Dobrý deň,
V roku 2018 som pôsobil ext. poradca pre ÚPVII. Jednou z mnohých tém, ktoré som pomáhal konzultovať, bolo aj mobilné ID. Upozorňujem, že nemám vedomosť ani o jednom stretnutí na pôde verejnej správy v tom období - alebo potom v roku 2019 - na ktorom by som sa zúčastňoval “za dodávateľa DEUS”. V architektonickej kancelárii sme riešili tému mobilného ID (ako aj mnohých iných tém) len z vecnej stránky. Mandát architektov nikdy nebol vyberať konkrétne riešenie (alebo v tomto prípade schvaľovať konkrétny výdavok) - skôr konzultovať a hľadať možné riešenia a ich dopady. Z vecného pohľadu môžem konštatovať, že v téme bolo v tom čase viacero záujemcov s prezentáciami, alebo narýchlo pripravenými demo aplikáciami, ale veľmi málo riešení (mobilnej autentifikácie a autorizácie pre úroveň pokročilá) reálne overených živou a relevantnou referenciou v komerčnom svete.
Ako externý poradca som nemal a nemohol mať žiadny vplyv na dávanie alebo nedávanie mandátu DEUS-u z ÚPVII - viem len, že taký mandát DEUS v roku 2018 dostal. Môj názor je, že DEUS svoje dôvody, prečo sa v téme angažoval a angažuje - vysvetlil aj v prezentácii.
Vaše ostatné hodnotenie mojej práce v a pre AKVS vnímam ako veľmi subjektívne a tendenčné.
ospravedlnujem sa mozno za emotivne hodnotenie a ano priznavam je subjektivne z mojho pohladu ale bolo myslene cisto k teme mID, k temam NKIVS priratam architektury ako sa ich dari teraz aplikovat ake problemy alebo riesenie to prinieslo mozme diskutovat v inych temach.
nikto netvrdil ze boli na pôde verejnej správy
z vecenej stránky a z pohladu UPVII a architektonickej kancelárie sa očakával jasný smer , stratégia smerovania centrálneho riešenia mobile eID, čo UPVII nikdy nespravilo a laxne sa postavilo k téme pred vzniknutím problému (podpisu zmluvy medzi DEUS a NASES a následne aj po vzniknutí tohto problému. Namiesto toho sa viedol zákulisný konkurenčný boj medzi dodávateľmi na rôznych poliach. Nebolo potre né podporiť žiadneho dodávateľa ale bolo potrebné usmerniť orgány verejnej správy, ktorý má čo v zodpovednosti a kto sa má téme venovať (kľudne si tú tému mohlo zobrať UPVII). Nevime ako si vysvetliť ten alibizmus UPVII a architektopnickej kancelárie a zakladá to podhubie pre konšpirácie ako čo kde bolo/nebolo…
takáto nebola žiadna, jedinú reálnu s autentifikáciou na pokročilej úrovni mal vtedy globaltel lebo to mal napojené na registráciu prostredníctvom bok a pin cez slovensko SK ( nie fotkou). Ale ako ste správne poznamenali vašou úlohou alebo úlohou UPVII nemal byť výber dodávateľa ale inšpirovať sa povedať stretégiu a poveriť niektoré OVM riešením, a násldne VO mohlo ukázať.
Áno ale názor ako člen architektonickej kancelárie na strageické smerovanie takejto dôležitej témy by sa očakával.
Pred OKT 2018 sa DEUS v téme neangažoval vôbec tak mi nie je zrejmé ako môžu prezentáciou vysvetliť dôvody svojej anagažovanosti v téme a prečo to zazmluvnili. Keď nikdy nemali predtým ambíciu dodávať centrálne riešenie mID až zrazu bum okt 2018. Toto sú presne body ktoré vyvolávajú pochybnosti.
Nases sa aspoň tváril že má záujem tému rozvíjať aj pred okt 2018 - nikto mu však nedal mandát ani financie na obstaranie - (samozrejme je nám jasné že prečo a u ktorého dodávatela by to skončilo ). Len sa prosím netvárme že s DEUS to bolo ináč, lebo tomu nikto neverí.
Angažovanosť dodávateľov je iná vec všetci majú svoju obchodnú stratégiu a snažia sa ju realizovať, a všetci čo prezentovali UPVI riešenia mali stratégiu dodať to UPVII jedine GT malo stratégiu dodať to UPVII alebo NASESu. PosAM precitol a obkorčuloval všetkých predal to už svojmu zákazníkovi, ktorý to bol ochotný kúpiť a obkľukou sa tak vrátil do hry. Tak to teraz nehrajme na šlachetné ciele DEUS lebo zámer a stratégia bol bankový sektor, mikrotransakcie a pôžičky a bolo treba len dáta a identitách.
@jsuchal a @Lubor presne trafili problem biometrie ak by sa mala pouzit. Nemoze to ostat na vyhlaseni vyrobcu alebo dodavatela technologie ze podla jeho nazoru to splna poziadavky na prislusnu uroven identifikacie.
Toto by mal posudit nezavisly organ ktory preskuma vsetky aj teoreticke moznosti zneuzitia.
Ideme robit autorizaciu klikom a ak by existovala moznost vytvorenia nejakej falosnej identity tak mame dieru v systeme. Kedze urady su povinne komunikovat iba elektronicky tak to zvysuje riziko ze poskodeny obcan sa o zneuziti svojej identity moze dozvediet s oneskorenim alebo ak nechodi do schranky aj vobec.
@kyselat: precital som si este raz moje prispevky a nechcem aby to vyznelo ze vas neako obvinujem z toho stavu, lebo jeden clovek v molochu ako UPVI nic nezmoze. Ten kto za to mozu su ti ktori maju možnosť a povinnosť konať a nazyvaju sa statutari, ktory podpisuju rozne zmluvy s roznymi oddovodneniami, ktore nie vzdy su transparentne ( alebo vačšinou ?.. :D)
EDIT a offtopic poznamka
EDIT a off topic: a este dodam co ma hneva na tomto rieseni a tam je mozno aj maslo Architektonickej kancelarie UPVII, preco napr startegia mobilneho ID nebola v NKIVS a nasledne v prioritach, mohla vzniknut studia, ZoNFP, mohlo sa to preplatit z fondov EU. Takto sme zaplatili jedno riesenie zatial s nejasnym koncom z rozpoctu. Pritom tolko nevycerpanych fondov, studie sa robili na rozne pofiderne projekty s nejasnym zadanim a potrebou. To je tema preco taketo prakticke veci netlacime do koncepcii namiesto polovice bulshitov ktore sa tam nachadzaju…
a inak teraz k teme k comu som sa chcel vyjadrovat len som sa rozohnil nad inymi vecami riesila sa tu uroven bezpecnosti pokrocila nepokrocila a sulad s eidas preco ano a preco nie
v zmysle zakona 305/2013 co je to authentifikacia a cim sa mozem authentifikovat a zakon hovori jasne ze aky autentifikator sa moze pouzit na authentifikaciu § 21 ma jasne specifikovane 4 pismena - cize nie nemozte tou mobilnou aplikaciou autorizovat podania a ak sa tak robi tak v rozpore so zakonom
všetky debaty o eidas a pokročilosti a podobne sú zatial úplne zbytočné a predbežné lebo biometria a x odfotenych dokladov nieje uvedena v § 21…
Len ci to dobre chapem :?
Existuje pripravene riesenie, kde je mozne riesenie nasadit a prevadza je radovo 400 tis eur/ rok
A miesto toho ide statna firma vyvijat nove riesenie, ktoreho vyvoj bude hradeny statom, bez terminu odovzdania a s predpokladom ze prevadzka bude lacnejsia ?
No, z velmi dalekeho pohladu : Bud mID je stratove ( a teda prinosy su ako mensie naklady na prevadzku) a cim neskor bude tym lepsie, alebo to nema ziadnu ekonomicku logiku.
Ale ok, o nejaku ekonomiku ide az v poslednom rade inak by sme neboli v takomto stave. Ake su teda predpokladane motivy ? Dokazat ze to statna firma vie spravit ? Zbavit sa nezelanych dodavatelov ?
autentifikáciu si pre seba môže robiť každý úrad ako chce (za dodržania štandardov), a dokonca ju môže “po dohode” s MIRRI použiť aj na prístup na ÚPVS a spol., pozri §21.6 z.305/2013
autorizáciu klikom môže robiť každý OVM (za dodržania podmienok)
biometria nie je nijako zakázaná, stačí splniť tie štandardy (ja osobne nie som jej fanúšik, to je však nepodstatné)
IT Slovensko musi nieco robit ked uz vzniklo, ved 80 ludi nebude za nic nerobenie brat plat. Urcite vsak nema robit bez zmluvy (nie su definovane podmienky - predmet, cena, termin, SLA). Videl ju niekto v CRZ? Ale ako by vznikla, ked nebolo VO? Toto je asi ten novy Agile v podani MIRRI (nie je potrebne VO, nie je potrebna zmluva, neviem kedy a co dodaju, ale vieme kolko to stoji rocne a este aj mame zdrojaky).
Trochu mi nie je jasne preco nebolo vyhlasene verejne obstaravanie.
Tu sa mi zda niekto nieco vyvynul pre “seba” a ponukol to statu. Nebolo lepsie vyhlasit verejne obstaravanie aby sa do sutaze mohli zapojit aj ini dodavatelia? Ci je to taka technologia ktoru na slovensku dokaze urobit iba jediny dodavatel? Doba medzi casom pokrocila od chvile kedy sa o mID zacalo hovorit do teraz sa mi nezda ze by na slovensku existoval iba jediny vyrobca.
Druha vec je Slovensko IT. Tito ludia boli na nieco odborne zamerani, sice ano da sa im dat zakazka ale kedze sa nevenovali tejto oblasti bude treba aby aby najprv problematiku zvladli a zacali na “zelenej luke”. Kdezto ak by sa do obstaravania zapojili pripadne nejaki dodavatelia ktori sa tejto oblasti dlhodobo venuju mozno by to bolo lepsie.
Teraz to vyzera na dobre nacasovanu obchodnu ponuku.
pozadie by asi povedalo viac, ale podla emocii tipujem ze kazde obstaravanie by sa zaseklo na tvrdom boji zucastnenych. A to potom trva roky a nikam sa to nehybe.
To ale neznamena ze budeme hladat cesty ako zakon o VO obist, raz z dovodu ze by to trvalo roky, raz z dovodu mimoriadneho stavu inokedy preto a preto. Potom sa na to pozrieme spatne a povieme si ze no veru nerobili sme to lepsie ako ti ktorych sme kritizovali…
Ano súhlasím len nebudme selktívny lebo sa má brať do úvahy úroveň authentifikácie v zmysle zakona a vyhlášky treba si prejst registracnu fazu ako ma prebiehat aby sme to mohli pouzivat na autorizaciu sluzieb v zmysle zakona…
Aj ja som sa uz viacmenej stratil. Kategoricky problem je uz s tym, co dnes prevadzkuje DCOM.
Vylucena je z podpory klucova cast pouzivatelov (40%+)
Lehota na eliminaciu problemu/nefunkcnosti neexistuje (de facto, opravim kedy chcem)
Spristupnie API je viazane na suhlas poskytovatela licencie
Cize suma za prevadzku je nesumeratelna s cimkolvek, co pozname z praxe. (dokonca zaruka je zarezana po 90 dnoch, ak spravne citam). Stale cakam, ze mi niekto vyvrati moje interpretacie zmluvy a v kutiku duse dufam, ze sa mylim (a rad sa ospravedlnim, nie som pravnik).
Nehovori sa ani o tom, kolko este bude stat plnohodnota integracia do slovenska.sk, ake dalsie naklady by predchadzali tomu, keby riesenie chcel prevadzkovat NASES.(presun?)
Pointa
Bezi tu nejaky zakryvaci manever. Nielenze sa neriesi problem vyssie. Je tu snaha obist konkurecny boj kominom. Cela strategia zjavne spociva v primitivnom natlaku na MIRRI, ze je tu nieco “hotove” (zrejme to nie je ani jedine a ani uplne hotove/plne integrovane riesenie). Cize jedna ruka obcana zaplatila a plati za nieco(bez obstaravania), co tych penazi hodne nie (neplni deklarovany ucel) je a robi sa natlak na to, aby druha ruka este toto posvatila a prispela tiez. Je tu asi aj snaha akvizovat obchodny potencial voci sukromnemu sektoru sukromnou firmou s vyuzitim statu. Samozrejme kluckujeme medzi roznymi zaujmami. Mne to pomohlo aspon si v nich upratat. Obcan je tu evidentne na poslednom mieste. A forum sdg? Az uchylovanie sa ku primitivnemu trollingu cez ucelove ucty (este tak hlupo, ze je uplne jasne, za koho sa takto kope a mozno aj kto konkretne). Kde je este technologicka diskusia.
Tak tak, toto potom samo o sebe znizuje poziadavky kedze sa to berie ako hotova vec. (nenapasovava sa dielo na poziadavky ale naopak poziadavky podla hotovej veci)
Naproti tomu riadne obstaravanie, kde by ako jedna zo zakladnych poziadaviek bola povinnost preukazania zhody v oblasti bezpecnosti riesenia by prinieslo mozno viac rieseni a urcite aj vyssi stupen istoty.
Dohodonime sa, aj keby takto im zadali zakazku, tak ju dostanu na zalade zmluvy (inak su nedefinovane podmienky - co, kedy a za kolko) a zmluva je platna az ked bude zverejnena v Centralnom registry zmluv (potom by sme videli na zaklade coho, ako a co je predmetom dodavky. Druha vec je to firma 100% vlastnena statom, takza ona svoje zmluvy nakupne ako objednavatel musio zverejnovat (zaujimave, ze tieto su zverejnene,a le zmluvy kde stat nakupuje od nich nie su zverejnen, teda nic od nich nenakupuje)
ak to spravne chapem tak to ide mimo zmluvneho rezimu, Asi preto ziadne dokumenty o tom nebudu na webe. A vzhladom na obmedzenia v zakone it slovensko sa nebude potom zucastnovat ziadnych sutazi a nebude poskytovat sluzby mimo mirri. taky nases II. Ale moze obstaravat, ale ziadne eurofondove peniaze nebude mat.
Ale kedze plati zakon o itvs, tak je mozne ziadat od nich projektove dokumenty, ktore musia mat.
Asi tak, ale ked nemaju zmluvu, tak nemozu dostat ani peniaze “na zaklade nicoho” a zo vzduchu firma nezije a ako akciovka nie je napojena na statny rozpocet. Tak potom ako, len minaju peniaze zo zakladneho imania (nuz to je urcene na nieco ine a minu ho do roka na mzdy, nakupy, energie, skolenia, …)?
A zmluva musi byt podla man aj kvoli uctovnym veciam, ved to snad musi dostat niekto do majetku, nepotrebuej to mat MIRRI v majetku ako vlastnik riesenia? Kto bude vlastnik Slovensko IT. Inak akciova spolocnost ma tvorit zisk, aj vedenie ked si pozriete je motivovane vysledkami, a vysledky sa prvom rade meraju financnym vysledkom
). Len sa prosím netvárme že s DEUS to bolo ináč, lebo tomu nikto neverí.