O firmă bulgărească care a vândut echipamente IT Armatei, considerată cu risc de CSAT pentru alte contracte. Poziția MApN

Firma bulgărească Telelink Business Servicess SR care în ultima vreme a furnizat Comandamentului Apărării Cibernetice din Ministerul român al Apărării mai multe servere și softuri a fost catalogată de CSAT ca fiind cu risc pentru securitatea națională. Asta când s-a pus problema unui alt contract.

Echipamentele au fost pentru bazele de date ale MApN

Mai exact, compania nu a primit autorizația CSAT pentru utilizarea echipamentelor de infrastructură 5G în România, pe motiv că ar prezenta riscuri la adresa securității naționale.

Compania Telelink Business Servicess SRL este deținută întegral de Telelink Business Servicess Group AD din Bulgaria și conform hotnews.ro are numai doi angajați.

Cu ceva timp în urmă, Telelink Business Servicess SRL a solicitat obţinerea autorizării de utilizare a echipamentelor de infrastructură 5G, dar aceasta a fost respinsă de Consiliului Suprem de Apărare a Ţării. „Se respinge solicitarea pentru obţinerea autorizării privind utilizarea echipamentelor de infrastructură 5G, formulată de Telelink Business Servicess SRL. în temeiul Legii nr. 163/2021 privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor 5G, ca urmare a evaluărilor realizate de către instituţiile cu responsabilităţi în domeniu, din perspectiva riscurilor, ameninţărilor şi vulnerabilităţilor la adresa securităţii naţionale şi apărării ţării şi prin raportare la obligaţiile asumate de statul român în cadrul cooperării la nivelul organizaţiilor internaţionale din care România face parte, al Uniunii Europene şi al parteneriatelor strategice bilaterale”, se arată în decizia semnată de Marcel Ciolacu și publicată în Monitorul Oficial.

Acces la echipamentele MApN 

Decizia CSAT este oarecum surprinzătoare mai ales că respectiva firmă are două contracte încheiate cu UM 02499, adică Comandamentul Apărării Cibernetice din MApN. În urma unor licitații demarate anul trecut, Armata a cumpărat de la Telelink Business Servicess SRL „soluții HCI (Hyper-converged infrastructure) pentru centrul de date tip 2”, dar și „soluții HCI (Hyper-converged infrastructure) pentru centrul de date tip 1”, adică mai multe servere și softurile aferente. Prima licitație era pentru furnizarea unor soluții care să permită automatizarea unor sarcini repetitive ale angajaților MApN responsabili de administrarea centrelor de date.

Intersant este că prin caietul de sarcini, compania furnizoare se obligă să ofere o garanție de 60 de luni și la elementele hardware, dar și la tehnologia software instalată pe acestea. Deci specialiștii Telelink Business Servicess SRL pot avea acces la aceste echipamente în care sunt stocate date ale MApN mai ales că în documentele licitației este prevăzut acest lucru. Concret, una dintre cerințele adresate potențialilor furnizori a fost ca MApN să aibă „acces 24x7 la centrul de suport al producătorului soluției (prin e-mail, web, telefon), cu posibilitatea raportării problemelor apărute în funcționare și solicitarea rezolvării acestora funcție de severitate”. În plus, acest serviciu de suport al furnizorului „trebuie să sprijine depanarea hardware-ului și software-ului soluției, precum și a hipervizorului utilizat”, se mai arată în documentele licitației.

Autorizarea, posibilă, dar nu obligatorie

Mai mult, cele două contracte care au însumat o valoare de 11,4 milioane de lei au fost încheiate cu toate că, așa cum arată legea 163 din 11 iunie 2021, MApN putea cere o serie de verificări ale furnizorului. Este adevărat este vorba de o posibilitate și nu de o obligativitate. „Autoritățile contractante din sistemul național de apărare, ordine publică și securitate națională au dreptul de a solicita prin documentația de atribuire, în situația în care contractul are ca obiect și furnizarea de tehnologii, echipamente și programe software destinate infrastructurilor informatice și de comunicații de interes național, ca producătorul acestora să fie autorizat potrivit prevederilor art. 3”, se arată în lege, adică, MApN ar fi putut cere în prealabil autorizarea CSAT, dar nu a realizat acest demers.

Trebuie spus că experți în siguranță informatică din entități private sau de stat s-au abținut să comenteze care sunt riscurile de securitate pentru MApN în acest caz.

„Adevărul” a solicitat și o poziție oficială a MApN în acest caz, iar instituția a răspuns după ceva timp. „Colaborarea existentă, în prezent, între Comandamentul Apărării Cibernetice și Telelink Business Services S.R.L., se rezumă la două acorduri-cadru, încheiate potrivit legislației în domeniul achizițiilor publice în vigoare.

Ambele acorduri cadru au ca obiect furnizarea unor soluții HCI (infrastructură hiperconvergentă), care nu au componente tehnice sau de altă natură care să se regăsească sau să fie specifice unei infrastructuri 5G și care nu fac parte din infrastructuri cibernetice bazate pe tehnologia 5G.

Din datele pe care le deținem până în prezent, potrivit competențelor, nu au fost identificate riscuri sau amenințări la adresa securității naționale asociate acestor acorduri-cadru”, a transmis MApN .