DOCUMENT Registru Matricol Unic în care sunt înregistrați toți studenții din România a funcționat fără politici antivirus, fără proceduri de recuperare în caz de dezastru și fără strategie IT – raport al Curții de Conturi / Asemenea politici au început să fie elaborate abia în timpul auditului Curții

Registrul Matricol Unic al Universităților din România, în care sunt înregistrați toți studenții și care „ar trebui să asigure un control riguros al diplomelor din învățământul universitar”, până când va fi înlocuit cu un nou sistem, a funcționat fără o strategie IT, „fără proceduri elaborate formalizat” și cu probleme serioase în domeniul securității – fără politici antivirus sau de recuperare în caz de dezastru. Acestea sunt câteva dintre concluziile unui raport de audit realizat de Curtea de Conturi, prezentat joi. Potrivit documentului, asemenea politici au început să fie elaborate în timpul auditului, desfășurat în a doua jumătate a anului trecut.

• Registrul Educațional Integrat – Registrul Matricol Unic este platforma „care oferă acces la parcursul educațional al unei persoane, prin interconectarea sistemelor de gestiune din sectorul educaţional”, potrivit instituției sub egida căreia funcționează, UEFISCDI (Unitatea Executivă pentru Finanțarea Învățământului Superior, a Cercetării, Dezvoltării și Inovării). Noua Lege a învățământului superior 199/2023 prevede înființarea unui nou sistem informatic, RUNIDAS, care să gestioneze actele de studii eliberate și de școli, și de universități, și de Academia Română, precum și registrele matricole din învățământul superior. RUNIDAS va prelua datele din RMUR, dar, până la operaționalizarea noului sistem, va funcționa RMUR, potrivit prevederilor din Lege.
• Potrivit ultimului raport UEFISCDI (2023), pentru anul universitar 2022-2023, în sistemul RMUR au fost înregistrați aprox. 526.332 de studenți (români și străini), provenind din toate ciclurile de studii universitare (pentru 87 de universități de stat și particulare din România). Începând cu anul 2016 au fost înregistrați 2.072.217 studenți dintre care 1.490.334 persoane unice.

În aceste condiții s-a desfășurat și auditul Curții de Conturi, care a urmărit evaluarea guvernanței IT, a modului în care au fost identificate riscurile de securitate, precum și evaluarea măsurii în care platforma își îndeplinește scopul de colectare și prelucrare a informațiilor. 

Iar verificările au dus la trei probleme scoase în evidență de Curtea de Conturi:

• „Registrul matricol unic al universităților din România (RMUR) conține deficiențe în privința calității informațiilor disponibile, iar securitatea bazelor de date nu este la nivelul standardelor în domeniu;
• RMUR are nevoie de îmbunătățiri și în ceea ce privește vizualizarea traseului educațional, identificarea situațiilor de dublă finanțare, interoperabilitate cu operatorii de transport feroviar;
• Operațiunile IT ale Unității Executive pentru Finanțarea Învățământului Superior, a Cercetării, Dezvoltării și Inovării (UEFISCDI) nu au fost conduse de proceduri și politici elaborate formalizat.”

Raportul detaliat semnalează, însă, probleme considerabile la nivel IT / de securitate. Între altele:

• Comitetul de monitorizare care trebuie să guverneze activitatea UEFISCDI nu a asigurat guvernanța IT printr-o strategie IT a instituției, strategie „care să definească obiectivele, direcțiile și politicile legate de IT, strategie care să cuprindă și obiective cu privire la REI-RMUR”. Potrivit raportului,  „acest Comitet de monitorizare nu este constituit și nu a funcționat până la data începerii auditului. De menționat că nu există regulamentul propriu pe baza căruia comitetul să funcționeze”.
• Se face simțită „comunicarea deficitară dintre minister, UEFISCDI, comitetul de monitorizare și alte părți interesate”, în condițiile în care .„dezvoltarea unei strategii IT necesită o înțelegere clară a nevoilor și obiectivelor ministerului și a părților interesate”.
• O concluzie a auditului este că „lipsa unei strategii IT la nivelul UEFISCDI nu a permis implementarea eficientă a tuturor obiectivelor REI/RMUR”.

În ceea ce privește securitatea, documentul notează că „UEFISCDI nu a avut o politică de securitate și drept consecință nici măsuri de implementare a unor controale IT”, iar singurele proceduri operaționale în zona IT „conțin doar definiții și enumeră câteva principii generale privind securitatea IT”.

Fără politici antivirus. Back-up limitat și cu neajunsuri

Raportul avertizează că „UEFISCDI nu are o politică antivirus, politică de back-up și politică de recuperare în caz de dezastru care să asigure cadrul pentru integritatea și protecția datelor, în condițiile în care, potrivit ROF, elaborarea acestor politici revenea Serviciului informatică și infrastructură suport”. Documentul notează însă că „în timpul auditului, au fost luate măsuri de elaborare și aprobare a acestor politici”.

Se precizează, totodată, că „inexistența unor politici pentru securitatea informațiilor a fost determinată de subestimarea necesității acestor politici, motivat de percepția că UEFISCDI este o entitate de dimensiuni reduse, ceea ce a condus la nealocarea resurselor necesare pentru dezvoltarea și implementarea acestor politici.”

Raportul Curții de Conturi atrage atenția asupra riscurilor cu care s-a confruntat platforma în lipsa unor politici IT:

„Absența politicilor IT la nivelul entității a condus la lipsa procedurilor sau instrucțiunilor adecvate, expunând entitatea la vulnerabilități. De exemplu, lipsa unei politici de securitate putea sa faca entitatea vulnerabilă la:

▪ atacuri cibernetice (cum ar fi: furtul de date, ransomware și malware), ce pot avea un impact semnificativ asupra funcționării REI/RMUR, inclusiv pierderi financiare și de date;

▪ pierderi de date, ce ar putea duce la furturi de identitate (sistemul stocând date personale) ce pot atrage sancțiuni legale, costuri financiare și afectarea imaginii UEFISCDI;

▪ incidente de securitate (cum ar fi: acces neautorizat, coruperea datelor sau întreruperi ale serviciilor) ce pot perturba operațiunile REI/RMUR și pot atrage pierderi financiare”

Alte probleme sau neajunsuri semnalate de Curtea de Conturi:

• „UEFISCDI nu are o politică de securitate sau de protecție a datelor care să includă și protecția și securitatea datelor cu caracter personal”, dar în REI-RMUR sunt aplicate unele măsuri tehnice de protecție a acestor date
• „Datele cu caracter personal nu sunt criptate în sistemul REI/RMUR”
• Pentru REI-RMUR nu exista o politică de back-up, dar „se fac salvări regulate ale datelor”, Pe de altă parte, datele „se stochează în aceeași locație sau pe servere aflate în același oraș, deci în locații supuse acelorași tipuri de riscuri”.
• „Nu a fost elaborată și aprobată o metodologie pe baza căreia să fie implementat un raport care să permită vizualizarea informatiilor aferente traseului educațional al studenților și cursanților și care să stea la baza fundamentării, formulării şi implementării politicilor publice în domeniu. În lipsa acestor informații agregate suplimentar într-o serie de rapoarte statistice specifice, politicile publice în domeniul educației ar putea fi elaborate fără o fundamentare adecvată iar oferta educațională ar putea fi necorelată cu cerințele pieței muncii”.

„În concluzie, RMUR permite verificarea autenticităţii actelor de studii, a documentelor şcolare şi a parcursului şcolar în vederea aplicării vizei Ministerului Educaţiei prin Centrul Naţional de Recunoaştere şi Echivalare a Diplomelor (CNRED). Totuși, RMUR nu este utilizat la capacitatea sa deplină pentru vizualizarea traseului educațional al studenţilor şi cursanţilor din instituţiile de învăţământ superior din România şi Academia Română în vederea fundamentării, formulării şi implementării politicilor publice în domeniu şi, implicit, corelării ofertei educaţionale cu cerinţele pieţei muncii”, arată raportul.

Recomandările Curții de Conturi

Raportul include și un set de recomandări privind securitatea și administrarea datelor din Registrul Matricol Unic. Printre acestea:

• Dezvoltarea unei strategii IT care să contribuie la alinierea activității IT cu obiectivele privind trecerea de la RMUR la RUNIDAS, inclusiv migrarea în cloud-ul guvernamental.
• Elaborarea și aprobarea de către UEFISCDI de politici, proceduri și reglementări interne care să asigure gestionarea riscurilor critice privind securitatea informațiilor din bazele de date REI/RMUR.
• Luarea unor măsuri suplimentare de securitate pentru protecția datelor în cazul în care UEFISCDI va permite în continuare utilizarea conturilor gratuite de email pentru înregistrarea și crearea de conturi de utilizator.
• Elaborarea și aprobarea de politici, proceduri și reglementări interne care să asigure gestionarea riscurilor critice privind protecția datelor cu caracter personal din bazele de date și implementarea tehnicilor de pseudonimizare și pentru alte câmpuri din baza de date care stochează informații cu caracter personal.
• Analizarea eficienței introducerii criptării bazelor de date care stochează date cu caracter personal, astfel încât să se asigure alinierea la cadrul legal privind protecția datelor cu caracter personal.
• Elaborarea unei proceduri formalizate prin care să fie reglementat procesul de furnizare a datelor în scopul prelucrării statistice sau istorice pentru a asigura că datele sunt prelucrate în mod legal și transparent, iar drepturile persoanelor ale căror date sunt colectate sunt protejate. Arhivarea datelor colectate după ce persoana nu mai are statutul de student/cursant pentru a se asigura faptul că datele sunt disponibile pentru cercetare și analiză istorică

Vezi integral raportul prezentat de Curtea de Conturi: