Curtea Constituțională a precizat pentru HotNews.ro de ce „nu consideră necesară utilizarea viitorului cloud guvernamental”, care va fi gestionat de ADR, SRI și STS. Motivul? „Volumul de dimensiuni medii de date stocate pe propriile servere și aplicațiile utilizate nu necesită migrarea serviciilor în cloud-ul pus la dispoziție de Guvern, prin Autoritatea pentru Digitalizarea României (n.a ADR)”.

Curtea ConstitutionalaFoto: AGERPRES

• „Curtea Constituțională a informat Autoritatea pentru Digitalizarea României cu privire la faptul că, în ceea ce privește activitatea Curții Constituționale, volumul de dimensiuni medii de date, atât cel deținut în prezent cât și cel prevăzut pentru viitor, stocate pe echipamentele informatice proprii (servere), împreună cu aplicațiile utilizate la nivel de instituție, nu necesită migrarea sau găzduirea serviciilor interne în Cloud-ul Guvernamental pus la dispoziție de către Guvernul României, prin Autoritatea pentru Digitalizarea României.”, a declarat pentru HotNews.ro Mihaela Violeta Oprean, consilier juridic în cadrul Curții Constituționale.

Acesta este răspunsul furnizat de Curtea Constituțională la solicitarea HotNews.ro de a preciza care sunt motivele pentru care a transmis Guvernului că nu este necesară sau posibilă utilizarea cloud-ului pentru serviciile IT pe care le administrează.

De ce nu vor unele instituții ca DNA, CSM ori Autoritatea Electorală să-și migreze sistemele IT în cloud-ul gestionat de SRI și STS

Cloud-ul guvernamental, infrastructura IT finanțată cu 375 milioane de euro din PNRR, ar trebui să găzduiască sistemele IT ale instituțiilor publice și să îmbunătățească interacțiunea cetățenilor cu statul.

În plus, tot în PNRR mai există o alocare de 187,05 milioane de euro pentru „investiții pentru dezvoltarea/migrarea în cloud" a aplicațiilor existente aferente serviciilor publice.

Proiectul a stârnit însă multe controverse atât în mediul privat, dar și public. Toată infrastructura IT a cloud-ului ar urma să fie găzduită în centre de date ale STS, iar securitatea cibernetică ar urma să fie asigurată de SRI.

Peste 20 de instituții publice, din care unele furnizează un număr foarte mare de servicii publice electronice, nu se grăbesc să-și mute sistemele IT în cloud-ul guvernamental. Mai mult, 6 dintre acestea, printre care DNA, Curtea Constituțională, Autoritatea Electorală Permanentă și Registrul Comerțului (ONRC) au transmis că „nu consideră necesară sau posibilă utilizarea infrastructurii Cloud-ului Guvernamental pentru serviciile informatice administrate.

Alte 5 instituții printre care DIICOT ori Consiliul Superior al Magistraturii(CSM) au refuzat să răspundă întrebărilor SRI și STS privind dimensionarea IT a acestui cloud.

HotNews.ro a solicitat explicații de la toate aceste instituții. Oficialii AEP, ai Romatsa și ai Agenției pentru credite în Educație, precum și oficialii DNA și ai CSM și ai Registrului Comerțului au răspuns deja.

Șeful Centrului Cyberint susține că SRI nu va căuta în datele din cloud, dar tehnologia din proiectul Țițeica permite căutarea în date

Anton Rog, șeful Centrului Național Cyberint al SRI, a declarat luni seara într-un interviu pentru Digi24 că în 7 ani de când asigură securitatea cibernetică pentru 61 de instituții publice în proiectul Țițeica, nu a existat nici măcar o plângere că un bit dintr-un mail sau dintr-un fișier ar fi fost accesat de SRI. Rog susține că senzorii instalați nu ar arăta și ce caută utilizatorii pe internet, ci doar log-uri ori jurnale. Tehnlogia cumpărată anul trecut de SRI în proiectul Țițeica permite însă căutarea în date.

• SRI nu va avea acces la datele stocate și vehiculate în cloud-ul guvernamental, ci doar la alertele generate de aceste echipamente.
• Asigurarea securității cibernetice a cloud-ului guvernamental este o continuare naturală a proiectului Țițeica - „Sistemul național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic”, operaționalizat în anul 2015 și actualizat în 2021, prin care SRI asigură securitatea cibernetică a 61 de instituții publice.
• Având în vedere modul de implementare și operaționalizare a Țițeica, în cei 7 ani de funcționare a proiectului (2015 – 2022), SRI nu a avut acces la datele instituțiilor beneficiare.”, a comunicat SRI pentru HotNews.ro.

Pe de altă parte, faptul că șeful Centrului Cyberint susține că SRI nu va căuta în datele din cloud sau că nu vede în prezent ce caută utilizatorii protejați în sistemul Țițeica, nu înseamnă că tehnologia gestionată de SRI nu permite acest lucru.

• „N-ai cum la un set atât de mare de date să nu ai funcții de căutare, e noaptea minții”, a precizat pentru HotNews.ro un expert IT care a dorit să-și păstreze anonimatul.

De altfel, caietul de sarcini al unei licitații atribuite anul trecut de SRIpentru dezvoltarea sistemului Țițeica arată că tehnologia care va fi implementată pentru cele peste 60 de instituții publice monitorizează traficul de email și de internet al utilizatorilor.

• IATĂ AICI CAIETUL DE SARCINI AL SRI

STS: Sistemele IT găzduite de noi sunt administrate și accesate doar de către instituțiile care le dețin

De cealaltă parte, și oficialii STS au respins acuzațiile că ar accesa datele din sistemele IT găzduite pe propria infrastructură.

• „Serviciul de Telecomunicații Speciale dispune de o infrastructură IT&C prevăzută cu mecanisme pentru jurnalizarea tuturor evenimentelor, inclusiv cele privind accesarea datelor entităților găzduite, în scopul realizării de audituri de conformitate periodice pe linia calității, securității și trasabilității datelor și în vederea asigurării transparenței utilizării acestora.
• Sistemele informatice găzduite în infrastructura securizată a STS sunt administrate și accesate doar de către instituțiile care le dețin.
• De asemenea, în conformitate cu atribuțiile stabilite prin lege, STS asigură mecanismele necesare pentru protecția datelor cu caracter personal. Totodată, STS garantează protecția și confidențialitatea comunicațiilor și serviciilor deservite la nivelul infrastructurii pe care o administrează.”, au precizat pentru HotNews.ro oficialii STS.

Întrebați dacă STS are capacitatea de a asigura securitatea cibernetică împotriva atacurilor APT asupra sistemelor IT pe care le gestionează, Serviciul de Telecomunicații Speciale a răspuns că „are capacitatea să asigure implementarea tuturor măsurilor de securitate cibernetică pentru serviciile IT&C puse la dispoziția beneficiarilor prevăzuți de lege.”

STS nu a precizat care sunt cele 61 de instituții publice apărate acum de sistemul Țițeica, precizând că este doar partener în acest proiect, în care lider este Serviciul Român de Informații.

• „Obiectivele asumate de STS în cadrul proiectului (n.a Țițeica) se limitează la asigurarea securității cibernetice pentru infrastructura proprie de furnizare a serviciilor către beneficiarii stabiliți în Anexa nr. 1 a Legii nr. 92/1996, în conformitate cu prevederile din Anexa nr. 2 la Legea nr. 92/1996, care precizează că STS administrează „rețele, infrastructuri, sisteme, servicii și aplicații în diferite tehnologii informatice și de comunicații, cu soluții de securitate asociate”.”, au spus oficialii STS.

Ministrul Digitalizării, despre refuzul unor instituții de a intra în cloud-ul gestionat de SRI și STS: E o neînțelegere. Serviciile nu vor avea acces la bazele de date

Ministrul Digitalizării, Marcel Boloș, a admis joi, 21 aprilie, că a primit foarte multe critici la ordonanța privind instituțiile care vor gestiona cloud-ul guvernamental, dar acesta crede că ar fi vorba de o neînțelegere.

• „Nu s-a pus niciodată problema ca operaționalizarea și utilizarea bazelor de date să fie făcută de altcineva decât de Autoritatea pentru Digitalizarea României (ADR).
• Celelalte structuri implicate, de la Serviciul de Telecomunicații Speciale (STS) până la responsabilitățile care vin pe partea de securitate cibernetică (n.a SRI) nu fac parte din accesul la bazele de date. Deci practic am păstrat în zona civilă controlul asupra bazelor de date.”, a declarat joi ministrul Digitalizării, Marcel Boloș.

Acesta a fost întrebat la finalul ședinței de Guvern despre temerile și refuzul unor instituții publice de a-și migra sistemele IT în viitorul ccloud guvernamental, un proiect care va fi finanțat cu peste 500 milioane de euro din PNRR.

Întrebat dacă le-a comunicat respectivelor instituții că poate au înțeles greșit, ministrul a spus că a avut acest proces de comunicare.

• „Nu trebuie să-i fie frică nimănui că ar avea cineva acces la bazele de date, ci dimpotrivă să aibă încredere că această interoperabilitate a bazelor de date, greu înțeleasă, face mult bine pentru oameni. Cu toții ne dorim servicii publice mai suple, mai debirocratizate și este o oportunitate unică pe care o are România. Discutăm despre un buget enorm de peste 500 milioane de euro dar impactul este unul major asupra vieții românilor.”, a mai declarat Marcel Boloș.

Pentru detalii citește și: Ce caută SRI în cloud-ul guvernamental?