Datele cetățenilor și ale firmelor din viitorul cloud guvernamental, infrastructură IT care ar urma să găzduiască toate sistemele informatice publice centrale, nu vor putea fi vizualizate și accesate de Serviciul Român de Informații (SRI), care va asigura doar securitatea cibernetică a acestui sistem, susține Ministerul Digitalizării, într-un răspuns mai larg pe marginea controverselor iscate față de acest proiect cu finanțare de peste 500 milioane de euro din PNRR.
Ministerul Cercetării, Inovării și Digitalizării, condus de Marcel Boloș, a prezentat recent mai multe explicații la problemele ridicate de Asociația Patronală a Industriei de Software (ANIS) și de Asociația pentru Tehnologie și Internet (APTI) față de realizarea cloud-ului guvernamental, un proiect IT care are o finanțare din PNRR de 375 milioane de euro pentru implementarea infrastructurii și de încă 187 milioane de euro pentru dezvoltarea și migrarea în cloud a sistemelor informatice publice.
Cine va avea acces la datele cetățenilor - Ce spune Ministerul condus de Marcel Boloș
Acuzat de către industria IT că nu a ținut cont de principiile discutate timp de 2 ani cu mediul privat pentru realizarea viitorului cloud guvernamental atunci când a lansat în consultare publică propiectul de ordonanță de urgență pentru operaționalizarea viitorului cloud guvernamental, Ministerul Digitalizării a publicat recent mai multe precizări la problemele ridicate.
- VEZI AICI PROIECTUL DE OUG ȘI NOTA DE FUNDAMENTARE
Una dintre îngrijorări a vizat posibilul acces neautorizat al SRI la acest cloud, în condițiile în care acest Serviciu secret va asigura securitatea cibernetică a viitorului sistem IT în care vor fi toate datele cetățenilor.
Prin faptul că va trebui să cunoască, să prevină și să contracareze atacurile cibernetice, inclusiv cele complexe, de tip APT, Serviciul Român de Informații (SRI) va gestiona toate echipamentele și aplicațiile de securitate, inclusiv cu acces la întreg traficul de la sau spre viitorul Cloud guvernamental, fapt periculos deoarece SRI nu poate asigura securitatea datelor personale, pentru că scopul său legal este de a culege informații, a atenționat APTI.
- Iată cum răspunde Ministerul Digitalizării la aceste îngrijorări:
„Proprietarii bazelor de date rămân instituțiile responsabile cu sistemele informatice, iar acestea stabilesc propriile proceduri de acces autorizat. Infrastructura unitară a Cloud-ului guvernamental va asigura un nivel de securitate mult mai ridicat decât prin gestionarea individuală a bazelor de date.
În niciun caz prevederile proiectului de OUG nu aduc atingere principiilor și reglementărilor privind prelucrarea datelor cu caracter personal. Mai mult decât atât, implementarea acestor propuneri legislative va asigura un nivel de protecţie suplimentar, prin eliminarea riscului de vulnerabilizare a accesului la date de către terţi, respectiv asigurarea trasabilităţii accesării şi utilizării datelor.
Datele din Cloud-ul guvernamental vor fi accesate doar de către instituțiile care le dețin. Administratorii cloud-ului asigură infrastructura securizată (n.a STS) și măsurile de securitate cibernetică (n.a SRI și STS) pentru găzduirea bazelor de date ceea, ce este distinct față de accesarea datelor care se face de către instituția care le deține. (..)
Conform proiectului de OUG, asigurarea securității cibernetice a Cloud-ului guvernamental se face prin implementarea de mecanisme care să asigure confidențialitatea, integritatea și disponibilitatea datelor entităților găzduite în Cloud, inclusiv protejarea datelor în tranzit, precum și detectarea și prevenirea atacurilor cibernetice complexe, de tip APT.
Echipamentele care vor fi instalate pentru asigurarea securității cibernetice nu permit vizualizarea și accesarea datelor existente în Cloud-ul guvernamental. Acestea generează alerte de securitate cibernetică, în scopul detectării și prevenirii materializării unor atacuri.
Asigurarea securității cibernetice a Cloud-ului guvernamental este o continuare naturală a proiectului Țițeica - „Sistemul național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic”, operaționalizat în anul 2015 și actualizat în 2021, prin care este asigurată securitatea cibernetică a 61 de instituții publice.
Ținând cont de faptul că proiectul de Cloud guvernamental va reprezenta o infrastructură cu valențe critice, afectarea acestuia inclusiv prin atacuri cibernetice poate avea un impact major asupra securității naționale.
De asemenea, în pct. 4 din art. 10 al proiectului de Oordonanță de urgență este prevăzută crearea mecanismelor pentru jurnalizarea tuturor evenimentelor și accesului la datele entităților găzduite în Cloud-ul guvernamental, în scopul realizării de audituri de conformitate periodice pe linia calității, securității și trasabilității datelor, în vederea asigurării transparenței utilizării acestora.", susține Ministerul Digitalizării.
Pot instituțiile de stat și sectorul public să achiziționeze servicii publice de cloud, cum ar fi Zoom?
O altă mare problemă ridicată de industria IT, prin Asociația patronală a industriei de Software (ANIS) este că în actuala formă a Ordonanței de urgență nicio tehnologie la care statul nu este proprietar, nici cele gratuite open-source nu vor putea fi folosite în viitorul cloud-guvernamental.
- La acest capitol, Ministerul Digitalizării susține următoarele:
„Odată creat cadrul legislativ ce permite utilizarea în siguranță a datelor publice, mediul privat are premisele dezvoltării de soluții și servicii încă din faza de construcție a celorlalte componente tehnice ale Cloud-ului și concomitent cu procesele de transfer (migrare) a informațiilor din toate instituțiile publice interconectate.
Conform reprezentanților mediului economic, „serviciile de tip Cloud reprezintă un accelerator al dezvoltării economice”, astfel încât, luând în calcul acest argument și coroborând prevederile PNRR, era necesară întâi o transpunere la nivel legislativ a modului de dezvoltare a Cloud-ului guvernamental care să permită capacitarea actorilor privați."
În plus, Ministerul mai spune că „tocmai componenta de SaaS (Software as a Service) a Cloud-ului guvernamental permite punerea la dispoziţie a unor produse software furnizate de mai mulţi producători. Acestea vor fi stabilite în funcţie de nevoile autorităţilor, urmărindu-se respectarea principiului Share & Reuse, conform cadrului Uniunii Europene de recomandări și măsuri."
Pe de altă parte, Ministerul nu reușește să răspundă cum va putea mediul privat să furnizeze soluții de Software as a Service (SaaS) în cloud, de vreme ce în proiectul de OUG se spune că statul trebuie să fie proprietar pe toate aceste soluții, fapt imposibil tehnic.
- „Prima problema este legată de centralizarea tuturor achizițiilor de software la nivelul Autorității pentru Digitalizarea României (ADR). Există un risc real de a vedea într-un an sau doi crearea unor monopoluri ori oligopoluri. Tot ce este legat de achiziții centralizate de la ADR trebuie reformulat. Ne uităm la art. 10 alineatele 1, 2 și 3 care toate prevăd că tehnologia, inclusiv SaaS, PaaS, SaaS, va fi în proprietatea statului, fapt care nu se poate întâmpla tehnic.", a atenționat săptămâna trecută Mihai Matei, președintele ANIS.
Președintele ANIS a atenționat că trebuie făcută diferența între proprietarul unei aplicații și dreptul de a folosi o aplicație printr-o licență de utilizare gratuită.
- „Inclusiv pentru tehnologiile open-source autorul deține proprietatea respectivei tehnologii, chiar dacă acea tehnologie este gratuită. Faptul că acea tehnologie este gratuită și o găsim pe internet și o putem descărca gratuit, nu înseamnă că noi suntem proprietari, ci că avem o licență de utilizare gratuită.
- Ca atare, în forma în care este acum acest OUG, în viitorul cloud nu se va putea folosi nicio tehnologie, nici măcar tehnologiile gratuite open-source, nici pentru infrastructură, nici pentru aplicații.
- Forma în care este acum această OUG, că statul va fi proprietarul acestor soluții, tehnic este inaplicabilă și legal nu se poate, decât dacă se apucă statul să facă sisteme de operare, baze de date și toate tehnologiile. Aici cred că este o scăpare și lucrul acesta trebuie corectat pentru că tehnic nu se poate.", a mai spus președintele ANIS.
Ce instituții vor gestiona cloud-ul conform PNRR: ministrul Boloș este contrazis de fostul ministru Teleman de la Digitalizare
O altă problemă este legată de instituțiile care vor gestiona acest cloud guvernamental. Ministerul Digitalizării, condus de Marcel Boloș, susține că „inițiativa reprezintă în fapt transpunerea prevederilor PNRR unde sunt identificate explicit instituțiile responsabile de implementarea investițiilor. Iar atribuțiile reprezintă consecința directă a legislației de funcționare a instituțiilor respective care, prin competențele lor sprijină instituțiile administrației publice centrale."
„Prevederile din PNRR au fost negociate și centralizate în anul 2021, prevăzându-se prin Jalonul 144 din trimestrul 2 al anului 2022 intrarea în vigoare a unui act normativ privind Cloud-ul guvernamental pentru administrația publică. La preluarea mandatului la sfârșitul lui ianuarie 2022 România încă nu avea pași concreți spre atingerea acestui obiectiv care acum este aproape de a fi îndeplinit”, susține ministrul Marcel Boloș.
Acesta este însă contrazis de fostul ministru USR al Digitalizării, Ciprian Teleman, care a coordonat redactarea acestui proiect către Comisia Europeană.
- „Citez din PNRR: 1. “Opțiunile strategice și tehnologice și pachetul legislativ și normativ, care vor sta la baza dezvoltării guvernului Cloud, care sunt în responsabilitatea MCID, Autoritatea pentru Digitalizarea României (ADR) și a instituțiilor cu atribute în acest domeniu (ADR se afla în subordinea MCID, iar roluluri distincte vor fi trasate prin Ordin de ministru).
- Soluția tehnologică va fi pusă în aplicare de către o autoritate națională (cum ar fi STS), pe baza unei proceduri de achiziții competitive și transparente.“
- 2. “In urma analizei, Guvernul prin MCID, în colaborare cu ADR și instituțiile cu responsabilități în domeniu (SGG, STS, SRI, Cyberint, CERT-RO, MAI, MApN) stabilesc responsabilitatile privind constructia si operarea cloud-ului guvernamental optand pentru soluția optimă din punct de vedere financiar, al capabilităților tehnice și al calendarului de implementare, adecvata obiectivelor investitiei.“
- De unde ideea că STS are rolul principal? Nu a existat nicio discuție despre acest subiect ci doar despre operaționalizare.", a precizat săptămâna trecută pentru HotNews.ro Ciprian Teleman.
Ce este cloud-ul guvernamental: Peste 500 milioane euro finanțare din PNRR
Cloud-ul guvernamental ar urma să fie o infrastructură IT de ultimă generație și un nivel ridicat de securitate cibernetică, ce va avea la bază 4 centre de date, două principale și alte două secundare, de nivel Tier III/IV by design, potrivit datelor din PNRR.
Această infrastructură IT va găzdui sistemele publice IT centrale și ar urma să informatizeze relația dintre stat și cetățeni și firme.
Implementarea infrastructurii de cloud guvernamental are o alocare de 374,73 milioane euro în PNRR, iar în acești bani ar trebui atinse următoarele obiective specifice:
- 1. Amenajarea și dotarea centrelor de date cu un nivel de reziliență caracteristic nivelului Tier IV/III by design;
- 2. Echiparea centrelor de date cu infrastructură și tehnologii cloud specifice IT&C (hardware și software);
- 3. Asigurarea comunicațiilor securizate folosind infrastructurile de comunicații de bandă largă operate de autoritatea publică abilitată la nivel național.
În plus, tot în PNRR mai există o alocare de 187,05 milioane de euro pentru „investiții pentru dezvoltarea/migrarea în cloud".
Obiectivul: tehnologiile folosite în prezent în cadrul instituțiilor publice vor fi upgradate și vor deveni cloud-ready. În paralel, noi aplicații, cloud-native vor fi create pentru migrarea în cloud.
1
1
