Serviciul Român de Informații (SRI) a lansat o licitație estimată la 149,4 milioane de lei, fără TVA, pentru achiziționarea unei soluții de securitate cibernetică în vederea implementării proiectului "Implementarea infrastructurii de cloud guvernamental". Beneficiarul achiziției va fi Centrul Național Cyberint.
"Unitatea Militară 0929 București (SRI - n.r.) este partener în cadrul proiectului Implementarea infrastructurii de cloud guvernamental, finanțat în baza contractului nr. 3131/30.06.2022, prin Planul Național de Redresare și Reziliență (...). Proiectul vizează realizarea infrastructurii cloudului guvernamental, folosind tehnologii de ultimă generație, cu un înalt grad de securitate cibernetică, eficiente din punct de vedere energetic, necesare asigurării găzduirii de sisteme informatice publice centrale și interoperabilității acestora, într-un mod unitar și standardizat. Prezenta investiție este implementată, în baza Acordului de parteneriat nr. 2279/27.06.2022 - 355947/27.06.2022 - 154824/28.06.2022, de Autoritatea pentru Digitalizarea României (ADR), în calitate de lider de parteneriat/partener 1 și beneficiar, de Serviciul de Telecomunicații Speciale (STS), în calitate de partener 2 și beneficiar și de Serviciul Român de Informații – Centrul Național Cyberint prin Unitatea Militară 0929 București în calitate de partener 3 și beneficiar", scrie în caietul de sarcini.
Ofertele vor fi deschise spre finele lunii noiembrie. Mai multe detalii AICI.
"Prin asigurarea condițiilor complete pentru funcționarea unor centre de date naționale redundante geografic de tip Tier III și Tier IV proprii statului român, dotate cu tehnologie IT&C de ultimă generație administrate și operate prin resurse tehnice interne ale României, se va obține o reziliență și independență în funcționarea serviciilor publice, indiferent de anumite condiții vitrege care pot apărea la nivel geopolitic. Componenta investiției aflată în responsabilitatea SRI va contribui la asigurarea infrastructurii, trehnologiilor și operarea Cloud-ului Privat Guvernamental pentru viitoarele aplicații ale instituțiilor publice în cloud prin furnizarea de servicii într-un mod unitar, standardizat, eficient și adaptat cerințelor utilizatorilor finali, firme și/sau cetățeni", se arată în document.
Potrivit documentului, în prezent, nu există în România o infrastructură de o amploare similară. Proiectul a fost inițiat având la bază informațiile cuprinse în Raportul analizei opțiunilor privind arhitectura Cloud-ului Guvernamental, elaborat în vederea atingerii milestone-ului 143 din cadrul Componentei 7 Transformarea Digitală - PNRR.
"Infrastructura IT existentă în prezent în cadrul instituțiilor care livrează servicii publice digitale este inadecvată, fragmentată, depășită din punct de vedere tehnologic, cu nivel redus de interconectare și grad scăzut de securitate cibernetică. Prin implementarea investiției vor fi asigurate infrastructura, tehnologiile și operarea Cloud-ului Privat Guvernamental pentru viitoarele aplicații ale instituțiilor publice în cloud prin furnizarea de servicii IaaS, PaaS și SaaS într-un mod unitar, standardizat, eficient și adaptat cerințelor utilizatorilor finali, firme și/sau cetățeni", mai scrie în document.
Infrastructura ce urmează a fi protejată este în curs de achiziție și operaționalizare de către parteneri, în funcție de modelele avute în responsabilitate pentru cloudul intern: STS - modelele IaaS (Infrastructure as a Service) și PaaS (Plaform as a Service) și ADR - modelul SaaS (Software as a Service).
"În conformitate cu prevederile OUG nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice, SRI asigură securitatea cibernetică a serviciilor de cloud de tip SaaS furnizate entităților găzduite din cloudul intern prin cunoașterea, prevenirea și contracararea atacurilor, amenințărilor, riscurilor și vulnerabilităților cibernetice, inclusiv a celor complexe, de tip APT (Advanced Persistent Threat) și, în cooperare cu STS, conform competențelor fiecărei instituții, a serviciilor de cloud IaaS și PaaS pentru cunoașterea, prevenirea și contracararea atacurilor cibernetice complexe, de tip APT", se menționează în document.
Pentru îndeplinirea atribuțiilor ce revin SRI, arhitectura de securitate cibernetică va include mecanisme pentru detectarea și prevenirea atacurilor cibernetice sub forma unor soluții software și echipamente hardware. Astfel, procedura va avea în vedere asigurarea necesarului de soluții complexe și integrate care să permită cunoașterea, prevenirea și contracararea atacurilor, amenințărilor, riscurilor și vulnerabilităților cibernetice, inclusiv a celor complexe, de tip APT, îndreptate împotriva serviciilor Cloud-ului Privat Guvernamental. Totodată, instrumentele vor permite inclusiv managementul evenimentelor de securitate cibernetică generate de amenințările cibernetice, cât și identificarea și remedierea vulnerabilităților prin implementarea cu promptitudine a actualizărilor de securitate.
Un alt obiectiv important care va fi avut în vedere va fi constituit de protejarea datelor în tranzit împotriva activităților de exfiltrare, respectiv de alterare a acestora, prin implementarea de soluții de securitate cibernetică specializate. Astfel, vor fi avute în vedere inclusiv soluții specializate care să asigure protejarea datelor în tranzit împotriva activităților de exfiltrare, respectiv alterare a acestora de către atacatori cibernetici prin operaționalizarea de mecanisme care nu permit interceptarea datelor sau vizualizarea în clar a pachetelor de date în afara persoanelor abilitate (canale de comunicații securizate).
Securitatea cibernetică a componentei de SaaS a Cloudului Guvernamental se va asigura inclusiv prin implementarea unor soluții de Threat Hunting, pentru identificarea amenințărilor cibernetice avansate, care vor fi incluse în arhitectura de securitate cibernetică a Cloudului Guvernamental cu scopul completării capabilităților de detecție prin identificarea proactivă a amenințărilor necunoscute provenite din spațiul cibernetic.
De asemenea, proiectul vizează achiziționarea de soluții tehnologice și echipamente hardware necesare dezvoltării capabilităților investigative de tip host și network forensics, analiză malware și de management al incidentelor de securitate cibernetică, care să susțină procesele de detecție și documentare a amenințărilor cibernetice complexe.
Toate soluțiile care fac obiectul prezentului contract vor fi implementate până cel târziu la data de 30.11.2025.
Viitorul câștigător al licitației va furniza un sistem integrat capabil să asigure un nivel ridicat de securitate cibernetică, denumit în continuare Sistem Integrat de Securitate Cibernetică (SISC), pentru întreaga componentă de cloud intern (CI) din cadrul Cloud-ului Privat Guvernamental (CPG), în toate etapele de dezvoltare și funcționare ale acesteia din perioada de sustenabilitate, prin raportare la confidențialitatea, integritatea și disponibilitatea datelor.
SISC va asigura securitatea cibernetică la nivelul tuturor serviciilor de tip SaaS și al entităților găzduite, precum și al tuturor serviciilor de IaaS, PaaS și SaaS pentru atacuri cibernetice complexe de tip APT, conform responsabilităților pe care le are S.R.I., în conformitate cu OUG nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice.
