Dobry start GovTech Klubu

Optymalne wykorzystanie i jednocześnie ochrona danych przed niepowołanym dostępem to wyzwania, z którym musi się dziś mierzyć administracja publiczna. Majątek narodowy, jakim są dane, wymaga szczególnej troski, przede wszystkim zmian dotychczasowych modeli gromadzenia i przetwarzania.

Spotkanie miało charakter klubowy, rozmowy toczyły się m.in przy stolikach

29 sierpnia ruszyło nowe przedsięwzięcie Computerworlda oraz The Heart Warsaw, czyli GovTech Klub. W prawdziwej klubowej atmosferze kilkudziesięciu przedstawicieli administracji szczebla centralnego i samorządowego wymieniało swoje spostrzeżenia. Rozmowy i wymiana doświadczeń toczyły się przy klubowych stolikach, w kuluarach, podczas debat i prelekcji, nadając spotkaniu nieformalny charakter.

W odpowiedzi administracji

Misją zainaugurowanego w sierpniu klubu jest wymiany wiedzy i doświadczeń dotyczących cyfryzacji administracji centralnej i samorządowej. To pierwsza w Polsce platforma spotkań środowiska dyrektorów i menedżerów IT – praktyków sektora administracji publicznej. I jedyne miejsce, w którym w formie wymiany doświadczeń sektor publiczny spotka się ze środowiskiem IT.

Zobacz również:

GovTech Klub to odpowiedź na potrzebę płynącą ze środowiska administracji publicznej i IT. Co roku Computerworld, organizuje największą w Polsce konferencję poświęconą zagadnieniom cyfryzacji administracji, Państwo 2.0. Uczestnicy konferencji – prelegenci jak i słuchacze – zwracali jednak uwagę na fakt, że skala wyzwań, jakie stoją przed administracją państwową, w kontekście cyfrowej transformacji państwa, jest tak wielka, że jedno spotkanie w roku nie wystarczy do ich omówienia. Środowisko decydentów technologicznych w administracjach różnych szczebli wyraźnie sygnalizowało potrzebę stworzenia miejsca, w którym przynajmniej kilka razy w roku będzie można w szerszym gronie omawiać tematy aktualnie dotyczące administracji. Teraz tym miejscem jest GovTech Klub.

Kultura współdzielenia

Na pierwszym spotkaniu klubowym w The Heart Warsaw pojawiło się kilkudziesięciu przedstawicieli m.in. Kancelarii Prezesa Rady Ministrów, Urzędu Ochrony Danych Osobowych, Ministerstwa Sprawiedliwości, Ministerstwa Zdrowia, Ministerstwa Finansów, Ministerstwa Obrony Narodowej, Komendy Wojewódzkiej Policji w Łodzi czy Narodowego Centrum Badań i Rozwoju.

Spotkanie przyjęło na początku formę otwartych rozmów przy klubowych stolikach, potem zaś prelekcje zaproszonych gości i udział w debacie.

Kwestia danych w urzędach nie dotyczy tylko administracji centralnej, ale w równym stopniu i lokalnej czy spółek należących do skarbu państwa, spółek miejskich. Dlatego prelekcja Leszka Maśniaka, doradcy ministra i Chief Data Officera Ministerstwa Cyfryzacji, a potem możliwość dyskusji wywołała zaciekawienie uczestników spotkania.

„Musimy szukać balansu, by ten majątek narodowy działał jak majątek narodowy, pracować nad tym, by dane były wykorzystywane i jednocześnie chronione przed niepowołanym dostępem” – wyjaśniał doradca ministra. Według niego kluczem do lepszego zarządzania danymi jest wspólna infrastruktura państwa. Jak podkreślał, nie jest to nowy temat, ale dzisiaj administracja zabrała się za niego z nową energią.

Dominującym elementem pracy administracji rządowej ma być rozwój kultury współdzielenia, nie silosowość, odrębność urzędów. Wszystko to, co może być wspólnym mianownikiem, powinno być współdzielone i zarządzane racjonalnie. „Dziś nikt nie mówi o budowie sieci wielkich rządowych serwerowni dla danych państwa, ponieważ takich obiektów jest już wystarczająco dużo. Nie ma takiej potrzeby. Należy natomiast poszukać racjonalnych metod wykorzystania tego, co już jest i skonsolidować posiadane zdolności organizacyjne i techniczne, poprawić bezpieczeństwo przetwarzania, w końcu obniżyć koszty” – tłumaczył Leszek Maśniak.

Opinie uczestników pierwszego GovTech Klubu

• Gratuluję organizatorom! Ciekawe, dobrze prowadzone prezentacje. Wysoki poziom merytoryczny. Udział to dobrze zainwestowany czas.

• Ciekawa lokalizacja. Ciekawe prezentacje. Intensywnie i konstruktywnie.

• Ciekawe doświadczenie i możliwość wymiany informacji.

• Inicjatywa warta kontynuacji.

• Dobra formuła poznania się przy stolikach.

Kłania się jakość

Jak miałoby to wyglądać w praktyce? Z wielu setek małych i dużych serwerowni zostaną wybrane najlepsze obiekty i instytucje (w Polsce jest kilka instytucji posiadających duże zespoły kompetencyjne związane z zarządzaniem infrastrukturą i cyberbezpieczeństwem). „Wybieramy te, które spełniają kryteria, tworząc wspólną bezpieczną infrastrukturę, na której mniejsze instytucje będą mogły instalować swoje systemy. Nic nie stoi na przeszkodzie, by skonsolidować centra danych i zbudować chmurę obliczeniową administracji. Ważna w tym byłaby efektywność kosztowa i usługowy model świadczenia” – zauważył.

„Każda z instytucji, z którą na ten temat rozmawiamy, jest otwarta i chce takiego rozwiązania. Szacuję, że liczba małych serwerowni, które nie są wstanie spełnić podstawowych wymogów przetwarzania danych administracji rządowej to około 2000 obiektów, których roczny koszt utrzymania to średnio 1 mln zł na obiekt. Jest więc co optymalizować” – dodał. Te dane dotyczą administracji szczebla centralnego. W administracji samorządowej liczba obiektów które można byłoby zlikwidować to 11-12 tysięcy…

Jak zauważyli uczestnicy klubu, by mówić o sukcesie takiego modelu w administracji, potrzebne będą wspólne reguły bezpieczeństwa, by mieć kontrolę nad danymi. Dr Marek Michalewicz, dyrektor Interdyscyplinarnego Centrum Modelowania Matematycznego i Komputerowego Uniwersytetu Warszawskiego, odwołując się do swojego doświadczenia zawodowego zaznaczył, że wiele państw w żadnym przypadku nie pozwala sobie na to, by jakiekolwiek ważne dane przekroczyły granicę. W końcu dane są narodowym majątkiem.

Analityka podniesie skuteczność urzędów

Ministerstwo Cyfryzacji tworzy od dłuższego czasu politykę zarządzania danymi. Obecnie został sformułowany dokument „Kierunki zarządzania danymi”. Zważywszy na to, że do tej pory Polska nie miała polityki zarządzania danymi, jest to na pewno krok we właściwym kierunku.

Polityka zarządzania danymi ma przede wszystkim zapewnić bezpieczeństwo, dostępność i użyteczność oraz interoperacyjność. By spełnić takie cele, dane muszą być jakościowe i spójne. Administracja nie posiada chociażby spójnej klasyfikacji zasobów informacyjnych – nie wiadomo do końca, które dane są krytyczne, a które nie. Niejasna jest też na przykład polityka dostępności danych oraz prawa i obowiązki obywatela w tym zakresie – dlaczego za jedne dane obywatel musi płacić, za inne zaś nie.

Następną bolączką, z którą musi się zmierzyć administracja, jest jakość danych, ponieważ poszczególne resorty – jak zauważył Maśniak – nie traktują jej z należytą uwagą, czego przykładem mogą być ciągnące się latami błędy i powtórzenia w rejestrze PESEL czy występowanie w różnych rejestrach tej samej osoby z różnymi płciami.

Kolejne wyzwanie to wykorzystanie danych. Jeśli uda się w końcu nad nimi zapanować, powinny one po prostu być dobrze wykorzystane. Ministerstwo Cyfryzacji realizuje projekt zintegrowanej platformy analitycznej, która, zasilana dobrymi danymi, będzie podnosiła skuteczność działań administracji w wybranych obszarach problemów społecznych i gospodarczych, poprzez wsparcie procesów decyzyjnych za pomocą informacji analitycznej wysokiej jakości. „Statystyka publiczna niestety nie załatwi wszystkich spraw, musimy szukać innych metod wsparcia podejmowania decyzji” – mówił Leszek Maśniak.

Ogrom danych

„Z uwagą słuchałem wypowiedzi doradcy ministra, pana Leszka Maśniaka. Choć się nie umawialiśmy, okazuje się, że nasze prezentacje są spójne, chociażby w kwestii wspomnianej inicjatywy wykorzystania kluczowych serwerowni państwa” – rozpoczął swoje wystąpienie o zabezpieczeniu infrastruktury hybrydowej w sektorze publicznym Marek Stodolak, Enterprise Account Manager w firmie Commvault.

Danych jest coraz więcej, co roku następuje 80-procentowy przyrost danych nieustrukturyzowanych, takich jak zdjęcia, filmy, aplikacje. Według ekspertów IDC w tym roku przekroczymy granicę 50 000 GB wytworzonych globalnie w ciągu jednej sekundy. „Istotnych danych, z których możemy wyciągnąć jakąś wartość biznesową jest oczywiście zdecydowanie mniej, to mniej więcej 1/3 wszystkich danych, ale to nadal ogromne ilości” – wyjaśniał ekspert. „To dotyczy przestrzeni publicznej, ale mamy jeszcze dane w organizacjach, które przetwarzamy i przechowujemy w różnym stopniu. Około 50% z nich jest wykorzystywanych rzadziej, a tylko ¼ to dane kluczowe z punktu widzenia prowadzonego biznesu czy świadczonych usług”.

Weryfikacja spójności

Czym powinni się dziś się martwić szefowie działów IT w urzędach czy ministerstwach? „Mamy coraz więcej wymagań związanych z zabezpieczeniem się przed cyberatakami, coraz bardziej skomplikowana infrastrukturę. Dodatkowo potrzebujemy do nadzorowania i administrowania wyszkolonego personelu, ale jest go za mało, a nowe wyzwania wymagają nakładów finansowych, aby umiejętności, które zdobywają administratorzy odpowiadały przynajmniej a nawet przewyższały umiejętności hakerów. Na końcu zaś wśród tych wszystkich danych, które mamy, okazuje się, że nadal nie wiemy, co jest istotne i co warto przechowywać” – mówił Marek Stodolak.

Ekspert z Commvault odniósł się do dokumentu Ministerstwa Cyfryzacji dotyczącego projektów horyzontalnych, opisującego m.in. projekt Rozwiązanie Informatyczne Chmury Obliczeniowej, będący elementem Programu Wspólnej Infrastruktury Państwa. Jego celem jest wdrożenie modelu pozyskania, eksploatacji i rozwoju technologii informatycznych w administracji rządowej w oparciu o model chmury obliczeniowej będącej połączeniem chmury publicznej i prywatnej, czyli o model hybrydowy. Dlaczego hybrydowy? Według Marka Stodolaka taki model jest w stanie zapewnić przewidywalność i bezpieczeństwo w sektorze publicznym. „Wykorzystując naszą serwerownię i przestrzeń publiczną, w której na przykład archiwizujemy nasze dane, tworzymy backup, jesteśmy w stanie osiągnąć dobry balans zarządzania zasobami i ich ochronę” – zauważył. Według Marka Stodolaka zagrożenia związane z zabezpieczeniem danych wynikają z kilku kluczowych powodów. Jednym z nich jest brak spójnej polityki bezpieczeństwa i brak planów disaster recovery.

„Warto też zweryfikować w organizacjach, czy te dane, które przechowujemy i chcielibyśmy odzyskać w przypadku ataku, są spójne. Warto ustrukturyzować dane i wiedzieć, które są istotne, które warto zabezpieczyć i czy ich odzyskanie przyniesie odpowiedni dla nas rezultat. W biznesie zwracamy na to uwagę i widzimy, ze instytucje rządowe też dostrzegają wagę tej kwestii”.

A co z przetargami?

Przepisy wymagają od zamawiających gromadzenia i przetwarzania danych w zamówieniach publicznych. To pochodna wymagań proceduralnych określonych przez Prawo Zamówień Publicznych. Jak zaznaczyli podczas swojej prezentacji Agnieszka Bartczak-Żuraw i Marcin Cwener z kancelarii Maruta Wachta, RODO nie ogranicza zakresu danych osobowych, które zamawiający ma obowiązek gromadzić w postępowaniu. Jednak rozporządzenie obowiązujące od 25 maja tego roku ma znaczenie dla sposobu ochrony i przetwarzania tych danych.

Prawnicy wymienili kilka kategorii danych osobowych gromadzonych na potrzeby przetargu:

1. Dane osobowe dotyczące pracowników samego zamawiającego, więc osób przygotowujących i prowadzących postępowanie.

2. Dane członków komisji przetargowych.

3. Dane wykonawców, podwykonawców, w tym dane wykonawców osób fizycznych, pełnomocników wykonawców, osób wskazywanych przez wykonawców, podmiotów trzecich, na których zasobach wykonawca się opiera

Kategorii i osób fizycznych, których dane osobowe są obligatoryjnie przetwarzane w ramach zamówień publicznych jest bardzo dużo. Dane osobowe przetwarzane w procedurze obejmują również dane wrażliwe, ponieważ ten zakres obejmuje zarówno kwestie spełniania warunków udziału w postępowaniu ale również podstawę do wykluczenia. W ramach wykluczenia weryfikacji podlega na przykład kwestia skazania, więc to są dane wrażliwe.

„W zakresie danych zwykłych możemy wskazać trzy przesłanki, które mogą wskazać, że przetwarzanie danych jest zgodne z RODO” – zauważył Marcin Cwener. Są to:

1. Realizacja przepisu prawa PZP. Wypełnianie tych przepisów jest samodzielną przesłanka do przetwarzania danych osobowych. W tym zakresie nie potrzebujemy zbierać zgód.

2. Gdy dojdzie do zawarcia umowy pojawia się kolejna przesłanka związana z realizacją umowy - przesłanka prawnie usprawiedliwionego interesu. W momencie gdy będziemy dochodzili roszczeń z tytułu zawartej umowy PZP lub bronili się przed roszczeniami.

3. Przetwarzanie danych osobowych osób kontaktowych wykonawcy czy podwykonawcy. Ta przesłanka pozwala w sposób łatwy zalegalizować proces przetwarzania danych osobowych.

Praktyka goni teorię…

Kulminacją spotkania klubowego była debata poświęcona między innymi otwartości danych.

W 2015 w raporcie Open Data Review in Poland OECD przedstawiła indeks dotyczący otwierania danych publicznych. Polska zajęła 28. miejsce na badanych przez OECD 30 państw. Czy przez ostatnie trzy lata coś się w Polsce zmieniło?

„Wszyscy zaznaczamy, ile tych danych mamy, ile jesteśmy w stanie przetransferować i w jakim czasie, a za mało uwagi poświęcamy temu, po co te dane gromadzimy i jaką mamy korzyść z tego gromadzenia” – zauważył Kajetan Wojsyk, pełnomocnik ministra zdrowia ds. otwartości danych publicznych.

„Za procesem otwierania danych stoi teraz dobry menedżer, Agata Miazga, pełnomocnik ministra cyfryzacji do spraw otwartości danych, więc jest duża szansa na dobre działania w tym zakresie” – zapewnił Leszek Maśniak. Jak zaznaczył, największą wartością otwierania danych jest transparentność administracji.

Administracja publiczna powinna być jednym z beneficjentów otwierania danych publicznych i nie ma przeszkód, by sama wykorzystywała te dane do tworzenia własnych aplikacji.

W praktyce jednak, jak zauważył z sali przedstawiciel jednego z urzędów marszałkowskich, ogromna większość internetowych stron podmiotów publicznych nie wykorzystuje do celów lokalizacyjnych danych z rządowego Geoportalu o bardziej szczegółowych informacjach, lecz bierze je z Google’a. To pokazuje, że dalej teoria rozjeżdża się jeszcze z praktyką.