torek, 28. julij 2015

O upravljanju Supervizorja

Zadnje dni polni časopise zgodba o Supervizorju. O tem imam svoje mnenje, predvsem s stališča upravljanja storitve. Delno sem o tem že pisal, podrobneje je o tem pisalo Delo, članica KPK in tudi portal Pod črto. A večina odzivov se nanša na preteklosti in iskanje krivca.

Sam mislim, da je  bistveno bolj pomembno od  tega  kaj je bilo, to kaj bo. Namreč zanima me kaj pomeni, da je zdaj baza preseljena? Je tudi povezana z viri podatkov, da se lahko dnevno obnavlja kot do sedaj? Ker to je pravzaprav najpomembneje.

Da se zgodi krivica v preteklosti, neumnosti in nerodnosti je slabo, ni pa edina pomembna zadeva. Večina komentatorjev in novinarjev se spušča na nivo razčiščevanja za nazaj, kar je seveda potrebno, saj se je iz tega potrebno kaj naučiti.

Moja kritika je usmerjena  na dva naslova: na vodstvo KPK v zadnjih nekaj letih, ker je dovolilo, da se paradni projekt vodi nesistemsko več let, le na podlagi dobre volje. Če ni bilo znanja pri državnih informatikih, bi bilo pa potrebno zagotoviti sistemsko rešitev z izvajalci. Možnost, da izvajalec ugasne storitev, ki se predstavlja kot državna, ni dobra. To je malomarno poslovanje, in ta kritika ne gre na avtorje ali druge izvajalce, ampak predvsem na tiste, ki so odgovorni, da Supervizor deluje. Morali bi ustvariti formalni okvir, ki ni samo omogočal delovanje Supervizorja, ampak ga tudi zagotavljal. In tu so v celoti padli na izpitu.

Drug naslov za kritiko pa so novinarji in komentatorji, ker jih zanima samo iskanje krivca za nastalo situacijo in ne tudi analiza morebitnih posledic. Iz medijev lahko razberemo, da se je prenesla baza podatkov, ne pa tudi vsa programska oprema, ki omogoča sprotno povezovanje podatkov z viri in obnavljanje podatkov na supervizorju.  Če je to res, imamo samo navidezno delovanje Supervizorja z arhivskimi podatki.

In o tem bi bilo potrebno govoriti.

četrtek, 23. julij 2015

Digitalna nepismenost države

Dogodki zadnjih tednov vedno bolj kažejo, da imamo digitalno nepismeno državo oz. natančneje digitalno nepismene odločevalce.  Da ne bo pomote, moja ost je usmerjena povsem apolitično.

Prvi problem je sistemski, o katerem sem že pisal v pismu mandatarju. Pred 15 leti je bila Slovenija med bolj digitalno razvitim državami. Med prvimi v Evropi smo imeli Ministrstvo za informacijsko družbo, ki se je nato združilo s šolskim in ohranilo informacijsko družbo vsaj v imenu. V zadnji reinkarnaciji pa je informacijska družba že porinjena pod Ministrstvo za šolstvo v Direktorat za informacijsko družbo katerega naloga je zožena v financiranje Arnesa in občasno pisanje zakonskih okvirov.

Portfelj ministrstva je tako širok, da je pri zadnjih dveh zaslišanjih kandidatk za ministrice pred parlametarnim odborom od 4 urne razprave prejšnja kandidatka porabila 4 minute za pojasnila v zvezi z informacijsko družbo, in zdajšnja le 1.5minute. V obeh primerih je šlo za odgovore na vprašanja poslancev. Druge države pa medtem imenujejo pooblaščence na nivoju vlad, ki upravljajo z informatiko, informacijsko strategijo in informacijsko družbo.

Najbolje odnos Slovenije do informacijske družbe kažejo zdajšnji in bivši premieri. 24.6.2015 jih je nacionalna televizija povabila na pogovor o Sloveniji in Rosvita Pesek jim je kot zadnje vprašanje podala izziv, kako nas je lahko na področju informacijske družbe in s tem povezanega podjetništva Estonija prehitela po desni. Od treh govorcev smo dobili tri odgovore: da se z Estonijo ne gre primerjati, ker so tam pokojnine nizke; da Slovenija intenzivno vlaga v propulznive panoge, npr. lesarstvo; in da je za vse kriv komunistični režim, ki je omrežil univerzo. Za četrtega govorca je zmanjkalo časa, bi me pa zanimal tudi njegov odgovor.

In ta odnos se kaže v povsem praktičnih primerih vsakodnevnega življenja. Samohvalno e-upravo še vedno razvijamo, hvalimo se da je večina storitev na voljo v e-obliki, a še vedno ne poznam prav veliko ljudi, ki bi e-upravo uporabljalo. Pa ne, ker ne bi hoteli, ampak ker je marsikatera storitev tako zapletena ali slabo izvedena, da je neuporabna. Zadnji primer so obvezni e-računi za tiste, ki poslujejo s proračunskimi uporabniki. Za male uporabnike se naj bi uporabljala spletna stran UJP, ki pa je tako zapletena za uporabo, da moram še vedno za eno od prijateljic enkrat na mesec oddajati račun v njenem imenu, ker pač na njenem računalniku ne deluje. Pa nikogar nič ne skrbi, raje se odpira nova (tehnična) fronta v okviru davčnih blagajn.

Posebna, meni ljuba zgodba, je digitalni podpis. Slovenija ima že 20 let uzakonjen digitalni podpis, kar pomeni, da se lahko ustrezno podpisan email pošlje kamorkoli in velja kot žigosan in podpisan dopis. Ampak še vedno se moramo skoraj redno pregovarjati z uradniki na carini, davkariji, bankirji in podobnimi, ki zahtevajo “original” podpis namesto digitalno podpisanega sporočila.

Državni elektronski digitalni potrdili (certifikata) SIGEN-CA in SIGOV-CA sta uvedena že nekaj let in zagotavljata, da je elektronsko sporočilo, ki je podpisano, res od pošiljatelja. Če se od posameznikov ne more pričakovati, da si takoj nastavijo elektronski certifikat, bi pa to pričakoval v državni upravi. Zagotovitev sistemske rešitve, da bi bili vsa uradniška elektronska sporočila v Sloveniji elektronsko podpisana ni želja, ampak bi morala biti sistemska obveznost upravljalcev državnih omrežij.

Uradniki bi morali skupaj z državnim izpitom dokazati, da razumejo tveganja komunikacijskih poti in ne samo pisanja dopisov in uporabe elektronskih preglednic. Kljub temu, da sem v zadnjih letih komuniciral že s kakimi 6 ministri, še nisem dobil elektronskega sporočila, ki bi bil digitalno podpisan, da bi lahko vedel, da je sporočilo res bilo poslano s strani pošiljatelja. Še več, kdaj pride sporočilo kar s komercialnega naslova, in to od ministra suverene države!

A zgodba z digitalnimi certifikati se tu še ne konča. Če državni informatiki niso zagotovili varne in avtorizirane komunikacije z državljani, je kar šokantno, da prej omenjena certifikata nista overjena pri korenskih imenikih, kar bi omogočilo svetovno uporabo za vse ostale državljane, ki to želijo. Poenostavljeno: certifikati delujejo tako, da so vpisani v svetovne imenike, na podlagi katerih potem računalniki samodejno preverjajo ali je vse kot mora biti. Slovenija izdaja lastne certifikate, kar je s stališča državne suverenosti pomembno, a zadnji korak bi moral biti, da se vpišemo v korenske imenike, da bi se v Sloveniji izdane certifikate prepoznalo po celem svetu. To je administrativni postopek, ki se ga izvede in, ki so ga izvedle druge države. Tak certifikat velja potem povsod. Če ni vpisan, pa računalnik pokaže prejemniku, da elektronska pošta ni avtorizirana.

In to je velik problem. Moj certifikat SIGEN-CA, ki je pripet moji elektronski pošti, tako tujcem ne pomeni nič, oz. se morajo zelo potruditi, če sumijo, da je kaj narobe in tako preverjajo ali sem res sam poslal sporočilo. Še ena reč, ki bi lahko bila sistemsko rešena, pa ni. In zopet to nikogar ne skrbi.

Značilen primer odnosa do sodobnih orodij je tudi Supervizor. Storitev je eden boljših primerov uporabe javnih podatkov in je dokazala, da so podatki lahko uporabni in da sodobne tehnologije lahko prinesejo bistveno več, kot če jih ne uporabljamo.  A kaj, ko so iz začetnega volonterskega eksperimenta celotno storitev ohranjali pri zunanjem izvajalcu, brez prave podpore, in to kljub temu, da so se tam zbirali podatki za katere je tudi Informacijska pooblaščenka pojasnila, da so tako zbrani lahko občutljivi. V nekaj letih obstoja se državni informatiki niso vprašali kakšna tveganja so s tem povezana in kaj lahko na to temo storijo.  Mar sploh vemo, kje so  shranjeni vsi državni podatki?

V primeru Supervizorja je bilo všečno, da zunanji izvajalec to počne za drobtinice. A tveganja so ostajala in nihče se na njih ni oziral. Zdaj si pa odgovorni umijejo roke, da je to pač tehnično vprašanje. Zakaj se pa potem povprečen državljan ne more izgovoriti iz kakšne prekrškovne težave, da je to pač pravno vprašanje?

Sistemsko pomanjkanje rešitev, nerazumevanje orodij in ignoriranje sodobnih možnosti je pripeljalo do zadnje nesrečne zgodbe - prisluškovalne afere arbitražnemu sodniku.

Če že visoki uradniki ne vedo kaj so ta tveganja, je zame šokantno, da službe, ki so za to odgovorne, ne poskrbijo, da lahko ti ljudje varno komunicirajo, in jim zapovedo na kakšen način morajo to početi. Če zaradi proračuna in ne vem česa še ne zmorejo zagotoviti varne infrastrukture, naj si pridobijo katero od komercialnih storitev ali naprav (npr.  Silent Circle), ki to omogoča na zelo visokem nivoju, ali pa preberejo navodila za uporabo tehnologij, ki ji je organizacija Freedom press objavila za žvigače po aferi Snowden. Če ti ukrepi ščitijo Snowdena in somišljenike pred najmočnejšo vohunsko organizacijo NSA, ni vrag, da ne bodo tudi uradnikov male države pred vohuni druge male države.  Upam, da imamo to sistemsko rešeno vsaj na nivoju vladne komunikacije in da naši ministri uporabljajo varne telefone in elektronske predale za komuniciranje med seboj, če že za komunikacijo navzven ne uporabljajo nikakršne varnostne infrastrukture.

A, da bi to dosegli, je na vseh nivojih potrebno razumeti, da sodobne tehnologije niso samo ugodnost in priložnost, ampak tudi tveganje.

Potrebno je zagotoviti, da se s tem ukvarjajo ljudje, ki to razumejo in ne nastavljati na odgovorna mesta všečne predstojnike varnostnih služb in informacijskih služb, ki se hitro znajdejo v taki ali drugačni strankarski aferi.  Tistim, ki pa so za to operativno zadolženi, pa je potrebno prisluhniti in jim dati na voljo sredstva, da svoje delo lahko opravijo. Ko ga ne, jih je potrebno poklicati na odgovornost in ustrezno ukrepati.