Ключова реформа, без която няма да имаме устойчива дигитализация в обществения сектор, е приемането на изцяло нов закон за управление на информационните и комуникационните технологии в обществения сектор, за да може всички дигитални инициативи да бъдат успешни и държавата да може да си управлява информационните технологии адекватно, вкл. по отношение на киберсигурността и ограничаването на чуждестранни цифрови влияния.
Подготвили сме този закон, с който да се поправят множество системни проблеми, които сме идентифицирали в последните години. В предстоящата дълга публикация ще опиша основните направления, в т.ч.:
- Преструктуриране на административните структури
- Споделени ИТ услуги
- Споделени ресурси на електронното управление
- Рамкови споразумения и системна интеграция
- Въвеждане на нови ръководни длъжности за дигитална трансформация
- Централен орган за покупки
- Стандартизация на експлоатацията
- Предварително обсъждане на технически спецификации
- Механизми за установяване и покриване на нуждите
Преструктуриране на административните структури
В момента структурата на Министерството на електронното управление включва една инфраструктурна агенция, която се занимава с мрежи и облак и самото министерство, което се занимава с политики. Темата „киберсигурност“ е разделена между двете, а има и Информационно обслужване, чийто принципал е министърът, което се занимава с т.нар. „системна интеграция“. Със закона целта е да се стигне до следната структура: министерство, агенция за киберсигурност, агенция за споделени услуги и ресурси и системен интегратор (Информационно обслужване).
Агенцията за споделени услуги и ресурси ще се занимава, както и досега, с поддръжката и развитието на държавния облак, на единната електронна съобщенителна мрежа, както и на хоризонталните системи на електорнното управление. Двете агенции ще работят по специален класификатор на длъжностите и ще имат облекчена структура спрямо другите административни стурктури, защото иначе би се получило излишно раздуване на щат. По отноешние на т.нар. обща администрация, ще използват тази на министерството като споделена (напр. по отношение на управление на човешки ресурси).
Агенцията за киберсигурност, освен с настоящите задължения на МЕУ и изпълнителната агенция по линия на киберсигурността, и бъдещите задължения по втората директива за мрежова и информационна сигурност, ще трябва да извършва дейности по противодействие на чуждестранна намеса в информационното пространство. Дефиницията и функциите на агенцията в това отношение са заимствени от френската агенция VIGINUM, като дефиницията е: координирана информационна намеса, която отговаря на всяко от следните условия: а) насочена е срещу основен интерес на страната; б) използва информация, която е едновременно невярна и опасна; в) използва неавтентични методи за разпространение на информацията; г) произтича с висока степен на вероятност от трета страна;“.
Споделени ИКТ услуги
В администрацията има множество дейности, които могат да бъдат изнесени от администрациите и споделяни (от т.нар. центрове за споделени услуги – практика, използвана в бизнеса отдавна). Със закона се дефинира кръгът на тези услуги (напр. поддръжка на мрежи, на периферни устройства, специализирани одити, управление на проекти и много други). Съз законопроекта се въвежда класификатор на услугите, както и детайлизиране на видовете услуги.
Началото на такава реформа дадохме през 2022 г., като събрахме информация от всички администрации за дейности по поддръжка, като целта беше да преназначим всички в изпълнителната агенция към министерството, което позволява по-добро управление на човешките ресурси, по-адекватно заплащане, стандартизиране и централизиране на процеси, изпозлване на единни информационни системи и др.
Отделно от това, в секторите „Образование“ и „Здравеопазване“ следва да бъдат създадени териториални центрове за споделени услуги, които да обслужваат лечебни и здравни заведения и училища и детски градини. Общините ще могат да се групират, за да ползват такива споделени услуги.
Споделени ресурси на електронното управление
Споделените ресурси на електронното управление са централизираните системи, които могат (и трябва) да се ползват от всички администрации. Това в момента включва: държавния облак, единната електронна съобщителна мрежа, защитения интернет възел (internet exchange), както и хоризонталните системи на електронното управление: системата за междурегистров обмен (RegiX), системата за електронна автентикация, системата за сигурно електронно връчване, портала за електронно управление egov.bg, системата за електронни плащания pay.egov.bg.
Към тези системи в законопроекта се добавят няколко други, които са от изключителна важност за киберсигурността и проследимостта на действията и трябва да бъдат въведени максимално бързо: централизиран; регистър за проследимост на събитията и централизирана система за оторизиране и проследяване на администраторските достъпи.
Създава се и правна рамка за устойчивото развитие на тези системи, както и задължение за тяхното използване – вместо всяка администрация сама да си купува хардуер, всички да са длъжни да използват държавния облак, който пък от своя страна следа да бъде развит до качествена „инфраструктура като услуга“, а не както е в момента – ръчно-крачен режим за заявяване на виртуални машини.
Предвижда се и фонд за развитие на софтуера с отворен код, по примера на Германия и други държави, които финансират разработването на ключови за държавната администрация компоненти с отворен код.
Рамкови споразумения и системна интеграция
Основен дефицит на управлението на информационните технологии е липсата на предвидимост и на гъвкавост. Изграждането на нови системи отнема години (а понякога – десетилетие), дори дребни нови функционалности са много отвъд сроковете. Идентифицираните нужди преминават през бавен процес и докато се стигне до това, те да бъдат обезпечени, изискванията са се променили.
В други европейски държави се използват два подхода, понякога в комбинация – рамкови споразумения и национален системен интегратор. В подготвения законопроект има и двата.
Рамковите споразумения по образец, одобрен от МЕУ, следа да покриват основни ИТ услуги, от които има нужда администрацията. Те следва да бъдат сключвани от министерства и да могат да се използват в цялата структура на министерството (т.е. и от всички агенции към него). По този начин ще се постигне бързина и икономии от мащаба. Най-често тези рамкови споразумения биха били с консорциуми, защото спектърът от услуги е доста широк и няма много компании, които да предлагат целия набор на достатъчно добро ниво. Това ще намали разходите, тъй като ще се заплаща на малки части, при реална нужда, а не както в момента – на големи парчета, при които възможността за оценка на разходите е трудна.
Този ред ще е приложим за повечето институции. За няколко специфични институции ще се прилага същият подход, но с точно определен интегратор – по всяка вероятност Информационно обслужване. Точният кръг на администрациите, които със закон ще бъдат определени да използват услугите на системния интегратор, ще може да се обновява веднъж годишно през Закона за бюджета, а не както в момента – понякога на всеки 2 седмици с решение на Министерския съвет.
Този подход се използва в доста европейски държави, като системният интегратор (държавна собственост) се явява лице, осъществяващо публични функции и гарантира устойчивост на ключови регистри и системи в държавата. Развил съм тази концепция още през 2021 г., като смятам, че електронното управление вече е основна функция на държавата и тя не може да бъде аутсорсната по отношение на някои критични дейности. Например ако Търговският регистър спре, държавата се срива. Ако данните от имотния регистър се загубят, имаме сериозен проблем (макар нотариалните актове да са при собствениците). Ако частно лице има достъп до цялата здравна информация на всички пациенти, се създава сериозен риск. Още повече, че в някои случаи има квази-монополиация от една фирма, поради т.нар. vendor lock-in. За да се избегнат тези рискове, е нужен вътрешен за държавата капацитет за основни ИТ услуги.
В същото време, такава концентрация на ключови системи в системния интегратор крие рискове. За ограничаване на тези рискове, в законопроекта се въвеждат редица контролни механизми, в т.ч.: одит от Сметната палата на цялостната дейност, забрана за участие в открити процедури (което би било проблем за конкуренцията, защото интеграторът може да субсидира участието в открити процедури със „сигурните пари“, които получава като лице, осъществяващо публична функция с изкючителни права), въвеждане на двустепенна форма на управление, изслушване на изпълнителния директор в ресорната парламентарна комисия преди назначаване (което задължително е с конкурс), ограничения за превъзлагане, годишни отчети за дейността и най-вече – пълна прозрачност на дейността и на финансирането от държавата.
Тук обикновено има реакция „как така държавата ще прави тези неща сама, това е комунизъм“. Но както писах по-горе, това е основна функция на държавата в 21-ви век. Както държавата не си аутсорства армията и полицията, така според мен не може да си аутсорства дългсорочното познание за ключови регистри. Може някои дейности да бъдат възлагани на външни изпълнители, но основното познание за тези ключови системи трябва да остане вътре в държавата, за да се избегнат зависимости. Едно е да наемеш фирма да ти построи и поддържа път, друго е никой в държавта да не знае как работи системата за обществени поръчки, напр.
Другият аргумент е, че за да аутсорснеш нещо (което ще бъдат мнозинството от дейностите в ИКТ), трявва да имаш вътрешен капацитет да управляваш аутсорсинга. Напр. чрез (споделен) project management office, чрез професионално консултиране на подготовката на технически спецификации, чрез експертно участие в приемането на резултата – особено при приемането в момента има сериозни дефицити, защото по спецификация се поръчва Мерцедес (образно казано), а накрая се получава Москвич с ламарини на Мерцедес, обаче никой в приемателната комисия не разбира, не може да отвори капака и подписва.
Комбинацията от рамкови споразумения, системна интеграция, споделени услуги и ресурси, и развиване на вътрешния капацитет за управление на ИКТ в администрациите (описан в следващата точка), ще даде възможност държавата най-накрая да влезе в релси с информационните технологии.
Въвеждане на нови ръководни длъжности за дигитална трансформация
В администрацията в момента няма определена длъжност с лидерска роля в информационните технологии. Обикновено ИТ директорът (с малки изключения), не участва в стратегическото развитие на администрацията, на нейните услуги и вътрешни процеси. ИТ директорът организира наличието на интернет, компютри и принтери, да се купят лицензи за софтуера за информационна сигурност, и участва в писането на технически спецификации за обществени поръчки. Нужно е да има Chief Information Officer, който да се занимава не просто с технологичната част, а с промяната на вътрешните процеси и да докладва директно на министъра, а не да е „в трета глуха“ на административната йерархия, някъде като началник на отдел в общтата администрация. Затова предлагаме създаването на „Секретар по информационни технологии“, с ясно определени правомощия в Закона за администрацията.
Паралелно с това предлагаме и регламентиране на законово ниво на т.нар. Chief information security officer, или в случая – секретар по информационна сигурност. В момента такива трябва да има по силата на подзаконовата уредба към Закона за киберсигурност, но много често тази длъжност или е незаета, или се съвместява от някой друг, или се аутсорства, или се дава на човек, който е сравнително ниско в йерархията. Затова въвеждането на законово ниво, с ясни функции, трябва да подобри това, като в същото време, в комбинация с повишеното заплащане за ИТ длъжности, да привлече компетентни експерти.
Третата роля е секретар по управление на риска – chief risk officer. Рискът е нещо трудно да осмисляне в администрацията, която работи по строги процеси, но по много причини е важно да има човек с екип, който да управлява рисковете. Всяка административна структура има различни рискове, които в момента не се управляват, а ИТ рисковете са само част от тях.
В законопроекта се предвижда и отделен раздел на класификатора по Закона за държавния служител, предвиден само за ИТ длъжности.
Централен орган за покупки
В администрацията постоянно се купуват стандартни неща – лаптопи, принтери, лицензи за често-срещан софтуер. В много държави това е организирано през т.нар. „централен орган за покупки“, където има сключени рамкови споразумения с максимални отстъпки (поради големия обем), и след това купуването става (образно казано) с едно натискане на мишката, вместо едногодишни процедури по ЗОП или по-кратки, под праговете, които в следващите години „избухват“ като цена. В някои случаи към тези покупки има нужда и от услуги по внедряване, които също ще бъдат предоставяни през системата, от оторизираните партньори на съответния доставчик, на предварително определени цени.
По този начин ще бъдат спестени средства (заради по-големите отстъпки) и време (заради по-бързия процес) по закупуване и внедряване в експлоатация. Централният орган за покупки ще е задължителен за централната администрация, но ще може да се използва и от местната и от съдебната власт, по тяхна преценка.
Със закона се предвижда централният орган за покупки за ИКТ да бъде към Министерството на електронното управление. Такъв беше заложен и в програмата на предишното редовно правителство, но уреждането му на законово ниво повишава шанса да бъде изпълнен по правилния начин.
Стандартизация на експлоатацията
В момента внедряването в експлоатация на системи е на етап „дивия запад“. Кое как се внедрява, как се правят промени в продукционна среда, какво се мониторира и как се реагира, какво се одитира – всичко е ad-hoc, и често не се случва. Системи падат, защото никой не ги мониторира, в продукционна среда се внедряват неща, които не са тесвани; системите в продукционна среда се различават от това, което е предадено на възложителя.
Затова със законопроекта се въвежда стандартизиран ред за внедряване в експлоатация, задължения за мониторинг, както и за оперативна устойчивост – предвижда се разпоредбите на DORA (регламент за финансовия сектор) да се прилагат и за системи със стратегическо значение. Въвежда се и задължение за регулярни специализирани одити на стратегически системи.
Със законопроекта се въвежда т.нар. total cost of ownership (обща цена за притежаване на активите). Към момента такива изчисления не се правят при избор на дадена технология, продукт или подход (build vs buy). И често държавата харчи пари за изцяло нова разработка на нещо, което съществува на по-ниска цена или обратното – плаща прескъпи лицензи за продукти, чиято функционалност използва на 5% и може да разработи сравнително лесно. Сходен проблем има и при закупуването на лицензи, особено при все по-популярния subscription модел. Затова се въвежда задължение за изчисляване на TCO.
Предварително обсъждане на технически спецификации
Един от проблемите, който се забелязва във всички сектори, но и в конкретно в ИТ, е че техническата спецификация се появява на бял свят с обявяването на обществената поръчка. Това води до следния проблем: ако в нея има проблеми, недообмислени апсекти, заключващи критерии за конкретен доставчик, единственият начин тя да се промени, е да се прекрати процедурата, което пък води до допълнително забавяне.
Затова със законопроекта се въвежда предварителна стъпка на обществено обсъждане на техническите спецификации, за да може всички участници да преценят има ли дискриминационни критерии или изисквания, чието изпълнение би създало рискове за целия проект.
Механизми за установяване и покриване на нуждите
Информационните технологии са изключително динамични, нови решения на стари проблеми се появяват непрекъснато, а съществуващите решения търпят съществени промени, вкл. концептуални. Законът за обществените поръчки дава формалната част на възлагането, но не дава структуриран процес на предшестващите стъпки. Със законопроекта се въвежда конкретика в процесите по установяване на нуждите на организациите и начините за тяхното покриване.
Понякога решението е „build vs buy“ (да изградиш нова система или да си купиш лиценз за съществуваща, която да „настроиш“ спрямо твоите нужди), понякога има решения, за които администрацията дори не подозира, че могат да решат техни дългогодишни проблеми в дадена сфера, понякога, за да стигнеш до работеща концепция, е нужно да получиш обратна връзка от бизнес какви са възможните подходи.
Ако някоя администрация подходи по-креативно към тези проблеми, това оставя съмнения за злоупотреби: напр. защо питаш фирмите да ти кажат как да подходиш към проблема? Защо приемаш фирма Х, която да ти предложи иновативно решение? Защо внедряваш пилотно продукт, който не си избрал по реда на ЗОП, и след това не получава ли той примущество? Затова със законпроекта се въвждат няколко такива механизма, по които процесите да бъдат ясни и да се ограничи риска от злоупотреби: пазарно проучване (да не се бърка с пазарна консултация, което е съществуващ ред в ЗОП), заявка за предложения (request for offer), пилотно внедряване (с гаранции, че това няма да даде преимущество при последваща процедура по ЗОП), диалог за иновации (при който съвместно се идентифицират проблеми и потенциални решения). Всяка една стъпка от тези процеси се документира и публикува, така че да има пълна проследимост и прозрачност.
Заключение
Законопроектът е с много широк обхват и прави съществена реформа във всички структури на държавата. Смятам, че такъв е крайно необходим, за да може държавата да изпълнява основните си функции в 21-ви век, да намали разходите за ИКТ, да повиши качеството на предоставяните услуги и да гарантира устойчивост на информационните си ресурси.
Материалът Закон за управление на информационните и комуникационните технологии в обществения сектор е публикуван за пръв път на БЛОГодаря.
