Neînțelegeri eIDAS (eIDAS #55)

Astăzi este acea zi în care am vrut să cumpăr arhivă digitală pe L135 dar mi-a fost oferit, ca upgrade, un serviciu LTP pe eIDAS ...

Sunt trist de cât de puține comentarii voi primi pentru afirmația de mai sus.

Propuneri pentru OUG Cloud

Mâine este ultima zi pentru trimiterea de observații despre OUG-ul cloud-ului guvernamental. Eu nu voi trimite, unul dintre motive este imposibilitatea de a suplini prin acest mecanism uriașa cantitate de decizii care nu sunt abordate de proiect. Totuși trebuie spuse public câteva aspecte cardinale.

⚠️Reforma din PNRR este definită prin ”utilizarea cloud-ului de către instituțiile publice” nu de ”crearea cloud-ului guvernamental”. O confuzie care nu poate fi permisă, exact diferența între un impact societal benefic și simpla cheltuire de bani.

Astfel, dintre controversele din OUG, trebuie să rezolvăm cu prioritate acele aspecte care altfel vor descuraja adopția serviciului de către instituțiile publice. În acest sens trebuie să fim pragmatici, să dovedim că am înțeles, cu bune și mai ales cu rele, cum funcționează digitalizarea în administrație.

‼️ Serviciile SaaS sunt cheia și viitorul digitalizării administrației.

Este necesar să regăsim în cloud un ecosistem concurențial de servicii SaaS. Companiile private trebuie să fie prezente cu serviciile lor cu respectarea unor condiții:

👉datele vor fi găzduite în PaaS și vor respecta un model de date predefinit:

☑️va fi garantată separarea activității de dezvoltare  de accesul la datele cetățenilor

☑️datele nu vor dispare în cazul unui accident contractual/ bugetar

☑️interoperabilitatea va fi asigurată prin conectori de date standardizați, așadar rapid și ieftin

👉codul sursă va fi pus la dispoziție și întreținut într-un SVN din cloud, rămânând proprietatea companiei

☑️codul va putea fi auditat, inclusiv automat, din perspectiva cybersecurity

☑️trasabilitate și siguranță în procesul de deployment, inclusiv în privința dependențelor

👉Migrarea aplicației on-prem va fi făcută, ca primă opțiune, de furnizorul acesteia și instituția publică care o deține.

❗️În lipsa co-interesării furnizorului și beneficiarului, doar cu legea și capabilitățile ADR, migrarea va întâmpina greutăți practice insurmontabile iar cloud-ul va rămâne gol.

O altă problemă fierbinte este utilizarea serviciilor de cloud comercial.

Este necesar ca aceste servicii să fie cumpărate după un proces de aprobare de către o instituție desemnată. Ar trebui să existe două direcții de analiză:

👉Un cadru potrivit activității instituțiilor publice:

☑️Identificarea riscurilor legale prin analiza stufoaselor condiții comerciale și amendarea acestora.

☑️Evaluarea riscurilor operaționale prin certificările sau auditarea furnizorului de cloud.

☑️Condiții financiare speciale, inclusiv cu privire la continuarea serviciului în lipsa bugetării (similare cu cele aferente operatorilor de utilități)

👉O selecția a datelor și procedurilor administrative potrivite pentru un cloud comercial

☑️Definirea de clase de date, dincolo de: clasificate/ nepublice/ personale: sensibile, normale / anonimizate.

☑️Definirea de cicluri de producție temporale: date relevante pe termen scurt (precum rezultatele la Bac) v.s. date istorice cu accesare continuă. Astfel se diminuează impactul încetării serviciului și se facilitează schimbarea furnizorului de cloud.

☑️Stimularea externalizării în cloudul comercial în special a utilizării de tehnologii avansate precum ML, IA, cu separarea datelor de contextul operațional relevant.

Reacția Administrației la Legea Interoperabilității

Astăzi a avut loc un eveniment remarcabil prin transparența sa, dl Sabin Sărmaș a ținut la parlament o dezbatere cu importante instituții publice pe legea interoperabilității și a publicat-o. Sabin joacă de ceva vreme un rol politic foarte pretențios👏👏, din perspectiva partidului calmează și anesteziază opoziția (politică și ONG-uri / business) iar din perspectivă personală își crește portofoliul de relații personale acordând recunoaștere și vizibilitate celor pe care îi invită.

Legea Interoperabilității a fost începută în acest context și preluată cu mici dar importante modificări de către zona executivă.

☢️Și legea cloud-ului ar fi urmat același traseu însă pare că Sabin intuiește problemele ce urmează și la 01.03.00 din înregistrare o renegă, declară că nu o cunoaște bine și deviază către ADR.

Revenind ... Multe instituții și grele prezente. Prima care a luat cuvântul MAI-DEPABD a adus observații nu mai puțin de 1 oră. Noroc cu Cătălin Giulescu care este open minded și promotor al progresului, acesta a formulat foarte constructiv ce avea de spus. Nu sunt noutăți, ca și mine spune pe larg, spre exemplu la 00.33.00 că nu poți nega responsabilitățile operatorilor de registre de bază iar la 00.45.00 explică că nu poți altera obligațiile impuse de GDPR.

Cum Cătălin este un excelent expert în protecția datelor personale, și mai avea și dreptate, Sabin s-a repliat elegant indicând o specialistă GDPR care a contribuit ca reprezentantă a societății civile.

La 01.08.00 DRPCIV exemplifică diferența dintre prevederea legală și realitate cu un registru care legal există dar practic nu. La 01.14.00 MFP ne aduce aminte că totuși secretul fiscal există.

Dacă este să rețin cel mai important lucru, este că a fost demonstrat pe larg că accesul la date trebuie alocat la nivel de procedură administrativă și nu doar asociat unei instituții. ‼️ Astfel, se definește clar scopul interogării și setul minim de date necesare a fi prelucrate. Acum nu-mi rămâne decât să mă întorc la evaluarea mea inițială și să estimez câte ore de dezbatere mai necesită celelalte probleme identificate.😱

Draft OUG Cloud Guvernamental

O nouă lovitură de presă din partea Guvernului – astăzi a publicat în dezbatere un proiect de OUG pentru Cloudul Guvernamental. Față de legea interoperabilității de ieri, contextul personal îmi face acest subiect mai dificil de abordat. Din fericire la finalul lunii Ianuarie a fost leaked o versiune intermediară și compararea lor poate susține identificarea dinamicii.

⚠️Rămân ca actori relevanți pentru cloud: STS, SRI și ADR.

⬇️MCID pierde managementul fondurilor PNRR pentru cloud în favoarea ADR / OIPSI. Tot MCID nu mai poate iniția norme legale fără acordul acestei troici.

⬇️Se pune accentul pe deținerea în proprietate a unor produse software (din zona cybersecurity și migrare aplicații) care în mod normal sunt licențiate, ba chiar abonamente. Sper să nu intenționeze să le refacă de la zero.

❌Mult mai lungă este lista prevederilor care lipsesc din lege. Mă aștept ca întrebările care necesită aceste răspunsuri să devină în curând publice.

Nu pot însă să nu mă întreb acum, referitor la prevederea din PNRR:

”Punerea în aplicare a acestei investiții va fi sprijinită printr-o evaluare efectuată de un consultant extern, care se așteaptă să furnizeze opțiunile strategice și tehnologice și 👉pachetul legislativ și de reglementare👈”

Cine v-a lucrat aici ?😁

Draft Lege Interoperabilitate

Ne-a venit în ceas de seară propunerea de lege dedicată interoperabilității, produs al unei colaborări organizate de Sabin Sărmaș între parlamentari și societatea civilă. Mingea ridicată a fost pocnită degrabă de ADR care ne-a anunțat că va fi procedură de urgență în Parlament iar milestone-ul PNRR este practic rezolvat.

Din păcate mai este mult până departe.

Pun în primul link o șarjă rapidă de comentarii pe text.

Pentru culoare doar spun aici că ADR nu vrea să-și folosească pentru platformă viitorul cloud guvernamental (Art.9-3) în schimb este scris de 2 ori (Art.16-5 și 19-1) că MFP trebuie să-i mărească bugetul.

Mai interesantă este abordarea conceptuală a dreptului de accesare a datelor. Practic este un self-service, o autoservire în care cei care sunt în sistem pot interoga orice date în baza bunei lor credințe. 

Sunt primite și entități private doar că acestea trebuie să plătească. Nu este clar dacă ADR păstrează toți banii sau dă ceva și celui care a muncit pentru întreținerea datelor.

Pentru unii mumă, pentru alții ciumă.

Un deținător privat de date, spre exemplu o bancă, ar putea taxa instituțiile publice pentru a le oferi date (Art.13-3). În schimb companiile software sunt obligate să-și modifice produsele utilizate de instituțiile publice gratuit (cum nu există nimic gratuit – pe cheltuială proprie)(Art.18). Curios, ANIS a participat în grupul de lucru.

Dincolo de aceste cârcoteli problema reală este că legea nu va funcționa. Marii deținători de registre nu vor intra în sistem atât din motive obiective cât și subiective. My 2c.