​Șase instituții, printre care DNA, Autoritatea Electrorală Permanentă, Curtea Constituțională și Registrul Comerțului, refuză să-și mute sistemele IT în cloud-ul guvernamental. Alte cinci instituții printre care DIICOT ori Consiliul Superior al Magistraturii au refuzat să răspundă întrebărilor SRI și STS privind dimensionarea IT a acestui cloud. Ce va face Guvernul dacă acest refuz continuă?

Cloud computingFoto: Dreamstime.com

Guvernul a aprobat joi un Memorandum prin care va solicita din nou unui număr de 23 de instituții publice să răspundă unor întrebări necesare dimensionării viitorului cloud guvernamental care ar urma să găzduiască sistemele IT publice.

Termenul limită este 22 aprilie 2022.

Intenționează Guvernul să oblige instituțiile să intre în cloud? Ce spune purtătorul de cuvânt al Guvernului

HotNews.ro l-a întrebat joi pe Dan Cărbunaru, purtătorul de cuvânt al Guvernului, ce rol are adoptarea acestui memorandum și acel termen de 22 aprilie.

• „Este o formă de responsabilitate asumată la nivel guvernamental pentru a gestiona acest proiect important pentru România.”, a spus Dan Cărbunaru.

Va exista vreo formulă de obligare a autorităților publice de a intra în acest cloud?

• „Discuțiile care se poartă acum vor clarifica toate aceste aspecte, fie că vor fi integrate, fie că vor fi conectate aceste instituții împreuna gestionează servicii publice importante. Acest lucru trebuie să aibă loc în condiții de siguranță deplină pentru datele stocate acolo și de funcționalitate pentru ceea ce trebuie să ofere.”, a declarat purtătorul de cuvânt al Guvernului.

Întrebat ce caută SRI în gestionarea securității cibernetice a acestui cloud, în locul STS, purtătorul de cuvânt al Guvernului a susținut că fiecare dintre instituții cu responsabilități ăși gestionează atribuțiilor în conformitate cu legea.

• „Ceea ce pot să vă asigur este că acest proiect de Cloud guvernamental, în momentul implementării sale va ține cont de cadrul legal existent. Suntem stat membru UE și NATO și nu pune nimeni la îndoială din această perspectivă capacitate României de a-și implementa responsabilitățile. De altfel din perspectiva amenințărilor cyber, performanțele pe care Romînia le are prin instituțiile sale abilitate sunt recunoscute și acasă dar și în afara țării noastre.”, a mai spus Cărbunaru.

Peste 20 de instituții publice refuză ori ezită să-și mute sistenmele IT în cloud-ul guvernamental

Peste 20 de instituții publice, din care unele furnizează un număr foarte mare de servicii publice electronice, nu se grăbesc să-și mute sistemele IT în cloud-ul guvernamental. Mai mult, 6 dintre acestea, printre care DNA, Curtea Constituțională, Autoritatea Electorală Permanentă și Registrul Comerțului (ONRC) au transmis că refuză să utilizeze acest sistem. Informațiile apar într-un memorandum adoptat joi de Guvern.

Cloud-ul guvernamental, infrastructura IT finanțată cu 375 milioane de euro din PNRR, care ar trebui să găzduiască sistemele IT ale instituțiilor publice și să îmbunătățească interacțiunea cetățenilor cu statul, necesită o dimensionare a infrastructurii IT (hardware și software).

Specialiștii SRI, STS și ADR au transmis în data de 14 februarie 2022 către 108 autorități și instituții publice din România, asigurându-se că acestea au primit chestionarul și au desemnat și responsabili care să se ocupe de răspunsuri.

Doar că în aproximativ două săptămâni, chestionarele au fost completate cu date doar de către 83 de instituții și autorități.

• „Restul instituțiilor fie au răspuns că nu doresc să utilizeze Cloud-ul Guvernamental, fie nu au răspuns solicitării, fie nu au completat chestionarul până la final.”, se arată în Memorandum.

6 instituții publice refuză să intre în cloud. Și MAI și 7 structuri din subordine vor să aibă discuții pe tema utilizării acestei infrastructuri IT

În memorandum se precizează că în urma analizei datelor primite prin intermediul formularelor, din perspectiva instituțiilor și autorităților care au completat au rezultat următoarele:

• – 6 instituții nu au completat, însă și-au motivat decizia în scris;
• – Ministerul Afacerilor Interne (denumit în continuare MAI) dorește purtarea unei discuții prealabile pe tema utilizării infrastructurii de Cloud Guvernamental;
• – 5 instituții au refuzat să completeze și au motivat decizia verbal;
• – 4 instituții au manifestat disponibilitate, însă au completat date de test sau nu au completat.

Cele 6 instituții care au trimis notificare către ADR prin care au comunicat că nu vor completa chestionarul deoarece nu consideră necesară sau posibilă utilizarea infrastructurii Cloud-ului Guvernamental pentru serviciile informatice administrate sunt:

• 1. Agenția de Credite și Burse de Studii – ACBS (Ministerul Educației);
• 2. Autoritatea Electorală Permanentă;
• 3. Curtea Constituțională;
• 4. Direcția Națională Anticorupție;
• 5. Oficiul Național al Registrului Comerțului – ONRC;
• 6. Administrația Română a Serviciilor de Trafic Aerian ROMATSA R.A.

MAI a transmis faptul că pentru sine și pentru următoarele instituții subordonate dorește purtarea unei discuții referitoare la utilizarea Cloud-ului Guvernamental:

• 1. Arhivele Naționale (MAI);
• 2. Direcția pentru Evidenta Persoanelor si Administrarea Bazelor de Date (MAI);
• 3. Direcția Generală Pașapoarte (MAI);
• 4. Direcția Regim Permise de Conducere și Înmatriculare a Vehiculelor (MAI);
• 5. Poliția de Frontieră Română (MAI);
• 6. Poliția Română (MAI);
• 7. Inspectoratul General pentru Imigrări (MAI).

Cele 5 instituții care au comunicat verbal, prin reprezentanții tehnici către echipele de suport în completarea formularelor, faptul că nu vor completa chestionarul sunt următoarele:

• 1. Academia Română;
• 2. Consiliul Național de Soluționare a Contestațiilor;
• 3. Consiliul Superior al Magistraturii;
• 4. Institutul Național de Cercetare – Dezvoltare în Informatică;
• 5. Direcția de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism.

Un număr de 4 instituții, prin reprezentanții tehnici, au comunicat cu echipele de suport în completarea formularelor. Ulterior, aceste instituții fie au transmis doar date de test, fie nu au furnizat informații referitoare la sistemele informatice:

• 1. Ministerul Economiei;
• 2. Ministerul Muncii și Solidarității Sociale; (obs – ANPIS, ANOFM, CNPP si ITM au completat);
• 3. Ministerul Afacerilor Externe;
• 4. Ministerul Familie, Tineretului și Egalității de Șanse.

„Având în vedere faptul că o parte dintre cele 22 de instituții mai sus amintite au în atribuții furnizarea unui număr mare de servicii publice electronice de tip e-guvernare, ținând cont de dimensiunile actuale ale sistemelor informatice deținute, este recomandată utilizarea infrastructurii reziliente de Cloud Guvernamental pentru serviciile menționate.

Pentru realizarea demersului de furnizare a serviciilor publice electronice de tip e-guvernare într-o manieră rezilientă securizată, printr-un demers unitar consistent, este necesar sprijinul instituțiilor mai sus menționate în furnizarea informațiilor necesare dimensionării corespunzătoare a infrastructurii de Cloud Guvernamental. Obținerea și centralizarea acestor informații are ca scop dotarea cu echipamente și licențe necesare funcționării optime a serviciilor.”, se precizează în document.

Șeful AEP, pentru Libertatea: Nu considerăm normal ca STS și SRI să aibă acces la toate datele și documentele în vederea alegerilor

Criticile la adresa implicării SRI în proiectul cloudului guvernamental nu vin doar din partea societății civile, ci și de la instituții ale statului. Astfel, Autoritatea Electorală Permanentă (AEP) avertizează că, în forma actuală, proiectul este un risc pentru drepturile celor 18,85 de milioane de alegători români și pentru securitatea datelor lor, conform unui document intrat în posesia Libertatea.

Prin acest document, datat 25 martie și trimis către Ministerul Digitalizării și Autoritatea pentru Digitalizarea României, autoritatea propune eliminarea AEP din lista instituțiilor care vor trebui să folosească cloud-ul guvernamental.

„Noi nu considerăm normal ca STS și SRI să aibă acces la toate datele și documentele pe care Autoritatea Electorală Permanentă le pregătește în vederea alegerilor. Este în primul rând o problemă de imagine, nu are sens să lăsăm să planeze suspiciunea că o unitate militară, oricare ar fi aceea, are acces la astfel de documente.”, a declarat Constantin Mitulețu-Buică, șeful AEP pentru Libertatea.

Pe de altă parte, șeful AEP spune că autoritatea colaborează deja cu STS la pregătirea și securizarea alegerilor.

„În momentul de față exportăm datele în serverele de la STS, unele servere se află chiar aici, la noi. Am colaborat foarte bine cu STS. Dacă această ordonanță va rămâne în actuala formulă, iar, de exemplu, SRI poate avea acces la datele autorității, se ridică o problemă de percepție publică. De ce trebuie implicată o unitate militară?”, a mai spus pentru Libertatea șeful AEP.

Ce caută SRI în cloud-ul guvernamental?

Serviciul Român de Informații (SRI) susține că nu va avea acces la datele stocate în viitorul cloud guvernamental. Totuși SRI va putea monitoriza și căuta în traficul de internet al angajaților după adrese IP sau de email, nume de utilizator și conturi asociate cu diverse platforme etc. Asta face așa numitul proiect Țițeica, gestionat de SRI din 2015, prin care peste 60 de instituții publice sunt apărate cibernetic și care va mai primi 100 milioane euro din PNRR.

Proiectul Țițeica: Ce face SRI în acest proiect care acoperă peste 60 de instituții

În plin scandal legat de posibilul pericol al asigurării securității cibernetice a viitorului cloud guvernamental de către SRI, Ministerul Digitalizării, condus de Marcel Boloș, a venit în 25 martie cu un set de precizări menite să liniștească opinia publică în privința faptului că SRI nu va avea acces la datele de conținut.

• „Echipamentele care vor fi instalate pentru asigurarea securității cibernetice nu permit vizualizarea și accesarea datelor existente în Cloud-ul guvernamental. Acestea generează alerte de securitate cibernetică, în scopul detectării și prevenirii materializării unor atacuri.
• Asigurarea securității cibernetice a Cloud-ului guvernamental este o continuare naturală a proiectului Țițeica – „Sistemul național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic”, operaționalizat în anul 2015 și actualizat în 2021, prin care este asigurată securitatea cibernetică a 61 de instituții publice.
• Ținând cont de faptul că proiectul de Cloud guvernamental va reprezenta o infrastructură cu valențe critice, afectarea acestuia inclusiv prin atacuri cibernetice poate avea un impact major asupra securității naționale.”, se arată în precizările Ministerului.

Acestea sunt aproape identice cu cele furnizate în aceeași zi de SRI, prin Centrul Național Cyberint (CNC), către ZF.

Bogdan Manolea: E imposibil să faci securitate informatică a traficului fără acces la aceste date

Bogdan Manolea, directorul executiv al Asociației pentru Tehnologie și Internet (ApTI), care este jurist specializat în legislația internetului, a ținut să evidențieze că nici atenționarea asociației sale cu privire la posibilul pericol legat de SRI nu a vizat accesul la datele de conținut.

• „SRI vorbește de datele de conținut. Teoretic, se poate să asigure securitatea fără acces la date de conținut, dar nimeni nu știe exact ce protejează și cum o face.
• Dar noi am vorbit de faptul că SRI va avea acces la datele de trafic – e imposibil să faci securitate informatică a traficului fără acces la aceste date. Practic orice date legate de acces la o pagină web sau o aplicație – IP, MAC, pagini vizitate, interacțiuni etc..Și acestea sunt date personale.
• Nici Serviciul de Telecomunicații Speciale (STS) nu e perfect, dar măcar scopul legal al acestuia este securizarea informațiilor pe când la SRI e colectarea informațiilor. Astea sunt scopuri divergente.
• Problema nu e că monitorizezi traficul, ci ce faci cu monitorizarea dincolo de asigurarea securității.”, a declarat pentru HotNews.ro juristul Bogdan Manolea.

HotNews.ro a solicitat puncte de vedere la Ministerul Digitalizării, SRI și STS atât cu privire la legislația în baza căreia SRI are atribuții în zona de securitate cibernetică (dincolo de decizia CSAT), cât și detalii despre instituțiile prezente în proiectul Țițeica și cele care ar mai urma să fie acoperite de acest proiect. Vom reveni cu răspunsuri imediat ce le vom primi.

Sursa foto: Dreamstime.com