Dane z tradycyjnych serwerowni mają trafić do dwóch chmur – rządowej i komercyjnej. – Sam przetarg na obsługę tej krajowej chcielibyśmy uruchomić w I kwartale 2020 r. - mówi Karol Okoński, sekretarz stanu w Ministerstwie Cyfryzacji i pełnomocnik rządu ds. cyberbezpieczeństwa.
Od jakiegoś czasu słyszymy, że „rząd przenosi się do chmury”. Co to znaczy w praktyce?
Na pewno nie to, że bujamy w obłokach. Wręcz przeciwnie. Postaram się odpowiedzieć jak najprościej. Obecnie dominujący model wykorzystania infrastruktury IT w Polsce jest taki, że dana instytucja ma własną serwerownię, w której instaluje i utrzymuje różne aplikacje i systemy. Z naszych analiz wynika, że nie jest to optymalny model. Choćby dlatego, że w tym modelu każda z instytucji z osobna musi stworzyć odpowiednie warunki, serwerownie muszą być odpowiednio zabezpieczone, także pod kątem dostaw prądu czy utrzymywania temperatury wewnątrz pomieszczenia. To dość kosztowne przedsięwzięcie. Do tego potrzebny jest zespół ludzi, którzy się na tym znają i są w stanie to wszystko serwisować. Często brakuje serwerowni zapasowych, co czasami skutkuje tym, że dany system informatyczny może przestać działać, gdy pojawi się jakiś problem. Gołym okiem widać, że nie jest to optymalne. Tym bardziej, że większość z 300 serwerowni instytucji publicznych jest małych i na dłuższą metę nie tylko nie opłaca się, ale wręcz jest ryzykowne ich utrzymywanie. Tymczasem jest drugi, zupełnie inny model, w który jest znacznie wydajniejszy. Mamy firmy specjalizujące się w udostępnianiu infrastruktury, dostosowują się pod konkretne potrzeby i zapewniają wysokie standardy przy jednocześnie niższych kosztach. Musimy teraz znaleźć rozwiązanie, które pogodzi te dwa modele. Z jednej strony własna serwerownia to może większa kontrola nad danymi, ale z drugiej – lepsze zabezpieczenia i niższe koszty. Dlatego właśnie niektóre instytucje rozważają kontraktację usług chmurowych. Tyle że znów każda jednostka robi to po swojemu, nie będąc świadomym wszystkich ryzyk, np. takich, że raz przekazując dane do jakiegoś podmiotu, de facto związujemy się z nim na długi czas, o ile nie zabezpieczymy się odpowiednio w umowie. Mówiąc o chmurze, o tym właśnie m.in. rozmawiamy.
Na jaki więc model się zdecydujecie?
Wiedząc, że państwo przechowuje dane o szczególnej wrażliwości, uznaliśmy, że najbardziej optymalnym modelem będzie model hybrydowy. Oznacza to tyle, że chcemy równolegle rozwijać dwie chmury. Jedna będzie należała do infrastruktury należącej w pełni do państwa. Mówimy o dużych serwerowniach połączonych we wspólną, zabezpieczoną sieć. W tym momencie jej operatorem jest Centralny Ośrodek Informatyki, na którego serwerowniach bazujemy. To tam będziemy lokować najbardziej wrażliwe systemy państwowe. Chcemy jednak również otworzyć się na rynek i zamawiać usługi u podmiotów komercyjnych, ale w sposób ujednolicony i scentralizowany, by wykorzystać efekt skali i ułatwić poszczególnym podmiotom administracji wejście w ten rynek, a równocześnie mieć pewność, że wybieramy bezpieczne i sprawdzone rozwiązania. Chcemy korzystać z doświadczeń brytyjskich, tzw. modelu G-Cloud. Rozmawiamy więc z Centrum Obsługi Administracji Rządowej (COAR), które ogłosi przetarg na umowy ramowe z wszystkimi dostawcami usług chmurowych, którzy spełnią kryteria, jakie wspólnie z nimi ustalimy. Dzięki temu powstanie katalog zweryfikowanych podmiotów. Podmioty zainteresowane będą następnie wskazywały rodzaj usługi, która je interesuje, zapytają o cenę i otrzymają oferty od firm z tego katalogu. Skracamy więc cały proces zamawiania i ułatwiamy trudny proces podejmowania decyzji po stronie urzędników, którzy niekoniecznie muszą być rozeznani w tym obszarze.
Czyli teraz gra będzie się toczyć o to, by załapać się do tego katalogu. Jaki harmonogram działań przewidujecie?
Zakończyliśmy już dialog techniczny, weryfikujemy katalog dostępnych usług i gotowość do ich świadczenia oraz poziom cen. Sam przetarg na obsługę chmury krajowej chcielibyśmy uruchomić w I kwartale 2020 roku, rozstrzygnąć go w II kwartale, dzięki czemu od połowy przyszłego roku zainteresowane podmioty mogłyby zacząć korzystać z usług chmurowych.
W jaki sposób rozstrzygniecie, które dane, jakimi dysponuje państwo, trafią do chmury rządowej, a które do tej komercyjnej?
W uchwale Rady Ministrów zawarto załącznik pod nazwą „klasyfikacja danych”, gdzie są odpowiednie wskazówki, które dane mogą trafić do której z tych chmur. Są też informacje klauzulowane, niejawne, które na razie nie trafią do żadnej chmury. Nie wykluczamy, że w pewnym momencie taka możliwość się pojawi, ale na dziś postanowiliśmy wyjąć tego rodzaju dane poza nawias. We wspomnianym załączniku do uchwały Rady Ministrów zbiory danych opisujemy przez pryzmat celu ich gromadzenia i ich zakresu. A więc np. dane referencyjne typu PESEL czy dane związane z informacją przestrzenną nigdy nie wejdą do chmury. Pewną decyzyjność w zakresie zgody na umieszczenie danych w chmurze komercyjnej zastrzegła sobie też Agencja Bezpieczeństwa Wewnętrznego.
A jakie dane mogłyby trafić do chmury komercyjnej?
Klasycznym przykładem są dane, które i tak udostępniamy w ramach tzw. danych otwartych. A więc dane nieosobowe, strony internetowe o charakterze informacyjnym, rejestry, które nie są referencyjne, aplikacje mobilne, informacje z zakresu środowiska czy sportu.
Czy z chmury komercyjnej korzystać będą też mogły samorządy?
Tak. Na razie zakładamy, że samorządy będą mogły przystąpić do przetargu COAR w ramach postępowania wspólnego. Już zresztą rozmawiamy o tym z władzami lokalnymi. Jeśli dany samorząd przystąpi do wspólnego przetargu, to te podmioty wybrane w ramach katalogu, będą mogły odpowiadać również na zapytania ze strony samorządów. O przystąpieniu do wspólnego przetargu zdecydować będzie musiała rada gminy w drodze uchwały. Jeśli chodzi o skorzystanie z usług, uruchomiliśmy stronę chmura.gov.pl, na której pojawi się system „zintegrowanej informacji o usługach chmurowych” - w skrócie ZUCH - która pozwoli zweryfikować, czy dana usługa jest dostępna i za pośrednictwem której będzie można odpowiednio przygotować zapytania do podmiotów z katalogu. Zakładamy, że podmioty te zagwarantują poziom cen i dostępności usług przez najbliższe 2-3 lata. W tym okresie instytucje, także samorządowe, będą mogły kierować zapytania i liczyć na konkurencyjne i zweryfikowane oferty. Oczywiście, niczego nie możemy władzom lokalnym narzucić, dalej będą mógłby uruchamiać własne postępowania. Wydaje się jednak, że nasze rozwiązanie jest dużym ułatwieniem i zdejmuje z urzędników sporą odpowiedzialność.
O ile tańsze będzie trzymanie danych w chmurze, zamiast w tradycyjnych serwerowniach?
Im mniejszy system i serwerownia, tym korzyść będzie większa. Przy tradycyjnej serwerowni wszystko trzeba samemu utrzymywać i dbać o to, by system np. się nie zapchał. W przypadku chmury można zamówić taką moc obliczeniową systemu, jaką aktualnie potrzebujemy i w razie czego dodatkowo ją zwiększyć w sposób dynamiczny i po niższej cenie. Tak więc w ogólnym rozrachunku mówimy o kosztach kilkukrotnie niższych niż przy tradycyjnych rozwiązaniach. Ale to oczywiście zależy od wielu czynników.
Na ile przenoszenie danych w chmurę jest bezpieczne? Nie lepiej trzymać je w serwerowni pod kluczem i postawić tam strażnika?
Chciałbym od razu obalić jeden mit, że trzymanie danych w chmurze oznacza to, że widzi je dostawca tej chmury lub, nie daj Boże, inni klienci tego dostawcy. Nic takiego nie ma miejsca! Owszem, w sytuacji, gdy mówimy o danych przekazywanych w postaci niezaszyfrowanej, administratorzy dostawcy, przy zachowaniu reguł poufności, mogą mieć taki dostęp. Ale gdy przekażemy dane w postaci szyfrowanej, nie ma szans, by ktokolwiek je zobaczył. Mówiąc bardziej obrazowo, dostawca będzie widział jedynie „krzaczki” cyferek i nie będzie w stanie nic z tym zrobić. Wie tylko, ile miejsca dane zajmują, ale nie widzi ich zawartości. Dlatego też dane przechowywane w chmurze są równie bezpieczne, co dane przetrzymywane na własnych serwerach. A biorąc pod uwagę uwarunkowania, o których już mówiliśmy – bezpieczniejsze. Tym bardziej, że przygotowujemy wymogi, które nasi dostawcy będą musieli spełnić i będą one dalej idące niż standardy obowiązujące w tradycyjnych serwerowniach.
No dobrze, ale gdzie jest haczyk?
Haczyk? Nie ma haczyka. Może poza tym, że nie każda aplikacja da się przenieść do chmury bez dodatkowych kosztów. Często mogą być konieczne zmiany w samej aplikacji. Sama migracja danych to też czynność, która wymaga zaprojektowania. To są rzeczy, które trzeba rozważyć przed samymi przenosinami do chmury. Ale to koszt ponoszony jednorazowo, dlatego w perspektywie długoterminowej jest zawsze opłacalny. Na razie startujemy od usługi najprostszej, czyli „Infrastructure as a service”. A więc oferujemy środowisko programistyczne, z systemem operacyjnym i bazą danych, by przenieść tam dane czy aplikacje. Stopniowo chcielibyśmy ewoluować w stronę klasycznych platform, pełnych środowisk programistycznych, gdzie można nie tylko umieszczać swoje aplikacje, ale tworzyć zupełnie nowe. Zakładamy kolejne edycje katalogu usług, który będzie odpowiadał na pojawiające się potrzeby ze strony instytucji.
A co z e-usługami, z których dziś korzystają obywatele?
Wszystkie usługi, które można realizować na GOV.PL, utrzymywane są na serwerowniach poszczególnych instytucji typu CSIOZ dla Ministerstwa Zdrowia czy COI dla Ministerstwa Cyfryzacji. Każda instytucja ma własne serwerownie. Generalnie zakładamy, że e-usługi stopniowo będą migrować do chmury rządowej. Ministerstwo Cyfryzacji dokona migracji pewnych danych do chmury, przechodząc przez cały proces ewentualnej modyfikacji niektórych aplikacji. W przypadku innych instytucji też nie wykluczamy takich ruchów, ale zakładamy, że w pierwszej kolejności decydować się na to będą mniejsze instytucje, a nie takie „molochy” jak Ministerstwo Finansów czy ZUS. Zresztą sama chmura rządowa będzie budowana stopniowo. W pierwszym dniu funkcjonowania nie będzie w stanie przyjąć wszystkich naraz. Będzie rosła wraz z zapotrzebowaniem, będą domawiane kolejne usługi w ramach podpisywanych umów ramowych. W przypadku dużych instytucji pełne dołączenie do chmury rządowej to kwestia kilku miesięcy lub roku, w przypadku mniejszych to zapewne raczej kilka miesięcy. Ale pod warunkiem, że ich systemy będą już przystosowane do takiej migracji.
Na dziś operatorem chmury rządowej ma być COI. Czy jest możliwość, że się zmieni?
To decyzja ministra cyfryzacji, a naszym naturalnym partnerem - z racji naszej pełnej kontroli nad nim - jest COI. Teoretycznie może to być dowolny podmiot, ale warunek jest taki, by Skarb Państwa miał nad nim pełną kontrolę.
Skoro serwerownie potrafią się psuć, to jaka jest pewność, że to samo nie stanie się z chmurą rządową?
Praktycznie stuprocentowa. Chmura będzie tak zbudowana, że w przypadku problemu technicznego w jednym ośrodku zarządzającym chmurą, jego zadania będzie przejmował drugi ośrodek. Zakładamy nawet, że być może będzie i trzeci ośrodek, tzw. „disaster recovery center”, w którym przechowywane będą kopie danych, z których będzie można odtworzyć niezbędne dane. To na wypadek nadzwyczajnych zdarzeń.
Porozmawiajmy chwilę o panu. Wygląda na to, że gdy rząd będzie ruszał z chmurą, pana w resorcie już nie będzie?
Mam szczerą nadzieję, że chmurze to nie zaszkodzi. Zakładam, że prace nad nią będzie kontynuować obecny bardzo dobry zespół. A MC pozostaje przecież pod niezmienionym głównym kierownictwem.
Nie jest pan dowodem na tezę, że państwo na dłuższą metę jest atrakcyjnym pracodawcą?
Dlaczego? Trzy i pół roku to krótko? Wcale tak nie uważam. Tym bardziej, że wiadomo przecież, że wiceministerialna funkcja to zawsze praca na pewien okres. Kiedy przychodziłem do MC w połowie 2016 roku umawiałem się na wykonanie pewnych zadań, które zostały wykonane. Nie zgadzam się również z tym, że państwo nie jest atrakcyjnym pracodawcą. Jest - i to coraz atrakcyjniejszym. Oczywiście, w porównaniu z biznesem administracja ma pewne swoje ograniczenia – nie ukrywajmy, że przede wszystkim finansowe - ale to krzywdzący stereotyp, że nie warto dla niej pracować. Owszem, warto – szczególnie kiedy zebrało się wcześniej doświadczenie w świecie komercyjnym, a odkryjemy w sobie poczucie misji. Dodatkowym argumentem jest niespotykana gdzie indziej skala wyzwań. Proszę spojrzeć jak wyglądała cyfryzacja cztery lata temu, a jak wygląda obecnie. To dwa różne światy. Chcę powiedzieć tyle, że być może tego nie dostrzegamy, ale zrobiliśmy w tym czasie gigantyczny postęp. I to jest właśnie koronny dowód na to, że dla państwa jak najbardziej warto pracować!