Cloudul guvernamental al României, născut printre controverse și suspiciuni
actualizat:
Cloudul guvernamental, piesa centrală a transformării digitale a României, care va atrage 500 de milioane de euro de la UE, este în faza proiectării și legiferării. Proiectul de reglementare a reușit, în ultimele luni, să agite spiritele.
Transformarea digitală a României, un proces finanțat de UE, care promite ușurință și servicii de calitate pentru cetățeni, precum și transparență și evoluție din partea instituțiilor statului se dovedește a fi un proces complicat încă de la început.
Primii pași făcuți de autoritățile române pentru a legifera cloudul guvernamental au stârnit reacții vehemente de respingere din partea unor reprezentanți ai societății civile și chiar din partea unor instituții ale statului care ar urma să se înroleze în acest cloud.
Promisiunea autorităților este că cetățeanul va avea acces online la toate serviciile publice și va putea primi și trimite documente oricând, de oriunde. Mai mult, ar urma să existe un istoric online al interacțiunilor cetățeanului cu statul, iar datele personale și documentele vor fi protejate prin sisteme de securitate cibernetică performante.
Din punctul de vedere al eficientizării administrației, cloudul guvernamental ar urma să aducă reduceri de costuri și de birocrație dar mai ales interconectarea sistemelor diferitelor instituții care vor putea în sfârșit să comunice mai bine între ele și să partajeze date. Instituții din domeniul administrației financiare, administrației locale, educației sau sănătății ar urma, de exemplu, să facă schimb de documente fără să le mai solicite cetățenilor.
Dincolo de aceste beneficii primare pentru cetățeni și eficientizarea administrației, Dragoș Vlad, președintele Autorității pentru Digitalizarea României vorbește despre un alt pas înainte în privința folosirii big data. „Cloud-ul guvernamental facilitează trecerea către o economie bazată pe date, sigură și dinamică, o economie digitală aliniată cu direcțiile strategice de acțiune ale Uniunii Europene în ceea ce privește guvernanța datelor”.
PNRR e foaia de parcurs a transformării digitale
Planul Național de Redresare și Reziliență al României, parte a planului european Next Generation EU (prin care UE a alocat 750 de miliarde de euro ca răspuns la criza provocată de pandemie), prevede mai multe măsuri de transformare digitală a administrației.
Printre problemele identificate în PNRR în privința digitalizării administrației publice se numără fragmentarea, lipsa de interoperabilitate, barierele birocratice, competențele digitale reduse, expunerea la riscuri cibernetice.
Investițiile legate de digitalizare din PNRR au în vedere toate aceste probleme și sunt direcționate atât către infrastructură cât și către instrumente necesare pentru a le aborda.
„Investițiile care stau la baza reformelor includ dezvoltarea cloud-ului guvernamental, digitalizarea sănătății, a sistemului judiciar, a mediului, a ocupării forței de muncă și a protecției sociale, a achizițiilor publice, a organizațiilor neguvernamentale, conectivitatea în zonele albe, asigurarea securității cibernetice pentru diferite structuri și îmbunătățirea atât a competențelor funcționarilor publici, cât și cele ale populației în general. O investiție esențială se referă la introducerea cărții de identitate electronice pentru cetățenii români,” se arată în Plan.
„Livrabilul” central al investițiilor PNRR în digitalizare este așa-numitul cloud guvernamental. Reformele prevăzute au în vedere înființarea acestui cloud, „asigurarea interoperabilității, îmbunătățirea conectivității, consolidarea protecției și a securității cibernetice a entităților publice și private și sporirea competențelor digitale în sectorul public”.
PNRR prevede - direct sau indirect- fonduri de aproximativ 500 de milioane de euro pentru cloudul guvernamental. El urmează să fie o infrastructură IT (hardware și software) însoțită de securitatea cibernetică necesară, și va găzdui aplicațiile și bazele de date publice în patru centre de date.
Pentru infrastructura de cloud sunt alocați 374,73 milioane euro (pentru amenajarea și dotarea centrelor de date, echiparea centrelor de date cu infrastructură și tehnologii cloud, asigurarea comunicațiilor prin infrastructură de bandă largă), în timp ce o altă alocare, de 187,05 milioane de euro, vizează „investiții pentru dezvoltarea/migrarea în cloud".
Primul pas descris în PNRR pentru a implementa cloudul este „dezvoltarea unui cadru unitar pentru definirea arhitecturii unui sistem de tip cloud guvernamental.” Acest cadru legislativ trebuie să existe, potrivit angajamentelor României, până la 30 iunie 2022. De asemenea, până la 31 decembrie 2022 trebuie să fie finalizată și intrată în vigoare legea privind apărarea și securitatea cibernetică.
Scandalul proiectului de Ordonanță de Urgență
În contextul urgenței acestor pași asumați, Guvernul a publicat un proiect de Ordonanță de Urgență care a stârnit reacții nemulțumite din partea industriei IT, a sectorului neguvernamental și chiar a unor instituții centrale.
Potrivit proiectului, Serviciul de Telecomunicații Speciale (STS) ar urma să implementeze infrastructura și mentenanța serviciilor. De asemenea, securitatea cibernetică a cloud-ului guvernamental ar urma să fie asigurată de STS și de Serviciul Român de Informații (SRI).
Reacțiile de respingere a proiectului au s-au concentrat mai ales pe implicarea SRI și faptului că acesta va avea acces la întregul trafic al cloudului, ridicând probleme de confidențialitate a datelor.
„SRI nu poate asigura securitatea datelor personale, pentru că scopul său legal este de a culege informații”, a atras atenția Asociația pentru Tehnologie și Internet (APTI), condusă de juristul Bogdan Manolea.
Ministerul Digitalizării a replicat că SRI nu va putea vizualiza și accesa conținutul datelor din cloud. „Echipamentele care vor fi instalate pentru asigurarea securității cibernetice nu permit vizualizarea și accesarea datelor existente în Cloud-ul guvernamental,” a arătat Ministerul într-un comunicat. În mod similar, Anton Rog, șeful Centrului Național Cyberint al SRI, a declarat, la Digi24, că în 7 ani de când centrul asigură securitatea cibernetică pentru 61 de instituții publice, nu a existat nici măcar o plângere legată de accesarea datelor acestora de către SRI.
Anton Rog a spus: „De ce asigură Centrul Național Cyberint securitatea cibernetică? Pentru că cloud-ul guvernamental este infrastructură critică. Dacă nici cloud-ul guvernamental nu este infrastructură critică, atunci nimic nu mai este infrastructură critică. Afectarea cloud-ului guvernamental duce automat la afectarea securității naționale.”
„Toate echipamentele pe care noi le punem pe partea de securitate cibernetică nu au acces la date. Ele se uită la log-uri, la jurnale și jurnalizează evenimente de securitate cibernetică”, a mai spus Rog.
Pe de altă parte Manolea a spus pentru HotNews.ro că obiecțiile organizației pe care o conduce nu se refereau la accesarea conținutului de către SRI, ci la datele de trafic. „Noi am vorbit de faptul că SRI va avea acces la datele de trafic - e imposibil să faci securitate informatică a traficului fără acces la aceste date. Practic orice date legate de acces la o pagină web sau o aplicație - IP, MAC, pagini vizitate, interacțiuni etc. Și acestea sunt date personale.”
„Nici Serviciul de Telecomunicații Speciale (STS) nu e perfect, dar măcar scopul legal al acestuia este securizarea informațiilor pe când la SRI e colectarea informațiilor. Astea sunt scopuri divergente,” a mai spus Manolea.
Și industria IT a criticat proiectul legislativ. Asociația patronală a industriei de Software (ANIS), a atenționat că, dacă s-ar menține prevederile proiectului legislativ, nu ar putea fi folosite în construcția cloudului tehnologii la care statul nu este proprietar și nici tehnologii open-source.
Ministerul Digitalizării a negat și acest lucru, afirmând că mediul privat va putea dezvolta soluții și servicii pentru aplicațiile din cloudul guvernamental.
Radu Puchiu, antreprenor IT și envoy al Open Government Partnership a spus pentru EURACTIV.ro că în România nu a avut loc o discuție despre identificarea, clasificarea și migrarea aplicațiilor guvernamentale. Mai mult, Guvernul a promis că o astfel de analiză se va realiza cu ajutorul unui consultant extern, lucru care nu s-a întâmplat. De asemenea, Puchiu arată că necunoscutele continuă și la nivelul asigurării resurselor umane pentru acest proiect major.
Tot el atrage atenția că, potrivit proiectului de ordonanță, STS a fost ales ca gazdă a cloudului, chiar dacă este vorba de un cloud guvernamental și STS nu aparține de guvern. „E mai mult decât ciudat”, spune Puchiu, mai ales că la Ministerul de Finanțe există un departament IT de sute de persoane, iar Ministerul de Interne are și el în administrare o bază de date critică.
Concluzia expertului este că se prefigurează un cadru care este de la început foarte rigid, ceea ce îi va împiedica dezvoltarea.
Nici instituțiile statului nu sunt mulțumite
Criticile legate de implicarea SRI în proiectul cloudului guvernamental nu vin doar din partea societății civile, ci și de la instituții ale statului.
SRI, STS și Autoritatea pentru Digitalizarea României (ADR) au trimis pe 14 februarie 2022 un chestionar tehnic legat de migrarea în cloud către 108 autorități și instituții publice din România dar, după două săptămâni, chestionarele fuseseră completate de către 83 dintre instituții.
Dintre cele care nu au completat chestionarul, șase refuză să își migreze aplicațiile și datele în cloudul guvernamental. Printre ele se numără instituții extrem de importante precum Autoritatea Electorală Permanentă, Curtea Constituțională și Direcția Națională Anticorupție.
„Noi nu considerăm normal ca STS și SRI să aibă acces la toate datele și documentele pe care Autoritatea Electorală Permanentă (AEP) le pregătește în vederea alegerilor. Este în primul rând o problemă de imagine, nu are sens să lăsăm să planeze suspiciunea că o unitate militară, oricare ar fi aceea, are acces la astfel de documente.", a declarat Constantin Mitulețu-Buică, șeful AEP pentru Libertatea. Pe de altă parte, șeful AEP spune că autoritatea colaborează deja cu STS la pregătirea și securizarea alegerilor.
Oficialii DNA au transmis către HotNews.ro: „Având în vedere natura informațiilor gestionate de instituție, majoritatea reprezentând informații nepublice referitoare la dosare penale aflate în curs de implementare, DNA și-a configurat propriul ansamblu bazat pe echipamente, dispozitive, tehnologii și aplicații IT de ultimă generație, aflat în continuă dezvoltare, capabil să susțină fluxul și stocarea securizată a informațiilor sensibile.” Totuși, DNA și-a anunțat „disponibilitatea de a coopera [...] pentru transferul unor date în sistemul de cloud guvernamental”.
Fostul ministru al digitalizării, Marcel Boloș (ministru al Investițiilor și Proiectelor Europene începând cu 3 mai), vorbea la finalul lunii aprilie despre o neînțelegere care ar fi dus la nemulțumirile exprimate de autorități și societatea civilă. „Nu s-a pus niciodată problema ca operaționalizarea și utilizarea bazelor de date să fie făcută de altcineva decât de Autoritatea pentru Digitalizarea României (ADR)”, spunea el, asigurând că a fost „păstrat în zona civilă controlul asupra bazelor de date.”
„Nu trebuie să-i fie frică nimănui că ar avea cineva acces la bazele de date, ci dimpotrivă să aibă încredere că această interoperabilitate a bazelor de date, greu înțeleasă, face mult bine pentru oameni [...]”, mai spunea Boloș.
Ce urmează
Termenele stabilite în PNRR oferă imagine orientativă a parcursului pe care îl va avea transformarea digitală în următorii ani. Procesul complet ar urma să se încheie în 2026.
- Dezvoltarea unui cadru unitar pentru definirea arhitecturii unui sistem de tip cloud guvernamental - până la 30 iunie 2022.
- Legea privind apărarea și securitatea cibernetică - până la 31 decembrie 2022.
- Implementarea formularelor electronice eForms în domeniul achizițiilor publice - până la 30 iunie 2023.
- Realizarea sistemului de eHealth și telemedicină - până la 30 septembrie 2025.
- Implementarea infrastructurii de cloud guvernamental
Obiectivul acestei investiții este ca cel puțin 30 de instituții publice să fie conectate la cloud-ul guvernamental și să îl utilizeze - până la 31 decembrie 2025.
Potrivit STS și SRI, cele 4 centre de date care vor găzdui cloudul guvernamental vor fi în București, Brașov, Sibiu și Timiș. Un centru de date există deja, alte două vor fi finalizate în acest an, ultimul urmând să fie gata până la finele anului 2024.
- Asigurarea protecției cibernetice pentru infrastructurile TIC publice și pentru cele private cu valențe critice pentru securitatea națională - până la 31 decembrie 2025.
SRI urmează să organizeze o licitație pentru securitatea cibernetică, iar în cadrul unei consultări de piață pe care a făcut-o, 17 firme au propus 147 de soluții securitate cibernetică.
- Implementarea unei scheme de sprijinire a utilizării serviciilor de comunicații prin diferite tipuri de instrumente pentru beneficiari, cu accent pe zonele albe - până la 31 decembrie 2025.
- Digitalizarea sistemului judiciar - până la 30 iunie 2026.
- Digitalizare în domeniul mediului - până la 30 iunie 2026.
- Digitalizarea în domeniul muncii și protecției sociale - până la 30 iunie 2026.
- Carte de identitate electronică și semnătura digitală calificată - până la 30 iunie 2026.
- Dezvoltarea cloudului și migrarea în cloud - până la 30 iunie 2026.
Comentarii