Uniunea Nationala a Barourilor din Romania – condusa de avocatul Traian Briciu (foto) – sustine luni, 8 ianuarie 2024, ca nu a existat nicio bresa de securitate prin care datele personale ale avocatilor inscrisi in platforma IFEP sa poata fi expuse public.

UNBR reactioneaza astfel la semnalul de alarma tras de mai multi avocati dupa ce zilele trecute Stefan Deleanu – student la Facultatea de Drept a Universitatii „Babes-Bolyai” din Cluj-Napoca – a semnalat public o asemenea bresa nu doar la nivelul IFEP (Tabloul Avocatilor), ci si in ceea ce priveste Corpul Expertilor Contabili si Contabililor Autorizati din Romania (CECCAR). Detalii mai jos.

La randul ei, UNBR neaga existenta unei astfel de brese, adaugand ca exista totusi o analiza in curs, pentru a se stabili daca exista alte tipuri de vulnerabilitati ale sistemului.

Iata comunicatul Uniunii:

„In data de 7 ianuarie 2024, Comisia Permanenta a UNBR s-a intrunit pentru a analiza informatiile aparute in spatiul public cu privire la o pretinsa bresa de securitate a platformei IFEP (www.ifep.ro), care ar fi afectat date personale ale avocatilor, mai exact codul numeric personal (CNP).

In urma declansarii unei operatiuni de verificare, din datele existente pana in momentul de fata, administratorul platformei IFEP (www.ifep.ro) a comunicat ca, nici la data de 28 februarie 2023, nici pe parcursul celor 15 ani de functionalitate a platformei, nu s-au identificat brese de securitate de tipul celei reclamate in spatiul public. In toata aceasta perioada, existenta platformei a constituit un element determinant si eficient in lupta impotriva practicarii serviciilor avocatiale clandestine de catre persoane neautorizate.

Platforma IFEP este actualizata permanent in ceea ce priveste masurile de securitate ce se impun, in vederea asigurarii protectiei adecvate a informatiilor prelucrate prin intermediul acesteia. In prezent, este in curs de derulare o analiza tehnica interna extinsa care are rolul de a reliefa daca s-a inregistrat o bresa de securitate asupra sistemului si care sunt masurile tehnice necesar a fi implementate pe viitor.

Facem precizarea ca, desi au avut loc de-a lungul timpului tentative de atacuri informatice, nicio astfel de tentativa nu s-a concretizat in brese de securitate din care sa rezulte accesul la datele cu caracter personal ale avocatilor, inclusiv in ceea ce priveste accesul neautorizat la CNP-urile acestora.

Comisia Permanenta a UNBR va analiza si va decide cu privire la necesitatea actualizarii politicilor de securitate a sistemelor informatice, inclusiv prin contractarea unor servicii independente de auditare tehnica de specialitate, in vederea analizarii platformei IFEP in ansamblu, astfel incat sa fie identificate si eliminate orice posibile vulnerabilitati cu privire la datele avocatilor.

Pentru a se asigura o protectie sporita a avocatilor, UNBR va sesiza autoritatile si institutiile publice competente si va face toate demersurile juridice si tehnice pentru stabilirea situatiei de fapt si tragerea la raspundere a persoanelor care se fac vinovate de situatia creata”.

Redam postarea de pe Facebook a studentului Stefan Deleanu de vineri, 5 ianuarie 2024 (vezi video):

„Notificare - Bresa Securitate Tabloul Avocatilor (IFEP)

Ieri, am facut public faptul ca CECCAR a declinat sa raporteze contabililor (macar) si ANSPDCP (ideal) faptul ca au suferit o bresa grava de securitate.

Pe scurt, oricine accesa platforma - tabloul contabililor, vedea toate informatiile, de la CNP la adresa personala, la localitatea nasterii, la nr de telefon, la .... aproape tot.

Asta fara absolut nici un comportament malicios sau "informat". Pe scurt oricine deschidea inspect element putea vedea CNP-ul oricui.

Faptul ca am trimis in BCC mesajul si la ANSPDCP, astfel incat s-au sesizat si au solicitat probe, a fost pentru ca in mod anterior, IFEP a declinat de a raporta avocatilor (prin UNBR), o bresa similara.

Pe scurt, daca esti avocat, urmatoarele informatii erau accesibile folosind un link indexat de catre Google Search:

- CNP

- Nume complet (Nume, prenume)

- Baroul la care ai lucrat

- Email

Peste 37565 persoane au avut informatiile accesibile public pe internet.

'Daca la data de 26 Februarie 2023, erai inscris intr-un barou, esti afectat.

Detalii complete: https://www.incorpo.ro/ro-ro/press/ifep-data-breach/”.

Prezentam mesajul avocatei Silvia Uscov publicat pe Facebook tot vineri, in urma dezvaluirii facute de Deleanu:

„Bresa privind datele personale ale avocatilor din Romania

Contextul acestei postari este dat de e-mail-ul primit probabil de toti avocatii din Romania (vedeti in spam) prin care erau notificati de faptul ca la data de 28.02.2023 erau accesibile public datele personale ale acestora aflate pe platforma IFEP.

Aceasta este platforma pe care te loghezi doar cu e-mail si parola, FARA 2FA, desi ai acces direct de acolo si la contul tau de la Casa de Asigurari (cea cu pensiile), si la Registrele oficiale de atestare a documentelor si altele (nu mai intru in amanunte, ca poate dau idei).

Cand votam organismele profesionale, insa, pe aceeasi platforma, avem 2FA, dar acum cineva dezvaluie ca si in acest caz oricum voturile noastre pot fi aflate. Nu stiu daca tehnic este posibil atat de usor, dar suspiciuni au fost ridicate de catre avocati, inclusiv cu privire la manipularea sistemului.

Mergand putin inapoi in timp, acum aproape un an a fost o intreaga dezbatere cu cloud-ul UNBR, care sa fie conectat la cloud-ul guvernamental si, astfel, sa accesam diverse baze de date. Dar mai ingrijorator pentru noi, avocatii, era ca bazele noastre cu datele clientilor sa nu fie accesate din afara, nici macar de catre organismele profesionale (ca asa suntem noi construiti, vedem riscuri oriunde). Punctam intr-o dezbatere publica faptul ca nu suntem atat de bine pregatiti din punct de vedere al securitatii cibernetice si, de asemenea, ca nici proiectul de lege nu era unul bun, fiind ulterior si abandonat.

Atunci mi-a venit ideea de a adresa, totusi, la 22.03.2023 o cerere de acces la date catre Intra Connect SRL, care se mentiona pe IFEP ca este operatorul de date cu caracter personal. La 12.04.2023 mi-a raspuns ca este doar imputernicit, ca operatorul este UNBR si sa ma adresez lui, ulterior schimband si in IFEP numele operatorului plus cateva ajustari.

Conform art. 23 Legea 51/1995 Baroul intocmeste tabloul avocatilor cu anumite date si il da mai departe catre instante, organe de urmarire penala, autoritati administrative si UNBR. Atat, conform art. 45 din Statutul profesiei de avocat.

Aceste date sunt: nume, prenume, titlul stiintific, data inscrierii in barou, sediul profesional, forma de exercitare a profesiei si a instantele la care au dreptul sa puna concluzii.

Din ratiuni de interes public aceste date se regasesc si intr-un tablou publicat de barouri si de catre UNBR la nivel national pe IFEP, ca sa nu ne trezim cu persoane care se prezinta ca avocati si nu sunt, informatia putand fi usor de accesat de orice persoana interesata.

Pana in anul 2023 IFEP oricum era inregistrat pe numele unei persoane fizice, nu pe Intra Connect, desi se pare ca ar exista un contract secret incheiat intre UNBR si IFEP (de la Barouri se prelucreaza, de fapt, datele).

In aceasta nebuloasa, ca sa evit o situatie ce nu ar fi facut cinste profesiei de avocat, am scris un e-mail catre UNBR si BB la 12.04.2023 in care, dupa ce le-am expus situatia, le-am recomandat ca, decat sa vina in control ANSPDCP, nu mai bine avem noi o atitudine preventiva si angajeaza un specialist care sa puna la punct politicile si procedurile, atat documentar, organizatoric, cat si tehnic?

La BB vazusem ca s-a organizat un astfel de concurs public si lasasem deoparte chestiunea pana astazi, dar m-am uitat acum la cele 3 pagini care ar trebui sa acopere „Termeni si conditii/Politica cookie/Protectia datelor” (asa sunt denumite pe site) si..va puteti convinge si singuri.

Cand, insa, inviti oamenii la un curs sau sa apeleze la un specialist ca sa se protejeze, totul este pe principiul „lasa ca stim noi mai bine” sau „se ocupa departamentul IT”. In acest caz s-a ocupat Intra Connect. Astept cu interes desfasurarea evenimentelor.

Felicitari, Stefan Deleanu, pentru descoperire!”