Agenţia pentru Serviciile Societăţii Informatizate demonstrează cu vârf şi îndesat de ce desfiinţarea 
unora dintre agenţiile guvernamentale este un lucru necesar
În urmă cu o lună, ziarul DEZVALUIRI publica un articol în care se arăta că accesul la site-ul e-licitatie.ro este blocat de majoritatea programelor pentru accesarea Internetului, pe motiv că certificatul de securitate al faimosului sistem de licitaţii electronice este unul dubios. Mai exact, aceste programe avertizau asupra faptului că emitentul certificatului – Inspectoratul General pentru Comunicaţii (n.r. – instituţie guvernamentală) – nu este de încredere! Prin urmare, am iniţiat o corespondenţă cu administratorul e-licitaţie, Agenţia pentru Serviciile Societăţii Informatizate (ASSI), prin care am sesizat această problemă şi le-am cerut informaţii suplimentare. Oficialii ASSI au încercat să minimalizeze problema, încurcându-se în minciuni şi explicaţii penibile. Printre altele, ei au recunoscut că IGCTI nu mai există de doi ani, dar că această entitate emite, în continuare, certificate de securitate (care nu sunt recunoscute de nimeni). Cu toate acestea, la două săptămâni de la publicarea articolului, ASSI a aruncat la gunoi certificatul IGCTI şi a implementat un nou certificat de securitate, emis de o firmă străină, şi care este recunoscut de marea majoritate a programelor ce permit accesarea Internetului.
Un articol de Răzvan PETRE
Licitaţie cu E-uri
Lansat cu mare pompă, ca fiind soluţia pentru oprirea jafului pe bani publici, Sistemul Electronic de Achiziţii Publice (SEAP) a fost implementat de Guvernul României în urmă cu câţiva ani. Finanţat din fonduri europene, Sistemul includea un site Internet, numit e-licitatie.ro, în care să fie publicate toate achiziţiile publice relevante, precum şi anunţurile de licitaţie şi alte chestiuni similare. Nu în ultimul rând, pe acest site urmau să se desfăşoare licitaţii electronice, prin care autorităţile publice să cumpere, rapid, eficient şi transparent fel de fel de produse şi servicii.
Încă de la început, SEAP a fost urmărit de probleme. Implementarea Sistemului nu a eliminat licitaţiile „cu dedicaţie”, sau lucrăturile din caietele de sarcini şi nici nu a dus la reducerea birocraţiei. Pe lângă aceste probleme clasice, au mai apărut şi cele specifice Internetului.Una dintre aceste probleme, sesizată de către ziarul nostru, era imposibilitatea accesării site-ului e-licitatie.ro de către utilizatorii neînregistraţi.
Practic, în momentul în care un operator economic, o autoritate publică, sau un cetăţean obişnuit încerca să acceseze site-ul, sau să se înregistreze pentru a participa la licitaţii, programul folosit pentru accesarea Internetului (browser-ul) bloca accesul la e-licitaţie.ro. În funcţie de browserul folosit, mesajul care apărea pe ecran, în loc să afişeze site-ul, ne avertiza asupra faptului că e-licitaţie.ro ar fi un site-capcană, sau un site nesigur, care nu trebuie accesat.
Trecând peste această problemă, operatorul economic, autoritatea publică, sau cetăţeanul care vroia să se înscrie în sistem nu mai întâmpina dificultăţi. Primea un certificat de semnătură electronică şi se putea autentifica în sistem. Totuşi, problema persista – Cum puteai să ai acces la sistem, când însăşi înregistrarea în acest sistem era blocată?
Operatorul e-licitaţie: „Nu există probleme, dar există o problemă”!
Luând notă de această problemă de securitate, ne-am adresat Agenţiei pentru Serviciile Societăţii Informatizate (ASSI) – autoritatea guvernamentală care se ocupă de administrarea sistemului de achiziţii electronice şi a site-ului e-licitatie.ro, pentru a afla cum este posibilă o asemenea scăpare, ce periclitează siguranţa faimosului sistem. În replică, oficialii ASSI ne-au dat un răspuns alambicat, prin care, însă, au reuşit să se dribleze singuri. „Nu există probleme legate de nerecunoaşterea certificatului de către programele de accesare a Internetului (browsere)”, ne-au declarat ei. Cu toate acestea, câteva rânduri mai încolo, în acelaşi răspuns al ASSI se precizează că există o problemă, în momentul în care un utilizator nou încearcă să se înregistreze în Sistem, el primind acel mesaj prin care este avertizat că certificatul site-ului nu este de încredere. De altfel, oficialii ASSI ne anunţă că, deşi nu există nici o problemă legată de certificatul de securitate, conducerea a decis contactarea unui emitent recunoscut, în vederea eliminării unei probleme legate de… certificatul de securitate.
În continuare, scrisoarea continuă în acelaşi stil, variind între minciună şi teatru absurd, punctate de grave încălcări ale logicii şi de pasaje în care limba română este călcată în picioare. Iată un exemplu sugestiv: „Utilizatorii obţin pe langă certificatul digital de acces în sistem şi certificatele care reprezintă calea de certificare a certificatului emis”. Certamente, un răspuns mai clar nici că se putea…
Teatru absurd, sub semnătura directorului Agenţiei: IGCTI nu mai există, dar funcţionează!
Un alt aspect pe care am dorit să îl lămurim, contactând ASSI, era cel referitor la IGCTI – autoritatea guvernamentală care emisese certificatul buclucaş, ce punea sub semnul întrebării securitatea Sistemului de Achiziţii. În primă fază, răspunsul ASSI, semnat chiar de preşedintele Agenţiei, confirmă ceea ce afirmasem în articolul anterior, şi anume că „IGCTI s-a desfiinţat prin Ordonanţa de Urgenţă 25/2007”. În continuare suntem anunţaţi că, deşi IGCTI este mort şi îngropat, ASSI (care a preluat atribuţiile sale) continuă, bine-mersi, să emită certificate în numele defunctului. În condiţiile acestea, deşi nu are neapărat legătură, putem spune că nu e de mirare că browserele nu recunosc certificatele emise sub denumirea unei instituţii care nu mai există de doi ani.
Problema căreia ASSI nu i-a găsit soluţia în doi ani, rezolvată imediat, contra sumei de 19 dolari…
În timp ce angajaţii ASSI se chinuiau să ne scrie paragrafe întregi în care să ne demonstreze că păstrarea denumirii de IGCTI este un rău necesar, pentru că înlocuirea certificatului ar dura mult, ar costa mult, ar aduce fel de fel de probleme etc., problema a fost brusc rezolvată. Nu mică ne-a fost mirarea să constatăm că, la câteva zile după justificările lăbărţate, oficialii ASSI au aruncat certificatul IGCTI la gunoi, înlocuindu-l cu unul emis de o firmă privată. Conform datelor oferite de această firmă, certificatele lor sunt recunoscute de 99,98% din browsere. În plus, aşa cum ne asigură ASSI, noul certificat costă 19 dolari pe an (n.r. – cam cât ora de lucru a funcţionarului care a redactat răspunsul în care ni se spunea că achiziţionarea unui nou certificat „nu se justifică”).
E-licitaţie, pe înţelesul tuturor (?)
După ce s-au chinuit să ne convingă că problemele semnalate de noi nu există, cei de la ASSI au pus mâna şi le-au rezolvat. La două săptămâni după primul nostru articol, ei au achiziţionat un nou certificat, recunoscut de toate browserele. Este posibil ca oficialii ASSI să nu fi înţeles întrebările noastre şi să fi răspuns la altceva; la fel, e posibil ca noi să nu fi înţeles bine natura problemei (aşa cum cei de la ASSI ne-au sugerat, în mod repetat). Ceea ce rămâne, însă, este o autoritate guvernamentală care, în doi ani de zile, nu a fost în stare să dea un telefon, un fax, ceva, la Microsoft, la Mozilla, sau la Netscape, să le spună că IGCTI ţine de Guvernul României şi, ca atare, este de încredere. Fie că o veţi numi „lene”, sau „incompetenţă”, nu vom şti niciodată care este costul acestei atitudini. Începând din luna august, e-licitaţie funcţionează mai bine. Dar acesta este doar unul din domeniile administrate de ASSI, iar problemele nu ocolesc nici celelalte site-uri, aşa cum vă vom arăta într-un articol ulterior.
Vă oferim, în continuare, încă un exemplu din retorica maeştrilor în arta comunicării de la Agenţia pentru Serviciile Societăţii Informatizate, care, în loc să se mulţumească să răspundă la întrebări, nu se pot abţine să nu ne dea de înţeles că ei sunt specialişti şi că noi nu prea ştim despre ce vorbim: „Aceste informaţii sunt disponibile chiar în certificatul digital (…), precum şi în CRL Distribution Point pentru a vedea starea certificatelor revocate. Acestea reprezintă noţiuni de bază în domeniul PKI”. Comentariile sunt de prisos.
