Există 3 categorii de furnizori de cloud pentru instituțiile publice iar in acest articol vom discuta impactul acestui HG asupra lor. Există două tipuri de consecințe, blocante și schimbătoare de reguli de joc.
Avem active astfel următoarele tipuri de furnizori de cloud:
· marii furnizori de cloud internaționali (ex. Microsoft, Google). Consistența prezenței lor românești variază semnificativ, se implică la nivel de lobby dar vând exclusiv prin alte firme, de obicei locale.
· furnizori locali de cloud, de obicei ca linie de business din cadrul unui telecom (ex. Orange) sau, mai nou, ca afacere principală (ex. ClusterPower). Au obiceiul să participe ca asociați în consorții care depun oferte în achizițiile publice. Sunt dispuși să se muleze pe cerințele locale (ex. certificarea data-centerului pentru arhivare electronică sau jocuri de noroc)
· furnizori locali de SaaS care dezvoltă respectiva aplicație (ex. Regista, ConnectX). De cele mai multe ori folosesc servicii de cloud pe care le cumpără de la celelalte două categorii. Sunt în contact direct și permanent cu administrația publică.
Din perspectiva administrație publice furnizorii de SaaS sunt cei mai importanți. Pe de o parte oferă servicii direct integrate în funcționarea instituției publice iar pe de altă parte aduc expertiza tehnică exact în locul unde poate face cea mai mare diferență. OUG-ul le-a oferit gratis aceleași servicii în cloudul privat guvernamental ca cele pe cere le cumpără de la furnizorii lor actuali sub condiția unui management responsabil al serviciului SaaS. Vor fi prezenți în marketplace cât timp aplicațiile lor vor corespunde criteriilor de calitate din zona de securitate și management date.
În discuțiile anterioare am avut o coliziune cu interesele ADR care nu dorește să fie în competiție cu acești furnizori în cazul aplicațiilor SaaS dezvoltate de ADR, din cei 100 mil euro și a fost exprimată dorința ca să existe anumite categorii de servicii SaaS interzise ofertanților privați. Această viziune nu se regăsește explicit în HG. Există prevederi care stabilesc criterii pentru acceptarea de către ADR în marketplace legate de securitatea aplicației, respectarea GDPR și transparența furnizorului.
Lipsește un mandat explicit pentru ADR de a negocia această listare contra unor condiții mai bune, inclusiv de natură comercială. Similar unui contract cadru guvernamental.
Lipsește o prevedere explicită care să interzică aranjamente comerciale în afara condițiilor listate în marketplace. Astfel administrația publică este lipsită de beneficiul discountului de volum pe care l-ar obține natural din partea furnizorului. Nu în ultimul rând nu sunt prevenite aranjamente de tipul Mândruțescu / Oracle care distorsionează grav competiția în piața guvernamentală.
Ambele lipsuri își au originea în lipsa de voință din OUG.
În schimb HG-ul nu ezită să creeze în alte zone drepturi noi pentru ADR. Aș fi foarte interesat să văd, dacă există, tabelul de mapare dintre HG și OUG.
Concluzie în privința furnizorilor de SaaS
Raportându-ne la textul OUG putem observa următoarele lipsuri și adăugiri la lege:
- Art.3 (8) din OUG nu este satisfăcut de HG din perspectiva existenței criteriilor și măsurilor cu privire la impunerea adaptării la standarde tehnice și semantice care ar fi trebuit să existe în Art.39 (3) din HG.
- Asigurarea interoperabilității aplicațiilor de cloud cerută de același Art.3 (8) din OUG este abordată doar la nivel de transport date și este deturnată într-un pretext pentru Art.26 din HG care vorbește despre o platformă de tip API Gateway ca infrastructură informatică dedicată, deci în afara CPG. Este o viziune mercantilă, orientată spre mari proiecte tehnice, în locul unei abordări sistemice menită a facilita interoperabilitatea nativă (care nu este numai la nivel de date ci include și servicii PaaS și IaaS interschimbabile), fără prea multe transformări de date sau refaceri de aplicații.
- Conform Art.46 (4) din HG toate instituțiile publice centrale au obligația de a migra către varianta de cloud a aplicației on-prem existente. Achiziția unei aplicații noi ar trebui să aibă ca și condiției de calificare disponibilitatea în cloud 46 (2). Însă oricât de bine sună, forța acestor prevederi este iluzorie întrucât Art. 8 (2) din OUG are un „sau” care permite minimal interconectarea aplicațiilor așadar „cloudificarea” rămâne legată de (bună)voința conducătorului instituției.
Furnizorilor de SaaS găzduiți de Cloudul privat guvernamental li se oferă, în concluzie, o reducere semnificativă de costuri (care ar fi mers către platformele mari de cloud) și li se cere colaborarea în zona securității cibernetice atât pe zona de analiza de risc / proiectare / bune practici în realizarea aplicațiilor cât și în zona operațională cu adresabilitate către factorul uman și zona de helpdesk, ticketing și callcenter. În toate celelalte aspecte nu există prevăzute schimbări legale cu consecințe semnificative. Există însă o zonă de risc, modul în care ADR va înțelege să-și construiască o relație cu această comunitate, dacă pe unii îi va migra direct în cloud iar altora le va pierde câte o hârtie din dosarul cu șină.
Concluzie în privința furnizorilor locali de cloud
Din perspectiva activității lor de furnizare SaaS, dacă există, se aplică cele aferente. Altfel, prin flexibilitatea pe care o au, ar putea fi avantajați de aceste prevederi prin preluarea clienților cloudurilor internaționale care nu doresc să meargă în CPG. Spre deosebire de micii furnizori de SaaS aceștia sunt deja obișnuiți cu statutul de „infrastructură critică” fiind deja sprijin pentru activitatea de comunicații și au deci obișnuința dialogului și colaborării cu autoritățile din domeniu.
Concluzie în privința furnizorilor internaționali de cloud
Pentru că în marketplace vor fi listate doar servicii SaaS iar construcția acestor norme se bazează pe o abordare bazată pe această listare, tot ce nu este listabil, adică serviciile IaaS și PaaS, sunt libere, astfel afacerea PaaS, care este esența acestor furnizori, va continua nestingherită. Mai mult, un wrapper peste un serviciu SaaS, să zicem peste Office 365, îl downgradează formal ca fiind PaaS, un aranjament posibil tehnic și comercial cu o firmă românească care să asigure listarea în marketplace.
Lipsa de recursivitate a prevederilor legii pentru toți furnizorii implicați, la fel ca și în cazul legii 5G, va duce la un joc de-a șoarecele și pisica. În aplicarea Art.24 (1) b) este datoria instituției publice să argumenteze că serviciul de cloud comercial este legitim, o abordare nerealistă, chiar ridicolă, care nu atrage responsabilități reale pentru operatorul cloudului.
Elefantul din încăpere pe care îl ignoră toți
Art.16 (2) din OUG este singura prevedere cu adresabilitate directă (call to action) pentru operatorii de cloud comercial. A fost o liniște asurzitoare în legătură cu aceasta pe parcursul discuțiilor despre HG. Este formal corect, aplicarea ei va fi detaliată prin Ordin MCID.
Am scris deja cum ar fi interpretabil acest articol și imposibilitatea furnizorilor internaționali de cloud de a-l satisface ad-literam.
Nu-mi pot opri o digresiune ... cariera politică este decisă de capacitatea de a găsi soluții productive în situații de conflict, atât cu legea cât și între mai multe părți interesate. A satisface conducerea partidului implică, de cele mai multe ori, încă un schelet în dulap. Va fi interesant să vedem în ce măsură dl Burduja va naviga Art.16 (2) cu succes între Scila și Caribda și câți marinari va pierde pe drum.
Următoarea postare, ultima, va fi mai puțin tehnică dar dedicată câtorva intenții greu de explicat celor care dau atenție democrației sau au, ca mine, sechele din perioada comunistă.
Niciun comentariu:
Trimiteți un comentariu