De la CIA la CNP sau cum securitatea informațiilor este de multe ori o formă fără fond

Bătălia dusă cu ocazia referendumului pentru destituirea președintelui țării mi-a dat ocazia să identific un exemplu cât se poate de real pentru „securitatea informaţiilor”. Real, banal, dar cu implicaţii importante. Cu atât mai mult cu cât în ultimii 10 ani în România s-au cheltuit peste 100 sute de milioane de euro cu „informatizarea” (sau miliarde – Sursa) şi cu toate acestea multe din informaţiile instituţiilor publice nu sunt „la un click distanţă”.

CIA – Confidenţialitate, Integritate, Disponibilitate sunt atributele, calităţile pe care ar trebui să le îndeplinească orice sistem de securitate a informaţiilor! A informaţiilor…..

Pe la începutul lui 2011 scriam cu ironie nedisimulată despre „strategia de securitate cibernetică”. MCSI pierdea timpul şi cu „standarde de calitate şi cost pentru sistemele achiziţionate din fonduri publice”…..De la baconianul „Knowledge is power” pînă la contemporanul „Information at your fingertips” s-a scurs ceva vreme, dar constat că la noi schimbarea se face foarte greu.

ORDONANŢĂ DE URGENŢĂ Nr. 97/2005, republicată:

„Art. 1 – Prezenta ordonanţă de urgenţă constituie cadrul care reglementează evidenţa, domiciliul, reşedinţa şi actele de identitate ale cetăţenilor români, prin care se asigură realizarea raporturilor juridice dintre persoanele fizice, juridice şi instituţiile statului de drept.

Art. 2 – (1) Evidenţa cetăţenilor români reprezintă un sistem naţional de înregistrare şi actualizare a datelor cu caracter personal ale acestora, necesar cunoaşterii populaţiei, mişcării acesteia şi comunicării de date, în interesul cetăţenilor, al statului şi al instituţiilor publice.”

Art. 6 – (1) Codul numeric personal, denumit în continuare C.N.P., reprezintă un număr semnificativ ce individualizează o persoană fizică şi constituie singurul identificator pentru toate sistemele informatice care prelucrează date cu caracter personal privind persoana fizică.

Art. 8 – Începând cu data de 1 iulie 2010, componentele informatice ale R.N.E.P. se organizează pe un singur nivel, nivelul central. Începând cu această dată, serviciile publice comunitare locale de evidenţă a persoanelor vor efectua activităţile de actualizare şi verificare direct pe componenta informatică constituită la nivel central.

Dacă după 2 ani de zile nu se poate afla „printr-un click”  o informaţie despre statutul unui cetăţean înseamnă că din punct de vedere al securităţii informaţiilor avem o mare problemă. Poate „strategiile de securitate” ar trebuie să pornească de la lucrurile simple cu efect multiplicator…..Poate astfel de lucruri ar trebui să fie mai importante decât „marcarea temporală a facturilor”. Poate. E posibil să greşesc…..

Citind această Ordonanţă dar şi altele constatăm că „Sancţiunile” îi vizează doar pe „ceilalţi”…de multe ori prin „contravenţii”. Executantul, „însărcinatul” cu punerea în practică a prevederilor….intră la categoria ” după caz, răspundere civilă, materială, disciplinară, contravenţională sau penală”.

ISO 27001, 9001, COBIT, raport de audit….sunt în cele mai multe cazuri forme fără fond, hârtii lipsite de valoare. Cartoane colorate pe pereții instituțiilor publice…..

Oare vom ajunge să aflăm astfel de informații în timp real? În USA este vorba de un …click

4 gânduri despre “De la CIA la CNP sau cum securitatea informațiilor este de multe ori o formă fără fond

  1. Sunt de aceasi parere.

    Problema este ca democratia – fara participarea activa a individului si organizatiilor care au un cuvant de spus: replica, atitudine, etc. – nu functioneaza decat pe hartie. Cauza este lipsa controlului, care intr-o democratie trebuie mereu exercitat de jos in sus. Singurul control este inca exercitat doar de catre presa, desi este si acesta un pas inainte.

    In cazul de fata, persoanele sau societatile private in domeniu – ar fi trebuit sa ia de mult atitudine si expresie – asa cum dvs. o luati acum pe blogul personal. Dar cat timp la nivel de persoana, familie, organizatie privata nu exista interes (activ) ca lucrurile sa se imbunatateasca in sistem, nu are cum sa existe nici la nivelul conducerii publice (interes insemnand accesarea parghiilor democratice existente). Rezultatul la noi ? Legi pentru imagine si forme doar, fondul fiind de fapt dezastruos si avand ca scop perpetuarea functionarii neperformante a statului, in scopul pastrarii parghiilor bazate pe necinste si ineficienta.

    O (auto-) educatie a fiecaruia in sensul dezvoltarii spiritului de comunitate – prin care sa constientizam ca doar implicandu-ne si pasandu-ne activ de cei de langa noi la nivel personal, de cei de care raspundem la nivel de organizatii private si uzand de mecanismele luarii de pozitie fata de conducerea statului la nivel public – este cu siguranta unul din lucrurile care ne lipsesc cel mai mult, atat la nivel personal, cat si la nivel de natiune.

    Sumarizand cazul de fata, eu am identificat doua probleme majore:

    1) Neimplementarea sistemului informatic national centralizat de evidenta a populatiei.
    Motivatia oficiala a guvernantilor: nu sunt bani. Ma oripilez deja cand aud acest raspuns. Sunt bani publici mereu pentru alte lucruri de ne-interes national ci doar de interes personal si de clan – iar pentru lucruri utile si de interes public-national nu se gasesc niciodata.

    2) Neacordarea legislatiei si a procedurilor de evidenta a populatiei la noua functionare in regim comunitar-UE si nu numai: retragerea de fapt si de drept resedintei din tara de indata ce se stabileste ca o persoana are resedinta in alta tara. Aceasta este o directiva europeana. Cum se poate implementa acest lucru ? Cu siguranta in mai multe feluri.

    In orice caz, din moment ce se promoveaza doar incompetenta la nivel de conducere si administratie publica locala si nationala, in favoarea exclusiv a nepotismelor si a intereselor de clan – este imposibil de gasit solutii optime pentru problemele inerente de zi de zi. Cauza ? Cum ziceam mai sus: noi toti si in special elitele (profesionale si intelectuale) care nu iau atitudine activa (si nu doar pasiva).

    Apreciază

  2. Multumesc pentru comentariu. Nu am dorit tenta politica ci una, sa ii spun „tehnica”.

    Vin cu o completare. In intelegerea mea, Art. 6 inseamna ca, la orice institutie publica m-as duce ar trebuie sa imi comunic doar CNP-ul. Surprinzator sau nu, pentru plata impozitului pe locuinta, sunt „cautat” si „gasit” dupa ” nume, prenume si adresa”. Sistemul nu stie sa faca interogari dupa CNP. In contradictie, sau mai degraba in ciuda legii.

    Ceea ce ma intristeaza este tocmai risipa financiara enorma si lipsa de functionalitate/integrare a sistemelor informatice publice.

    Apreciază

    • Apreciez informatiile si analiza dvs, mi-ati declansat impartasirea unor ganduri pe care le nutresc de ceva timp.

      De la problema tehnica am pornit si eu, dar se pare ca solutiile sunt mai departe de spiritul tehnic si intr-o mare masura necesita la plecare doar un bun simt absolut necesar, dar care trebuie pus si in practica, pentru a nu ramane la teorie doar.

      Am ramas de curand surprins de drumurile la ghiseele diverselor institutii pe care a trebuit sa le fac, in urma schimbarii adresei de domiciliu, pentru preschimbarea actelor: buletin, permis de conducere si talon auto. A fost nevoie sa stau la mai multe ghisee la rand inclusiv in cadrul aceleiasi institutii pentru acest lucru.
      Cand de fapt – mi s-a schimbat doar adresa de domiciliu – si dpv tehnic ar fi trebuit sa fie necesara o singura actualizare, a unei singure baze de date, accesarea personala din partea mea a unei singure institutii, la un singur ghiseu, si preschimbarea doar a unui singur act, cel de identitate – urmand ca celelalte institutii interesate apoi sa faca doar referire la „registrul evidentei populatiei” – sau daca chiar doresc sa mentina si ei campul de adresa-domiciuliu si sa emita acte noi, sa ti le trimita acasa, sau la ghiseul unic al institutiei unice accesate initial.

      Au implementat de curand sistemul informatic de sanatate cu mare tam-tam, cheltuieli enorme si probleme diferite de implementare. Inca un card, inca un act. De ce nu se poate face un singur act-card (inclusiv cu cip), care sa contina toate informatiile necesare pentru: evidenta populatiei, permis de conducere, informatii necesare sistemului de sanatate, informatii necesare sistemului social, informatii necesare altor sisteme publice (sistemul de vot inclusiv). Ar insemna sa fie tiparite pe card (si inmagazinate in cip) doar informatiile minime necesare pentru identificarea in fiecare sistem, sau cele de urgenta (sau simplificand exagerat, doar CNP-ul !), urmand ca restul detaliilor sa fie regasite in bazele de date ale respectivelor institutii.
      Nu ar insemna altceva decat o optimizare a sistemelor actuale, multe din ele chiar inexistente la aceasta ora.

      Problema este ca, cauzele neimplementarilor eficiente sunt „politice”, de fapt trans-politice si nu au nici o legatura cu politica: lipsa bunului simt necesar pentru a trai intr-o societate, dar si pentru a o guverna: ingreunarea si ineficientizarea sistemelor in scopul unic al folosirii relatiilor dosnice si a comisioanelor necuvenite, inclusiv manipulari si denaturari informationale, uneori chiar foarte intentionate. Toti dam vina pe sistem, dar de fapt noi cu totii suntem cei care il intretinem, de multe ori chiar si numai prin pasivitate.

      Eu unul m-am intristat mult sa concluzionez aceste cauze morale cu aspecte atat sociale cat si politice, care se rasfrang apoi pe partea economica cum nu se poate mai bine.

      Apreciază

  3. Nu am cum sa nu va dau dreptate. IT-ul simplifica viata. Din nefericire in cazul institutiilor publice din Romania o complica. Raul isi are radacina in „politica” dar este urmat indeaproape de lipsa de profesionalism a celor insarcinati cu „executia” si ulterior cu „controlul” si „informarea”.

    Revenind la CI, ultimele doua rinduri de pe orice carte de identitate reprezinta coduri capabile a fi recunoscute optic de dispozitive dedicate. Ca la verificarea pasaportului. Ar fi relativ simplu ca o multime de sisteme sa functioneze doar prin simpla „scanare”/citire a acelui cod. Inclusiv cind votam🙂.

    Este necesar insa ca „cineva” sa gindeasca si sa proiecteze, conceptual, un „sistem integrat”. Sa inteleaga cum „se leaga” lucrurile intre ele. Sa inteleaga „procesele” si ce implica optimizarea acestora.

    Este hilar ca suntem nevoiti sa dovedim unor institutii ale statului, prin documente, lucruri/stari/fapte/calitati ale caror originatori sunt tot institutiile statului! Este trist ca mai trebuie sa si consumam bani si timp pentru a dovedi astfel de lucruri…..

    Cauzele sunt morale si nu exista un singur vinovat

    Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s