Afacerea se ridică la nu mai puțin de 4.340.890 de euro și a ajuns la o asociere de firme cu care DGPI a derulat, în ultimii trei ani, mai multe contracte. Una dintre societățile contractate a livrat, în mai 2020, Poliției Române echipamente informatice pentru recunoașterea facială a persoanelor. Cumpărătura făcută de DGPI vine după ce, luna trecută, același serviciu secret a investit 744.000 de euro într-un „poligon cibernetic”, constând într-o platformă de instruire a salariaților proprii de a iniția atacuri cibernetice și de a lupta, totodată, împotriva acestora.
Direcția Generală de Protecție Internă, serviciul secret al Ministerului Afacerilor Interne, a publicat, la data de 15 decembrie 2022, pe portalul SEAP (Sistemul Electronic al Achizițiilor Publice) un anunț de participare prin intermediul căruia făcea cunoscută intenția de a achiziționa un subsistem avansat de detectare și contracarare a amenințărilor cibernetice, ca o componentă a unui proiect mai vast, denumit „Extinderea capabilităților investigative ale sistemului de apărare cibernetică la nivelul Ministerului Afacerilor Interne”. Este vorba despre achiziția de pachete software și sisteme informatice, pentru care „Doi și-un Sfert” a organizat, în baza anunțului citat, o licitație deschisă, având drept criteriu de atribuire cel mai bun raport calitate-preț.
Pentru această achiziție, serviciul secret al MAI a pus la bătaie un buget estimat inițial la nu mai puțin de 18.238.823,421 de lei fără TVA, respectiv la 21.704.199,9 lei cu TVA inclusă (4.429.428,5 euro). Iar la licitația deschisă organizată pentru încheierea unui contract cu o durată de opt luni, autoritatea contractantă a primit o singură ofertă, depusă de asocierea dintre companiile SC Dataware Consulting SRL și SC Logic Computer SRL.
Afacerea a fost parafată în data de 3 martie 2023, când Direcția Generală de Protecție Internă (DGPI) a încheiat cu această asociere de firme contractul cu numărul 190218/2023, la un preț final negociat de 17.874.252,68 de lei fără TVA, respectiv de 21.270.360,7 lei cu tot cu TVA (4.340.889,9 euro).
Instituția se plânge de evoluția amenințărilor virtuale
Potrivit caietului de sarcini care a stat la baza acestei achiziții, „având în vedere evoluția amenințărilor cibernetice, în contextul dezvoltării fără precedent a domeniului tehnologiei informațiilor, a limitărilor tehnice ale controalelor de securitate instalate la nivelul MAI, numărul copleșitor de agresiuni cibernetice în contextul actual de securitate, este necesară adaptarea instrumentelor de securitate la nevoile existente la acest moment”, dar și că „pentru implementarea proiectului se urmărește standardizarea modului de investigare, analiză și răspuns față de incidentele de securitate IT, fapt care asigură coerența întregului proces decizional prin abordarea globală a securității cibernetice”.
Caietul de sarcini mai precizează că proiectul are la bază obiectivele Strategiei Naționale de Securitate Cibernetică a României 2022 – 2027 „și vine în sprijinul eforturilor României în domeniul asigurării securității unui spațiu cibernetic național sigur și rezilient, atât pentru cetățeni, mediul de afaceri sau economic, cât și pentru instituțiile guvernamentale”. Iar obiectul general al contractului vizează dezvoltarea „capabilității de analiză, răspuns, monitorizare și investigare a evenimentelor, artefactelor, atacurilor și incidentelor de securitate identificate la nivelul structurilor cibernetice ale MAI”.
Ce echipamente intră în acești bani cheltuiți
Mai aflăm, din aceeași documentație de atribuire, că produsele cumpărate de DGPI vor asigura protecția infrastructurii, incluzând atât soluția de detectare, contracarare și investigare a atacurilor cibernetice, cât și uneltele necesare analizării „artefactelor malițioase”.
În ceea ce privește obiectivul specific al contractului încheiat, acesta vizează „asigurarea protecției spațiului cibernetic, pentru a face față riscurilor și amenințărilor la adresa securității naționale”, „colectarea informațiilor relevante despre amenințările asupra sistemelor informatice și de comunicații ale MAI”, „reducerea gradului vulnerabilităților prin reducerea motivației și a capabilităților acestora”, „reducerea vulnerabilităților asociate operațiunilor desfășurate în spațiul cibernetic” și „desfășurarea de intervenții asupra incidentelor de securitate în spațiul cibernetic al MAI”.
Potrivit anexei, care face parte integrantă din documentația de atribuire, se trec în revistă componentele acestui subsistem. Astfel, este vorba despre o componentă Next Generation Firework, o soluție de scanare a vulnerabilităților, o soluție Security Information and Event Management, care include o capabilitate de detectare a anomaliilor comportamentale de tip User and Entity Behavior Analytics, stații de lucru de tip desktop, echipamente de comunicații switch, echipamente de sursă de curent neîntreruptibilă, un ansamblu metalic pentru stocarea echipamentelor hardware, subsisteme cu agenți software antivirus pentru stațiile de lucru, subsisteme de analiză dinamică și agresiuni cibernetice pentru e-mail, o componentă SMS Gateway și o componentă Pentest.
Ambii furnizori sunt clienți fideli ai instituțiilor de forță ale statului. Una a livrat Poliției, acum trei ani, un sistem de recunoaștere facială
Ambele companii care participă la acest contract pus la bătaie de DGPI au mai semnat, în ultimii trei ani, pe bandă rulantă, contracte cu instituțiile de forță ale statului. Iar această afacere nu este singura încheiată, în aceeași perioadă, cu serviciul secret al Ministerului Afacerilor Interne.
Spre exemplu, SC Logic Computer, deținută, conform datelor furnizate de Oficiul Național al Registrului Comerțului (ONRC), de Laurențiu Dumitrache și Constantin Nica, a mai primit, din partea DGPI, în data de 6 iulie 2022, un contract în valoare de 4.270.300 de lei fără TVA, pentru livrarea de echipamente tip server, echipamente de stocare, echipamente de tip switch și SAN. Apoi, în 10 octombrie 2021, aceeași societate a mai încheiat cu aceeași instituție un contract de 217.400 de lei fără TVA pentru furnizarea de echipamente de stocare.
Seria contractelor cu DGPI a continuat și la 13 decembrie 2021, când a fost parafată o afacere de 178.600 de lei fără TVA, vizând licențe informatice. Au mai existat contracte încheiate în 8 decembrie 2020, în valoare de 141.840 de lei fără TVA, pentru furnizarea unei soluții software de tip data server pentru securitatea porturilor USB, sau la 20 iulie 2020, în valoare de 113.000 de lei fără TVA, pentru furnizarea de echipamente de stocare.
SC Logic Computer SRL a derulat însă afaceri similare și cu alte instituții și structuri. Vorbim aici despre Ministerul Apărării Naționale (prin UM 02515 București, UM 02499 București, UM 02605 București sau UM 02550 București), Serviciul de Telecomunicații Speciale, Ministerul Mediului, Ministerul Afacerilor Interne – Direcția pentru Evidența Persoanelor și Actualizarea Bazelor de Date, Serviciul de Protecție și Pază, Secretariatul General al Guvernului, Poliția de Frontieră sau Serviciul Român de Informații (prin Institutul pentru Tehnologii Avansate, UM 0929 București, UM 0296 București sau Directoratul Național pentru Securitate Cibernetică).
Big Brother pentru IGPR, în primul an al pandemiei
De cealaltă parte, a doua firmă implicată în acest contract, SC Dataware Consulting SRL, a participat la un alt controversat proiect pentru o instituție de forță a statului. Compania, deținută, conform Registrului Comerțului, de Călin Cristian Georgescu și Constantin Adrian Savu, a livrat echipamente speciale și pentru IGPR. Mai exact, Poliția Română a achiziționat, la începutul lunii mai a anului 2020 de la SC Dataware Consulting SRL, echipamente informatice pentru recunoașterea facială a persoanelor. Conform documentelor care au stat la baza acestei achiziții, polițiștii vor putea, de acum, să extragă, să prelucreze, să introducă în bazele de date și să identifice imagini ale persoanelor fizice preluate inclusiv de pe camerele web (instalate pe laptopuri sau PC-uri), de pe camerele telefoanelor mobile inteligente, din rețelele de camere de supraveghere sau ale televiziunilor cu circuit închis sau de la ATM-urile bancare, precum și cele postate pe rețelele de socializare. Acest „Big Brother” este utilizat – atenție – pentru „identificarea suspecților care săvârșesc fapte penale”, dar și pentru identificarea celor „care urmează să comită fapte penale sau antisociale”. Bazele de date cu aceste imagini urmează să fie interconectate cu alte structuri polițienești, și nu numai, din Uniunea Europeană, contractul fiind finanțat din fonduri UE. Firma în cauză a primit pentru această afacere un contract de peste 1,18 milioane de euro.
Dataware Consulting SRL a mai derulat însă cinci contracte cu DGPI, patru contracte cu Direcția Națională Anticorupție, precum și afaceri similare încheiate cu UM 0251 București, IGPR, Poliția de Frontieră, MAI, SRI, MApN, SPP, Inspectoratul General pentru Situații de Urgență, Directoratul Național pentru Securitate Cibernetică, Direcția Generală Anticorupție sau Autoritatea Națională a Penitenciarelor.