Ειναι εντυπωσιακό σε κανένα μέσο ενημέρωσης δεν παρουσιάζετε το ιστορικό του περίφημου υποσυστήματος που επιτρέπει την παρακολούθηση, δηλαδή, ότι απο το 2001 και μετά όλα τα κεντρικά συστήματα μεταγωγής ( τηλεφωνικά κέντρα κινητής τηλεφωνίας και δρομολογητές στο δίκτυο κορμού του ιντερνετ ) έχουν ενσωματωμένο το υποσύστημα « lawful intercept» σύμφωνα με τα πρότυπα του ETSI(http://portal.etsi.org/ πρότυπα: TS 101 331, TS 101 507 & TR 101 943) το οποίο επιτρέπει τεχνικά την καταγραφή οποιασδήποτε συγκεκριμένης ανταλλαγής δεδομένων.
Ο μόνος τρόπος να έχουμε «ασφαλείς» επικοινωνίες ειναι οι πάροχοι τηλεπικοινωνιακών υπηρεσιών να τηρούν με αυστηρότητα τις διαδικασίες που προβλέπονται απο τα ανωτέρω πρότυπα και οι αρμόδιες αρχές όπως η ΑΔΑΕ(http://www.adae.gr/ ) και η ΕΕΤΤ(http://www.eett.gr/ ) να έχουν το απαραίτητο και κατάλληλο προσωπικό ωστε να ελέγχουν συστηματικά και τακτικά τις εταιρίες παροχής τηλεπικοινωνιακών υπηρεσιών για την αυστηρή τήρηση των προβλεπόμενων διαδικασιών(στην Ελλάδα οι βασικοί πάροχοι- σταθερή & κινητή Τηλεφωνία και ISP‘s– δεν ειναι πάνω απο 25 ).
Η VODAFONE αν και είχε πιστοποίηση για θέματα ασφαλείας συνολικά (Information and Data Security according to BS 7799, aiming to the assurance of information and data security regarding the company, the customers, the shareholders and the partners – (Certification Number S0001 NQA – http://www.vodafone.gr/live1
και ούτε ελεγχόταν συστηματικά, ενδιαφέρον θα ειχε και το πόρισμα έλεγχου απο τις άλλες δύο εταιρείες κινητής τηλεφωνίας για το τι διαδικασίες διασφάλισης του απορρήτου τηρούν.
Ειδικά για την περίπτωση της VODAFONE και με δεδομένο ότι η μη τήρηση των εσωτερικών διαδικασιών ασφάλειας που προβλέπονται και απο την πιστοποίηση που διέθετε και ήταν ένας απο τους λόγους που οι συνδρομητές απο τον ιδιωτικό αλλά και τον δημόσιο τομέα την επέλεγαν. Επειδή η μη τήρηση των εσωτερικών διαδικασιών διασφάλισης του απορρήτου των επικοινωνιών επέτρεψε την παράνομη χρήση του υπο-συστήματος «lawful intercept» απο διάφορους «μηχανισμούς», προτείνω να ξεκινήσει καμπάνια συλλογής υπογραφών με αίτημα προς τις αρμόδιες αρχές την ανάκληση της άδειας λειτουργίας που διαθέτει.
Παράλληλα στο πλαίσιο αυτής της καμπάνιας θα μπορούσε να προταθεί:
α) σε επίπεδο Ευρωπαϊκής Ένωσης όσο και σε εθνικό επίπεδο την ενίσχυση των αρμόδιων αρχών και την συστηματική διεξαγωγή έλεγχων στους παρόχους τηλεπικοινωνιακών υπηρεσιών ωστε να μειωθεί η ανεξέλεγκτη χρήση των συστημάτων που επιτρέπουν την παραβίαση του απορρήτου.
β) την συγκρότηση σε ευρωπαϊκό ή και σε εθνικό επίπεδο μιας αρχής όπως το BSI(http://www.bsi.de/english/ , BSI has a special task: we are the central IT security service provider for the German government). Η αρχή αυτή θα μπορούσε να ελέγχει και να πιστοποιεί υπο-συστήματα όπως το «lawful intercept» και πχ να διαμορφώνει κατευθύνσεις για το τι συστήματα θα ήταν προς το δημόσιο συμφέρον να υλοποιούνται ως ανοιχτό λογισμικό. Σε ευρωπαϊκό επίπεδο η επέκταση των αρμοδιοτήτων του ENISA- http://www.enisa.eu.int/ ( για περισσότερες πληροφορίες δείτε το http://en.wikipedia.org/wiki/ENISA )θα συνέβαλε στην διαμόρφωση ενός πλαισίου που περιόριζε τις αυθαιρεσίες που προκύπτουν απο την ελλιπή εφαρμογή τις ισχύουσας νομοθεσίας και την παράνομη χρήση των διαθέσιμων τεχνικών μέσων.
Το τραγικό περιστατικό παραβίασης των ανθρωπίνων δικαιωμάτων εκατοντάδων πολιτών δημιουργεί την υποχρέωση σε όλους μας να αντιδράσουμε, σε συνεργασία με την κίνηση http://digitalrights.gr/ αλλά και με όλους όσους ενδιαφέρονται να ξεκινήσουμε πρωτοβουλίες όπως και η μαζική συλλογή υπογραφών ωστε να αναγκάσουμε τις αρμόδιες να αρχές να περιορίσουν την ασυδοσία που επικρατεί στο χώρο των τηλεπικοινωνιών που γελοιοποιεί την χώρα μας διεθνώς.
—
ΣΧΕΤΙΚΕΣ ΔΗΜΟΣΙΕΥΣΕΙΣ
Δήλωση Γιώργου Α. Παπανδρέου για τις υποκλοπές
A Malfeasant Design for Lawful Interception
Earlier this month it was revealed that more than 100 mobile phone numbers belonging mostly to members of the Greek government and top-ranking civil servants were found to have been illegally tapped for a period of at least one year (see Wikipedia article). Apparently, the tapping was implemented by activating Ericsson�s lawful interception subsystem installed at the Vodafone service provider. How could this happen?
Continue reading “A Malfeasant Design for Lawful Interception“