miercuri, decembrie 4, 2024

Ai incredere in barbier? Administratorii de sisteme si datele secrete

O ştire apărută acum ceva vreme ( de exemplu aici ) m-a făcut să zâmbesc un pic. Dincolo de prezentarea tabloidizantă – se pare că toate publicaţiile de la noi vizează acelaşi gen de public, lucru pe care eu personal nu îl înţeleg – situaţia este tipică: o instituţie externalizează serviciile de IT către un subcontractor global, cu prezenţă locală; acesta foloseşte predominant lucrători din zonele cu preţuri mai mici, care, vrând-nevrând, au acces la sisteme conţinând date confidenţiale. E neimportant momentan dacă le şi accesează sau nu, important este că e o încălcare a protocolului.

Pe de altă parte, probabil că protocolul este suficient de complex încât să nu poată fi îndeplinit în timp util, asta ca să acordăm prezumţia de nevinovăţie. De asemenea, din punct de vedere al companiei, aceasta se consideră suficient de „safe” juridic vorbind, acoperită cu tot felul de NDA-uri şi alte hârtii, în final fără nici o valoare în astfel de cazuri.

Pe vremea Regelui Soare exista o butadă precum că trebuie să ai grijă să poţi avea deplină încredere în bărbierul tău, pentru că e persoana care îţi ţine zilnic la gât un brici; probabil că ar merita transpusă în limbajul modern. În ceea ce mă priveşte, de câte ori un angajator mi-a cerut sfatul în legătură cu suspiciunile pe care le avea la adresa personalului IT, am răspuns invariabil cu „ dacă n-ai încredere în administratorul de sistem, dă-l afară” ( chiar şi când acesta eram eu). Pentru că e practic imposibil să te protejezi într-un domeniu în care practic „joci pe terenul lui”.

Dilema instituţiilor de stat este însă că nu îşi permit acest lux. Există două situaţii tipice: fie vorbim de un contract „direcţionat” , unde câştigă „cine trebuie”; dar „cine trebuie” nu e cel care face treaba, ci un afacerist care are nevoie să maximizeze profitul inclusiv pentru întreţinerea lanţului trofic, dacă îmi permiteţi metafora, fie de o licitaţie corectă, unde câştigă ofertantul cu preţul cel mai mic. În ambele cazuri, noţiunea de „încredere” nu se regăseşte nicăieri ( măcar în primul caz există o încredere la nivelul conducerii, dar evident că aceasta nu se reflectă neapărat la nivelul angajaţilor, care la rândul lor pot fi şi ei „externi”).

Nu mă miră deci, în cazul de faţă, decât candoarea cu care politicienii responsabili se miră de această întâmplare, la câţiva ani după ce Snowden copia liniştit documente clasificate ale serviciilor secrete americane fără ca nimeni să se sesizeze.  Ceea ce mă miră cel mai mult este de fapt raritatea cazurilor de scurgeri de informaţii ( deşi probabil cele profesioniste nu prea apar în presă) . Probabil e din cauză că poţi lua un om obişnuit şi după doi ani de antrenamente intense îl poţi transforma în James Bond, dar nu şi în IT-st. Iar invers, să iei un IT-st şi să îl transformi în James Bond poate fi un pic mai complicat ( „aripile imense ‘l împiedică să meargă” ), mai ales  dacă ţinem seama de faptul că respectivul IT-st poate duce o viaţă decentă şi fără să înveţe să tragă cu pistolul sau să piloteze elicoptere. Dar evident că pot exista cazuri…

Ceea ce vreau să spun este că există un permanent conflict între necesităţile de securitate şi imperativele bunei întreţineri. Sunt anumite produse la care există un număr limitat de specialişti, deci e oarecum ca la medic: nu te dezbraci, nu poţi fi diagnosticat.  Nicio companie care are pe plan global doar, să zicem, trei programe dintr-o anumită categorie de întreţinut, nu va trimite la training mai mult de două persoane, decât dacă s-ar justifica economic. Din această dilemă se poate ieşi, dar cu greu, şi mai ales cu destule costuri. Instituţii unde securitatea e pe primul plan preferă să nu permită accesul la Internet deloc, sau cel puţin să blocheze accesul remote. Aceasta însă le va limita atât opţiunile de suport ( va trebui să aibă un contractor local) cât şi timpul de răspuns ( în Bucureşti, în afară de cazul în care eşti în aceeaşi clădire, nu e de exemplu fizic posibil să ajungi la cineva în mai puţin de o oră decât dacă eşti alb, mare, cu o cruce roşie şi o sirenă stridentă.)  Bineînţeles, soluţia old-style e să ai un blackhat al tău, bine motivat salarial şi competent ( şi evident bine verificat). Pentru cine îşi permite, e ideal; pe de altă parte, competenţa e o chestie care se dezvoltă şi se confirmă în interacţiunea cu alţii şi cu probleme diverse. Când te ocupi de un singur sistem, sunt mari şanse ca fiecare incident să ţi se întâmple pentru prima dată; când te ocupi de 100, majoritatea ţi s-au mai întâmplat deja deci poţi reacţiona rapid.

După cum se vede, fiecare abordare are avers şi revers; e un mediu fluid în care e greu să găseşti o soluţie optimă. Probabil că e mai bine să adopţi o atitudine conform căreia toate documentele confidenţiale au fost accesate deja de cei interesaţi. Sigur că e inconfortabil pentru toţi ( cred că cel mai inconfortabil e pentru conspiraţionişti, care se aşteaptă să găsească tot felul de ciudăţenii în documentele unor birocraţi) dar mi se pare singura atitudine raţională.

„Toate-s vechi, a spus poetul…/ Chiar şi cântecul acesta/ A mai fost odinioară/Publicat în Zend-Avesta” . Topârceanu dixit.

Distribuie acest articol

40 COMENTARII

  1. Un subiect care va avea raspuns in viitor. Abordarea pe principii etice sau democratice nu poate fi luata in discutie (democratic l-ati delegat pe Dragnea care nu satisface criteriile dv,). Cele mai pazite secrete au fost furate, deci eficienta informatiei criptate sau cu determinant nedefinit are efect psihologic si atit. Transmisia cuantica este solutia. Pina atunci informatia sta bine in „nori”.

    • Cuantică sau necuantică nu e relevant , câtă vreme tehnicianul trebuie să aibă acces la sistem ca să umble, iar dacă singurul tehnician disponibil e cetăţean din Burkina Fasso, fiţi sigură că, legal sau ilegal, el va repara sistemul, chiar dacă e american, rusesc sau chinezesc :) Cam aşa merg lucrurile în practică, pentru teorie avem producători de hârtii şi avocaţi….

  2. „aparatorii datelor secrete”
    ce date secrete domnule ? ce sa mai apere ? cind romania a fost jecmanita ziua n amiza mare.
    hai sa ne protejam paduchii sa nu care cumva sa ni i subtilizeze si p astia (ca s ai nostri). stati linistit ca n o sa se ntimple !

    • După cum puteţi vedea în articolul citat, am pornit de la o întâmplare din Suedia. Ceea ce ziceţi dvs s-a întâmplat, dar e din alt film faţă de ce discut eu aici….

      • :) mea culpa, credeam ca i vorba despre romania ! uneori citesc la viteza de croaziera / scrolling deja setata, si mi mai scapa amanunte. altfel, nu sint fan al bufetului suedez :)

  3. Ati uitat sa puneti in discutie cauza acestor brese de securitate: colectarea de date personale de catre diverse instututii si agentii ale statelor, colectare care inainte ori nu exista, ori nu exista la amploarea curenta, ori era mai sigura pentru ca datele erau tinute sub cheie in arhive scrise.

    De ce statele colecteaza atatea date personale? Pentru ca pot?
    De ce le pun impreuna intr-un loc? Nu au auzit de zicala cu ouale intr-un singur cos?
    De ce pun intr-un loc accesibil pe Internet datele respective? De la „tinut sub cheie” la „accesibil din Cehia” e o mare distanta. De ce isi permit sa faca asta, pentru ca pot?

    Vorbim in esenta de state politienesti care colecteaza date personale pentru ca asa vor si le stocheaza cum vor. Drepturile cetatenilor sunt aproape nule in asemenea cazuri, iar raspunderea statelor e la fel de nula. Cred ca e o problema cu sistemul (si nu la modul „anti-sistem” gen USR, aia e doar gargara).

    • Eu nu am mers atât de departe cu presupunerile, cred că asta e altă discuţie. Datele se pun la un loc de obicei ca să poată fi accesate uşor, pentru asta folosim computerele, pentru că dacă ar trebui să deschidem un registru de nunţi, unul de botezuri şi altul de decese nu ne-ar mai trebui calculatoare…. De ce sunt accesibile în Internet? Tocmai am explicat. Pentru că românul sau indianul sunt mai ieftini decât suedezul, dar doar dacă lucrează de la ei din ţară. Dacă îi aduci în Suedia, avantajul aproape că dispare. Problema stocării datelor personale e complexă, am mai discutat în trecut despre ea, probabil vom mai discuta, că e „fierbinte”, acum am vrut să abordez altă perspectivă.

      • Daca am vorbi de date esentiale, poate discutia ar avea sens. In zeci de mii de ani pe care ii stim despre omenire nu au fost esentiale, astazi se pare ca nu putem trai fara ele, online.

        Si daca am vorbi de conditii sigure de pastrare, nu ar fi iarasi nici o discutie pentru ca nu s-ar intampla nimic rau. Dar se intampla. Pentru ca cei care decid sa colecteze acele date sunt incapabili de a le proteja. Incompetenti cu putere de decizie. Parca ar fi democratie.

        Operatia e reusita, pacientul e mort. Restul e istorie.

        • eheeei, androizii cu iq negativ iesiti din scolile de militie, spiru haretii de drept si academiile lui oprea au grija sa apere „secretele” (cum sa furi fara sa fii pedepsit sau sa ti lasi amprentele) si sa perpetueze feudalismul (comunismul triumfator) in romania :)

        • Adrian B adreseaza cauza bolii (the rooot cause, cum zic americanii), in timp ce dvs., dle Badici, pareti interesat doar de mascarea simptomelor. Dvs va concentrati doar pe protectia datelor, el pe riscurile pe care colectarea masiva a datelor personale de catre guverne le implica. Nu exista solutie perfecta de protectie a bazelor de date si nu cred ca va exista vreodata chiar daca acum, in 2017, RSA-4096 (de ex.) este inexpugnabila la brute-force attack (din motive pe care matematicienii le inteleg) – quantum computers, de care unii cred ca NSA ar beneficia deja, fiind science fiction deocamdata (insa nu stupid science fiction).

          Protectia datelor unei firme private depinde de un presedinte de companie care va lua toate masurile ca sa-si securizeze job-ul (daca nu e vreun prostanac), in timp ce de protectia datelor guvernului se ocupa niste functionari incompetenti, iresponsabili si indolenti. Un prieten roman imi spunea, dupa ce a lucrat trei ani ca consultant pentru guvernul american si i-a vazut la treaba pe functionarii care roiau in jurul lui (atunci cind nu jucau solitaire sau se dadeau pe Google), ca acolo a inteles ca socialismul e viabil. Insa numai in capitalism, fiindca cineva trebuie, totusi, sa munceasca si sa plateasca taxele necesare supravietuirii socialistilor.

          Am urmarit citiva ani la rind postarile zilnice pe blogul personal al lui Bruce Schneier, un expert american in security. In urma cu vreo doi ani, Schneier, care fusese un critic nemilos al NSA si al ambitiilor politrucilor de a ne inregistra fiecare miscare si cuvint transmis prin internet, a acceptat un post de consilier al serviciilor secrete americane. Dupa care, incet-ncet, a inceput sa se blegeasca si sa taca tocmai atunci cind cititorii lui asteptau o opinie. Dupa ce ca, inainte, spunea ca, desi nu exista computere, nici chiar la NSA, care sa „sparga” prin brute-force attack RSA-4096, pentru mai multa siguranta el foloseste pentru criptare/decriptare un computer care nu a fost niciodata conectat la internet, dupa asocierea cu supraveghetorii nostri mult stimati de la NSA a postat un articol vag in care, fara alte explicatii, a dat de inteles ca el si-a pierdut increderea in data encryption. Nu stiu ce a aflat de la noii sai stapini, insa primul meu gind a fost ca e si Schneier un om si, ca orice om, o fi avind si el pretul lui.

          In ce ma priveste, mai comunic prin email doar cu prietenii care stiu sa cripteze/decripteze folosind RSA-4096 chiar daca discutam despre sarmale si varza murata. Ostentativ, nu de altceva. Stiu ca AIA nu pot sa descifreze si d’aia o fac.

          • „mascarea simptomelor” e puţin răutăcios. Datoria adminului e să protejeze datele la modul abstract, fără să îi pese ce anume conţin ele ( evident, adminul e şi el om şi uneori are dileme demne de tragedia clasică) . Nu totdeauna vorbim de date personale, in cazul citat de exemplu cred că era vorba mai degrabă de datele unor agenţi şi operaţiuni. Noi prezumăm în hipster-mode că toate datele personale sunt strânse în scopuri necurate, dar uneori există şi scopuri legitime ( gânditi-vă câte date există la primăria locală despre dvs, la cei de la taxe, de la urbanism, starea civilă, şcoală etc. Cred că e destul de evident că nu ai cum să administrezi un oraş fără acele date, dar pe de altă parte, mai ales când e o localitate de sub 10 000 de locuitori ( nu că ar fi mai breze celelalte) ai serioase îndoieli că acele date legitime pentru cei de la impozite sunt accesate doar de cei de la impozite. Eu ştiu colegi care au baza de date a instituţiei pe computerul lor ( si au şi ei dreptatea lor, că primăria n-are sistem de backup :) ).

            • Formularea a fost neglijenta si imprecisa. Ce voiam sa spun e ca:
              1. boala de care vorbim e cresterea haotica si nejustificata a numarului si a complexitatii bazelor de date guvernamentale.
              2. cauzele bolii sint guvernele (numarul tot mai mare de ministere, institutii de supraveghere si control, servicii „gratuite”, legi, decrete, ordonante, reglementari, documente si carduri de identificare, avize, taxe, adeverinte, fotocopii, timbre, semnaturi, aprobari etc.).
              3. simptomele ei sint, printre altele, problemele grave si tot mai numeroase de securitate a informatiilor stocate;
              4. vindecarea nu va veni tratind simptomele, ci desfiintind ministere, institutii de supraveghere si control, servicii „gratuite”, abrogind legi, eliminind documente si carduri de identificare, avize, taxe, aprobari, adeverinte etc.

              P.S.
              Cu ani in urma, am ajuns la spital cu o urgenta medicala. Era luni dimineata si durerile erau deja mari, dar primele dureri (vagi, suportabile – in prima faza) au aparut vineri seara. Nu stiam ce e si m-am tratat singur cu tot ce am gasit prin casa (medicamente, nu altceva). La urgenta tratamentul a fost rapid, chirurgical, dupa care doctorul m-a intrebat daca am luat medicamente. I-am spus ce a luat, iar el mi-a explicat ca am tratat simptomele si ca tot ce am reusit a fost sa maschez evolutia problemei.

              N-o fi o analogie prea grozava (nu bagatelizez importanta protectiei datelor), dar sper ca se intelege unde bat: la un moment dat nu se va mai putea continua in acelasi fel si cineva va trebui sa intervina cu bisturiul, fiindca guvernele, peste tot in lume, au tendinta de a acapara tot mai multa putere, iar in ultimii ani au luat-o complet razna oferindu-ne, cu grija parinteasca care le caracterizeaza, servicii peste servicii pe care nu le-a solicitat nimeni.

            • Da, este adevărat şi asta, cred că am mai scris în trecut, în lipsa unor mecanisme de control instituţiile tind să adune tot mai multe date, şi e firesc. Dacă îmi permiteţi comparaţia, e ca şi cum ai da posibilitatea unui pasionat de trenuleţe sau motociclete să cumpere oricât pe gratis: evident curtea lui se va umple de ele, ba va mai da şi prin vecini. Dar acest subiect e mai amplu şi probabil că vom mai discuta de el; până una-alta, multe, puţine, datele există oricum şi teoretic trebuie să avem încredere că sunt în siguranţă.

  4. @badici: Aveti dreptate: increderea in persoana inainte de acte (dar care vine cu dezavantajul timpului: iti ia timp sa cunosti un om). NDA-urile sunt absolut nule odata ce a avut o scurgere de date. La ce-ti mai foloseste NDA-ul odata ce ursuletii rosii (rusia, china) de la rasarit au pus mana pe date? Poti sa bagi si 100 in puscarie datele nu se mai intorc, nu prea exista undo.
    : suedezii dau vina pe romani sau cehi, insa cine i-a angajat a testat in vreun fel nivelul etic al viitorilor contractori? daca era asa important presupun ca un test psihologic/poligraf ar fi fost justificat!?

    Inca un fapt: afirmatiile sunt facute de un politician, deci ar trebui tratate cu o oarecare rezerva….poate doar incearca sa iasa dintr-o situatie pe care a girat-o cu o semnatura.

  5. Ah, si cum de nu s-au gandit sa puna la dispozitie o baza de date de test pe care sa lucreze contractorii, iar eventual operatiile pe baza reala sa fie executate chiar de suedezii cei smart&trustworthy :) !?!?!?!

  6. M-a distrat felul în care s-a folosit citatul (din memorie, cu mici modificări față de traducerea lui Philippide) „aripile imense ‘l împiedică să meargă”.

    • Sunt absolvent de română-franceză, dar evident e greu să mai traduci azi versul ăsta fără să suferi influenţa lui Philippide, unele traduceri devin ele însele clasice :)

  7. Ca un serviciu de securitate isi externalizeaza serviciile IT este din start o problema (poate chiar o tampenie).
    Dar intotdeauna cand vorbim de baze de date critice exista doua nivele de administrare: administrarea bazei de date propriu-zise (alocare de resurse in functie de incarcare, tuning, balansare, backup, etc…) si administrarea informatiei din baza de date. In mod normal informatia trebuie sa fie criptata si administratorul ei nu trebuie sa fie neaparat din zona IT.
    Cu efort sustinut si asa informatia poate fi sparta, dar mai greu. Mult mai usor pot fi exploatate erorile de programare sau bresele din sistemuli de gestiune a bazei de date. De asta se folosesc tot felul de firewall-uri de aplicatie, uneori pe mai multe nivele, aplicatiile se scriu multitier (fiecare nivel avand implementat mecanisme proprii de identificare a interogarilor neconforme); dar costa.
    Cred ca avem de-a face cu o minimizare excesiva a costurilor de la un capat la celalat: si in proiectarea solutiei, si in implementare si in administrare.
    Sincera sa fiu, nu m-ar mira sa fie ca si in cazul BA cand au dat vina pe subcontractor cand de fapt era zgarcenia lor in proiectarea infrastructurii.

    • Excelent comentariu. Se vad in spatele lui experienta profesionala, zeci, poate sute, de carti si mii de pagini citite, dar si convingerea ca, in ciuda tuturor eforturilor si a celui mai inalt profesionalism, securitatea datelor nu poate sa o garanteze cu propriul cap decit un diletant, un impostor sau un specialist IT disperat sa obtina un job sau un contract. Complexitatea problemei e atit de mare incit nici un specialist serios nu va garanta securitatea datelor ci, doar, implementarea celor mai inalte standarde de securitate pe care le cunoaste.

      Doar doua exemple care arata pe ce lume traim:
      1. Google:
      researchers from Tel Aviv University break RSA 4096 encryption with little more than a few emails and a microphone.

      Da, cu un simplu microfon plasat linga hard discul unui calculator, ori folosind chiar microfonul calculatorului respectiv, se poate recupera cheia privata inregistrind zgomotul produs de hard disc (acoustic cryptanalysis).

      2. Google:
      microsoft nsakey
      Nu am verificat daca informatia mai exista pe google, insa, acum citiva ani cind a fost descoperita tarasenia, cei care am fost prin preajma ne-am lamurit definitiv cite parale fac sistemele de operare Windows si cui servesc ele de fapt.

      • Sigur că cine vine şi pretinde că poate asigura securitatea absolută a datelor poate fi trimis imediat fie înapoi la grădiniţă sau la spitalele de specialitate. Colega are în principiu dreptate că cele două aspecte trebuie separate, însă uneori în practică nu poţi să o faci complet ( bug-urile de aia sunt bug-uri, pentru că nu ştii de unde vin, pe baza de test probabil merge totul perfect)
        Să ai adminul tău e ideal, dar trebuie să ţi-l permiţi ( dacă eşti instituţie bugetară asta poate să însemne micsorarea salariilor altora, ceea ce poate fi foarte trist dacă e vorba de al tău :) ) dar mai rău e altceva, şi anume că experienţa se capătă lucrând, ceea ce am încercat să arăt şi în articol. Cineva care se ocupă de un SQL server , un mail server şi două servere de web, ca să dau un exemplu banal, n-are cum să aibă experienţa cuiva care se ocupă doar de servere de mail la zeci de clienţi ; deci să apelezi la „externi” poate fi util de multe ori. Ceea ce e rău e că nu „se apelează” la externi, ci aceştia sunt folosiţi să facă toată treaba în locul specialiştilor proprii ( ba pe la noi mai bagă şi datele în aplicaţie în locul contabililor :) ) . Asta e forma de lene care generează cele mai mari probleme…

    • Nu cred ca e vorba de minimizare a costurilor, cat lipsa de competenta in proiectarea unui asemenea sistem. Ceea ce ati enumerat in comentariu este foarte complicat chiar si pentru specialistul mediu in IT, sub 1% pot face o proiectare de securitate si probabil 0.1% o pot face bine. Decidentii nu ai nici macar cunostintele ca sa isi dea seama cat de mult nu stiu despre problema, asa ca nu exista cerinte serioase de securitate si costul implementarii in acest caz e irelevant. Ca sa stii sa scrii un caiet de sarcini pentru proiectarea securitatii unui sistem informatic trebuie sa fii printre cei 1%, nu?

  8. Mi se pare foarte buna comparatia cu barbierul.
    La urma urmei asa-i: este o decizie simpla ai sau n-ai incredere.
    Poti sa presupui ca barbierul nu vrea sa fii ultimul lui client. :) Este suficient sa alegi un barbier mai mester decat altii. Sau snu, si atunci iti lasi barba.

    Dar nu in toate cazurile este asa simplu; in stirea asta, de exemplu, http://adevarul.ro/news/eveniment/cat-timp-i-a-luat-cartitei-dna-fotografieze-informarile-sri-privind-firma-tel-drum-liviu-dragnea-1_592d74735ab6550cb89a4a2b/index.html
    lucrurile sunt mai complicate.
    Daca cel pe care l-ai angajat sa-ti faca ordine iti viruseaza sistemul in asa fel incat acesta se invarte in gol.
    Trebuie sa angajezi paznici care sa-i supravegheze pe paznici …

  9. Din discutia „cauze si simptome” concluzia ar fi destul de simpla: nu colectati date pe care nu le puteti securiza si nu le dati pe mana altora. Necesitatea nu justifica riscurile si nu trebuie sa incalce drepturile cetatenilor in numele unei necesitati discutabile a societatii. Serios acum, statul nu exista fara birocrati, dar murim fara registru de stare civila online? Cum de am trait pana acum fara el? Dar fara permise de conducere, va dati seama cate razboaie cu turcii am pierdut din cauza asta si cate decese a avut armata romana in razboaiele balcanice pentru ca nu aveam fise medicale online ale soldatilor?

    Cand incredintezi prea multa putere statului, nu mai conteaza ce face cu ea; traiesti in ferma animalelor.

    • Asta e destul de corect. Problema e legată şi de faptul că statul nostru socialist-maximal are nişte mecanisme de repartiţie secundară sau cum se numesc foarte complexe şi pentru asta are nevoie de toată armata de birocraţi, iar la un moment dat „delay-ul” sistemului uman devine prea mare ca să mai poată funcţiona şi atunci au nevoie de computere. Normal că vrem să avem datele medicale online dacă decontăm medicamentele, oamenii circulă…. Dar în realitate noi nu întreţinem un sistem birocratic, ci două care merg în paralel, pentru că sistemul pe hârtie e şi el bine merci, de aia nici n-avem bani să îl întreţinem pe cel electronic….

  10. @Mirela: ati atins o coarda atat de sensiba pt companiile westice: minimizarea costurilor la sange. Statele au liberalizat multe dintre servicii delegandu-le catre companii mai mult sau mai putin private. Acestea incearca sa-si maximizeze profitul si in disperarea lor de a reduce costurile echivaleaza probabilitatea f redusa a unei scurgeri de informatii cu 0. Orice elev care a trecut de clasa a doua stie ca ceva oricat de mic nu e 0. Si iata cum a ajuns premierul suedez sa serveasca o supa rece de lebada neagra (vezi Taleb).

    Deschid o mica paranteza: doar pentru ca o firma activeaza intr-o tara precum Suedia nu inseamna ca nu este sensibila la „slabiciunile” umane: lacomia, lipsa de etica/morala, fuga de responsabilitate etc. mai deunazi prin 2003 a fost prins directorul ericsson romania cu o spaga de 7mil$(Vezi pe rise project, pt serviciul 112).

    In Suedia ca si in alte tari vestice companiile intampina probleme reale in a gasi resursa umana pe plan local, in special in IT. Companiile sunt fortate sa importe resursa umana sau sa subcontracteze. Chiar daca ar gasi resursa umana local costurile cu angajatii nativi sunt exorbitante in comparatie cu cele de subcontractare. Asta este unul din mecanismele care stau la baza „succesului vestic”: sa-ti faci intotdeauna treaba cu unul care nu te costa nimic (de ex sclavii) sau te costa putin(de ex est europenii cu bagajul lor istoric/emotional delicat, dar motivati).

    Diferenta insa o face publicul: daca se afla ca un politician a girat subcontractarea si a gresit suedezii il vor taxa.
    Sunt curios daca IBM romania sau cehia isi vor apara in vreun fel „onoarea” si-i vor da o replica premierului. Pana acum nu am vazut nimic, nici macar un am luat la cunostinta, cercetam si vinovatii vor fi trasi la raspundere. Are cojones vreunul dintre romanii implicati sa dea o replica?

    Apropos de subcontractare: exista firme vestice care activeaza in romania in zone precum timisoara si care primesc ajutoare de la stat pt a angaja studenti sau proaspat absolventi…interesant nu!?miroase a parandarat si lipsa de responsabilitate din partea statului roman. Statul pierde de 2x: ajutoarele + costurile cu educatia studentului care pune scoala pe planul 2. Si daca iese cu scurgeri de date cine e de vina: studentul obosit? Sa fi fost ceva asemanator si in cazul asta?

    Pana la urma banul joaca un rol important in ecuatie si concurenta acerba din piata it duce la o relativizare/fluidizare a ceea ce inseamna loialitate(aka increderea in celalalt fie el companie sau angajat). exista oare o corelatie pozitiva intre probabilitatea unei scurgeri de date si concurenta din piata IT?

  11. @Mihai Bădici

    Chestiunea securizării datelor trebuie discutată împreună cu protecția datelor asociate profilelor electronice în contextul procesării lor automate sau semi-automate.

    De exemplu un prieten care s-a mutat în Marea Britanie mi-a spus că englezii nu au acte de identitate. Când e nevoie de a stabili rezidența e nevoie de factura după gaz pe ultima lună sau pentru chestiuni mai complexe, cum ar fi achiziția mașinii pe ultimele trei luni, asta pentru a stabili domicilul omului.

    Pare de neconceput într-un mediu în care suspiciunea este întreținută pentru a asigura un control cât mai strict al populației.

    Pâna și la achiziția de icoane pe site-ul online al Arhiepiscopiei se cere CNP-ul când pentru a face livrarea nu e nevoie decât de adresa.

    Colectarea și procesarea datelor se face cu acordul omului respectând recomandările UE. R.N.E.P-ul, adică registrul național de evidență al datelor oamenilor care locuiesc în România nu cred că respectă recomandările UE privind procesarea automată a profilelor electronice.

    Această „nevoie” de a avea un sistem centralizat în care datele colectate voluntar sau coercitiv invocând ‘nevoia’, similar sistemului sistemului informatic Aadhaar din India are următoarele hibe. În primul rând nu respectă principiile din recomandările UE întrucât și oricine care a lucrat cât de cât în IT știe acest lucru, NU PREA exista sisteme informatice cu un grad mai mare de complexitate decât un document text sau calcul tabelar care să nu facă procesări automate sau semi-automate pe date colectate și organizate în profile electronice, ANULÂND libertatea proprietarului datelor corespunzătoare amprentei digitale de a dispune de ele după cum consideră.

    Aceste aspecte sunt importante în contextul platformelor hardware cu TPM 2.0 în care Endorsment Key-ul a fost scris de către producătorul hardware in cip-ul TPM și care o dată scrisă nu mai poate fi ștearsă precum și în cazul platformelor închise cu Proprietate Intelectuala protejată de patente și cu cod software închis. Ele sunt importante întrucât nu respectă principiile de liber schimb care stau la baza unei economii libere și creează o discriminare intre oameni și o împărțire pe clase similară feudalismului: stăpânii, proprietarii platformelor hardware și a Endorsment KEY-urilor și software-urilor asociate și sclavii cei care închiriază dreptul de folosință pentru a putea servi stăpânilor. Evident un astfel de sistem în care Endorsment Key-ul nu este proprietatea omului care deține platforma hardware nu conferă securitate datelor vehiculate prin intermediul lui și anuleaza principiul liberului schimb care se poate face între oricare doi participanți care tranzacționează bunuri și servicii.

    Sistemele informatice folosite de SRI în proiecte precum SII Analytics și care colectează date asociate profielor electronice corespunzătoare amprentei digitale a oamenilor se sustrag recomandărilor UE și extind amprenta digitala fară acordul proprietarului ei supunând prin procesările automate sau semi-automate oamenii la riscurile asociate unor astfel de procesări precum și deciziilor directe sau indirecte care se pot lua pe baza acestor procesări.

      • Domnule, când mă apuc de politică promit că vă anunţ. Deocamdată m-am referit la unul din aspectele confidenţialităţii, făcând abstracţie de ce aveau oamenii ăia în bazele de date. Posibil să fi fost date despre misiuni, agenţi, lucruri perfect legale şi morale. Sau posibil să fi fost chestii imorale şi legale, sau şi imorale şi ilegale, n-am de unde să ştiu, nu lucrez pentru IBM :)
        Am mai vorbit şi de problema Big Brother în trecut, puteţi răsfoi colecţia de articole, nu mă codesc; nu dar putem vorbi la nesfârşit despre un singur subiect, iar eu unul încerc să mă feresc de ambele atitudini extreme. În plus, nu pot să vorbesc despre lucruri pe care nu le ştiu, dacă aş avea vreo cârtiţă la SRI poate aş mai afla unele lucruri :) Văd că dumneavoastră ştiţi ce date colectează SRI, eu personal habar n-am…. Suspiciuni am, ca tot omul, pentru că ce naşte din Securitate…. dar nu sunt jurnalist de investigaţie, şi vă zic cinstit, n-aş avea curajul lui Snowden ( asta dacă n-o să aflăm într-o bună zi că a fost şi el vreun agent). Pe de altă parte, mă ocup şi eu mai mult sau mai puţin cu protecţia datelor clienţilor mei, şi mi se pare cinstit să îmi fac treaba pentru care mă plătesc şi să le las lor dilemele morale, dacă e cazul, deci sunt oarecum implicat. Adică putem duce discuţia în domeniul speculaţiilor, dar ăsta e subiect pentru specialiştii talk-show-urilor de pe la televiziuni, nu pentru mine… Uneori apar public date concrete, cum a fost cazul acum cu Wanna Cry, şi avem despre ce vorbi, vedeţi articolul de atunci; când nu am despre ce vorbi, nu vorbesc…

        • Sincer, deja ati inceput sa faceti politica, si chiar fara sa vreti . De fapt, a fost exact cum m-am asteptat , dar n-as fi vrut sa se intample . Mi-am exprimat o opinie in doar doua propozitii, in schimb dvs ati ignorat comentariul la obiect al d-lui Vlad care vorbea despre (in)compatibilitatile legislatiei romane cu cea europeana ( ex: “R.N.E.P-ul, adică registrul național de evidență al datelor oamenilor care locuiesc în România nu cred că respectă recomandările UE privind procesarea automată a profilelor electronice.” ) si scrieti un intreg paragraf din perifraze ocolind dilemele morale in care recunoasteti singur ca sunteti “oarecum implicat” si nu aveati cum sa negati acest lucru deoarece sunteti exact pe domeniu ( “Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor.”- http://www.contributors.ro/author/mihai-badici/?bio ) .
          Pe de alta parte, nu trebuie sa va justificati pentru ca personal nu v-a reprosat nimeni nimic, dar in acelasi timp nu cred ca exista adminstratori de sistem care sa nu cunoasca foarte bine legislatia care se refera la propriul domeniu de activitate ( faptul ca evita sa aiba opinii asupra ei , este o cu totul alta problema ) .
          Problema este oarecum dincolo de aceasta discutie fiind una care tine de sistem si de stadiul democratiei romanesti , tocmai de aceea sunt atat de importante si opiniile specialistilor , dar opiniile societatii civile si ale simplilor cetateni.

          • Ok, poate am luat intervenţia prea personal, dar ideea de bază era că tema articolului era oarecum adiacentă faţă de comentariul lui Vlad.
            Date secrete ( titlul aparţine redacţiei, le-aş numi date confidenţiale) vor exista totdeauna.
            CNAIR are date secrete? Pai avand in vedere că organizează licitătii, da. DNA are date secrete? Văzurăm că da. ANAF? dacă aţi şti că partenerul dvs nu şi-a plătit impozitele pe anul trecut aţi mai semna cu el? Adică nu toate datele secrete sunt ilegitime, nici toate nu sunt legitime
            Deci date secrete şi legitime există oricum. Că sunt prea multe? Sunt sigur că da, dar dacă nu am o listă de dovezi nu mă pot pronunţa in public. Pentru că vine „oficialul” şi îmi zice „No Such Agency” şi cu asta discuţia s-a închis.
            Ceea ce m-a făcut să postez acel comentariu destul de acid este conotaţia cum că „s-ar evita subiectul”. Din păcate, noi, ca geantă latină, avem boala de a porni o discuţie pe o temă şi de a ajunge în final la măr, şarpe şi Adam. „Passons au deluge” zice franţuzul (ca dovadă că suntem fraţi). Mai pe scurt, scriu despre părerile şi experienţa mea, în speranţa că mai sunt utile şi altora; dacă alţii au alte preocupări, frământări şi speranţe, cred că pot să şi le exprime la rândul lor. Si da, probabil de când scriu pe platforma asta deja cei zece ani se făcură 15, am văzut multe baze de date şi nu m-am uitat în ele, nu ştiu cum aş proceda în situaţia în care din întâmplare aş vedea ceva grav… e o dilemă etică, nu?

            • ” Ceea ce m-a făcut să postez acel comentariu destul de acid este conotaţia cum că “s-ar evita subiectul”(1) . Din păcate, noi, ca geantă latină, avem boala de a porni o discuţie pe o temă şi de a ajunge în final la măr, şarpe şi Adam (2) . “Passons au deluge” zice franţuzul (ca dovadă că suntem fraţi).

              Deveniti previzibil si dialogul cu dvs incepe sa se desfasoare in bucla. Dl. Vlad a pus o intrebare punctuala , ati evitat sa exprimati o opinie, dar nu uitati sa ripostati acid (1). Pe de alta parte, propuneti singur in spatiul public un subiect spinos si dintr-un domeniu in care de fapt activati , dar vreti ca acesta sa fie discutat numai in limitele si conotatiile propuse de dvs (2) uitand ca intre viziunea specialistilor si viziunea societatii (civile) nu exista intotdeauna o concordanta.
              In sfarsit, ca sa spunem lucrurilor pe nume , acest articol nu este pentru scris pentru doctorat , nici pentru specialistii in sisteme de date care au mediul lor specific, ci este pe o platforma publica deci este deschis discutiilor. Sau nu , dar atunci trebuie publicat numai pentru specialisti si in acest mod dispar toate divergentele.

            • Este scris pentru publicul larg şi deschis discuţiilor, de aceea şi discutăm. Ceea ce mă deranjează e că mă acuzaţi că „am evitat să exprim o opinie” deşi comentariul nu era o întrebare ( şi l-am şi aprobat, ca şi pe al dvs, uneori mai moderez şi singur comentariile pentru că redacţia nu e foarte promptă) şi nu cerea neapărat o opinie. Cred că am libertatea de a îmi exprima o opinie doar atunci când am ceva de spus…. asta am vrut să spun cu „intratul în politică”, există o specie de indivizi care se pricep la orice, nu fac parte dintre ei. Aveţi o bază foarte bună de continuare a discuţiei în comentariul lui Vlad, puteţi să o dezvoltaţi, îi invit şi pe alţi cititori să o facă, ştiu că e un subiect fierbinte ; dacă am ceva pertinent de completat o să intervin, dacă nu nu. Mai mult nu pot să promit…. Vă mai pot recomanda articolul meu mai vechi de aici http://www.contributors.ro/media-tech/marele-firewall-chinezesc-si-drepturile-internautului care e oarecum mai apropiat de acest subiect, cred că au mai fost vreo două în aceeaşi perioadă, inclusiv despre o propunere de lege a SRI ( L.E. l-am găsit, ăsta: http://www.contributors.ro/media-tech/big-brother-muslim-brothers-and-all/ )

  12. „…noi, ca geantă latină, avem boala de a porni o discuţie pe o temă şi de a ajunge în final la măr, şarpe şi Adam…” banuiesc ca i vorba despre ginta, nu geanta :)
    pai tocmai asta i adevarata problema. in loc ca inginerul sa si vada de inginerie, medicul de medicina, profesorul de invatamint etc, romanii au fost dezbinati / atomizati si n final supusi si manipulati. nimic nu se poate cladi pe hotie, impostura si minciuna. cu ontani si grajdani, ebe si udre, oprea si dragnea, olguta si nastase, drumul catre dictatura jigodiilor, prostilor si ciomagarilor (cum s a mai intimplat) este asigurat. doar aliantele externe si libertatea de a parasi romania mai sint (inca) o supapa de refulare. altfel, ghiolbanii, militienii si avocatii poporului sint pe pozitii, gata sa ti dea buzna n casa si sa te ncatuseze.

      • :) umilit de lumea pe care a portretizat o, sarmanul Caragiale si a pus traista n bat si a plecat in Germania. au ramas insa cei pe care i a descris atit de bine :) ar fi de ris daca n ar fi de plins. parazitii exista in mod natural in orice fiinta vie. ce ar fi daca anticorpii s ar scirbi si ei de gazda care i adaposteste ?

  13. In problema ” barbierului cu briciul in mina ” una din povestioarele lui Cehov sau Gogol, nu sint sigur, le-am citit tare de mult, suna cam asa:

    Un mic nobil de tara rus, avea un ten ingrozitor, plin de cosuri mari si purulente. In fiecare dimineata, il barbierea cu briciul, valetul lui, un iobag de pe mosie, dintre cei cu care boiernasul nostru s epurta ingrozitor.
    Boierul il avertizase pe valetul barbier ca tine un pistol incarcat pe o masuta la indemina si ca, daca ii face cea mai mica taietura pe fata, il impusca pe loc.
    Un prieten al barbierului, l-a intrebat cum de poate sa-l barbiereasca zilnic pe stapi, cu aceasta cumplita amenintare in fata.
    Raspunsul barbierului a fost: ” INAINTE DE A MISCA MINA SPRE PISTOL, II TAI GITUL CU BRICIUL ”

    In problema scurgerii de date secrete prin retelel IT, ne aflam cam in aceeasi situatie, Pina sa se miste greoiul sistem de protecite al posesorilor de date secrete ( de regula institutii sau agentii ale statului dar si mari companii private ), hackerii sau hotii de informatii , bine motivati ideologic sau material, au actionat de mult. Sistemele IT sint si vor ramine vulnerabile in fata ingeniozitatii individuale a code-breakerilor sau a hotilor ( pur si simplu ) de informatii nesupraveghiati.

    Solutia ? Renuntarea la externalizari, care sint o proasta masca pentru coruptia si incometenta organismelor care detin date secrete si revnirea la sistemul draconic de selectare a celor care au acces la informatii, renuntind la orice criterii ” corecte politic ” ( rasa, sex, religie, orientare sexuala, etc ), ba dimpotriva, folosind criterii incorecte politic, dar eficiente!

  14. Care-i diferenta dintre un necinstit de la stat si unu de la privat ? Ca sa inteleg de ce externalizarea ar fi o problema iar internalizarea nu. Ca sa nu rastalmaciti / sa nu va prefaceti ca n-ati inteles, repet in alta forma intrebarea: ce va face sa afirmati ca un salariat de la privat e/nu e mai putin/mai mult coruptibil/santajabil decat unul de la stat , si ca un co-national e/nu e mai de incredere decat un strain ? Ati re-editat o falsa dihotomie si un maniheism si niste clisee rudimentare, stat versus privat , national versus strain si mitul rasuflat al functiei care creaza organul. Asta se numeste ori naivitate daca aveti varsta mai putin de 18 ani , ori norma de la Fabrica de Manipulari.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.

Autor

Mihai Badici
Mihai Badici
Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor. De asemenea a absolvit in 1996 Facultatea de Litere la Universitatea Bucuresti. In prezent, consultant IT independent, colaboreaza pe mai multe proiecte legate de infrastructura de date.

Sprijiniți proiectul Contributors.ro

Carti

 

 

Nexus – Scurta istorie a retelelor informationale

Scurtă istorie a rețelelor informaționale din epoca de piatră până la IA
Editura Polirom, 2024, colecția „Historia”, traducere de Ioana Aneci și Adrian Șerban
Ediție cartonată
Disponibil pe www.polirom.ro și în librării din 27 septembrie 2024

 

Carti noi

Definiția actuală a schimbării climei“ a devenit un eufemism pentru emisiile de CO2 din era post-revoluției industriale, emisii care au condus la reificarea și fetișizarea temperaturii medii globale ca indicator al evoluției climei. Fără a proceda la o „reducție climatică“, prin care orice eveniment meteo neobișnuit din ultimul secol este atribuit automat emisiilor umane de gaze cu efect de seră, cartea de față arată că pe tabla de șah climatic joacă mai multe piese, nu doar combustibilii fosili. Cumpără cartea de aici.

Carti noi

 

Carte recomandata

Ediția a II-a adăugită.

„Miza războiului purtat de Putin împotriva vecinului său de la vest este mai mare decât destinul Ucrainei, echilibrul regional sau chiar cel european. De felul în care se va sfârși acest conflict depinde menținerea actualei ordini internaționale sau abandonarea ei, cu consecințe imprevizibile asupra întregii lumi pe termen mediu și lung. E o bătălie între democrație și dictatură, între regimurile liberale și cele autoritare... Cumpara volumul de aici

Pagini

Esential HotNews

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro