DOCUMENT Registru Matricol Unic în care sunt înregistrați toți studenții din România a funcționat fără politici antivirus, fără proceduri de recuperare în caz de dezastru și fără strategie IT – raport al Curții de Conturi / Asemenea politici au început să fie elaborate abia în timpul auditului Curții

5.643 de vizualizări
Foto: Unsplash.com
Registrul Matricol Unic al Universităților din România, în care sunt înregistrați toți studenții și care „ar trebui să asigure un control riguros al diplomelor din învățământul universitar”, până când va fi înlocuit cu un nou sistem, a funcționat fără o strategie IT, „fără proceduri elaborate formalizat” și cu probleme serioase în domeniul securității – fără politici antivirus sau de recuperare în caz de dezastru. Acestea sunt câteva dintre concluziile unui raport de audit realizat de Curtea de Conturi, prezentat joi. Potrivit documentului, asemenea politici au început să fie elaborate în timpul auditului, desfășurat în a doua jumătate a anului trecut.
  • Registrul Educațional Integrat – Registrul Matricol Unic este platforma „care oferă acces la parcursul educațional al unei persoane, prin interconectarea sistemelor de gestiune din sectorul educaţional”, potrivit instituției sub egida căreia funcționează, UEFISCDI (Unitatea Executivă pentru Finanțarea Învățământului Superior, a Cercetării, Dezvoltării și Inovării). Noua Lege a învățământului superior 199/2023 prevede înființarea unui nou sistem informatic, RUNIDAS, care să gestioneze actele de studii eliberate și de școli, și de universități, și de Academia Română, precum și registrele matricole din învățământul superior. RUNIDAS va prelua datele din RMUR, dar, până la operaționalizarea noului sistem, va funcționa RMUR, potrivit prevederilor din Lege.
  • Potrivit ultimului raport UEFISCDI (2023), pentru anul universitar 2022-2023, în sistemul RMUR au fost înregistrați aprox. 526.332 de studenți (români și străini), provenind din toate ciclurile de studii universitare (pentru 87 de universități de stat și particulare din România). Începând cu anul 2016 au fost înregistrați 2.072.217 studenți dintre care 1.490.334 persoane unice.

În aceste condiții s-a desfășurat și auditul Curții de Conturi, care a urmărit evaluarea guvernanței IT, a modului în care au fost identificate riscurile de securitate, precum și evaluarea măsurii în care platforma își îndeplinește scopul de colectare și prelucrare a informațiilor. 

Iar verificările au dus la trei probleme scoase în evidență de Curtea de Conturi:

  • „Registrul matricol unic al universităților din România (RMUR) conține deficiențe în privința calității informațiilor disponibile, iar securitatea bazelor de date nu este la nivelul standardelor în domeniu;
  • RMUR are nevoie de îmbunătățiri și în ceea ce privește vizualizarea traseului educațional, identificarea situațiilor de dublă finanțare, interoperabilitate cu operatorii de transport feroviar;
  • Operațiunile IT ale Unității Executive pentru Finanțarea Învățământului Superior, a Cercetării, Dezvoltării și Inovării (UEFISCDI) nu au fost conduse de proceduri și politici elaborate formalizat.”

Raportul detaliat semnalează, însă, probleme considerabile la nivel IT / de securitate. Între altele:

  • Comitetul de monitorizare care trebuie să guverneze activitatea UEFISCDI nu a asigurat guvernanța IT printr-o strategie IT a instituției, strategie „care să definească obiectivele, direcțiile și politicile legate de IT, strategie care să cuprindă și obiective cu privire la REI-RMUR”. Potrivit raportului,  „acest Comitet de monitorizare nu este constituit și nu a funcționat până la data începerii auditului. De menționat că nu există regulamentul propriu pe baza căruia comitetul să funcționeze”.
  • Se face simțită „comunicarea deficitară dintre minister, UEFISCDI, comitetul de monitorizare și alte părți interesate”, în condițiile în care .„dezvoltarea unei strategii IT necesită o înțelegere clară a nevoilor și obiectivelor ministerului și a părților interesate”.
  • O concluzie a auditului este că „lipsa unei strategii IT la nivelul UEFISCDI nu a permis implementarea eficientă a tuturor obiectivelor REI/RMUR”.

În ceea ce privește securitatea, documentul notează că „UEFISCDI nu a avut o politică de securitate și drept consecință nici măsuri de implementare a unor controale IT”, iar singurele proceduri operaționale în zona IT „conțin doar definiții și enumeră câteva principii generale privind securitatea IT”.

Fără politici antivirus. Back-up limitat și cu neajunsuri

Raportul avertizează că „UEFISCDI nu are o politică antivirus, politică de back-up și politică de recuperare în caz de dezastru care să asigure cadrul pentru integritatea și protecția datelor, în condițiile în care, potrivit ROF, elaborarea acestor politici revenea Serviciului informatică și infrastructură suport”. Documentul notează însă că „în timpul auditului, au fost luate măsuri de elaborare și aprobare a acestor politici”.

Se precizează, totodată, că „inexistența unor politici pentru securitatea informațiilor a fost determinată de subestimarea necesității acestor politici, motivat de percepția că UEFISCDI este o entitate de dimensiuni reduse, ceea ce a condus la nealocarea resurselor necesare pentru dezvoltarea și implementarea acestor politici.”

Raportul Curții de Conturi atrage atenția asupra riscurilor cu care s-a confruntat platforma în lipsa unor politici IT:

„Absența politicilor IT la nivelul entității a condus la lipsa procedurilor sau instrucțiunilor adecvate, expunând entitatea la vulnerabilități. De exemplu, lipsa unei politici de securitate putea sa faca entitatea vulnerabilă la:

▪ atacuri cibernetice (cum ar fi: furtul de date, ransomware și malware), ce pot avea un impact semnificativ asupra funcționării REI/RMUR, inclusiv pierderi financiare și de date;

▪ pierderi de date, ce ar putea duce la furturi de identitate (sistemul stocând date personale) ce pot atrage sancțiuni legale, costuri financiare și afectarea imaginii UEFISCDI;

▪ incidente de securitate (cum ar fi: acces neautorizat, coruperea datelor sau întreruperi ale serviciilor) ce pot perturba operațiunile REI/RMUR și pot atrage pierderi financiare”

Alte probleme sau neajunsuri semnalate de Curtea de Conturi:

  • „UEFISCDI nu are o politică de securitate sau de protecție a datelor care să includă și protecția și securitatea datelor cu caracter personal”, dar în REI-RMUR sunt aplicate unele măsuri tehnice de protecție a acestor date
  • „Datele cu caracter personal nu sunt criptate în sistemul REI/RMUR”
  • Pentru REI-RMUR nu exista o politică de back-up, dar „se fac salvări regulate ale datelor”, Pe de altă parte, datele „se stochează în aceeași locație sau pe servere aflate în același oraș, deci în locații supuse acelorași tipuri de riscuri”.
  • „Nu a fost elaborată și aprobată o metodologie pe baza căreia să fie implementat un raport care să permită vizualizarea informatiilor aferente traseului educațional al studenților și cursanților și care să stea la baza fundamentării, formulării şi implementării politicilor publice în domeniu. În lipsa acestor informații agregate suplimentar într-o serie de rapoarte statistice specifice, politicile publice în domeniul educației ar putea fi elaborate fără o fundamentare adecvată iar oferta educațională ar putea fi necorelată cu cerințele pieței muncii”.

„În concluzie, RMUR permite verificarea autenticităţii actelor de studii, a documentelor şcolare şi a parcursului şcolar în vederea aplicării vizei Ministerului Educaţiei prin Centrul Naţional de Recunoaştere şi Echivalare a Diplomelor (CNRED). Totuși, RMUR nu este utilizat la capacitatea sa deplină pentru vizualizarea traseului educațional al studenţilor şi cursanţilor din instituţiile de învăţământ superior din România şi Academia Română în vederea fundamentării, formulării şi implementării politicilor publice în domeniu şi, implicit, corelării ofertei educaţionale cu cerinţele pieţei muncii”, arată raportul.

Recomandările Curții de Conturi

Raportul include și un set de recomandări privind securitatea și administrarea datelor din Registrul Matricol Unic. Printre acestea:

  • Dezvoltarea unei strategii IT care să contribuie la alinierea activității IT cu obiectivele privind trecerea de la RMUR la RUNIDAS, inclusiv migrarea în cloud-ul guvernamental.
  • Elaborarea și aprobarea de către UEFISCDI de politici, proceduri și reglementări interne care să asigure gestionarea riscurilor critice privind securitatea informațiilor din bazele de date REI/RMUR.
  • Luarea unor măsuri suplimentare de securitate pentru protecția datelor în cazul în care UEFISCDI va permite în continuare utilizarea conturilor gratuite de email pentru înregistrarea și crearea de conturi de utilizator.
  • Elaborarea și aprobarea de politici, proceduri și reglementări interne care să asigure gestionarea riscurilor critice privind protecția datelor cu caracter personal din bazele de date și implementarea tehnicilor de pseudonimizare și pentru alte câmpuri din baza de date care stochează informații cu caracter personal.
  • Analizarea eficienței introducerii criptării bazelor de date care stochează date cu caracter personal, astfel încât să se asigure alinierea la cadrul legal privind protecția datelor cu caracter personal.
  • Elaborarea unei proceduri formalizate prin care să fie reglementat procesul de furnizare a datelor în scopul prelucrării statistice sau istorice pentru a asigura că datele sunt prelucrate în mod legal și transparent, iar drepturile persoanelor ale căror date sunt colectate sunt protejate. Arhivarea datelor colectate după ce persoana nu mai are statutul de student/cursant pentru a se asigura faptul că datele sunt disponibile pentru cercetare și analiză istorică

Vezi integral raportul prezentat de Curtea de Conturi:


2 comments
  1. Ministerul Educatiei, Consiliul Rectorilor, Consortiul Universitaria si alti decidenti din mediul nostru educational (academic si preuniversitar) ignora sau chiar resping nu numai standardele internationale de management al calitatii (familia ISO 9000) ci si pe cele de management al securitatii informatiei (famila ISO 27000) si altele – considerand ca nu am avea nevoie in scoli si universitati de sisteme de management conforme unor standarde internationale larg aplicate in restul lumii, intrucat acestea ar …”limita inovativitatea si creativitatea specifice mediului educational”.
    Asa a aparut in 2005 si SIMULACRUL de asigurare a calitatii educatiei generat de OUG 75-2005 (abrogata teoretic in 2023 prin Legea 198 dar transpusa simultan, aproape integral, prin copy-paste, cu alta numerotare a articolelor, in noile legi ale educatiei L 198 si L 199 promulgate in 2023!)
    Iata consecintele incredibile ale ignorantei, suficientei si arogantei la nivelul decidentilor in educatie !!! Pana cand?

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

You May Also Like

O treime dintre elevii de 15 ani din România văd școala ca pe o pierdere de timp, arată evaluările PISA 2022 / Elevii trebuie să își dezvolte competențele sau să fie capabili să acceseze un loc de muncă la sfârșitul școlii, iar liceul din România nu oferă aceste două aspecte – Hannah Kitchen, OCDE

România are cea mai mare rată de părăsire timpurie a școlii, spune Lucie Cerna, analist principal în echitate, incluziune și tranziții în cadrul Direcției pentru educație și competențe a OCDE…
Vezi articolul

Daniel David, rectorul Universității Babeș Bolyai, despre proiectul legii învățământului universitar, varianta Deca: Lucrurile arată bine, acceptabil, legea este bine conectată cu reformele europene / Cere Parlamentului decuplarea legilor și adoptarea mai rapidă a celei pentru universități

Rectorul Universității Babeș Bolyai de la Cluj-Napoca a declarat că, din perspectiva universității pe care o reprezintă „lucrurile arată bine, acceptabil” în privința proiectului de lege a învățământului superior. Profesorul…
Vezi articolul

Numărul total al studenților din România – din nou în scădere, după doi ani de creștere /  Mai mulți absolvenți în 2021 decât în anul anterior, dar o bună parte termină studiile în domenii unde universitățile locale au prezență slabă sau nu au deloc în rankinguri internaționale

Numărul studenților din România a scăzut din nou în ultimul an universitar, după doi ani de creștere, potrivit datelor publicate recent de Institutul Național de Statistică. Acestea arată că scăderea…
Vezi articolul

Tabere studențești 2024. Cazare gratuită la munte timp de o săptămână în luna februarie, pentru studenții integraliști, cu bursă socială sau cu performanțe deosebite / Înscrierile, deschise deja la unele facultăți – condițiile de participare

Sesiunile de tabere studențești 2024 se deschid cu două săptămâni care pot fi petrecute în locații din zone de munte, în luna februarie, în premieră pentru ultimii ani, potrivit comunicatelor…
Vezi articolul