Schimbări la cloud-ul guvernamental: Românii vor fi notificați când le sunt accesate datele personale / Ce atribuții vor avea SRI și STS
Românii care vor utiliza serviciile publice electronice furnizate de instituțiile găzduite în viitorul cloud guvernamental, platforma IT de peste 500 milioane de euro finanțată din PNRR, vor avea la dispoziție o aplicație dezvoltată de Autoritatea pentru Digitalizarea României (ADR) prin care vor fi notificați când li se accesează datele cu caracter personal, arată cea mai recentă versiune a Ordonanței de urgență privind guvernanța cloud-ului.
- UPDATE (21:00) Guvernul a adoptat luni această Ordonanța de urgență, iar ministrul Digitalizării, Sebastian Burduja, a spus că platforma va avea o componentă de jurnalizare și audit prin care cetățenii vor ști cine le-a accesat datele.
- „În momentul în care o instituție a statului accesează, prelucrează datele unui cetățean, acel cetățean va avea acces la un jurnal imutabil, deci de neșters, prin care va vedea cine i-a accesta acele date, când și cu ce motiv și va fi notificat în acest sens. Am preluat acest model de la alte state, unde deja funcționează, inclusiv vecinii noștri din Republica Moldova au un astfel de sistem (..)”, a declarat luni ministrul Digitalizării, Sebastian Burduja.
- UPDATE (15:46) Proiectul de Ordonanță de urgență se află pe agenda de luni a Guvernului.
Ministerul Digitalizării a pus în dezbatere publică o nouă versiune a ordonanței de Urgență privind guvernanța cloud-ului guvernamental, după dezbaterea publică de săptămâna trecută.
- Pentru detalii citește: OUG cu miză de 500 milioane de euro: SRI, absent la dezbaterea privind cloud-ul guvernamental / Societatea civilă, mustrată de ministrul Burduja
VEZI AICI NOUL PROIECTUL DE OUG ȘI NOTA DE FUNDAMENTARE
Dată fiind urgența invocată de îndeplinirea jaloanelor din PNRR (30 iunie 2022) este posibil ca acest act să fie adoptat chiar în ședința de Guvern de astăzi sau dacă nu, la următoarea, în funcție de avizele obținute.
Una dintre principalele noutăți în ultima versiune a proiectului de OUG este aceea că utilizatorii finali vor avea la dispoziție o aplicație de jurnalizare (istoricul operațiunilor zilnice) și notificare a activitățiii de prelucrare a datelor personale:
Art. 10, alineatul 7:
- „ADR asigură dezvoltarea unei aplicații de jurnalizare și notificare a activității de prelucrare a datelor cu caracter personal ale persoanelor vizate, destinată utilizatorilor finali ai serviciilor publice furnizate de entitățile publice găzduite în Cloud-ul Privat Guvernamental.”
Ordonanța prevede de asemenea ca și administratorii serviciilor furnizate, precum și administratorii de securitate cibernetică – inclusiv Serviciul Român de Informații (SRI) și Serviciul de telecomunicații Speciale (STS) „asigură jurnalizarea evenimentelor și accesului la datele entităților găzduite în Cloud-ul Privat Guvernamental, în scopul realizării de audituri de conformitate periodice pe linia protecției, calității, securității și trasabilității datelor, în vederea asigurării transparenței utilizării acestora.”
Normele metodologice de jurnalizare a evenimentelor și accesului la datele entităților
găzduite în Cloud-ul Privat Guvernamental se vor stabili prin Hotărâre de Guvern.
Cloud-ul guvernamental va fi hibrid: O componentă va fi privată, a statului, altele vor fi publice
Autoritățile au stabilit că platforma de cloud guvernamental va fi una de tip hibrid, în care va exista o componentă de cloud privat a statului, denumită ‘cloud-ul privat guvernamental’, dar și resurse și servicii publice certificate din alte tipuri de cloud publice sau private.
Ce înseamnă cloud privat și cloud public – date din proiectul de OUG:
- Cloud-ul privat: modalitate de organizare a resurselor unui sistem de cloud computing în care serviciile sunt folosite de un singur client al cloud-ului, iar resursele sunt controlate de acel client;
- Cloud public: modalitate de organizare a resurselor unui sistem de cloud computing în care serviciile sunt posibil disponibile oricărui client al cloud-ului, iar resursele sunt controlate de furnizorul de servicii cloud;
- Cloud hibrid: modalitate de organizare a resurselor unui sistem de cloud, care utilizează cel puțin două tipuri diferite de cloud computing;
STS și SRI își împart atribuțiile de securitate cibernetică: Rolul Serviciilor
Platforma dde cloud guvernamental va fi gestionată de aceleași 4 instituții: Ministerul Cercetării, Inovării și Digitalizării (MCID), Autoritatea pentru Digitalizarea României (ADR), Serviciul de Telecomunicații Speciale (STS) și Serviciul Romîn de Informații (SRI).
Atribuțiile STS sunt menționate la articolul 5:
- (1) Infrastructura de bază a Cloud-ului Privat Guvernamental este asigurată de STS.
- (2) STS asigură implementarea, administrarea tehnică și operațională, securitatea cibernetică, mentenanța, precum și dezvoltarea ulterioară a serviciilor specifice Cloudului Privat Guvernamental, prevăzute la art. 2 lit. k), l) și q).
La art. 2, literele k), l) și q) se menționează următoarele:
- k) infrastructura de bază a Cloud-ului Privat Guvernamental – clădirile, instalațiile, dotările și echipamentele tehnologice aferente, echipamentele de tehnologia informației și comunicațiilor, inclusiv echipamentele necesare asigurării securității cibernetice, care funcționează în configurații de înaltă disponibilitate, precum și programele software, aplicațiile informatice și licențele asociate acestora;
- l) infrastructura ca serviciu (IaaS) – model de punere la dispoziția utilizatorilor, la cererea acestora, pe baza unor drepturi de acces și în limita capacităților disponibile în cloud, într-un mod securizat, a resurselor din infrastructura de bază a Cloud-ului;
- q) platforma ca serviciu (PaaS) – model de punere la dispoziția utilizatorilor, la cererea acestora, pe baza unor drepturi de acces și în limita resurselor disponibile în cloud, a unor instrumente de dezvoltare, integrare, management, analiză, securitate și de suport pentru aplicațiile software și datele asociate acestora;
Atribuțiile SRI sunt menționate la art. 6. La alineatul 1 se spune:
- (1) SRI asigură securitatea cibernetică a Cloud-ului Privat Guvernamental prin cunoașterea, prevenirea și contracararea atacurilor, amenințărilor, riscurilor și vulnerabilităților cibernetice, inclusiv a celor complexe, de tip APT, îndreptate împotriva serviciilor Cloud-ului Privat Guvernamental menționate la art. 2 lit. u) și a entităților găzduite.
Art. 2 lit. u) prevede:
- software ca serviciu (SaaS) – model de punere la dispoziția utilizatorilor, la cererea acestora, a funcționalităților de utilizare a aplicațiilor furnizorului, care rulează pe o infrastructură cloud computing.
- Aplicațiile sunt accesibile pe baza unor drepturi de acces, prin diferite dispozitive de tip client, fie prin intermediul unei interfețe de tip thin-client precum browser web, fie prin intermediul unei aplicații software dedicate
SRI nu se va amesteca peste sistemele IT ale STS indiferent de gravitatea atacurilor cibernetice
Tot în privința atribuțiilor SRI, la art. 6, la alineatele 2 și 3 se menționează că:
- (2) SRI cooperează cu STS, conform competențelor fiecărei instituții, pentru cunoașterea, prevenirea și contracararea atacurilor cibernetice complexe, de tip APT, îndreptate împotriva serviciilor specifice Cloud-ului Privat Guvernamental menționate la art. 2 lit. l) și q), prin schimbul nemijlocit și automat al tuturor evenimentelor de securitate, fără a schimba date de conținut.
- (3) Măsurile prevăzute la alin. (1) și (2) nu se aplică situațiilor prevăzute la art. 5 alin. (5).
Cu alte cuvinte, SRI nu se va amesteca peste sistemele IT ale STS indiferent de gravitatea atacurilor cibernetice, deoarece Art. 5, alineatul prevede:
- (5) STS asigură securitatea cibernetică a serviciilor și sistemelor informatice proprii din Cloud-ul Privat Guvernamental, prin prevenirea și contracararea atacurilor cibernetice.
CSM, DNA, DIICOT și alte autorități nu vor mai fi obligate să-și mute sistemele IT în cloud
O altă modificare importantă este sfera de aplicare a obligațiilor prevăzute în noua Ordonanță pregătită de Guvern.
Astfel, la art. 1, alineatul (12) se menționează:
- „Prevederile prezentei ordonanțe de urgență nu se aplică sistemelor informatice ale autorităților publice din domeniul apărării, ordinii publice și securității naționale, și nici celor ale autorităților publice prevăzute în Constituție în Titlul III, Capitolele I, II și VI (cuprinde autoritatea judecătorească cu Instanțele, Ministerul Public, CSM), cu excepția acelor sisteme care asigură servicii publice electronice, care se vor interconecta cu Cloud-ul Privat Guvernamental, respectiv a sistemelor informatice pentru care autoritățile respective doresc în mod expres să utilizeze resursele și serviciile de Cloud Privat Guvernamental.”
Amintim faptul că peste 20 de instituții publice, din care unele furnizează un număr foarte mare de servicii publice electronice, nu se grăbesc să-și mute sistemele IT în cloud-ul guvernamental. Mai mult, 6 dintre acestea, printre care DNA, Curtea Constituțională, Autoritatea Electorală Permanentă și Registrul Comerțului (ONRC) au transmis în luna aprilie din acest an că refuză să utilizeze acest sistem.
Pentru detalii citește:
- Probleme mari pentru cloud-ul guvernamental: DNA, Curtea Constituțională, Autoritatea Electorală, ONRC și alte instituții refuză acest sistem
- Ce se întâmplă dacă DNA, AEP, Curtea Constituțională ori Registrul Comerțului refuză în continuare să intre în cloud-ul guvernamental? Ce spune Guvernul
- De ce refuză DNA și CSM să adere la cloud-ul gestionat de SRI și STS: Natura informațiilor administrate și suprapunerea cu propriile sisteme
- De ce refuză AEP să-și mute sistemul IT în cloud-ul gestionat de STS și SRI: Riscul ca datele românilor cu drept de vot să fie accesate fără acordul lor
- De ce refuză Romatsa să intre în cloud-ul gestionat de SRI și STS: Serviciile de navigație aeriană fac obiectul tratatelor europene / O altă instituție susține că e o neînțelegere