Scandalul cloud-ului guvernamental: SRI nu poate asigura securitatea datelor personale, pentru că scopul său legal este de a culege informații – APTI
Serviciul Român de Informații (SRI) va gestiona toate echipamentele și aplicațiile de securitate, inclusiv cu acces la întreg traficul de la sau spre viitorul Cloud guvernamental, fapt periculos deoarece SRI nu poate asigura securitatea datelor personale, pentru că scopul său legal este de a culege informații, a atenționat vineri Asociația pentru Tehnologie și Internet (APTI).
Serviciul Român de Informații (SRI) ar urma să asigure securitatea cibernetică a viitorului cloud guvernamental, infrastructura IT finanțată cu 375 milioane de euro din PNRR pentru a eficientiza interacțiunea online între stat și cetățeni, potrivit unui proiect de Ordonanță de urgență lansat recent în dezbatere publică de Autoritatea pentru Digitalizarea României (ADR).
Proiectul a stârnit multiple controverse, la care s-au adăugat vineri atenționări și din partea Asociației pentru Tehnologie și Internet (ApTI) care are expertiză pe zona de drepturi civile digitale și care este condusă de juristul Bogdan Manolea.
SRI nu poate asigura securitatea datelor personale dintr-un sistem IT, pentru că scopul său legal este de a culege informații – acuză ApTI
Asociația critică mai multe aspecte, probleme semnalate și de Asociația Patronală a Industriei de Software (ANIS), dar insistă asupra unui posibil pericol în participarea SRI la acest proiect.
Redăm mai jos precizările ApTI:
- „Propunerea de OUG prevede în art. 6 (1) că SRI va “asigura securitatea cibernetică a Cloud-ului Guvernamental prin cunoașterea, prevenirea și contracararea atacurilor cibernetice, inclusiv a celor complexe, de tip APT, (…)”.
- Mai mult proiectul de ordonanță de urgență menționează în art. 9 că SRI va avea un rol de operator asociat, împreună cu celelalte instituții, deci va fi supus obligațiilor din GDPR (Regulamentul 679/2016), pentru că activitățile din proiect nu intră în domeniul exceptat de GDPR.
- Subliniem că protecția împotriva amenințărilor de tip APT nu se poate realiza printr-o singură soluție software și hardware, ci prin mai multe (protecția APT presupune integrarea de soluții cum ar fi sandbox, CASB, EDR, threat intelligence, forensic, analytics etc.). Rezultă că pentru a asigura protecția împotriva APT, SRI va gestiona toate echipamentele și aplicațiile de securitate, inclusiv cu acces la întreg traficul de la sau spre Cloud.
- Amintim că obligația legală unică a SRI, conform art. 2 din Legea nr. 14/1992 este de a desfășura “activități pentru culegerea, verificarea și valorificarea informațiilor (…)”.
- Practic SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale (în special folosirea datelor exclusiv în scopul furnizării serviciilor din cloud) și nici îndeplinirea obligației de securitate a datelor (nici ca operator, nici ca împuternicit), pentru că obligația sa legală din Legea nr. 14/1992 este contrară celor din Regulamentul UE 679/2016 GDPR (în special articolele 5, 6 și 32).
- De altfel și jurisprudența Curții Constituționale a României este constantă în acest domeniu, chiar anterior intrării în vigoare a GDPR, o argumentație similară fiind inclusă în Decizia nr. 17/2015 a CCR cu privire la altă structură din cadrul SRI care ar fi trebuit să joace un rol similar cu cel pe care SRI urmează să îl joace acum în implementarea Cloud-ului guvernamental:
- “Or, în condiţiile în care Centrul Naţional de Securitate Cibernetică constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidenţă că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţă intimă, familială şi privată şi la secretul corespondenţei.”
- În mod normal, această atribuție de a asigura securitatea sistemului ar putea sa fie asigurată de DNSC – ”Principala responsabilitate a DNSC este asigurarea securității cibernetice a spațiului cibernetic național civil” (art. 3 alin. 1 OUG 104/2021). Din păcate, DNSC are, conform art. 5 litera (b), funcția de autoritate competentă la nivel național de reglementare, supraveghere și control și asigură reglementarea și gestionarea securității cibernetice a României și a spațiului cibernetic național civil, iar conform punctului 5 de la același articol îndeplinește atribuțiile de autoritate națională pentru furnizorii (…) de servicii tip cloud. Deci DNSC nu poate să aibă un rol de control și de controlat în același timp.
- În acest context singura variantă legală instituțional ar fi păstrarea atribuțiilor de securitate informatică a Cloud-ului la STS, iar dacă acesta are nevoie de un ajutor specializat, el ar putea să achiziționeze serviciile de securitate informatică din sectorul privat, de la orice auditor sau laborator acreditat de către DNSC (furnizor care va avea rolul de persoană împuternicită în contextul prelucrării datelor personale).”, susține APTI.
E bine sau nu să participe SRI la Cloud-ul guvernamental? Membrii conducerii ANIS asociația patronală a industriei de software au păreri diferite
Problema participării SRI și STS la construcția viitorului cloud guvernamental a fost semnalată inițial pe pagina proprie de internet de Alexandru Lăpușan, CEO Zitec, furnizor de servicii de cloud, și vicepreședinte al ANIS – Asociația Patronală a industriei de Software.
ANIS reunește companii din IT care au o contribuție de 7 miliarde de euro în PIB-ul României și adună 45% din numărul total de specialiști IT din țară.
Alexandru Lăpușan a reclamat că Ordonanța de urgență pregătită de guvern „este o inițiativă deosebit de nocivă, care reușește dintr-un foc urmatoarele 3 lucruri:
1. Dă control absolut și discreționar asupra softului tuturor instituțiilor și datelor tuturor cetățenilor către SRI și STS. Stați liniștiți, o să ne păzească Sfântul GDPR de abuzurile lor.
2. Blochează orice utilizare de servicii de cloud public în toate instituțiile de stat.
3. Construiește un monopol în zona ADR: dacă o instituție de stat dorește să utilizeze un SaaS mic, genul celor de 50 EUR pe lună, doar dacă ADR deține o astfel de soluție va putea să o facă. Video conferințe, calendare, email, management de proiect – adio SaaS din cloudul public.”
Ulterior, ANIS a organizat joi, 24 martie, o conferință de presă (vezi aici video) în care a reiterat problemele pe care le vede în modul cum vrea Guvernul să implementeze acest cloud.
Președintele ANIS: În proiectul de OUG se spune că SRI va proteja cloud-ul împotriva atacurilor cibernetice avansate. Cine altcineva să facă asta?
În privința participării SRI și STS, pozițiile membrilor ANIS nu au fost pe aceeași lungime de undă.
- „Într-o situația ideală ar fi o instituție civilă care să gestioneze acest proiect. Dar acum dacă ne uităm la capacitate, cine poate face asta? Legat de implicarea SRI, în OUG se spune că are rolul de a proteja cloud-ul împotriva atacurilor cibernetice avansate. Cine altcineva să facă asta?
- Nu aș duce toate lucrurile astea într-o paranoia exagerată că Serviciile ne vor accesa datele. Și dacă ar face-o, ar face-o în ilegalitate pentru că în final trebuie să aibă un mandat pentru accesarea datelor.”, a declarat joi Mihai Matei, președintele ANIS.
De cealaltă parte, Alexandru Lăpușan, vicepreședintele ANIS, a fost mai critic pe acest subiect și în privința STS.
- „Faptul că nu avem capacitate într-o instituție civilă, nu înseamnă că STS trebuie transformat într-un furnizor de servicii pentru serviciile statului. Are altă menire. Acum se schimbă destinația STS și va trebui să primească bugetări serioase, să facă amgajări și să devină acea entitate care va guverna acest cloud.
- Dar pe de altă parte haideți să ne uităm ce au făcut Guvernele când au avut nevoie de tehnologie – s-au dus către STS și l-au obligat să livreze rapid soluții și au luat soft-uri din donații. Astea sunt instrumentele folosite de Guvernul României indiferent cine a fost la guvernare in ultimii 4-5 ani.”, a declarat joi Alexandru Lăpușan.
Proiectul de OUG: SRI și STS vor colabora în securitatea cibernetică „fără a schimba date de conținut”
În proiectul de OUG se precizează că STS este desemnat ca integrator tehnic al Cloud-ului, calitate în care asigură implementarea infrastructurii, dar și mentenanța continuă a serviciilor.
În plus, securitatea cibernetică a Cloud-ului Guvernamental va fi asigurată și gestionată de Serviciul de Telecomunicații Speciale (STS) și de Serviciul Român de Informații (SRI). În proiectul de act normativ, se precuzează că SRI și STS nu vor schimba date de conținut.
Astfel, la articolul 6 alineatul (2) se precizează:
- „SRI, cooperează cu STS, conform competentelor fiecărei instituții, pentru cunoașterea, prevenirea și contracararea atacurilor cibernetice complexe, de tip APT, îndreptate împotriva serviciilor specifice Cloud-ului Guvernamental menționate la art. 2 lit. d) și e) prin partajarea evenimentelor de securitate, fără a schimba date de conținut.”, se arată în proiectul de OUG.
VEZI AICI PROIECTUL DE OUG ȘI NOTA DE FUNDAMENTARE