Z dużej chmury mały deszcz. „Ci, którzy zdecydowali się na rozbudowę infrastruktury IT, nigdy tego nie żałują”

Dotyczy to zresztą nie tylko naszego kraju. Gospodarki rozwinięte już jakiś czas temu zaczęły zauważać istotne wady modelu chmurowego, takie jak trudności z orkiestracją środowiska wielochmurowego, migracją czy zjawiskiem vendor-lock, czyli uzależnieniem się od jednego dostawcy, niejako wymuszającym używanie konkretnych technologii. Nie oznacza to oczywiście, że z chmury nie warto korzystać, ale na pewno nie wolno do niej wchodzić ze wszystkimi zasobami i bez odpowiedniej strategii. 

Przechodzenie od tradycyjnego modelu świadczenia usług IT do modelu przetwarzania w chmurze napotyka w jednostkach administracji publicznej szereg jeszcze innego rodzaju barier. Do najistotniejszych można zaliczyć obawy związane z zachowaniem prywatności oraz bezpieczeństwem i dostępnością danych. Do tego dochodzą trudności organizacyjno-finansowe, w szczególności podział kosztów infrastruktury między jednostki administracji, uregulowania prawne niesprzyjające przetwarzaniu w chmurze, poczynione w przeszłości znaczące inwestycje w budowę istniejących obecnie rozwiązań, często silosowych, oraz aktualne uwarunkowania techniczne, ograniczające możliwości konsolidacji zasobów i korzystania z usług.

Komplikacja infrastruktury, rosnąca liczba obsługiwanych przez nią aplikacji a także generowanie różnorodnych raportów i metryk sprawia, że rośnie ryzyko obniżenia wydajności systemu, co wiąże się bezpośrednio ze spadkiem jakości obsługi korzystających z niego użytkowników. Zarządzając wieloma często różniącymi się od siebie środowiskami, takimi jak przestrzeń dyskowa, serwery, wirtualizacja czy usługi, musimy ponieść konsekwencje błędów i opóźnień wynikających z ręcznej rekonfiguracji każdego z elementów z osobna.
Adam Bandura, Kierownik Rozwoju Biznesu w Tech Data Polska

Zdaniem Marka Zagórskiego, byłego ministra cyfryzacji, w Polsce biznes i administracja są nadal ze sobą silnie powiązane, w wyniku czego nie tylko rozwiązania z administracji są pewnym wzorcem dla części firm, ale i na odwrót - administracja czerpie z rozwiązań, które się sprawdziły w biznesie. Jak jednak wynika z raportu Deloitte „Chmura publiczna w Polsce” z lipca 2020 r., adaptacja technologii chmurowych w naszym kraju wynosi zaledwie 10-12 proc., przy czym zdecydowana większość firm prywatnych, korzystających z chmury publicznej trzyma w niej co najwyżej 20% swoich zasobów, głównie z powodu daleko posuniętej ostrożności. Z kolei w administracji publicznej 20% swoich zasobów przechowywało w chmurze w zeszłym roku tylko 35% jednostek, a 60% przyznawała, że w ogóle nie wykorzystuje jej w swojej działalności lub korzysta z niej w minimalnym stopniu. I raczej trend ten nie zmienił się drastycznie w tym roku.

Dlaczego tak się dzieje, dobrze tłumaczy EY. Z jego doświadczeń opisanych w raporcie Law Compass 2 „Chmura obliczeniowa w sektorach regulowanych” z kwietnia 2021 r. wynika, że przypadkowe wdrożenie chmury lub wybór tego rozwiązania dla samej idei bycia innowacyjnym kończy się najczęściej fiaskiem. Nieprzemyślane transformacje prowadzą zazwyczaj do porzucenia wdrożenia z powodu braku motywacji i planu. Jednocześnie wdrożenia chmury w wybranych przypadkowo obszarach powodują, że osiągnięte zostają tylko doraźne korzyści, pozostawiając organizację z nieuporządkowanymi procesami. 

Chmura a aspekty prawne

Dodajmy do tego jeszcze jedno. Chmura to generalnie rozwiązanie, które bazuje na wierze, że będzie dobrze, ale z iluzorycznymi lub wprost żadnymi zabezpieczeniami prawnymi. Zdaniem Marcina Maruty, Partnera w Kancelarii Prawnej Maruta Wachta, podpisując kontrakt z reguły nie ma się tak podstawowych praw jak pewność świadczeń, rozsądne SLA z systemem odszkodowań, odpowiedzialność za swoje dane czy przewidywalność wynagrodzenia. Na zleceniobiorcy można oczywiście wymóc różnego rodzaju klauzule, typu wprowadzenie do umowy opisu metryk, za co i jak się płaci, stałości cen lub mechanizmów waloryzacji, zobowiązań w zakresie wydania i formatu danych, ale i tak na końcu ląduje się z kontraktem wielokrotnie bardziej ryzykownym niż wdrożenie on-premise. 

Do tego dochodzą uwarunkowania RODO, które mogą zniechęcać do wyboru lepszych technologii, ale oferowanych przez dostawców bazujących na infrastrukturze pozaeuropejskiej. Dla dbających o poufność danych problemem może być amerykański CloudAct, a dla wnikliwych - prawo dostawców do weryfikacji przesyłanych na ich serwery plików, chociażby pod kątem naruszenia praw autorskich. Krajobraz ryzyk regulacyjnych jest imponujący i warto go rozważyć, jeżeli migracja ma mieć miejsce w środowiskach regulowanych lub dotyczy istotnych danych. 

Sporym problemem może też okazać się to, że decyzje o migracji ze środowiska on-premise do chmury często są podejmowane dość optymistycznie, bez pełnej analizy ryzyk i kosztów. Dla przykładu weźmy umieszczanie własnych licencji na serwerach chmurowych (BYOL), które może prowadzić do dużych niezgodności licencyjnych lub dużego wzrostu opłat. Marcin Maruta powołuje się na głośny casus SAP vs Diageo, który dotyczył dodatkowych opłat licencyjnych wynikających z integracji rozwiązania własnego (SAP) z Salesforce o wartości... 60 mln funtów!

Zawsze grożą też niespodzianki typu zniknięcie dostawcy czy istotna zmiana parametrów usługi. To pierwsze może się oczywiście zdarzyć także w przypadku rozwiązać on-premise, ale wtedy nie znikają przynajmniej dane zleceniodawcy. Z kolei to drugie, które zdarza się nagminnie, dotyczy istotnego spadku SLA, kiedy to obsługa żądań klienta przez chmurodawcę potrafi radykalnie odbiegać od tempa zmian w przypadku on-premise. Zdarza się też, że po rozwiązaniu umowy dane są wydawane bez zachowania ich struktury, co może na długo zablokować działalność dowolnej organizacji. Stąd konieczność wyjątkowo starannej analizy nie tylko umowy, ale rozwiązania, dostawcy, lokalizacji, skutków vendor lock-in itd. I pojawia się pytanie, czy w ogóle warto.

Adam Bandura, Kierownik Rozwoju Biznesu w Tech Data Polska, mówi wprost: „szybkie rozwiązanie skomplikowanych problemów może wiązać się z kontaktem zarówno z firmą zajmującą się wdrożeniem jak również z dystrybutorem i producentem". „Aby usprawnić ten proces, produkty powinny pochodzić z oficjalnego polskiego kanału dystrybucyjnego a partner implementujący rozwiązania posiadać niezbędną wiedzę techniczną, potwierdzoną wieloletnią praktyką branżową i odpowiednim poziomem certyfikacji. Rozwiązanie powinno być objęte kontraktem serwisowym z zagwarantowanym poziomie usług (Service Level Agreement, SLA)" - zaleca ekspert.

Krytyczne zasoby IT

Administracja publiczna uważa, że raczej nie, czego efektem jest to, jak niewiele kontraktów na stosunkowo niewielkie kwoty zawarli z nią do tej pory najwięksi na świecie dostawcy usług chmurowych. Wynika to głównie z tego, że każda z instytucji publicznych dysponuje jakimiś zasobami, które muszą być bardzo dobrze chronione i z tego powodu ważną rolę pełnią w nich systemy ochrony informacji niejawnych, nie mówiąc o konieczności posiadania osób odpowiedzialnych za kreowanie polityki w zakresie przetwarzania danych. Mając w swojej gestii kluczowe systemy, których raczej trudno będzie się kiedykolwiek pozbyć oraz krytyczne dane, co do których oczekiwana jest wysoka dostępność, trzeba ich dobrze pilnować, zabezpieczając je najlepiej u siebie na miejscu. A jeśli do tego od zawsze były one dublowane za pomocą backupu, trudno dać wiarę, że którykolwiek z decydentów odważy się wyprowadzić je do chmury. 

Szczególnie ważne jest to w przypadku instytucji świadczących usługi dla obywateli w oparciu o rejestry publiczne, opieki zdrowotnej czy też sektora obronnego. Nie można bowiem pozwolić sobie, by dane podlegające przetwarzaniu były przechowywane w jakichkolwiek środowiskach chmurowych ze względu chociażby na dużą swobodę w kształtowaniu zapotrzebowania na moc obliczeniową. I chociaż ekstremalne sytuacje mogą się zdarzać rzadko, to ryzyko utraty danych w takich przypadkach rośnie niepomiernie, co chmurę w zasadzie dyskwalifikuje raz na zawsze. Co bowiem z tego, że za dane w chmurze odpowiada usługodawca, skoro w przypadku ich utraty, żadne kary nie powetują tego klientowi?

Wadą chmury jest też to, że nie będąc właścicielem jej infrastruktury nie ma się wpływu na to, gdzie dane są przetwarzane oraz na prędkość ich odtworzenia po awarii. A w przypadku danych krytycznych, tak czy inaczej trzeba będzie trzymać ich kopie u siebie, a to oznacza konieczność zainwestowania we własną infrastrukturę IT, chociaż może na mniejszą skalę, niż wtedy gdy korzysta się z chmury.

Nie bez znaczenia jest też to, że w czasie pandemii w administracji publicznej zaszła duża zmiana, jeśli chodzi o informatykę. Urzędy i instytucje zmniejszyły wydatki na oprogramowanie i doradztwo, a do tego większość ogromnych projektów IT została zakończona, chociaż z różnym skutkiem. Oczywiście nie oznacza to, że administracja przestała się informatyzować, bo po prostu zaczęła to robić w inny sposób. W efekcie powstaje obecnie więcej mniejszych projektów robionych własnymi siłami, chociaż coraz częściej w oparciu o zasoby wspólne, także chmurowe. Program Wspólnej Infrastruktury Informatycznej Państwa doprowadził do powstania Rządowej Chmury Obliczeniowej i ZUCH-a, czyli platformy Zapewniania Usług Chmurowych, poprzez którą urzędy mają zamawiać usługi z chmury rządowej i z chmur publicznych. Jest też Chmura Krajowa, powstała w 2018 r. z inicjatywy PKO BP oraz Polskiego Funduszu Rozwoju (PFR), która udostępnia zasoby chmurowe firm trzecich, takich jak Google, Microsoft czy Asseco. Zainteresowanie nimi nie jest jednak tak duże, jak się spodziewano, w wyniku czego jest ona obecnie postrzegana raczej jako merytoryczne zaplecze projektów realizowanych wewnątrz instytucji publicznych. Kilka z nich, jak Kancelaria Prezesa Rady Ministrów, Ministerstwo Finansów oraz Ministerstwo Sprawiedliwości, zamierza nawet w najbliższym czasie zainwestować w budowę serwerowni, które dla poszczególnych resortów miałyby pełnić funkcję centrów zapasowych. Przy czym z samych centrów danych nie tylko się nie rezygnuje, ale nawet dalej je rozwija. Opis kilku najbardziej spektakularnych projektów w administracji publicznej poniżej. 

Przykład nr 1: resort finansów

Coraz więcej jednostek administracji publicznej staje przed dylematem, czy modernizować własną infrastrukturę IT (co trzeba robić co 3-5 lat), czy też poniechać tego przenosząc swoje systemy do chmury, bo to jakoby jest taniej. W rzeczywistości rozwiązania on-premise wcale nie są droższe od chmury, co wynika po prostu z tego, że skala problemów związanych z zapewnieniem bezpieczeństwa tym drugim jest wręcz niebotyczna. Owszem, wszystkie swoje zasoby przed umieszczeniem ich w chmurze można szyfrować za pomocą postawionych u siebie tzw. HSM-ów (Hardware Security Modules), ale żadna jednostka administracji publicznej nie korzysta z tej technologii na dużą skalę.

Z doświadczeń warszawskiej firmy Enigma SOI , która od sześciu lat specjalizuje się w obsłudze centrów danych, wynika, że ci, którzy zdecydowali się na rozbudowę własnej infrastruktury IT, nigdy tego nie żałują. Dobrym przykładem jest resort finansów, gdzie od 1 stycznia br. za jego obsługę pod kątem IT odpowiada Centrum Informatyki Resortu Finansów (CIRF). Jeszcze w 2020 r., kiedy to CIRF obsługiwał tylko Ministerstwo Finansów, do jego podstawowych zadań należało dostarczanie usług infrastrukturalnych, m.in. z zakresu budowy i utrzymania sieci WAN, serwerów, przestrzeni dyskowych, systemów operacyjnych czy baz danych. To właśnie dzięki temu, to tu po raz pierwszy z sukcesem wykorzystano usługi chmurowe do obsługi procesów przesyłania JPK (jednolitych plików kontrolnych).

Obecnie Centrum posiada nowe, rozbudowane kompetencje i zwiększone możliwości świadczenia usług IT na znacznie większą skalę niż dotychczas, poczynając od nowoczesnych rozwiązań dla obywateli, poprzez usługi rozwoju i utrzymania aplikacji dla klienta wewnętrznego po usługi z zakresu infrastruktury. Jest to duży obszar, który w ostatnim czasie bardzo dynamicznie się rozwija. Wdrażane są nowoczesne usługi takie jak „Twój e-PIT", „e-Urząd Skarbowy", „rachunki wirtualne", „kasy wirtualne" czy „Krajowy System Poboru Opłat" (do którego kompletną infrastrukturę dostarczyła Enigma SOI ) oraz wiele innych rozwiązań automatyzujących lub centralizujących procesy dla resortu oraz podatników. 

Centrum dowodzenia CIRF to centrum danych w Radomiu oraz resortowe DC utrzymywane w Warszawie przez NASK i użytkowane w modelu kolokacji. Jeszcze kilka lat temu MF było krytykowane za inwestycję w nowoczesne centrum danych, które jakoby nikomu nie było potrzebne. Okazało się, że nie tylko było, ale wymaga systematycznych, kolejnych inwestycji i rozbudowy, bo m.in. to właśnie tu trafiają wspomniane wcześniej pliki JPK. Sukces usługi „Twój e-PIT" potwierdził zapotrzebowanie na tego typu rozwiązania, a w planach jest uruchomienie kolejnej: „e-Urząd Skarbowy". Serwis ma ruszyć w połowie 2022 r., a inne usługi mają być dodawane sukcesywnie w kilkumiesięcznych odstępach.

Przykład nr 2: Ministerstwo Sprawiedliwości

Równie dobrym przykładem jest Ministerstwo Sprawiedliwości, które decyzję o utworzeniu własnego ośrodka przetwarzania danych podjęło stosunkowo niedawno, bo w 2019 r. Nowe Centrum Informatyczne (CI) ostatecznie powstało w Zamościu, rozpoczynając działalność w 2020 r., a do jego głównych zadań należy archiwizacja, zabezpieczanie danych oraz ciągły monitoring działania usług i aplikacji. Chodzi tu o System Elektronicznych Ksiąg Wieczystych, Krajowy Rejestr Sądowy, Rejestr Sprawców Przestępstw na Tle Seksualnym i inne usługi cyfrowe w sądach, przy czym wszystko działa na infrastrukturze dostarczonej przez Enigma SOI . Ponieważ od 1 lipca br. KRS działa już wyłącznie w postaci elektronicznej jako e-KRS, Ministerstwo Sprawiedliwości musi zostać szybko wyposażone w ośrodek zapasowy, który najprawdopodobniej powstanie we współpracy z innymi resortami. Cały czas trwają też prace nad uruchomieniem kolejnych aplikacji, co oznacza, że Centrum Informatyczne Ministerstwa Sprawiedliwości osiągnie pełną gotować w ciągu 2-3 lat.

Inne przykłady: MON, Służba Więzienna, CEPIK

Z własnych centrów danych cały czas z sukcesem korzysta też wiele innych jednostek administracji publicznej. Ministerstwo Obrony Narodowej do przetwarzania informacji niejawnych ma ich kilka. Z kolei Służba Więzienna użytkuje od niedawna Centralną Bazę Danych Osób Pozbawionych Wolności (CBDOPW), dla której trzeba było zbudować osobne centrum danych. Z własnych DC korzystają oczywiście wszystkie rejestry publiczne, w tym System Centralnej Ewidencji Pojazdów i Kierowców (CEPIK) 2.0. 

W dzisiejszych bardzo dynamicznych czasach dostosowanie się do ciągle zmieniających się wymagań technologiczny i prawnych jest podstawowym elementem wydajnej, bezpiecznej a zarazem elastycznej infrastruktury. Ważne jest, aby stosować innowacyjne podejście w całym cyklu życia rozwiązania. Rozpoczynając od planowania, poprzez dostawę, instalację, konfigurację i zabezpieczenie. Na tym etapie nie można jednak poprzestać z kreatywnymi działaniami. Należy ciągle monitorować system, szybko reagując na napotkane incydenty.
Adam Bandura, Kierownik Rozwoju Biznesu w Tech Data Polska.

Enigma SOI

We wszystkie wspomniane przypadki w jakiś sposób była i jest zaangażowana spółka Enigma SOI. W przypadku „Krajowego Systemu Poboru Opłat" dostarczyła kompletną infrastrukturę IT. W przypadku MON nie tylko wdrożyła system integrujący użytkowane przez ministerstwo centra danych, ale także dostarczyła szyfratory, które zapewniły bezpieczeństwo tej największej sieci wojskowej w Polsce, co jest dobrym przykładem realizacji koncepcji spójnego systemu przetwarzania i ochrony informacji objętych klauzulami niejawności. W przypadku Służby Więziennej była z kolei odpowiedzialna za stworzenie i wdrożenie kompleksowego rozwiązania CBDOPW, co w 100% zaspokoiło jej potrzeby w zakresie przetwarzania danych. Wreszcie w przypadku CEPIK od 2003 r. do dziś odpowiada za utrzymanie podsystemu bezpieczeństwa i będzie to robić nadal co najmniej przez cztery kolejne lata. 

Artur Gałus, dyr. Pionu Sprzedaży i Marketingu w Enigma SOI, wskazuje odnosząc się do centrów danych, że firma najczęściej wspomaga się rozwiązaniami dostarczonymi przez Cisco.

Jego zdaniem technologie te są „najbardziej dojrzałe, konfigurowalne i zarządzalne na rynku". „Czasami to tylko sieć, czasami tylko serwery, a czasami jedno i drugie włącznie z podłączeniem pamięci i zarządzaniem całym centrum danych. Nie wolno tylko zapominać, że sama technologia to nie wszystko i że warto do tego dołożyć chociażby szkolenia, jeśli zachodzi potrzeba zmiany kultury organizacyjnej tej czy innej instytucji " - mówi przedstawiciel Enigma SOI.

W przypadku centrów danych możemy świadczyć na ich rzecz różnego rodzaju usługi. W grę wchodzą bowiem nie tylko te utrzymaniowe (maintenance), ale także przeglądy, szkolenia oraz opieka nad infrastrukturą, która sprowadza się do planowania i przeprowadzenia niezbędnych modernizacji. Nie są to proste zadania, ale my możemy pochwalić się tym, że usługi dla centrów danych świadczymy już od 6 lat poczynając od kompleksowych dostaw sprzętu poprzez prace budowlane i instalacje zasilania awaryjnego po wyprowadzanie sieci na zewnątrz.
Artur Gałus, dyr. Pionu Sprzedaży i Marketingu w Enigma SOI

Enigma SOI w ramach Grupy Comp przez wiele lat była postrzegana jako spółka-córka odpowiedzialna za świadczenie usług wyłącznie z zakresu cyberbezpieczeństwa, chociaż integracja w zeszłym roku przyniosła jej już 40 proc. przychodów. W 2021r. na szczeblu Grupy zapadła jednak decyzja o powołaniu Centrum Kompetencyjnego, w skład którego weszła Enigma SOI i dział Comp, wcześniej odpowiadający za systemy komputerowe. Ten ruch, rzecz jasna, wzmocnił kompetencje firmy. Poza świadczeniem usług związanych z infrastrukturą, backupem oraz sieciami dysponuje jeszcze zespołem 130 programistów, który pisze oprogramowanie na zamówienie, a także ma fabrykę i dział konstrukcyjny, który projektuje, oprogramowuje i produkuje elektronikę. Dzięki temu nie ma systemu IT, jakiego by spółka nie była w stanie zrobić. W jej ofercie jest bowiem wszystko, poczynając od platformy sprzętowej, poprzez oprogramowanie i procedury, po kwestie związane ze specyficzną aparaturą do zapewnienia bezpieczeństwa, oczujnikowania obiektów czy monitorowania czegokolwiek innego. 

Artur Gałus podkreśla, że z punktu widzenia doświadczenia, jakie posiada Enigma SOI oraz tego, czym za chwilę będzie dysponować, już teraz można stwierdzić, że firma jest zdolna do budowy kompleksowych systemów służących do przetwarzania wrażliwych informacji. „Zaczynając od samej infrastruktury centrum danych, kwestii związanych z zarządzaniem danymi i ich bezpieczeństwem (backup), poprzez elementy sieciowe kończąc na rozwiązaniach, które umożliwiają wyniesienie tych końcówek zupełnie na zewnątrz z pracą zdalną bądź w terenie" - wskazuje dyr. Pionu Sprzedaży i Marketingu w Enigma SOI.

Szyfratory nowej generacji

Jednym z najnowszych doświadczeń spółki jest to, że w czasie pandemii pojawiły się nowe wyzwania związane z informacjami niejawnymi, kiedy okazało się, że są problemy z uzyskaniem do nich zdalnego dostępu. Gdy system jest stacjonarny, to z reguły nie pojawiają się jakieś specyficzne wyzwania związane z wykonaniem wszelkich zabezpieczeń. Ale jak jest zdalny i do sieci trzeba się podpiąć z użyciem telefonu w roli środka łączności z siecią internet, trzeba dysponować odpowiednim systemem umożliwiającym bezpieczny dostęp w takim trybie. Ponieważ takich osobistych narzędzi na rynku jeszcze nie było, natchnęło to spółkę myślą, żeby je zbudować i właśnie jest w trakcie ich opracowania, przy czym do certyfikacji powinny one trafić w I połowie br. Szyfrator, w którym zrealizowano innowacyjne podejście do problemu bezpieczeństwa, poza omówionymi wcześniej funkcjonalnościami, ma jeszcze możliwość podłączenia się do sieci WAN za pośrednictwem telefonu komórkowego lub sieci WiFi, a także eksportu/ importu danych w postaci zaszyfrowanej na dowolne nośniki. Co jednak najważniejsze, urządzenie umożliwia uruchomienie odpowiednio zabezpieczonego systemu operacyjnego na komputerze użytkownika końcowego ze swoich zasobów, co daje możliwość pełnego zarządzania i audytowania systemem. Daje to możliwość uruchomienia konkretnych, sparametryzowanych i skonfigurowanych usług typu voice czy wideo.  Po zakończeniu pracy w systemie, wszystkie informacje niejawne wykorzystywane lokalnie pozostają zapisane (w postaci zaszyfrowanej) wyłącznie na tym niewielkim urządzeniu wielkości notatnika. 

Wojciech Gryciuk/Artykuł powstał we współpracy z firmą Enigma CIO Sp. z o.o.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.