Николай Аврамов, член на Българската асоциация по информационни технологии:

Законопроект предвижда монопол при управлението на информационните системи на администрациите

Законопроект предвижда монопол при управлението на информационните системи на администрациите
Николай Аврамов, Българската асоциация по информационни технологии (БАИТ)

Промени в модела на управление на информационните системи на голям обем от държавни администрации предвижда правителството. Става въпрос за Законопроект за изменение и допълнение на Закона за електронното управление, в който изненадващо се предвижда една определена фирма да поеме контрола върху системите на определени от Министерския съвет администрации. В тази връзка "Правен свят" потърси за коментар един от водещите експерти в ИТ сектора и член на Българската асоциация по информационни технологии - Николай Аврамов.

Г-н Аврамов, като част Българската асоциация по информационни технологии (БАИТ), вероятно сте запознат с последния Законопроект за изменение и допълнение на Закона за електронното управление? Безпорно е, че тази сфера се нуждае от промени в нормативен аспект. Но като че ли звучи малко притеснително, че в него е предвидено една конкретна фирма да отговаря изцяло за всички системи, използвани от административните органи в държавата.

Да, запознат съм. Става дума за Законопроект за изменение и допълнение на Закона за електронното управление, № 902-01-41, внесен от Министерския съвет на 05 август 2019 г. и обсъден на заседание на Комисията по транспорт, информационни технологии и съобщения към НС, проведено на 11 септември 2019 г. Съгласно мотивите на вносителя законопроектът цели да осигури ефективност и сигурност при предоставянето на електронни административни услуги на гражданите и организациите предвид приетите изменения и допълнения в Административнопроцесуалния кодекс. Основна цел на предлаганите промени в Закона за електронното управление (ЗЕУ) е да се обезпечи разработването, внедряването и надграждането на необходимите информационни ресурси на електронното управление при спазване на изискванията за мрежова и информационна сигурност и оперативна съвместимост, както и прилагане на устойчив модел за дългосрочното им управление и поддръжка. Част от промените са свързани с въвеждане на изискванията на Директива (ЕС) 2016/2102 относно достъпността на уебсайтовете и мобилните приложения на организациите от обществения сектор. Група изменения се отнасят до съобразяване в максимална степен с препоръките на ОИСР във връзка с дейността на Държавно предприятие "Единен системен оператор", което е невъзможно при широко разширяване на правомощията на предприятието. Във връзка с последното "дейностите по системна интеграция се възлагат на "Информационно обслужване" АД с цел постигане на максимална ефективност и целесъобразност."

Българската асоциация за информационни технологии (БАИТ) вече взе отношение по законопроекта със становище, в което се обръща внимание на нарушаване принципа на свободно договаряне, възможността за превъзлагане на дейностите по системна интеграция и нарушаване принципите на конкуренцията, което беше внесено в комисиите на НС. БАИТ също така изиска от МС цитираните в мотивите препоръки на ОИСР, но те така и не бяха получени, нито пък имаше отговор, че съществуват, но са класифицирана информация. Щом тези препоръки са толкова важни би трябвало да са достъпни и ИТ браншът да е запознат и да се съобразява с тях.

Кой се очаква да поеме контрола върху дейността на тази фирма и как очаквате да се гарантира, че тя ще спазва договорните отношения за поддръжка и разработване на информационните системи на администрациите, след като реално няма никаква йерархическа зависимост от държавата?

В Законопроекта не е предвидено някой да контролира дейността на системния интегратор. Съгласно законопроекта "Министерският съвет определя административните органи, които при изпълнението на своите функции, свързани с дейности по системна интеграция, възлагат изпълнението на тези дейности на системния интегратор". В законопроекта не е определен начин за възлагане на проекти и дейности, не е дефиниран механизъм за ценообразуване на услугите, извършвани от интегратора, не са определени начини за санкциониране при некачествено или забавено изпълнение. Просто със законопроекта се вменява на една фирма с държавна и частна собственост да изпълнява дейности, свързани със системната интеграция на всички административни органи, определени от Министерския съвет. В задълженията на системния интегратор е включено само наблюдение на работоспособността на информационните системи, но никъде няма изискване той да отговаря за наличието на такава работоспособност, да осигурява реакция при проблеми, възстановяване, превантивни действия и т.н.

Всъщност, как биха могли самите административни органи да запазят собствената си конфиденциалност при факта, че частно юридическо лице ще може да разполага с всички данни, които пожелае? Знаете, че обществото вече е доста чувствително на тема сигурност на личнни данни.

Предполагам, че това ще бъде задължение на всеки един от административните органи, които ще бъдат обхванати от предвидената в законопроекта мярка, на базата на двустранни търговски договори. В момента някои административни органи не обръщат внимание или са недостатъчно добре запознати с важността на информацията, която събират и съхраняват. Регламентът за защита на личните данни, известен повече като GDPR, обърна вниманието на широката публика към този въпрос, макар и едностранно. Освен лични данни в информационните бази на държавните органи се съхраняват чувствителни данни с комерсиален, отбранителен и най-различен друг характер. Не може да се прецени кой от какви данни би се интересувал с користна цел. Поради тази причина защитата на всички данни, събирани и съхранявани от административните органи е първостепенна цел. Този факт постепенно става ясен на отговорните фактори, като се вземат мерки в тази посока, например с приемането на Закона за киберсигурност и със създаването на Съвет по киберсигурност. Киберсигурността е по-скоро средство за борба с посегателство над данните извън организацията. Според мен сериозно се подценява посегателството над данните отвътре, злоупотреба с данни вследствие на злоумишлени действия на служители или просто недоглеждане при осигуряване на достъп до данните. Мога да дам пример - когато административен орган сключва договор за услуга, като предоставя достъп до информационните си масиви, съдържащи комерсиални данни на фирма, чиито предмет на дейност според уебсайта им е предоставяне на консултантски услуги точно на базата на такава информация.

Във връзка с казаното, защитата на информацията трябва да се извършва не само с технически средства, но и със съответните организационни правила и процедури, залегнали още при създаването на информационните системи. Тези правила и процедури трябва да определят ясно кой, кога и как може да достъпва данните в системата, както и да осигуряват надеждна информация за осъществявания достъп. Пътят, който трябва да се извърви е доста дълъг и има много за наваксване.

Как могат да са сигурни гражданите, че техните лични данни няма да бъдат употребени за, така да го кажем, нечисти цели от тази частна фирма, след като държавата на практика не може да оказва никакъв контрол върху нея?

Няма как да са сигурни в момента, още повече, че ние не знаем кои административни органи ще бъдат обхванати от залегналата в законопроекта мярка и с какви данни разполагат те.

Реално тук стои и въпросът за качеството на услугата, която въпросната фирма ще предостави на държавната администрация – списъкът на "клиентите"  й  едва ли ще е кратък. Ами, ако се окаже, че фирмата няма необходимия капацитет, за да поддържа всички възложени й информационни системи?

Законопроектът не третира въпроса с ресурсите и компетентностите, необходими за извършване на дейностите по системна интеграция. Самото определение за системна интеграция в законопроекта е дадено в един единствен член: "Дейностите по системна интеграция включват изграждане, поддържане, развитие и наблюдение на работоспособността на информационните системи, използвани от административните органи".  Самото определение изключва въпроса за качеството. След като едно лице изгражда, поддържа и развива една информационна система и едновременно с  това наблюдава работоспособността й, то може да си определи собствени критерии за качество. Не става ясно как административният орган – потребител на системата, ще може да контролира качеството на услугата, кой ще бъде собственик на кода на информационната система, как ще се гарантира отсъствието на т.нар. "задни врати", през които може да се достъпва информация, какви промени трябва да се извършват за подобряване на системата и много други аспекти от експлоатацията на една информационна система. От определението не става ясно и дали хардуерът, който е необходим за функционирането на информационната система, е компонент от изграждането й, и ако не е – как ще бъде осигурен. Закупуването на качествен хардуер, с възможности да гарантира работоспособността на информационната система, е сериозна инвестиция, от която могат да се реализират неоправдани икономии, с цел реализиране на допълнителна моментна печалба и загуба на качество в бъдеще. От друга страна нито една фирма не може да извърши ефективно доставка, инсталация и поддръжка на какъв да е хардуер. Всяка фирма има определени партньорски взаимоотношения и ноу-хау, които малко или много ограничават обхвата й на дейност. В България в момента съществуват достатъчно много фирми, които партнират с практически всички известни производители на хардуер и могат да извършват системна интеграция на необходимите продукти максимално ефективно.

Въпросът с ресурсите е изключително важен във връзка с нарастващия недостиг на добри софтуерни и хардуерни специалисти у нас. Изграждането на една информационна система в дадена област изисква както общи познания по ИТ, така и частни познания в областта на приложение. Докато натрупването на общи познания по ИТ е по-скоро възможно при наличието на неограничен паричен ресурс, какъвто системният интегратор-монополист ще получи с това изменение в закона, то натрупването на частни познания във всички области на дейност на държавната администрация е по-скоро невъзможно. Например, изграждането на една система за управление на процесите в съда кардинално се различава по специфика от един регистър за обществените поръчки и съответните специалисти, които разработват и развиват тези системи трябва да имат познания в съответните области. Това вероятно ще става, като се привличат множество подизпълнители със съответните компетенции. Вторият аспект на ресурсното осигуряване е количествен. Много е вероятно, следвайки логиката на Правителството за бюджетиране на електронното правителство, през следващите години да се наблюдава бум на новоизгражданите и разширяваните информационни системи. Този бум ще изисква сериозно количество системни архитекти, бизнес анализатори, програмисти и други ИТ специалисти, работещи в екипи. Създаването на добре работещ екип е въпрос на известно време. Създаването на десетки такива екипи под една шапка в условията на недостиг на специалисти е по-скоро невъзможно. По този начин ще се окаже, че част от бюджетираните задачи не се изпълняват поради липса на ресурс при системния интегратор, докато редица други фирми бездействат. Решението е просто – превъзлагане, което обаче представлява заобикаляне на ЗОП със съответните последствия за нарушаване на принципите на конкуренцията.

Ако такъв договор бъде сключен между държавата и частното търговско дружество, какви се очаква да са цените на услугите, които ще предлага то за поддръжката на системите на определените администрации и реално кой ще му плаща?

Знаем, че основната цел на всяко търговско дружество е създаването на печалба в полза на акционерите му. Когато дружеството е монополист, както е в случая, неговите цени се нуждаят от корекция. В противен случай се стига до злоупотреба с монополно положение. Всяка една пазарна икономика трябва да е много предпазлива с потенциалните монополисти и налаганите регулации. С настоящият законопроект изкуствено се налага един монополист, за който не е предвидена никаква регулация. При това в силно конкурентния ИТ бранш в България, в който работят стотици фирми, някои от тях с капацитет, надвишаващ този на предложения системен интегратор. Контролът върху цените трябва да е пазарен. След като Правителството е решило, че определения в ЗЕУ Единен системен оператор не отговаря на целите на Закона и с настоящия законопроект отменя целия раздел, който определя дейността му, е редно системният интегратор да се определи според правилата на ЗОП. За целта трябва да се дефинира процедура по ЗОП за извършване на дългосрочни услуги с ясно определен обхват и цели, като цените на услугите се определят на пазарен принцип чрез търг. Процедурата може да завърши с определяне на няколко потенциални изпълнители, което напоследък е практика за големите поръчки в ЕС. Впоследствие, избраните по формални критерии изпълнители, се конкурират за изпълнение на всяка конкретна задача. Този подход би могъл да реши както проблемът с ценообразуването, така и останалите проблеми при злоупотреба с монополно положение – качество на реализацията, ресурсна обезпеченост и контрол.

Николай Аврамов е управител и един от основателите на водещата българска ИТ компания "Парафлоу Комуникейшънс". Той е сред най-опитните ИТ консултанти в България. Учил е в Санкт-Петербургски държавен електротехнически университет "ЛЕТИ" и е специализирал в Университета в Манчестър, Великобритания. Защитил е докторска дисертация в Института по математика на БАН на тема "Проектиране на мултипроцесорни системи".

 

Вижданията на ВСС и МФ за бюджета на съдебната власт за 2020 г. се разминават с близо 90 млн. лв.

Предишна новина

Американска конгресменка подаде оставка заради любовна афера

Следваща новина

Коментари

1 Коментара

  1. 1
    1 | нерегистриран
    2
    0

    Как "КОЙ" Мишо Константинов и Ивайло Филипов. Особено втория отдавна иска да "сложи ръка" върху държавната част от IT бизнеса и да мачка частния сектор както той реши.

Твоят коментар

Сайтът е защитен с reCaptcha. Политика за лични данни.