Digitalizarea României – APTI: SRI nu asigură securitatea datelor, scopul său legal e altul

Asociația pentru Tehnologie și Internet (APTI) a avertizat vineri, cu referire la proiectul Cloud-ului guvernamental, că SRI nu poate asigura securitatea datelor personale, pentru că scopul său legal este de a culege informații.

Serviciul Român de Informații (SRI) ar urma să asigure securitatea cibernetică a viitorului cloud guvernamental, infrastructură IT finanțată cu 375 milioane de euro din PNRR.Proiectul de Ordonanță de urgență a fost lansat recent în dezbatere publică de Autoritatea pentru Digitalizarea României (ADR).

Observațiile asociației:

• Propunerea de OUG prevede în art. 6 (1) că SRI va “asigura securitatea cibernetică a Cloud-ului Guvernamental prin cunoașterea, prevenirea și contracararea atacurilor cibernetice, inclusiv a celor complexe, de tip APT, (…).
• Mai mult proiectul de ordonanță de urgență menționează în art. 9 că SRI va avea un rol de operator asociat, împreună cu celelalte instituții, deci va fi supus obligațiilor din GDPR (Regulamentul 679/2016), pentru că activitățile din proiect nu intră în domeniul exceptat de GDPR.
• Subliniem că protecția împotriva amenințărilor de tip APT nu se poate realiza printr-o singură soluție software și hardware, ci prin mai multe (protecția APT presupune integrarea de soluții cum ar fi sandbox, CASB, EDR, threat intelligence, forensic, analytics etc.). Rezultă că pentru a asigura protecția împotriva APT, SRI va gestiona toate echipamentele și aplicațiile de securitate, inclusiv cu acces la întreg traficul de la sau spre Cloud.
• Amintim că obligația legală unică a SRI, conform art. 2 din Legea nr. 14/1992 este de a desfășura “activități pentru culegerea, verificarea și valorificarea informațiilor (…)”.
• Practic SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale (în special folosirea datelor exclusiv în scopul furnizării serviciilor din cloud) și nici îndeplinirea obligației de securitate a datelor (nici ca operator, nici ca împuternicit), pentru că obligația sa legală din Legea nr. 14/1992 este contrară celor din Regulamentul UE 679/2016 GDPR (în special articolele 5, 6 și 32).
• De altfel și jurisprudența Curții Constituționale a României este constantă în acest domeniu, chiar anterior intrării în vigoare a GDPR, o argumentație similară fiind inclusă în Decizia nr. 17/2015 a CCR cu privire la altă structură din cadrul SRI care ar fi trebuit să joace un rol similar cu cel pe care SRI urmează să îl joace acum în implementarea Cloud-ului guvernamental
• Or, în condiţiile în care Centrul Naţional de Securitate Cibernetică constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidenţă că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţă intimă, familială şi privată şi la secretul corespondenţei.
• În mod normal, această atribuție de a asigura securitatea sistemului ar putea sa fie asigurată de DNSC – ”Principala responsabilitate a DNSC este asigurarea securității cibernetice a spațiului cibernetic național civil” (art. 3 alin. 1 OUG 104/2021). Din păcate, DNSC are, conform art. 5 litera (b), funcția de autoritate competentă la nivel național de reglementare, supraveghere și control și asigură reglementarea și gestionarea securității cibernetice a României și a spațiului cibernetic național civil, iar conform punctului 5 de la același articol îndeplinește atribuțiile de autoritate națională pentru furnizorii (…) de servicii tip cloud. Deci DNSC nu poate să aibă un rol de control și de controlat în același timp.
• În acest context singura variantă legală instituțional ar fi păstrarea atribuțiilor de securitate informatică a Cloud-ului la STS, iar dacă acesta are nevoie de un ajutor specializat, el ar putea să achiziționeze serviciile de securitate informatică din sectorul privat, de la orice auditor sau laborator acreditat de către DNSC (furnizor care va avea rolul de persoană împuternicită în contextul prelucrării datelor personale).

Problema participării SRI și STS la construcția viitorului cloud guvernamental a fost semnalată inițial pe pagina proprie de internet de Alexandru Lăpușan, CEO Zitec, furnizor de servicii de cloud, și vicepreședinte al ANIS – Asociația Patronală a industriei de Software.

(Citiți și: ”Cristian Grosu / Cum să (nu) compromitem un mare proiect de dezvoltare: Digitalizarea”)

ANIS reunește companii din IT care au o contribuție de 7 miliarde de euro în PIB-ul României și adună 45% din numărul total de specialiști IT din țară.

Alexandru Lăpușan a reclamat, într-o conferință de presă că Ordonanța de urgență pregătită de guvern „este o inițiativă deosebit de nocivă, care reușește dintr-un foc urmatoarele 3 lucruri:

• Dă control absolut și discreționar asupra softului tuturor instituțiilor și datelor tuturor cetățenilor către SRI și STS. Stați liniștiți, o să ne păzească Sfântul GDPR de abuzurile lor.
• Blochează orice utilizare de servicii de cloud public în toate instituțiile de stat.
• Construiește un monopol în zona ADR: dacă o instituție de stat dorește să utilizeze un SaaS mic, genul celor de 50 EUR pe lună, doar dacă ADR deține o astfel de soluție va putea să o facă. Video conferințe, calendare, email, management de proiect – adio SaaS din cloudul public.”

***