Instituţiile şi legile statului cu privire la cardurile biometrice de identitate şi de sănătate, partea III. Informaţii PUBLICE obţinute de la Direcţia Generală de Paşapoarte

Cererea mea de informaţii de interes public a fost înregistrată cu nr. 1856008/2 în data de 6 ianuarie  2014. În 15.01.2014, DGP a formulat un răspuns pe care mi l-a trimis prin e-mail. Mai jos, am organizat răspunsurile pe subcapitole primite de la dl. dr. Aurel Vasile Sime, chestor de poliţie şi director general al DGP. De asemenea, am prezentat o serie din întrebările puse – mai ales cele la care nu am primit răspuns satisfăcător. 

  

CNAS este creierul, CNUPPE este mâinile

Conform art.270 alin.(1)1 dinLegea nr. 95/2006 privind reforma în domeniul sănătăţii, cu modificările şi completările ulterioare, Casa Naţională de Asigurări de Sănătate (C.N.A.S.) organizează şi administrează sistemul naţional al cardului de asigurări sociale de sănătate.

Conform art. 3381 alin. (3) din Legea nr.95/2006, ,,Personalizarea cardului naţional de asigurări sociale de sănătate se realizează de către Centrul Naţional Unic de Personalizare a Paşapoartelor Electronice din cadrul Direcţiei Generale de Paşapoarte, structură componentă a Ministerului Afacerilor Interne”, fiind un proces centralizat.

Conform art. 4 alin. (2) din Normele metodologice de aplicare a prevederilor referitoare la cardul naţional de asigurări sociale de sănătate din titlul IX „Cardul european şi cardul naţional de asigurări sociale de sănătate” din Legea nr. 95/2006, aprobate prin H.G. nr. 900/2012, ,,Informaţiile minime necesare personalizării cardului naţional de sănătate, în condiţiile legii, se pun la dispoziţia Centrului Naţional Unic, de către Casa Naţională de Asigurări de Sănătate.”

Procedura, modul de lucru precum şi responsabilităţile ce revin părţilor în cadrul procesului de personalizare a cardului naţional de asigurări sociale de sănătate sunt reglementate de protocolul de colaborare încheiat între Direcţia Generală de Paşapoarte, Casa Naţională de Asigurări de Sănătate şi Compania Naţională ,,Imprimeria Naţională” – S.A., protocol care se completează cu contractul de împuternicire încheiat între C.N.A.S. şi D.G.P. care stabileşte drepturile şi obligaţiile părţilor în activitatea de prelucrare a datelor personale în cadrul procesului de personalizare a cardurilor de sănătate, precum şi modalităţile de asigurare a securităţii prelucrărilor şi de respectare a drepturilor persoanei vizate.

Documentul de cooperare a fost încheiat având în vedere normele legale 1 în vigoare ce reglementează competenţele instituţiilor cu atribuţii în materia cardului naţional de asigurări sociale de sănătate, precum şi ţinând cont de actele normative ce reglementează protecţia datelor cu caracter personal respectiv, Legea nr.677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, şi instrucţiunile MAI nr.27/2010 privind măsurile de natură organizatorică şi tehnică pentru asigurarea securităţii prelucrărilor de date cu caracter personal efectuate de către structurile/unităţile Ministerului Afacerilor Interne.

Modelul cardului naţional de asigurări sociale de sănătate şi datele înscrise pe acesta sunt prevăzute de Ordinul nr. 633/2012 al preşedintelui Casei Naţionale de Asigurări de Sănătate, cu modificările şi completările ulterioare. Personalizarea cardurilor naţionale de asigurări sociale de sănătate presupune utilizarea unei tehnologii prin care, pe blanchetă, se înscriu datele de identificare ale fiecărui asigurat. Cardul este transmis de la Compania Naţională ,,Imprimeria Naţională” – S.A. ca blanchetă care conţine elemente de siguranţă şi rubrici pretipărite (pe avers – nume, prenume, cod asigurat, număr document, data expirării, pe revers – informaţii utile), iar de la D.G.P. acesta pleacă personalizat cu datele de identificare ale siguratului înscrise la rubricile pretipărite menţionate mai sus.

În conformitate cu prevederile art.4 alin.(3) din H.G. nr. 900/2012, după personalizarea cardurilor naţionale de către Centrul Naţional Unic de Personalizare a Paşapoartelor Electronice acestea sunt predate Companiei Naţionale „Imprimeria Naţională” – S.A.

Până la data de 31.12.2013, la nivelul Centrului Naţional Unic de Personalizare a Paşapoartelor Electronice din cadrul Direcţiei Generale de Paşapoarte au fost personalizate 4.056.575 de carduri naţionale de asigurări sociale de sănătate.

  

Securitatea tehnică a datelor din documentele biometrice – întrebările mele

Am formulat o serie de întrebări cu privire la securitatea tehnică a cardurilor naţionale de asigurat. În general, DGP mi-a răspuns că nu cade în sarcina lor să se ocupe de detaliile tehnice privind securitatea acestora – ATENŢIE! – asta nu înseamnă că DGP nu are protocoale de securitate – am stabilit deja în articolul precedent detalii referitoare la acestea. Pentru detalii, vă rog să citiţi cu atenţie răspunsul primit.

În condiţiile în care DGP gestionează cardurile naţionale de asigurat pentru personalizare, vă rog să răspundeţi la următoarele întrebări privind securitatea tehnică a acestor carduri:

  • Pot fi terminalele cititoare de carduri atacate si sau modificate pentru a favoriza scurgerea de date, similar cum POS-urile pot fi compromise?

  • Ce se intampla daca intreg sistemul este compromis? – Vor fi prompt inlocuite cardurile tuturor cetatenilor? Cine raspunde de deciziile luate acum si cine suporta costurile inlocuirii?

  • Ce se intampla daca din neatentie se zgarie antena si cardul devine neoperabil din punct de vedere electronic?

  • Ce se intampla daca accidental cardul naţional de asigurat este defectat de catre un camp electromagnetic prea puternic pe langa care trece un asigurat – ţinând cont că notiuni elementare de fizica ne spun ca un camp electromagnetic oscilant genereaza prin inductie curenti electrici cu atat mai puternici cu cat campul este mai puternic ?

  • Daca cineva neautorizat reuseste sa ia datele unui cetăţean de pe cardul naţional de asigurat, poate fi condamnat pentru acces ilegal la sistem informatic?

  • Care sunt mijloacele prin care cardul naţional de sănătate este protejat împotriva fiecăruia din următoarele metode de atacuri asupra cardurilor contactless/RFID: Eavesdropping, Covert Transactions, Tracking, Man-in-the-Middle, Side-Channel Attacks?

În condiţiile în care DGP este o instituţie abilitată să gestioneze cărţile de identitate vă rog să răspundeţi la următoarele întrebări privind securitatea tehnică a acestor cărţi de identitate:

  • Pot fi terminalele cititoare de cărţi de identitate atacate si sau modificate pentru a favoriza scurgerea de date, similar cum POS-urile pot fi compromise?

  • Ce se intampla daca intreg sistemul al cardurilor naţional de sănătate este compromis? Vor fi prompt inlocuite cărţile de identitate ale tuturor cetatenilor care au inscripţionate pe cip şi date medicale? Cine raspunde de deciziile luate acum si cine suporta costurile inlocuirii?

  • Ce se intampla daca din neatentie se zgarie antena si cartea de identitate devine neoperabilă din punct de vedere electronic?

  • Ce se intampla daca accidental cartea de identitate este defectată de catre un camp electromagnetic prea puternic pe langa care trece posesorul ei – ţinând cont că notiuni elementare de fizica ne spun ca un camp electromagnetic oscilant genereaza prin inductie curenti electrici cu atat mai puternici cu cat campul este mai puternic?

  • Daca cineva neautorizat reuseste sa ia datele unui cetăţean de pe cartea de identitate, poate fi condamnat pentru acces ilegal la sistem informatic?

  • Care sunt mijloacele prin care cartea de identitate este protejată împotriva fiecăruia din următoarele metode de atacuri asupra cardurilor contactless/RFID: Eavesdropping, Covert Transactions, Tracking, Man-in-the-Middle, Side-Channel Attacks?

În condiţiile în care DGP este o instituţie abilitată să gestioneze cărţile de identitate electronice vă rog să răspundeţi la următoarele întrebări privind securitatea tehnică a acestor cărţi de identitate electronice:

  • Pot fi terminalele cititoare de cărţi de identitate electronice atacate si sau modificate pentru a favoriza scurgerea de date, similar cum POS-urile pot fi compromise?

  • Ce se intampla daca intreg sistemul este compromis? – Vor fi prompt inlocuite cărţile de identitate electronice ale tuturor cetatenilor care au inscripţionate pe cip şi date medicale? Cine raspunde de deciziile luate acum si cine suporta costurile inlocuirii?

  • Ce se intampla daca din neatentie se zgarie antena si cartea de identitate electronică devine neoperabilă din punct de vedere electronic?

  • Ce se intampla daca accidental cartea de identitate electronică este defectată de catre un camp electromagnetic prea puternic pe langa care trece posesorul ei – ţinând cont că notiuni elementare de fizica ne spun ca un camp electromagnetic oscilant genereaza prin inductie curenti electrici cu atat mai puternici cu cat campul este mai puternic?

  • Daca cineva neautorizat reuseste sa ia datele unui cetăţean de pe cartea de identitate electronică, poate fi condamnat pentru acces ilegal la sistem informatic?

  • Care sunt mijloacele prin care cartea de identitate electronică este protejată împotriva fiecăruia din următoarele metode de atacuri asupra cardurilor contactless/RFID: Eavesdropping, Covert Transactions, Tracking, Man-in-the-Middle, Side-Channel Attacks?

Noile_Pasapoarte_Biometrice

În condiţiile în care DGP este o instituţie abilitată să gestioneze paşapoartele electronice vă rog să răspundeţi la următoarele întrebări privind securitatea tehnică a acestor paşapoarte electronice:

  • Pot fi terminalele cititoare de paşapoarte atacate si sau modificate pentru a favoriza scurgerea de date, similar cum POS-urile pot fi compromise?

  • Ce se intampla daca accidental paşaportul este defectat de catre un camp electromagnetic prea puternic pe langa care trece un asigurat – ţinând cont că notiuni elementare de fizica ne spun ca un camp electromagnetic oscilant genereaza prin inductie curenti electrici cu atat mai puternici cu cat campul este mai puternic?

  • Daca cineva neautorizat reuseste sa ia datele unui cetăţean de pe paşaport, poate fi condamnat pentru acces ilegal la sistem informatic?

  • Care sunt mijloacele prin care paşaportul este protejat împotriva fiecăruia din următoarele metode de atacuri: Eavesdropping, Covert Transactions, Tracking, Man-in-the-Middle, Side-Channel Attacks?

      

Securitatea tehnică a datelor din documentele biometrice – răspunsuri DGP

Atribuţiile Direcţiei Generale de Paşapoarte în materia cardului naţional de asigurări sociale de sănătate vizează doar personalizarea acestuia, informaţiile privind securitatea tehnică a acestuia neintrând în sfera de competenţă a instituţiei DGP.

Potrivit punctului 39 din Legea nr.235/2013 privind aprobarea O.U.G. nr. 82/2012 pentru modificarea şi completarea unor acte normative privind evidenţa persoanelor, actele de identitate ale cetăţenilor români, precum şi actele de rezidenţă ale cetăţenilor statelor membre ale Uniunii Europene şi Spaţiului Economic European rezidenţi în România, atribuţiile Direcţiei Generale de Paşapoarte în materia cărţilor de identitate şi cărţilor electronice de identitate sunt limitate la personalizarea, prin Centrul Naţional Unic de Personalizare a Paşapoartelor Electronice, a acestor documente.

Potrivit aceluiaşi text legal, producerea cărţilor electronice de identitate şi a cărţilor de identitate se realizează, centralizat, de către Imprimeria Naţională, iar Direcţia pentru Evidenţa Persoanelor şi Administrarea Bazelor de Date din cadrul Ministerului Afacerilor Interne asigură coordonarea din punct de vedere tehnic şi metodologic a structurilor aflate în subordine/coordonare, potrivit legii, pentru toate activităţile referitoare la punerea în circulaţie a cărţii electronice de identitate şi cărţii de identitate.

La nivelul Direcţiei Generale de Paşapoarte nu au fost semnalate/înregistrate cazuri de încălcare a securităţii tehnice în materia paşaportului electronic.

Aspectele referitoare la sancţionarea accesului ilegal la sistemul informatic excedează sferei de competenţă a Direcţiei Generale de Paşapoarte.

În privinţa mijloacelor prin care paşaportul este protejat împotriva atacurilor menţionate, documentele electronice de călătorie româneşti respectă standardele internaţionale de securitate (Regulamentul (CE) nr. 2.252/2004 al Consiliului din 13 decembrie 2004 privind standardele pentru elementele de securitate şi elementele biometrice integrate în paşapoarte şi în documente de călătorie emise de statele membre, publicat în Jurnalul Oficial al Uniunii Europene nr. L 385 din 29 decembrie 2004, cu modificările şi completările ulterioare, Decizia Comisiei C(2005)409 pentru stabilirea specificaţiilor tehnice aferente dispozitivelor de securitate şi a elementelor biometrice integrate în paşapoarte şi în documentele de călătorie emise de statele membre, precum şi Documentul ICAO – International Civil Aviation Organization – 9303), urmând ca, în semestrul al II-lea al anului în curs, să fie implementat mecanismul Suplimentar de Control al Accesului – SAC (BSI TR-03110_v2.1).

Totuşi, având în vedere faptul că, potrivit O.U.G. nr.94/2008 pentru stabilirea unor măsuri privind punerea în circulaţie a paşapoartelor electronice, precum şi producerea altor documente de călătorie, Compania Naţională ,,Imprimeria Naţională” – S.A (CNIN) are calitatea de producător, cu titlu de exclusivitate, a paşapoartelor electronice şi de integrator al sistemului naţional de emitere, gestionare şi eliberare a acestor documente, DGP apreciază că pentru detalii suplimentare se pot formula întrebări către CNIN.

  

Alte întrebări şi răspunsuri punctuale

Întrebare: Cf. Legea 235 pe 2013 care modifica OUG 82 /4.12.2012 care modifica OUG 97/2005 republicata in MO partea I, nr 719 din 12.10.2011, pct. 25, „(6) Procedurile de colectare a datelor biometrice pentru emiterea cartii electronice de identitate, precum si procedurile de stergere a datelor prevazute la alin. (4) si (5) se stabilesc prin hotarâre a Guvernului, la propunerea Ministerului Afacerilor Interne.”. Care sunt aceste proceduri, care este hotărârea Guvernului care le reglementează şi de când au început acestea să fie aplicate?

Răspuns: Informaţiile solicitate la acest punct excedează sferei de competenţă a Direcţiei Generale de Paşapoarte, pentru lămurirea acestor aspecte fiind necesar a vă adresa Direcţiei pentru Evidenţa Persoanelor şi Administrarea Bazelor de Date din cadrul Ministerului Afacerilor Interne.

Întrebare: Care sunt toate instituţiile statului abilitate să colecteze date biometrice de la cetăţenii români, în afara DGP?

Răspuns: În privinţa paşaportului simplu electronic, DGP precizează că, în conformitate cu prevederile art.6 din Normele metodologice de aplicare a Legii nr.248/2005, aprobate prin H.G. nr.94/2006, colectarea datelor biometrice se realizează, în ţară, de către serviciile publice comunitare pentru eliberarea şi evidenţa paşapoartelor simple, iar în străinătate, de către misiunile diplomatice şi consulare ale României, la depunerea cererii pentru eliberarea paşaportului simplu electronic. După personalizarea paşaportului simplu electronic şi transmiterea acestuia la organul competent să îl elibereze, datele biometrice stocate în bazele de date de producţie se şterg prin procedură automată. Impresiunile digitale stocate în baza de date a Sistemului naţional informatic de evidenţă a paşapoartelor simple se şterg prin procedură automată imediat după ridicarea paşaportului simplu electronic, iar dacă nu a fost ridicat, cel târziu la împlinirea unui termen de 3 luni de la data programată pentru eliberarea acestuia.

Acest detaliu lămureşte şi problema termenului pentru ştergerea datelor menţionată în partea a II-a a acestui articol, la paragraful penultim al subtitlului „Datele personale ale cetăţenilor români, folosite pentru personalizarea cardurilor naţionale biometrice de sănătate

Întrebare: Cui poate posesorul român al documentelor de identitate înainta o reclamaţie pentru a afla cine se face vinovat de violarea protocoalelor de securitate şi confidenţialitate a datelor prelucrate cu incompetenţă/rea-voinţă de către reprezentanţii statului de pe paşapoartele electronice, cărţile de identitate, cărţile electronice de identitate şi cardul naţional de asigurat? Presupunând că aceste acte conţin elemente de securizare specifice, care să asigure împiedicarea falsificării şi contrafacerii, pe cine dă în judecată cetăţeanul român dacă prevederea de mai sus este încălcată? Programatorul software-ului, funcţionarul, instituţia de care acesta aparţine, sau statul român?

Răspuns: Orice persoană are dreptul să depună plângere la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal în momentul în care constată că datele personale care îl privesc au fost prelucrate în mod ilegal sau că i-au fost încălcate drepturile şi libertăţile fundamentale, în special dreptul la viaţa intimă, familială şi privată.

  

Disclaimer

Acesta este un articol documentat pe subiectul cardului biometric ca instrument de identificare în România, atât sub formă de card naţional pentru asigurări de sănătate, cât şi drept carte de identitate. În acest articol, am tratat şi subiectul paşapoartelor electronice. Partea I aici. Partea a II-a aici. Partea a IV-a, în cursul săptămânii acesteia.

Acest post este realizat pe baza comunicării scrise oficiale înregistrate între persoana mea şi Direcţia Generală de Paşapoarte.

În ultimii 12 ani, introducerea cărţilor de identitate electronice în România a fost speculată, planificată, însă insuficient dezbătută din punctul de vedere al transparenţei şi al democraţiei. Ca urmare, este un subiect extrem de sensibil în legătură cu care aproape fiecare persoană are o părere foarte vehementă.

Scopul cu care am redactat acest post NU este să expun părerea mea personală cu privire la acest subiect, ci să prezint o serie de fapte şi date pe care le consider informatii de interes public. Poziţia mea în procesul de obţinere a acestor informaţii a fost de cetăţean român care îşi exercită drepturile civile. Sunt convins că unele din cele de mai sus sunt cunoscute, altele pot fi informaţii noi. Măsura în care ele sunt utile poate fi judecată de fiecare cititor în parte.

Am încercat, drept urmare, să fiu obiectiv şi cât mai corect în prezentarea acestora.

În acelaşi timp, trebuie specificat că ceea ce am scris în acest post este rezultatul documentării personale. Am specificat sursele. Nu am pregătire juridică şi nu îmi asum răspunderea, nici responsabilitatea pentru deciziile pe care cititorii acestui articol le-ar putea lua, în baza acestuia. Nu garantez că ceea ce am scris aici este 100% sigur sau complet dar, pe baza cunoştinţelor mele, am încercat să creez o imagine cât mai completă.

Greşelile de tehnoredactare din acest articol îmi apaţin mie, nu instituţiilor care mi-au răspuns. Acest articol nu reflectă în întregimea lui poziţia oficială a DGP sau a statului român, dar conţine porţiuni semnificative,  (cam 75%) editate din răspunsurile primite ca urmare a cererii de informaţii publice adresate DGP. Am selectat ce mi s-a părut relevant pentru acest articol. Răspunsul a fost redactat de către dl. dr. Aurel Vasile Sime, chestor de poliţie şi director general al DGP. Formatarea din cadrul răspunsurilor DGP îi aparţine în mare parte.
Nu am mai avut timp să plasez link pe legile şi regulamentele menţionate. În general, se găseşte fiecare cu o căutare pe Google.

VA URMA

Articol redactat de Ştefan Alexandrescu. Informaţiile din prezentul post, partea a III-a a acestui articol sunt copy-left.

Vă rog, copiaţi şi eventual plasaţi şi un link spre acest articol, acolo unde puteţi

1 Legea nr. 95/2006 privind reforma în domeniul sănătăţii, cu modificările şi completările ulterioare, Normele metodologice de aplicare a prevederilor referitoare la cardul naţional de asigurări sociale de sănătate din titlul IX „Cardul european şi cardul naţional de asigurări sociale de sănătate” din Legea nr. 95/2006, aprobate prin H.G. nr.900/2012; H.G. 1319/2008 privind organizarea şi funcţionareaCentrului Naţional Unic de Personalizare a Paşapoartelor Electronice; Legea 402/2001 privind organizarea şi funcţionarea Companiei Naţionale ,,Imprimeria Naţională” – S.A.

Anunțuri

Te invit să-ţi împărtăşeşti gândurile în legătură cu acest conţinut!

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s