​Serviciul Român de Informații (SRI) a lipsit luni de la dezbaterea privind guvernanța cloud-ului guvernamental, platformă cu o finanțare de peste 500 milioane de euro din PNRR, în aceeași zi în care 10 ONG - uri au acuzat că Ordonanța de urgență pregătită de Guvern sporește accesul SRI la datele cetățenilor și nu oferă garanții privind libertățile civile.

SRIFoto: SRI

Ministerul Cercetării, Inovării și Digitalizării, condus de Sebastian Burduja (PNL), a organizat luni o dezbatere publică privind o nouă versiune a proiectului de Ordonanță de Urgență (OUG) privind guvernanța cloud-ului guvernamental.

Cloud-ul guvernamental, infrastructura IT finanțată cu 375 milioane de euro din PNRR, ar trebui să găzduiască sistemele IT ale instituțiilor publice și să îmbunătățească interacțiunea cetățenilor cu statul.

În plus, tot în PNRR mai există o alocare de 187,05 milioane de euro pentru „investiții pentru dezvoltarea/migrarea în cloud" a aplicațiilor existente aferente serviciilor publice.

SRI, marele absent de la dezbaterea publică privind cloud-ul guvernamental

Noul proiect de Ordonanță de urgență prevede ca și în versiunea anterioară, 4 instituții care să se ocupe de implementarea cloud-ului guvernamental: Ministerul Cercetării, Inovării și Digitalizării (MCID), Autoritatea pentru Digitalizarea României (ADR), Serviciul de Telecomunicații Speciale (STS) și Serviciul Român de Informații (SRI).

Potrivit anunțului, la dezbaterea publică ar fi trebuit să participe oficiali ai tuturor celor 4 instituții care ar urma să implementeze cloud-ul, dar la masa de prezidiu nu a fost prezent niciun oficial SRI pentru a răspunde criticilor ridicate de societatea civilă.

  • La solicitarea HotNews.ro de a explica de ce lipsesc oficialii SRI, ministrul Burduja a spus că acest lucru trebuie întrebat la Serviciul Român de Informații.
  • HotNews.ro a solicitat un punct de vedere și SRI legat de absența de la dezbatere și vom reveni cu răspunsuri imediat ce le vom primi.

Cum motivează ministrul Burduja reglementarea prin OUG: Termenele din PNRR care bat la ușă

Noul proiect de OUG, deși îmbunătățit, ridică încă multe semne de întrebare, și chiar ministrul Sebastian Burduja a recunoscut că „Ordonanța nu va fi perfectă”, dar că e nevoie urgentă de adoptare din cauza termenelor asumate în PNRR.

  • „Pe 15 martie s-a pus în dezbatere publică o primă versiune a ordonanței de urgență privitoare la serviciile de cloud. S-a ales această variantă a unui act de tip OUG pentru că pe evaluarea făcută nu ne-am fi încadrat în timp cu un act normativ promovat în Parlamentul României.
  • După cum știți pe 30 iunie se închide sesiunea curentă a Parlamentului și distinșii domni și doamne deputați, cum eram și eu cândva, revin la muncă în toamnă.
  • După preluarea mandatului în baza discuțiilor pe care le-am inițiat și reinițiat cu Banca Mondială pe de o parte, cu mediul privat, cu societatea civilă, o parte dintre cei care m-au cotactat, și în baza discuțiilor pe care le-am avut cu Comisia am revenit cu o variantă de ordonanță pe care noi o considerăm mai bună decât prima formă.
  • A implicat un volum enorm de muncă. Nu ne temem de muncă. Ne temem puțin de termenele care ne bat la ușă.
  • La finalul lunii avem aceste 2 jaloane foarte importante și ambele țin de cloud. Pe de o parte adoptarea acestui act normativ, pe de altă parte semnarea contractului între entitățile care implementează acest proiect - Minister, ADR, STS și Cyberint - SRI.
  • Pentru a putea avea acel contract semnat avem nevoie de acest act normativ în termen cât mai scurt și probabil până la finalul acestei săptămâni.
  • După ce terminăm dezbaterea mergem la Minister și o să lucrăm probabil până dimineața să o punem într-o formă cât mai bună.
  • Termenele trebuie respectate. Ordonanța nu va fi perfectă, poate anumite lucruri nu le va cuprinde în textul ei și le reglementăm ulterior prin Hotărâre de Guvern.”, a declarat luni ministrul Sebastian Burduja, în cadrul dezbaterii publice.

Burduja: A reglementa foarte multe lucruri în OUG deschide cutia Pandorei în Parlament

Pentru a răspunde anumitor critici pe această temă, ministrul Sebastian Burduja a dat ca exemplu și situația din Republica Moldova, unde, spune el, 'nu există nicio lege care reglementeaza cloud-ul. Există Hotărâri de Guvern și atât.' Acesta susține că ar fi mult mai complicat de reglementat lucruri tehnice în Parlament.

  • „Deci au păstrat flexibilitate mai mare în a reglementa un astfel de sistem. Mai mult a reglementa foarte multe lucruri în OUG deschide cutia Pandorei în Parlament, unde distinșii mei colegi să vină cu diverse idei și amendamente care se vor dezbate și discuta și nu știm ce va ieși de acolo.
  • Adică este mult mai complicat de gestionat un proces corect la nivelul Parlamentului, mai ales pe subiecte atât de tehnice pentru că vă dați seama că deputații nu cunosc un detaliu toate aceste aspecte așa cum le cunoaște o autoritate executivă.”, a declarat luni ministrul Burduja.

Semnalele de alarmă din societatea civilă: De ce securitatea civilă e asigurată de SRI și nu de DNSC?

La dezbatere au luat cuvântul mai mulți reprezentanți ai societății civile, printre care Liana Ganea (Activewatch,) Alex Șerbănescu (Asociația pentru Tehnologie și Internet - APTI) și Elena Radu (Coaliția pentru Statul de Drept - CASD).

  • „Chiar în noua formă a acestui proiect de OUG se menționează că normele pe care aceasta le conține afectează drepturi și libertăți fundamentale. La ultimul capitol al acestui proiect se menționează că ulterior va fi supus controlul parlamentar activitatea tuturor entităților. Ori potrivit art. 115, alin 6 din Constituția României, prin Ordonanță de urgență nu pot fi afectate drepturi și libertăți fundamentale.
  • Indiferent de urgența pe care dvoastră o invocați, acest proiect de ordonanță de urgență trebuia să fie de fapt proiect de lege. Singura autoritate autorizată să adopte acest act trebuie să fie Parlamentul.
  • Mai mult, din acest proiect constatăm că nimic nu este reglementat. Totul se prevede că va fi reglementat prin Hotărâre de Guvern. Ori în condițiile în care prin acest proiect de OUG sunt afectate drepturi și libertăți fundamentale ale cetățenilor, Parlamentul trebuie să stabilească limitele în care pot fi afectate drepturile.”, a declarat Elena Radu, avocat al Coaliției pentru Statul de Drept.

Aceasta a avertizat că securitatea cibernetică urmează să fie asigurată de SRI, deși anul trecut s-a adoptat Ordonanța de urgență nr. 104/2021, potrivit căreia securitatea cibernetică în domeniul civil este asigurată de Directoratul National de Securitate Cibernetică (DNSC).

  • „În această Ordonanță de urgență se trece peste prevederile OUG 104/2021 și practic vom avea o dublă legiferare cu privire la securitatea cibernetică”, a spus Elena Radu.

De menționat că la dezbatere nu au lipsit doar reprezentanții SRI, ci și cei ai Directoratului Național de Securitate Cibernetică (DNSC), cu mențiunea că cei din urmă nu sunt menționați ca având rol în cloud-ul guvernamental și nici nu au fost anunțați ca participanți la dezbatere.

  • De notat aici și în luna aprilie din acest an, Anton Rog, șeful CyberInt din SRI, a precizat la Digi24, într-un interviu realizat de Cosmin Prelipceanu, că SRI va asigura securitatea cibernetică în viitorul cloud guvernamental, deoarece este infrastructură critică, iar afectarea sa ar afecta securitatea națională.
  • Șeful CyberInt din SRI a spus în 7 ani de când asigură securitatea cibernetică pentru 61 de instituții publice în proiectul Țițeica, nu a existat nici măcar o plângere că un bit dintr-un mail sau dintr-un fișier ar fi fost accesat de SRI. Rog susține că senzorii instalați nu ar arăta și ce caută utilizatorii pe internet, ci doar log-uri ori jurnale. Tehnlogia cumpărată anul trecut de SRI în proiectul Țițeica permite însă căutarea în date.

10 ONG-uri: SRI primește cheile de acces la datele din cloud ale cetățenilor

Liana Ganea (Activewatch) a prezentat în cadrul dezbaterii un punct de vedere semnat de 10 ONG-uri în care susțin că noul proiect de OUG „nu oferă garanții cu privire la libertățile civile, atât prin modul de legiferare (Ordonanță de Urgență), cât și prin conținutul său.”

  • „În ce privește conținutul proiectului de act normativ supus dezbaterii publice, problema majoră rămâne rolul foarte larg al instituțiilor militarizate – SRI și STS – în dezvoltarea și administrarea sistemului de Cloud Guvernamental, inclusiv cu rol de operator asociat pentru toate datele și toate activitățile de prelucrare.
  • Putem vorbi chiar de o înrăutățire a situației, pentru că, în noua propunere, Serviciul de Telecomunicații Speciale (STS) și Serviciul Român de Informații (SRI) devin actori de egală importanță decizională din punct de vedere al prelucrării tuturor datelor personale cu MCID și Autoritatea pentru Digitalizarea României (ADR), cele două instituții civile responsabile cu realizarea și administrarea sistemului.
  • Mai mult, SRI are un rol sporit în domeniul securității cibernetice, devenind unicul (!) furnizor de securitate cibernetica a Cloud-ului guvernamental, dar și al”instituțiilor găzduite”, ceea ce în practică înseamnă că SRI primește cheile de acces la toate datele din cloud ale cetățenilor. (..)
  • Amintim că obligația legală unică a SRI, conform art. 2 din Legea nr. 14/1992 este de a desfășura “activități pentru culegerea, verificarea și valorificarea informațiilor (…)”. Practic SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale (în special folosirea datelor exclusiv în scopul furnizării serviciilor din cloud) și nici îndeplinirea obligației de securitate a datelor (nici ca operator, nici ca împuternicit), pentru că obligația sa legală din Legea nr. 14/1992 este contrară celor din Regulamentul UE 679/2016 GDPR (în special articolele 5, 6 și 32).”, susțin ONG-urile.

Organizațiile neguvernamentale au mai subliniat că și jurisprudența Curții Constituționale a României este constantă în acest domeniu, chiar anterior intrării în vigoare a GDPR, o argumentație similară fiind inclusă în Decizia nr. 17/2015 a CCR cu privire la altă structură din cadrul SRI care ar fi trebuit să joace un rol relativ similar cu cel pe care SRI urmează să îl joace acum în implementarea Cloud-ului guvernamental, dar care nu poate oferi garanțiile minime necesare pentru respectarea dreptului la viață privată.

Sebastian Burduja, către ONG-uri: Blocăm PNRR-ul? Nu-mi amintesc să fi atras atenția asupra acestor lucruri înainte de PNRR

În replică, ministrul Sebastian Burduja le-a spus reprezentanților societății civile că Ordonanța de urgență va ajunge să fie dezbătută și în Parlament, doar că ONG-urile l-au atenționat că după ce actul va intra in vigoare.

  • „Vi se pare ca între intrarea în vigoare a OUG și dezbaterea legii în toamnă se va întâmpla ceva? Acest sistem nu există și nu se va construi până atunci. Pur și simplu este vorba de modul în care a fost scris PNRR-ul.
  • Este un jalon în PNRR. Blocăm PNRR-ul? Nu este o scuză, este o realitate. Nu-mi amintesc să fi avut o poziție când s-a publicat PNRR-ul sau înainte în care să atrageți atenția asupra acestor lucruri: 'vedeți că ați prevăzut acolo termene care nu se pot îndeplini decât prin Ordonanță de Urgență !'
  • Mai mult decât atât, implicarea instituțiilor pe care le vedeți în proiect sunt trecute în PNRR. Se știe de atunci că STS va construi centrele de date...”, a replicat ministrul Digitalizării, Sebastian Burduja.

CE PREVEDE PNRR DESPRE CLOUD-UL GUVERNAMENTAL

Burduja: Orice accesare a datelor în cloud va fi înregistrată și de neșters

Ministrul a subliniat că în proiectul de OUG au fost prevăzute mecanisme de jurnalizare a datelor, dar și de auditare.

  • „Unul dintre lucrurile la care țin cel mai mult se referă la jurnalizarea accesului la date. Din punct de vedere tehnic, asta înseamnă că orice accesare a datelor dvoastră este înregistrată și este de neșters. Mai mult decât atât am prevăzut și un mecanism de auditare.”, a spus Burduja.

Acesta a spus că fiecare cetățean va putea vedea în cloud cine le-a accesa datele.

Radu Puchiu, despre rolul STS în cloud: Am încredere în pompieri să stingă focul, dar nu am încredere în ei pentru a-mi construi casa

Prezenți la eveniment, doi experți în servicii de e-guvernare, Radu Puchiu și Andrei Nicoară, au atenționat asupra unei probleme de încredere pe care o au admisnitrarea acestui cloud de către 4 instituții.

  • „Partea cea mai importantă pentru adopția serviciilor de cloud este cea de încredere. În primul rând, pentru a avea încredere trebuie să ai un partener de încredere. Nu poți să ai 4 parteneri de încredere când vorbim de cloud. În momentul în care aveți o construcție în care responsabilitatea este împărțită la 3 sau 4 entități, cel care va fi utilizator de cloud se va gândi: dacă eu voi avea o anumită problemă la cine mă duc? O fi de la ăla? O fi de la celălalt? (..)
  • Strict pentru utilizarea unei aplicații trebuie să fie cineva răspunzător. Utilizatorul trebuie să aibă la cine să dea telefon și să aibă la dispoziție un singur loc de unde să ceară explicații.”, a declarat Andrei Nicoară, expert în servicii de e-guvernare.

Potrivit acestuia ar fi inutilă și mențiunea privind controlul parlamentar al cloud-ului guvernamental.

  • „Cu tot respectul, nu are niciun fel de sens, nu interesează pe nimeni și nu va funcționa. Nimeni nu crede că un parlamentar va scrie din proprie imaginație un raport despre cum funcționează platforma.”, a spus Andrei Nicoară.

Problema de încredere a fost ridicată și de Radu Puchiu, fost secretar de stat în Cancelaria fostului premier Victor Ponta, în prezent director al Aspen Technology & Society Program.

  • „Nu e clar dacă acest cloud e guvernamental sau nu. Dacă este guvernamental, cred că cea mai bună formula este ca Ministerul să se ocupe de reglementare, reprezentare și mai ales de control și ADR să fie principalul, singurul actor operațional în a implementa proiectul de cloud, ajutat la cerere de 2 instituții importante, SRI și STS.
  • Actualul aranjament instituțional aduce o lipsă de încredere. Pe o chestiune care e un cloud guvernamental, trebuie să ia o decizie care nu e guvernamentală.
  • Dacă nu vrem să fie un cloud guvernamental, atunci propunerea este să fie adăugat un nou articol în care să se spună că directorul STS să fie și ministru al Digitaliuzării și președinte al ADR”, a spus Radu Puchiu.

Acesta a mai subliniat că la articolul 5 din proiectul de OUG se spune că STS va avea și rol de administrare tehnică și operațională.

  • „Am încredere în pompieri, dacă îmi permiteți paralela, pentru că îmi sting focul, dar nu am încredere ca îmi vor construi casa.”, a spus Radu Puchiu.

În opinia acestuia, ADR ar trebui să fie unicul administrator al cloudului guvernamental.

Reacția STS: Nu ne interesează politica. Nu avem ce face cu aceste date. Vom administra platforma doar la nivel tehnic

În replică, generalul Ionel Sorin Bălan, directorul general al Serviciului de telecomunicații Speciale (STS), a spus că prevederea se referă la anumite servicii specifice din cloud prevăzute la art. 2 lit. k), l) și o) și că STS nu are niciun interes în politică și acces la date.

  • „Niciodată nu se va întâmpla asta pentru că atribuțiile STS nu vizează datele, pentru că nu avem ce face cu aceste date. În al doilea rând, acest cloud este guvernamental pentru că este al Guvernului, Ministerul Digitalizării este cel care face politica, ADR este administratorul operațional și nu este o altă măsură prin care SRTS ar fi administrator operațional.
  • Din contră, ADR este instituția cea care ține legătura cu toate instituțiile, implementează strategiile de la MCID și în plus asigură proiectarea dimensionării ulterioare.
  • Nu ne interesează politica, nu ne interesează dimensionarea, nu facem decât ceea ce știm. Platforma de cloud guvernamental noi o vom administra la nivel tehnic, dar tot ce înseamnă administrare operațională, dezvoltare, politică, legatura statului cu celelalte instituții nu sunt atrribuțiiole STS-ului și nu ne-am propus niciodată.”, a spus șeful STS.

ANIS: Proiectul de OUG este îmbunătățit, dar anumite prevederi ar putea bloca achizițiile de cloud public la nivelul autorităților locale

Prezent la eveniment, Robert Bogdanffy, director de afaceri publice al Asociației Patronale a Industriei de Software (ANIS), a subliniat forma îmbunătățită a noului proiect de OUG, dar a atenționat asupra unor prevederi care pun în pericol digitalizarea publică.

  • ”Printre cele mai importante aspecte pe care le considerăm îmbunătățite față de forma inițială se află menționarea în mod explicit a cloud-ului hibrid, ca și construcție a Cloud-ului Guvernamental, precum și includerea noțiunii de cloud first, elemente de guvernanță a datelor, precum și a ghidurilor realizate de autoritățile naționale pentru a încuraja achiziția și utilizarea produselor software în cloud și a serviciilor oferite de furnizorii de cloud cei mai avansați din lume. Credem însă că această direcție este pusă în pericol de alte prevederi pe care le vom detalia în cele ce urmează. (..)
  • Obligarea la utilizarea cloud-ului guvernamental în detrimentul posibilității de contractare a altor cloud-uri publice din ofertele furnizorilor privați este de natură să blocheze o parte consistentă din procesul de digitalizare.
  • Dacă serviciile oferite prin Cloud-ul Guvernamental vor fi nesatisfăcătoare, atunci toate serviciile publice vor avea de suferit, iar în esență se creează un monopol de stat care afectează concurența. Selectarea tipului de cloud utilizat (Cloud Guvernamental, Cloud Privat Separat, Cloud Hibrid sau Cloud Public) trebuie să aibă loc pe baza modului de guvernanță a datelor pentru fiecare caz în parte.
  • Varianta actuală, de autorități împărțite între două blocuri mari: autoritățile centrale și cele locale aduce în mod evident dezavantaje indiferent de succesul și funcționarea infrastructurii de Cloud Guvernamental.
  • Cu alte cuvinte, dacă infrastructura va fi cu adevărat performantă, vom dezavantaja autoritățile locale care nu vor avea acces la acest sistem conform Art .1 (1) și Art.2 lit. e), însă dacă infrastructura va fi lacunară atunci autoritățile centrale vor cere posibilitatea de a contracta de pe piața liberă.
  • Mai mult, limitarea actuală a opțiunii de contractare a cloud-ului public de către autoritățile locale prevăzută la articolul 11 (1) va bloca de facto achizițiile de cloud public la nivel local, fiind suficient ca Ministerul Cercetării, Inovării și Digitalizării să anunțe intenția de a dezvolta o suită întreagă de servicii pentru a descuraja autoritățile locale de a începe o procedură de negociere și achiziție de cloud public la niveluri competitive, indiferent de durata, costul de operare și calitatea implementării Cloud-ului Guvernamental.”, a atenționat oficialul ANIS.

Oficialul ANIS a mai arătat că noțiunea de proprietate publică a statului rămâne problematică, și chiar dacă există elemente care ar putea clarifica în ce condiții se efectuează, ea trebuie să fie aplicabile strict componentei de cloud privat din Cloud-ul Guvernamental, altfel s-ar crea premisele naționalizării cloud-urilor publice.

În replică, directorul STS a spus că statul nu-și propune ca prion cloud-ul guvernamental să intre în competiție cu cloud-urile publice. Potrivit acestuia, ”infrastructura de cloud guvernamental va include resurse din cloud-ul guvernamental privat, cloud-uri administrative publice private dezvoltate de alte ministere, adminsitrația publică centrală și locală și de asemenea resurse din cloud-urile publice.”