Șeful Centrului Național Cyberint al SRI despre cloud-ul guvernamental
Apel matinal: Invitat - Anton Rog, șeful Centrului Național Cyberint al SRI.
Articol de Cătălin Cîrnu, 20 Aprilie 2022, 09:51
RADIO ROMÂNIA ACTUALITĂŢI (20 aprilie, ora 8:30) - Apel matinal - Realizator: Ciprian Sasu şi Daniela Petrican -
Daniela Petrican: Continuăm matinalul la Radio România Actualități. Chiar dacă proiecte există , nu vom scăpa prea uşor de celebrul dosar cu șină. Avem în dezbatere publică proiectul de ordonanță referitor la rolul instituțiilor în construcția cloud-ului guvernamental, dar până atunci din cele 108 instituții ale statului chemate să participe 22 au decis fie să nu răspundă, sau chiar să spună că nu vor lua parte la proiect, fie au ales să trimită date incomplete.
Ciprian Sasu: Pe scurt, cloud-ul guvernamental, finanțat prin Planul Național de Redresare și Reziliență, ar trebui să fie un recipient comun prin care toate instituțiile statului ar urmă să comunice și să transmită documente cu un rezultat evident pentru reducerea birocrației și în beneficiul cetățeanului. Mai multe amănunte aflăm de la invitatul Apelului matinal de astăzi, Anton Rog, șeful Centrului Național Cyberint al SRI. Bună dimineața tuturor celor care ascultați matinalul!
Anton Rog: Bună dimineața dumneavoastră și ascultătorilor dumneavoastră!
Ciprian Sasu: Autoritatea pentru Digitalizarea României, SRI şi STS au fost desemnate de Executiv să gestioneze acest proiect. Cloud-ul guvernamental, un proiect finanțat prin PNRR cu peste 500 de milioane de euro, proiect care ar trebui să simplifice și să eficientizeze activitatea instituțională. În mod normal, cu ce rezultate sau la ce rezultate se așteaptă Executivul?
Anton Rog: Păi de la cloud-ul guvernamental, Executivul se așteaptă la o mult mai bună interoperabilitate a instituțiilor principale ale Statului Român, la furnizarea a cel puțin acelor 36 de evenimente de viață către cetățean și aici mă refer la naștere, căsătorie, divorț, buletin, pașaport, permis de conducere, consultații medicale și așa mai departe - sunt 36 de evenimente pe care UE le presupune ca pentru a fi digitalizate în fiecare țară. În afară de această chestiune, cloud-ul guvernamental, deci strict partea lui privată la care se referă la licitațiile publice, care ar trebui și vor migra până la urmă în acest cloud, prin partea lui publică deoarece noi am militat pentru o arhitectură hibridă a cloud-ului, o parte privată pentru instituțiile publice, pentru datele sensibile care sunt protejate de GDPR și mai târziu dintre o finanțare ulterioară, o zonă publică pentru ca piața liberă să cunoască o dezvoltare digitală mult mai mare./
Daniela Petrican: Și totuși una din cinci instituții solicitate ale statului, printre care și unele foarte importante, fie nu răspund sau trimit date complete, fie anunță chiar că nu participă. Care sunt argumentele?
Anton Rog: Haideţi să le luăm pe rând. O dată, unele dintre aceste instituții cumva au şi dreptate, şi anume: dacă ne referim la parchete care au spus că nu vor putea să vină în cloud, găsesc normal ca datele aferente unui dosar aflat în fază de urmărire penală să nu ajungă în cloud-ul guvernamental. La fel cum şi datele SRI, datele care sunt clasificate, sau ale SIE, sau ale altor instituţii, pentru aceste categorii de date sunt create sisteme speciale, consistente, cu reguli de securitate mult mai restrictive, care nu s-ar putea aplica unui cloud guvernamental în care prin servicii expuse cetăţenii ar trebui să aibă acces la date. Un alt motiv pentru alte instituții ar fi faptul că sistemele actuale pe care le deţin sunt sisteme extrem de complexe, cu tehnologii învechite, sisteme extrem de mari, migrarea lor în cloud fiind extrem, extrem de complicată. Dar nu trebuie să rămână acesta răspunsul final. Argumentul acela că domne nu venim în cloud-ul guvernamental pentru că SRI şi STS o să aibă acces la date, este un argument fals.
Daniela Petrican: Dar până la urmă cine are acces la el?
Anton Rog: Fiecare instituție rămâne proprietara datelor proprii și va fi singura care va avea acces la datele respective. Fiecare instituție, împreună cu ADR, va decide ce servicii, ce date, expune către alte instituții sau către publicul larg. Deci, proprietatea și accesul asupra datelor aparține în totalitate instituțiilor respective la bună înțelegere cu ADR, instituţia civilă. În toate întâlnirile pe care le-am avut până acum la nivelul Ministerului Cercetării, /.../ noi am spus aşa: SRI şi STS să spunem că au echipe tehnice bine pregătite și le pun la dispoziție pentru a face acest cloud, dar acest cloud nu trebuie să fie, nu că perceput, nu trebuie să fie unul militarizat. Regulile privind acordarea drepturilor alocate resurselor să fie în totalitate la instituţia civică, la ADR. Practic, motivul pentru care Serviciul Român de Informații participă la acest cloud, participă numai din perspectiva asigurării securităţii cibernetice. Şi toate tehnologiile și echipamentele care vor fi puse se ocupă strict de asigurarea securității cibernetice fără a avea niciun fel acces la date. Deci, argumentul aceste că noi am avea acces la date este fals. Şi mai am încă un motiv pe care vreau să vi-l spun rapid. Noi avem deja un soft, un Security Operating Center, prin care avem senzorisitic în 61 de instituții dintre cele 108 care sunt acum în cloud. Şi facem treaba asta de șapte ani și nu am avut nici măcar o dată în aceşti şapte ani o plângere că am fi încercat să acesăm ilegal date ale acestor instituţii.
Anton Rog: Şi facem treaba asta de șapte ani și nu am avut nici măcar o dată în aceşti şapte ani o plângere că am fi încercat să accesăm ilegal date ale acestor instituţii. Deci acesta este cumulul de motive pentru care... Iar unele instituții, să o spunem de-a dreptul, echipele lor tehnice nu au fost capabile, din motive de lipsă de competență, să răspundă cum trebuie la aceste întrebări.
Cătălin Cârnu: Participarea însă la construcția acestui cloud guvernamental, repetăm, gestionat de Executiv, este opțională? Mă gândesc aici că Ministerul Economiei, de exemplu, Ministerul Muncii sau chiar Ministerul Sportului nu, nu au venit cu datele pe care ar trebui să le introducă.
Anton Rog: Dacă mă întrebați pe mine, cloudul guvernamental ca să aibă sens, din punct de vedere social și economic, anumite instituții ar trebui să migreze obligatoriu în cloud. Nu putem să discutăm despre un cloud fără să avem evidența populației migrată în cloud pentru că toate celelalte servicii se leagă de cetăţean, se leagă de CNP. La fel, nu putem să discutăm despre un cloud fără, să spunem, zona de permise auto, zona de paşapoarte, fără Registrul Comerțului, pentru că fără aceste instituții cloudul, cum să vă spun, esența lui nu mai este atât de puternică; prezența acestor baze de date în cloud, repet, instituțiile rămânând proprietare ale acestor date, așa cum este și normal şi legal, dă forță cloudului, permite o mult mai bună interoperabilitate şi reduc cu adevărat birocrația pentru cetățean, pentru că, gândiți-vă, dacă în interiorul cloudului vom avea aceste instituţii, ele vor lucra, cum să vă spun, natural și direct prin intermediul cloudului schimburi de date necesare bunei funcţionări a instituţiilor, lucrul care îl va scuti pe cetăţean să se mai plimbe între mai multe instituţii.
Cătălin Cârnu: E clar!
Anton Rog: Multe procese putându-se automatiza.
Cătălin Cârnu: Da, despre birocrație, clar, lucrurile vor fi ușurate. Ideea este ca cetățeanul să priceapă: în cloud-ul guvernamental fiecare minister, fiecare autoritate poate avea părticica lui, da, cu accesul fiecăruia.
Anton Rog: Va avea partea lui alocată în cloud, drepturile asupra datelor rămân ale instituțiilor respective. Tehnologiile actuale sunt, cum se vă spun, atât de dezvoltate încât orice încercare să spunem rea-voitoare a Serviciului, sau a STS-ului sau a oricui altcuiva lasă urme digitale.
Cătălin Cârnu: Lasă urme pentru cine? Adică ar putea exista...
Anton Rog: Pentru orice auditor extern care în mod transparent poate să vină și să supravegheze chestiunea aceasta în cloud, într-o zi, maxim două zile, va putea să spună fără niciun dubiu dacă oricare dintre instituțiile implicate în cloud a încercat să acceseze în mod fraudulos, ca să zic aşa, aceste date.
Cătălin Cârnu: Adică reprezentantul Ministerului Economiei își poate da seama că în cloudul său a intrat altcineva?
Anton Rog: Absolut că da. Clodul va avea instrumente de securitate puse la dispoziţie prin care proprietarii teatrelor pot verifica în mod continuu sau periodic aceste date şi mai mult să spunem că dorim un nivel şi mai mare de auditare. Un auditor extern validat de societatea civilă poate veni oricând în cloud să verifice dacă instituţiile la orice moment şi-au făcut datoria cum trebuie sau au încercat chestiuni incorecte şi legale.
Daniela Petrican: Există sisteme similare clodului guvernamental în celelalte state europene?
Anton Rog: Răspunsul este evident da.
Daniela Petrican: Şi ce arată experienţa autorităţilor la nivel european?
Anton Rog: Experienţa autorităţilor din punct de vedere economic şi social arată o creştere şi o uşurare a vieţii de cetăţean. Din punct de vedere al securităţii datelor, sunt mai multe modele. Unele ţări au numai cloud privat. Cloud privat înseamnă că el este dedicat instituţiilor guvernamentale. Numai acestea au acces în interiorul cloud-ului şi expun anumite servicii pentru cetăţeni. Cloud-ul hibrid înseamnă că are o zonă privată pentru instituţiile statului şi o zonă publică în care aceste servicii oferite de stat pot fi închiriate de orice altă companie, nu neapărat de instituţii, şi în care productorii privaţi de software, de cloud îşi pot publica serviciile pentru a fi consumate, deoarece noi am ales o arhitectură hibridă, dar prin PNRR se finanţează numai partea privată a cloudului. Pentru a compensa acest neajuns pentru piaţa de software, la propunerea SRI, toţi producatorii de software îşi pot publica gratuit în zona privată a cloudului serviciile pe care doresc să le ofere instituţiilor ce emigrează în cloud pentru ca acestea a le putea consuma. În felul acesta să arătăm o deschidere totală pe piaţa de software din România.
Cătălin Cârnu: Pe final de interviu, o singură curiozitate. Estonia ce fel de cloud guvernamental are?
Anton Rog: Estonia are un cloud hibrid, deci are şi o zonă privată şi o zonă publică în el. Estonia să zicem că din punctul ăsta de vedere este cumva cea mai avansată naţiune din Europa.
Cătălin Cârnu: Exact. Poate păşim şi noi pe urmele Estoniei. Mulţumim pentru discuţia purtată la "Apel matinal".
Anton Rog: Vă mulţumesc şi eu.
Cătălin Cârnu: Anton Rog, şeful Centrului Naţional Cyberint al SRI despre cloudul guvernamental. În fine, mai sunt câteva ministere, care nu au achiesat, ca să folosesc un termen la modă.