Guvernul, prin proiectul de „cloud guvenamental”, care este finanțat prin PNRR cu peste 500 de milioane de euro, întâmpină probleme pentru că sunt instituții importante ale statului reticente să participe. Anton Rog, șeful Centrului Național Cyberint al SRI, a explicat ce presupune acest proiect de cloud guvernamental și a vorbit şi despre temerile instituțiilor că le-ar putea fi accesate datele.
Proiectul este finanţat prin PNRR cu aproape 500 de milioane de euro. Cei care au fost desemnaţi de Guvern să se ocupe de acest proiect, adică Autoritatea pentru Digitalizarea României, SRI şi STS, au trimis instituțiilor publice un chestionar. Trebuiau, de exemplu, să spună ce fel de nevoi de hard au, ce fel de nevoi de soft au şi aşa mai departe, ca să porteze toate datele pe care le au în sistemul acesta comun.
Surpriza a fost mare. Din 108 instituţii, 22 ori nu au răspuns deloc, ori au spus că ele nu vor să facă parte din proiect, altele au spus că dau nişte date, dar nu le-au dat complet. Iar dintre instituţiile care refuză fac parte: Evidenţa Persoanei, Paşapoartele, Permise şi înmatriculări, Poliţia de Frontieră, Poliţia Română, Imigrările, Registrul Comerţului, Curtea Constituţională, DNA, DIICOT.
Şeful Autorităţii Electorale Permanente, Autoritatea Electorală Permanentă, instituţia care nu vrea să intre în cloud, a dat mai multe detalii la Digi 24.
Noi nu considerăm normal ca STS şi SRI să aibă acces la toate datele şi documentele pe care Autoritatea Electorală Permanentă le pregăteşte în vederea alegerilor. E, în primul rând, o problemă de imagine. Nu are sens să lăsăm să planeze suspiciunea că o unitate militară, oricare ar fi ea, are acces la astfel de documente.
Ce a răspuns Anton Rog, șeful Centrului Național Cyberint al SRI
Anton Rog: Dacă mă întrebați pe mine, este o ipoteză falsă și în general ipotezele care spun că cele două instituții ar avea acces la datele eventualelor instituții care vor migra în acest cloud. Dacă vreți să mă refer direct la AEP, în anii trecuți, cu ocazia mai multor alegeri, Autoritatea Electorală Permanentă s-a adresat oficial Serviciului Român de Informații, în speță Centrului Național Cyberint, pentru a-i solicita sprijin în evaluarea cibernetică a aplicațiilor folosite în alegeri. De fiecare dată, Centrul i-a răspuns, în multe situații a găsit și vulnerabilități și a dat recomandări AEP-ului, pe care le-a implementat, și în felul acesta am avut alegeri corecte. Nu cred că Autoritatea atunci știa că serviciul e cum trebuie și dintr-odată a descoperit că serviciul are acces la date. Deci, ipoteza este una incorectă.
Dar nu aș vrea să vă refer numai la această chestiune. Să discutăm în general. De ce nu vin unele instituții în cloud? Unele instituții nu vin în cloud pentru că au aplicații care nu sunt pregătite pentru cloud și care necesită un efort deosebit pe care nu pot să-l facă acum, dar pentru chestiunea asta sunt pregătiți bani în zona de migrare cu care să se facă cu piața privată.
SRI dă garanții că nu au acces la datele instituţiilor
Alte instituții nu vin în cloud din motive de genul AEP, care n-au niciun fundament. Din punct de vedere tehnologic - și mă refer aici numai la Serviciul Român de Informații, Centrul Național Cyberint, rolul lui, este de a asigura securitatea cibernetică (...).
Afectarea cloud-ului guvernamental duce automat la afectarea securității naționale. Gândiți-vă că vor fi 60 de instituții care migrează și dintr-odată, cloud-ul nu mai este disponibil pe motive de securitate! E afectată toată societatea, guvernul, economia și tot ce mai doriți. Din acest motiv, pentru că Serviciul Român de Informații este instituția care se ocupă de cunoaștere, prevenire și contracararea amenințărilor la securitatea națională, iar dacă discutăm de contracarare în spațiu cibernetic, ea nu poate să fie decât una tehnologică, iar serviciul o face prin unitatea sa specializată, Centrul Național Cyberint. Deci, toate echipamentele pe care noi le punem pe partea de securitate cibernetică nu au acces la date! Ele se uită la log-uri, la jurnale și jurnalizează evenimente de securitate cibernetică. Evenimente! Evenimente, care sunt centralizate într-un sistem central - unele dintre ele ajung să fie alerte de securitate cibernetică, să fie investigate, deci niciun fel de dată! Chiar dacă am dori, dacă n-am dori, nu ajung la noi!
Despre garanții şi că SRI nu va accesa date
Anton Rog: Garanția este garanţia tehnologică. Tehnologiile respective sunt construite pentru a nu avea acces la date, pentru a asigura numai securitate cibernetică. Dați-mi voie să vă dau un exemplu foarte clar. Noi operăm un Security Operating Center, un SOC - îi spunem Țițeica, e vestit, îl știe toată România. A fost făcut din fonduri europene în 2015. El funcționează de șapte ani. În acel SOC făcut din fonduri europene noi oferim servicii de securitate cibernetică pentru 61 de instituții din tot Guvernul României. Vă aduc la cunoștință că, în șapte ani, nu a existat nici măcar o plângere că un bit dintr-un mail, dintr-un fișier sau din ce vreți dumneavoastră a fost accesat de Serviciul Român de Informații. Și vă mai aduc la cunoștință un lucru, că, în acești șapte ani, au fost numeroase, zeci, poate sute de incidente cibernetice majore și, de fiecare dată, știți cui s-au adresat instituțiile respective? Serviciului Român de Informații, invariabil! C.
Cine verifică că dumneavoastră nu intrați în date?
Anton Rog: Instituțiile respective! Pentru că noi avem o zonă centrală și, da, avem senzori care culeg evenimente de securitate cibernetică şi atât. Senzorii sunt culeși în zona locală și de acolo sunt împinși. Oricând, orice instituție se poate uita în zona respectivă dacă noi luăm vreun fel de date. Și nu luăm niciun fel de date.
Repet, unii nu le migrează pentru că au tehnologii foarte vechi. SRI este un instrument și SRI nu trebuie... Cum să vă zic, cloud-ul guvernamental nu trebuie să fie un cloud militarizat. El trebuie să fie un cloud dedicat cetățeanului, dedicat instituției și zonei civile. SRI a înțeles - și bănuiesc că și STS - că sunt doar două instrumente care au mai multă cunoaștere, au specialiști mai buni, pe care statul român îi folosește ca să își pună în aplicare cloud-ul. Puterea în cloud, decizia în cloud nu trebuie să fie nici la SRI, și nici la STS și trebuie să înțeleagă foarte bine aceste două instituții: trebuie să fie la ADR. ADR trebuie să fie cel care împarte resursele, decide accesul, alocarea și tot ce mai vreți în cloud.
Cum funcționează mecanismul datelor
Jurnalistul Prelipceanu a cerut explicații cu privire la mecanismul de folosire al datelelor şi întreabă: odată cu intrarea în cloud, oamenii ăștia doar fac share la datele pe care le au sau le și portează într-un loc comun unde va exista o bază de date uriașă în care sunt toate datele românilor?
Anton Rog: Cloud-ul guvernamental este o infrastructură de hardware și software pe mai multe nivele - nu vreau să fiu foarte tehnic, ca să fim înțeleși - în care sunt unele instituții fundamentale care nu pot lipsi din cloud pentru că, fără ele, cloud-ul nu are sens: Evidența Populației, Permise, Pașapoarte, adică cloud-ul trebuie să ajute instituțiile, dar mai important, să ajute cetățeanul, cum aţi început dumneavoastră. Trebuie ca cel puțin cele 36 de evenimente de viață să fie rezolvate de acest cloud: să îmi fac buletin, să îmi fac pașaport, să fac o consultație medicală, să-mi deschid firmă, să-mi închid firmă, să-mi schimb obiect de activitate. Toate aceste date trebuie migrate în cloud. Cloud-ul sigur că e o tehnologie specifică. Migrarea asta nu se întâmplă peste noapte.
De ce oferă SRI şi hardware?
Anton Rog: Nu, înseamnă că le mută în cloud. Instituțiile sunt proprietarele datelor în continuare, în zona de cloud alocată pentru ele. Este un spațiu comun. Ceea ce aduce extrem de important cloud-ul este interoperabilitatea și ați menționat-o la început, din perspectiva clientului. Când toate acele baze de date, aplicații sunt într-un spațiu comun, atunci schimbul de date între ele trebuie să fie unul natural și să scutească într-o mare parte cetățeanul de plimbatul pe la ghișee și între instituții.
Cu privire la faptul că în proiectul de ordonanță scrie că SRI oferă și hardware, adică niște mașini, șeful Centrului Național Cyberint al SRI, a explicat:
Anton Rog: Deci, buget de 560 de milioane, nu e aproape 500. Este 560. Din acest buget, 50 la sută este alocat licitației și zonei de infrastructură de care se va ocupa STS, 250 de milioane de euro. Pentru partea de securitate cibernetică, Serviciul Român de Informații, pentru că guvernul a decis să facă un cloud rezilient în patru noduri - noduri care sunt niște centre de date ce aparțin STS-ului...Înseamnă că dacă pică un nod, rămân celelalte trei, cetățeanul, instituțiile nu simt nimic, rămâne în picioare. Dacă pică al doilea nod, nu se întâmplă nimic, rămâne în picioare. Și tot așa, cu cât ai mai multe noduri, cu atât cloud-ul este mai rezilient. Din tot acest buget pentru cele patru cloud-uri estimarea noastră este că noi, pe partea de securitate cibernetică, vom folosi 7 la sută din acești bani, adică vreo 40 de milioane de euro. Echipamentele pe care le punem noi sunt echipamente de tip senzoristic, echipamente care asigură numai protecție cibernetică, se uită la log-uri, la jurnale.
Cine ne garantează că STS, posesorul hardului, al spațiului de stocare, nu se înfruptă de acolo?
Anton Rog: Iarăși e o chestiune tehnologică și partea de acces și de alocare nu trebuie să fie la STS, trebuie să fie la ADR, la instituția civilă. Noi, SRI-ul, credem că puterea - așa e normal - trebuie să migreze în totalitate către zona civilă, deci instituția care va aloca drepturi în cloud, care va aloca resurse, nu va fi STS-ul. STS-ul trebuie să fie și să înțeleagă lucrul ăsta: deși centrele de date sunt ale lor, nu este cloud-ul STS, este cloud-ul guvernamental și, în repetatele întâlniri pe care le am avut, eu am spus fraza asta, pentru ca toată lumea să înțeleagă: deci de alocare și de drepturile în zona de cloud trebuie să se ocupe exclusiv ADR. STS și SRI trebuie să fie doar niște instrumente și atât, a declarat Anton Rog, şeful Centrului Naţional Cyberint în interviul realizat de jurnalistul Cosmin Prelipceanu, digi24.