Cazul Edu.ro: Peste 60 de instituții, în afară de Ministerul Educației, folosesc o infrastructură IT gigant de tip cloud, implementată cu fonduri UE, dar numele acestora rămân secrete
Cazul Edu.ro, pagina oficială a Ministerului Educației care era folosită pentru minerit criptomonedă, a scos la iveală că acest site era găzduit pe ICI PRO, o infrastructura de tip cloud pentru institutiile publice, implementată cu fonduri UE de peste 17 milioane de euro, care este gestionată de Institutul Național de informatică (ICI). Ce alte instituții publice folosesc în mod gratuit servere virtualizate pe această platformă? ICI, institut care trăiește din gestionarea domeniilor .ro, o resursă limitată a statului, nu vrea să spună, iar Ministerul Comunicațiilor, care coordonează Institutul, transmite doar un număr: 66 de instituții publice, subliniind că nu poate da mai multe informații fără acordul explicit al acestora.
- „În proiectul ICIPRO rolul ICI (providerului de cloud) se limitează în a administra mediul fizic și de a pune la dispoziția utilizatorilor o interfață de tip self-services prin care aceștia își gestionează singuri resursele. Din această cauză nu putem oferi informaţii despre instituţiile colaboratoare care au resurse alocate în infrastructura ICIPRO fără a avea acordul explicit al acestora. De altfel, instituțiile publice care au dorit să facă public acest lucru au asigurat informarea publică pe paginile lor web.”, se arată într-un răspuns mai lung al Ministerului Comunicațiilor la solicitarea HotNews.ro.
Ce instituții și autorități publice beneficiază în prezent de serviciile gratuite oferite de platforma ICI PRO în baza contractelor de colaborare cu ICI?
Aceasta a fost întrebarea adresată de HotNews.ro către Ministerul Comunicațiilor, în contextul refuzului ICI de a comunica ce instituții publice beneficiază de serviciile platformei ICI PRO – ‘Infrastructura de tip Cloud pentru institutiile publice din Romania’.
În ciuda insistențelor HotNews.ro de a afla ce alte site-uri de instituții publice se află pe infrastructura ICI PRO, oficialii ICI nu au declarat decât că: ‘prin infrastructura ICI PRO oferim beneficiarilor legali din administrația publică centrală și locală, resurse de tip infrastructură (resurse virtualizate sub formă de Cloud) date în administrarea instituțiilor partenere pe baza acordurilor de colaborare’, fără a da alte detalii.
Institutul National de Cercetare in Informatica (ICI) a atribuit prin licitatie la sfarsitul anului 2014 un contract de peste 17 milioane de euro, finantat cu fonduri UE, catre asocierea formata din grupul UTI, Ymens Teamnet (parte a grupului fondat de Sebastian Ghita) si CP Consultant Services, avand ca subcontractanti pe Siveco si Romsys, pentru realizarea acestei platforme de tip cloud pentru instituțiile publice din România.
- Redăm mai jos integral răspunsul Ministerului Comunicațiilor:
Date despre proiectul ICIPRO – https://www.icipro.ro/# se regăsesc publicate în mediul online pe site-ul web al Institutului Naţional de Cercetare Dezvoltare în Informatică (ICI) București, respectiv:
Institutul Național de Cercetare-Dezvoltare în Informatică – ICI București prin proiectul „Infrastructură de tip cloud pentru instituțiile publice din România – ICIPRO” pune la dispoziție instituțiilor publice interesate, în mod gratuit, următoarele servicii:
1. Infrastructură (http://iaaspanel.icipro.ro/)
Resurse de tip Infrastructură:
Seturi de resurse virtualizate sub formă de cloud, date în administrare instituțiilor colaboratoare.
2. Serviciul Biblioteca Virtuală (http://bibliotecavirtuala.icipro.ro/)
Prin intermediul acestui serviciu instituțiile publice pot avea acces la servicii de arhivare electronică și au posibilitatea de a expune într-un portal cu acces public documente electronice.
3. Serviciul Date Deschise (https://datedeschise.icipro.ro/)
Prin intermediul acestui serviciu instituțiile publice au posibilitatea de a publica într-un mod standardizat informații de interes public, din proprie inițiativă sau ca răspuns la solicitările formulate de către public.
În momentul actual, în urma măsurilor întreprinse după finalizarea implementării proiectului, de serviciile furnizate prin cadrul ICIPRO beneficiază un număr de 66 instituţii publice şi 17 utilizatori interni ai ICI Bucureşti pentru teme de cercetare.
Lista instituţiilor publice care utilizează serviciile implementate prin proiectul ICIPRO, care şi-au declarat secţiune publică a serviciilor folosite, poate fi consultată la adresa http://bibliotecavirtuala.icipro.ro, respectiv http://datedeschise.icipro.ro.
Spre exemplificare, următoarele instituţii folosesc serviciul Biblioteca Virtuală şi şi-au declarat secţiuni publice în cadrul acestui serviciu:
- 1. Biblioteca Academiei Române;
- 2. Biblioteca Centrală Universitară;
- 3. Biblioteca Judeţeană „George Bariţiu” Braşov;
- 4. Biblioteca Municipală Câmpulung Muscel;
- 5. Biblioteca „Ion Heliade Rădulescu” Dâmboviţa;
- 6. Consiliul Judeţean Vaslui (DGASPC);
- 7. INCD Urban – INCERC;
- 8. Primăria Municipiului Câmpulung;
Referitor la serviciul de Infrastructură facem precizarea că IaaS (Infrastructure as a Service) reprezintă nivelul primar al serviciilor de tip cloud, prin care utilizatorul accesează o serie de resurse hardware virtualizate (servere, spațiu de stocare, și alte componente ale infrastructurii IT), cu ajutorul cărora își întreține singur sistemul de operare și aplicațiile instalate. Unul dintre avantajele folosirii infrastructurii IaaS este reprezentat de flexibilitatea în administrarea resurselor, fiecare utilizator putând să-și creeze, șteargă sau să-și modifice propriile mașini virtuale/resurse conform cerințelor proprii de moment.
Prin intermediul resurselor virtualizate sub formă de cloud date în administrate instituţiilor colaboratoare nu putem determina serviciile colocate de acestea în infrastructură şi nici caracterul lor, public sau privat.
În proiectul ICIPRO rolul ICI (providerului de cloud) se limitează în a administra mediul fizic și de a pune la dispoziția utilizatorilor o interfață de tip self-services prin care aceștia își gestionează singuri resursele. Din această cauză nu putem oferi informaţii despre instituţiile colaboratoare care au resurse alocate în infrastructura ICIPRO fără a avea acordul explicit al acestora. De altfel, instituțiile publice care au dorit să facă public acest lucru au asigurat informarea publică pe paginile lor web.”
Datele afișate pe site-ul ICI, la care face referire Ministerul Comunicațiilor în răspunsul transmis HotNews.ro, prezintă doar 15 organizații care folosesc serviciile acestei platforme.
În afară de cele 8 organizații menționate ca exemplu de Ministerul Comunicațiilor, mai aflăm despre: Asociaţia Naţională a Bibliotecarilor şi Bibliotecilor Publice din România (ANBPR); Biblioteca Judeţeană “Panait Istrati” Brăila; Institutul National de Cercetare-Dezvoltare in Constructii, Urbanism si Dezvoltare Teritoriala Durabila URBAN-INCERC; Institutul Național de Studii și Cercetări pentru Comunicații (INSCC București); Institutul Naţional pentru Cercetare şi Formare Culturală (INCFC). Pe platformă mai sunt ICI și ROTLD, serviciul român de domenii .ro, care este gestionat tot de acest institut.
De ce este de interes public să știm ce alte site-uri de instituții publice sunt găzduite pe platforma ICI?
Autoritățile nu au stabilit sau nu vor să comunice public dacă au identificat modul ăn care a fost inserat scriptul de criptomonedă pe site-ul edu.ro.
- „Din datele colectate și investigațiile derulate până în prezent este prematur să se tragă o concluzie cu privire la inserarea scriptului de minare sau dacă operațiunea s-a realizat din interior sau din exterior. CERT-RO va continua analizarea datelor colectate și va transmite un raport complet către MEN în cel mai scurt timp.”, au precizat în 4 iunie pentru HotNews.ro oficialii Ministerului Educației, întrebați dacă sunt siguri că a fost un atac extern ori se analizează și varianta ca angajați ai Ministerului sau ai Institutului Național de Cercetare în Informatică (ICI) să fi urcat scriptul problemă.
Mai mult, până să se rezolve problemele cu Edu.ro, experții CERT-RO au declarat pentru HotNews.ro că au vorbit cu cei de la ICI să verifice dacă și alte site-uri găzduite pe platforma ICI PRO ar avea probleme.
Din informațiile HotNews.ro, CERT-RO a finalizat și transmis către Ministerul Educației raportul de analiză a incidentului de la Edu.ro, dar în ciuda solicitării HotNews.ro, Ministerul Educației nu a prezentat până acum concluziile acestui raport, inclusiv dacă au stabilit responsabilii pentru acest incident informatic.