Afirmatia din titlu este preluata din expunerea de motive a OUG nr. 89/27.06.2022 privind infiintarea, administrarea si dezvoltarea infrastructurilor si serviciilor informatice de tip cloud utilizate de autoritatile si institutiile publice, aprobata prin Legea nr. 180/2023 (publicata in M. Of. nr. 580/27.07.2023).

Utilizarea in cuprinsul unui act normativ emis pe timp de pace a unor termeni care implica violenta tradeaza un anumit paroxism al agendei. Conceptul de revolutie digitala globala invocat aici este parte a celei de a patra revolutii industriale[1], teoretizate si promovate frenetic de Klaus Martin Schwab, fondatorul Forumului Economoc Mondial (WEF)[2].

 Pe o cale mediata de institutiile politice europene si de lobby-ul Bigh Tech caravana revolutiei digitale a sosit si in Romania. Articolul de fata prezinta un scurt istoric relevant al internetului si recenzeaza actul normativ romanesc cu privire la cloud-ul guvernamental.

INTERNET

Pus la dispozitia publicului in anul 1983 prin partajarea de catre Departamentul Apararii din SUA a propriului sistem intern de computere interconectate, internetul a devenit in prezent un mediu utilizat de majoritatea locuitorilor de pe Terra.

Potrivit statisticilor in octombrie 2023 existau 5,3 miliarde de utilizatori de internet in intreaga lume, adica 65,7% din populatia globului. Din acest total, 4,95 miliarde, adica 61,4% din populatia lumii, erau utilizatori ai retelelor sociale[3].

Initial, pornind de la structura sa de retea orizontala, descentralizata (sau mai exact necentralizata) s-a discutat cu entuziasm si nu fara temei despre internet ca expresie a libertatii si egalitatii. O intreaga filosofie.

Odata cu apropierea noului mileniu, lumea online avea sa devina tot mai centralizata si mai consolidata , deoarece atat guvernele cat si companiile si-au accelerat incercarile de a interveni in ceea ce fusese dintotdeauna o relatie fundamentala intre egali. Totusi pentru o scurta si minunata perioada (...) internetul a fost in majoritate creat de oameni si pentru oameni. Scopul sau a fost de a ilumina, nu de a monetiza si era administrat mai degraba de un set provizoriu de norme colective ce sufereau mutatii permanente, decat de termenii de utilizare a seviciilor, abuzivi si global aplicabili.[4]

In 2013, Edward Snowden, fost ofiter in cadrul Agentiei Centrale de Informatii din SUA (CIA) si subantreprenor al Agentiei Nationale de Securitate din SUA (NSA), a dezvaluit documente care atestau existenta unui sistem de supraveghere in masa prin care NSA supraveghea orice barbat, femeie sau copil care a pus vreodata mana pe un computer sau pe un telefon.[5] Au fost devoalate, in principal, informatii cu privire la existenta a doua programe.

PRISM: un program de extragere a datelor care oferea NSA, Biroului Federal de Investigatii din SUA (FBI) si Government Communications Headquarters – echivalentul NSA al Marii Britanii, acces direct la serverele unor giganti ai internetului precum Google, Facebook , Microsoft, Apple si

XKEYSCORE: o interfata care iti permite sa tastezi adresa aproape oricarei persoane, numarul de telefon sau adresa IP si efectiv sa rasfoiesti istoria recenta a activitatii sale online. In unele cazuri puteai chiar sa redai inregistrari ale sesiunilor lor online, in asa fel incat ecranul la care te uiti era ecranul lor, indiferent ce se afla pe desktopul lor. Le puteai citi e-mailurile, istoricul browserului, istoricul cautarilor, postarile de pe social media, totul.[6]

Tot Snowden,  care a fost si profesor de criptare, a devoalat un alt element care rastoarna intelesul notiunii de protectie a datelor: functia „delete” nu exista.

In mod normal, cand apesi Sterge pentru unul dintre fisierele tale, datele lui care au fost stocate undeva departe pe un disk - nu sunt cu adevarat atinse. Sistemele moderne de operare eficiente nu sunt concepute ca sa ajunga pana la maruntaiele unui disk numai pentru simplul scop de a sterge. In schimb, numai harta computerului care arata unde este stocat fiecare fisier-o harta denumita „file table”- este rescrisa pentru a spune: „Nu mai folosesc acest spatiu pentru nimic important.” Asta inseamna ca, la fel ca o carte neglijata dintr-o biblioteca uriasa, presupusul fisier sters poate fi in continuare citit de oricine il cauta suficient de mult. Daca stergeti doar referinta, cartea in sine se pastreaza.[7]

Existenta programului de supraveghere in masa este incontestabila. Snowden a dat publicitatii, prin intermediul The Guardian si apoi The Washington Post, mii de documente cu caracter secret. Pentru aceste scurgeri de informatii secrete (NSA leaks) Snowden a fost acuzat de spionaj si de furt din avutul public. El isi revendica statutul de whistleblower, care este protejat de lege.

In 2018, Shoshana Zuboff, profesor emerit la Harvard Business School, a lansat, ca urmare a observatiilor sale asupra comportamentului marilor jucatori de pe piata internetului (Google, Facebook si altii), conceptul de capitalism de supraveghere, definit ca o rasturnare de facto a suveranitatii popoarelor din democratiile liberale occidentale printr-o lovitura de stat epistemica.

In esenta, este vorba despre faptul ca intr-o societate informationala cel care detine informatia asupra decidentului si asupra deciziei si controleaza distributia cunostintelor detine practic puterea, fara a fi ales in mod democratic. Legislatia GDPR ofera o protectie insuficienta pentru ca se refera doar la informatiile vehiculate in plan public, nu si la planul din umbra (shadow plan), care constituie baza capitalismului de supraveghere[8].

De la predictia comportamentului uman in scopul obtinerii de profit economic  se ajunge la influentare si manipulare, nu doar in online, ci si in offline, inclusiv in scop politic. De exemplu, in scandalul Cambridge Analytica s-a relevat ca Facebook a pus la dispozitia Cambridge Analytica datele personale a aproximativ 87 de milioane de utilizatori, fara consimtamantul acestora, pentru crearea de profiluri psihologice care au fost folosite in scopul manipularii votului.[9]

Din dezvaluirile si analizele celor doi autori mentionati se desprind doua concluzii importante.

1. Sunt utilizate neautorizat atat metadatele (asa-zisele date reziduale sau date despre date: marimea fisierului, data crearii, frecventa accesarii, data celei mai recente modificari, formatul fisierului, dimensiunile fotografiei digitale, durata piesei muzicale si multe altele) cat si a datele propriu-zise (istoricul browser-ului, istoricul cautarilor, e-mailurile, postarile de pe social media, filme fotografii). Adica tot.

2. Exista o simbioza perfecta intre gigantii tehnologici globali si instrumentele secrete ale puterii (serviciile de informatii).

 Nu am mentionat niciun caz de hacking de date sau orice situatie in care un tert rau intentionat sparge, distruge, transfera sau foloseste in mod neautorizat baze de date si documente personale ale utilizatorilor. Aceasta pentru ca astfel de situatii, desi foarte numeroase, nu sunt generate de companii sau servicii de informatii, care se bucura de statutul oficial de parteneri de incredere in societatile democratice utilizatoare de internet.

Din motive de spatiu am ales trecerea in revista  doar a acestor intamplari relevante pentru a retine ca  cyberspace-ul este locul de joaca preferat al actorilor Big Tech. Prin produsele lor cu raspandire globala si prin parteneriate public-privat, acestia, dobandesc in ochii utilizatorilor un statut de oficialitate care genereaza un capital de incredere amagitor.

In mentalul colectiv este injectat un soi de fatalism al tehnologiei: dezvoltarea acesteia este invers proportionala cu respectarea drepturilor si libertatilor. Inevitabilism, cum a fost numit de prof. Shoshana Zuboff.[10]

CLOUD

Daca aruncam o privire asupra infrastructurii lumii virtuale observam trei etape de stocare de date si executare a aplicatiilor:

I. pe statia de lucru proprie (mainframes);

II. de catre un client-server, care distibuie sarcini intre furnizorii de resurse sau servicii (server) si solicitantii acestora (clienti);

III. in cloud.

Cloud computing-ul reprezinta un ansamblu distribuit de servicii de calcul, aplicatii, acces la informatii si stocare de date, fara ca utilizatorul sa cunoasca amplasarea si configuratia fizica a sistemelor care furnizeaza aceste servicii. Cloud-ul ofera tot: software, platforma, retea si infrastructura.

Etapele I si II sunt reflexe ale epocii in care internetul era o expresie a libertatii si egalitatii. In prezent, spatiul virtual se afla in tranzitie spre etapa a III-a, insa, exista ramasite importante din etapa a II-a. In special in zona autoritatilor si serviciilor publice.

Tranzitia spre cloud presupune urmatoarea realitate tehnologica: in vreme ce hardware-ul calculatoarelor moderne este tot mai performant, software-ul devine tot mai restrictiv, directionand utilizatorul catre cloud.

Migrarea in cloud creste scalabilitatea, viteza de calcul si capacitatea de stocare, insa creste riscurile de securitate, restrange libertatea utilizatorului si scade capacitatea sa de control asupra datelor proprii. Acesta nu cunoaste nici macar in ce tara sau in ce tari se afla serverele care ii gazduiesc datele. Este practicata mutarea fizica a serverelor oriunde pe glob, in zonele in care energia electrica este mai ieftina. Simpla determinare a competentei teritoriale in cazul unui litigiu devine o probatio diabolica.

Dar cele mai importante consecinte ale migrarii in cloud sunt centralizarea internetului (exprimat prin eufemismul integrare; sisteme integrate; baze de date integrate etc) si luarea in stapanire a intregului activ de date si servicii digitale de catre detinatorii cloud-urilor. Are loc o intoarcere cu 180 de grade: de la libertate si egalitate la supunere si inegalitate.

In numele eficientei are loc literalmente o revolutie din care rezulta doua categorii de actori ai cyberspace-ului: detinatorii cloud-urilor si restul lumii. Adica utilizatorii, care, volens nolens, devin clientii acestor megamall-uri digitale ale stapanilor internetului.

Dar cine sunt detinatorii cloud-urilor? Daca piata pre-cloud a fost monopolizata de cativa giganti tehnologici ar fi naiv sa credem ca situatia difera in era cloud computing-ului.

Primele trei locuri, cu o cota totala de piata de 66%, sunt ocupate in ordine de catre: Amazon Web Services (AWS) - 34%, Microsoft Azure - 21% si Google Cloud Platform (GCP) - 11%, urmate de alti giganti cum ar fi: Alibaba, IBM, Oracle, Huawei.[11]

Lobby-ul tehnologic este foarte puternic si din perspectiva europeana, are ca scop influentarea politicii digitale a UE si a statelor membre.

Suma investita de companiile de tehnologie pentru lobby in Europa a crescut la 113 milioane de euro pe an, potrivit datelor actualizate la 10 octombrie 2023 de ONG-urile Corporate Europe Observatory (CEO) si LobbyControl.[12]

Amazon si-a extins masiv reteaua de lobby in Europa. Compania si-a sporit in special afilierile cu think tank-urile si a investit in campanii de relatii publice. De asemenea, are capacitate de influenta la nivelul statelor membre. Este ingrijorator sa vedem monopolul tehnologic crescand in continuare puterea de foc a lobby-ului in UE a aratat la 24.11.2023 Max Bank, militant pentru ONG-ul LobbyControl, asociatie non-profit care ofera informatii despre structurile puterii si strategiile de influenta in Germania si UE.[13]

In concluzie, in afara de monotonia utilizarii cotidiene, internetul s-a dovedit a fi un spatiu riscant, care a fost folosit si scopuri ascunse: economice, politice si de putere. In prezent acesta se afla intr-un proces de centralizare si transmitere in sfera de stapanire a marilor companii de tehnologie.

NORUL NOSTRU

OUG nr. 89/27.06.2022 privind infiintarea, administrarea si dezvoltarea infrastructurilor si serviciilor informatice de tip cloud utilizate de autoritatile si institutiile publice, aprobata prin Legea nr. 180/2023 (publicata in M. Of. nr. 580/27.07.2023) reglementeaza regimul juridic general privind infiintarea, administrarea si dezvoltarea, la nivel national, a unei infrastructuri de tip cloud hibrid, platforma de cloud guvernamental denumita Platforma (art. 1 al 1). Aceasta Platforma cuprinde cloud-ul privat guvernamental (cap. I-III) si alte infrastructuri de tip cloud (cap. IV).

Astfel cum rezulta chiar din titlul ordonantei este vorba despre cloud-ul utilizat de autoritatile si institutiile publice din Romania. Notiunea de cloud hibrid este definita la art. 2 lit. g cu referire la art. 2 lit. e si f din ordonanta ca fiind o combinatie de cloud public (in care serviciile sunt disponibile oricarui client, iar resursele sunt controlate de furnizorul de servicii cloud) si cloud privat (in care serviciile sunt folosite de un singur client, iar resursele sunt controlate de acel client).

Sistemul este complex si costisitor. Implica multe responsabilitati repartizate multor institutii (Ministerul Cercetarii, Inovarii si Digitalizarii, Autoritatea pentru Digitalizarea Romaniei, STS, SRI).

Adoptarea tehnologiei cloud este considerata atat de imperioasa incat este instituit un principiu: cloud first, care impune luarea in considerare a cloud-ului inaintea tuturor celorlalte tehnologii, fie ca este un proiect nou care implica solutii informatice si de comunicatii sau o actualizare tehnologica a unui sistem informatic existent (art. 2 lit. d din OUG nr. 89/2022).

Toate serviciile publice vor fi gazduite si vor opera in acest cloud, cu exceptia sistemelor informatice ale autoritatilor publice din domeniul apararii, ordinii publice si securitatii nationale si a celor ale autoritatilor publice prevazute in Constitutie in titlul III, capitolele I (Presedintele), II (Parlamentul) si VI (Autoritatea judecatoreasca).

Aceasta exceptie comporta doua exceptii. Adica, se supun regulii sistemele care asigura servicii publice electronice, care se vor interconecta cu cloud-ul privat guvernamental si sistemele informatice pentru care autoritatile respective doresc in mod expres sa utilizeze resursele si serviciile acestuia (art. 1 al 12 din OUG nr. 89/2022).

Din nou: toate institutiile publice migreaza in cloud.

- Dar cine este proprietarul cloud-ului?

- Oricine!

In mod surprinzator legea nu prevede obligatia ca statul sa fie proprietarul exclusiv al cloud-ului privat guvernamental.

 Din prevederile art. 10 al 1-5 ale OUG nr. 89/2022 rezulta ca oricare dintre componentele cloud-ului (infrastructura, softul, softul aferent migrarii, componentele de securitate cibernetica) sau toate acestea se pot afla in proprietatea unei companii straine, caz in care aceasta ar detine, nu numai de facto dar si de jure, controlul asupra tuturor datelor si serviciilor publice din Romania.

Potrivit art. 10 al 5 din ordonanta in situatia in care achizitionarea (de catre stat - n.n) a drepturilor de proprietate (asupra cloud-ului - n.n.) nu este posibila, se asigura cel putin achizitionarea drepturilor de utilizare.

Adica, daca statul roman nu va putea, din orice motive, sa devina proprietar i se va asigura ravnitul statut de chirias sau client. Chiriasul plateste chirie, clientul plateste pret si taxe. Cum sa plateasca statul roman pentru propriile date si servicii? In aceasta situatie legala denumirea de cloud privat guvernamental (in sensul ca s-ar afla in proprietatea privata a statului) nu are nicio acoperire reala. Ipoteza este (si) comica: cloud-ul de stat este privat.

In plus, din dispozitiile art. 13 al 1 si 14 al 2 ale OUG nr. 89/2022, rezulta ca autoritatile si institutiile publice pot utiliza servicii de tip cloud furnizate de entitati private, respectiv ca centrele de date pot gazdui servicii de tip cloud in acord cu nevoile de dezvoltare ale investitorilor in astfel de infrastructuri informatice.

In concluzie legea nu ofera nici garantii de securitate a datelor si serviciilor, nici de reducere a cheltuielilor operationale pentru procesare si stocare. Din contra, creeaza premisele exploatarii statului, atat financiar cat si strategic, de catre companii de tehnologie a caror putere rivalizeaza cu statul. In treacat fie spus, in anul 2022 profitul net al Amazon a fost aproximativ egal cu PIB-ul Romaniei.

Legiuitorul trateaza Romania nu ca pe un stat suveran ci ca pe o subsidiara de corporatie de mana a doua. Din lumea a treia. Aceasta abordare genereaza ingrijorare cu privire la securitatea si confidentialitatea informatiilor sensibile referitoare la 19 milioane de cetateni romani. Avand in vedere configuratia pietei digitale globale, chiar daca reglementarea ar fi prevazut ca unicul proprietar al intregii platforme este statul situatia ar fi fost riscanta. Inexistenta unei atare prevederi creste exponential gradul de risc.