Македонската (интернет) јавност лесно се скандализира и брзо заборава.

На 10.02.2016, Калина Зографска објави дека избирачкиот список на Република Македонија е достапен за преземање за секој што има основни програмерски вештини. Тогаш тоа беше страшна новост: што се случува со нашите лични податоци? Државната изборна комисија (ДИК) реагираше брзо и страницата беше тргната од интернет. Дваесетина дена подоцна, веб-страницата со избирачкиот список се врати на интернет со поинаков изглед, но исти функционалности. Тогаш тоа беше добра вест: конечно ќе можеме да го провериме списокот. Што се случи во тие дваесетина дена за јавноста што беше загрижена, сега да се радува на веб-страницата што ги содржи истите лични податоци?

Тековната дебата за избирачкиот список и личните податоци може да се сведе на една поента: моментално е политички опортуно избирачкиот список да биде достапен на начин на кој што е. Но, дебатата не завршува тука. Три прашања се важни во врска со достапноста на избирачкиот список на начинот на кој што е достапен. Сите носат пошироки последици.

Прво, иако законските обврски на ДИК да ги обработува податоците и да дозволува проверка не се спорни, многу е важно зошто ДИК не ги заштитува податоците од други несакани употреби како што го правеше тоа порано. Во претходните избирачки циклуси, апликацијата на ДИК бараше да внесете име и презиме и матичен број за ги проверите вашите податоци име на избирачкиот список. Ваквата проверка го ограничуваше пристапот: само оној што има два идентификувачки податоци - име и презиме со соодветен матичен број - може да ги види податоците.

Ова не е случај сега, кога за проверка на податоците доволно е да се внесе само еден идентификувачки податок – на пример матичен број. Матичните броеви се пресметуваат по формула која е достапна на интернет. Но, тоа не е сѐ. Пребарувањето по матичен број го дава името и презимето во резултати. Пребарувањето по име и презиме ја дава адресата и куќниот број во резултати. Пребарувањето по адреса ги дава сите лица што живеат на таа адреса во резултати. Сите пребарувања може да се автоматизираат со компјутерски операции. На твитер веќе се лицитираше дека целокупната операција лесно може да се автоматизира и дека всушност некои тоа веќе го направиле.

Второ, собирањето на податоците е прашање кое се игнорира. Замислете да можете да ги ископирате личните карти на сите граѓани. Токму тоа може да се направи со собирањето на податоците од избирачкиот список. Со овие податоци може да дознаете каде живеат луѓето (адреси), колку години имаат (матичен број) кои се нивните брачни другари (исти/слични презимиња), кои се нивните полнолетни деца и родители (разлика во години по матични броеви), кои се нивните родни места, ако се различни од местата на живеење (матичниот број) и кои се нивните гласачки места. Но тоа не е сѐ. Податоците можат да откријат и други (неизбирачки информации), како на пример можни закупски односи ако има различни презимиња на иста адреса. Ако ви се размислува злосторнички, можете да ги најдете становите во кои што живеат сами пензионери и да ги таргетирате за грабежи.

Споредете го ова со укажувањата на Дирекцијата за заштита на личните податоци (ДЗЛП). Ако, на пример, некоја библиотека во Македонија ја задржи вашата лична карта, тогаш таа постапува спротивно на важечките закони за заштита на личните податоци. Законите налагаат податоците да се собираат заради со закон утврдени цели и обработуваат согласно закон. Во случајот со избирачкиот список никој не контролира дали некој ги собира и обработува податоците согласно закон.

Два контра-аргументи се нудат на овие грижи за личните податоци. Прво дека овие податоци воопшто не се тајни или барем дека не треба да бидат тајни. Мислам дека препораките на ДЗЛП укажуваат на тоа дека, барем колку што се важечките закони во Македонија, овие податоци се тајни за употреба/обработка што не е пропишана со закон. Второ, дека секој што знае да го спроведе автоматското собирање на податоците не е заинтересиран за такво нешто, т.е. дека програмерите си имаат други занимации. Мислам дека ова за некого би било само добра програмерска забава, а за друг можност за малку екстра заработувачка. Мотивите и причините за евентуалната одлука дали собирањето да се направи (ако не е веќе направено) се отворени за дебата, а цената за ваква операција се лицитираше на (ситни) 300 евра.

Последно, но не и помалку важно, онлајн избирачкиот список на ДИК е првата итерација во Македонија на она што Евгени Морозов го нарекува „интернет солуционизам“ - вербата дека технологијата магично ќе ги реши проблемите на општеството.

Простиот алгоритам зад копчето* „Пријави“ на веб-страницата на ДИК треба да нѐ убеди дека стотина граѓани што се доволно гневни на ВМРО-ДПМНЕ ќе го прочистат списокот подобро од ДИК која што на располагање има повеќе бази на податоци од државни институции, платени експерти од три компании кои ги вкрстуваат податоците, дополнителни експерти кои прават надзор на процесот и партии кои внимаваат да не се повторат грешките од минатото. Со други зборови, апликацијата за избирачкиот список ги суспендира институциите на системот кои би требало да ги исполнат обврските (и за што барем номинално се бори опозициски ориентираната јавност).

Критиката кон ваква технолошка транспарентност не доаѓа само од Морозов, којшто е најгласниот скептик. Лоренс Лесиг, којшто е познат по оптимистички и значајни придонеси во технолошките дебати, исто така зборува на проблемите што за демократскиот систем ги носи интернет транспарентноста – иако во случајот на САД тоа е сосема поинаква тема. Дебатите за ова допрва ќе ги слушаме по разните НВО форуми.

На страна теоријата, апликацијата на ДИК, заради чудните безбедносни пропусти, овозможува кој било да кликне „Пријави“ на чии било податоци. Тоа, со елегантен софтверски код, може да се направи автоматски на целиот избирачки список и тогаш ДИК ќе мора да се соочи со 1.8 милион претставки од граѓани за грешки во избирачкиот список. Секако, само ако некој има мотиви и причини вака да си поигра или да ја блокира работата на ДИК.

Сето ова укажува дека достапноста на избирачкиот список на начин каков што е достапен е веројатно спротивна на членот 23 од Законот за заштита на личните податоци и дека процесот на интернет прочистување може да биде дополнителен проблем за институциите во кои сакаме да изградиме доверба. Дали сето ова натежнува над политичкиот опортунизам на достапен список што овозможува новинарски написи кои ќе ја скандализираат јавноста со фантомски гласачи на адреси на странски амбасади е прашање кое засега останува неодговорено.

*Треба да се забележи дека од моментот кога текстов беше напишан, до моментот кога беше објавен, ДИК одлучи да ја тргне функционалноста за електронско пријавување од апликацијата за избирачкиот список.

Претходно објавено на Радио слободна Европа.

Државната изборна комисија го објавува избрирачкиот список во формат што го прави достапен секому. Пред еден месец овој превид го пронајде Калина Зографска. Денес (3 март 2016) ДИК повторно го промовираше сајтот за избирачкиот список.

Сајтот изгледа поинаку од претходно, но неговите функционалности (или подобро речено нефункционалности) се исти. Било кој може да внесе матичен број и да ги добие податоците за лицето носител на тој број: неговото име и презиме, адресата на живеење, општина и избирачкото место.

Матичните броеви во Македонија се пресметуваат по формула. Компјутерска програма може да внесува точни матични броеви во формуларот на ДИК и да ги добива назад информациите за сите граѓани. Компјутерска програма може да ги погодува и бројките (т.н. CAPTCHA) што служат како некаква заштита.

Пребарувањето може да се прави по матичен број, по име и презиме и по адреса. Пребарувањето по име и презиме ја дава адресата и куќниот број во резултати. Пребарувањето по матичен број го дава името и презимето во резултати. Пребарувањето по адреса ги дава сите лица што живеат на таа адреса во резултати. Сите пребарувања може да се автоматизираат со компјутерски операции.

Со овие податоци може да дознаете каде живеат луѓето (адреси), кои се нивните брачни другари (исти/слични презимиња), кои се нивните полнолетни деца и родители (разлика во години по матични броеви), кои се нивните родни места, ако се различни од местата на живеење (од податоците на матичниот број), и кои се нивните гласачки места. Податоците можат да откријат и други (неизбирачки информации), како на пример закупски односи ако има различни презимиња/матични броеви на иста адреса.

Ако сте политичка партија што може да најми програмери да го направат сето ова, тогаш можете да имате целосен пристап до избирачкиот список и сите релации помеѓу луѓето, да ги вкрстувате тие податоци со вашите членски списоци, и/или (во зависност од тоа дали сте партија на власт) податоците да ги вкрстувате со други податоци што ви се достапни (како на пример лица вработени во државната администрација). На крај, со добро разработен модел можете да имате целосна контрола над изборниот процес.

Дали некој ова го има направено е прашање кое што останува отворено. До тој одговор, стојат две помали прашања како: зошто ДИК два пати во еден месец објавува практично ист сајт со податоци на граѓаните; и зошто законодавецот (да не речам партиите преку пратениците) смислиле решение што ги става податоците на граѓаните на увид, со опција тие да бидат тргнати по барање на граѓаните, наместо обратно.

Една година подоцна можеме да ја затвориме приказната за наводната фабрика за пасоши и кредибилитетот на делови од македонското истражувачко новинарство.

Во ноември 2014 неделникот Фокус излезе со ексклузивна приказна за фалслификување пасоши за изборите во пролетта истата година. Авторот на тоа новинарско истражување тврдеше дека во МВР нема 2 АФИС уреди кои што се искористени за правење на фалсификувани документи. Сите овие тврдења беа осуетени на овој блог и беа понудени докази кои што укажуваа на тоа дека приказната на Фокус тешко ги исполнува критериумите за веродостојност: 1, 2, 3.

И покрај јавно достапните аргументи зошто приказната на Фокус не држи вода, сервисите за проверка на факти ги игнорираа написте, а неделникот и неговиот новинар ги собраа македонските новинарски награда и тоа прва награда од МИМ и втора награда од ЕУ инфо центарот, двете за истражувачко новинарство.

На 11 ноември 2015 во служба стапи новиот министер за внатрешни работи. До денес 02.12.2015 министерот не изјавил дека е отворена истрага за двата АФИС уреди што недостасуваат од МВР, како што тврдеа написите во ФОКУС. Но, министерот потврди дека АФИС служи само за проверка на отпечатоци во кривични истраги, како што тврдеа текстовите на овој блог, и дека истиот е во МВР (иако е исклучен и не работи). Патем, нема најва ни за истрага на наводните фалсификувани пасоши.

Од гледна точка на јавноста ова значи две работи: или новиот министер е корумпиран како и неговиот претходник и не поведува истрага за очигледни дела кои што го загрозуваат легитимитетот на изборите или приказната на Фокус не држи вода.

Ако треба да му се верува на Фокус, тогаш секој што смета дека треба да имаме фер избори треба да бара од новото МВР да ги најде АФИС-ите. Алтернативно и согласно кодексот на ЗНМ, Фокус може да се извини за FUD написи и новинарот да ги врати наградите.

There is a paragraph in the report of the experts group led by Reinhard Priebe that locates the obligation of the telecommunications operators. This is nothing new, since I have been writing about this obligation for a long time. However, when a European expert does that it resounds much louder in the public:

Acting on the basis of Articles 175 and 176 of the Law on Electronic Communication, each of the three national telecommunications providers equips the UBK with the necessary technical apparatus, enabling it to mirror directly their entire operational centres. As a consequence, from a practical point of view, the UBK can intercept communications directly, autonomously and unimpeded, regardless of whether a court order has or has not been issued in accordance with the Law on Interception of Communications. (Pages 5-6 of the report of 8th of June 2015 of the expert group of the European Commission).

The report of the experts group confirms two things: the equipment exists at the operators’ premises and that equipment is in use.

Still, the question that we constantly seek answer to is since when is the equipment in use? There is less and less doubt that the UBK, operating without court order breached the laws and the Constitution of the Republic of Macedonia, but did he operators follow suit?

Articles 175 and 175 of the Law on electronic communications are valid since February 2014 when the said law was voted by the Parliament (Official Gazette of the Republic of Macedonia No. 39/2014). However, we heard from the recordings and the journalistic analysis the conversations took place at different time periods and there are recordings even since 2011. How could have these recordings been made if the Direction had not been allowed to “ mirror directly their entire operational centres?”

Infact, with the changes of the Law on electronic communications of 2010 (Official Gazette of the Republic of Macedonia No. 83/2010) the equipment was set at the operators. However, shortly afterwards, in December 2010 the Constitutional Court of the Republic of Macedonia canceled the articles of the law that allow “ direct, autonomous and unimpeded” wiretapping. The cancellation means that this access of DBK to the operators is illegal, and their obligation is to stop it. If that Decision of the Constitutional Court was respected, then how come there are recordings from 2011 (one example is the destruction of “Kosmos” building)?

The operators maintain hat they had acted according to the law, but there are hundreds of recordings that suggest otherwise. The proverb goes, where there is smoke there is fire. They make no effort to restore the public thrust with regards to their handling of the users’ data. At the same time, the Agency for electronic communication and the Direction for personal data protection which are in charge of surveillance of the telecommunications and the right to privacy of the users remain calm and indifferent to the mass abuse that we are witnessing.

The Occam’s razor is a principle stating that out of possible hypothesis we should choose the one containing the least assumptions. This is it: The operators did not switch off the equipment installed in 2010 and breached the decision of the Constitutional court and allowed continuous wiretapping even when the law did not provide this obligation.

The operators were entrusted with an important and responsible role in society, and according to the laws they have to take care of the privacy and the confidentiality of their users’ data they have access to. In times when digital communications play an increasingly significant role in the social and political activities their responsibility increases. If they want to show us that they are up for the challenge and that the aforementioned hypothesis is incorrect, then they can publish the acts by which their directors order switching off and dismantling of the equipment that allowed direct access to communications according to the Decision of the Constitutional court. If those acts contain classified information, we will be satisfied with documents containing black fields as those from the movies. Until then: where there is smoke there is fire.

Published on Radio Free Europe.
Partially published on Libertas.
Published on OKNO.
Published on IT.com.mk.

Since February 2015 the opposition led by Zoran Zaev publishes the so called bombshells which reveal "the truth about Macedonia". They claim that the recordings contain alleged scandals, corruption, and abuses made by the leading people in the Government and the ruling political parties. They also claim that these recordings are not just some or few recordings that are made by accident, but that they are a small part of the millions of files of surveillance of communications of over 20000 citizens in Macedonia. While the main narrative stays the same, a part of the story changed over time: the part about the role of the telecom operators in this affair. In his early statements (12.02.2015) Zoran Zaev claimed that the wiretapping could not have happened without the knowledge of the operators, but just two weeks later (27.02.2015) Zaev said that the operators have no responsibility whatsoever at a press-conference for bombshell #5.

Since these statements raised suspicion about what exactly happened regarding the alleged mass surveillance of 20000 people, in February I started researching the laws. The analysis of that time led me to the following revelations:

1. Article 115 paragraph 2 of the Law for electronic communications allowed for usage of mass surveillance technology in June 2010;
2. This legal arrangement was made null and void (luckily) just 6 months later when the Constitutional court made its decision in December 2010;
3. The same legal provisions were reintroduced to the law in February 2014 when the new Law for electronic communications entered into force.

According to many sources (the opposition, journalists, political analysts) large part of the recordings were made between 2011-2014. Therefore the logical question, when the claim that 20000 people were under surveillance is undisputed,what happened with the (shortly legal) technology from 2010 in the period from 2010 to 2014?

Logically, at least for me, was to ask this question to the operators (T-Mobile, Makedonski Telekom, VIP and One) and to the regulator (AEK) in the following form:

1. Which actions did the operator take to comply with the decision of the Constitutional court of Republic of Macedonia U. No. 139/2010-0-1 from 15.12.2010?

2. Which actions did the Agency for electronic communications take in order to determine whether the telecom operators complied with the decision of the Constitutional court of Republic of Macedonia U. No. 139/2010-0-1 from 15.12.2010?

Furthermore, since the number of cases for which the courts have allowed special investigative measures, which include surveillance of communications, is a publicly available information, it was logical to ask the operators how many requests have they received individually, especially regarding the retained data of their users. This is a completely statistical information: if we know that in 2013 there were 226 approved requests for surveillance of communication, then the information how many requests were received by each operator will tell us only what was the involvement of each operator.

All of these FOI requests were denied, mostly by claiming that any answer will be a breach of "classified information". Only AEK did not respond at all. For all of the FOI requests I submitted a complaint to the Commission for protection of the right to free access of information of public interest, and now I wait for their response. I hope the Commission will find that to answer the question about complying to a court order and anonymous statistics cannot be hidden from the public.

Until we have their answer, visit this galery for the answers from the operators (in Macedonian).

Published on OKNO 5.6.2015: http://okno.mk/node/47618