vineri, 27 ianuarie 2023

O perspectivă sumbră asupra cloudului guvernamental

Mă voi concentra în continuare pe cea mai importantă temă, de care depinde succesul proiectului cloudului privat guvernamental, temă căreia i-am adus argumente constant în lungul drum al consultării publice. Mă tem că acum, la final, cei care am supraviețuit acestui efort constatăm că am fost supuși unei tehnici de obosire, la fiecare etapă am primit, cu greu, ceva „rezonabil” și astfel am trăit cu speranța că totul se va clarifica pozitiv în următoarea etapă.

Din perspectiva mea succesul cloudului privat guvernamental se definește prin existența unui ecosistem de aplicații și servicii divers, dinamic, în permanentă îmbunătățire, apropiat de utilizatorii săi. Aceste caracteristici sunt inutil scrise pe hârtie, pot rezulta real doar dintr-un sistem care să stimuleze apariția lor continuă și spontană.

Ceea ce numesc „sistem” este, real, compus dintr-un număr de scenarii și din factori care favorizează scenariul preferat. Cu o singură idee adăugată în HG, după circuitul de avizare, butoanele sunt răsucite invers și astfel eu, aici, vă voi prezenta un scenariu deosebit de sumbru care brusc a prins prim-planul.

Dar stai, nu avem jalon PNRR minim 30 de instituții utilizatoare a CPG ? Desigur, însă acest jalon de 100 mil euro este îndeplinibil formal prin simpla mutare în CPG a aplicației ghișeul.ro care deservește sute de instituții publice. O autoamăgire de care sper să ne ferim.


Succesul real al cloudului privat guvernamental, cel în care investim jumătate de miliard de euro prin PNRR, este adus, pe termen lung, de IMM-urile care deservesc instituțiile publice. Acestea au contact mult mai strâns, câteodată chiar intim, cu instituțiile publice, conducerea acestora, le cunosc nevoile, angoasele, utilizatorii și calificarea IT. În ciuda dificultăților, ba câteodată chiar a legii, reușesc de decenii să facă să se întâmple lucruri în instituțiile publice. Cheia de boltă este concurența acerbă dintre aceste companii, cu atât mai mare concurența cu cât compania este mai mică.

Voi explica de ce aceste companii mici, românești, nu-și mai au locul în CPG.

 Să începem însă prin descrierea cadrului general.

În acest pachet legislativ decizia despre ce companie oferă servicii, sau nu, în Cloudul Guvernamental este instrumentată prin câteva prevederi de natură tehnică, simple, logice și inevitabile.

În HG, Art.28 (1) enumeră 3 categorii de date: nepersonale, personale, personale cu caracter special. Art.27 (3) obligă ca cele personale să fie stocate în UE iar cele speciale doar În România. Mai mult, Art.29 (5) obligă ca cele încadrate ca speciale să fie stocate doar în Cloudul Privat Guvernamental.


Logica este simplă. Deși trăim într-o societate în care angajamentele contractuale au valoare și oferă garanții, totuși acestea sunt corespunzătoare doar pentru datele personale simple, pentru datele speciale este necesar suplimentar și un mecanism de control fizic care nu poate fi real aplicat decât pe teritoriul României și este continu, nu pe bază de inspecție periodică, respectiv doar în Cloudul Privat Guvernamental.


Noțiunea de „date speciale” este sensibilă (glumă pentru cunoscători).

GDPR se ferește să furnizeze o listă finită, oferă doar exemple în recital precum datele cu privire la sănătate, orientare politică sau sexuală și permite extinderea în legislație națională. Pentru noi aceasta ar fi Legea 190/2018 care stabilește contextul de prelucrare, și implicit caracterul special, pentru doar 3 tipuri de date:

·      date biologice și de sănătate

·      date identificatori unici naționali  - în principal CNP dar și altele, spre exemplu CIF

·      date aferente supravegherii activității de la locul de muncă

Aceasta este lista minimă, obligatorie. În HG avem această prevedere:

Art 29. (I) USC, înainte de utilizarea serviciilor fumizate prin Platformă, are responsabilitatea de a încadra și gestiona datele, în funcție de nivelul de risc asociat, rezultat al evaluării de impact efectuate conform prevederilor art. 35 din Regulament.

care, într-o aplicare diligentă, ar identifica numeroase alte date „speciale” datorită impactului volumului mare de date prelucrate într-o instituție publică.

În concluzie, de regulă, datele instituțiilor publice pot exista doar în Cloudul Privat Guvernamental cu excepția situațiilor punctuale, speciale, pe proiect, în care se face un efort de anonimizare pentru a utiliza infrastructura privată specializată, în A.I. sau prelucrări mari de date.

O decizie rezonabilă, a cărei direcție strategică nu o contest deși ar fi putut exista un reglaj mai fin.


Să cercetăm în ce măsură aplicațiile produse de IMM au acces și pot rula în Cloudul Privat Guvernamental CPG.


Existența aplicațiilor private în CPG, oferirea lor ca SaaS în urma investiției și dezvoltării lor pe riscul exclusiv al producătorului, a fost un subiect foarte important pentru mine, a cărui promovare am început-o singur și care a evoluat până la aparenta acceptare de către autorități.

Spun aparentă deoarece, din dinamica evoluției acestui pachet de norme asupra căreia voi reveni la final, a rezultat o abordare „one size fits all” in care există un marketplace care deservește la comun atât serviciile din CPG cât și cele comerciale și prin urmare este reglementat aferent nivelului minim dintre cele două, respectiv ca și catalog descriptiv.

Până la ultima variantă de HG, acest setup, cu optimism, putea fi considerat că acomodează și prezența serviciilor SaaS private în CPG.


Iată însă că a fost introdusă o idee bună – achiziția centralizată prin ADR pentru toate serviciile private care compun Platforma de Cloud.


Clarificare: Platforma de Cloud este compusă din Cloudul Privat Guvernamental CPG construit de ADR+STS+SRI la care se adaugă serviciile de cloud oferite de operatorii privați.


Este modul în care, putem spera, administrația publică va obține condiții comerciale mai bune în urma negocierilor purtate de ADR. Într-adevăr, în aceste norme există obligații pentru furnizori care astăzi nu se regăsesc în contractele comerciale standard oferite de aceștia. Ar fi însă de dorit să existe și reduceri de preț datorate volumului specific administrației publice.


Până aici, toate bune. Însă există o mică problemă introdusă după finalizarea dezbaterii publice:

Art.13 (1) x) ADR ... asigură, cu titlu gratuit, fumizarea serviciilor aferente CPG din marketplace pentru USC, inclusiv a serviciilor de securitate cibernetică asociate


Ni se propune următorul scenariu în ipoteza ca vor exista aplicații SaaS private în CPG.

1.      un IMM dezvoltă o aplicație pentru administrația publică.

2.      IMM solicită oferirea aplicației pe infrastructura CPG și publicarea în Marketplace.

3.      aplicația trece de evaluarea tehnică.

4.      IMM și ADR negociază un preț per lună și utilizator.

5.      IMM promovează aplicația sa către instituțiile publice.

6.      Instituțiile publice doresc să utilizeze aplicația.

7.      ADR plătește din bugetul propriu către IMM tot ce utilizează instituțiile publice.


Filmul acesta l-am mai văzut, cu licențele guvernamentale cumpărate de la Microsoft, și s-a terminat tare prost. Atunci când o instituție publică nu are costuri va consuma în bătaie de joc la fel precum turiștii la all-inclusive. Ministerul Educației, spre exemplu, a comandat licențe pentru toate calculatoarele avute pe inventar deși foarte multe erau nefuncționale fiind abandonate cu anii în așteptarea casării.

Îmi este imposibil să cred că scenariul acesta este funcțional.

Mai degrabă ADR, pentru a-și proteja bugetul, va face tot ce este posibil, și sunt destule posibilități, să nu ajungă aplicații SaaS private în CPG. Și așa se închide cercul: nu există inițiative private în CPG – nu există inițiative private care să utilizeze CNP – nu există inițiativă privată în beneficiul instituțiilor publice – nu există concurență, diversitate, calitate, client service și suport pentru instituțiile publice.

Vor exista doar aplicațiile dezvoltate de ADR sau pentru ADR, una singură per categorie (să evite dubla finanțare), cu mari lipsuri de flexibilitate și suport, inerente activității unui furnizor public precum ADR.


Nu vor exista mulți utilizatori în cloudul privat guvernamental.


Am ridicat în urmă cu câteva zile această problemă către MCID fără a primi un răspuns. Nu am acest obicei dar m-am simțit obligat să o fac pentru că, brusc, ia prim-planul alt scenariu și este unul tenebros.

Să privim totul, de la zero, cu alți ochi – predispuși spre teorii ale conspirației și cabale naționale.

1.      de ani buni instituțiile publice evită sau se simt inconfortabil să utilizeze serviciile de cloud comercial.

2.      apare PNRR cu obligația de a aloca minim 20% către digital, o sumă mult peste ce a reușit vreodată România să cheltuie în acest domeniu. Fără cloud acest prag nu putea fi atins.

3.      tot PNRR impune doar proiecte deja demarate, plauzibil de livrat în termenul scurt alocat.

4.      pentru cloud, obiectiv, singura soluție era investiția deja demarată de STS.

5.      se anunță existența unui Memorandum secret semnat cu Microsoft.

6.      se pornește dezbaterea publică pe OUG și HG.

7.      industria IT este relativ placidă în dezbateri, vine cu propuneri aiuristice de genul ocolirii GDPR, rapid și victorios respinse de autorități.

8.      se construiește o normă care aparent fructifică investiția în CPG dar, cu bunăvoință din partea autorităților (acceptarea unor evaluări de impact trase de păr, anonimizarea CNP formală, bazată pe criptare reversibilă) în fapt permite  utilizarea cloudului comercial.

9.      normele prevăd obligativitatea utilizării cloudului în locul sistemelor on-prem.

10.  autoritățile își păstrează un As, prevederea din OUG conform căruia cloudul comercial trebuie să respecte limitările în privința echipamentelor, introduse de legea 5G. Nimeni nu discută public asta, nici industria nu este curioasă, cum se aplică, cum se verifică, este lăsat pentru un viitor Ordin MCID care poate veni oricând sau niciodată și poate fi oricând schimbat.

11.  În norme apare prevederea din HG: Art.14 f) STS ... alocă resursele tehnice din CPG potrivit prevederilor de la lit e) şi în limita constrângerilor tehnice, operaţionale şi financiare; când, în orice cloud, această alocare este dinamică și self-service – de ce nu alocă ADR aceste resurse?

Toate punctele de mai sus sunt individual corecte, selectarea lor este însă direcționată pentru a susține:

Întrebare: Ce se întâmplă dacă IMM-urile nu vor avea acces în CPG ?

Răspuns: Infrastructura achiziționată, care nu este utilizată via ADR pentru CPG, va fi utilizată de STS și instituțiile colege în CSAT în scopuri specifice. Dezvoltatorii IMM de aplicații vor deveni utilizatori și promotori pentru vânzarea marilor servicii de cloud comercial de pe teritoriul României, cele agreate de guvern într-o modalitate arbitrară, prin aprobarea unor analize de impact GDPR și criterii tehnice aparent imposibil de satisfăcut fără indulgența decidentului.

Sau, altfel spus, o mână spală pe alta. Cloudul merge la unii, clienții guvernamentali la alții.



Desigur nu cred în cele de mai sus. Există însă aceste argumente care pot fi oricând fructificate de cei preocupați de efectul razelor gamma asupra anemonelor, și nu, nu mă refer la criticii literari.

Nu ar fi mai bine, mai simplu, să înlocuim :

Art.13 (1) x) ADR ... asigură, cu titlu gratuit, furnizarea serviciilor aferente CPG din marketplace pentru USC, inclusiv a serviciilor de securitate cibernetică asociate

cu

Art.13 (1) x) ADR ... asigură, cu titlu gratuit în cazul serviciilor furnizate de entități publice, furnizarea serviciilor aferente CPG din marketplace pentru USC, inclusiv a serviciilor de securitate cibernetică asociate


Mă sperie gândul că diavolul se ascunde în detalii, se pare că sunt atras de acestea.




Niciun comentariu:

Trimiteți un comentariu