Cuprins:
Asociația pentru Tehnologie și Internet (ApTI) solicită ca proiectul Cloud-ului Guvernamental să nu fie adoptat prin ordonanță de urgență, deoarece afectează drepturi fundamentale precum dreptul la viață privată.
De asemenea, organizația non-guvernamentală cere eliminarea Serviciului Român de Informații (SRI) din proiect, pe motiv că acesta ar putea „sifona” date private ale cetățenilor.
Ce prevede proiectul Autorității pentru Digitalizare
Autoritatea pentru Digitalizarea României (ADR) a prezentat recent un proiect de ordonanță de urgență privind realizarea Cloud-ului Guvernamental, care ar urma să coste 375 de milioane de euro și să fie realizat prin Planul Național de Redresare și Reziliență (PNRR).
Proiectul menționează că sistemul va fi proprietatea publică a statului.
Conform acestuia, pe lângă ADR, vor participa la realizarea și operarea Cloud-ului Guvernamental atât Serviciul de Telecomunicații Speciale (STS), cât și Serviciul Român de Informații (SRI).
STS va asigura infrastructura de bază a Cloud-ului Guvernamental și securitatea cibernetică a acestuia alături de SRI.
Problema care îngrijorează societatea civilă este că, potrivit articolului 9 din proiectul de ordonanță, atât Autoritatea pentru Digitalizare, cât și STS și SRI „prelucrează date cu caracter personal, în calitate de operatori asociați”.
Lege, nu ordonanță!
Conform Asociației pentru Tehnologie și Internet, acest lucru ridică deja mai multe probleme.
Prima este că proiectul nu ar trebui să fie ordonanță, ci lege, deoarece reglementează drepturi fundamentale, explică Bogdan Manolea, directorul executiv al ApTI.
„Dacă o dau așa, va fi foarte ușor ca Avocatul Poporului să o atace la Curtea Constituțională, deoarece există un articol din Constituție care spune foarte clar că nu poți reglementa prin ordonanțe drepturi fundamentale. Iar dreptul la viață privată este un drept fundamental, care poate fi afectat prin această ordonanță”, a declarat Manolea pentru Libertatea.
Fără SRI!
Dar pe lângă problema de formă, există și alta de fond, spune specialistul.
SRI nu are ce căuta în acest Cloud Guvernamental.
Bogdan Manolea:
El spune că, prin proiect, SRI o să fie operator asociat al sistemului, ceea ce înseamnă că trebuie să respecte prevederile privind respectarea vieții private în conformitate cu regulamentul GDPR al Uniunii Europene.
De asemenea, SRI este însărcinat cu asigurarea securității cibernetice. Însă, Manolea spune că obligația legală a SRI este exact contrară: de colectare de date.
„Principala problemă este că ei își propun ca SRI să asigure securitatea cloud-ului în condițiile GDPR, deși SRI are în lege alte atribuții, de colectare de date. Dacă statul ar cumpăra cloud-ul de la Google sau Amazon, aceștia ar trebui să asigure securitatea datelor și că nimeni nu are acces la date, inclusiv datele de trafic. Asta trebuie să asigure și SRI”, spune Manolea.
Acesta are o comparație plastică: „E o găselniță, o gălușcă și ca să culeagă SRI date. E ca și cum SUA ar da cloud-ul public la NSA”.
- NSA a fost implicată în 2013 într-un scandal internațional, după ce contractorul Edward Snowden a arătat că agenția americană de securitate spiona internetul și accesa sisteme ale unor companii precum Apple, Google, Facebook, Microsoft, Yahoo sau AOL, după cum scria la acel moment The Guardian.
Conform lui Manolea, nu există niciun avantaj ca SRI să fie trecut în proiect, pentru că STS are oricum ca scop securizarea comunicațiilor.
Trebuie definit foarte clar ce face fiecare instituție
Așa se ajunge la următoarea problemă de pe lista sa: trebuie reglementat extrem de clar ce face fiecare instituție în parte, inclusiv din punctul de vedere al protecției datelor, fără referiri generale.
Asta înseamnă că instituțiile găzduite pe cloud care oferă diverse servicii populației trebuie să fie operatori de date personale, iar autoritățile care gestionează cloud-ul au rol de persoane împuternicite. Acest lucru înseamnă modificarea articolului care prevede că ADR, STS și SRI sunt „operatori asociați”.
De asemenea, mai înseamnă și că instituțiile găzduite pe cloud să obțină acordul cetățenilor pentru colectarea datelor lor, potrivit acestuia.
Nu se poate fără software open source
Manolea a mai identificat o problemă în proiect: dispoziția ca sistemul să fie proprietatea statului, ceea ce mai departe duce la interzicerea folosirii unor programe open source, disponibile gratuit pe internet.
Conform lui Manolea, acest lucru va duce la blocarea proiectului.
Nu trebuie blocată folosirea softurilor open source, dacă faci totul de la zero o să fie de zece ori mai scump și nu o să poată să-l facă. Și o să dureze enorm ca timp. E o nebunie.
Bogdan Manolea:
Același lucru este arătat și de reprezentanții Asociației Patronale a Industriei de Software (ANIS).
Asociația, care reunește companii IT cu o contribuție de 7 miliarde de euro la economia României și grupează 45% din specialiștii din țară, a avertizat că dorința statului de a fi proprietar pe toată tehnologia din cloud este imposibilă din punct de vedere tehnic.
Mihai Matei, președintele ANIS, a spus că „în forma în care este acum acest OUG, în viitorul cloud nu se va putea folosi nicio tehnologie, nici măcar tehnologiile gratuite open source, nici pentru infrastructură, nici pentru aplicații”, potrivit Hotnews.
Conform lui Manolea, cel mai probabil, autoritățile au dorit să evite situații din anii precedenți, când statul nu putea asigura mentenanța unor sisteme pentru că nu deținea codul-sursă. Însă modul în care este scris proiectul este problematic, punctează el.
Nu există dezbatere publică
Acesta mai spune că autoritățile ar trebui să facă o dezbatere publică în privința Cloud-ului Guvernamental.
„Noi nu știm nici ce fel de cloud vrem, de ce vrem într-un fel și nu în altul.
Am început cu stângul. Hai să stabilim regulile generale, pasul zero. Temelia trebuie să fie solidă”, conchide acesta.
Sistemele cloud sunt de trei feluri:
- Cloud public. Acestea sunt sisteme care pot fi închiriate de la companii de pe piață, precum Google, Amazon, IBM etc. Practic, statul ar urma să folosească infrastructura acestor companii.
- Cloud privat. Acest lucru înseamnă că statul deține propriile servere, routere și programe. La cum este scris proiectul, aceasta este structura pe care o dorește Autoritatea de Digitalizare.
- Cloud hibrid. Acesta permite soluții care combină atât cloud-ul public, cât și pe cel privat.
Reprezentanții industriei software cer deschiderea statului către un sistem hibrid.
„Monopolul de stat în digitalizare va fi un dezastru pentru noi”, spune Alexandru Lăpușan, vicepreședinte ANIS.
Conform acestuia, singurul scop al ordonanței este „să dea cheile tuturor sistemelor software ale statului și datele cetățenilor români către SRI și STS, sub acoperirea civilă a ADR”, scrie Europa Liberă.
Manolea spune că înțelege ideea statului de a nu fi captiv, însă spune că acest lucru se poate îmbunătăți prin contracte scrise mai bine.
Scrisoare deschisă la Bruxelles
Doi experți au trimis la Comisia Europeană o scrisoare de avertizare prin care condamnă „urgența” invocată de ordonanță, afirmând că este, de fapt, vorba de o situație cunoscută de câțiva ani, potrivit Economedia.ro.
Scrisoarea este semnată de Ana-Maria Stancu – fondatoare a startupului Robohub, implicat în proiecte de educaţie digitală și Radu Puchiu – fost secretar de stat la Cancelaria premierului și cofondator al H.appyCities, organizaţie care construieşte platforme digitale pentru orașe.
„Considerăm că acesta va fi un abuz de fonduri publice care va fi utilizat într-o manieră netransparentă și într-o manieră care să nu-l facă utilizabil pe termen mediu și lung, ceea ce contravine scopului PNRR”, se arată în scrisoare.
Codul Comunicațiilor a introdus SRI pe internet
Problema introducerii SRI în sistemul de cloud al statului nu este singura semnalată de către organizațiile neguvernamentale în ultima perioadă.
Codul Comunicațiilor a fost votat recent de Parlament într-o formă care permite SRI să spioneze internetul românesc și să aibă acces la datele furnizorilor de servicii de hosting.
Acesta a fost atacat la CCR de către Avocatul Poporului și de formațiunea Uniunea Salvați România (USR).
DNSC, „Roskomnadzorul românesc”
De asemenea, Directoratul Național de Securitate Cibernetică (DNSC) a blocat de curând accesul la o serie de site-uri, deși nu are bază legală.
Acesta alcătuiește o listă cu site-urile cu activități maligne sau care fac propagandă pro-rusă, iar mai departe, ANCOM – autoritatea de telecomunicații – cere furnizorilor de internet să le blocheze.
Prin această metodă au fost blocate site-uri de propagandă precum Russia Today și Sputnik, dar și alte site-uri care nu trebuiau blocate, conform organizațiilor neguvernamentale. Este vorba de un site de cărți, unul de mobilă, dar și un site de știri.
Organizațiile ActiveWatch, APADOR-CH, Asociația pentru Tehnologie și Internet și Centrul pentru Jurnalism Independent au cerut DNSC să stopeze această practică.
„Nu vrem un Roskomnadzor românesc!”, au avertizat acestea.
Roskomnadzor este autoritatea de comunicații a Rusiei care a blocat recent Facebook, Twitter și Instagram.
Ați sesizat o eroare într-un articol din Libertatea? Ne puteți scrie pe adresa de email eroare@libertatea.ro