Oceń wpis  oddane głosy: 0 / 0

Zwolennikom e-wszystkiego -- e-wyborów (najlepiej przez internet), e-wymiany e-danych przez e-urzędy (najlepiej, żeby z e-widencji e-ludności szło wszystko po e-kablach do e-fiskusa) -- chciałem trochę zmącić e-wizję e-przyszłości.

Oto drugi dzień z rzędu próbuję odebrać (papierowy) kwit o pewnej spółce z Krajowego Rejestru Sądowego -- a to dlatego, że przy każdej zmianie na lepsze rząd trzyma nas w długiej niepewności, chyba tylko po to, żeby prasa mogła się dłużej zachwycać jak to teraz będzie lepiej -- i drugi dzień z rzędu słyszę "nie mamy połączenia z systemem".

Sytuacja jest o tyle inna od tej, którą opisywałem prawie 2 lata temu (por. "KRS TOTAL DELETE"), że wówczas była zapowiadana konsekracja systemu -- po której system nie powstał -- dziś zaś nawet na stronie Ministerstwa Sprawiedliwości nie ma nawet wzmianki (hmm może to dlatego, że dr Gowin jest filozofem i na wszystko patrzy z pewną taką wstrzemięźliwością? ;-)

Sprawa, w której potrzebuję owego odpisu, może trochę poczekać (ale co by było, gdybym musiał jeszcze dziś wnosić pozew? nie pozostałoby nic innego jak dawać kwity jakie mam i donosić ów nieszczęsny KRS), ale generalna uwaga jest taka: do bani z takimi e-atrakcjami.
Tu akurat -- to moje zdanie -- można było łatwo zapobiec aż takim konsekwencjom: zamiast centralnego serwera, wystarczałoby zezwolić na zapasowe gromadzenie danych w ośrodkach regionalnych (dzięki czemu interesant mógłby chociaż otrzymać odpis z ostatniego dnia przed awarią).
Ale jeśli zaczniemy sobie opowiadać o e-wyborach parlamentarnych, to nawet jeśli przyjmie się jakąś wielostopniową strukturę (od lokalu do komisji okręgowej, do PKW), to przecież awaria choćby jednego z wieluset (wielu tysięcy raczej...) modułów sprawi, że na wyniki elekcji będzie trzeba poczekać. Dołóżmy do tego generalne ryzyko padu większego -- a otrzymujemy całkiem nieciekawy obrazek.

A że nie jest to scenariusz sci-fi: przypomnijmy sobie awarię systemu Pixel podczas liczenia wyników wyborów samorządowych w 2002 r. -- która to awaria do dziś pozwala na budowanie kolejnych spiskowych wizji dziejów. 

 Oceń wpis  oddane głosy: 2 / 0

Po dłuższej przerwie zaczynamy z wysokiego "C": Studenckie Koło Naukowe Prawa Nowych Technologii przy UMK w Toruniu poprosiło mnie o rozpropagowanie wśród P.T. Czytelników tego nieszczęsnego blogaska informacji o konferencji "Ataki sieciowe -- IT, Law, Electronic Evidence", która odbędzie się 5 grudnia 2011 r. w aud. "F" Wydziału Prawa i Administracji UMK.

Jak dowiaduję się z listela nadesłanego przez organizatorów:

Konferencja ma wymiar ogólnopolski i docelowo skierowana jest do osób, które zawodowo zajmują się problematyką cyberprzestępczości i cyberbezpieczeństwa.
Konferencja jest interesująca także ze względu na nowatorskie ujęcie tematu jakim jest połączenie wiedzy informatycznej o istniejących zagrożeniach oraz trendach cyberbezpieczeństwa, wiedzy prawnej o aspektach cyberprzestępczości i podejmowanych rozwiązaniach legislacyjnych oraz wiedzy z zakresu informatyki śledczej o problemach natury dowodowej i ich rozwojowi.
Patronat merytoryczny nad konferencją objął Prof. dr hab. Andrzej Adamski. Planowany jest patronat honorowy Ministra Sprawiedliwości. Patronat honorowy nad Konferencją objął Dziekan Wydziału Prawa i Administracji.

Więcej informacji można znaleźć właśnie na stronie konferencji (AtakiSieciowe.UMK.pl), a zwłaszcza program konferencji, listę prelegentów oraz informacje na temat rejestracji uczestników.
Aha, warto chyba dodać, że organizatorów wspiera Stowarzyszenie Instytut Informatyki Śledczej.

Wydaje mi się, że każdy zainteresowany tematyką bezpieczeństwa w sieci -- niekoniecznie prawnik, ale przecież i admini-sieciowcy, którzy toczą swoje nieustające boje -- powinien wpisać sobie tę datę do kalendarza i wybrać się do Torunia na imprezę.

 Oceń wpis  oddane głosy: 3 / 2

Tytuł dzisiejszego felietonu jest dość psychodeliczny, ale rację ma P.T. Czytelnik, który jakiś czas temu podesłał mi namiary -- co tam namiary! to był w zasadzie gotowy wpis, tylko go wrzucić na stronę i do kasy po wierszówkę iść! -- na KOBIZE, czyli Krajowy Ośrodek Bilansowania i Zarządzania Emisjami.

Ośrodek ten, jak sam o sobie ładnie pisze na swojej stronie, powołany został na podstawie ustawy o systemie zarządzania emisjami gazów cieplarnianych, a jego zadania polegają na zapewnieniu funkcjonowania "Krajowego systemu bilansowania i prognozowania emisji, w tym prowadzenie Krajowej bazy o emisjach gazów cieplarnianych i innych substancji" -- co chyba generalnie sprowadza się do prowadzenia jakiejś tam bazy internetowej, do której przedsiębiorcy muszą dosyłać informacje dotyczące tejże emisji. (Zainteresowanych albo po prostu cierpiących na bezsenność odsyłam na tę stronę.)

Stronka jest tak ważna, że sposób jej funkcjonowania doczekał się nawet własnego aktu wykonawczego, tj. wydanego w dniu 28 grudnia 2010 r. przez Ministra Środowiska rozporządzenia w sprawie wzoru formularza raportu oraz sposobu jego wprowadzania do Krajowej bazy o emisjach gazów cieplarnianych i innych substancji.
Czytamy w nim m.in., iż przedsiębiorca wprowadza raport o emisji za pośrednictwem strony internetowej krajowabaza.kobize.pl, że oczywiście najsamprzód należy założyć tam konto (acz wniosek o założenie konta w KOBIZE należy przesłać "w postaci elektronicznej, za pośrednictwem strony internetowej, oraz w formie pisemnej" (to uwaga cenna dla tych z P.T. Czytelników, którzy niedawno się zapierali, że przecież "internet" to też "pismo"). Po rozpoznaniu takiego wniosku KOBIZE nadaje użytkownikowi login i hasło (zaskakujące, prawda?), w konsekwencji czego można już sobie wprowadzać do bazy różne dane "w trybie bezpośredniego połączenia teleinformatycznego" (w sumie wygląda to jakby na jakimś seminarium na wydziale prawa próbowano opisać procedurę rejestracji w Facebooku ;-)

Generalnie ma być nowocześnie, internetowo, formularzowo i w ogóle zarąbiście.
Ale było chyba -- dla niektórych (wielu?) -- zbyt internetowo i zbyt nowocześnie. I tu zaczyna się coś najśmieszniejszego: otóż pieczołowicie rozpisana przez ministra od świeżego powietrza procedura... rozsypała się jak domek ze znaczonych kart.

Najpierw okazało się, że przepisy są zbyt rygorystyczne -- ale zamiast zmieniać przepisy... "Kierownictwo Ministerstwa Środowiska zaakceptowało propozycję Krajowego Ośrodka Bilansowania i Zarządzania Emisjami dotyczącą czasowego (na najbliższe dwa lata) ograniczenia podmiotów wprowadzających raporty do Krajowej bazy do prowadzących instalacje, którzy na terenie zakładu eksploatują co najmniej jedną instalację wymagającą pozwolenia zintegrowanego lub pozwolenia na wprowadzanie gazów lub pyłów do powietrza" (to cytat za wyjaśnieniami "uproszczenie -- dla małych podmiotów" -- por. komunikat KOBIZE z 3 stycznia 2011 r.).
Znaczy się jest teraz tak, że wprawdzie rozporządzenie każe, ale pan minister od świeżego powietrza napisał do KOBIZE, i KOBIZE już nie każe...

Za łaskawą decyzją Ministra Środowiska i KOBIZE poszły dalsze czyny w duchu deregulacji. Już 21 stycznia pojawiła się kolejna notatka ("w związku z licznymi telefonami" ROTFL), w której wyraźnie napisano, żeby małe podmioty się odczepiły od KOBIZE -- pewnie ktoś się wystraszył potencjalnej lawiny wniosków o założenie konta w bazie -- więc jeszcze raz potwierdzono, że owszem, że rozporządzenie może i nakazuje przesyłanie danych przez stronę, ale generalnie to nikt nie zamierza traktować tego poważnie i odtąd jedyną przyjętą formą dla "małych podmiotów" jest "formularz w formacie Excel" (w sumie piękna reklama, ale KOBIZE chyba wie na czym świat stoi, bo w innych miejscach można znaleźć reklamy Adobe).

Muszę przyznać, że rzadko spotyka się instytucje działające na podstawie "dedykowanego" mu prawa (mam na myśli owo rozporządzenie ministra od świeżego powietrza), które tak jawnie i wprost namawiają do łamania prawa innych adresatów tej normy.

Generalnie jest to doskonały przykład dobrze pojmowanej samoregulacji urzędniczej (możliwe chyba tylko w świeżo upieczonych instytucjach -- po 5 latach funkcjonowania KOBIZE raczej żądałoby wpisania sankcji karnej za niemanie konta w systemie): zły przepis zwalczaj choćby ogniem, a na pewno ignoruj go jak tylko się da. Kazali zakładać konta w systemie? Olej to, wystarczy tabelka w Excelu.

A w praktyce wygląda to teraz tak: po lewej system "na legalu", po prawej partyzantka KOBIZE.

To genialne w swojej prostocie rozwiązanie chciałem dedykować wszystkim modernizatorom, którym marzy się: nagrywanie rozpraw sądowych, sądzenie kiboli stadionowych przez telewizor, a także dowód osobisty "z czipem" (ponoć MSWiA już wie, że nie zdąży na zapowiadany termin) czy internetowa promulgacja aktów prawnych.

 Oceń wpis  oddane głosy: 2 / 0

Nigdy nie sądziłem, że przyjdzie mi tu pisać o Politechnice Wrocławskiej w takim kontekście: wskutek zaniedbań w zabezpieczeniach systemu e-dziekanat powstał przemknął serwis, w którym można było oceniać losowo zestawione zdjęcia studentek tej uczelni (ponoć od czegoś podobnego zaczynał kiedyś twórca Facebooka -- nie wiem, nie znam się, nie interesuje mnie to).

O aspektach technicznych sprawy więcej pisze Niebezpiecznik w tekście "FaceMash, czyli wyciek danych z Politechniki Wrocławskiej" -- wydaje mi się, że ciekawe jest to, że nie doszło do skopiowania zbioru, lecz ów "rozrywkowy" serwis czerpał pliki ze zdjęciami na bieżąco, a więc cały czas miał nieskrępowany dostęp do bazy Politechniki (e-dziekanat to dziecko... Sygnity! -- co za wstyd...) -- mnie jednak, rzecz jasna, bardziej interesuje aspekt prawny zdarzenia.

Oto dowiadujemy się, że PWr -- oprócz tego, że pracownicy próbowali namierzyć osobę, która "wykorzystała lukę w systemie" (ba, do mnie nawet doszły plotki, że nie mogąc poradzić sobie z wyciekiem danych posłużyli się... atakiem DDoS...) -- rozważa powiadomienie prokuratury o "wykradzeniu" zdjęć.
Gdybym był żakiem na tej uczelni pomyślałbym, że to uroczo z ich strony -- faktycznie może i warto zbadać czy nie doszło do naruszenia przepisów o ochronie danych osobowych (chociaż jeśli po stronie FaceMashPWR nie doszło do powstania zbioru, nie można twórcom serwisu stawiać zarzutów z art. 49 ust. 1 UoODO!), no i mamy uroczy przepis penalizujący nieautoryzowany dostęp do informacji, nawet jeśli nie wymagało to przełamania jakichkolwiek zabezpieczeń (tak, to ten sam uroczy art. 267 par. 1 kodeksu karnego). 

Niestety, musiałbym także brać pod uwagę przepisy nakazujące administratorowi danych osobowych -- którym jest, jakby na to nie patrzeć, Politechnika Wrocławska -- prawidłowe zabezpieczenie zbioru. Z ryzykiem, że jeśli owo zabezpieczenie nie było prawidłowe, zaniedbania mogą być oceniane z perspektywy art. 51 ust. 2 lub art. 52 ustawy o ochronie danych osobowych. Warto bowiem pamiętać, że status administratora danych osobowych wiąże się także z pewnymi powinnościami, tj. z obowiązkiem zapewnienia przetwarzanym danym osobowym odpowiedniego poziomu bezpieczeństwa -- a to pod rygorem odpowiedzialności karnej.
Skoro zatem (choćby wskutek niedociągnięć po stronie wykonawcy) mogła zaistnieć sytuacja, w której osoba postronna miała bieżący (!) dostęp do danych, to nawet jeśli nie doszło do skopiowania oryginalnego zbioru, administrator może mieć kłopot z prawem.

PS zrzut ekranu powyżej pociągnięty za Niebezpiecznikiem.

 Oceń wpis  oddane głosy: 1 / 1

Złapawszy znów fazę na pstrykanie nie zauważyłbym projektu ustawy o zmianie ustawy o ogłaszaniu aktów normatywnych wymyślonego przez Rządowe Centrum Legislacji, gdyby nie napisał o tym nieoceniony Vagla.

Racja: dodając art. 2a ust. 2 do obowiązującej ustawy: 

Dzienniki urzędowe, z wyłączeniem Dziennika Urzędowego Rzeczypospolitej Polskiej „Monitor Polski B”, wydaje się w formie elektronicznej.

projekt ustawy eliminuje papierowe egzemplarze Dziennika Ustaw RP i pozostawia je wyłącznie w formie publikacji elektronicznej (internetowej). Forma papierowa (dosłownie) zostaje tylko na czarną godzinę (art. 23a) -- pewnie na czas powodzi albo godzinę "W".

Komputerowcy się cieszą, ja też powinienem się cieszyć... ale nie byłoby tekstu, jakbym nie miał w zanadrzu szpili.

Ja po prostu uważam, że taka nowoczesność to jest robienie z ludzi wała. Owszem, nie ma nic durniejszego, niż stos siejących pylicą roczników Dz.U. -- widok to przerażający, deprymujący i irytujący -- ale świadomość, że ktoś chce ograniczyć możliwość (ba: prawo, i to konstytucyjne) do zapoznania się z obowiązującym prawem wyłącznie do osób, które posiadają komputer, w dodatku podłączony do internetów -- sprawia, że krew mnie zalewa.

Super, bym powiedział, wprawdzie nie ma jeszcze ustawy o tym, że każdy z nas musi mieć komputer (jakże ułatwiłoby to życie różnym służbom, w tym także mojemu ulubionemu wrzodowi IVRP, który w 3/4RP czuje się nie mniej doskonale), ale jeśli ta zbieranina szumnie zwana ustawodawcą przegłosuje taki przepis, rychło okaże się, że nie będą już potrzebni prawnicy (w dużym uproszczeniu -- osobiście bardzo bym chciał, żeby legislatura tak pisała ustawy, by do ich czytania prawnik nie był nikomu potrzebny), będą trzeba mieć komputer.

Tak, ja rozumiem, że szkoda papieru, że wieszcząc nieuniknione -- w przypadku dzienników w ciągu 5-7 lat -- zejście prasy papierowej, dziwnie jakoś denerwować się, że publikatory aktów normatywnych wychodzą z ograniczeń 15-wiecznej formy, ale z drugiej strony ogarnia mnie jakiś niepokój.

PS na zdjęciu alegoryczne przedstawienie tego, co nasz Lewiatan z nami robi -- przy burzliwych oklaskach pożeranych. Pamiętajcie o tym także 20 czerwca!