Proiectul de Ordonanță ar da „control absolut și discreționar asupra softului tuturor instituțiilor și datelor tuturor cetățenilor către SRI și STS”, spunea zilele trecute vicepreședintele ANIS, Alexandru Lăpușan, într-o postare pe Facebook.
Membrii Asociației Patronale au reluat, joi, într-o conferință de presă, avertismentele cu privire la efectele negative pe care le-ar avea asupra digitalizării adoptarea OUG în forma propusă de autoritățile din domeniu.
În mod concret, proiectul Ordonanței de Urgență „privind unele măsuri pentru sistemul de guvernanță al Cloud-ului Guvernamental”, lansat în dezbatere publică de Autoritatea pentru Digitalizarea României (ADR), numește trei actori principali pentru creare, mentenanță, gestionare a cloud-ului guvernamental: ADR în colaborare cu Serviciul de Telecomunicații Speciale (STS) și Serviciul Român de Informații (SRI).
Ce este Cloud-ul Guvernamental
Așa-numitul „Cloud Guvernamental” ar oferi infrastructura necesară instituțiilor statului pentru digitalizarea activității și relației cu publicul. Cloud-ul Guvernamental „are capacitatea de a optimiza funcționarea tuturor serviciilor publice electronice din România”, spune ADR.
Specialiștii în domeniu precizează că „în spatele” acestui cloud se află un ansamblu de tehnologii, softuri și soluții, aflate în centre de date care conțin servere.
„Cloud”-ul este fostul „host”-ing (găzduire). Diverși furnizori (Microsoft, IBM, Google, Oracle etc.), oferă servicii publice de cloud. Cloud-ul Guvernamental este „închis”, publicul nu are acces la el. Există și cloud-uri hibride, soluții care folosesc servicii din ambele zone.
Reprezentanții ANIS spun că această variantă, cea hibridă, ar fi cea mai potrivită pentru că nu exclude elemente vitale care există deja în cloud-ul public. De exemplu, un soft care gestionează integrat un spital sau o aplicație de contabilitate.
SRI e menționat de nouă ori în cele 10 articole care reglementează „Atribuțiile și responsabilități privind realizarea și operarea Cloud-ului Guvernamental” în proiectul propus de ADR.
Dacă va fi aprobată în această formă, SRI va asigura securitatea cibernetică a Cloud-ului Guvernamental „prin cunoașterea, prevenirea și contracararea atacurilor cibernetice, inclusiv a celor complexe”, potrivit documentului.
SRI ar asigura însă și „implementarea, administrarea tehnică și operațională, mentenanța, precum și dezvoltarea ulterioară a serviciilor de securitate cibernetică ale Cloud-ului Guvernamental”.
Mai mult, SRI ar urma să asigure „echipamentele hardware, programele software, aplicațiile informatice și licențele necesare” pentru prevenirea atacurilor asupra cloud-ului. Serviciul ar contribui din bugetul propriu și la unele dintre cheltuieli.
Infrastructura de bază ar fi asigurată de STS. Acest serviciu ar fi responsabil pentru:
- implementarea, administrarea tehnică și operațională, securitatea cibernetică, mentenanța, precum și dezvoltarea ulterioară a serviciilor specifice Cloud-ului Guvernamental;
- accesul securizat și conectivitatea la serviciile specifice Cloud-ului Guvernamental pentru entitățile găzduite;
- securitatea cibernetică a Cloud-ului Guvernamental, a serviciilor și sistemelor informatice proprii din Cloud-ul Guvernamental prin prevenirea si contracararea atacurilor cibernetice;
Singurul scop al Ordonanței, mai spune Alexandru Lăpușan, ar fi „să dea cheile tuturor sistemelor software ale statului și datele cetățenilor români către SRI și STS, sub acoperirea civilă a ADR. Niciuna dintre aceste instituții nu are capacitatea, nici dovedită și nici potențială, să asigure (nici măcar prin subcontractare) digitalizarea statului român”, spune el.
Nici proiectul de OUG, nici nota de fundamentare nu explică de ce s-ar ocupă SRI de securitatea cibernetică a Cloud-ului și nu Directoratul Național de Securitate Cibernetică (DNSC), o instituție publică (civilă) a statului, cu „responsabilități privind securitatea cibernetică a spațiului cibernetic național civil”.
Despre structurile de siguranță națională, proiectul de OUG precizează oricum că „În cazul sistemelor informatice interconectate cu Cloud-ul Guvernamental care aparțin sistemului național de apărare, ordine publică și securitate națională, securitatea cibernetică este asigurată și gestionată de STS și SRI, în colaborare cu autoritățile și instituțiile din acest sistem”.
O altă problemă a proiectului, „probabil o scăpare care va dispărea în forma finală”, a spus, joi, într-o conferință de presă președintele ANIS, Mihai Matei, este că acesta prevede că tehnologia specifică va fi în proprietatea publică a statului.
„Așa ceva nu se poate întâmpla nici măcar tehnic. Chiar dacă tehnologia este open-source, descărcabilă gratuit de pe internet, nu înseamnă că noi suntem proprietarul, ci autorul. Noi avem o licență de utilizare gratuită. În forma în care e acum OUG-ul, nu se va putea folosi nicio tehnologie, nici cele gratuite de pe internet, nici pentru infrastructură, nici pentru aplicații”, spune Matei.
Propunerea ADR:
- Art. 10 (1) Infrastructura de bază a Cloud-ului Guvernamental, infrastructura ca serviciu (IaaS) și platforma ca serviciu (PaaS), prevăzute la art2. lit.c), d), si e) sunt proprietate publică a statului și în administrarea STS, care le achiziționează conform prevederilor legale în vigoare.
- (2) Softul aferent migrării în Cloud a soluțiilor informatice și software ca serviciu (SaaS), prevăzute la art 2. lit. b) și f) sunt proprietate publică a statului și în administrarea ADR care le achiziționează conform prevederilor legale în vigoare privind achizițiile publice.
- (3) Componentele aferente securității cibernetice prevăzute la art 2. lit. g) sunt proprietate publică a statului și în administrarea STS și SRI care le achiziționează conform competențelor stabilite la art. 5 si 6.
În opinia ANIS, a menține toate aceste elemente (IaaS, PaaS și SaaS) „în proprietatea publică a statului” ar avea efecte dezastruoase pentru digitalizarea României deoarece exclude utilizarea oricărui soft de tip open source.
Ce sunt IaaS, PaaS și SaaS
Potrivit definițiilor oferite de Oracle România, „Infrastructura ca serviciu, IaaS, este un model de serviciu pentru cloud computing în care resursele de calcul sunt găzduite într-un cloud public, privat sau hibrid.
PaaS, Platforma ca serviciu, este un set de servicii pentru crearea și gestionarea aplicațiilor moderne în era digitală – on-premises sau în cloud. Oferă infrastructura și componentele middleware care permit dezvoltatorilor, administratorilor IT și utilizatorilor finali să creeze, integreze, migreze, implementeze, securizeze și să gestioneze aplicațiile mobile și web.
Software-ul ca serviciu, SaaS, este un model de furnizare a software-ului bazat pe cloud, în care furnizorul de servicii cloud dezvoltă și întreține software-ul pentru aplicații cloud, oferă actualizări de software automate și pune software-ul la dispoziția clienților săi prin intermediul Internetului, cu plata în funcție de utilizare.”
Reprezentanții ANIS spun că aceasta prevedere nu are cum să rămână în forma finală a OUG, dar remarcă faptul că ordonanța pare făcută în mare grabă, deși a existat suficient timp pentru pregătirea ei.
Documentul „a fost ținut pe raftul ADR multe luni de zile, a suferit foarte mici modificări de la forma inițială, s-a mimat dialogul cu societatea civilă, și a fost scos la lumina zilei chiar înainte de termenul PNRR din martie cu privire la Cloud-ul Guvernamental. Convingerea mea este ca vor sa forțeze mâna politicienilor care nu pricep cum vine treaba cu 'cloudul' să o accepte așa cum au scris-o ei, de parcă nu s-ar putea rezolva mutarea acelui termen. Evident că ar fi timp și acum să facă un text bun și s-ar putea decala acel termen”, spunea zilele trecute Alexandru Lăpușan.
Potrivit Planului Național de Redresare și Reziliență (PNRR), România trebuie să dezvolte „un cadru unitar pentru definirea arhitecturii unui sistem de tip cloud guvernamental”. PNRR ar finanța proiectul cu 500 de milioane de euro. O „investiție” din care, în forma actuală a proiectului ADR, furnizorii privați par excluși.
„Ordonanța are o abordare socialistă”, a spus, joi, Alexandru Lăpușan. Ea ar bloca deja digitalizarea României, înainte de a fi aprobată.
„Din moment ce nu știm ce categorii de instituții și ce tip de date vor trece obligatoriu în cloud-ul guvernamental, efectul simțit deja, doar pentru că a apărut proiectul, este oprirea achizițiilor publice. Investițiile de tip software adresate instituțiilor statului se vor opri. De unde să știi ce produs să faci? Poate mâine vrea ADR-ul să îl dezvolte și să îl dea gratuit”, spune Lăpușan, care consideră că îi exclude pe antreprenorii care ar vrea să participe la digitalizarea României.
„Monopolul de stat în digitalizare va fi un dezastru pentru noi”, spune acesta.
Potrivit ADR, „Cloud-ul Guvernamental va facilita trecerea României către o economie bazată pe date, sigură și dinamică, o economie digitală aliniată cu direcțiile strategice de acțiune ale Uniunii Europene în ceea ce privește guvernanța datelor”.
Europa Liberă a solicitat puncte de vedere de la Autoritatea pentru digitalizarea României (ADR), Directoratul național de securitate cibernetică (DNSC), fostul cert.ro și SRI.
O formă finală a proiectului va fi disponibilă după 26 martie, odată cu finalizarea perioadei de dezbatere publică.