Crónica de una visita al tribunal por una inyección SQL

Resumen

• Según la ley de libertad de información (FOIA) de Illinois, la mayor parte de la información en poder de organismos públicos está sujeta a divulgación, pero la ciudad de Chicago rechazó una solicitud FOIA alegando que el esquema de la base de datos (schema) podría implicar un riesgo de seguridad. Ante eso, el periodista de datos Matt Chapman presentó una demanda y, mediante testimonio experto, demostró que el esquema no representaba una amenaza de seguridad; ganó en primera instancia y en apelación, pero finalmente perdió ante la Corte Suprema de Illinois.
• La Corte Suprema interpretó que el esquema de la base de datos corresponde a un "diseño de archivos", por lo que no estaría sujeto a divulgación, lo que abre la puerta a que organismos públicos rechacen solicitudes de acceso a la información basándose en la estructura de sus bases de datos. Sin embargo, ya se presentó un proyecto de ley (SB0226) para resolver este problema, que incluye disposiciones para que los organismos públicos describan la estructura de la base de datos y así los solicitantes puedan pedir consultas de datos específicas.
• Este proyecto de ley es una medida importante para fortalecer la transparencia informativa, y hace falta contactar a legisladores locales para impulsar su aprobación.

Contexto

• La ley FOIA de Illinois es sólida y, en la mayoría de los casos, la información recopilada por organismos públicos se considera propiedad pública.
• Las solicitudes de información pueden hacerse fácilmente por correo electrónico, y por ley deben responderse en un plazo de 5 días.
• Una limitación importante de la FOIA es que no puede obligar a crear nuevos registros.
• Un esquema de base de datos describe la estructura de una base de datos, y su importancia ha crecido a medida que cada vez más información de los organismos públicos se almacena en bases de datos.

Matt Chapman vs. la ciudad de Chicago

• Matt Chapman es un especialista que hace periodismo de datos mediante solicitudes FOIA a gran escala.
• El sistema CANVAS de Chicago es una gran base de datos que administra de forma centralizada la información sobre multas de estacionamiento, y Matt solicitó el esquema de esa base de datos, pero su pedido fue rechazado.
• Chicago negó la divulgación alegando que podría poner en riesgo la seguridad del sistema, y Matt respondió presentando una demanda.

Cuando subí al estrado

• Hubo un debate sobre si divulgar el esquema de una base de datos representa una amenaza para la seguridad.
• La inyección SQL es uno de los principales métodos de ataque contra bases de datos, y se discutió si un esquema de base de datos puede usarse para ese tipo de ataque.
• Yo declaré enfatizando que los ataques de inyección SQL no se llevan a cabo a través del esquema de la base de datos.

Las huellas sangrientas de la ley

• Se ganó en primera instancia, pero Chicago apeló de inmediato.
• En apelación, se destacó que la divulgación de información tendría que representar una probabilidad muy alta de amenazar la seguridad.
• Finalmente, la Corte Suprema de Illinois resolvió que un esquema de base de datos puede considerarse un diseño de archivos.

Situación actual

• Los organismos públicos de Illinois tienen la facultad de negarse a divulgar esquemas de bases de datos.
• Las bases de datos no deberían convertirse en una herramienta para ocultar información, y el nuevo proyecto de ley SB0226 podría corregir esto.
• El proyecto establece que debe describirse con suficiente detalle la estructura de la base de datos para que el solicitante pueda pedir consultas específicas.