İki haftadan kısa bir sürede, Arjantin bir dizi kişisel veri sızıntısı yaşadı büyük büyüklükte. Nisan ayı başlarında bir siber suçlu, Renaper'ın 115 binden fazla çalıntı fotoğrafını yayınladı. İki hafta sonra Arjantin'deki ehliyetlerin neredeyse 6 milyon görseli çalındı ve dağıtıldı. Geçen hafta perşembe günü başka bir saldırgan 65 milyon kayıttan oluşan bir veri tabanı yayınladı. Renaper.
Bu tür bir durumda, diğer nedenlerin yanı sıra, Libre Vakfı aracılığıyla– Vatandaşların dijital haklarının korunması için mücadele veren kuruluş, dosya formatında bir rapor sundu. Devletten daha fazla sorumluluk talep ediyorlar. Vakfın başkanı, gizlilik ve bilgi edinme hakkı uzmanı Beatriz Busaniche tarafından yürütülen sunumda, kişisel verilerin işlenmesi açısından hayati önem taşıyan üç alanda uzmanlar yer aldı.
Busaniche, “Proje, Indela girişimi Avina'nın desteğiyle geliştirilen Sızdırılan Veri çalışma programının bir parçası” diye açıkladı.
Siber güvenlik ortamında (İngilizce'de söylendiği gibi) bilinen filtrelemeler veya “sızıntılar”, bir Devletin, şirketin veya kuruluşun kamuya açıklanması amaçlanmayan belirli dahili bilgilerinin açıklandığı anlamına gelir. Kişisel veriler, aşağıdakiler de dahil olmak üzere çeşitli türde siber suçların işlenmesi amacıyla pazarlanmaktadır: kimlik sahtekarlığıYetkisiz erişim elde etmek veya sosyal mühendislik gerçekleştirmek için kullanılabilir.
Ancak tehlikeler bu spesifik dolandırıcılıkların ötesine geçiyor. Rapor, yalnızca devletin sorumluluğuyla değil, aynı zamanda Arjantin'deki yasaların nasıl olduğuyla da ilgili olan temel sorunları vurguluyor: Belgemdeki veriler sızdırılırsa ne olur? Kime şikayet edebilirsiniz? Yaşanabilecek olası zararlardan kim sorumludur?
Burada sunuma, Arjantin panoramasına ve çevrimiçi olarak okunacak tam metin:
Devlet neden (bu kadar çok) bilgi topluyor?
Vía Libre dosyasının fikri, Devlette veri yönetimi üzerine çalışmayı amaçlıyor. “Devletin kimlik belirleme politikalarına, politikalarının nasıl olduğuna dair tarihsel bir bakış açısı var. İD Busaniche, “Busaniche,” diye açıkladı.
Sunumda kişisel verilerin doğasını anlamaya adanmış, her biri farklı bakış açılarına sahip üç konuşmacı vardı. İlk konuşan Fundación Vía Libre'de kamu politikalarından sorumlu avukat Margarita Trovato oldu. Ülkedeki veri toplama tarihinin incelenmesi. Devletin hangi bilgilere erişimi var? Teknolojinin ilerlemesi, veri hacmini nasıl değiştirdi ve çağlarda ne gibi potansiyel yeni sorunlar ortaya çıktı? Büyük veri?
“Doğal olarak Devlet kişisel verileri topluyor; Başlangıçta bir tescil meselesi için ve daha sonra yıllar içinde çeşitli işlevlerle, örneğin kamu politikaları üretmek için. Bu süre zarfında veri toplama, işleme ve depolama teknolojisi, toplanan veri türü de dahil olmak üzere büyük bir hızla gelişti (düşünün). biyometri) ancak düzenleyici çerçeve aynı: 25.326 sayılı kişisel verilerin korunması kanunumuz 2000 yılından kalmadır,” diye açıkladı uzman bu ortama.
Elbette, zaten 24 yaşında olan bir yasa “modası geçmiş ve anakronikti”, ancak belirli asgari garantileri koruyor. “Devletin kişisel verilerimizle yapabilecekleri konusunda açık sınırlamaları olduğunu biliyoruz: hiçbir durumda anayasal hakları ihlal edemez gizlilik, mahremiyet, bilgi konusunda kendi kaderini tayin hakkı, güvenlik, şeffaflık, bunlardan birkaçını saymak gerekirse, bunlar da başkalarının uygulamaları için bir koşuldur” diye ekledi.
Bu anlamda, onay Bunun kaçınılmaz bir başlangıç noktası olduğunu hatırlattı: Vatandaşın Devlete sağlamaya aktif olarak karar vermesi gereken belirli veriler olduğunu ve bunların talep edildiği anda amaçlanan amaç dışında bile kullanılamayacağını hatırlattı.
Ama en ilginç olanı devletin görevidir. güvenlik ve gizlilik: Son birkaç yıldır Arjantin devlet kurumları, siber güvenlik ortamında dedikleri gibi “breakada” (sızdırıldı, saldırıya uğradı): ülke halkını yerinden eden bir fidye yazılımına maruz kalan Ulusal Göç Müdürlüğü'nden Senato'ya kadar. Milletin, yasa koyucuların veya Buenos Aires Yasama Meclisinin dahili belgelerini ifşa etmesi.
Trovato'ya göre sorun şu ki, veri korumayla ilgili “pratikte bu ilkelerden sapmaya yol açan boşluklar” var. Açıklamak:
1) İlk büyük sorun, malikin rızasına ilişkin istisnalar rejimidir. Eyalet kesinlikle gerekli olandan daha fazla veri toplamamalı veya saklamamalıdır yürüttüğü kamu politikası için geçerlidir, ancak yasa ona bunu yapması için yer bırakmaktadır.
2) Bunu yasadaki başka bir eksiklikle birleştirirsek, bu durum daha da endişe verici hale gelir: çok az özerkliğe sahip bir kontrol otoritesi yaratırkurumsal olarak zayıf ve şu anda Kamu Bilgisine Erişim Ajansı'nda (AAIP) yoğunlaşmış olup, adından da anlaşılacağı gibi tamamen farklı bir yapıya ve teknik özelliğe sahiptir.
3) Son olarak, aynı çizgide olmasına rağmen, yasa aynı zamanda hangi güvenlik önlemlerinin alınması gerektiğini veya kamu yetkililerinin bir güvenlik olayı (örneğin bir sızıntı) karşısında nasıl davranması gerektiğini açıkça tanımlamamaktadır; diğer bölgeler zaten çözülmüş durumda [Chile, por ejemplo, que en enero aprobó una Ley Macro sobre Ciberseguridad].
“Cro-Magnon bilgisayarına doğru gidiyoruz”
İkinci sunum ise üyemiz Tomás Pomar tarafından yapıldı. Arjantin Bilgisayar Hukuku Gözlemevi (ODIA), vatandaşların haklarının ihlaline ilişkin uyarı geçmişi olan bir kuruluş (Buenos Aires Şehrindeki yüz tanıma gibi). Avukat, eyalet içi kurumlar arasında veri aktarımının mevcut zorluklarını vurguladı.
“Yeterli düzenleyici çerçevenin bulunmaması, Etkili adli kontrollerin olmayışı ve konuyla ilgili geniş bir siyasi fikir birliği geliştirmenin imkansızlığı ile birleştiğinde, patlayıcı kokteyl. Bunlar için sızıntılarEyaletin bilgisayar sistemlerinin sürekli erozyonunu ve artan sızıntıların yandığı uyarı ışıklarını analiz ederken, bunun aciliyetini ODIA'ya iletme ihtiyacına inanıyoruz ve genellikle bir çözüme doğru gittiğimizi öneriyoruz. Bilgisayar Cro-Magnon“Pomar söyledi Zurna.
Referans, 30 Aralık 2004'te Buenos Aires şehrinde 194 kişinin ölümüne yol açan Cro-Mañón Trajedisi ile bir benzetmedir.
“Vatandaşlara somut fiziksel zarar verebilecek potansiyel bir siber olayı 'Bilgisayar Cro-Magnon' olarak tanımlıyoruz. Bu tanımdan Renaper bu kategoriye girmeyecektir, ancak bir örnek vermek gerekirse, aldığımız şey şu olacaktır: Sıhhi su sistemleri gibi kritik altyapıya saldırı hatta havacılık kontrol kuleleri bile var” diye açıkladı.
Kişisel verilerin korunması konusunda uzman avukat şu sonuca vardı: “Bu, en klasik anlamda bir 'trajedi'dir, ancak bir bilgisayar saldırısından ve diğer birçok durumda olduğu gibi, bu konuda sorumluluk sahibi yetkililerin ilgisizliği ve ihmalinden kaynaklanmıştır.” Bu, 2021'de Amerika Birleşik Devletleri'ndeki enerji şirketi Colonial Pipeline'da olduğu gibi OT (Operasyon Teknolojisi) sektörü olarak bilinen sektördür.
Son olarak San Andrés Üniversitesi Hukuk profesörü ve Allende & Brea'nın teknolojik hukuk alanındaki ortağı Pablo Palazzi, hangi yasaların Devleti sızıntılara karşı daha şeffaf olmaya zorlayabileceğini açıkladı.
Öncelikle bölgenin zorluğunu fark etti: “Siber güvenlikten bahsettiğinizde, kendinizi savunmaktan bahsediyorsunuz. Her zaman kendinizi savunuyorsunuz ve bu, saldırıya geçmekten daha zor. Herkesi hackleyebilirler: güvenlik bir süreçtir, bir ürün değildir” dedi sunumun bir bölümünde.
Şu anda bu tür bir sızıntı durumunda Devletin AAIP'yi bilgilendirmesi gerekiyor. Ancak 2022'nin sonunda Kongre bir yasayı onayladı. 108+ adı verilen anlaşma Bu, yürürlüğe girmesi için diğer ülkelerin spesifikasyonlarını gerektirmesine rağmen, aynı zamanda kuruluşların bu olayları kamuoyuna duyurmasını da teşvik etmektedir.
“108+ anlaşması henüz yürürlüğe girmedi ama olay bildirimleriyle ilgili bir makale Arjantin'de doğrudan uygulanabileceği üzere, olayların rapor edilmesinin zorunlu olacağı konusunda güvenlik önlemleri alındı. Yani, olayları bildirmek için şu anda Kongre'de olan bir yasa tasarısının gelmesini beklememize gerek kalmayacaktır: doğrudan uygulanabilir olduğundan, Arjantin veri ihlali bildirimi”Palazzi kapandı.
Güvenlik olayları ülkede çeşitli sektörleri endişelendiriyor. En son Renaper vakası göz önüne alındığında, en büyük korkulardan biri, kişilerin kayıtlarını inceleyen çok sayıda hizmetle ilgiliydi. Veri koruma, siber güvenlik ve bilgi güvenliği, giderek küçültülmek bir yana, giderek artan bir sorun haline geliyor. derinleşir.
Kanun, insanların dijital hakları ile teknolojik ilerleme arasında açık bırakılan uçurumu düzeltmeye çalışıyor, hayatlarımızı giderek daha da kolaylaştırdığı doğru, ama aynı zamanda siber suçluların da.
Sunumun tamamına şu bağlantıdan ulaşabilirsiniz:
Bu tür bir durumda, diğer nedenlerin yanı sıra, Libre Vakfı aracılığıyla– Vatandaşların dijital haklarının korunması için mücadele veren kuruluş, dosya formatında bir rapor sundu. Devletten daha fazla sorumluluk talep ediyorlar. Vakfın başkanı, gizlilik ve bilgi edinme hakkı uzmanı Beatriz Busaniche tarafından yürütülen sunumda, kişisel verilerin işlenmesi açısından hayati önem taşıyan üç alanda uzmanlar yer aldı.
Busaniche, “Proje, Indela girişimi Avina'nın desteğiyle geliştirilen Sızdırılan Veri çalışma programının bir parçası” diye açıkladı.
Siber güvenlik ortamında (İngilizce'de söylendiği gibi) bilinen filtrelemeler veya “sızıntılar”, bir Devletin, şirketin veya kuruluşun kamuya açıklanması amaçlanmayan belirli dahili bilgilerinin açıklandığı anlamına gelir. Kişisel veriler, aşağıdakiler de dahil olmak üzere çeşitli türde siber suçların işlenmesi amacıyla pazarlanmaktadır: kimlik sahtekarlığıYetkisiz erişim elde etmek veya sosyal mühendislik gerçekleştirmek için kullanılabilir.
Ancak tehlikeler bu spesifik dolandırıcılıkların ötesine geçiyor. Rapor, yalnızca devletin sorumluluğuyla değil, aynı zamanda Arjantin'deki yasaların nasıl olduğuyla da ilgili olan temel sorunları vurguluyor: Belgemdeki veriler sızdırılırsa ne olur? Kime şikayet edebilirsiniz? Yaşanabilecek olası zararlardan kim sorumludur?
Burada sunuma, Arjantin panoramasına ve çevrimiçi olarak okunacak tam metin:
Devlet neden (bu kadar çok) bilgi topluyor?
Vía Libre dosyasının fikri, Devlette veri yönetimi üzerine çalışmayı amaçlıyor. “Devletin kimlik belirleme politikalarına, politikalarının nasıl olduğuna dair tarihsel bir bakış açısı var. İD Busaniche, “Busaniche,” diye açıkladı.
Sunumda kişisel verilerin doğasını anlamaya adanmış, her biri farklı bakış açılarına sahip üç konuşmacı vardı. İlk konuşan Fundación Vía Libre'de kamu politikalarından sorumlu avukat Margarita Trovato oldu. Ülkedeki veri toplama tarihinin incelenmesi. Devletin hangi bilgilere erişimi var? Teknolojinin ilerlemesi, veri hacmini nasıl değiştirdi ve çağlarda ne gibi potansiyel yeni sorunlar ortaya çıktı? Büyük veri?
“Doğal olarak Devlet kişisel verileri topluyor; Başlangıçta bir tescil meselesi için ve daha sonra yıllar içinde çeşitli işlevlerle, örneğin kamu politikaları üretmek için. Bu süre zarfında veri toplama, işleme ve depolama teknolojisi, toplanan veri türü de dahil olmak üzere büyük bir hızla gelişti (düşünün). biyometri) ancak düzenleyici çerçeve aynı: 25.326 sayılı kişisel verilerin korunması kanunumuz 2000 yılından kalmadır,” diye açıkladı uzman bu ortama.
Elbette, zaten 24 yaşında olan bir yasa “modası geçmiş ve anakronikti”, ancak belirli asgari garantileri koruyor. “Devletin kişisel verilerimizle yapabilecekleri konusunda açık sınırlamaları olduğunu biliyoruz: hiçbir durumda anayasal hakları ihlal edemez gizlilik, mahremiyet, bilgi konusunda kendi kaderini tayin hakkı, güvenlik, şeffaflık, bunlardan birkaçını saymak gerekirse, bunlar da başkalarının uygulamaları için bir koşuldur” diye ekledi.
Bu anlamda, onay Bunun kaçınılmaz bir başlangıç noktası olduğunu hatırlattı: Vatandaşın Devlete sağlamaya aktif olarak karar vermesi gereken belirli veriler olduğunu ve bunların talep edildiği anda amaçlanan amaç dışında bile kullanılamayacağını hatırlattı.
Ama en ilginç olanı devletin görevidir. güvenlik ve gizlilik: Son birkaç yıldır Arjantin devlet kurumları, siber güvenlik ortamında dedikleri gibi “breakada” (sızdırıldı, saldırıya uğradı): ülke halkını yerinden eden bir fidye yazılımına maruz kalan Ulusal Göç Müdürlüğü'nden Senato'ya kadar. Milletin, yasa koyucuların veya Buenos Aires Yasama Meclisinin dahili belgelerini ifşa etmesi.
Trovato'ya göre sorun şu ki, veri korumayla ilgili “pratikte bu ilkelerden sapmaya yol açan boşluklar” var. Açıklamak:
1) İlk büyük sorun, malikin rızasına ilişkin istisnalar rejimidir. Eyalet kesinlikle gerekli olandan daha fazla veri toplamamalı veya saklamamalıdır yürüttüğü kamu politikası için geçerlidir, ancak yasa ona bunu yapması için yer bırakmaktadır.
2) Bunu yasadaki başka bir eksiklikle birleştirirsek, bu durum daha da endişe verici hale gelir: çok az özerkliğe sahip bir kontrol otoritesi yaratırkurumsal olarak zayıf ve şu anda Kamu Bilgisine Erişim Ajansı'nda (AAIP) yoğunlaşmış olup, adından da anlaşılacağı gibi tamamen farklı bir yapıya ve teknik özelliğe sahiptir.
3) Son olarak, aynı çizgide olmasına rağmen, yasa aynı zamanda hangi güvenlik önlemlerinin alınması gerektiğini veya kamu yetkililerinin bir güvenlik olayı (örneğin bir sızıntı) karşısında nasıl davranması gerektiğini açıkça tanımlamamaktadır; diğer bölgeler zaten çözülmüş durumda [Chile, por ejemplo, que en enero aprobó una Ley Macro sobre Ciberseguridad].
“Cro-Magnon bilgisayarına doğru gidiyoruz”
İkinci sunum ise üyemiz Tomás Pomar tarafından yapıldı. Arjantin Bilgisayar Hukuku Gözlemevi (ODIA), vatandaşların haklarının ihlaline ilişkin uyarı geçmişi olan bir kuruluş (Buenos Aires Şehrindeki yüz tanıma gibi). Avukat, eyalet içi kurumlar arasında veri aktarımının mevcut zorluklarını vurguladı.
“Yeterli düzenleyici çerçevenin bulunmaması, Etkili adli kontrollerin olmayışı ve konuyla ilgili geniş bir siyasi fikir birliği geliştirmenin imkansızlığı ile birleştiğinde, patlayıcı kokteyl. Bunlar için sızıntılarEyaletin bilgisayar sistemlerinin sürekli erozyonunu ve artan sızıntıların yandığı uyarı ışıklarını analiz ederken, bunun aciliyetini ODIA'ya iletme ihtiyacına inanıyoruz ve genellikle bir çözüme doğru gittiğimizi öneriyoruz. Bilgisayar Cro-Magnon“Pomar söyledi Zurna.
Referans, 30 Aralık 2004'te Buenos Aires şehrinde 194 kişinin ölümüne yol açan Cro-Mañón Trajedisi ile bir benzetmedir.
“Vatandaşlara somut fiziksel zarar verebilecek potansiyel bir siber olayı 'Bilgisayar Cro-Magnon' olarak tanımlıyoruz. Bu tanımdan Renaper bu kategoriye girmeyecektir, ancak bir örnek vermek gerekirse, aldığımız şey şu olacaktır: Sıhhi su sistemleri gibi kritik altyapıya saldırı hatta havacılık kontrol kuleleri bile var” diye açıkladı.
Kişisel verilerin korunması konusunda uzman avukat şu sonuca vardı: “Bu, en klasik anlamda bir 'trajedi'dir, ancak bir bilgisayar saldırısından ve diğer birçok durumda olduğu gibi, bu konuda sorumluluk sahibi yetkililerin ilgisizliği ve ihmalinden kaynaklanmıştır.” Bu, 2021'de Amerika Birleşik Devletleri'ndeki enerji şirketi Colonial Pipeline'da olduğu gibi OT (Operasyon Teknolojisi) sektörü olarak bilinen sektördür.
Son olarak San Andrés Üniversitesi Hukuk profesörü ve Allende & Brea'nın teknolojik hukuk alanındaki ortağı Pablo Palazzi, hangi yasaların Devleti sızıntılara karşı daha şeffaf olmaya zorlayabileceğini açıkladı.
Öncelikle bölgenin zorluğunu fark etti: “Siber güvenlikten bahsettiğinizde, kendinizi savunmaktan bahsediyorsunuz. Her zaman kendinizi savunuyorsunuz ve bu, saldırıya geçmekten daha zor. Herkesi hackleyebilirler: güvenlik bir süreçtir, bir ürün değildir” dedi sunumun bir bölümünde.
Şu anda bu tür bir sızıntı durumunda Devletin AAIP'yi bilgilendirmesi gerekiyor. Ancak 2022'nin sonunda Kongre bir yasayı onayladı. 108+ adı verilen anlaşma Bu, yürürlüğe girmesi için diğer ülkelerin spesifikasyonlarını gerektirmesine rağmen, aynı zamanda kuruluşların bu olayları kamuoyuna duyurmasını da teşvik etmektedir.
“108+ anlaşması henüz yürürlüğe girmedi ama olay bildirimleriyle ilgili bir makale Arjantin'de doğrudan uygulanabileceği üzere, olayların rapor edilmesinin zorunlu olacağı konusunda güvenlik önlemleri alındı. Yani, olayları bildirmek için şu anda Kongre'de olan bir yasa tasarısının gelmesini beklememize gerek kalmayacaktır: doğrudan uygulanabilir olduğundan, Arjantin veri ihlali bildirimi”Palazzi kapandı.
Güvenlik olayları ülkede çeşitli sektörleri endişelendiriyor. En son Renaper vakası göz önüne alındığında, en büyük korkulardan biri, kişilerin kayıtlarını inceleyen çok sayıda hizmetle ilgiliydi. Veri koruma, siber güvenlik ve bilgi güvenliği, giderek küçültülmek bir yana, giderek artan bir sorun haline geliyor. derinleşir.
Kanun, insanların dijital hakları ile teknolojik ilerleme arasında açık bırakılan uçurumu düzeltmeye çalışıyor, hayatlarımızı giderek daha da kolaylaştırdığı doğru, ama aynı zamanda siber suçluların da.
Sunumun tamamına şu bağlantıdan ulaşabilirsiniz: