3N(r1P7a$1o*

El passat mes de gener Europol i Eurojust van llançar el seu primer informe sobre encriptació en l’àmbit de la seguretat informàtica, First report of the observatory function on encryption. En el marc de les mesures presentades per la Comissió Europea a l’Eleventh progress report, ambdues agències han establert un observatori conjunt per analitzar les dificultats, les oportunitats i el futur de l’encriptació en l’àmbit de la investigació criminal.

L’informe fa una breu introducció dels conceptes, els productes i els serveis[1] que tenen un ús genèric en encriptació. Tot seguit, a partir de l’experiència dels membres de l’European Cybercrime Centre (EC3), es tracten els reptes per als cossos de seguretat i els sistemes de justícia en el moment de la investigació i la persecució d’il·lícits penals.

En aquest sentit, en primer lloc es destaca un deficient marc legal específic que no ajuda les agències de seguretat i les autoritats judicials a superar o atacar l’encriptació. Malgrat el difícil equilibri entre el dret a la privacitat i els drets de les víctimes, l’informe accentua la necessitat d’una normativa que faciliti, entre d’altres, l’obligació legal d’entregar la clau o la informació xifrada per part de les empreses i/o els serveis[2] i unes provisions específiques en l’ús d’eines per atacar l’encriptació.[3]

Més enllà dels aspectes legals, es ressalta la necessitat de reforçar els aspectes de coordinació operativa, els recursos tècnics i tecnològics i els recursos humans. Segons l’observatori, des del punt de vista operatiu es necessita una millor coordinació de les diferents forces de seguretat i les agències europees com Europol i Eurojust. A la vegada, és crucial invertir en potència computacional per tal de dur a terme atacs orientats a trobar les claus d’accés a la informació xifrada. Tot i així, i com a complement a la tecnologia, la formació i la presència de forenses experts en la matèria es fan imprescindibles.[4]

Davant la ja esmentada problemàtica de contraposar els drets a la privacitat i la necessitat de lluitar contra la delinqüència, European Digital Rights (EDRi) indica que trobar la clau o descobrir-la explotant vulnerabilitats és una bona manera de respondre-hi. És en aquesta direcció que, segons l’informe, s’ha de dirigir l’esforç davant el repte de l’encriptació.

Finalment, l’informe posa sobre la taula nous reptes de futur. L’observatori en destacarà fins a tres, la computació quàntica, la intel·ligència artificial i l’arribada del 5G. Ara com ara, cap d’aquestes tecnologies ha suposat un canvi radical en encriptació però es preveuen grans avenços i alguns riscos, com la Quantum Key Distribution en el cas de la computació quàntica o la International Mobile Subscriber Identity-IMSI[5] en el cas del 5G.

En suma, l’informe planteja un dilema. Si bé l’encriptació és necessària, en termes de seguretat, per a les administracions públiques i les empreses privades, també és aprofitada per a activitats il·lícites de crim organitzat. La qüestió de fons, doncs, és dotar els serveis públics d’un marc legal i de capacitat operativa per anar al capdavant en aquest nou entorn tecnològic. En serem capaços, quan el mateix informe destaca que són les empreses privades les que porten la iniciativa?

Enllaços—————————————————————————————————————-

https://www.europol.europa.eu/ à Europol

http://www.eurojust.europa.eu/Pages/home.aspx –> Eurojust

https://www.europol.europa.eu/publications-documents/first-report-of-observatory-function-encryption à Informe a la web d’Europol.

Peu de pàgina 1.

https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3 European Cybercrime Centre. EC3

https://www.techopedia.com/definition/5067/international-mobile-subscriber-identity-imsi – IMSI

[1] Per exemple, en l’àmbit dels navegadors, l’ús de The Onion Router (Tor), un programari lliure que a partir de prendre en préstec diverses adreces IP crea nodes i connexions aleatòries amb les seves respectives capes de xifratge, fet que dificulta la traçabilitat de la IP original. O els Virtual Private Networks, que protegeixen la connexió entre el terminal i el servidor. En les comunicacions per veu, tenim per exemple els serveis d’encriptació de Signal o la menys coneguda Silent Circle.

[2] Aquesta legislació específica no és generalitzada, ja que podria suposar una violació del dret a no incriminar-se un mateix en un delicte. Tot i així, allà on existeix aquesta obligació per als proveïdors de serveis, en moltes ocasions aquests mateixos proveïdors no poden satisfer la petició perquè no tenen accés a les dades xifrades d’extrem a extrem (end-to-end encryption E2EE).

[3] L’informe destaca que, malgrat que és suficient amb la legislació vigent, una concreció sobre les eines de desxifratge utilitzades, tot i que no necessàriament molt descriptiva tècnicament, podria donar més seguretat jurídica.

[4] Hi ha eines de xifratge que amb l’actual potència computacional fan impossible la desencriptació en un temps raonable. És per això que els experts poden aportar aspectes de context i d’entorn personal de l’investigat per accelerar la investigació focalitzant recursos en una direcció.

[5] Amb el 5G, un únic identificador pot ser temporalment substituït per un identificador dinàmic, la qual cosa ajuda a noves tècniques de manipulació de la identitat i l’ocultació.

_____

Esta entrada en español / This post in English / Post en français

Cal esperar la perfecció dels cotxes autònoms abans d’autoritzar-los?

Un dels avenços tecnològics que pot afectar més la nostra vida diària en un futur més o menys proper és el dels vehicles autònoms, aquells que circulen sense que cap persona el manegi o els controli. En aquests moments, més enllà de les qüestions relacionades amb la tècnica, el debat públic sobre aquests vehicles se centra en la seva seguretat, factor clau per tal que puguin rebre l’autorització de les administracions públiques per circular.

Nidhi Kalra i David G. Groves, investigadors de la Rand Corporation, han publicat una investigació en què analitzen 500 escenaris diferents valorant la introducció, adopció i millora dels vehicles autònoms, per tal de respondre les qüestions següents:

  • Com de segurs han de ser els vehicles autònoms abans que siguin autoritzats per a l’ús públic?
  • Sota quines condicions es poden salvar més vides per cadascuna de les polítiques a curt i llarg termini i quantes vides se salven?
  • Què suggereixen les proves sobre les condicions que generen petits costos d’espera de millores significatives prèvies a la implementació?
  • Què implica això per a les polítiques que dirigeixen la introducció dels vehicles autònoms en l’ús dels consumidors?

El model que han dissenyat per fer l’anàlisi compara l’accidentalitat i les morts que es causarien si s’autoritza els vehicles autònoms a circular quan s’hagi comprovat que aquests milloren un 10% la mitjana de la conducció humana o si s’espera que aquesta millora sigui d’entre el 75 i el 90%.

La conclusió a què arriben és que caldria autoritzar la circulació dels vehicles autònoms un cop s’hagi superat la mitjana de conducció segura dels humans en un 10%. La raó principal seria l’estalvi de vides humanes (centenars o milers a curt termini i milers a llarg termini), que es produiria per dos motius. El primer motiu seria que, un cop els vehicles autònoms tinguin, de mitjana, una conducció més segura que la conducció humana, utilitzar-los començaria a reduir l’accidentalitat. Encara que aquesta reducció fos petita, el temps transcorregut entre el nivell de seguretat acceptable i el nivell de seguretat ideal acumularia un nombre de vides humanes salvades. El segon motiu és que l’autorització d’aquests vehicles en fomentaria l’ús i augmentaria de manera considerable les dades disponibles per a l’anàlisi. D’aquesta manera, s’acceleraria l’evolució en la conducció autònoma i els nivells de seguretat que superin entre un 75 i 90% els de la conducció humana arribarien abans.

Font: Kalra, Nidhi; Groves, David G. The enemy of Good. Estimating the Cost of Waiting for Nearly perfect Automated Vehicles. Rand Corporation.

_____

Esta entrada en español / This post in English / Post en français

Què li cal a la policia per utilitzar el Big Data?

Les organitzacions policials, per la seva activitat diària, generen, emmagatzemen i processen grans quantitats de dades, en l’àmbit de les dades massives (Big Data). Malauradament no sempre disposen de les tecnologies i tècniques que permeten obtenir-ne un valor afegit. Aquesta és una de les conclusions a què arriba Alexander Babuta en el seu informe Dades massives i treball policial. Una valoració de les necessitats, expectatives i prioritats dels cossos de seguretat [1] [britànics], publicat per l’Institut de Serveis Reals Unificats per als Estudis de Defensa i Seguretat [2]  (RUSI per les seves sigles en anglès).

L’autor destaca que la investigació relacionada amb les dades massives és prolífica, però hi ha una manca d’estudis sobre l’ús en el treball policial al Regne Unit. Babuta intenta contribuir a emplenar aquest buit. La seva recerca va començar amb una revisió de la documentació (tant acadèmica com institucional) de les estratègies policials i dels informes del sector privat sobre la utilització de les dades per la policia. A continuació va entrevistar 25 treballadors de quatre cossos policials (entre policies i personal de suport) i 5 experts dels sectors tecnològic i acadèmic. Finalment, va conduir un grup de treball amb representants de cinc cossos policials, així com del Ministeri de l’Interior[3] , de l’Acadèmia Superior de Policia[4]  i de l’àmbit universitari.

Els dos grans problemes que identifica l’investigador són la manca d’un espai únic on desar i anar a recuperar les dades i l’absència d’una tecnologia que doni sentit a les dades. També destaca quatre àmbits prioritaris en què la tecnologia relacionada amb les dades massives es pot aplicar al treball policial:

  • Aprofitar els mapes de predicció de delinqüència per destinar les patrulles als llocs on hi ha més probabilitat que succeeixin els delictes.
  • Utilitzar l’analítica predictiva per identificar els riscos associats a determinades persones, tant potencials autors com potencials víctimes.
  • Emprar l’analítica avançada per intentar aprofitar tot el potencial dels sistemes d’enregistrament d’imatge (circuits de videovigilància) i de les dades dels sistemes de reconeixement automàtic de matrícules.
  • Aplicar la tecnologia de les dades massives a les fonts de dades obertes, per obtenir un millor coneixement d’alguns problemes de delinqüència.

L’autor planteja 14 recomanacions adreçades a cossos policials i responsables de seguretat; als organismes nacionals (Ministeri de l’Interior, Acadèmia Superior de Policia i Police ICT Company[5]), i a desenvolupadors de programari, incloent-hi tres futures línies de recerca.

Les propostes de Babuta que poden resultar més rellevants de cara a les ciències socials són:[6]

  • Prioritzar l’exploració de la potencialitat del programari dels mapes destinats a fer predicció.
  • Utilitzar les dades nacionals, no només les locals, quan es vulgui predir els riscos associats a individus.
  • Incloure a totes les aplicacions de dades un registre que permeti documentar qualsevol canvi realitzat al conjunt de dades.
  • Aprofundir la recerca en el programari de predicció de la delinqüència per poder generar models de predicció per segments de carrer.
  • Explorar els usos potencials de la modelització del terreny sobre la base del risc (RTM)[7]  per identificar les àrees on hi ha més risc de patir delictes.
  • Explorar l’ús de matrius de danys per valorar els danys causats per diferents tipus de delictes.

L’informe es va presentar públicament el 6 de setembre de 2017 i se’n pot veure una presentació en el següent enllaç:

https://rusi.org/event/paper-launch-%E2%80%93-big-data-and-policing-assessment-law-enforcement-requirements-expectations-and

[1]  El títol original és “Big data and Policing. An Assessment of Law Enforcement Requirements, Expectatins and Priorities”

[2] Royal United Services Institute for Defence and Security Studies

[3] Home Office

[4] College of Policing

[5] Police ICT Company és una empresa amb capital públic creada i gestionada pels responsables de seguretat per millorar les tecnologies de la informació i la comunicació amb l’objectiu de millorar la seguretat de la ciutadania.

 [6] Segons la xarxa d’investigadors Method Space.

[7] L’RTM és una metodologia de treball derivada de l’anàlisi dels riscos de determinats espais, formulada pels professors Caplan i Kennedy de la Universitat Rutgers. Es pot ampliar la informació a http://www.riskterrainmodeling.com/. L’anglès és Risk Terrain Modelling, en castellà es tradueix com a “Modelización del terreno en base al riesgo”.

_____

Esta entrada en español / This post in English / Post en français

 

Entra en funcionament l’ordre europea d’investigació

El 22 de maig de 2017 ha entrat en vigor l’ordre europea d’investigació, que simplifica i agilitza les investigacions penals transfrontereres amb capacitat per sol·licitar proves. Això facilita el treball entre les diferents autoritats judicials quan sol·licitin proves que estiguin en un altre país de la Unió Europea.

L’ordre europea d’investigació es basa en el reconeixement mutu, la qual cosa significa que els països de la Unió Europea estan obligats a reconèixer i executar la sol·licitud d’un altre país, com ho farien amb una decisió procedent de les seves pròpies autoritats.

Entre els avantatges que pot comportar l’ordre europea d’investigació, hi ha els següents:

  • Crea un únic instrument de gran abast. L’ordre europea d’investigació substituirà el fragmentat marc jurídic actual per a l’obtenció de proves. Abasta tot el procés d’obtenció de proves, des de l’assegurament de les proves fins a la transferència dels elements de prova existents, per als estats membres participants.
  • Estableix terminis estrictes per obtenir les proves sol·licitades. Els estats membres disposen de fins a 30 dies per decidir si accepten una sol·licitud. Si s’accepta, el termini per executar la mesura d’investigació sol·licitada és de 90 dies.
  • Restringeix els motius per rebutjar una sol·licitud. L’autoritat receptora només podrà negar-se a executar una ordre en determinades circumstàncies, com ara si és perjudicial per a la seva seguretat nacional o contrària als principis fonamentals del dret del país en qüestió.
  • Redueix els tràmits administratius gràcies a la introducció d’un formulari únic normalitzat, en la llengua oficial de l’Estat executor.
  • Protegeix els drets fonamentals de la defensa. Les autoritats sol·licitants han d’avaluar la necessitat i la proporcionalitat de la mesura d’investigació sol·licitada. Les ordres europees d’investigació han de ser emeses o validades per una autoritat judicial.

L’ordre europea d’investigació permetrà:

  • El trasllat temporal de detinguts amb la finalitat de reunir proves.
  • La consulta dels comptes bancaris i les operacions financeres dels sospitosos o acusats.
  • Les investigacions encobertes i la intercepció de telecomunicacions.
  • Mesures de protecció de proves.

Paral·lelament, la Comissió Europea està treballant per crear solucions que dotin les autoritats judicials d’eines d’investigació modernes per facilitar l’accés a les proves electròniques.

Un cop incorporada l’ordre europea d’investigació a les legislacions nacionals respectives, la Comissió Europea analitzarà la situació d’aquesta incorporació i s’adreçarà als estats membres que encara no hagin pres les mesures pertinents.

Antecedents

La Directiva es basa en el principi de reconeixement mutu de les decisions judicials pel que fa a l’obtenció de proves per al seu ús en procediments penals.

Aquesta Directiva s’aplica a tots els països de la UE excepte Dinamarca i Irlanda, que no hi participen. Es tracta d’un instrument que substitueix les assistències judicials mútues existents a la UE per a l’obtenció de proves, en particular, el Conveni d’assistència judicial de la UE de 2000 i la Decisió marc 2003/577/JHA sobre l’assegurament de proves.

 Webs d’interès

Justícia penal: reconeixement de proves

La Unió de la Seguretat: dos anys després

_____

Esta entrada en español / This post in English / Post en français