web analytics

Sănătatea este un Lorem Ipsum pentru Ministerul Investițiilor și Proiectelor Europene

Sunt atât de multe paliere de discuție cu privire la prezența instituțiilor în mediul digital încât nu știu în ce ordine aș putea să le abordez, din ce unghi.

Într-o primă parte a articolului voi expune păreri nepopulare ca în final să fie și ceva aplicat, concret. Deci ia o pauză de cafea pentru că urmează un articol lung.

Ministerul Investițiilor și Proiectelor Europene are subdomeniu .gov, ca multe alte instituții și ministere de altfel. În România nu este reglementat modul în care instituțiile ar trebui să utilizeze spațiul cibernetic, nu există bune practici și de cele mai multe ori domeniile web sunt cumpărate în funcție de disponibilitatea lor în registrul de domenii .ro.

Cumva, simt că nu există o viziune, nu există un ghid și poate cel mai important … nu se dorește așa ceva. Un vest sălbatic unde RoTLD tace complice la achiziția domeniilor folosite în atacuri cibernetice (site-ul primaria-urzicuta e tot acolo), DNSC are zero capacitate de prevenție și la fel de puțină putere de a face ceva practic, Centrul Național Cyberint are în continuare grijă de Țițeica și speră să crească numărul beneficiarilor ca să aibă justificare pentru cei 100 de milioane euro din PNRR.

Despre zona de CyberSec nu o sa intru în detalii, sunt tone de maculatură pe blogul meu despre lipsa de înțelegere a funcționarului public în ceea ce privește un minim de igienă în securitate cibernetică. Dacă privim obiectiv, pe mulți îi și înțeleg. La sistemul informatic al unei primării dintr-un sat de 3000 de locuitori nu poți avea pretenția că ar exista specialiști, dar tocmai aici ar putea apăsa pedala Ministrul Digitalizării.

O să fac o paranteză aici. Pentru ca un specialist dintr-un domeniu să poată fi mental minim 80% concentrat pe munca sa, trebuie să aibă și un confort financiar ce să susțină mare parte din piramida nevoilor zilnice. Vorbim de meserii vechi precum cele de doctori, profesori, polițiști (în special mascați ca să nu mai își mai ia part time ca bodyguarzi la nunți), dar vorbim și de noile meserii ale mileniului III. Și aici revenim la MCID unde domnul ministrul Burduja pare să fie un om cu o baza solidă de plecare conform declarației de avere depusă de domnia sa.

Și totuși, atenția este față de Cloud-ul Guvernamental, cum se vor împărți banii și proiecte care arată frumos pe hârtie dar realitatea din teren este cu cel puțin 15 ani în urmă. Ceea ce se vede public este o luptă continuă pe modul în care se împart banii.

Domeniile web, par a fi achiziționate și folosite după o regulă cunoscută numai de către administrația fiecărei instituții. Viziunea este cea care trebuie să vină pe linie de minister și doar ghidați pot să ajungă administratorii acestor domenii web să aibă o consistență și coerență în prezența online. Problema este că de cele mai multe ori mă întorc la RoTLD ca fiind un actor important în tot acest haos. Primăriile, de exemplu, sunt niște mici companii care au un brand de apărat, o imagine și proiecte de dezvoltare, iar ca orice companie ar trebui ca apărarea să fie susținută de parteneri dar dacă unul din parteneri este mai slab organizatoric, atunci trebuie să găsească singure o soluție.

Ca să rămân tot în zona primăriilor, cea mai bună referință este Primăria Urzicuța. Așa arată site-ul primăriei. La mai bine de un an și jumătate de când a fost achiziționat domeniul, site-ul este în continuare în construcție. Name Servere-le sunt la o companie de consultanță și servicii IT care se laudă cu mai mult de 250 de proiecte de succes în 10 ani de activitate și 1500 clienți mulțumiți. Este o frântură în logică aici pentru că ar însemna că același proiect a fost vândut în medie la 6 de clienți 🙂 deci nu știu ce a vrut să spună autorul.

Dar dacă ne uităm peste raportul Confidas referitor la AltaNET SRL, pare să fie o societate specializată în contracte publice, având nu mai puțin de 313 contracte cu instituții publice, în valoare de peste jumătate de milion de euro (519.456 EUR) și conexiuni cu alte 7 societăți prin administratorul său care împreună au mai reușit să ofere servicii de încă jumătate de milion de euro anul trecut.

Fac un mic pariu că mulți ați crezut că este o denumire fictivă, dar este o primărie micuță din sudul județului Dolj și comuna este compusă din satele Urzicuța, Urzica Mare și Ionele.

De ce m-ar interesa câți bani a câștigat compania care administrează domeniul Primăriei Urzicuța? Pentru că este parte exact din ce spuneam mai sus referitor la asigurarea nevoilor minime pentru ca un specialist să poată oferi un minim de 80% din atenție la ceea ce face în activitatea de zi cu zi. PNRR va veni cu o infuzie masivă de capital în industria IT dar dacă lucrurile vor avea aceeași linie de nepăsare, nu va fi altceva decât o achitare de datorii din partea guvernului față de companiile de casă. Mă bucur să văd povești de succes, antreprenori cu cifre de afaceri de jumătate de milion de euro, le doresc să treacă de pragul psihologic de un milion, dar să existe si o proactivitate din partea acestora.

Imaginea brandului din exemplul de mai sus este călcată sistematic în picioare și aparent oamenii sunt confortabili cu lucrul acesta. Pentru domeniul web cu cratimă RoTLD își ia în fiecare an bani și îl lasă în continuare să facă afiliere cu magazine chinezești prin tehnici de BlackHat SEO, să injecteze cookies și tot felul de date pe stațiile vizitatorilor de bună credință. Nu există protecția brandului prin care instituția să fi blocat domeniile cu cratimă, fără cratimă, cu diacritice și fără. Nimic. Zero.

Adresele email sunt un alt punct fierbinte atunci când vorbim de instituții ale României. Cele mai multe folosesc adrese email personale sau chiar dacă încearcă să simuleze denumirea instituției, tot pe @yahoo si @gmail sunt create. Școlile în București au adrese de forma scoala_280@yahoo.com. Primăria sectorului 6 are adresa de email la RoTLD a unui anume dyablo21@gmail.com. Hai să citim un pic mai rar: Primăria sectorului 6 din București are declarată adresa email a celui care a înregistrat domeniul web ca fiind dyablo21@gmail.com. Probabil este a lui Daniel de la IT care are numărul de telefon mobil personal lăsat în registrul domeniilor .ro, dar ce ne facem dacă Daniel pleacă de la IT? Ce facem cu emailurile teoretic oficiale care se duc către dyablo21 în gmail?

Fiecare adresă oficială, pentru fiecare unitate administrativ-teritoarială, va fi stabilită de STS, care va configura pentru autoritățile din fiecare localitate adrese unitare, astfel încât să nu mai fie folosite adrese de gmail, yahoo, hotmail sau alte domenii.

Așa suna o propunere făcută de Executiv în proiectul de modificare a Codului Administrativ în Parlament pe undeva prin 2018. Patru ani mai târziu, nu s-a schimbat nimic. De exemplu, Institutul pentru Studii Politice de Apărare și Istorie Militară folosește în mod oficial adrese de tip yahoo.com, Spitalul Agrippa Ionescu are adresa @dcti.ro care pare a fi de încredere. Direcția Comunicații și Tehnologia Informației (DCTI) este structura specializată a Statului Major al Apărării responsabilă cu planificarea, organizarea și coordonarea dezvoltării sistemelor și serviciilor de comunicaţii, tehnologia informaţiei și apărare cibernetică, pentru realizarea capabilităţilor de comandă, control, comunicații, computere, informații, supraveghere și recunoaștere, strategice și întrunite, interoperabile NATO și UE, pe timp de pace, criză și război. Pare în regulă până vedem că RoTLD declară domeniul dcti.ro ca fiind înregistrat pe persoană fizică.

Deci aparent o persoană fizică poate avea acces la emailurile Spitalului Agrippa Ionescu? Nu știu, dar e foarte mult loc de a specula aici.

Senzația este că la nivel de instituții este un Lorem Ipsum aplicat în mod sistematic de la cele mai mici structuri până la nivel ministerial. Un Lorem Ipsum metaforic prin care fiecare aplică propriul set de reguli în mod necontrolat, neavizat și de cele mai multe ori greșit.

Ministerul Investițiilor și Proiectelor Europene (link) în schimb aplică un Lorem Ipsum faptic atunci când discută despre sănătate. La fel si Centru Național al Cinematografiei aici. Conținutul celor mai multe site-uri (de la mici instituții până la cele guvernamentale) pare scăpat de sub control.

Și cumva este o obișnuință să fie realizate site-uri în mediu necontrolat. Institutul Național de Sănătate Publică a fost un promotor al unui proiect de consolidarea rețelei naționale de furnizori de îngrijiri primare de sănătate pentru îmbunătățirea stării de sănătate a populației, alături de OMS și parteneri din Norvegia. Cu ce credeți că ne-am prezentat în fața oamenilor ăia? Cu asta. Adrese de gmail, imagini cu copyright shutterstock, lorem ipsum si multe pagini cu dummy data (screenshot).  Am sperat că este un subdomeniu de test și nu a fost folosit niciodată ca resursă oficială. Creierul meu refuză să accepte derapaje atât de violente față de un minim de bune practici în domeniul dezvoltării unui software, fie el chiar și un site de prezentare. Dar aparent a fost folosit chiar și în comunicatele de presă (link si screenshot).

Nu îi înțeleg. Încerc dar nu reușesc. Zupria sunt cei care semnează proiectul INSP. Zupria vine cu o prezentare bogată, cum construiesc aplicații inteligente, sisteme de gestionare a procedurilor interne… până ajungi la pagina de contact și afli că societatea se numește Hundred Percent SRL, are sediul social în Brăila. Cu aproape un sfert de milion de euro cifră de afaceri și 14 contracte publice în valoare de aproape 83.000 EUR, tânără dar pare să fie o companie obișnuită deja cu birocrația și sistemele aparatului de stat. Contractele sunt majoritar pe creare aplicații web și site-uri. Matematic la o medie de 6.000 EUR pe un contract poate ar fi meritat mai multa atenție micro-site-ul pentru INSP.

Cum era și o melodie, dacă as fi pentru o zi președinte, aș impune scoaterea definitiv din SEAP a companiilor care căpușează instituțiile statului și recuperarea prejudiciului pe persoană fizică de la angajatul instituției care a semnat fișa de acceptanță a proiectelor precum cel de la INSP. Îmi aduc aminte că în urmă cu câțiva ani aveam un client destul de mare din domeniul bancar care vroia să îi proiectez o aplicație web non responsive. Adică pe mobile să trebuiască să te chinui să vezi cu zoom în pagină conținutul și astfel urma să își instaleze clienții de bună voie aplicația mobile din appstore 🙂 S-au chinuit colegii mei atunci să facă un portal care să se vadă prost pe dispozitivele mobile având în vedere tehnologia modernă care vine cu o multitudine de soluții predefinite, tot ca să poată munci developerii cât mai puțin. De aceea, când văd opere de artă precum INSP, încerc să îmi dau seama ce haos o fi fost în mintea developerului când a decis că acela este un proiect ce să poată fi prezentat Institutului, ce furtună și descărcări electrice trebuie să fi fost acolo …

Și pentru că tot vorbeam de cifre, ca să nu speculez, valoarea declarată a contractului din 06 septembrie 2021 este de 27.842 lei fiind acordat lui Hundred Percent SRL pentru că avea prețul cel mai scăzut dintre cei 10 ofertanți. Adică undeva la 5.700 euro pentru … un site cu lorem ipsum, dummy data, linkuri inexistente desi icon-urile de social media sunt in footer, zero consultanță de bune practici, zero noțiuni de usability din partea furnizorului de servicii, fonturi de 12 pixeli, tema de wordpress este depreciata fiind v4.9.3 din 1 aprilie 2021 pe când dezvoltatorul temei (pt ca au folosit un builder cu drag&drop) e deja la 4.17.4. Pe 13 aprilie dezvoltatorul deja scotea v4.9.4 deci până în septembrie deja era depreciată tema și a trecut prin mai multe iterații după cum declară chiar dezvoltatorul builderului aici. Cu alte cuvinte au folosit un software depășit, fără update-uri critice și de securitate pe un site al unui Institut Național.

Așa e în fotbal, unele contracte sunt de aproape 300 euro pentru hosting, altele sunt de 16.000 euro, indiferent daca ai sau nu ai mingea, important e să dai gol. Dacă vrei să te întorci cel puțin 15 ani în trecut sau vrei să îți aduci aminte cum ai scris primele linii de HTML, te provoc să intri pe site. Mai las linkul o dată aici. Încearcă să nu înjuri foarte tare.

Când am spus că pare a fi vestul sălbatic, cred că am fost mult prea diplomat.

  • Ministerul Investițiilor și Proiectelor Europene ne arată o poveste de succes aici.
  • Autoritatea pentru Reformă Feroviară ne pune vederea la încercare aici.
  • Agenția Națională pentru egalitate de șanse între bărbați și femei ne arată tot felul de imagini cu copii care par a fi defavorizați. Nu am înțeles contextul pentru că este Lorem Ipsum peste tot.
  • Institutul Național de Administrație din cadrul Ministerului Dezvoltării oferta unor cursuri de perfecționare aici. Îmi place de ei că sunt glumeți, simpatici foc. Ei perfecționează pe alții afișând informațiile pe ceva care dacă l-ar fi făcut juniorul la orele de TIC în clasa a VIII a, cu siguranță nu lua notă de trecere.

Lista poate continua dar hai să ne întoarcem la practicile instituțiilor ce crează confuzie și mă uit la site-urile primăriilor din București. E un stat în stat. Nu este nimic unitar, tehnologiile sunt total diferite, funcționalitățile sunt total diferite, până și modul în care arată URL-ul este total diferit.

pmb.ro, primariasector1.ro, ps2.ro, primarie3.ro, sector3primarie.ro (înregistrat pe persoană fizică), ps4.ro, primarie6.ro, sector5.ro sunt site-uri ale instituțiilor unei capitale europene in 2022. Atât s-a putut. Este imposibil să te descurci fără motoare de căutare, fără să cauți pe Google care este site-ul instituției. Cum cetățeanul de rând nu are control asupra rezultatelor căutărilor, este o misiune imposibilă pentru el să își dea seama dacă site-ul pe care a intrat este unul oficial sau nu, mai ales că după cum arătam sunt site-uri care impersonalizează primăriile de sector și sunt luate pe persoană fizică. E o adevărată muncă de detectiv să îți dai seama dacă ești pe site-ul unei primării sau pe site-ul de campanie al vreunui candidat, cum se întâmplă la sectorul 3.

O soluție ar putea fi constituirea unor echipe mixte de specialiști la nivel de județ care să meargă fizic din oraș în oraș și să pună la punct un sistem de bune practici și să ofere training aplicat pe nevoile instituției respective. Dar specialiști, nu ca cei de la Consiliul Județean Cluj care după un atac cibernetic au restaurat site-ul dintr-un backup și mai vulnerabil.

Apoi, prezenta online a unei instituții o văd sub o umbrelă mai mare, pe domenii reglementate și cu infrastructură predefinită. Desigur, fiecare instituție are setul ei de nevoi diferite pe alocuri de celelalte din aceeași categorie, dar cine să facă analiza aceasta? STS este ocupat să facă site-uri pe WordPress (am lucrat la un site în urma lor și rareori am văzut cârpeală mai românească decât acolo …).

Ministrul Digitalizării ar putea constitui un grup de lucru cu ajutorul Centrului Național CyberInt să facă într-adevăr ceva care să ajute cetățenii de rând dar să se ajute și pe ei înșiși să poată avea o structură uniformă că ajunge Țițeica în ritmul ăsta să monitorizeze site-uri de campanie în loc de site-uri ale instituțiilor. Nu am văzut pe nimeni din conducerea Ministerului, DNSC, CyberInt, etc care să iasă public și să spună că a avut planul X dar nu s-a realizat pentru că Y.

Între timp companiile de casă vor căpușa nestingherite bugetele instituțiilor, nu există nicio strategie clară prin care să fie reglementată prezența instituțiilor în mediul online

În naivitatea mea chiar cred că undeva, peste 20 – 30 ani vom reuși să avem un progres tehnologic și procedural să ajungem măcar Italia din urmă, că la Estonia nu are rost să ne mințim singuri.

      Cristian Iosub