Dočkali sme sa Národnej koncepcie informatizácie verejnej správy

Osobne ma napríklad potešilo, že na rozdiel od Stratégie, ktorá úplne ignorovala oblasť ochrany súkromia, Koncepcia túto oblasť (ochranu súkromia) považuje za jeden z princípov jedného z troch pilierov informatizácie („Digitalizácia úsekov správy“). Vzhľadom k doterajšej praxi častého zanedbávania tejto oblasti, viditeľnej napríklad pri príprave legislatívy, ide o vítaný posun ... ostáva len dúfať, že neostane len pri tejto deklarácii.

Teoreticky by som mal podobne vyjadriť spokojnosť nad tým, že Koncepcia medzi princípy ďalšieho z pilierov zaraďuje aj bezpečnosť ... po prečítaní príslušnej pasáže ma však zarazilo, že autori Koncepcie oblasť bezpečnosti chápu značne zúžene, keď ju obmedzujú len na ochranu informácii. To by sa totiž dalo interpretovať aj tak, že hrozby typu zneužitia niektorej časti informačného systému verejnej správy (napríklad na skladovanie pirátskeho softvéru či detskej pornografie, alebo hoci na vedenie tzv. denial-of-service útokov na iné systémy) nepovažujú za dôležité ... :-( Hmmm, na druhej strane však Koncepcia v podstate všetko, čo sa týka bezpečnosti, odsúva na zatiaľ nezverejnenú Národnú stratégiu informačnej bezpečnosti, takže s prípadnou kritikou bude potrebné počkať na to, ako sa s vymedzením oblasti bezpečnosti popasujú autori toho dokumentu (podľa vyhlásení z konca r. 2006 mal byť predložený na pripomienkovanie do konca marca r. 2007 ...)

Zdá sa mi tiež, že autori Koncepcie zrejme neúmyselne prispejú k vzniku zaujímavého problému v súvislosti s uplatňovaním zákona o ochrane osobných údajov. Ten totiž ukladá povinnosti v oblasti zabezpečenia osobných údajov (napríklad vypracovanie bezpečnostného projektu) hlavne prevádzkovateľom informačných systémov, zatiaľ čo povinnosti osôb oprávnených pristupovať k tým údajom (t.j. používateľom IS) sú o dosť jednoduchšie. Koncepcia predpokladá, že údaje rôznych registrov budú uložené vždy iba v jednom subsystéme a ostatné subsystémy (organizácie štátnej správy) k týmto údajom budú pristupovať – preberať ich cez vhodný identifikátor len keď ich budú potrebovať. Má to logiku, veď ľuďom napríklad takto postačí trebárs zmenu adresy ohlásiť iba jednej inštitúcii a nie všetkým úradom, s ktorými prichádza do kontaktu. Keďže spomenuté ostatné organizácie štátnej správy voči príslušnému registru v takomto prípade vystupujú v podstate ako oprávnení používatelia, ich povinnosti okolo ochrany osobných údajov z toho registra by mali byť obdobné ako bežných používateľov (povinnosť mlčanlivosti a pod.).

Potiaľ by to bolo v poriadku, Koncepcia však v sekcii 4.2.4.6 uvádza „Z dôvodu času odozvy systému, priepustnosti sietí a iných technických obmedzení, t.j. kvôli minimalizácii záťaže systémov vytvoria používatelia referenčných údajov základných registrov kópie referenčných údajov, ktoré budú aktualizovať (spolu s evidenciou času aktualizácie) v pravidelných intervaloch stanovených legislatívou – tzv. cacheovanie.“ Striktne brané, spomenuté vytvorenie kópie údajov registra na systémoch všetkých organizácii štátnej správy, ktoré budú patriť medzi oprávnených používateľov toho registra, by znamenalo, že na systémoch týchto organizácii sa budú vyskytovať osobné údaje z daného registra – podľa zákona o ochrane osobných údajov by im teda asi mala pribudnúť povinnosť zabezpečiť náležitú ochranu aj týchto údajov (aktualizovať svoj bezpečnostný projekt?)... Hmmm, nespomínam si, že by zákon o ochrane osobných údajov v súčasnom znení šiel až do takej úrovni detailov, že by postihol aj prípad cacheovania osobných údajov, takže – pokiaľ sa medzitým nezmení – sa črtajú zaujímavé dôsledky...

Pravda, oblasti bezpečnosti a ochrany súkromia neboli to jediné, čo ma v Koncepcii zaujalo ... napríklad v materiáli nie je žiadna zmienka o wi-fi sieťach (časť podkapitoly 4.5 Infraštruktúra, pojednávajúca o „základnej komunikačnej infraštruktúre štátnej správy - na úrovni LAN“ spomína len štrukturovanú kabeláž). Ak sú proti nim výhrady, napríklad z hľadiska bezpečnosti, očakával by som aspoň zmienku typu „takto nie“, ale prečo tam úplne absentujú... ? No a za pozoruhodný považujem aj obsah poslednej kapitoly – Priority informatizácia verejnej správy. Je ich toľko, že sa podľa môjho názoru celkom prirodzene natíska otázka, čo vlastne nie je prioritné ... Hej, dá sa povedať že vzhľadom na stav informatizácie na Slovensku je potrebné urýchlene riešiť (skoro) všetko, na druhej strane ak všetko označíme za prioritu, úplne sa zničí význam toho pojmu (zažil som to pred rokmi – organizácia, kde som bol zamestnaný, mala útvar, ktorý poskytoval servis ostatným zložkám, bol nesmierne preťažený a preto všetko meškalo ... riešením malo byť rozhodnutie vedenia, že útvar má prednostne vybavovať prioritné požiadavky ... po krátkom čase bolo všetko po starom, pretože všetky požiadavky boli označené ako prioritné...).