Essential Characteristics of a Robust Lawful Interception System

The communication spans various digital platforms so the development and implementation of effective lawful interception systems are paramount. Law enforcement agencies and security organizations rely on these systems to monitor and intercept communications legally. This article explores the key characteristics that a lawful interception system must possess to ensure efficiency, compliance with regulations, and the protection of individual rights.

1. Legal Compliance
Adherence to local and international laws is the foundation of any lawful interception system. The system must operate within the boundaries defined by legal frameworks, ensuring that interception activities are authorized, justified, and meet the criteria stipulated by relevant statutes.

2. Transparency and Accountability
A transparent and accountable system is crucial for maintaining public trust. There should be clear processes and procedures governing the use of the interception system, with strict oversight mechanisms in place to prevent abuse. Accountability ensures that those authorized to use the system do so responsibly and in accordance with the law.

3. Data Integrity and Security
Safeguarding intercepted data is of utmost importance. A lawful interception system must employ robust encryption and security measures to protect the integrity of the collected information. Unauthorized access to intercepted data poses not only a privacy risk but also a threat to the overall effectiveness of the system.

4. Interoperability
The ability to seamlessly integrate with various telecommunication networks and technologies is a key characteristic of an effective interception system. Interoperability ensures that the system can adapt to the ever-evolving landscape of communication technologies, enabling law enforcement to stay ahead of potential threats.

5. Timeliness and Real-Time Capabilities
The nature of certain crimes requires swift action. A lawful interception system should possess real-time capabilities to allow authorities to respond promptly to emerging threats. Timely access to relevant information is critical for preventing and investigating criminal activities.

6. Court-Admissible Evidence
The information gathered through lawful interception may be used as evidence in legal proceedings. Therefore, the system must be designed to collect data in a manner that ensures its admissibility in court. This includes maintaining a detailed chain of custody, ensuring the authenticity of the intercepted data, and adhering to legal standards for evidence.

7. Training and Compliance Monitoring
Personnel responsible for operating the lawful interception system should undergo thorough training to understand legal and ethical considerations. Regular compliance monitoring ensures that the system is used in accordance with established protocols and legal requirements.

The characteristics outlined above are essential for a lawful interception system to fulfill its intended purpose while respecting the rule of law and protecting individual privacy. As technology advances and communication methods evolve, continuous refinement of these characteristics is necessary to ensure that lawful interception systems remain effective, accountable, and in harmony with the principles of justice and civil liberties.

All these Essential Characteristics are in SECFULL TARGET.

Exploring the World of Lawful Interception in Telecommunications

In an era dominated by technological advancements and rapid communication, the lawful interception of telecommunications plays a crucial role in maintaining public safety and national security. As societies become increasingly connected, the need for effective measures to monitor and intercept communication within legal boundaries becomes imperative. This article delves into the concept of lawful interception in telecommunications, examining its significance, methods, and the delicate balance it strikes between individual privacy and collective security.

Understanding Lawful Interception

Lawful interception refers to the legally authorized monitoring and interception of telecommunications, including telephone calls, emails, and other forms of digital communication. Governments, law enforcement agencies, and intelligence organizations utilize lawful interception as a tool to combat various forms of criminal activities, ranging from terrorism to organized crime. The primary objective is to gather information that can aid in preventing or investigating illegal activities while adhering to established legal frameworks.

Legal Frameworks and Oversight

One of the critical aspects of lawful interception is the existence of well-defined legal frameworks that govern the process. Different countries have distinct laws and regulations outlining the circumstances under which interception is permitted, the types of information that can be collected, and the oversight mechanisms in place to prevent abuse. Striking the right balance between protecting individual privacy rights and ensuring national security remains a constant challenge for lawmakers.

Methods of Lawful Interception

Additionally lawful interception employs various methods to monitor and collect communication data. Traditional telephone wiretapping has evolved into sophisticated technologies capable of intercepting digital communications, such as VoIP (Voice over Internet Protocol) calls and instant messaging. Telecommunication service providers play a crucial role in facilitating lawful interception, and they are often required to implement the necessary infrastructure to enable authorized agencies to access relevant data.

Challenges and Concerns

While lawful interception is essential for maintaining public safety, it also raises significant concerns related to privacy and civil liberties. Striking the right balance between the need for surveillance and protecting individual rights requires careful consideration. Governments and organizations must implement robust oversight mechanisms, transparent legal frameworks, and stringent accountability measures to mitigate the risk of misuse.

Global Cooperation and Standards

Given the global nature of modern telecommunications, there is an increasing need for international cooperation and standardized practices in lawful interception. Interoperability between different countries’ systems and adherence to common standards can enhance the effectiveness of lawful interception efforts while ensuring that human rights and privacy are respected on a global scale.

Conclusion

Lawful interception of telecommunications is a complex and multifaceted practice that seeks to reconcile the need for security with respect for individual privacy. As technology continues to advance, the legal and ethical considerations surrounding lawful interception will evolve. Striking the right balance between safeguarding society and protecting individual rights remains a dynamic challenge that requires ongoing dialogue, collaboration, and a commitment to upholding the principles of justice and accountability.

 

I 5 punti di forza di Secfull Target che la rendono unica

A grande richiesta pubblichiamo i 5 punti di forza di Secfull Target che la rendono unica:

1) Modulare
SecFull Target è una soluzione modulare che può adattarsi alle diverse esigenze dell’Operatore di telecomunicazioni, prevedendo la fornitura di tutti i suoi singoli moduli funzionali e/o fisici fino alla fornitura anche del solo Work Flow Management delle richieste delle Autorità che automatizza il più possibile tutte le previste attività operative ed archivia a norma di legge le richieste.

2) Economica
SecFull Target riesce a garantire i costi più bassi del mercato grazie a precise e consapevoli scelte lavorative che assicurano i medesimi livelli qualitativi e di assistenza che il mercato del settore richiede.

3) Consulenza strategica, normativa e di processo
Nel costo di SecFull Target è compresa forse la caratteristica più apprezzata dai Clienti ovvero un supporto costante e continuativo per analizzare tutte le specifiche esigenze interne ed esterne del Cliente, analizzare gli impatti della nuova norma, indirizzare sulla migliore soluzione, facilitare il rapporto con le Autorità. SecFull Target nasce dall’esperienza ultraventennale a supporto di Operatori di telecomunicazioni italiani ed esteri. Quando l’attività di consulenza doveva essere poi realizzata nella maggior parte delle volte si arrivava ad un compromesso tra requisito ed offerta disponibile in quel momento sul mercato, con l’effetto di una maggiorazione dei costi ed una implementazione non propriamente corrispondente.

4) Adeguamenti gratuiti ed automatici se imposti dall’evoluzione della norma
Un’altra caratteristica molto apprezzata dai nostri Clienti è rappresentata dal fatto che, qualora la norma cambi, SecFull Target sarà adeguata “automaticamente” cioè senza che il Cliente debba intercettare questa esigenza tramite i propri Uffici legali, la declini tecnicamente ed inviti il proprio fornitore a farlo nel rispetto dei tempi imposta dalla legge. Tutto questo con SecFull Target è ormai preistoria e le attività di adeguamento sono ricomprese nel costo, in funzione del tipo di contratto, limitatamente al perimetro di competenza dell’applicazione.

5) Condivisione gratuita delle modifiche richieste da altri Clienti
SecFull Target va oltre la diffusa attività di condivisione delle patch dell’applicazione tra i Clienti che la usano. SecFull Target può essere modificato per specifiche esigenze di un operatore; nel caso questa accada la nuova funzionalità può essere offerta gratuitamente agli altri Clienti limitatamente al perimetro di competenza dell’applicazione.

 

Rimane a parte l’ultima caratteristica rappresentata dal fatto che SecFull Target appartiene ad una società interamente italiana, non controllata o posseduta da altre aziende non italiane, con il team di sviluppo e di consulenza tutto italiano, non fornitrici di analoghi apparati verso le Procure. I nostri Clienti confermano che questa caratteristica dovrebbe essere implicitamente soddisfatta per evitare evidenti conflitti di interesse e per la garanzia del rispetto dei principi che appartengono al concetto di sicurezza nazionale.

Secfull®

NEWS – Mapping CALEA to ETSI information

SECFULL TARGET

SecFull Target ha completato il mapping tra le informazioni previste da CALEA per lo standard americano di lawful interception ed il rispettivo standard ETSI valido in europa.

L’attività ha permesso ad una primaria azienda operante in Italia e all’estero di sfruttare quanto già realizzato negli USA in termini di lawful interception, facendo risparmiare così tempo e denaro.

L’attività è stata condotta in sinergia tra gli esperti tecnici e quelli mormativi-giuridici di LEX ET ARS, che mostra come SECFULL sia il prodotto più completo presente in termini di supporto al Cliente.

NEWS – WiFi Lawful Interception

SECFULL TARGET

SecFull Target ha completato l’installazione per primaria azienda nazionale operante nel campo WiFi offerto su vettori in mobilità, permettendole di divenire un esempio nazionale per l’erogazione delle prestazioni obbligatorie.

Tramite la piattaforma SECFULL TARGET è possibile:

1) Work Flow Management: gestire le varie e davvero particolari richieste previste dalla normativa;

2) Lawful Interception: effettuare le intercettazioni su base MSISDN e/o MAC ADDRESS;

3) Data Retention: ricevere, memorizzare e catalogare milioni di records al giorno relativi alle fasi di autenticazione sulle reti WiFi. Tramite questa funzionalità è possibile identificare gli utenti che si collegano, anche se la loro navigazione è stata NATtata, e distinguere le diverse tipologie di tabulati di traffico storico che le reti WiFi consentono di fornire.

E’ stata richiesta un’altissima automazione delle fasi di gestione delle richieste, per ridurre l’effort del personale dedicato.

 

Alcuni riferimenti normativi

L’art. 2 del Codice delle Comunicazioni Elettroniche, rubricato “Definizioni” (ex art. 2 e art. 1 Codice 2003), distingue tra due diverse tipologie di utilizzo delle reti:

  • Rete privata o Rete di comunicazione elettronica ad uso privato: è una rete di comunicazione elettronica con la quale sono realizzati servizi di comunicazione elettronica ad uso esclusivo del titolare della relativa autorizzazione. Una rete privata può interconnettersi, commercialmente, con la rete pubblica tramite uno o più punti terminali di rete, purché i servizi di comunicazione elettronica realizzati con la rete privata non siano accessibili al pubblico. Per le reti Wi-Fi private non è prevista alcuna autorizzazione. Le apparecchiature sono comprese in quelle previste di libero uso ai sensi dell’art. 105, comma 1, lettera b del Codice, così come modificato dall’art. 70 del D.Lgs. 70/2012. Per uso privato si intende che la rete deve essere utilizzata soltanto per trasmissioni riguardanti attività di propria pertinenza, con divieto di effettuare traffico per conto terzi (art. 101 del Codice).
  • Rete pubblica di comunicazione elettronica: è una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete. Il caso tipico è l’installazione di uno o più access point uno spazio aperto al pubblico per fornire, ad esempio, il servizio di accesso alla rete internet. È necessario distinguere i seguenti casi:
  1. Impresa che ha come attività principale la fornitura di servizi di comunicazione elettronica. In questo caso è necessaria l’autorizzazione generale (art. 11 del Codice), da richiedere al MIMIT. A questo scopo si deve presentare una dichiarazione conforme all’allegato A del Decreto Ministeriale 28 maggio 2003 (e successive modifiche). Dato che questo tipo di installazione comporta l’uso pubblico, si deve preventivamente essere autorizzati ad agire come Internet Service Provider (ISP).
  2. Impresa o esercizio commerciale che non ha come attività principale la fornitura di servizi di comunicazione elettronica. Secondo quanto disposto dall’art. 10 del D.L 69/2013 (cosiddetto “Decreto del fare”) convertito con legge 9 agosto 2013, n. 98, in questo caso l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede alcuna autorizzazione e non prevede l’identificazione dell’utilizzatore.
  3. Pubblica amministrazione. L’art. 9 del Codice vieta espressamente a Stato, Regioni ed enti locali di fornire direttamente reti e servizi di comunicazione elettronica ad uso pubblico se non attraverso società controllate o collegate. Per erogare questo tipo di servizi le pubbliche amministrazioni devono quindi rivolgersi a operatori autorizzati ai sensi dell’art. 11 del Codice.

Organizzazione e ruoli del Servizio WiFi

Nel framework operativo per fornire il servizio WI-FI pubblico, possiamo individuare quattro figure distinte:

  • Service Provider: è il fornitore del Servizio ed è rappresentato dall’Ente responsabile della progettazione, della gestione e delle evoluzioni del servizio stesso. Il Service Provider gestisce le policy di accesso per la connessione al servizio e per la generazione delle credenziali, necessarie agli utenti, per poter accedere alla rete.
  • Resource Provider: fornisce l’infrastruttura di rete all’utente che viene identificato secondo le modalità stabilite.
  • Internet Service provider: fornisce la connettività ad Internet all’infrastruttura del Recource Provider.
  • Utente: l’utente finale del servizio.

 

Identificazione degli utenti

Uno dei requisiti atti a garantire anche la sicurezza sulle reti Wi-Fi è che sia prevista l’identificazione dell’utente, in associazione agli opportuni meccanismi di autenticazione, realizzati anche in modo indiretto, attraverso sistemi di verifica della numerazione mobile via OTP.
Per quanto riguarda le imprese l’art. 10 del “Decreto del fare” ha disposto che l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede (obbligatoriamente) l’identificazione personale degli utilizzatori. Inoltre, le imprese che offrono al pubblico l’accesso Wi-Fi in modo secondario rispetto alla loro attività principale, non sono tenute a richiedere l’autorizzazione prevista per le reti e i servizi di comunicazione elettronica né l’autorizzazione del questore per l’apertura di pubblico esercizio o circolo privato in cui sono posti a disposizione terminali utilizzabili per comunicazioni telematiche (prevista dall’articolo 7 del d.l. 144/2005).

L’art. 10 del suddetto Decreto non solleva dall’obbligo di autenticazione e di identificazione indiretta. È utile rilevare che in caso di violazione di sistemi o di dati effettuata grazie all’utilizzo di un accesso Wi-Fi disponibile senza alcuna autenticazione informatica o altra forma di protezione della connessione aerea (wireless), non sarà possibile risalire all’autore della condotta illecita, con conseguenti responsabilità civili e penali.
Per coloro che forniscono accesso ad Internet tramite Wi-Fi ai sensi dell’art. 8-bis del CAD, quindi, si ritiene in ogni caso opportuno dotarsi di sistemi di identificazione (e autenticazione) dell’utente, o consentire l’accesso attraverso dispositivi personali il cui rilascio prevede l’identificazione. Tali sistemi dovranno essere progettati rispettando i requisiti previsti dal GDPR, tra i quali la raccolta e la conservazione solo di dati strettamente necessari e per il tempo necessario e il rilascio delle informative.

 

 

 

NEWS – Fiber 1GB Lawful Interception

SECFULL TARGET

SecFull Target ha completato l’installazione per primaria azienda nazionale operante nel campo dei servizi di accesso in fibra ad 1 GB.

Tramite la piattaforma SECFULL TARGET è possibile:

1) Work Flow Management: gestire le varie richieste previste dalla normativa;

2) Lawful Interception: effettuare le intercettazioni su base identificativo tecnico;

3) Data Retention: ricevere, memorizzare e catalogare milioni di records al giorno relativi alle fasi di autenticazione sulle reti fisse. Tramite questa funzionalità è possibile identificare gli utenti che si collegano, anche se la loro navigazione è stata NATtata, e fornire i tabulati di traffico storico.

E’ stata richiesta un’altissima automazione delle fasi di gestione delle richieste, per ridurre l’effort del personale dedicato.

Alcuni riferimenti normativi

Il comma 8 dell’art. 57 del Codice delle Comunicazioni Elettroniche, prevede che “8. Ai fini dell’erogazione delle prestazioni di cui al comma 6 gli operatori hanno l’obbligo di negoziare tra loro le modalità di interconnessione, allo scopo di garantire la fornitura e l’interoperabilità delle prestazioni stesse. Il Ministero può intervenire se necessario di propria iniziativa ovvero, in mancanza di accordo tra gli operatori, su richiesta di uno di essi.”

Il nuovo modello di erogazione delle prestazioni obbligatorie

Gli esperti di SECFULL hanno proposto alla società Cliente un modello mai utilizzato prima in Italia ma più efficente, per cui il soggetto che eroga nella pratica le prestazioni obbligatorie non è quello a cui spetta l’obbligo in quanto operatore di telecomunicazioni, ma è quello che gestisce la rete e che offre di fatto il servizio in via indiretta all’utente finale. In applicazione del suddetto comma 8, entrambi i soggetti devono possedere autorizzazione generale concessa dal MIMIT. Il modello è stato ampliamente accettato dalle Autorità e consente loro di avere un solo interlocutore anziché N diversi con altrettanti riferimenti da contattare.

Esigenze di Sicurezza Pubblica

L’ Art.75 comma 1 del decreto-legge 17 marzo 2020 n. 18, convertito con modificazioni dalla Legge 24 aprile 2020 n. 27, prevede che

In tema di “Acquisti per lo sviluppo di sistemi informativi per la diffusione del lavoro agile e di servizi in rete per l’accesso di cittadini e imprese” …. “le amministrazioni aggiudicatrici … sono autorizzate, sino al 31 dicembre 2020, ad acquistare beni  e  servizi informatici, preferibilmente basati sul modello cloud SaaS (software as a service) e, soltanto laddove ricorrono esigenze di sicurezza pubblica ai sensi dell’articolo 4, paragrafo 1, del regolamento  (UE) 2018/1807 del Parlamento europeo e del  Consiglio, del 14 novembre 2018, con sistemi di conservazione, processamento e gestione dei dati necessariamente localizzati sul territorio nazionale”.

Il decreto “Mille proroghe” (Art. 1, co. 11, D.L. 31 dicembre 2020, n. 183) ha posticipato la scadenza dell’autorizzazione all’acquisto di beni e servizi informatici al 31 dicembre 2021.
Al momento (2019), SecFull Meeting risulta essere l’unico prodotto in configurazione SaaS che soddisfi il requisito posto dalla Legge nel conservare, processare e gestire in dati in Italia. Tale requisito, grazie alla collaborazione con AWS, può essere rispettato in qualunque altro Stato dove è presente un suo data center.

 

Zoom can access the content of meetings

The Federal Trade Commission announced on November 9 (link) an agreement with Zoom Video Communications, Inc. that will require the company to implement a robust information security program to resolve allegations that the video conferencing provider has implemented a series of deceptive and unfair practices that have undermined the security of its users.

Zoom has accepted the obligation to establish and implement a comprehensive security program (link) a ban on privacy and misrepresentation regarding security, and other detailed and specific measures to protect its user base, which has skyrocketed since 10 million in December 2019 to 300 million in April 2020 during the COVID-19 pandemic.

In its complaint (link), the FTC said that, since at least 2016, Zoom has misled users by claiming to offer “end-to-end 256-bit encryption” to protect user communications, when in fact it provided a lower security level. End-to-end encryption is a method of securing communications so that only the sender and recipient (and no other person, not even the platform provider) can read the content.

In fact, the FTC argues, Zoom has kept cryptographic keys that could allow Zoom to access the content of its clients’ meetings and has secured its Zoom Meetings, in part, with an encryption level lower than promised. Zoom’s misleading claims have given users a false sense of security, according to the FTC’s complaint, particularly for those who have used the company’s platform to discuss sensitive topics such as health and financial information. In numerous blog posts, Zoom specifically advertised its level of encryption as the reason clients and prospects use Zoom’s video conferencing services.

Location of data in Microsoft Teams

On its website, Microsoft has published where your data resides when you use Teams, specifying that they reside in the geographical area associated with the user’s Office 365 or Microsoft 365 organization.
When you use Teams for free, so you don’t belong to any organization, you can configure where to store your data, choosing from the available geographical areas.
We have extended the analysis to all Microsoft services for an Italian user. Teams currently supports the following regions: Australia, Brazil, Canada, France, Germany, India, Japan, Norway, South Africa, South Korea, Switzerland (which includes Liechtenstein), United Arab Emirates, United Kingdom, Americas, APAC regions and EMEA. Microsoft does not disclose the exact addresses of its data centers, however it does list the locations of cities. For country- or region-specific data centers, the following are the cities where inactive customer data is stored.
Country / Region specific data center location cities
Country Region
Australia Sydney, Melbourne
Brasile Rio, Campinas
Canada Québec, Toronto
Unione Europea Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Francia Parigi, Marsiglia
Germania Francoforte, Berlino
India Chennai, Mumbai, Pune
Giappone Osaka, Tokyo, Saitama
Corea del Sud Busan, Seoul
Norvegia Oslo, Stavanger
Sudafrica Città del Capo, Johannesburg
Svizzera Ginevra, Zurigo
Emirati Arabi Uniti Dubai, Abu Dhabi
Regno Unito Durham, Londra, Cardiff
Stati Uniti Boydton, Cheyenne, Chicago, Des Moines, Quincy, San Antonio, Santa Clara, San Jose

 

ITALY: where the data per service reside

Expanding the analysis to all Microsoft services for an Italian user, the following table shows where the data resides:

Service Region
Exchange Online Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
OneDrive for Business Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
SharePoint Online Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Skype for Business Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Microsoft Teams Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Office Online & Mobile Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
EOP Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Intune Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
MyAnalytics Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Planner Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Sway Stati Uniti
Yammer Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Servizi di OneNote Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Stream Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Whiteboard Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Forms Austria (Vienna), Finlandia (Helsinki), Francia (Parigi, Marsiglia), Irlanda (Dublino), Paesi Bassi (Amsterdam)
Workplace Analytics Stati Uniti

 

Rif.: (IT, EN, Tech Community)

 

1 2