eGOVERNMENT CLOUD
Ředitel odboru kybernetické bezpečnosti a koordinace informačních a komunikačních technologií Ing. Miroslav Tůma, Ph.D., navázal na předřečníky především informací o stavu realizace eGovernment Cloudu v ČR. V rámci úvodní rekapitulace hovořil o tom, proč jsme s vlastně začali v ČR bavit o cloudu. Zdůraznil, že všechny důvody stále platí - od správy datových center přes zefektivnění poskytování služeb až po jejich jednotnost, centralizaci, snížení nákladů a vyšší bezpečnost. To vše je stále aktuální a pomoci vyřešit všechny prvky systému může právě cloud. V průběhu doby je evidentní, že se využívání cloudových služeb stále zvyšuje. Ještě před několika lety byl u některých úřadů cítit určitý odpor k přechodu do cloudu. Panovalo často přesvědčení, že mít veškeré služby, data i hardware ve svém držení je lepší, rychlejší a bezpečnější. V současné době se stalo cloudové řešení naprostou součástí práce i života, samozřejmou záležitostí, standardním řešením. Důvody pro jeho používání jsou stejné a neustále se prohlubují. Je tedy vhodné jej v komplexním měřítku začít používat v rámci veřejné správy co nejdříve.
HISTORIE
Vše se odvíjí od roku 2015 a od strategie a akčního plánu kyberbezpečnosti. Prvotním záměrem nebylo ani tak vybudovat Cloud Computing v dnešním měřítku. Šlo spíše o to dát najevo, že chceme-li realizovat Cloud Computing, může být právě eGC tou správnou variantou. Postupně však bylo jasné, že jiná cesta není. Bylo tedy nutné nastavit potřebné mantinely. Právě snaha o jejich nastavení vedla k vytvoření závěrečné analytické zprávy, kterou vláda svým usnesením přijala. Bylo tak stanoveno, jak vlastně bude eGC vypadat, jaké bude mít zakotvení v legislativě a jak budou vypadat jednotlivé postupy, aby byly skutečně realizovatelné.
STRUKTURA
Dnes má eGC jasně definovanou strukturu. Skládá se ze dvou částí - komerční a státní. Komerční část umožňuje standardní chování trhu, tedy soutěž. Ve státní části jsou, či budou systémy řazeny napřímo. Podstatné je, že obě části spolu nijak nekomunikují, nejsou nijak propojeny. Důvodem je skutečnost, že státní část eGC je zaměřena výhradně na systémy, které jsou z pohledu státu nejvýznamnější - tedy systémy zařazení dle bezpečnostní úrovně 4. Metodika klasifikace jednotlivých systémů dle bezpečnostních úrovní vychází do jisté míry ze zákona o kyberbezpečnosti, ale nekopíruje přímo kritické informační systémy. Je poněkud hlubší a zaměřená především na cloudové služby, tzn. systémy, které jsou na základě tohoto vyhodnocení v kategorii 4, musí být zařazeny ve státní části eGC, neboť ta je plně pod kontrolou státu. Naopak systémy, které jsou vyhodnoceny v kategoriích nižších, směřují do komerční části eGC a neměly by se objevit ve státní, mimo jiné z kapacitních důvodů.
Komerční část je nyní víceméně již spuštěna, jsou dokončovány poslední kroky k tomu, aby mohly být realizovány první služby v pilotním režimu.
ZÁKLADNÍ PRAVIDLA
Základními pravidly eGC je:
rozdělení do dvou částí;
- nulová konkurence těchto částí;
- státní část je plně pod kontrolou státu;
- vstup do cloudu je jednoznačně dobrovolnou záležitostí.
Není žádné nařízení, které by kohokoliv nutilo, že musí jít do cloudu. Bude však nařízení, které říká, že je nutné zvažovat cloudové služby. Tedy je nutné při jakékoliv technologické změně uvažovat na základě metodiky o tom, zda je výhodnější umístit systém do cloudu, či nechat tak, jak běžel doposud. Jedná se o metodiku TCO (určení celkových investičních a provozních nákladů IS za 5 let provozu), která jednoznačně určí, na základě nákladů a tedy porovnání současného provozu s nabídkou komerčních i státních služeb v eGC (dle zařazení), která cesta je výhodnější. V případě, že bude výsledek tohoto porovnání ukazovat na výhodnější model s využitím eGC, vzniká subjektu povinnost využití těchto služeb. (Výjimkou mohou být situace, kdy převedení do cloudu by z nějakého objektivního důvodu bylo velice, až nepatřičně komplikované.)
Tento přístup znamená, že k naplňovaní eGC bude docházet postupně, nejčastěji v momentu konkrétních úprav či změn.
Bylo provedeno hodnocení systémů kritické informační infrastruktury a významných informačních systémů státu pro jejich zařazení do konkrétní bezpečnostní úrovně. I když chybí ještě vyhodnotit cca 15 %, už nyní je zřejmé, že systémů s úrovní 4, tedy těch, které budou automaticky zařazeny do státní části eGC, nebude více jak 50. V ostatních úrovních je ve třetí skupině zařazeno cca 80 %, ve druhé 18 % a v první se nenachází žádný systém. Důležité je však, že se zatím byly hodnoceny pouze kritické a významné IS, nikoli všech ISVS. Stanovení počtu bylo však důležité především pro kapacitní a finanční nároky. U komerční části je celý přístup daleko jednodušší, protože je stanoven na základě soutěžení. U státní části je nutné připravit odpovídající legislativu a samotné řešení.
Paralelně s bezpečnostní úrovní se provádělo u jednotlivých systémů hodnocení TCO. Z něho vyplývá cenový rozptyl jejich pořízení od 0 do 0,5 mld. Kč. Byly zároveň posuzovány náklady na jejich pětiletý provoz, které se podle druhu systému pohybují od 330 tisíc do 1,3 mld. Kč. Tím byla určena jakási průměrná hodnota 19 mil. Kč ročního provozu. Je to však pouze určitý prvotní údaj pro vzájemné porovnávání jednotlivých systémů. Rozhodně není možné tvrdit, že automaticky ty systémy, které stojí pod 19 mil., jsou výhodnější a naopak. Jedná se pouze o určité vodítko při výběru systémů i komerčních nabídek.
VARIANTY POSKYTOVÁNÍ
Služby v rámci komerční části budou poskytovány buď tzv. napřímo, nebo prostřednictvím partnera či integrátora. Platí však, že vše musí být nastaveno tak, aby v případě jakýchkoliv potíží bylo kdykoliv možné přejít k jinému poskytovateli cloudových služeb.
Každá služba by měla být zanesena v katalogu služeb. Každý poskytovatel, pokud chce takovou službu poskytovat, ji tedy musí zanést (prezentovat) do katalogu. Služba projde schvalováním a teprve poté je v katalogu uveřejněna. Paralelně jsou v katalogu viditelné nabídky od zadavatelů, kteří si vybírají k následné soutěži ze zařazených služeb. Podstatné je, že katalog by měl být neustále rozvíjen.
Současně s katalogem jsou podstatné rovněž smluvní podmínky, které jsou definovány jak pro komerční, tak státní část a jejich splnění bude vyžadováno jako zachování minimálního bezpečnostního standardu. Samozřejmě, že zadavatel si v rámci výběru může tyto základní podmínky zpřísnit, pokud to uzná za vhodné.
ŘÍDÍCÍ ORGÁN
Výkonem funkce řídícího orgánu je pověřeno MV ČR. Řídící orgán – ŘoeGC - je tak arbitrem, který by měl koordinovat celý eGC, dohlížet a garantovat jednotný informační systém, ale hlavně řešit schvalování a zařazování nabídek v rámci katalogu služeb, případně řešit arbitrážní činnost zařazování systémů do jednotlivých bezpečnostních úrovní.
Jsou jasně definovány činnosti, které v rámci celého životního cyklu cloudu budou tvořeny jednotlivými poskytovateli či konzumenty služeb. Vše by mělo vždy začínat určitým soutěžním rámcem (DNS dynamický nákupní systém), na který pak navazují jednotlivé minitendry, které se do jisté míry mohou překrývat, neboť bude záležet na vzájemné nabídce a poptávce umístění jednotlivých systémů či změn. Konkrétně v tomto okamžiku jsme ve fázi, kdy je připraven první katalog, připraveno vypsání prvního DNS, provedena předběžná konzultace, kterou se celý mechanismus ověřil a potvrdilo se, že v rámci trhu nenarazíme na nějaký problém. Nyní dojde k naplňování katalogu a vypsání DNS, což je otázka měsíce až měsíce a půl. Zhruba v tomto rozmezí by měli být kvalifikováni první dodavatelé a následně budou vypracovány první katalogové listy, vypsány první minitendry a dojde ke spuštění prvních služeb, od cloudových až po konzultační, integrační či migrační. Tím bude nabízena možnost komplexního servisu pro přechod systému do cloudu a garantován celý postup.
V rámci Digitálního Česka jsou k dispozici dostatečné zdroje pro rozvoj, a to jak z pohledu kapacitního, tak finančních prostředků nutných pro budování eGC. Samotný IS nutný pro eGC bude vycházet z dosavadních, již existujících systémů. Je zde řada portálů, které se budou modifikovat, doplní se variantou pro cloud s provazbou na NEN atp. Jde o to postupně synchronizovat vše, co je k dispozici do jednoho funkčního celku.
LETOS
V letošním roce je možné očekávat posílení týmů ŘOeGC pracovníky vyčleněnými výhradně na problematiku eGC. Bude dokončeno hodnocení bezpečnostních úrovní a TCO pro první systémy. Dále dojde k dopracování legislativního ukotvení, alespoň v případě státní části eGC. V tomto směru je nutné vyřešit určitý problém spojený s tím, jak může stát zadat konkrétní systém přímo do státní částí cloudu konkrétnímu provozovateli.
Bude tedy sestaven samostatný útvar jako řídící orgán eGC, vytvořen katalog, vypsány pilotní DNS a to vše bude předloženo vládě, která může posvětit následující kroky. Pak bude skutečně možné konstatovat, že začíná provoz a následný rozvoj eGC a budeme moci realizovat vyšší bezpečnost a efektivitu jednotlivých systémů.