Státní cloud povinně jen pro někoho. Tajné služby a armáda vyhrály boj s vnitrem

Státní cloud nebudou muset využívat tajné služby, bezpečnostní složky a orgány činné v trestním řízení. Vyplývá to z materiálu, který na téma pravidel využívání státního cloudu vypracovali IT odborníci z vnitra, financí a Národního úřadu pro kybernetickou bezpečnost.

Lítý boj o neukládání informací tajných služeb, ministerstva obrany a policie ve státním cloudu (informovali jsme například v textu Bitva tajných služeb s ministerstvem vnitra o citlivá data) zdá se, dopadl pro tyto organizace dobře. Ministerstvo vnitra ustoupilo a už nepožaduje, aby tyto informace byly ve státním „supercloudu“ uchovávány. Vyplývá to z materiálu „Projekt Příprava vybudování eGovernment cloudu“, kterým se v nejbližší době budou zabývat ministři Babišovy vlády. Inspirací pro nastavení pravidel fungování státního cloudu jsou podle autorů projektu osvědčené praktiky Velké Británie a Dánska.

V materiálu se píše, že umístění informačních systémů (IS) do e-Government cloudu (eGC) je dobrovolné pro

  • kraje, města, obce,
  • ČNB,
  • zpravodajské služby
  • systémy bezpečnostních sborů, pokud provoz těchto systémů souvisí s plněním zákonem jim stanovených úkolů,
  • systémy orgánů činných v trestním nebo soudním řízení, pokud provoz těchto systémů slouží pro trestní nebo soudní řízení,
  • systémy v oblasti národní bezpečnosti,
  • a pro státem vlastněné organizace a podniky, ve kterých má stát alespoň 50% podíl.

Pro organizační složky státu (OSS) a jejich informační systémy bude v první fázi (cca 2 roky) využití služeb eGC také dobrovolné. Po schválení příslušné legislativy bude pro OSS a jejich IS explicitně neuvedené uplatněn princip cloud first. Pokud by byl informační systém, nebo jeho část, spadaly do jedné ze čtyř kategorií informačních systémů 1-4 (nízká, střední, vysoká, kritická), pak bude umístění do e-Government cloudu povinné u nejvyšší, 4. kategorie. V případě, že vlastník informačního systému neprokáže, že by umístění jinde, než na „státním cloudu“ bylo levnější, bude povinné umístění v eGC také pro informační systémy skupin 1-3.

Státní cloud budou zajišťovat i komerční firmy

Celý projekt budování státního cloudu je v I., tedy přípravné fázi. Budou následovat další dvě. „Ve Fázi II (budování eGC), dočasného období zhruba 2 roky, bude využívání služeb eGC dobrovolné pro všechny potenciální zákazníky eGC. Ve Fázi III (standardizační), po ukončení přípravy a schválení souvisejících legislativních změn, budou aplikována pravidla popsána výše,“ uvádí se v materiálu pro ministry. Pravidla umísťování do eGC (využívání služeb eGC) se vztahují na veškeré informační systémy, provozované uvedenými organizacemi.

e-Government cloud bude rozdělen do dvou částí, z nichž jednu bude provozovat výhradně stát ve svých datecentrech (jedno z nich se buduje v Zelenči u Prahy) a na komerční část provozovanou soukromými subjekty.

„Komerční část eGC (KeGC) jsou služby eGC provozované komerčními subjekty s využitím jejich vlastních datových center a komunikační infrastruktury. Komerční část eGC je určena pro provoz služeb eGC bezpečnostních úrovní 1-3 (Nízká, Střední, Vysoká). Provozovatelé KeGC musí splnit bezpečnostní a provozní požadavky odpovídající těmto bezpečnostním úrovním služeb eGC. Zákazníci eGC nakupují služby provozovatelů KeGC na základě centralizovaného soutěžního mechanismu, který zajišťuje standardizaci služeb KeGC a optimální ceny,“ uvádí se ve vládním materiálu.

„Státní část eGC (SeGC) jsou služby eGC provozované organizacemi v datových centrech a na HW a SW platformách v majetku státu a provozované organizacemi řízenými státem (OSS nebo státní podniky) a v rámci provozu musí být ošetřená autorská práva třetích stran (zákaz vendor-locku). Státní část eGC zajistí maximální úroveň bezpečnosti a je určena pro provoz služeb eGC bezpečnostní úrovně 4 (Kritická),“ uvádí autoři analýzy s tím, že zákazníci eGC využívají služby provozovatelů prostřednictvím přímých smluvních vztahů (na základě výjimky ze Zákona o zadávání veřejných zakázek) podléhají plánovací a kontrolní činnosti řídícího orgánu celého projektu. Ten bude v souladu s kompetenčním zákonem umístěn na Ministerstvu vnitra ČR, a bude působit jako samostatný útvar, ale bez vlastního administrativního zázemí (tj. ne samostatný úřad nebo organizační složka státu).

Bude spolupracovat zejména s odborem hlavního architekta a Odboem kybernetické bezpečnosti v rámci sekce informačních a komunikačních technologií MV, kterou má na starosti náměstek Jaroslav Strouhal a odborem Odborem veřejných zakázek v rámci sekce ekonomiky a provozu MV.

„Role ŘOeGC je principiálně meziresortní, ŘOeGC bude pracovat v úzké vazbě na radu vlády pro informační společnost. Pracovní skupina rady vlády pro informační společnost pro Přípravu vybudování eGovernment cloudu se stane poradním orgánem ŘOeGC,“ uvádí se ve vládním materiálu.

Jak bude fungovat vypsání soutěžního rámce v „komerční“ části cloudu?

Řídící orgán

  • provede analýzu aktuálních potřeb (potenciálních) zákazníků eGC, která zjistí, jaké ICT služby jsou jednotlivými organizacemi provozovány a požadovány a jaké z nich realizací v eGC přinesou největší efekt. Současně zohlední stav a vývoj technologických možností nových cloudových služeb. Při analýze využívá katalog aktuálně provozovaných IS (IS o ISVS).
  • na základě výsledků analýzy ŘOeGC vytvoří a na Portálu eGC publikuje novou verzi Rámcového katalogu eGC nebo jeho části, která je zadáním předmětu soutěžního rámce. Požadavky na každou službu eGC jsou popsány v katalogovém listu eGC řadou parametrů. Některé parametry mají povinný charakter a jsou předmětem kvalifikace dodavatelů KeGC v daném soutěžním rámci.
  • definuje další kvalifikační podmínky soutěžního rámce, včetně požadavků na bezpečnostní úrovně
  • formuluje předmět a kvalifikaci soutěžního rámce tak, aby nabídku daného typu služby mohlo podat více potenciálních dodavatelů.
  • ve spolupráci s MV (centrální zadávání) vypíše soutěžní rámec.

 „Nákup služeb KeGC bude realizován prostřednictvím centrálně řízeného soutěžního mechanismu (dynamického nákupního systému), který zajistí nejen optimální ceny, ale i co nejvyšší míru standardizace nakupovaných služeb,“ píše se ve zprávě.

Celý projekt vládního cloudu má zpoždění, na což jsme upozorňovali už v říjnu 2016. Tehdy bylo stanoveno, že do 31. 12. 2017 má být předložen samotný projekt příprava vybudování eGovernment cloudu, což se nestalo. Zatím v polovině roku 2018 je připravena „pouze“ analýza současného stavu.

O státním cloudu se mluví již několik let, například v září 2016 jsme psali o tom, že vnitro představí snad již poslední strategii tohoto projektu. Pro zajímavost si přečtěte text Vnitro představí strategii pro nakládání s daty v cloudu. Podle plánů, které jsme popsali v říjnu 2016 v textu Strategie pro státní cloud bude nejdříve v roce 2018, mělo v letošním roce začít postupné budování eGC.

Jiří Reichl

Datová centra používaná státními institucemi nejsou bezpečná 

Státní cloud budou vyvíjet NAKIT a Státní pokladna 

Zakázka bez soutěže na datová centra vzbuzuje podezření 

Strategie pro státní cloud bude nejdříve v roce 2018 

Americké IT firmy mohou být v Česku omezeny podle německého vzoru 

Cloudy se v příštím roce stanou terčem hackerů 

Vnitro představí strategii pro nakládání s daty v cloudu 

Klíčový spor o „vlastnictví“ dat v cloudu. USA vs. Microsoft a zbytek… 

Mají data v cloudu národnost? Microsoft má problém