Računsko sodišče okaralo Spiritov informacijski fiasko
Pred poldrugim letom je agencija Spirit vzpostavila sistem za elektronsko izmenjavo podatkov, ki bi ga mirno lahko opisali kot bizarno neučinkovitega. Nad njim so se zgražali vsi ostali vpleteni, vključno z ministrstvom za digitalno preobrazbo, a Spirit je ostal neomajen. Zdaj ga je okrcalo tudi računsko sodišče, ki je tehnično implementacijo ocenilo kot neuspešno.
Računsko sodišče revidira javno porabo v Sloveniji, kar je širok pojem, ki zajema tako vse subjekte javnega prava kot tudi zelo različne dejavnosti. V primeru Spirit so se osredotočili na tehnično vzpostavitev posredovanja podatkov in projektno organizacijo njihovega posredovanja za izvedbo nadzorov na podlagi ZPGOPEK (Zakona o pomoči gospodarstvu za omilitev posledic energetske krize). Kot so pojasnili, se niso opredeljevali do konkretnih ukrepov pomoči, vsebinskega ali administrativnega izvajanja ter do drugih oblik nadzora. Preverjali so zgolj tehnično izpeljavo, za kar so si zastavili revizijsko vprašanje, ali je agencija učinkovito tehnično vzpostavila in organizirala posredovanje podatkov za nadzore na podlagi ZPGOPEK. Odgovor je bil negativen, agencija je bila po njihovem mnenju neuspešna, kar se sliši milo, a je v resnici zelo slaba ocena.
Sklep o reviziji so sprejeli 19. marca 2024, končno poročilo pa je bilo javno objavljeno 22. novembra, torej ko je bila prejšnja številka Monitorja že v tiskarni. Revizija tako ni pomembna zaradi tehnoloških podrobnosti, saj smo o nenavadnosti Spiritove rešitve obširno pisali že lani, temveč zato, ker razkriva konkretne podatke o izvedbi izmenjave podatkov. Medtem ko smo lani le predvidevali, da bo povzročila veliko dela in da bo prizadela mnoge subjekte, zdaj poznamo natančne številke.
Obnova
Povzemimo zelo na kratko, o čemer smo obširno pisali lani (Informacijski fiasko leta, Monitor 10/23). ZPGOPEK je gospodarstvu omogočil finančno pomoč zaradi visokih cen energentov v letu 2023. Da bi bili do pomoči upravičeni takoj, je predpisal izplačilo predujma, saj so se podjetja prijavila do konca februarja. Prvo izplačilo je bilo izvedeno konec marca 2023, nato pa so sledila mesečno. Za končni poračun so bili potrebni dejanski podatki o porabi v letu 2023, ki so jih morala podjetja elektronsko sporočiti Spiritu. Zakon pa ni predpisal tehnične implementacije, temveč je to prepustil njemu.
Rok za prvo izmenjavo podatkov je bil konec julija 2023, za drugo posredovanje podatkov pa konec januarja 2024. Agencija je zato 1. marca 2023 objavila odločitev, kako bodo morali zavezanci posredovati podatke. Ta je bila milo rečeno neprimerna, saj je agencija od vsakega zavezanca zahtevala razvoj lastnega programskega vmesnika (API) in vzpostavitev informacijskega okolja, v katerem bo tekel. Agencija je natančno predpisala (v orodju za obvladovanje dokumentacije o razvoju programskih vmesnikov Swagger), na katere klice se mora API odzivati, zavezanci pa so ji morali po elektronski pošti poslati uporabniško ime in geslo za dostop. Agencija se je potem dvakrat (avgusta 2023 in februarja 2024) povezala na vsak API in pretočila potrebne podatke k sebi. To je diametralno nasprotna rešitev od uveljavljenih praks, kjer državni organ vzpostavi informacijski sistem, kamor potem zavezanci odlagajo podatke v predpisanih rokih.
Da je računsko sodišče tehnično izvedbo revidiralo, ni presenetljivo, saj je bilo v medijih prelitega mnogo črnila o Spiritovi rešitvi, množično pa so negodovali tudi zavezanci. Sodišče je zato agenciji poslalo več pisnih vprašalnikov, pregledalo dokumentacijo, pridobilo del elektronske komunikacije agencije s 46 zavezanci (le del zato, ker je bilo odgovarjanje kaotično in je potekalo z več elektronskih računov, tudi z osebnih), opravilo intervjuje z 11 dobavitelji energentov in enim operaterjem prenosnega sistema, pregledalo uporabo in delovanje konkretne informacijske rešitve ter preučilo pravne podlage in javno dostopne informacije. Rezultat je torej res temeljita analiza sistema.
Niso proučili
Ta razkriva, da je Spirit ravnal neuspešno in da je zavezance nesorazmerno obremenil. Agencija je od zavezancev podatke zahtevala dvakrat letno, vsakokrat pa je šlo za 12 vrstic podatkov (za tekočih šest mesecev in za referenčno obdobje). Za vsega 24 vrstic je zahtevala, da zavezanci razvijejo lastne programske vmesnike (API) in jih izpostavijo na spletu na zunanje dostopnih strežnikih. Dostopni so morali biti ves čas, ker agencija ni sporočila, kdaj se bo povezovala.
Količino repetitivnega dela, ki je bilo s tem naloženo zavezancem, je moč oceniti. Posebej nesrečni so bili posredni dobavitelji, ki se niso sami prijavili na razpis, temveč so to storili njihovi odjemalci. Posredni dobavitelji so gasilska društva, občine, župnije, bolnišnice in druge organizacije, ki so oddajali prostore in so najemnikom zaračunali tudi električno energijo. Ti sprva sploh niso mogli vedeti, da so zavezanci za poročanje, saj niso imeli informacij, ali se je njihov najemnik prijavil k subvenciji. To jim je Spirit sporočil šele 21. junija 2023, četudi je te informacije imel že 28. februarja. Rok za poročanje je bil 31. julij 2023.
Kar 346 posrednih dobaviteljev je poročalo zgolj o enem odjemalcu, skupno 440 pa je imelo manj kot pet končnih odjemalcev. A vsi so morali početi isto. Agencija je ocenila, da je bilo vzpostavljenih 353 programskih vmesnikov (API). Večinoma so jih zavezanci razvili sami oziroma so plačali zunanji razvoj, nekateri tudi skupaj. Čeprav sta bili na trgu dve komercialni rešitvi, ju je uporabilo le 61 zavezancev. Še ena rešitev je bil brezplačni www.zpgopek.si, ki ga je uporabilo 148 zavezancev.
Računsko sodišče zato ugotavlja, da agencija »pred objavo odločitve o obliki tehnične vzpostavitve posredovanja podatkov za nadzore 1. 3. 2023 ni izvedla primerjalne analize različnih možnih pristopov k vzpostavitvi izmenjave podatkov. Tudi ko je 28. 2. 2023, torej 153 dni pred rokom za prvo posredovanje podatkov, pridobila glavnino podatkov o zavezancih za posredovanje podatkov, iz katerih je izhajalo, da jih je skupaj okoli 460 in da jih od tega okoli 440 posreduje podatke za do 5 odjemalcev, agencija ni proučila drugih, za zavezance brezplačnih ali vsaj bolj enostavnih tehničnih možnosti posredovanja podatkov za nadzore«. Teh ne manjka. Lahko bi predpisali »posredovanje podatkov v obliki datotek z natančno predopredeljenimi formati podatkov, ročni vnos podatkov v spletne obrazce in drugo«. V praksi sta takšna primera informacijska rešitev Pripravljavec prognoz, ki jo je razvilo podjetje Plinovodi, ali pa Fursovi eDavki.
Agencija je trdila, da je predpisani način posredovanja podatkov edini mogoči, kar evidentno ni res. To je navsezadnje dokazala sama, saj je prvi korak – zbiranje vlog – organizirala sama na obraten način. Prijavitelji so na spletni obrazec vnesli podatke s praktično identično strukturo in vsebino, kot so potem zahtevali prek API. Spirit je tudi po opozorilu računskega sodišča vztrajal pri stališču, da je bila predpisana možnost edina mogoča, ker niso imeli sredstev za implementacijo lastne rešitve.
Obremenitev dobaviteljev je bila znatna. Računsko sodišče je pridobilo informacije o stroških od šestih zavezancev, ki so podali naslednje ocene: 60 programerskih ur (izkušeni razvijalec), 25 programerskih dni (poročanje za veliko odjemalcev v specifičnem notranjem informacijskem okolju), 26 programerskih dni, 5.000 evrov (zunanji partner), 4.500 evrov (nakup že razvite rešitve), 457 evrov (stalni pogodbeni partner). Stroški so torej zelo različni, odvisno od velikosti zavezanca, njegovih internih sistemov in sodelovanja s pogodbenimi izvajalci.
Niso varovali
Druga težava je bila malomarna varnost. Spirit je od zavezancev zahteval, da prijavne podatke za dostop do API (uporabniško ime in geslo) v nešifrirani obliki pošljejo na api@spiritslovenia.eu. Računsko sodišče je sámo prepoznalo, da »uporabniških imen in dostopnih gesel po […] ni varno deliti v elektronskih sporočilih na elektronski naslov v skupni uporabi neznanega števila zaposlenih in v nešifrirani obliki«. Ne le da je te podatke nekdo v agenciji očitno pretipkaval v neko zbirko, temveč je v vsaj 46 primerih elektronska sporočila posredoval na svoj osebni naslov Gmail.
Spletni vmesniki so ostajali aktivni in dostopni mesece, saj Spirit zavezancem ni sporočil, kdaj je pretočil podatke. Namesto tega je zahteval, da morajo imeti zavezanci neprekinjeno dostopne vzpostavljene povezave. »Neprekinjeni zunanji dostopi v notranja informacijska okolja zavezancev za posredovanje podatkov lahko predstavljajo vstopni vektor za kibernetske napade,« piše v reviziji. »Zato jih je treba po naši oceni aktivirati le, če in ko so potrebni,« je še zapisalo Računsko sodišče.
Spirit je zavezance obvestil o dveh komercialnih rešitvah, kasneje pa še o brezplačni rešitvi www.zpgopek.si. Za komercialni rešitvi, ki sta imeli znane avtorje, a ne cenika, ni izvedel presoje zanesljivosti ali varnosti. Ker tega ni izrecno navedel, je bilo obvestilo razumeti kot priporočilo. Za brezplačno rešitev pa Spirit sploh ni vedel, kdo jo je vzpostavil, ni presodil varnosti in zanesljivosti, avtorji pa niso podali nobenih zagotovil, da bo delovala. Na koncu je delovala brez težav, avtorji pa so bili v resnici informatiki enega izmed podjetij, ki je bilo posredni dobavitelj, in so svojo rešitev nudili še drugim zavezancem.
Niso razkrili
Dobavitelji tudi dolgo niso mogli vedeti, za katere končne odjemalce morajo sploh poročati. Čeprav sta vsaj dva večja posredna dobavitelja Spirit opozorila, da nimata konkretnih podatkov, kateri odjemalci so ju označili kot dobavitelja in za katero obdobje, Spirit teh podatkov ni posredoval. Dejal je, da se seznam posrednih dobaviteljev še dopolnjuje, kar ni bilo res. Končni rok za oddajo vloge je bil 28. februar, torej skoraj 100 dni prej.
Agencija je potem 27 dni pred rokom za posredovanje podatkov objavila matične in davčne številke vseh končnih odjemalcev. Posredni dobavitelji so morali med njimi najti svoje odjemalce. Po mnenju računskega sodišča je to zahtevalo vrsto dodatnih poizvedb v zbirkah podatkov pri dobaviteljih, kar predstavlja nesorazmerno administrativno obremenitev.
Niso pomagali
O bizarni delavnici, na kateri je Gorazd Orešek dejal, naj zavezanci ne pošiljajo elektronskih sporočil, ker jih je preprosto preveč, temveč (ga) raje pokličejo, smo že pisali. Računsko sodišče je potrdilo njegove navedbe, da na pošto ne bodo mogli odgovarjati. Pregleda nad neodgovorjenimi vprašanji ni bilo, situacijo je še dodatno zameglilo poizvedovanje po telefonu. Spirit je celo dejal, da so na prispela vprašanja vsaj v nekaterih primerih odgovarjali z drugih (osebnih) elektronskih naslovov, vzpostavljenih na poštnem strežniku agencije.
Spirit je v odzivu zatrdil, da mu zakon ni izrecno predpisal obveznosti nudenja tehnične ali kakršnekoli druge pomoči, vse delavnice in pomoči pa da je izvajal samoiniciativno. Trdijo, da so na elektronska sporočila odgovorili v roku treh dni, da pa dopuščajo možnost, da so kakšen telefonskih klic zgrešili. Zanimivo – na delavnici so pozivali, naj jim zavezanci ne pišejo, temveč jih raje kličejo. Dodajmo, da pri prvem načinu obstaja sled, pri drugem pa niti ne.
Računsko sodišče je argumentacijo zavrnilo in dejalo, da so kot pristojni organ dolžni nuditi podporo zavezancem, kar vključuje tudi odgovarjanje na vprašanja in prošnje za pomoč.
Tudi kadar so samoiniciativno pomagali, pa to ni bilo vedno učinkovito. Spirit je novembra 2023 poslal dopis, v katerem je zavezance opozoril na najpogostejše napake. A ker je bil za vse enak, je moral vsak zavezanec testirati API za vse navedene napake, saj ni mogel vedeti, katere ga zadevajo. Dopis so dobili tudi zavezanci, katerih API so delovali brez napak, kar po mnenju računskega sodišča predstavlja nepotrebno in nesorazmerno obremenitev zavezancev.
Računsko sodišče je zato izreklo strogo mnenje, da Spirit ni bil učinkovit. Izdali so tudi več priporočil, ki se nanašajo na varnostno politiko. Pri Spiritu za stroške, ki so nastali podjetjem, ne bo odgovarjal nihče.
Morda bo v prihodnosti kdo vendarle dvakrat premislil, preden bo predstavil povsem nelogične načine digitalizacije.