari fata de Codul Penal!! SIC! :-)

23 februarie 2014

Infractiuni informatice - definitiile termenilor in Noul Cod Penal vs. Legea 161/2003

Legea de aplicare a Noului Cod Penal (Lege 187/2012) stabileste modificarile precum si abrogarile de articole din legile speciale in care erau reglementate anterior o serie de infractiuni.

In cele ce urmeaza vom arunca o privire asupra reglementarii termenilor si expresiilor din aria criminalitatii informatice, in lumina modificarilor intervenite in legislatia penala.

11 februarie 2014

Sesizarea organelor de urmarire penala conform Noului Cod de Procedura Penala (feb 2014)

Pentru a veni in intampinarea cererilor cititorilor privitor la modul de a sesiza organele de urmarire penala conform noilor reguli instituite de Noul Cod de Procedura Penala (feb 2014), in acest articol va prezentam noile prevederi referitoare la plangerea penala si sesizarea organelor de urmarire penala, precum si regulile privind impacarea si retragerea plangerii prealabile. Articolele si regulile prezentate nu se aplica doar criminalitatii informatice, fiind aplicabile oricarei plangeri si sesizari a organelor de urmarire penala, indiferent de fapta semnalata...

09 februarie 2014

Noul Cod Penal 2014 - Infractiuni informatice

Incepand cu data de 1 Februarie 2014 Romania are un nou Cod Penal si un nou Cod de Procedura Penala.In domeniul criminalitatii informatice sunt preluate si modificate infractiunile din vechea lege 161/2003 cat si alte infractiuni din legi speciale.
Pentru referinta, in acest articol vom reda textele principale din Noul Cod Penal ce incrimineaza fapte ce au legatura cu domeniul informatic, la care am adaugat si articole conexe care pot fi relevante in masura in care faptele se desfasoara in legatura cu un sistem informatic sau program informatic.

29 ianuarie 2014

Evitarea erorilor judiciare cauzate de IP-spoofing in criminalitatea informatica.

Scenariul pe care il luam in discutie astazi deriva dintr-un caz real si porneste de la o sesizare facuta de Interpol catre Politia Romana privitor la descarcare si distribuire de materiale pornografice cu minori de la o anumita adresa IP din Romania.

Sesizarea este urmata, evident de cerere catre furnizorul de servicii internet care pune la dispozitia autoritatilor datele de identificare ale titularului conexiunii, dimpreuna cu eventuale date de trafic daca le are si de supravegherea IP-ului o perioada. Totul conform cu cerintele legale si procedurale.

Raspunderea juridica a titularului conexiunii internet WiFi neprotejata?

In majoritatea tarilor din vestul Europei, pentru a te putea conecta la un hotspot WiFi, trebuie sa arati actul de identitate, astfel incat sa fii trecut in baza de date a providerului respectiv si sa ti se dea cheia de acces la retea.

O masura aparent exagerata pentru noi romanii obisnuiti cu WiFi gratuit si anonim la orice cafenea. A fost luata pentru a incerca identificarea tuturor celor care se conecteaza la internet si de a putea aloca unei anumite persoane datele de trafic ce se retin prin legea BigBrother din tara respectiva.

24 ianuarie 2014

Violarea secretului corespondentei prin accesarea ilegala a contului de email in Noul Cod Penal

In cazul faptelor de criminalitate informatica si nu numai, iminenta intrare in vigoare a Noului Cod Penal genereaza dezbateri aprinse intre profesionisti  privitor la noile prevederi si reguli dar in acelasi timp ii face pe cetateni, in special pe cei aflati in achete in curs sau in executare de pedeapsa, sa intrebe daca noua lege penala le este mai favorabila sau nu.

In articolul de astazi ne oprim asupra unei infractiuni frecvent intalnita la noi si desfasurata prin intermediul sistemelor informatice – Violarea secretului corespondentei – comisa prin accesarea fara drept a unui sistem informatic, in incercarea de a scoate in evidenta cateva aspecte pe care le consideram mai importante si sa prezentam in acelasi timp textul noilor prevederi.

31 octombrie 2013

Conferinta anuala CERT-RO "Noi provocări globale de securitate cibernetică" - 31 oct 2013

Joi 31 octombrie 2013 are loc în incinta Bibliotecii Naționale a României, conferinta anuala a CERT-RO cu titlul "Noi provocări globale de securitate cibernetică", conferinta ce incheie seria de evenimente din Romania din cadrul Lunii Europene a Securitatii Cibernetice.

18 octombrie 2013

Luna Europeana a Securitatii Cibernetice 2013

European Cyber Security Month - ECSM (Luna Europeana a Securitatii Cibernetice, octombrie 2013) este o campanie de informare a cetatenilor la nivelul Uniunii Europene cu privire la amenintarile din spatiul cibernetic si de educare si impartasirea de bune practici in domeniul protejarii in fata acestor amenintari la nivelul populatiei.

15 iunie 2012

Retentia datelor: intre viata privata si nevoia de dovezi

Adoptarea si recent (12 iunie 2012) promulgarea noii versiuni a asa-numitei legi Big Brother in Romania a facut deja subiectul a numeroase comentarii si articole de presa. Intre frica de a fi urmarit si ingrijorarile legitime privind dreptul la viata privata, subiectul starneste controverse la toate nivelele, incepand de la simplii cetateni si terminand cu specialisti si ONG-uri. Este legea necesara? Care sunt realitatile vietii curente care o cer? Exista alternative? Incercam si noi o perspectiva asupra acestui subiect...