News

Pericolele ascunse ale ordonanței privind Cloud-ul Guvernamental. „SRI își sporește puterile. Ar putea avea acces la datele medicale ale fiecăruia”

Ministerul Digitalizării a reluat intempestiv dezbaterile privind ordonanța de urgență pentru implementarea Cloud-ului Guvernamental, ignorând obiecțiile privind protejarea drepturilor civile
21.06.2022 | 17:35
Pericolele ascunse ale ordonantei privind Cloudul Guvernamental SRI isi sporeste puterile Ar putea avea acces la datele medicale ale fiecaruia
Ce pericole există în OUG-ul privind implementarea Cloud-ului Guvernamental
ADVERTISEMENT

Ministerul Digitalizării, condus de liberalul Sebastian Burduja, a organizat luni în mod intempestiv o rundă de consultări privind introducerea ordonanței de urgență pentru implementarea Cloud-ului Guvernamental cu ignorarea obiecțiilor venite din partea societății civile.

De ce vor autoritățile un Cloud Guvernamental

Ministerul Cercetării, Inovării și Digitalizării, condus de liberalul Sebastian Burduja, a organizat luni o dezbatere publică privind o nouă versiune a proiectului de ordonanță de urgență pentru implementarea Cloud-ului Guvernamental. Acest proiect vizează dezvoltarea unei infrastructuri IT care să îmbunătățească atât interacțiunile cetățenilor cu instituțiile statului dar și cooperarea eficientă între aceste instituții. Întregul proiect este finanțat prin programul PNRR, fiind vorba de circa 500 de milioane de euro.

ADVERTISEMENT

„Cloud-ul Guvernamental e un proiect care face parte din planurile noastre legate din PNRR, iar el e menit practic să reducă banii cheltuiți de instituțiile publice, centrale și locale, pe servicii digitale. Adică în loc ca fiecare instituție în parte să cumpere un serviciu de care are nevoie, pentru că unele nevoi sunt comune, îl cumpără o singură odată, îl pun la dispoziție în Cloud și apoi fiecare instituție care are nevoie folosește acel software din cloud în loc să facă o nouă achiziție.

Deci, implementarea acestui program ar reprezenta o economie pentru bugetul de stat și ar însemna și că acele instituții care poate nu au un buget pentru anumite softuri pot totuși să folosească aceste programe care au fost cumpărate o singură dată pentru toată lumea. Acesta e unul dintre avantajele unui serviciu de Cloud”, a explicat, pentru FANATIK, Alex Ștefănescu, expert IT în cadrul Asociației pentru Tehnologie și Internet.

ADVERTISEMENT

Proiectul de OUG pentru implementarea Cloud-ului Guvernamental a fost pus în dezbatere publică încă de acum patru luni, fiind criticat de către societatea civilă că nu oferă garanții cu privire la libertățile civile, atât prin modul de legiferare (OUG), cât și prin conținutul său. Ca și atunci, și în noua formă propusă de către Ministerul Digitalizării, în viziunea societății civile, principala problemă a acestei OUG este „rolul foarte larg al instituțiilor militarizate – SRI și STS – în dezvoltarea și administrarea sistemului de Cloud Guvernamental, inclusiv cu rol de operator asociat pentru toate datele și toate activitățile de prelucrare”.

Astfel, potrivit proiectului de lege prin OUG publicat de către Ministerul Dezvoltării, Serviciul de Telecomunicații Speciale (STS) „asigură implementarea, administrarea tehnică și operațională, securitatea cibernetică, mentenanța, precum și dezvoltarea ulterioară a serviciilor specifice Cloud-ului Guvernamental”, în timp ce SRI are rolul de a asigura securitatea Cloud-ului împotriva atacurilor complexe de tip APT. „SRI cooperează cu STS, conform competențelor fiecărei instituții, pentru cunoașterea, prevenirea și contracararea atacurilor cibernetice complexe, de tip APT, îndreptate împotriva serviciilor specifice Cloud-ului Guvernamental”, se arată la art. 6 din proiectul de OUG.

ADVERTISEMENT

Documentul specifică că, în scopul garantării drepturilor constituționale la viață intimă, familială și privată, libertatea de exprimare și secretul corespondenței, se instituie un control parlamentar asupra activității de realizare și administrare a Cloud-ului, control parlamentar realizat de către comisiile reunite ale Camerei și Senatului pentru tehnologia informației și comunicațiilor.

SRI va avea acces la datele cu caracter personal

Societatea civilă a criticat într-o scrisoare deschisă faptul că în nota de fundamentare nu este inclusă o secțiune dedicată analizei impactului asupra drepturilor omului, care este obligatorie potrivit legii, dar și faptul că autoritățile vor să implementeze acest proiect prin ordonanță de urgență și nu printr-o lege organică care să fie dezbătută în Parlament. „După patru luni, este ridicolă pretenția Guvernului că este vorba de o urgență ce nu suferă amânare, pentru a justifica ordonanța de urgență”, se arată în scrisoarea semnată de mai multe asociații din societatea civilă și care subliniază că în noua sa formă, potrivit OUG-ului SRI are un rol sporit în domeniul securității cibernetice, devenind unicul furnizor de securitate cibernetica a Cloud-ului guvernamental, dar și al instituțiilor găzduite. „În practică înseamnă că SRI primește cheile de acces la toate datele din cloud ale cetățenilor”, arată sursa citată.

ADVERTISEMENT

Experții Asociației pentru Tehnologie și Internet sunt de părere că, în această formă, ordonanța de urgență ar oferi acces SRI-ului la datele cu caracter personal al fiecăruia dintre noi, date fiscale, fișa matricolă sau datele medicale.

ADVERTISEMENT

„Una din îngrijorările noastre vizează faptul că SRI ar avea control asupra datelor cu caracter personal al fiecăruia dintre noi. La dezbaterea de luni noi am auzit doar punctul de vedere al celor de la STS, pentru că SRI nu a fost prezent, și practic, ceea ce noi susținem este că prerogativele care se dau SRI-ului prin acest proiect de lege de OUG sunt prerogative pe care ei nu le pot îndeplini pentru că intră în conflict cu legea de funcționare a instituției. Ei sunt o instituție care strâng date și nu le putem cere printr-o altă lege să securizeze date, ei nu-și pot da singuri peste mână.

Apoi, noi susținem că pentru a securiza Cloud-ul Guvernamental, soluțiile de securitate le-ar da acces la conținutul datelor. Și aici nu vorbim doar de datele cetățenilor, vorbim și de datele instituțiilor, sunt date care au diverse grade de sensibilitate, unele sunt diplomele noastre de Bac, unele sunt date medicale sau date despre electoratul român, și toate aceste date sunt tratate ca un tot singular de către această nouă legislației propuse, pe când, potrivit GDPR, aceste date trebuie tratate în funcție de nivelul lor de sensibilitate, și nu toate la un loc”, a precizat, pentru FANATIK, specialistul IT Alex Ștefănescu.

Potrivit acestuia asigurarea securității cibernetice în fața atacurilor complexe nu se poate face decât prin oferirea accesului la date, fapt ce înseamnă că în această formă SRI-ul ar avea un acces nerestricționat la aceste date personale.

„E un aspect tehnic. Un mod de a ne uita la acest lucru e să observăm că în momentul de față noi vedem niște atacuri foarte foarte complexe ce se întâmplă în lume și care au venit și către România în contextul războiului din Ucraina. Ne referim la atacurile care au vizat și instituțiile publice dar și presa, de aceste atacuri ne putem ne putem proteja cum trebuie și corect fără să riscăm să facem mai mult rău doar folosind niște soluții care ne dau vizibilitate și asupra datelor care se comunică, și nu doar asupra faptului că se comunică. Sunt niște atacuri complexe și dacă folosim o soluție disproporționată, adică blocăm tot, riscăm să blocăm și niște comunicări legitime.

Ne-am dori ca acest OUG să nu mai fie dat ca ordonanță ci ca lege, care să fie dezbătută în Parlament și, mai mult decât atât, să există această cooperare într-un sens real între sectorul public și cel privat. Noi ne dorim nu doar ca securizarea să se facă corect, într-un fel care nu amenință viața noastră privată, dar să existe și audit-uri externe și să nu fim niciodată în poziția în care un singur om ne spune „crede-mă pe cuvânt că este bine”, a mai precizat Alex Ștefănescu.

De altfel, Asociația APADOR-CH a cerut ca securitatea cloud-ului să fie asigurată de către o entitate civilă care ar trebui creată printr-un proiect de lege ce trebuie să treacă prin Parlament în condițiile în care vorbim de o legislație ce afectează drepturile fundamentale ale individului și deci nu poate fi reglementată prin OUG.

Pericolul major al super-puterilor SRI

Avocații specializați în apărarea drepturilor civile sunt de părere că posibilitatea unui acces al SRI-ului la datele cu caracter personal al cetățenilor reprezintă un nou episod riscant într-o lungă istorie a instituției în care a încercat constant să-și sporească puterile.

„Cheia acestei dezbateri stă în cât de puternică ne dorim să fie această instituție a SRI. Mie personal nu mi se pare ok să sporim constant această putere pentru că ei au un anumit set de atribuții, din nou avem de a face cu o încercare a lor, printre atâtea altele, de a-și tot extinde aceste atribuții. Ei deja au acces oricum la o serie întreagă de baze de date, gen caziere, evidența populației și așa mai departe. Vedem o instituție care tot încearcă să se întindă asupra a noi zone și noi nu avem dovezi reale că ei funcționează foarte eficient oricum pe ce aveau ei de făcut”, a declarat, pentru FANATIK, avocatul Alexandru Cristian Surcel.

Potrivit acestuia, prin accesul la astfel de date sensibile, cum sunt cele financiare sau medicale, personaje critice la adresa puterii pot fi șantajate sau discreditate, amintind de episodul de acum patru ani, atunci când consilierul premierului României de la acea dată, Darius Vâlcov a publicat pe pagina sa de Facebook fișa medicală a unui dintre liderii mișcării de protest #Rezist.

„Este genul de informație pe care și vechea Securitate le căuta ca să poată apoi șantaja, să pună oamenii în situații inconfortabile și așa mai departe. Modurile în care pot fi folosite aceste informații, mai ales din perspectiva unui serviciu secret nu sunt toate foarte ortodoxe, mai ales când vorbim de o instituție care continuă să acumuleze puteri.

Într-un stat de drept în care ar trebui să avem un sistem de checks and balances foarte echilibrate, o autoritate de genul acesta, asupra căruia oricum există un control limitat dat fiind natura activităților SRI, nu este normal să-i dăm și mai multă putere. SRI nu are acces doar la nume și la adresa fiecăruia dintre noi, prin baza evidenței populației, și o să aibă acces și la datele recensământului cu siguranță, însă marea problemă sunt alte informații mult mai sensibile: de exemplu, dosarul medical. Prin aceste informații pot fi ușor create șantaje sau pot fi speculate”, a mai precizat avocatul Alexandru Cristian Surcel.

Vocile din societatea civilă atrag atenția că problema este una de control instituțional, separația puterilor în stat și controlul reciproc fiind unul dintre elementele de bază ale oricărei democrații. Riscul acestei noi reglementări fiind acela de a crea în zona Serviciilor o ramură a puterii executive și mai puternică decât este în prezent.

„Problema de fond aici, și pe care o avem cu toate domeniile în care dăm prea multe puteri structurilor militarizate este că se acumulează foarte multă putere fără un control corespunzător, un control care poate să lipsească inclusiv din partea justiției, dacă conexăm cu propunerile privind Legile Securității. Atâta timp cât oamenii sunt bine intenționați și nu abuzează poate să funcționeze, dar asta nu înseamnă că acest lucru este și înțelept. Știm foarte bine, din întreaga istorie, că puterea corupe. Toate democrațiile sunt construite pe principiul separării și controlului reciproc al puterilor. Ori, ceea ce propune Guvernul, prin mai multe legi, Cloud-ul guvernamental, codul comunicațiilor, Legile Securității, este să pună foarte multă putere în mâinile unei instituții opace, militarizate și care scapă controlului celorlalte puteri.

Adică noi creăm o ramură a puterii executive, zona asta de Servicii, care devine independentă complet de celelalte puteri și le poate controla pe acestea iar riscul este să se transforme într-un monstru totalitar. Există acest risc, care este unul serios. Orice democrație din lume îl ia în serios, și introduce metode să nu existe tentația, chiar și pentru oameni de bună-credință să nu existe această tentație a puterii absolute”, a declarat, pentru FANATIK, sociologul Ovidiu Voicu, președintele Centrului pentru Inovare Publică.

Potrivit acestuia, cazul cu abuzul făcut de Darius Vâlcov ilustrează perfect pericolele la care ne expunem, fiind genul de acțiuni specifice unor țări precum Rusia și nu unor democrații consolidate. În opinia acestuia a crea o imensă putere, chiar și în slujba unei instituții bine intenționate, ignoră riscul ca, într-un alt moment, buna intenție a șefilor acestor servicii de informații să nu mai fie prezentă.

„Cazul cu Darius Vâlcov e un exemplu concret care s-a întâmplat la noi și care se întâmplă constant în alte țări precum Rusia, stat care este recunoscut pentru aceste campanii de murdărire a opozanților cu informații trunchiate. Pentru că poți să scoți niște informații dintr-un context, ele să fie reale, dar să nu fie complete. De exemplu să existe informații privind datele fiscale, ai un politician în campanie, căruia îi arunci în față faptul că se pare că nu a plătit niște taxe, că a făcut evaziune, iar apoi peste un an se constată că de fapt nu trebuie să le plătească, dar l-ai distrus în campanie. Lucrurile astea se pot întâmpla ușor, și pot fi alte situații în care se creează tot felul de dosare prin care oamenii sunt controlați de fapt.

Să ne gândim ce ar însemna ca cineva să aibă acces la aceste informații despre judecători, procurori. Sunt acolo. Sigur, teoretic sistemul are înregistrări ale tuturor prelucrărilor de date și, în primul rând oamenii sunt bine intenționați, cei care se ocupă de toate aceste lucruri nu vor să facă rău. Și poate funcționa astfel până la un punct. Până când vine unul care abuzează de sistem. Iar dacă se întâmplă ca acesta să fie chiar șeful, lucrurile pot merge repede într-o direcție foarte urâtă”, a mai precizat, pentru FANATIK, sociologul Ovidiu Voicu.