marți, 6 septembrie 2022

Cliffhanger la Senat pe OUG cloud

A început nouă sesiune parlamentară cu o provocare interesantă ... Legea 428 de aprobare a OUG Cloud Guvernamental. În special Comisia de Apărare a Senatului va avea o primă analiză mâine - cartoful este mare, fierbinte și chiar ironic pentru noi, observatorii din exterior.

Administrația SUA, prin Memorandumul 5G semnat cu România, a reușit să-și excludă marile companii americane de cloud dintre furnizorii administrației publice românești.

Să o luăm metodic.

În aplicarea memorandumului a fost adoptată, cu multe zbateri, Legea 163/2021 „privind adoptarea unor măsuri referitoare la infrastructuri informatice și de comunicații de interes național și condițiile implementării rețelelor 5G”. Deși scrie clar în titlu lumea a rămas doar cu ideea aplicării ei în rețelele operatorilor 5G. În realitate se aplică egal și pentru:

d) infrastructura informatică și de comunicații de interes național - infrastructura informatică și de comunicații esențială pentru menținerea funcțiilor vitale ale societății, a sănătății, siguranței, securității, bunăstării sociale ori economice a persoanelor și a cărei perturbare sau distrugere are un impact semnificativ la nivel național ca urmare a incapacității de a menține respectivele funcții;

cu observația că pentru această zonă nu există sancțiuni în cazul neaplicării ei. (Pentru operatorii de comunicații ANCOM poate amenda cu 1%-5% din cifra de afaceri.)


Aplicarea legii înseamnă că respectiva infrastructură informatică poate conține doar echipamente produse de producători de pe lista aprobată de CSAT. Așa cum este scrisă legea, intră la echipamente și cele de HVAC, ba chiar și simple rack-uri metalice (a fost o discuție cu ANCOM despre autorizarea producătorilor de antene pasive).

Încă din Februarie, când au demarat consultarea pieței, STS și SRI au anunțat că ce vor cumpăra se va supune acestei legi – vor fi acceptați doar producători autorizați. Nimic deosebit până aici.

Ajungem la celebra dezbatere publică din Iunie în urmă căreia, peste noapte, textul OUG-ului a fost schimbat substanțial. O parte dintre schimbări a fost generată de insistența mediului privat, a marilor furnizori de cloud, ca utilizarea cloudului comercial de către instituțiile publice să fie acoperită de OUG pentru a da credibilitate acestor servicii. Așa că s-a abordat și certificarea de securitate a acestora și a apărut:

Art.16 (2) Procedurile de certificare a securității serviciilor de tip cloud public pentru utilizare de către autoritățile publice se stabilesc prin ordin al ministrului cercetării, inovării și digitalizării, cu consultarea prealabilă a SRI și a Directoratului Național de Securitate Cibernetică, denumit în continuare DNSC, cu respectarea prevederilor Legii nr.  163/2021.

Adică un furnizor de cloud care vinde către o autoritate publică trebuie să prezinte o listă cu toți producătorii echipamentelor utilizate iar toți de pe această listă trebuie să fi fost autorizați anterior de România. Îmi este teribil de greu să cred că Microsoft, Google sau Amazon vor face asta. Nici măcar nu ar avea perioada de tranziție de 7 ani pe care o au cei din telecom.

Să recapitulăm:

Art.16 (2) din OUG nu face decât să afirme că autoritățile publice sunt esențiale pentru societate iar blocarea activității lor ar avea un impact semnificativ. Nu este singura afirmație în acest sens, și directiva NIS2 le dă aceeași importanță.

Dacă nu ar exista Art.16, nici viitoarea transpunere a NIS2, atunci o autoritate publică s-ar putea declara ne-esențială și lipsită de semnificație și ar putea utiliza cloud comercial internațional – cumva îmi vine greu să cred asta.

Cloudul comercial internațional nu cred că poate, sau vrea, să se certifice după cerințele legii românești.

Companii de cloud românești ar putea să o facă, lista producătorilor autorizați se va extinde stimulată fiind de achizițiile STS și SRI.

Autoritățile românești care vor continua să consume cloudurile internaționale sunt și mai clar în ilegalitate, dar încă nu există sancțiuni specifice.


Revenind la sesiunea parlamentară.


În infantilismul meu mă așteptam ca acest subiect să producă lupte la baionetă în cadrul excelentelor consultări publice desfășurate pentru normele de aplicare ale OUG-ului. Nu a fost așa, l-au ocolit toți, inclusiv furnizorii de cloud.

Desigur că acestor companii le-ar fi foarte greu să declare ideea autorizării producătorilor de echipamente ca fiind abuzivă cât timp vine de peste ocean, de la ei de acasă.

Desigur că autorităților le-ar fi greu să-i favorizeze cât timp au agresat deja operatorii mobili – cu o cifră de afaceri mult mai mare în România.

Singura soluție îmi pare a fi un amendament de la vreun „parlamentar izolat”. Ar trebui să fie la Senat, care este prima cameră. Poate o lungă perioadă de tranziție.

Să vedem, mai cred și că Comisia Europeană ne privește cu interes, curioasă să vadă dacă favorizăm companiile americane după ce am sugrumat operatorii europeni.

Sau poate nimic nu a fost întâmplător, nici greșit, nici lipsit de viziune și vom extinde această extraordinar de scumpă abordare și către cloudurile comerciale. Singura diferență este că, de această dată, impactul va fi substanțial nu numai pe costuri ci și pe experiența de utilizare.

Niciun comentariu:

Trimiteți un comentariu