ŠPIJUNSKA AFERA (2): OTC je jedini koji ima pravo prisluškivati

ŠPIJUNSKA AFERA (2): OTC je jedini koji ima pravo prisluškivati

Foto: Fotolia

Domaća pravna regulativa kazuje da je moguće prisluškivanje isključivo uz dopuštenje suda i to za obavještajne službe i sve druge državne institucije koje na to imaju pravo – USKOK ili Ministarstvo unutarnjih poslova ima pravo raditi Operativno-tehnički centar za nadzor telekomunikacija ili OTC.

To je i najveći problem koji proizlazi iz prve analize „ŠPIJUNSKA AFERA: Hacking Team, SOA, Alfatec, Sedam IT i Diverto u kolopletu hakiranja ili kako su progonjeni uvijek za korak ispred progonitelja“ jer očito je da se iz cjelokupne dostupne dokumentacije iščitavaju potencijalni kupci SOA (Sigurnosno obavještajna agencija), VSOA (Vojno sigurnosno obavještajna agencija), MUP (ministarstvo unutarnjih poslova) ali i OTC. U mailovima iz 2013. godine vidi se da se pokušava ponuditi nešto za 150 tisuća eura, iako je inicijalno, kako smo već pisali, cijena bila 1 milijuna € plus 250 tisuća € godišnje održavanje.

Jedini problem je u tome da jedino OTC uz prethodno dopuštenje suda, a na zahtjev neke od mjerodavnih institucija može i smije prisluškivati i tako pribavljen dokaz moguće je koristiti na sudu. Sve ostalo je protuzakonito.

Naime, glavna je fora softvera da vlasniku omogućava korištenje mimo propisanog “pružatelja usluga”, jer sve mjere nadzora TK prometa prema našim zakonima idu preko OTC-a, tj. OTC je taj koji je “prekidač” koji uključuje i isključuje mjere i prosljeđuje snimke ili podatke o prometu agenciji koja je ishodila nalog. Također u OTC-u se vrši kontrola primjene mjera, pa bi posjedovanje softvera u hrvatskom slučaju omogućilo zaobilaženje OTC-a, a time i nadzora.

"Od svih koji su se interesirali za kupovinu, jedini koji ima pravu zakonsku ovlast i obvezu mjeru uključiti i isključiti je OTC. Također treba postaviti pitanje što će software ZSIS-u kao i da li je kupovina više primjeraka (MUP, SOA, VSOA, OTC, ZSIS - Zavod za sigurnost informacijskih sustava) razbacivanje proračunskih novaca, nabavu je trebao koordinirati i objediniti OTC. ZSIS nema niti zakonske ovlasti za korištenje softwarea, i postavlja se opravdano pitanje da li su službe takvom odvojenom nabavom mogle prilikom korištenja zaobići OTC i kontrolu", tvrdi nam jedan od sigurnosnih stručnjaka.

Veliki problemi

Kao što smo već pisali, a da ponovimo još jednom, dok čekamo odgovore iz Alfateca (Alfatec Group), Sedam IT-a i Diverta oni su bili kontakti u Hrvatskoj za nabavku softvera od strane Hacking Teama iz Italije, do koje ipak nije došlo. Međutim, zbog svega se otvaraju velika sigurnosna pitanja kako u zaštiti privatnosti, kao i načina poslovanja hrvatskih tvrtki i hrvatskih agencija s hacking Teamom koji se očito nije ponašao prema pravilima etičkog hackinga jer su koristili poznate propuste Adobeova Flasha kako bi omogućili prisluškivanje. I pritom nisu obavještavali tvrtke o propustima nego su ih „nastavljali poskrivećki koristiti u vlastitom softveru“.

Prema dostupnim informacijama od stručnjaka za ICT sigurnost postoje još neki neotkriveni propusti Flasha, a domaći ga je CERT proglasio nesigurnim. Hackeri su u nekim virusima već iskoristili postojeće probleme Flasha, a još se čeka neka od novih zakrpi Adobea.

Damage control

Upravljanje incidentom ne smije se prepustiti slučaju niti očekivanju da će se incident nekako, nekim čudom sam od sebe riješiti, naročito ne u današnjem svijetu kad informaciju više nije moguće sakriti niti zaustaviti. Obavijest o hakiranju softvera tvrtke Hacking Team stajala je objavljena u vodećim svjetskim medijima a i na stranicama nacionalnog CERT-a već gotovo tjedan dana prije nego što su hrvatski mediji odlučili proučiti o čemu se radi i objaviti smislen tekst koji upućuje na razmjere incidenta i na otkrivene povjerljive e-mail poruke o nabavci softvera od strane SOA-e i drugih institucija koje su objavljene na stranicama Wikileaksa.

Ono što smatraju eksperti potpuno nerazumljivim je izostanak bilo kakvog stručnog upravljanja incidentom od strane naših institucija, jer ovdje se radi o problemu koji se tiče nas svih - kao prvo, iako je prisluškivanje zakonski regulirano i nije sporno kad se radi u skladu s propisima i s ciljem naše sigurnosti, za njegovu provedbu sve demokratske, civilizirane države moraju koristiti metode koje ne dovode u pitanje etičnost i zaštitu ljudskih prava, a rješenja koja nudi Hacking Team već su godinama na glasu kao neetična i korištena od strane represivnih režima. Kao drugo, iz poruka koje su iscurile vidljiva je prisutnost vrlo spornih načina pregovaranja i odlučivanja o tome kako će SOA trošiti naš novac, potvrdilo nam je nekoliko nezavisnih stručnjaka za računalno sigurnost.

To što su navodno odustali od kupnje rješenja zbog nedostatka sredstava, ne čini slučaj riješenim, jer ostaju činjenice da takvo neetično rješenje jesu pokušavali nabaviti i to na sporan način, a te činjenice zabrinjavaju javnost. Očekuje se stoga primjerena, iako već odavno zakašnjelu, reakciju nadležnih i reviziju provedenih postupaka.

 

Zakonska regulativa:

ZAKON O SIGURNOSNO-OBAVJEŠTAJNOM SUSTAVU REPUBLIKE HRVATSKE

 

Operativno-tehnički centar za nadzor telekomunikacija

Članak 18.

(1) Radi obavljanja aktivacije i upravljanja mjerom tajnog nadzora telekomunikacijskih usluga, djelatnosti i prometa te ostvarivanja operativno-tehničke koordinacije između pravnih i fizičkih osoba koje raspolažu javnom telekomunikacijskom mrežom i pružaju javne telekomunikacijske usluge i usluge pristupa u Republici Hrvatskoj i tijela koja su ovlaštena za primjenu mjera tajnog nadzora telekomunikacija sukladno ovom Zakonu i Zakonu o kaznenom postupku, osniva se Operativno-tehnički centar za nadzor telekomunikacija (u daljnjem tekstu: OTC).

(2) OTC u suradnji s tijelima koja su ovlaštena za primjenu mjera tajnog nadzora telekomunikacija sukladno ovom Zakonu i Zakonu o kaznenom postupku ima ovlast nadzora rada davatelja telekomunikacijskih usluga u smislu izvršenja obveza iz ovoga Zakona.

(3) OTC za potrebe sigurnosno-obavještajnih agencija i redarstvenih tijela aktivaciju i upravljanje mjerom tajnog nadzora telekomunikacijskih usluga, djelatnosti i prometa obavlja putem odgovarajućega tehničkog sučelja.

 

 

Uključene strane:

Alfatec (Alfatec Group) - www.alfatec.hr

Sedam IT - www.sedamit.hr

Diverto - www.diverto.hr

Sigurnosno obavještajna agencija - www.soa.hr

Ministarstvo unutarnjih poslova - www.mup.hr

Još iz kategorije

Hrvatska visokom 8 mjestu na PISA testu

Hrvatska visokom 8 mjestu na PISA testu

22.10.2020. komentiraj

Današnjom objavom rezultata globalnih kompetencija učenika zaokružen je sedmi ciklus OECD-ova istraživanja PISA 2018, u kojem je u proljeće 2018. sudjelovalo 6.609 hrvatskih petnaestogodišnjaka iz 179 srednjih i 4 osnovne škole. Uz čitalačku, matematičku i prirodoslovnu pismenost, čiji su rezultati objavljeni u prosincu 2019., kao dodatna inovativna domena, u koju su se zemlje mogle proizvoljno uključiti, ispitivale su se globalne kompetencije. Hrvatska se u odnosu na ostalih 27 zemalja sudionica smjestila na visoko osmo mjesto u ukupnom poretku, pri čemu su hrvatski učenici ostvarili 506 bodova što je značajno bolji rezultat od prosjeka koji iznosi 474 boda.

Potrošači su i dalje zabrinuti zbog COVID-19, potrošnja nastavlja padati

Potrošači su i dalje zabrinuti zbog COVID-19, potrošnja nastavlja padati

22.10.2020. komentiraj

Saznanja IBM-ova Instituta za poslovnu vrijednost (IBV) iz kolovoza potvrđuju da su potrošači i dalje zabrinuti zbog pandemije koronavirusa pa ne žele kupovati ono što im nije prijeko potrebno.

Europski parlament od Europske komisije traži obranu prava svih građana EU

Europski parlament od Europske komisije traži obranu prava svih građana EU

22.10.2020. komentiraj

Zastupnici pozivaju Europsku komisiju da poduzme mjere predviđene zakonodavstvom EU-a kako bi se zajamčio potpuni vizni reciprocitet između EU-a i SAD-a. Sa 376 glasova za, 269 protiv i 43 suzdržana, Parlament je u danas  usvojio rezoluciju kojom poziva Komisiju da predstavi pravni akt o suspenziji izuzeća od obveze posjedovanja vize za državljane SAD-a, na dvanaest mjeseci, kako je utvrđeno u takozvanom mehanizmu reciprociteta.