Ministrul Digitalizării, Sebastian Burduja, a susținut marți că nu va exista riscul unor abuzuri din partea SRI privind accesul neautorizat la datele personale stocate în viitorul cloud privat guvernamental, deoarece tot accesul la date va fi jurnalizat și cetățenii vor fi notificați în timp real când le vor fi accesate datele.

CyberInt_SRIFoto: SRI

Guvernul a adoptat marți o hotărâre foarte importantă pentru implementarea cloud-ului privat guvernamental, cea mai mare investiție în digitalizare din PNRR, cu o finanțare de peste 560 milioane de euro (fără TVA), este o platformă IT care va fi gestionată de Autoritatea pentru Digitalizarea României (ADR) în colaborare cu STS și SRI.

  • Serviciul de Telecomunicații Speciale (STS) va asigura implementarea, administrarea tehnică și operațională, securitatea cibernetică, mentenanța, precum și dezvoltarea ulterioară a infrastructurii de bază a Cloudului Privat Guvernamental, a infrastructurii ca serviciu (IaaS) și a platformei ca serviciu (PaaS).
  • Serviciul Român de informații (SRI) va asigura securitatea cibernetică a Cloud-ului Privat Guvernamental prin cunoașterea, prevenirea și contracararea atacurilor, amenințărilor, riscurilor și vulnerabilităților cibernetice, inclusiv a celor complexe, de tip APT, îndreptate împotriva serviciilor Cloud-ului Privat Guvernamental (software ca serviciu - SaaS) și a entităților găzduite.

Ministrul Digitalizării, Sebastian Burduja, a explicat marți la finalul ședinței de Guvern că actul adoptat va reglementa domenii importante:

  • principiile platformei de cloud guvernamental și modul în care cloud-ul Guvernului interacționează cu cloud-uri furnizate de companii private;
  • politica de clasificare a datelor - ce fel de date aparțin în cloud-ul privat guvernamental, ce fel de date pot să stea în sisteme cloud furnizate de companii private;
  • jurnalizarea accesului la aceste date, respectiv modul în care românii vor fi informați în timp real atunci când statul român, instituții ale statului le accesează datele, zona de interoperabilitate și așa mai departe.

De ce MAI sau MApN nu se numără printre cele 87 de instituții și autorități care vor migra în cloud

Burduja a precizat faptul că Romînia și-a asumat în PNRR ca minim 30 de instituții publice să își migreze sistemele IT în cloud-ul guvernamental până în 2026.

HotNews.ro a semnalat faptul că actul adoptat azi de Guvern prezintă o listă cu 87 de instituții și autorități publice care vor migra în cloud, din care lipsesc însă ministere importante cu multe servicii publice electronice sau date sensibile, precum Ministerul Afacerilor Interne (MAI) ori MApN.

Care este explicația?

  • „MAI-ul, Ministerul de Justiție și alte instituții care s-au exceptat au propriul sistem de cloud care se interconectează cu cloud-ul privat guvernamental. Pentru toate rațiunile practice, ele sunt în cloud-ul guvernamental, doar că nu sunt în cele patru centre de date ale STS-ului. Sunt în propriile centre de date care sunt interconectate la nivelul bazelor de date cu cloud-urile proprii.”, a spus ministrul Burduja.

Burduja a spus că toate aceste proiecte ale altor ministere, privind propriile centre de date, sunt finanțate cu fonduri europene, inclusiv din programe deja aprobate o parte dintre ele.

  • „Ce contează foarte mult este că, încă o dată, există interconectarea la nivelul bazelor de date.”, a spus Burduja.

La atenționarea HotNews.ro, ministrul Digitalizării s-a corectat precizând că toate aceste sisteme IT vor fi dezvoltate, deoarece niciunul dintre aceste proiecte ori centre de date nu este încă finalizat. La fel și în privința interoperabilității, legea fiind abia adoptată.

  • Contrar a ce a declarat ministrul Burduja, Ministerul Justiției figurează pe lista celor 87 de instituții care își vor migra sistemele IT în cloudul guvernamental.

Ce caută SRI în cloud-ul guvernamental?

HotNews.ro a cerut apoi ministrului să explice ce caută Serviciul Român de Informații (SRI) în gestionarea securității cibernetice a acestei platforme, în condițiile în care și Serviciul de Telecomunicații Speciale (STS) poate gestiona atacurile cibernetice avansate de tip Advanced Persistent Threat (APT).

În condițiile în care prin legea de funcționare SRI are ca atribuții culegerea de date, ar exista riscul unor abuzuri din partea SRI, așa cum a atenționat Asociația pentru Tehnologie și Internet (ApTI) în primăvara anului trecut.

  • „Nu există riscul unor abuzuri. De asta vă spuneam că tot tehnologia ne oferă răspunsul. Tot accesul la date este jurnalizat, nu poate fi șters, orice acces lasă urme și cetățenii sunt notificați în timp real.”, a declarat Burduja.

De ce totuși a fost inclus și SRI în acest proiect, când ar fi existat alte autorități?

  • „Pentru că are aceste atribuții, definite în Constituția României și, prin lege, de a combate atacurile din afara țării asupra datelor românilor.
  • Vorbim de securitatea națională, vorbim de amenințări de tip nou și vorbim de o instituție a statului român care trebuie să îi apere pe cetățenii României.
  • Și, repet, o face în limitele definite de Constituție și de aceste reglementări.
  • Să știți că și în alte state europene tot ceea ce ține de cyber intelligence este de domeniul serviciilor de informații, repet, în limitele constituționale și în limitele legii.”, a declarat ministrul Digitalizării.

​Datele cetățenilor și ale firmelor din viitorul cloud guvernamental, infrastructură IT care ar urma să găzduiască toate sistemele informatice publice centrale, nu vor putea fi vizualizate și accesate de Serviciul Român de Informații (SRI), care va asigura doar securitatea cibernetică a acestui sistem, a precizat în primăvara anului trecut Ministerul Digitalizării, într-un răspuns mai larg pe marginea controverselor iscate față de acest proiect cu finanțare de peste 500 milioane de euro din PNRR.