Serviciul Român de Informații (SRI) susține că nu va avea acces la datele stocate în viitorul cloud guvernamental. Totuși va putea monitoriza și căuta în traficul de internet al angajaților după adrese IP sau de email, nume de utilizator și conturi asociate cu diverse platforme etc. Asta face așa numitul proiect Țițeica, gestionat de SRI din 2015, prin care peste 60 de instituții publice sunt apărate cibernetic și care va mai primi 100 milioane euro din PNRR.
Proiectul Țițeica: Ce face SRI în acest proiect care acoperă peste 60 de instituții
În plin scandal legat de posibilul pericol al asigurării securității cibernetice a viitorului cloud guvernamental de către SRI, Ministerul Digitalizării, condus de Marcel Boloș, a venit în 25 martie cu un set de precizări menite să liniștească opinia publică în privința faptului că SRI nu va avea acces la datele de conținut.
- „Echipamentele care vor fi instalate pentru asigurarea securității cibernetice nu permit vizualizarea și accesarea datelor existente în Cloud-ul guvernamental. Acestea generează alerte de securitate cibernetică, în scopul detectării și prevenirii materializării unor atacuri.
- Asigurarea securității cibernetice a Cloud-ului guvernamental este o continuare naturală a proiectului Țițeica - „Sistemul național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic”, operaționalizat în anul 2015 și actualizat în 2021, prin care este asigurată securitatea cibernetică a 61 de instituții publice.
- Ținând cont de faptul că proiectul de Cloud guvernamental va reprezenta o infrastructură cu valențe critice, afectarea acestuia inclusiv prin atacuri cibernetice poate avea un impact major asupra securității naționale.", se arată în precizările Ministerului.
Acestea sunt aproape identice cu cele furnizate în aceeași zi de SRI, prin Centrul Național Cyberint (CNC), către ZF.
Bogdan Manolea: E imposibil să faci securitate informatică a traficului fără acces la aceste date
Bogdan Manolea, directorul executiv al Asociației pentru Tehnologie și Internet (ApTI), care este jurist specializat în legislația internetului, a ținut să evidențieze că nici atenționarea asociației sale cu privire la posibilul pericol legat de SRI nu a vizat accesul la datele de conținut.
- „SRI vorbește de datele de conținut. Teoretic, se poate să asigure securitatea fără acces la date de conținut, dar nimeni nu știe exact ce protejează și cum o face.
- Dar noi am vorbit de faptul că SRI va avea acces la datele de trafic - e imposibil să faci securitate informatică a traficului fără acces la aceste date. Practic orice date legate de acces la o pagină web sau o aplicație - IP, MAC, pagini vizitate, interacțiuni etc..Și acestea sunt date personale.
- Nici Serviciul de Telecomunicații Speciale (STS) nu e perfect, dar măcar scopul legal al acestuia este securizarea informațiilor pe când la SRI e colectarea informațiilor. Astea sunt scopuri divergente.
- Problema nu e că monitorizezi traficul, ci ce faci cu monitorizarea dincolo de asigurarea securității.”, a declarat pentru HotNews.ro juristul Bogdan Manolea.
Ce se știe de proiectul Țițeica - Ce date de trafic monitorizează SRI
Despre proiectul Țițeica a dat detalii chiar SRI în luna ianuarie 2021 tot pe fondul temerilor experților IT din piață în privința datelor care ar putea fi extrase și stocate de Serviciul Român de Informații prin acest sistem care monitorizează tot traficul de internet și email a 54 de instituții publice.
Ca și acum la cloud-ul guvernamental, și atunci SRI a susținut că are acces doar la alertele de securitate transmise în cadrul sistemului național de protecție a infrastructurilor IT de interes național împotriva amenințărilor cibernetice, așa numit Țițeica, un sistem IT a cărui mentenanță a preluat-o integral, potrivit unui Memorandum adoptat de Guvernul Ludovic Orban.
Sistemul Țițeica a fost lansat în anul 2013, când premier era Victor Ponta, iar ministru al Comunicațiilor era Dan Nica (PSD), cu fonduri UE de 97 milioane de lei.
Prin memorandumul de atunci, sistemul Țițeica a fost extins la un număr de 61 de instituții cu infrastructuri critice cu fonduri UE în valoare de peste 206,6 milioane de lei.
HotNews.ro a scris la acel moment că SRI lansase deja o licitație în acest sens, iar în Caietul de sarcini se furnizau detalii despre soluția de analiză a traficului brut de date care urma a fi cumpărată.
Soluția trebuia să-i permită SRI să monitorizeze și să caute în traficul de internet după adrese IP sau de email, nume de utilizator și conturi asociate cu diverse platforme etc. Licitația a fost atribuită în luna septembrie 2021.
Fostul ministru USR al Digitalizării, Ciprian Teleman: SRI a propus Comisiei Europene continuarea proiectului Țițeica în PNRR
Cum a ajuns Serviciul Român de Informații (SRI) să fie trecut ca posibil beneficiar în PNRR pentru cloud-ul guvernamental? De ce SRI și nu STS?
Ciprian Teleman, fostul ministru USR al Digitalizării, care a coordonat redactarea pilonului digital din Planul Național de reziliență și Redresare (PNRR), nu e mulțumit de OUG-ul pregătit de Guvern pentru a stabili ce instituții vor gestiona cloud-ul guvernamental, dar spune că SRI are rolul său.
- „Am declarat public că în varianta de OUG aflată în consultare publică cloud-ul guvernamental tinde să se îndepărteze de obiectivele aprobate prin PNRR. Însă fie că vorbim de o infrastructură tehnologică digitală, fie că vorbim de un ecosistem digital care contribuie la transformarea digitală, oricare dintre variante are nevoie de protecție.
- SRI, prin Centrul Național Cyberint, protejează cibernetic instituțiile guvernamentale și infrastructurile critice împotriva incapacitării resurselor digitale, a furtului de date sau al folosirii resurselor ca punct de lansare a atacurilor, când acestea pot afecta securitatea națională, institutia cu resposabilitatea de eliminarea a acestor amenintari fiind SRI.
- Dacă unele instituții își vor migra serviciile în cloud sau vor păstra centrele actuale de date, nevoia de protecție rămâne aceeași.”, a declarat pentru HotNews.ro Ciprian Teleman.
Mai mult, cine citește „Componenta C7. Transformare digitală” din PNRR va observa că SRI va fi beneficiarul unui proiect de investitii de 100 milioane de euro din PNRR pentru continuarea Țițeica.
Cine a propus continuarea Țițeica prin PNRR și ce a spus Comisia Europeană?
- „Propunerea a fost a SRI prin intermediul Cyberint și are ca obiectiv extinderea suprafeței protejate și catre zonele de utilități controlate de statul român, precum și prin implementarea multor altor activități complementare, cum ar fi pregătirea personalului din instituțiile protejate. Cerințele reprezentanților Comisiei Europene au fost, pe parcursul negocierilor, de detaliere a componentelor propuse, acestea regăsindu-se în forma aprobată.", a declarat pentru HotNews.ro fostul ministru al Digitalizării.
Tot în PNRR, se arată că SRI va avea un rol central ca autoritate de securitate cibernetică prin viitoarea lege a securității cinernetice - jalon în trimestrul 4 din 2022.
Și aici apare întrebarea: de ce SRI și nu STS sau altă instituție?
- „Statutul României de stat membru UE și membru NATO atrage obligații de respectare a directivelor care privesc protejarea infrastructurilor critice naționale și europene.
- Aceste responsabilități sunt împărțite între mai multe instituții, SIE, SRI, MApN și STS, rolul de coordonator avându-l premierul iar implementarea legislației revenind MAI. De asemenea, Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea competentă în domenul de aplicare a directivei NIS.
- Așadar este vorba despre un ecosistem care trebuie să conducă, potrivit strategiei de securitate cibernetică la un sistem național integrat. Țițeica este doar o parte din acest ecosistem și trebuie adus la un nivel corespunzător cu cel al provocărilor de securitate cibernetică, afectarea sistemelor protejate conducând la afectarea securității nationale, unde responsabilitatea revine, așa cum am arătat anterior, SRI.”, spune Ciprian Teleman.
Întrebat care este totuși baza legală pentru care SRI a primit aceste puteri pe zona de securitate cibernetică, fostul ministru al Digitalizării a spus: „Legea 362/2018 (cu modificări conform OUG 104/2021) și decizia CSAT. Nu am competența de a mă pronunța în subiecte juridice.”
Ce se spune în PNRR despre atribuțiile legale ale SRI
În PNRR se spune că Centrul Național Cyberint (CNC - înființat în 2013) constituit ca unitate centrală fără personalitate juridică a Serviciului Român de Informații (SRI) are atribuții în domenii operaționale de securitate cibernetică (conform Regulamentului de Funcționare a Serviciului Român de Informații, aprobat prin Hotărârea Consiliului Suprem de Apărare a Ţării) și acționează pentru cunoaşterea, prevenirea şi contracararea vulnerabilităţilor, riscurilor şi ameninţărilor la adresa securităţii cibernetice a României.
În baza atribuțiilor legale, CNC are în vedere asigurarea securității cibernetice a rețelelor și sistemelor informatice aparținând instituțiilor publice, precum și a infrastructurilor critice din domeniul IT&C, a căror afectare prin atacuri cibernetice poate genera impact negativ la adresa securității naționale.
Prin utilizarea soluțiilor de securitate cibernetică, CNC furnizează beneficiarilor legali informațiile necesare prevenirii, limitării sau stopării consecințelor unor atacuri cibernetice asupra sistemelor IT&C care reprezintă infrastructuri critice.
Șeful AEP, pentru Libertatea: Nu considerăm normal ca STS și SRI să aibă acces la toate datele și documentele în vederea alegerilor
Criticile la adresa implicării SRI în proiectul cloudului guvernamental nu vin doar din partea societății civile, ci și de la instituții ale statului. Astfel, Autoritatea Electorală Permanentă (AEP) avertizează că, în forma actuală, proiectul este un risc pentru drepturile celor 18,85 de milioane de alegători români și pentru securitatea datelor lor, conform unui document intrat în posesia Libertatea.
Prin acest document, datat 25 martie și trimis către Ministerul Digitalizării și Autoritatea pentru Digitalizarea României, autoritatea propune eliminarea AEP din lista instituțiilor care vor trebui să folosească cloud-ul guvernamental.
„Noi nu considerăm normal ca STS și SRI să aibă acces la toate datele și documentele pe care Autoritatea Electorală Permanentă le pregătește în vederea alegerilor. Este în primul rând o problemă de imagine, nu are sens să lăsăm să planeze suspiciunea că o unitate militară, oricare ar fi aceea, are acces la astfel de documente.", a declarat Constantin Mitulețu-Buică, șeful AEP pentru Libertatea.
Pe de altă parte, șeful AEP spune că autoritatea colaborează deja cu STS la pregătirea și securizarea alegerilor.
„În momentul de față exportăm datele în serverele de la STS, unele servere se află chiar aici, la noi. Am colaborat foarte bine cu STS. Dacă această ordonanță va rămâne în actuala formulă, iar, de exemplu, SRI poate avea acces la datele autorității, se ridică o problemă de percepție publică. De ce trebuie implicată o unitate militară?”, a mai spus pentru Libertatea șeful AEP.
- HotNews.ro a solicitat puncte de vedere la Ministerul Digitalizării, SRI și STS atât cu privire la legislația în baza căreia SRI are atribuții în zona de securitate cibernetică (dincolo de decizia CSAT), cât și detalii despre instituțiile prezente în proiectul Țițeica și cele care au mai urma să fie acoperite de acest proiect. Vom reveni cu răspunsuri imediat ce le vom primi.
7
8
