Cum fructificăm impozitarea ITștilor din instituțiile de stat.

De Crăciun🎄, un mic îndrumar de exploatare a Ordinului comun cu privire la impozitarea ITștilor din instituțiile de stat.

😶‍🌫️Pentru conducătorii din instituțiile publice – vă sugerez să efectuați următoarele demersuri:

1. cu ocazia primei reorganizări modificați denumirile din organigramă adăugând „și administrarea bazelor de date” sau similar. Spre exemplu:

a. administrare fiscală și baze de date

b. secretariat și evidență electronică documente

c. relații cu publicul și servicii de e-guvernare

2. Aduceți la zi lista angajaților care au studii superioare sau urmează cursurile unei facultăți acreditate. Nu contează specializarea. Alegeți de pe listă angajații cărora doriți să le măriți leafa (nu există impact bugetar pentru dvs., așadar vă gândiți la alte criterii)

3. Modificați fișa postului pentru susnumiții angajați adăugând obligația de a asigura suport tehnic pentru realizarea specificațiilor de îmbunătățire a aplicațiilor informatice utilizate.

4. Dați un ordin prin care se alocă un număr de ore zilnic pentru susnumita activitate.

5. Cereți contabilității să evidențieze distinct plata acestor ore, introduceți activitatea între criteriile de evaluare anuală.  

6. Explicațiile angajaților că totul a fost doar în pix-ul dvs.

😶‍🌫️Pentru conducătorii companiilor private din industria IT

1. Calmați-vă acționarii, Guvernul nu a observat inflația din zona Euro, nici nu consideră că atâția ani de sprijin au produs efecte în performanța industriei – așadar nu este crescut pragul de 10.000 euro productivitate per angajat scutit de impozit stabilit în urmă cu un deceniu.

😶‍🌫️Pentru semnatarii ordinului – dacă următoarea modificare va fi dezbătută public poate veți primi sugestia să existe un indicator de performanță și pentru instituțiile publice. 

🎁Spre exemplu un raport între numărul de angajați scutiți și totalul angajaților, corelat cu numărul de lucrări lucrate exclusiv în formă electronică din total lucrări (se calculează simplu pe baza datelor de registratură).

Merry Christmas, indeed.

* în administrația publică „lucrarea” este un dosar, o problemă, chiar un document care declanșează una sau mai multe proceduri generatoare de documente (rezoluții, avize, referate, etc.)

Ordin scutire impozit IT-iști din administrație

În M.O.1252 a fost publicat un Ordin care extinde scutirea de impozit și pentru angajații administrației publice care produc aplicații informatice. Scutirea se aplică doar asupra salariilor și veniturilor asimilate, tuturor celor care au în fișa postului activități IT enumerate de ordin, într-o structura IT din organigramă unde sunt angajați.

Scutirea se acordă numai pentru orele lucrate efectiv in programare, așadar va trebui o evidență specifică a acestora și un acord (buget) prealabil din partea conducerii instituției.

Respectivii angajați nu trebuie să aibă studii de specialitate, doar superioare sau să fie studenți.

Nu există o limită a numărului de angajați ai instituției care beneficiază de această facilitate.

Ochiul dracului

Ioan Stoica, încă mai trăiește, cred că își blesteamă zilele. În anii 90 autoritățile locale din București nu au permis deschiderea unui punct de lucru Caritas exilându-l  la Snagov.

Astăzi se găsesc în Parlament persoane dispuse să legalizeze scheme piramidale deja prăbușite.

Diferența ?

În 90 oamenii vorbeau că Stoica investește banii lor în comerț cu armament, astăzi alții vorbesc că nu va dispare sistemul financiar care susține industria mondială a ilegalităților.

https://economedia.ro/pregatiri-pentru-reglementari-noi-pe-piata-cripto-in-romania-grup-de-lucru-in-parlament-din-februarie.html 

filmul dezbaterii Legii Securității Cibernetice SENAT

UPDATE

Legea a fost adoptată cu: DA 81; NU 23; ABȚINERE 3  

Avem și filmul dezbaterii din plenul senatului.

sen PSD Humelnicu, președinte de comisie, face o prezentarea și anunță susținerea la vot din partea PSD

sen AUR Târziu acuză că legea introduce cenzura prin modificarea legii SRI și îndeamnă la delațiune și supraveghere. Deplânge lipsa de dezbatere.

sen USR Trifan anunță că Parlamentul a devenit anexa Guvernului iar Guvernul anexa serviciilor. Menționează incidentul pornografic de la MCID ca relevant pentru incapacitatea MCID de a se ocupa de un asemenea subiect. Vor analiza sesizarea Curții Constituționale.

sen PNL Pauliuc, președinte de comisie, atrage atenția că în comisiile de raport a existat o dezbatere corectă, amendament cu amendament. Spune că era nevoie de această lege și vom vedea dacă este perfectă când va fi pusă în aplicare.

sen neafiliat Șoșoacă declară că acum vedem că ANCOM este și el serviciu secret. Invocă că legea ar sancționa prin amendă avocații care ar combate vaccinarea sau masca obligatorie. Declară senatorii ca fiind analfabeți funcționali.

Raportul aferent Legii Securității Cibernetice

Avem și Raportul aferent Legii Securității Cibernetice ca bază pentru a povesti ziua de ieri, destul de agitată în căutarea ultimelor corecturi pentru acest proiect.

Ziua a început derutant, cu distribuirea de către stafful comisiei de apărare a unui tabel de amendamente cu titlul „amendamente adoptate”. Au mai fost apoi distribuite câteva fișiere cu alte propuneri ducând spre o imagine incertă.

În cadrul Comisiei amendamentul STS a fost promovat de însăși cei doi co-președinți, sen PNL Nicoleta Pauliuc la Apărare și sen PSD Marius Humelnicu la IT, dar a fost respins prin vot!

Au fost însă aprobate alte amendamente declarate generic ca aparținând membrilor PNL și PSD din comisii. Cele mai importante sunt:

A fost mult redusă aria de acoperire a legii. Noua variantă adresează doar entitățile private care deservesc instituții publice. Argumentația s-a bazat pe impactul negativ asupra industriei IT, a corporațiilor și contractelor internaționale.

A crescut la 5 zile termenul in care un furnizor de securitate cibernetică pentru o instituție publică este obligat să execute o evaluare de risc/vulnerabilități în urma solicitării din partea autorității competente pentru acel sector.

Au fost scăzute amenzile bazate pe procent din zona de afaceri până la procentul de 1%, respectiv 3%.

Lupta STS in Legea Securității Cibernetice

 

Atât la Deputați cât și la Senat, STS a căutat să promoveze, fără succes, amendamentul din imagine.

Modificare propusă este în linia aranjamentului actual în care un număr de instituții sunt însilozate și autarhice. Există un număr mare de sisteme IT și de comunicații care sunt în administrarea STS dar în proprietatea altei instituții publice iar, pentru acestea, activitatea STS în varianta curentă ar fi controlată de DNSC sau SRI.

Invers, dacă ne raportăm la legea de funcționare a STS și textul propus, într-o interpretare laxă, am putea ajunge la concluzia că STS este autoritate competentă pentru un număr mare de instituții din categoriile enumerate în anexa legi STS, caz în care STS ar încăleca DNSC și SRI.

Dacă ar fi fost permisă dezbaterea legii s-ar fi putut discuta aceste extreme și găsi o soluție convenabilă. Poate chiar, cine știe, s-ar fi discutat și cine, de ce, unde, a fost decisă această separare în contra principiului că executantul este controlat de un terț.

filmul dezbaterii Legii Securității Cibernetice CDEP

Iată filmul dezbaterii Legii Securității Cibernetice de ieri din Parlament.

Pe scurt:

• dep PNL Sabin Sărmaș, președinte de comisie, citește Raportul și anunță că au fost respinse toate amendamentele
• plenul votează să existe câte 2 minute de dezbatere
• dep PNL Pavel Popescu ne spune că legea este o evoluție fenomenală iar dacă s-ar adăuga o lege pentru educația cibernetică am ajunge cei mai buni din lume
• dep USR Diana Buzoianu ne spune că legea are o origine incertă iar Parlamentul este transformat într-o anexă prin nedezbaterea legii
• dep PSD Viorel Salan uită că a depus amendamente care i-au fost ignorate și ne spune că lege este foarte bună. Poate că a fost pedepsit astfel pentru încercarea de modificare a legii?
• dep AUR Mircia Chelaru ne spune că legea este necesară dar invocarea PNRR nu justifică refuzarea în bloc a dezbaterii amendamentelor pe motiv că nu este timp și Senatul o să se descurce cu ea.
• dep neafiliat Cătălin Teniță spune că interesele private, mai ales ale IMM, sunt afectate cu amenzi nejustificate.

Se trece la susținerea amendamentelor.

dep neafiliat Cătălin Teniță se încurcă în indicarea articolului dar reușește să ceară eliminarea amenzilor calculate pe baza cifrei de afaceri.

Vot pe amendament:

DA: 1 PSD; 0 PNL; 30 USR; 0 AUR; 1 UDMR; 12 Neafiliați

NU: 50 PSD; 33 PNL; 1 USR; 10 UDMR; 4 MIN; 1 Neafiliat

Abțineri: 0 PSD; 1 PNL; 0 USR; 12 AUR

În contra partidului au votat dep PSD Niţă Nicu și dep USR Alin Apostol

Sărim la momentul votului legii în ansamblu. Scor:

DA: 87 PSD; 59 PNL; 1 USR; 16 UDMR; 15 MIN; 2 Neafl

NU: 0 PSD; 0 PNL; 34 USR; 0 AUR; 5 Neafl

Abțineri: 24 AUR; 23 Neafl

În contra partidului a votat dep USR Oana Țoiu

Se trece la declarațiile concluzive:

• dep USR Nicu Fălcoi deplânge lipsa dezbaterii și ignorarea amendamentului propus de STS (voi posta separat despre acesta, nu este chiar nesemnificativ)
• dep USR George Simion acuză definirea incompletă a stării de asediu cibernetice și deplânge lipsa de dezbatere a legii

Legea Securității Cibernetice a fost votată în plenul CDEP

Legea Securității Cibernetice a fost votată în plenul CDEP, înainte a primit un Raport favorabil cu respingerea tuturor amendamentelor propuse.

Amendamentele, propuse de dep PSD Viorel Salan și dep Neafiliat Cătălin Teniță, adresau și rezolvau cele mai mari îngrijorări legate de acest proiect. Putem spune astfel că societatea civilă și-a făcut datoria aducând problemele și argumentele aferente pe masa de decizie a parlamentarilor.

În comisiile reunite pentru raport, președinții acestora dep. PNL Leoreanu și dep PNL Sărmaș au ales să supună la vot aceste amendamente în bloc, astfel au fost respinse într-un singur vot.

La fel ca și în plen, PSD-PNL-UDMR au forțat adoptarea fără modificări.

Rămâne astfel curiosul caz al dep PSD Salan - fost militar de carieră - despre care nu știam mare lucru până azi.

UE vede interoperabilitatea ca peer-to-peer

Mâine sunt  pe ordinea de zi la Comisia IT de la Senat două comunicări europene: 

 COM(2022) 710 și 720: Interoperable Europe Act

Este un proiect de regulament cu privire la interoperabilitatea instituțiilor publice la nivel european. Va crea un framework, tooluri open source, un comitet: toate lucruri clasice, de așteptat.

Aștept cu curiozitate să văd cum cei care-și doresc proiectul unei mari platforme de interoperabilitate găzduită de ADR și prin care vor trece toate datele schimbate de toate instituțiile publice vor interveni, vor combate, vor determina un răspuns critic către CE.

Pentru că, no surprise😜, viziunea comisiei este descentralizată, peer-to-peer, cu un dialog direct între instituțiile publice, fără să existe un nod național.

Amurgul romantismului digital

Vin vremuri grele și rele, ni le putem imagina?

Am scris un articol peren despre o săptămână definitorie pentru deceniul care va urma.

Nu este o informare, ci o opinie sau chiar o provocare.

Urmăresc cu interes maxim spectrul comentariilor, fiecare își va găsi un declanșator pentru obsesiile propri.

https://www.contributors.ro/amurgul-romantismului-digital/ 

Text articol:

Plan comunicare pentru UE Data Governance Act

Am participat astăzi ca membru al Comitetului Național de Coordonare OGP la prima analiză a unui angajament din Planul Național – cel dedicat datelor deschise. Un bun prilej de a identifica factori structurali instituționali relevanți care afectează inclusiv acest angajament.

Datele deschise au fost cândva speranța dintr-un clasament DESI deprimant vis-a-vis de administrația românească, am fost trendseteri și binișor peste media UE. De atunci mergem în jos, vom finaliza în următoarea ediție probabil pe ultimul loc. Nu facem mai prost ce făceam, doar că UE vrea din ce în ce mai mult.

În special se uită la reutilizarea datelor și la valoarea „data driven economy” din statul membru.

Din totdeauna noi nu am avut scenarii de utilizare persistente și cu valoare economică mare. Nu avem destule date, calitatea celor publicate este dubioasă iar garanția că vor fi publicate constant practic inexistentă.

Gradul de reutilizare este însă practic zero, prea puțin chiar pentru datele existente.

Există desigur probleme organizatorice în instituțiile publice. Am apelat azi INA să iasă din clișeul ofertantului comercial de formare profesională și să sprijine viitorul chiar dacă ROI-ul nu este spectaculos. Să conceapă cursurile asumate în Plan chiar dacă azi pare că nu va avea clientelă.

Însă cea mai importantă provocare este calitatea datelor.

Datele deschise, cumva natural, nu au o calitate extraordinară. 

Explicația este simplă: nu conțin date personale, nu sunt date aferente unei derulări de contract – greșelile nu aduc repercusiuni semnificative.

Datele mari, exacte, semnificative nu sunt date deschise ci intră sub incidența Data Governance Act. 

DGA este un Regulament UE care reglementează o schemă ambițioasă de fructificare a datelor guvernamentale de către entități private sub supravegherea Autorității Publice. Un concept bun însă cu un potențial comunicațional exploziv.

Anul viitor România este obligată să aloce două roluri de autoritate aferentă DGA și să emită norme. Practic să lanseze un ecosistem nou, original și bazat pe o filozofie azi de neînțeles pentru publicul larg.

ADR are vocație de a primi acest rol instituțional. Însă va fi necesară modificarea HG-ului său de funcționare, subiect fierbinte cât timp sunt multe alte subiecte cerute a fi rezolvate în legătură cu acesta.

Dacă amânăm până la deadlineul din toamna 2023, apoi scoatem din joben nominalizarea unei instituții vor fi probleme mari de imagine. 

⚠️Publicul și administrația publică vor înțelege că instituția nominalizată are rolul să le confiște datele și să le dea unor companii private. 

Pentru a înțelege exact ce este DGA este nevoie de mai mult.

Este nevoie de o viziune guvernamentală, a principalilor actori, este nevoie de un plan plauzibil, este nevoie de campanie de promovare.

Am cerut în ședința de astăzi ca webinarele și evenimentele prevăzute în Planul Național de Acțiune să acopere, grabnic, cu prioritate acest aspect. Începând cu aranjamentul instituțional, diseminarea între instituțiile publice și comunicarea către potențialii actori privați.

Transparența și cocrearea sunt piloni de bază ai OGP și ce subiect ar putea fi mai potrivit pentru ele decât fructificarea economică a datelor cetățenilor cu protejarea drepturilor lor fundamentale?

Identificarea Video - regulile UE (eIDAS #66)

EBA – European Banking Authority a produs versiunea finală a Ghidului de utilizare a soluțiilor online de identificare a clienților de către instituțiile financiar-bancare din EU.

Vor intra in vigoare la 6 luni de la publicare și pot produce valuri în România.

Pentru că soluția noastră a fost să fie scoasă din foc castana cu mâna ADR, aceștia să publice o listă cu operatorii de identificare video agreați iar băncile și IFN-urile  să le cumpere serviciile fără alte întrebări.

Iată însă că acest nou document expune o serie lungă de criterii tehnice și, foarte neplăcut, la paragraful 54 impune beneficiarilor să se asigure că aceste criterii sunt îndeplinite de furnizorii lor de servicii de identificare chiar dacă aceștia sunt deja acreditați de autoritatea națională.

Este genul de situație în care entitățile financiar-bancare mici, locale, vor citi și înțelege ce le convine în timp ce instituțiile cu prezență masivă în UE vor ezita având mai mult de pierdut decât piața românească.

Evident ADR va trebui să evalueze dacă Ordinul lor este aliniat acestui ghid, eu aș zice că mai este loc de îmbunătățire, și, mai ales, va conștientiza că, de acum, există cineva foarte relevant care le va evalua și eventual contesta acel ordin și toată activitatea lor din această zonă.

Sau nu.

Poate mergem pe ideea că la noi merge și așa.

LINK

Cum ne-ar ajuta ECCC

Avem prima șansă să înțelegem practic cum va funcționa și cum am putea profita de noul centru pentru securitate cibernetică, inexplicabil încă neoperaționalizat, al Comisiei Europene, de la Bucureștii  - ECCC.

S-a lansat prima ofertă de finanțare pentru platforme SOC comune între minim 3 state membre.

Acestea ar urma să adune din aceste trei părți evenimente, indicatori de securitate (materia primă clasică a unui SOC) și să obțină valoarea atât prin cantitatea mare de informații cât și prin tehnologiile moderne finanțate din zona A.I.

Unul dintre state va fi gazdă a centrului comun și va opera infrastructura acestuia ca stat coordonator.

Infrastructura va fi cumpărată de ECCC în consultare cu statul coordonator. Proprietatea asupra infrastructurii se împarte conform finanțării, ECCC va deține maxim 75%.

Vânzătorii infrastructurii trebuie să fie entități sub controlul UE.

Dacă pentru bugetul total de 30 mln euro candidează mai multe consorții (fiecare de minim 3 state membre) atunci va exista o etapă de armonizare astfel încât infrastructura tehnică achiziționată să fie asemănătoare în toate SOC-urile. 

Așadar DNSC are vocație să fie membru într-un consorțiu, poate chiar coordonator. Ar trebui să găsească minim alți doi parteneri din alte state, să scrie un proiect tehnic pe placul ECCC, să arate că există un număr cât mai mare de instituții publice care vor fi deservite de acest SOC.

Cum cloudul guvernamental este deja finanțat de PNRR această nouă finanțare poate ferici instituțiile publice în activitatea lor on-prem.

Link informații suplimentare: https://lnkd.in/dS-vfuDk

Proiect Tehnic și Studiu Fezabilitate Cloud Guvernamental

Cele 2 documente importante pentru cloudul guvernamental sunt disponibile pentru download încă din data de 19 Oct, titlurile lor fiind de fapt linkuri. Putem citi peste weekend Studiul de Fezabilitate și Proiectul Tehnic și să ne reamintim să mergem întotdeauna la sursă – siteul oficial.

Ar ajuta mult, desigur, dacă acesta, imposibil de oprit, nu ne-ar sparge urechile cu un text-to-speech extrem de enervant.

Studiu de fezabilitate:  https://www.adr.gov.ro/.../2022/10/SF_CG_17.10.2022_.pdf

Proiectul Tehnic: https://www.adr.gov.ro/.../Proiect_Tehnic_CG_17.10.2022_.pdf 

Vot final CDEP - mărirea salariilor DNSC și CPM

Astăzi este în plen la vot final în CDEP legea de mărire a salariilor din DNSC și Cancelaria Prim-ministrului despre care am scris cu ocazia votării la Senat. Există însă unele modificări față de acea variantă.

După cum am anticipat Raportul celor 3 comisii din CDEP nu marchează ca negativ punctul de vedere al guvernului, nici nu scrie că acesta a fost contrazis verbal de reprezentantul trimis. 

Înțelegem însă mai bine problema salarizării în CPM. Astfel, când a fost reînființată, CPM a preluat 57 de angajați din SGG cu tot cu un spor de 15% „pentru complexitatea muncii” însă cei care au fost angajați ulterior, practic oamenii noului guvern, nu mai puteau beneficia de acest spor. Au rezolvat această problemă.🤝

O altă problemă rezolvată este că au rescris proiectul astfel încât să nu mai modifice legea de funcționare a DNSC ci chiar legea salarizării unice în care au modificat zona de anexe pentru a cuprinde salariile DNSC.

O modificare substanțială de formă care ar putea pune probleme de constituționalitate.

După cum spuneam, DNSC devine parte a SGG și astfel, după promulgare, SGG este cel care va fi inițiator de legislație pe zona de securitate cibernetică.

Inacțiunea demnitarului sub lupa SRI

Acum că, sper, ne-am răcorit, cred că este momentul să explic problema ridicată de mine în dezbaterea proiectului de lege a securității cibernetice.

Proiectul, la final, modifică L51/1991 a securității naționale introducând 2 noi amenințări: acțiuni și inacțiuni care pot avea consecințe în zona infrastructurilor critice de comunicații și tehnologia informației precum și în zona amenințările de tip hibrid.

Voi încerca să structurez mai bine decât am făcut-o verbal.

Modificarea L51 are ca rezultat direct abilitarea SRI să investigheze prin toate metodele sale specifice aceste noi amenințări. Sunt aici incluse și măsurile tehnice de supraveghere specifice zonei de securitate națională?

Focusul meu este pe conducătorii instituțiilor publice. 

Aceștia sunt, în multe moduri, mai sensibili față de o astfel de intruziune în viața privată putând-o dezvolta în felurite scenarii care vor ajunge să le afecteze activitatea profesională. Poate că „amenințarea SRI” le va crește atenția față de securitatea cibernetică sau poate că, dimpotrivă, vor vedea securitatea cibernetică ca un cal troian forțat în cetatea lor. 

În orice caz, crima de „inacțiune” este tare neclară din perspectiva alocării responsabilități.

Dacă ne uităm în L51 putem observa că toate amenințările de competența SRI au ca finalitate un articol din Codul Penal aflat într-o parte specială dedicată infracțiunilor contra securității naționale.

Este firesc, SRI investighează apoi se implică în urmărirea penală pentru acest număr limitat de infracțiuni.

Pentru orice altceva din Codul Penal informațiile strânse de SRI nu pot fi folosite în procesul penal.

În 2016 în L51 a fost introdusă și o amenințare deosebită: acțiuni sau inacțiuni care ... au ca efect periclitarea, gestionarea ilegală, degradarea ori distrugerea resurselor naturale, fondurilor forestier, cinegetic și piscicol, apelor și altor asemenea resurse... Este singura amenințare de tip „inacțiune” și singura pentru care nu sunt clare infracțiunile corespondente. Poate nu este o întâmplare că am auzit mai nimic de la SRI ca rezultate pe acest subiect.

Revenind ...

În Codul Penal cea mai apropiată infracțiune este „Neglijența în serviciu”, însă aceasta impune producerea unei pagube sau vătămări – clar este tardiv. De asemenea SRI nu poate fi implicat în urmărirea sa penală.

Întrebarea mea către panel a fost: care este finalitatea implicării și eforturilor SRI de descoperire și documentare a conducătorilor de instituții rău-voitori❓ Care este justiția îndeplinită cu costul agitării spirituale a unor oameni în cel mai mare număr nevinovați?

⚠️Reamintesc că multe persoane până astăzi nu au avut „nimic de împărțit” cu SRI, spre exemplu primarii nu au fost nici măcar beneficiari de informații clasificate.

Așadar, ori implicăm SRI cu introducerea în Codul Penal a unei infracțiuni specifice neasigurării securității cibernetice în zona Infracțiunilor contra securității naționale, ori nu o facem și introducem o nouă infracțiune fără condiționarea de existența unui prejudiciu în zona Infracțiunilor de serviciu.

Nici una, nici alta, atunci va fi interpretat ca 👉un cec în alb pentru SRI să supravegheze conducătorii instituțiilor publice - pentru că nu există instituție pe deplin apărată cibernetic – un scop în sine fără altă finalitate.

Filmul dezbaterii Legii Securității Cibernetice

Am publicat înregistrarea completă a dezbaterii Legii Securității Cibernetice.

La https://youtu.be/WOA_ZkdqAuw aveți marcate temporal în descriere principalele momente, puteți sări direct la ce știu 🧏‍♂️ că vă interesează.

Scandalul dezbaterii Legii Securității Cibernetice

Să dăm Cezarului ce este de dat, încerc să epuizez în această postare aspectele scandaloase ale dezbaterii publice a legii securității cibernetice pentru a posta ulteriori chestiunile serioase.

Da, a existat un incident pornografic.

De pe o zi pe alta dezbaterea s-a mutat de la MCID la Rectoratul UPB, în sala de consiliu. Platforma zoom era setată ca pentru niște domni în baston, nu pentru românii verzi care se luptă cu Statul asupritor. Așadar nu aveau control asupra drepturilor și, evitabil doar dacă făceau efortul să se documenteze cu privire la dezbaterile anterioare, s-au găsit participanți online care inițial ne-au oferit un imn (probabil hitlerist) apoi un catalog pornografic.

Am remarcat seriozitatea dată securității cibernetice, cam toată lumea râdea.

Apoi au oprit zoom-ul și l-au recreat fără a se întrerupe însă dezbaterea, spre pierderea celor din online. Nici noua configurație nu era prea grozavă, nu-i împiedica pe participanți să-și activeze microfonul.

Deși ar fi cazul, presupun că nici plângere nu o să depună MCID.

Trecând la problemele adevărate.

Din prezidiu au lipsit MAPN și SRI, ca principali actori ai legii, dar și toate celelalte instituții menționate cu excepția DNSC.

A fost prezent în schimb în prezidiu, inexplicabil, dl sen USR Cristinel-Gabriel BEREA care nu a deschis gura, nici măcar pentru a se prezenta.

Organizarea unei dezbateri publice se bazează pe ideea că cei din prezidiu, susțin, explică și apără proiectul în fața criticilor celorlalți participanți.

O mențiune specială merită Andrei Popa, consilier al ministrului MCID, care a acceptat cu succes  un dialog juridic argumentat, risc pe care, în istorie, puțini alții l-au asumat în dezbaterile acestui tip de lege.

Apogeul a fost  un cetățean care țipa fără microfon că domnul Klaus Iohannis este fascist, hitlerist și swinger, cu susținerea online a unui parlamentar AUR care cerea să fie lăsat poporul să vorbească, să i se răspundă la întrebări. 

Voi publica pe youtube înregistrarea completă.

Este necesar să existe un punctaj comunicațional (eIDAS #65)

În mai puțin de o săptămână au fost 2 emisiuni TV despre identitatea digitală, ambele cu un twist nefericit din partea redacției. Astfel, la Antena3, dna Porumbel a găsit cu cale să asocieze identitatea digitală cu recunoașterea facială în spațiile publice iar dl. Mihai Constantin  TVR, de la care am pretenții mult mai mari, a concluzionat arătând că îi este teamă că aceasta ne va face să avem cipuri implantate sub piele.

Cea mai simplă explicație este că aceste emisiuni au căutat să activeze o frică a cetățenilor, cea de a fi identificați fără acordul lor. Adevărul este că sistemele despre care s-a discutat, PSCID și EUID Wallet, pot fi accesate doar prin introducerea unei parole sau altă formă de consimțământ explicit.

Știu că frica vinde dar, măcar TVR, ar trebui să contribuie la evoluția societății și educarea oamenilor.

Cei care sunt implicați în aceste subiecte, mai ales cei cu atribuții oficiale, ar trebui să înceapă să înțeleagă acest trend și să se pregătească la fel cum este pregătită o dezbatere politică.

În primul rând ar trebui să înțeleagă corect subiectul despre care vorbesc. În PSCID nu te autentifici cu fața, la fiecare accesare a unui serviciu public, ci o folosești la identificarea de la deschiderea contului apoi te autentifici clasic, cu user/parolă sau alte mijloace nebiometrice în fața serviciului public utilizat.

EUID Wallet poate conține într-adevăr date autentice diverse, diplome, permise, etc. dar suntem, în România, foarte departe de acel moment, nu știm cine va produce aceste date de încărcata în portofel, nici măcar nu știm cine va inițializa portofelul cu identitatea de bază.

EUID Wallet este definitoriu pentru minim 10 ani de istorie europeană. Puține, dar există, avem companii românești, experți români parte a unor entități europene, implicate în grupurile de lucru care desenează acest produs. Este bine când aceștia sunt întrebați, este rău că este spontan, în căutarea unui click-bait țintit și nu parte a unei strategii de comunicare națională.

Este necesar să existe un punctaj comunicațional.

Este necesar ca atunci când te adresezi unui public foarte larg să previi și să combați astfel de derapaje. Nu este îndeajuns să spui că legea nu permite acel scenariu, prea puțin sunt convinși românii cu asta, trebuie să arăți că este vorba de cu totul altceva.

În general invitatul are o discuție cu ziaristul înainte de emisiune. Și invitatul poate fi activ în orientarea acestuia, nu numai ziaristul este cel care anticipează răspunsurile invitatului.

Spre deosebire de alte subiecte fierbinți identitatea digitală poate și trebuie să fie complet transparentă către cetățeni. Orice probleme poate avea una sau alta dintre implementări, acestea trebuie adresate profesionist dar niciodată nu trebuie translatate către subiectul general. 

Linkuri:

http://stiri.tvr.ro/ghidigital-episodul-37-cum-ne-putem...

https://www.antena3.ro/.../recunoastere-faciala-plata...

Ofertanți PKI CEI (eIDAS #64)

Săptămâna încheiată au fost deschise ofertele pentru infrastructura PKI, componentă de bază a Cărții Electronice de Identitate. Știm astfel ofertanții și, fiind un proiect important, putem trage unele concluzii despre starea nației.

Certsign este în 3 din cele 5 oferte depuse.

Așadar avem:

1. Dataware Consulting + Certsign S.A.

2. Orange Romania Communicatons + Certsign S.A.

3. Advice Information Technology + OSI sistemske integracije d.o.o. + Entrust Limited + Network One Distribution

4. Trencadis Corp + CertSign

5. Trans Sped + BIT4ID srl + Dendrino Solutions srl

Ca o pată (de culoare), umblă zvonul că Orange a jucat la mai multe capete lăsând în offside un jucător european de renume.

Pamflet !

Un porumbel și-o porumbiță se întâlnesc pe-un fir. Încep o discuție pe un subiect la modă, împănată de complimente: „vai ce întrebare bună”.

Fiind pe fir, la înălțime îi aude tot cartierul cum:

🤦‍♂️ Confundă identificarea video cu autentificarea biometrică

🤦‍♂️ Vorbesc despre cazul unor gemeni identici și cad de acord că în cazul acestora sunt necesare măsuri suplimentare de securitate. Astfel neagă că imaginea de referință este cea de pe actul de identitate și sugerează că va fi folosită întreaga bază de date a populației. Astfel operațiunea nu mai este de confirmare a identității declarate de utilizator ci una de identificare la nivel național care ar putea produce rezultate fals pozitive și oarece probleme pentru utilizator.

🤦‍♂️ Acceptă să treacă lejer la un scenariu complet diferit, al supravegherii video, într-o asociere care subminează încrederea în identitatea electronică.

Sub fir, niște guguștiuci, iau notițe de publicat pe web, și-și imaginează că toate cele de mai sus o să fie folosite de ANAF și ONRC pentru interacțiunea cu cetățenii.

Eu rămân sub impresia dialogurilor „mă auziți – vă aud” și primesc un nou înțeles pentru „per aspera ad astra”  ca naturală temelie pentru îndrăznește să crezi prin tine însuți. Restul e tăcere

Idei, Idei despre CEI (eIDAS #63)

Am participat astăzi la un elegant eveniment organizat de Namirial România  în cadrul căruia au fost câteva momente interesante legate de MAI și ADR, ambele reprezentate la nivel de Director.

La întrebarea dacă pentru Ordinul ADR cu privire la identificarea la distanță a existat susținere (în sens de endorsement) MAI a afirmat doar că a fost consultat dar a refuzat să confirme o evaluare pozitivă din partea lor. De altfel, la un moment dat, s-a discutat că, în general, în EU cărțile de identitate românești nu sunt acceptate pentru identificarea video și am aflat cu această ocazie că identificarea fizică conduce la zeci de CI false trimise lunar în România de alte autorități.

O altă întrebare a fost legată de eventuala achiziție prin PNRR de certificate calificate de la furnizori privați și instalarea lor pe CEI în momentul producției acestuia. Răspunsul a fost că există această idee dar că tehnic nu este posibil.

ADR nu a comentat nimic pe acest subiect dar, evident, asta nu exclude o inițiativă a ADR de a le achiziționa separat pentru toți posesorii de CEI.

Subiectul este relevant deoarece textul PNRR a fost modificat în această privință, neasumat (de persoane necunoscute), pe traseul dintre MCID și Palatul Victoria astfel încât să sprijine explicit achiziția certificatelor furnizorilor privați. Este întotdeauna important momentul în care se închide cercul.

Draft Lege Securitate Cibernetica

Avem pus in dezbatere publică de către MCID un nou proiect de lege pentru Securitatea Cibernetică. Este al treilea la care asist, a mai exista inițiativa MCSI din 2016 urmată de cea a MAPN.

Preluarea sarcinii de la MAPN de către MCID vine în sprijinul construirii unui rol instituțional pentru acesta însă pune în capul mesei un actor momentan slab, fără expertiză, experiență și capacitate de impunere.

Legea în sine este, la prima vedere, cât mai simplă, ca pentru a trece cu bine de jalonul PNRR.

Pot saluta alăturarea transparentă a noțiunilor de „cyber intelligence” și „cyber counter-intelligence” care ajută la înțelegerea diferențelor.

Am fost uimit de obligația pentru MCID de a aloca pentru proiecte de cercetare, dezvoltare și inovare în domeniul securității cibernetice minim 10% din bugetul său total. În forma actuală prin „bugetul total” nu se înțeleg doar fondurile cu care MCID finanțează cercetarea din România ci și fondurile aferente investițiilor, inclusiv cele din PNRR. 

Rămâne și în acest proiect definirea foarte vagă, imprevizibilă, a sistemelor informatice de „interes național” în orice formă este descrisă această idee, lipsește o grilă de evaluare obiectivă măcar la nivelul celei aferentă NIS. Dacă diverșii actori pot evita să se calce pe picioare, operațional, cu sprijinul COSC, pentru entitatea atacată/vulnerabilă, inclusiv cele private, nu există nici un drept de apreciere asupra gravității situației, autorității competente sau a naturii și întinderii intervenției asupra sistemelor sale. Nici măcar nu știe că are vocație de a trece prin această experiență.

Oricum, o să vedem poate o dezbatere interesantă.

Link proiect: https://www.research.gov.ro/.../forma-initiatorului-legii...

DNSC mărește salariile în Cancelaria PM

De curând a existat o mică inflamare prilejuită de un amendament la Legea care mărește salariile DNSC, care introducea un spor de 15% atât pentru DNSC cât și pentru Cancelaria Primului Ministru.

Mai există însă un amendament adoptat în comisia CDEP care transformă  DNSC de la „în subordinea Guvernului” la „în cadrul aparatului de lucru al Guvernului”.

Ideea nu este deloc rea, însă ar impune și alte modificări ⚠️ în vederea alinierii la Codul Administrativ.

Un amănunt, dar ar trebui să-și schimbe numele din Directorat în Departament, pentru a se integra între:

✅Departamentul pentru Românii de Pretutindeni

✅Departamentul pentru relația cu Republica Moldova

✅Departamentul pentru Luptă Antifraudă – DLAF

Trecând la consecințe mai serioase, DNSC în exercitarea Art.5 a) 7, care îi permită să propună modificări legislative, nu se va mai adresa către MCID ci, în aplicarea Art.20 (6) din Codul Administrativ, va lucra cu SGG pentru inițierea acestora. 

Dar cea mai ciudată situație ar fi persistarea implicării CSAT în viața DNSC, în special în numirea conducerii acestuia. Aparatul de lucru al guvernului este cetatea Prim-Ministrului, el este suveran în deciziile cu privire la funcționarea sa. 

Crește riscul dat de abordarea salarizării printr-o grilă în legea de funcționare în locul modificării legii unice a salarizării. S-ar putea ca alți colegi din aparatul de lucru al guvernului să se simtă nedreptății și să se agite în această privință.

𝗔𝗺 𝗶̂𝗻𝗻𝗲𝗯𝘂𝗻𝗶𝘁 ?

M-a lovit peste nas OUG 140/2022 care intră spre aprobare în Senat și nu mi-a mirosit deloc bine.

Prin OUG se înființează, ca obligație PNRR, o nouă instituție: 

👉Oficiul pentru Licenţă Industrială, ca organ de specialitate al administraţiei publice centrale, cu personalitate juridică, în subordinea Guvernului şi în coordonarea prim-ministrului, având rolul de raţionalizare, simplificare şi digitalizare a procedurilor specifice în vederea acordării licenţei industriale unice.

Oficiul își va crea o platformă software: Punctul de contact unic electronic pentru licenţe industriale – PCUEL cu următoarele features:

Art. 21 - Accesul la PCUEL

(1) Prin intermediul PCUEL se asigură acces la următoarele informații de interes public:

a) procesul de acordare a licenţei industriale unice;

b) formularele disponibile în format electronic;

c) datele de contact ale autorităţilor competente,;

d) datele de contact ale Oficiului;

e) legislaţia autorităţilor competente aplicabilă emiterii actelor administrative prevăzute la art. 4 lit. g), precum şi legislaţia aplicabilă procesului de acordare a licenţei industriale unice;

f) instrucţiunile de utilizare a PCUEL;

g) informaţiile cu privire la căile de atac disponibile în cazul unui litigiu.

Cu termen de implementare 31.12.2023.

Prima verificare: lista de avizatori. Apare MCID printr-un sds, lipsește ADR.

A doua verificare: PNRR. Pag. 336 Componenta 9, Reforma 1. Nu există obligativitatea înființării unei noi instituții⚠️ ci doar „intrarea în vigoare a legii de punere în aplicare a regimului unic de acordare a licențelor industriale”.

Pag.337 Investiția 1: „Investiția va consta în înființarea și punerea pe deplin în funcțiune a unei platforme digitale publice care va furniza servicii publice întreprinderilor legate de înființarea/ieșirea de pe piață a firmelor, autorizarea reprezentanțelor străine în România și obținerea de licențe pentru industrie.”

⚠️Așadar în 12 luni cineva crede că: se va emite HG-ul care reglementează organigrama noii instituții, se va face rectificare bugetară pentru finanțarea ei, vor fi angajate persoane, angajații vor scrie proiectul și vor derula achiziția publică, câștigătorul va livra platforma ‼️ ‼️

𝗔𝗺 𝗶̂𝗻𝗻𝗲𝗯𝘂𝗻𝗶𝘁 ?

Mic îndrumar pentru voluntarii la stat

Aceasta va fi o postare extrem de lungă, dar necesară celor care vor să înțeleagă corect administrația publică. Pretextul este o postare a lui Mihai Matei în care acesta povestește cum firma sa a creat o aplicație pentru arși pe care, după finalizare, Ministerul Sănătății a ignorat-o total.

Până aici avem o poveste tristă care ne capacitează emoțional.

Însă între comentarii apare unul al d-lui Mihai Grecea, partenerul de discuții din interiorul ministerului, în care ne prezintă amintirile sale oferindu-ne astfel o perspectivă cu valoare istorică.

Deși este lung, pentru a nu săpa voi printre comentarii, îl citez complet aici, apoi îl voi comenta și eu.

Ne îndreptăm spre eID-uri furnizate de industrie ? (eIDAS #62)

L-am provocat astăzi pe dl. Floarea, de la Certsign, să ne spună în cadrul conferinței DNSC opinia sa despre următorul scenariu, nu chiar S.F.

Deși astăzi nu avem legal identitate digitală în România, cum nu avem nici vreo Autoritate Națională Competentă desemnată pe acest subiect, totuși să facem un experiment imaginar și să ne închipuim o Românie care trece brusc de la „nimic” la un ecosistem compus din Cartea Electronică de Identitate de la MAI, platforma tehnică PSCID a ADR și o schemă națională notificată la care aderă companii private pentru a emite identități electronice.

L-am întrebat cum vede acest scenariu, dacă există stres, provocări, contraindicații.

Este probabil necesar să clarific pentru publicul larg.

Pentru ca un mijloc de identificare electronică să fie opozabil față de terți (alții decât cine l-a emis) este obligatorie o formă de normă legală. Pentru recunoașterea la nivelul UE trebuie parcursă procedura de notificare și evaluare de către celelalte state membre.

CEI este un caz special, fiind un document național de identitate cu utilizare și în zona de apărare, securitate și ordine publică, evaluarea care urmează notificării este mai simplă, mai puțin intruzivă.

Însă pentru orice altceva dosarul de notificare este o provocare serioasă.

Pentru a îndulci problema, la nivel național este posibilă recurgerea la scheme. O schemă este un set unic de proceduri notificate o singură dată la care pot adera oricâte entități, mai ales private. Astfel pentru un nou furnizor nu mai este necesară parcurgerea procedurii europene ci este îndeajuns un audit comandat de către Autoritatea Națională Competentă cu privire la respectarea prevederilor Schemei.

O schemă este, în teorie, creația unui grup de inițiativă însă, practic, Autoritatea Națională joacă frecvent un rol în stimularea apariției ei.

În construcția ecosistemului din acest scenariu sunt câteva puncte sensibile.

Dacă sunt mai multe companii cu vocație pentru aderare la viitoarea schemă deciziile cu privire la schemă le pot afecta diferit. Cu cât schema este mai apropiată de modul de lucru al unei companii cu atât aceasta va cheltui mai puțin pentru implementarea și auditarea schimbărilor necesare, cu atât timpul de lansare a produsului va fi mai scurt. Reciproc, celelalte companii se pot găsi în situația de a cheltui mai mult și de a găsi piața ocupată de primul lansat.

În privința platformei PSCID apariția unei scheme poate eventual masca, prin cascadare, eventuale slăbiciuni structurale. Auditul european nu ar mai fi direct pe PSCID ci pe schemă, iar cel dintre schemă și platformă ar putea fi mai prietenos. Însă rămâne problema de bază – operatorul PSCID nu poate fi simultan și Autoritate Competentă, mă întreb ce instituție publică ar accepta să preia PSCID presupunând că ar fi legal și financiar posibil.

Și rămâne întrebarea din eveniment apropo de existența unei strategii naționale. Identitatea digitală este, by default, un subiect al statului. Implicarea unor emitenți privați este permisă de eIDAS cu titlu de excepție – oare unde s-a dezbătut și cine a aprobat un astfel de drum?

Revenind la întrebare și răspuns.

Dl. Floarea crede că orice variantă trebuie luată în considerare și că nu trebuie să ne speriem de eventuale riscuri de securitate. Mai multe nu ne-a spus, cu toate că am încercat să formulez întrebarea astfel încât să-i ofer posibilitatea de a susține public și asumat scenariul de mai sus. Video aici.

Rămâne să vedem, dacă va exista ocazia, și viziunea ADR, MCID.

P.S. Wallet-ul european este o complicație suplimentară. Dacă rămâne varianta a V-a de text eIDAS 2 atunci va fi inițializat cu o identitate de „nivel ridicat” pe care în România abia ar putea să o emită MAI. Existența în portofel și a altor identități, de la alți furnizori, ar putea să nu aibă sens cât timp tehnologia walletului permite selectarea atributelor prezentate la momentul identificării dar asta este o altă discuție, pentru un alt număr de caractere.

Consiliului Național pentru Transformare Digitală

Spuneam în postarea anterioară, dedicată învățămintelor OECD, despre colaborarea și co-crearea dintre instituțiile publice și societatea civilă că:

„Cândva vom ști cum să o facem elegant, productiv, fără încrâncenare și vom avea un stat care va fi cu adevărat suma valorilor sale.”

Acel moment nu a sosit încă, cel puțin nu la ADR.

În urmă cu prea multă vreme ADR a făcut valuri de imagine chemând specialiștii țării să se înscrie în Consiliului Național pentru Transformare Digitală (CNTD). Au făcut-o în jur de 700.

Apoi au fost ignorați.

Sabin Sărmaș nu a ezitat să declare înființat un „Board CNTD” pentru care nu există bază legală dar în legătură cu care putem observa, statistic, o apetență pentru oameni proveniți din Cluj, urbea sa natală.

Boardul CNTD le-a fost prilej de mândrie și networking de câteva ori membrilor săi fără mize reale și, mai ales, fără niciun demers de capacitare a sutelor de voluntari.

Aceștia practic nu mai există pentru ei!

Iată însă că noul ADR exagerează vechile metehne.

Nu numai că apelează la „Boardul CNTD” în ciuda lipsei sale de reprezentativitate ci chiar îl folosește ca acoperire pentru invitarea unui mare număr de companii care nu sunt membre.

Nu spun că dialogul cu acestea nu este util, nu spun că nu trebuia discutat cu ele.

Spun însă că măcar ar fi trebuit publicate documentele pentru toți membrii CNTD simultan cu comunicare lor acestor invitați.

Probabil că cei 700 sunt astăzi atât de scârbiți de această poveste încât nici nu-i mai interesează subiectul.

Mâine poate chiar vom avea nevoie de ei. Nu pentru soluții tehnice ci pentru o credibilitate esențială chiar și pentru cel mai onest proiect.

Cloudul guvernamental este proiectul pentru care credibilitatea este cheia de boltă.

Păcat!

HG cloud pe circuit

A trecut o lună de la demararea dezbaterii proiectului de HG pentru cloudul Guvernamental. A existat ședința publică despre care am scris și a rezultat un nou text care a plecat pe circuitul de avizare interinstituțională.

Astăzi public această versiune rezultată din dezbatere, m-am așteptat să o publice MCID pe pagina proprie însă cred că timpul a sosit, acum, când instituțiile și-au făcute deja opinia proprie, este și momentul publicului larg.

Pentru a lega postările de analiză care vor urma de momentul dialogului public menționez că „gluma” mea de final de discurs, deși a fost apreciată de ADR și promisă a fi corectată, este încă validă:

Art.39 (12) USC verifică ștergerea sau returnarea tuturor datelor cu caracter personal încredințate FSC după încheierea prestării serviciilor de către acesta.

Spuneam la microfon că, dacă există suspiciunea că un operator de cloud comercial FSC nu șterge datele utilizatorului USC după terminarea contractului, în nici un USC (primăria de comună) nu poate avea sarcina de a verifica acest lucru ci ar trebui să fie obiectivul unei instituții specializate. Răspunsul la cald a fost că este doar o obligație a utilizatorului să-și șteargă expres datele și să nu se bazeze că închiderea contului va duce la ștergerea lor.

Din păcate a rămas „după încheierea prestării serviciilor de către acesta”, ar fi fost atât de simplu să fie „după” înlocuit cu „înainte”.

Deși comercial (deja contractul nu mai există) și operațional (câtă lume înțelege cât de complicat este cu adevărat un mare cloud comercial) această cerință este vădit imposibilă totuși premisa din spatele ei, riscul, există și astfel o astfel de prevedere nu poate fi ignorată la aplicare pe motiv că ar fi o vădită eroare materială.

Și uite așa, de la o glumiță menită a testa atenția cititorului ajungem, prin menținerea după semnalare, pe un teren fertil pentru speculații cu privire la intenția scriitorului.

Vor urma însă postări despre probleme mai substanțiale.

Cum lucrăm cu funcționarii publici

Să convingi funcționarii publici sau să-i conduci cu o mână de fier?

Plăcerea mea,( sau aroganța? ), a fost întotdeauna să-i conving, poate cu speranța secretă că odată ce sunt parte trup și suflet din proiect îl vor duce, fără mult stres din partea mea, mai departe.

Instinctul mi-a spus însă întotdeauna că mâna de fier este soluția.

Realitatea este că de multe ori am reușit să-i învăț dar nu să-i conving. Noile cunoștințe le clădesc un sistem solid dar pe care îl resping instinctiv, refuză să-l aplice, nu-i găsesc hibe dar nici benzină.

Mi-au luat ani de experimente pentru a ajunge la rezultate.

Am furat meserie de la puținii oameni din administrația publică care au performat.

Voi fi oricând doritor să particip într-o discuție pe acest subiect. 

Ciprian este profesionistul în acest domeniu al culturii organizaționale care a avut neșansa să fie pus direct și neașteptat în fața celui mai masiv și extremist pacient. Mă bucur să văd că perioada sa de asimilare a experienței ca ministru pare să se fi încheiat, cred că ar putea contribui semnificativ pe acest subiect.

Vedeți din postarea sa, și comentariile asociate, că administrația noastră nu este o întâmplare ci un sistem modelabil pivotat în jurul unor trăsături măsurabile. Dezvoltarea acestei discuții poate fi de mare ajutor atât pentru decidenți cât și pentru angajații publici.

În definitiv primul pas spre vindecare este să înțelegi exact ce problemă ai.

Am vorbit pentru OECD

 

Misiunea OECD în România, care derulează un program de sprijin al Guvernului României, a pus astăzi stăpânire pe Palatul Victoria organizând două trackuri paralele de seminarii publice.

M-au invitat și am vorbit despre experiența dialogului în procesul de creare a normelor și politicilor publice. Am dat exemple pozitive (cloudul guvernamental) și negative (🙊), am spus că trebuie să evoluăm cultural și emoțional împreună, ambele părți ale mesei.

Cândva vom ști cum să o facem elegant, productiv, fără încrâncenare și vom avea un stat care va fi cu adevărat suma valorilor sale.

Poate vor reuși ei să ne ajute în acest proiect.

Tehnicalitati la PKI CEI (eIDAS #61)

În urma deciziei CNSC a fost publicată o clarificare ce conține informații plăcute de citit pentru oamenii tehnici despre infrastructura PKI aferentă proiectului pilot CEI de la Cluj. Iată pasajul:

„• Implementarea s-a bazat exclusiv pe soluţii open-source, respectând standardele deschise aplicabile în domeniu. Nu s-au utilizat soluţii proprietare din punct de vedere tehnologic, care să îngrădească eventuale extinderi/migrări ale soluţiei implementate .

• Implementarea PKI MAI este găzduita în centrul de date al DEPABD într-un mediu virtualizat - Maşini virtuale în orchestraţie Proxmox, în care s-a configurat un deployment aplicativ containerizat tip Docker.

• Platforma PKI este asigurată la nivel Software de o soluţie open-source, respectiv EJBCA, fiind implementate şi configurate on-site pentru proiectul CEI modulele CA, RA şi VA. Funcţionalităţile de bază privind managementul certificatelor sunt configurate la nivelul soluţiei.

• Soluţia EJBCA expune în mod securizat servicii SOAP - api - generic de interacţiune automatizată cu aplicaţia de personalizare.

• La nivelul PKI a fost configurată o structură de certificare reprezentată de Autoritatea Root şi un subCA responsabilă de emiterea efectivă a certificatului MAI prezent pe cipul contact.

· Totodată, pentru stocarea cheilor este utilizată Solutia SoftHSM2 - containerizată la nivelul instant.eiactive.

• Profilul certificatul MAI este configurat să ofere funcţionalităţi de autentificare şi semnare şi este stocat în cipul contact în zona alocată certificatelor digitale. Valabilitatea certificatelor digitale este de 3 ani.

• Cheile private asociate fiecărui certificat digital sunt generate on-card în timpul procesului de personalizare.

• Standardul criptografic pentru emiterea certificatelor digitale utilizat este SHA - 256.

 • Precizam că, numărul actual de certificate digitale emise este unul destul de mic şi anume 4150, estimând o creştere la aproximativ 1OOO de certificate digitale pe lună.”

În general astfel de informații nu sunt publice deoarece pot ajuta un eventual atacator. Vestea bună este că procedura de achiziție se reactivează începând cu 10 Oct.

HG Cloud in avizare

Astăzi și-a început drumul pe circuitul de avizare HG-ul de cloud. O versiune mult mai clară, cea pe care ar fi trebuit să o avem pe masă din prima zi.

Multe lucruri au fost clarificate și astfel au dispărut cele mai pesimiste scenarii.

Unele opțiuni au rămas și vor naște discuții. Și acestea au beneficiat de eliminarea unor vulnerabilități de natură juridică printr-o mai atentă redactare.

Nota de Fundamentare este neobișnuit de consistentă și conține unele viziuni care ar fi putut fi mai bine reliefate în HG.

Se merge, însă în formulări timide, spre un sistem centralizat de utilizare securizată și economică a serviciilor de cloud comercial. Doar de pe teritoriul UE 😊

Voi mai avea nevoie de câteva sesiuni de analiză, în special diferențială, pentru a înțelege de ce au fost refuzate anumite idei și direcții și ce consecințe pot avea acestea.

Înțeleg că această versiune va fi publicată în curând și pe secțiunea de transparență a site-ului MCID.

Când cred eu că merită să începem să-i credem

Acum, că Radu le-a spus elegant ce era de spus, pot completa și eu cu câteva chestiuni aplicate.

Concret, oricând veți vedea o lege de 2 pagini care „învinge birocrația” să știți că efectul este zero. Nu este o constatare empirică ci o consecință a sistemului legal românesc.

Cel mai important lucru de reținut este că orice se întâmplă într-o procedură administrativă se naște dintr-o normă legală, funcționarii sunt selectați astfel încât să aibă un aport decizional minim.

Am studiat consecvent acest aspect, singura acțiune întâlnită fără o bază legală explicită ci mai degrabă de natură religioasă, este solicitarea copiei după buletin.

Fie legi dedicate unui aspect, fie  norme de funcționare a instituției, în ambele cazuri acestea sunt legi specifice și se aplică 'lex specialis derogat legi generali'.

Adică funcționarul public are pe masă două norme. Una îi spune cum să facă ceva, cealaltă îi spune să nu o mai facă fără să-i ofere altă variantă. Dacă ambele norme sunt legi atunci funcționarul este obligat să o aplice pe cea specifică. Dacă norma specifică este HG sau HCL funcționarul are de ales: continuă cu cea specifică sau oprește activitatea.

⚠️Ar putea fi o formă de grevă a funcționarilor publici de mare impact. Activitate blocată, leafa merge, vina este la politicieni. Caveat!

Cel mai vechi exemplu de lege aproape fără impact este legea semnăturii electronice L455 din 2001. Spune că semnătura electronică calificată este echivalentă cu cea olografă. Însă există numeroase prevederi legale care sunt scrise în minte doar cu semnătura olografă, inclusiv codul de procedură civilă. În loc să revoluționeze societatea a rămas doar un sprijin pentru cei care creează norme noi și vor să introducă documente electronice. Legi cu care ar trebui să fie în simbioză precum Legea Arhivelor Naționale au rămas neatinse din anii 90.

Am demonstrat că poți face digitalizare cu aceste legi. Însă efortul de convingere a aparatului este imens.

Aud că din nou „salvăm nația” cu o nouă lege a semnăturii electronice. La un moment dat era chiar înghesuială, vreo 3 proiecte în paralel.

Hai să vă spun când cred eu că merită să începem să credem.

1. Nu este un proiect de lege simplă ci o lege de modificare a altei legi, de preferință a Codului Administrativ.

2. Nu spune că abordează tot ci doar un sector de activitate.

3. Conține numeroase prevederi de tip abrogare.

4. Conține o listă a normelor subsecvente care trebuie modificate și există un termen pentru modificarea lor.

5. Este o lege de administrație publică și nu de digitalizare

Dacă cele de mai sus sunt îndeplinite putem să vedem cât de bine este scrisă și dacă poate fi îmbunătățită. Efortul pentru o astfel de abordare este însă mult mai mare iar expertiza necesară, din păcate, depășește normalul parlamentului României. La nivelul guvernului expertiza necesară poate fi agregată doar cu un stimul puternic din partea prim-ministrului. Ultima dată s-a făcut în SCAP, însă pe prea multe direcții simultane.

Dezbaterea HG Cloud

A avut loc dezbaterea publică a HG-ului pentru Platforma de Cloud Guvernamental. Tot în sala INS, dar cu un alt vibe.

Echipa MCID părea să aibă în comun un grad avansat de oboseală în fața căreia reacționau diferit, dar totuși clar lipsit de entuziasm. În prezidiu au fost pentru o perioadă de timp conducătorii MCID și STS, președintele ADR online iar SRI invizibil. 

Nu a mai existat dialogul alert, idee cu idee, doar intervenții periodice cu răspunsuri selective.

Mai interesanți au fost invitații.

ANIS și-a pierdut N-ul și a vorbit doar din perspectiva marilor furnizori de cloud comercial. Au cerut să nu existe limitări geografice, toate datele să poată fi prelucrate în US pentru că acolo este vârful tehnologic. Au mai cerut să nu fie necesar niciun fel de aviz pentru ca o instituție publică să folosească cloudul comercial.

Microsoft România s-a plâns că politica cloud first este slabă, că se aplică doar în viitor când va fi gata cloudul privat guvernamental. A cerut să dispară avizele de la CTE și ADR. A observat că nu sunt clare părțile contractante aferente serviciilor comerciale.

Eu am spart bugetul de timp și am vorbit despre ce am scris deja.

Bogdan Manolea de la APTI a avut o intervenție pe zona GDPR surprinzător de placidă față de așteptările mele.

Radu Puchiu a vorbit despre necesitatea orientării HG-ului spre persoane, despre câștigarea încrederii, despre faptul că este foarte alambicat și greu de înțeles de instituțiile publice.

Senzația mea este că ne-am atins cu toții limitele. Am propus chiar să fie HG-ul periat de greșelile evidente și apoi să reluăm discuția asupra unor idei clare, pe care să le putem dezbate. Am însă senzația că toată lumea vrea să scape odată de el.

Am pus în descrierea de pe Youtube marcări de timp astfel încât să puteți trece direct la vorbitorul dorit. Atunci când apare a doua oară un vorbitor este momentul în care se dau unele răspunsuri. 

Decizie CNSC proiect PKI CEI (eIDAS #60)

A fost emisă decizia CNSC cu privire la contestația Trans Sped la procedura de achiziție PKI pentru Cartea Electronică de Identitate.

Unele susțineri au fost admise, altele nu, concluzia este că trebuie refăcută documentația.

Motivația este subțire, spre exemplu pe subiectul migrării certificatelor emise la Cluj decizia de a solicita migrarea este considerată corectă însă se reproșează că nu sunt declarate numărul de certificate de migrat și furnizorul platformei respective.

Procedura este suspendată, va exista un nou termen pentru solicitările de participare.

Altfel, am reținut despre MAI că „că din analiza derulării achiziţiei, remarcă faptul că, până la data actuală, contestatoarea nu a formulat nicio solicitare de clarificări adresată autorităţii contractante cu scopul de a informa eventualele neconformităţi sesizate, rezumându-se strict la depunerea prezentei contestaţii, în scopul vădit de a suspenda procedura de atribuire până la soluţionarea acesteia.”

Broasca și scorpionul în norul guvernamental

Este a treia versiune de text. Primul a fost centrat pe politicienii mincinoși, al doilea pe goana după bugete. Acesta va fi o simplă informare.

În discuțiile anterioare publicării acestei propuneri de HG a fost pusă pe masă o variantă în care Platforma Națională de Interoperabilitate nu mai era un concept arhitectural peer-2-peer ci o aplicație de tip Data Hub care concentra la ADR toate schimburile de date între instituții.

Dincolo de o reacție destul de agresivă am depus o adresă oficială în care am arătat că Legea 242/2022 – Legea interoperabilității - nu împuternicește guvernul să reglementeze interoperabilitatea prin HG ci trebuie un ordin MCID.

A dispărut platforma de interoperabilitate. A dispărut platforma de interconectare care concentra conectările dintre aplicațiile guvernamentale aflate în diferite clouduri comerciale.

A rămas însă Art.26 Platforma de tip API Gateway și sunt câteva lucruri importante de spus despre ea.

Conform Art.26 (2) funcționează pe o „o infrastructură informatică dedicată”, adică în afara Cloudului Privat Guvernamental. Un bun prilej pentru ADR să mai cumpere câteva camioane de hardware în cadrul unui proiect distinct, care practic nu poate fi corect dimensionat.

Avem atât definiția din Art.2:

q) platforma API gateway – instrument care reprezintă punctul de intrare unică pentru API-uri și microservicii back-end definite atât interne, cât și externe folosit pentru interconectarea aplicațiilor și serviciilor informatice. Are rol protector, impunând securitatea și asigurând scalabilitate și disponibilitate ridicată;

dar și  Art.26 (5):

 a) asigură interconectarea la nivel de servicii a aplicațiilor din cloudul privat guvernamental

Este o mare diferență între  serviciul de aplicație și microserviciul din care este compusă o aplicație containerizată. Pentru microservicii ideea de a nu folosi orchestrarea proprie ci să treci totul printr-o aplicație externă, administrată de altcineva, merită comentariile unor persoane mai competente decât mine.

Iar perspectiva obligării de Art.26 (6) b) a conectării microserviciilor aferente unor clouduri private precum cel de la Justiție sau MAI la această platformă, care desigur transformă și loghează aceste date, desfide însăși rațiunea existenței independente a acestora.

 

Spuneam de Art.26 (5):

f) asigură jurnalizarea accesului la date;

o idee mult lăudată de Sabin Sărmaș apropo de platforma de interoperabilitate, acum avem ocazia să înțelegem exact ce înseamnă asta din Art.13 (4):

h) FSC asigură monitorizarea evenimentelor de prelucrare a datelor cu caracter personal prin intermediul componentei de jurnalizare și notifică USC cu privire la încălcarea protecției datelor cu caracter personal, fără întârzieri nejustificate, pentru ca USC să poată notifica, dacă este necesar, persoanele vizate afectate.

cu alte cuvinte asupra datelor colectate în log vor fi aplicate proceduri de BI pentru a se identifica eventuale încălcări ale GDPR. Sunt necesare următoarele observații:

GDPR este o plapumă largă care acoperă extrem de multe tipuri de acțiuni

principala „crimă” potențială este prelucrarea fără drept a datelor persoanelor vizate. Este o chestiune de natură juridică sau bazată pe alte informații (existența informării sau a consimțământului) care nu există în log și nu sunt accesibile ADR. Iar dacă toate informațiile sunt disponibile singura instituție abilitată să judece activitatea altei instituții este ANSPDCP, în nici un caz ADR. Este o reinterpretare grosolană a obligației împuternicitului de a anunța operatorul sau chiar autoritatea atunci când apar incidente în activitatea sa prestată pentru operator. Colectarea logului nu este direct generatoare de incidente GDPR.

Mai observăm că prin FSC se înțeleg și operatorii comerciali de cloud, iată unul dintre non-sensurile produse de confuziile de termeni despre care am mai scris.

Nu în ultimul rând avem Art. 42:

(3) Scopul jurnalizării este de a pune la dispoziția cetățeanului sau instituțiilor autorizate, la cerere, istoricul privind acțiunile asupra datelor cu caracter personal găzduite în CPG derulate de o persoană, entitate sau sistem.

Mă simt obligat să remarc Art. 26 (3):

(3) În vederea asigurării securității cibernetice a Platformei de tip API Gateway, ADR colaborează cu Directoratul Național de Securitate Cibernetică și cu SRI.

Este singura sarcină directă pentru DNSC și poate fi explicația excluderii API Gateway din cloud. În mod normal API Gateway ar fi fost infrastructură PaaS în administrarea STS și cu implicare minimă din partea SRI. Dar hei, valorează și camioanele alea de hardware ceva!

Impactul asupra furnizorilor privati de cloud

Există 3 categorii de furnizori de cloud pentru instituțiile publice iar in acest articol vom discuta impactul acestui HG asupra lor. Există două tipuri de consecințe, blocante și schimbătoare de reguli de joc.

Avem active astfel următoarele tipuri de furnizori de cloud:

·      marii furnizori de cloud internaționali (ex. Microsoft, Google). Consistența prezenței lor românești variază semnificativ, se implică la nivel de lobby dar vând exclusiv prin alte firme, de obicei locale.

·      furnizori locali de cloud, de obicei ca linie de business din cadrul unui telecom (ex. Orange) sau, mai nou, ca afacere principală (ex. ClusterPower). Au obiceiul să participe ca asociați în consorții care depun oferte în achizițiile publice. Sunt dispuși să se muleze pe cerințele locale (ex. certificarea data-centerului pentru arhivare electronică sau jocuri de noroc)

·      furnizori locali de SaaS care dezvoltă respectiva aplicație (ex. Regista, ConnectX). De cele mai multe ori folosesc servicii de cloud pe care le cumpără de la celelalte două categorii. Sunt în contact direct și permanent cu administrația publică.

Din perspectiva administrație publice furnizorii de SaaS sunt cei mai importanți. Pe de o parte oferă servicii direct integrate în funcționarea instituției publice iar pe de altă parte aduc expertiza tehnică exact în locul unde poate face cea mai mare diferență. OUG-ul le-a oferit gratis aceleași servicii în cloudul privat guvernamental ca cele pe cere le cumpără de la furnizorii lor actuali sub condiția unui management responsabil al serviciului SaaS. Vor fi prezenți în marketplace cât timp aplicațiile lor vor corespunde criteriilor de calitate din zona de securitate și management date.

În discuțiile anterioare am avut o coliziune cu interesele ADR care nu dorește să fie în competiție cu acești furnizori în cazul aplicațiilor SaaS  dezvoltate de ADR, din cei 100 mil euro și a fost exprimată dorința ca să existe anumite categorii de servicii SaaS interzise ofertanților privați. Această viziune nu se regăsește explicit în HG. Există prevederi care stabilesc criterii pentru acceptarea de către ADR în marketplace legate de securitatea aplicației, respectarea GDPR și transparența furnizorului.

Lipsește un mandat explicit pentru ADR de a negocia această listare contra unor condiții mai bune, inclusiv de natură comercială. Similar unui contract cadru guvernamental.

Lipsește o prevedere explicită care să interzică aranjamente comerciale în afara condițiilor listate în marketplace. Astfel administrația publică este lipsită de beneficiul discountului de volum pe care l-ar obține natural din partea furnizorului. Nu în ultimul rând nu sunt prevenite aranjamente de tipul Mândruțescu / Oracle care distorsionează grav competiția în piața guvernamentală.

Ambele lipsuri își au originea în lipsa de voință din OUG.

În schimb HG-ul nu ezită să creeze în alte zone drepturi noi pentru ADR. Aș fi foarte interesat să văd, dacă există, tabelul de mapare dintre HG și OUG.

Concluzie în privința furnizorilor de SaaS

Raportându-ne la textul OUG putem observa următoarele lipsuri și adăugiri la lege:

• Art.3 (8) din OUG nu este satisfăcut de HG din perspectiva existenței criteriilor și măsurilor cu privire la impunerea adaptării la standarde tehnice și semantice care ar fi trebuit să existe în Art.39 (3) din HG.
• Asigurarea interoperabilității aplicațiilor de cloud cerută de același Art.3 (8) din OUG este abordată doar la nivel de transport date și este deturnată într-un pretext pentru Art.26 din HG care vorbește despre o platformă de tip API Gateway ca infrastructură informatică dedicată, deci în afara CPG. Este o viziune mercantilă, orientată spre mari proiecte tehnice, în locul unei abordări sistemice menită a facilita interoperabilitatea nativă (care nu este numai la nivel de date ci include și servicii PaaS și IaaS interschimbabile), fără prea multe transformări de date sau refaceri de aplicații.
• Conform Art.46 (4) din HG toate instituțiile publice centrale au obligația de a migra către varianta de cloud a aplicației on-prem existente. Achiziția unei aplicații noi ar trebui să aibă ca și condiției de calificare disponibilitatea în cloud 46 (2). Însă oricât de bine sună, forța acestor prevederi este iluzorie întrucât Art. 8 (2) din OUG are un „sau” care permite minimal interconectarea aplicațiilor așadar „cloudificarea” rămâne legată de (bună)voința conducătorului instituției.

Furnizorilor de SaaS găzduiți de Cloudul privat guvernamental li se oferă, în concluzie, o reducere semnificativă de costuri (care ar fi mers către platformele mari de cloud) și li se cere colaborarea în zona securității cibernetice atât pe zona de analiza de risc / proiectare / bune practici în realizarea aplicațiilor cât și în zona operațională cu adresabilitate către factorul uman și zona de helpdesk, ticketing și callcenter. În toate celelalte aspecte nu există prevăzute schimbări legale cu consecințe semnificative. Există însă o zonă de risc, modul în care ADR va înțelege să-și construiască o relație cu această comunitate, dacă pe unii îi va migra direct în cloud iar altora le va pierde câte o hârtie din dosarul cu șină.

 

Concluzie în privința furnizorilor locali de cloud

Din perspectiva activității lor de furnizare SaaS, dacă există, se aplică cele aferente. Altfel, prin flexibilitatea pe care o au, ar putea fi avantajați de aceste prevederi prin preluarea clienților cloudurilor internaționale care nu doresc să meargă în CPG. Spre deosebire de micii furnizori de SaaS aceștia sunt deja obișnuiți cu statutul de „infrastructură critică” fiind deja sprijin pentru activitatea de comunicații și au deci obișnuința dialogului și colaborării cu autoritățile din domeniu.

Concluzie în privința furnizorilor internaționali de cloud

Pentru că în marketplace vor fi listate doar servicii SaaS iar construcția acestor norme se bazează pe o abordare bazată pe această listare, tot ce nu este listabil, adică serviciile IaaS și PaaS, sunt libere, astfel afacerea PaaS, care este esența acestor furnizori, va continua nestingherită. Mai mult, un wrapper peste un serviciu SaaS, să zicem peste Office 365, îl downgradează formal ca fiind PaaS, un aranjament posibil tehnic și comercial cu o firmă românească care să asigure listarea în marketplace.

Lipsa de recursivitate a prevederilor legii pentru toți furnizorii implicați, la fel ca și în cazul legii 5G, va duce la un joc de-a șoarecele și pisica. În aplicarea Art.24 (1) b) este datoria instituției publice să argumenteze că serviciul de cloud comercial este legitim, o abordare nerealistă, chiar ridicolă, care nu atrage responsabilități reale pentru operatorul cloudului.

Elefantul din încăpere pe care îl ignoră toți

Art.16 (2) din OUG este singura prevedere cu adresabilitate directă (call to action) pentru operatorii de cloud comercial. A fost o liniște asurzitoare în legătură cu aceasta pe parcursul discuțiilor despre HG. Este formal corect, aplicarea ei va fi detaliată prin Ordin MCID.

Am scris deja cum ar fi interpretabil acest articol și imposibilitatea furnizorilor internaționali de cloud de a-l satisface ad-literam.

Nu-mi pot opri o digresiune ... cariera politică este decisă de capacitatea de a găsi soluții productive în situații de conflict, atât cu legea cât și între mai multe părți interesate. A satisface conducerea partidului implică, de cele mai multe ori, încă un schelet în dulap. Va fi interesant să vedem în ce măsură dl Burduja va naviga Art.16 (2) cu succes între Scila și Caribda și câți marinari va pierde pe drum.

Următoarea postare, ultima, va fi mai puțin tehnică dar dedicată câtorva intenții greu de explicat celor care dau atenție democrației sau au, ca mine, sechele din perioada comunistă.

Data driven cloud selection - selecția serviciilor de cloud de către instituțiile publice

Securitatea datelor și serviciilor electronice poate fi văzută din două perspective. Cea a instituției publice titulară a datelor și cea a industriei furnizorilor de servicii de cloud. Despre situația încurcată a furnizorilor am scris deja și voi concluziona în postarea următoare, azi focusul va fi pe instituția publică.

Puțină filozofie

Am folosit mai sus expresia „titularul datelor” care poate fi înțeleasă diferit de multe persoane, inclusiv în acest HG la Art.45 există o regretabilă confuzie.

• „titular” înseamnă o persoană căreia i s-a încredințat, de către altcineva, o funcție/sarcină/drept.
• „titularul datelor” este entitatea căreia i s-a acordat dreptul de proprietate/sarcina de administrare a respectivelor date.

O să întrebați cum este cu persoanele fizice și GDPR.

O persoană fizică este, vis-a-vis de datele sale, o „persoană vizată” care are drepturile stabilite de GDPR. Aceste drepturi sunt numeroase dar nu coincid cu dreptul de proprietate. Ele se pot încadra în două mari categorii: dreptul de a fi informat și dreptul de a se opune, în conjunctură cu titularul datelor care este „operator de date” și are inițiativa și decizia în privința prelucrării lor.

Cum ajunge o instituție publică să fie titular de date?

Prin normă legală care reglementează funcționarea instituției. Nivelul acestei norme este un punct de divergență în abordările actuale. Abordarea europeană, prin GDPR și acțiunile ANSPDCP, îmbrățișează normele la nivel de HG și acceptă mărunțișuri la nivel de Ordin. Curtea Constituțională a arătat o viziune prin care doar prin lege se pot împuternicii instituțiile să instituie mari prelucrări de date.

Însă nespecialiștii consideră că datele sunt „ale statului” de unde vin și cererile ca datele să circule fără a mai fi solicitate formal, de la cetățeni sau interinstituțional.

Discuția are și relevanță practică

Cine consideră că datele sunt „ale statului” va ajunge, printr-un raționament logic, să susțină că statul poate împărți responsabilitățile aferente între instituții după cum consideră potrivit. Astfel, în contextul cloudului comercial, cei trei, ADR, STS, SRI, pot și vor fi operatori de date cu decizii independente.

Cine consideră că datele sunt „ale instituției” va susține controlul maximal al respectivei instituții și va ajunge la formula în care ADR este furnizor de servicii de cloud privat iar STS și SRI împuterniciții acestuia.

Se aplică zicala cu prăjitura pe care nu poți să și o mănânci dar să și o ai. Autarhismul instituțional omoară interoperabilitatea și productivitatea.

Să revenim la HG

Pentru că scopul acestei postări este cadrul de management şi stocare a datelor și nu întregul GDPR voi anticipa spunând că instituția utilizatoare de cloud este operator de date, ceilalți sunt împuterniciți, și totul funcționează corect cât timp instituția decide ce i se spune că trebuie să decidă.

Nu este o soluție inovativă, cel mai recent exemplu este Legea 5G în care primul-ministru decide ce-i spune să decidă CSAT. Acest gen de soluție are avantaje certe: pe deoparte răspunde formal solicitărilor publice ca instituțiile să fie operatori de date iar pe de altă parte deciziile propriu-zise nu pot fi atacate în instanță. (vom vedea concret acest lucru cu ocazia procesului Nokia vs gov.ro)

Vicii de formă

Redactarea HG-ului este evident neglijentă. Probabil în urma divergenței cu STS, care aspira la statutul de FSC (furnizor de servicii de cloud) în multe articole apare FSC în loc de ADR însă, prin faptul că tot FSC este și furnizorul de cloud comercial, rezultă un mare număr de nonsensuri. Corect ar fi să avem scris:

• ADR ca „agregator de servicii de cloud” (noțiune definită dar care nu mai apare ulterior în HG) pentru toate prevederile legate de Platforma de Cloud Guvernamental
• ADR ca „furnizor de servicii de cloud” FSC în toate prevederile legate de Cloud Privat Guvernamental
• FSC în toate prevederile legate de cloudurile comerciale
• USCPG (nedefinit) pentru utilizatorii cloudului privat guvernamental și USC pentru utilizatorii cloudului comercial, o diferențiere obligatorie având în vedere diferențele naturale dintre ADR respectiv FSC-ul comercial

În mod normal, în aceste condiții, nu ar trebui emisă o opinie asupra acestui text.

Mă voi concentra totuși asupra :

CAPITOLUL III - Cadrul de management şi stocare a datelor în Platformă, inclusiv stabilirea categoriilor de date prelucrate în Platformă şi găzduite de Cloudul privat guvernamental

Înțeleg că acest capitol este unul dintre cele 7 în 1 HG-uri însă, cu atât mai mult, este vizibilă lipsa de convergență cu alte părți din HG, în special cu Art.17 și CAPITOLUL IV - Planul pentru migrarea și integrarea în CPG.

Să începem cu începutul ..... titlul capitolului.

Care este rostul și impactul menționării CPG ? Sugerează cumva că partea comercială din Platformă poate prelucra date dar acestea pot fi stocate doar în CPG ?

În cuprinsul lui, capitolul este foarte relaxat, conține doar la Art. 29 (2) obligația ca datele către CPG să fie transportate doar pe rețele operate de STS.

USC sunt îndemnate să-și analizeze datele și serviciile, să le catalogheze pe niveluri de risc.

Mai ciudată este prevederea:

Art.31 (2) FSC stabilește criteriile și cerințele minime pentru asigurarea securității și confidențialității datelor prevăzute în fiecare nivel menționat la alin (1).

Practic scrie că furnizorul de cloud, inclusiv cel comercial, stabilește cerințele minime pentru serviciile care vor fi cumpărate de la el. De principiu asta este datoria operatorului nu împuternicitului iar în practică o eroare a sa poate duce fie spre insecuritate fie spre servicii inutil de scumpe. Este relevant de spus că nu este clar momentul acestei decizii, este posibil, din analiza Art.17, să fie după contractarea furnizorului la fel cum pare să sugereze și Art.38 (1).

Iar:

Art.31 (3) Auditul de securitate al FSC stabilește și actualizează o politică și proceduri pentru efectuarea evaluărilor de securitate ale sistemului informatic și ale auditurilor activelor critice, ținând cont de analiza riscurilor actualizată periodic.

este cu atât mai neclar cu cât îl citești mai intens. Cine face menționatul audit ? Furnizorul sau beneficiarul? Care este subiectul auditului? Serviciul furnizorului sau întreaga aplicație de cloud? Se poate interpreta că beneficiarul își ține lista de date și servicii la zi, inclusiv nivelurile de risc asociate, iar furnizorul comercial de cloud are obligația de a audita aplicația de cloud a  instituției publice din perspectiva satisfacerii criteriilor minimale asociate riscului declarat. Mai ales că, conform Art. 10 a), cloudurile comerciale au auditor numai din perspectiva conectării lor cu CPG, iar Art.17 (6) cu privire la contractul dintre FSC și utilizator ne spune că acesta trebuie să conțină și: d. principiile efectuării sau comandării unui audit de către părți asupra modului de implementare a acordului;

Apropo de cele 3 niveluri de risc definite de Art. 31

Nivel 3 - nivel ridicat aplicat în cazul datelor pentru care protecția este stabilită prin lege și pentru care pierderea confidențialității, integrității sau disponibilității datelor sau a aplicațiilor are un impact negativ semnificativ asupra activității, imaginii și siguranței autorităților și instituțiilor publice.

În această definiție se încadrează cu brio orice dată personală însă Art.13 (3) d) din OUG permite explicit prelucrarea datelor personale în cloudul comercial. În discuțiile anterioare, în grupul de lucru de la MCID, s-a înțeles că aceste niveluri sunt baza alegerii tipului de cloud: comercial sau privat. În aceste condiții îmi este foarte greu să-mi imaginez care sunt datele care pot sta doar în CPG și cum vom reuși să avem un ROI pentru cei 500 mil euro.

Aparent instituțiile publice au deplină libertate să aleagă ce cloud poftesc !

Insă ...

Art.17 (4) În vederea contractării unui serviciu de cloud din cadrul Platformei, furnizat de un FSC public sau privat, USC se adresează ADR și stabilește cu acesta, în baza unei analize de business prealabile, tipul de serviciu cloud pe care USC poate să-l contracteze, precum și FSC selectat din marketplace.

Iar dacă este vorba de migrare, ADR ia toate deciziile conform Cap. IV.

Aici ar fi două observații de făcut:

1. migrare în cloud înseamnă, pentru mine, un serviciu deja digital. Un serviciu pe hârtie este transformat și, prin urmare, s-ar putea ca întreg capitolul să nu i se aplice.
2. întreg Capitolul IV se referă la migrarea în CPG. Ce se întâmplă în cazul voinței de a migra în cloudul comercial ? Mai există sprijin din partea ADR, inclusiv din cele 100 mil euro ?

Mai există și Capitolul V – criterii pentru aplicații „SaaS găzduite în Platformă, prin intermediul unui marketplace” însă acesta nu este de mare ajutor pentru aplicațiile bazate pe IaaS sau PaaS , pentru aceste servicii, datorită  Art.3 (8) din OUG, neexistând în marketplace, este greu de înțeles cum s-ar aplica Art.17 (4).

Concluzie

Aparent instituțiile publice au cea mai mare libertate în alegerea serviciilor de cloud. S-a dorit atât de multă libertate încât s-a omis, spre exemplu, din HG menționarea obligației din OUG de a folosi numai servicii certificate.

Voit sau din vicii de redactare, se echivalează pe alocuri atribuțiile ADR ca furnizor de cloud privat guvernamental cu obligațiile contractuale ale oricărui furnizor comercial. O consecință este excedarea contractelor actuale tip specifice cloudul comercial. Încep să cred că dintre marii furnizori internaționali doar unul va rămâne în cărți, și cu două DC în România.

Complexitatea sarcinii puse pe umerii instituțiilor publice doritoare de cloud este nejustificat de mare. Nu va stimula deloc dezvoltarea acestora în cloud în schimb s-ar putea să înflorească firme de consultanță capabile să ofere soluția câștigătoare, în competiție cu ADR și STS.

Mâine discutăm situația (micilor) furnizori de cloud în relația cu această legislație.