Zákon o ITVS

Trochu to “loopuje”, ale pridam:

https://joinup.ec.europa.eu/news/public-money-eupl-code

Kedze netrpim iluziami o tom, ako dobre poslanci (a ludia vseobecne) ovladaju problematiku Open Source, tak to rad zaujemcom vysvetlim. Len teda osobne ziadneho poslanca nepoznam, tak zatial ponukam aspon takto.

Dnes nám ÚPVII potrvdilo, že neplánujú vo výboroch NRSR predkladať žiadne zmeny, ani im nikto zatiaľ nedal vedieť že by nejaké pozmeňovacie návrhy plánoval. Ak sa teda niečo objaví v 2. čítaní, bude to čisto partizánska akcia.

3 Likes

Zajtra bude rokovanie NRSR Komisie pre technologický rozvoj k zákonu o ITVS:

Ináč v piatok bolo rokovanie gestorského výboru, ktorý však nebol uznášaniaschopný. T.j. ani nie sú žiadne nové pozmeňovacie návrhy.

1 Like

Takze je to tam :slight_smile:

kde sa da najst to schvalene znenie ? neviem sa k tomu dobabrat.

tu to este nie je: link
ale podla hlasovania uz schvaleny je: link

1 Like

ale uz len prezident chyba, nie ?

skorigoval som predoslu odpoved…

ano, este to musi podpisat prezident, co si myslim pri takomto type zakona nebude problem…

Áno, zákon je schválený. Výsledné znenie asi ešte nie je, bolo tuším 14 “legislatívno-technických” zmien.
My sme k tomu dali takéto stanovisko: zakon o ITVS - stanovisko S.D.odt (18.2 KB)
Raši z neho trocha aj poslancom čítal v rámci rozpravy.

3 Likes

to je perfektne, ze “Orgán vedenia a orgán riadenia využívajú v správe informačných technológií verejnej správy podnety a poznatky odbornej verejnosti a prihliadajú na spoločenské potreby používateľov služieb verejnej správy, služieb vo verejnom záujme alebo verejných služieb”. to sa mi lubi taky zakon :slight_smile:

V zakone sa o.i. pise (pise = navrh, ktory som ostatne videl => neviem, ci to tam aj ostalo):

§ 14 Obstarávanie a implementácia, ods 2:
‘‘d) akceptovať len také zmluvné podmienky, podľa ktorých’’
‘‘1. zdrojový kód, vytvorený počas projektu, bude v súlade s licenčnými podmienkami verejnej open source softvérovej licencie Európskej únie podľa osobitného predpisu,1)’’ ( 1 = EUPL )
‘‘2. je jediným a výhradným vlastníkom všetkých informácií, zhromaždených alebo získaných počas projektu a prevádzky projektom vytvoreného riešenia, vrátane jeho zmien a servisu.’’

Potom je tu ale aj obstaravanie (vid napr. https://dennikn.sk/minuta/1434435/ ):

… podľa koncepcie môže IT dodávateľ odovzdať úradu zdrojové kódy až v momente, keď neuspeje v tendri na novú IT prevádzku …

Zakon by mal mat vyssiu vahu nez koncepcia. Aj tak vsak mozeme debatit, ze co presne znamena “byt dostupny”. Ergo situacia, kedy su (maju byt) zdrojaky akoze pod EUPL (lebo zakon) ale stale ich ma iba dodavatel (lebo ergo “koncepcia”) je zla. UPVII by mal z titulu svojich uloh riesit a (ci uz realny alebo potencionalny) rozpor odstranit.

Idealne by bolo, aby boli “custom veci” pod EUPL dostupne uz pocas vyvoja na verejnom repozitari. Formalne spravne (podla mna, s ohladom na zakon) by bolo zverjenenie zdrojakov na verejnom repozitari v case odovzdavania projektu objednavatelovi (a aby neprebehla fakturacia, ak zdrojaky zverejnene nie su). Cokolvek ine by som vnimal ako obstrukciu, ak to nie je jasne zdovodnene.

V zákone je formulácia " akceptovať také zmluvné podmienky, podľa ktorých … zdrojový kód, vytvorený počas projektu, bude otvorený v súlade s licenčnými podmienkami verejnej softvérovej licencie Európskej únie podľa osobitného predpisu, (EUPL) a to v rozsahu, v akom zverejnenie tohto kódu nemôže byť zneužité na činnosť smerujúcu k narušeniu alebo k zničeniu informačného systému verejnej správy"

Samozrejme zákon má vyššiu váhu ako nejaká koncepcia. Ale: otázne je ako široko sa použije tá výnimka kvôli bezpečnosti (ako vieme, v skutočnosti na ňu nie je žiadny dôvod). Plus presne opačný záujem dodávateľov, a tým aj niektorých objednávateľov. Plus nikdy-sa-to-tak-nerobilo…

Celkovo autorské práva + odovzdávanie/zverejnenie zdrojového kódu nie je vôbec uzavretá téma.

Podla mna (cisto moj osobny nazor) by kod mal byt zverejneny az potom ako prejde bezpecnostnym auditom, aby nedoslo k zverejneniu a zjednoduseniu hladania bezpecnostnych chyb utocnikom.

Absolútne súhlasím s tým, že opatrenia na zaistenie bezpečnosti majú byť spravené. Dodávateľ zodpovedá za to, že dodáva bezpečný softvér. Overenie samozrejme pred tým, ako je softvér nasadený do produkčného prostredia. Objednávateľovi odovzdaný už má byť taký kód, s ktorým on môže slobodne nakladať v rozsahu jeho oprávnení, t.j. ho aj zverejniť.

Aké všetky konkrétne opatrenia sa urobia (napr. či treba review kódu), sa nedá paušálne vopred povedať, malo by to byť dohodnuté medzi dodávateľom a objednávateľom.

Ako tu písal @hanecak vyššie, pri FOSS je najlepšie priamo tvoriť kód na verejnom repozitári. Tam je kód verejne dostupný “od začiatku”. Pri tomto modeli je bežné overovanie bezpečnosti pri schvaľovaní pull requestu.

Principialne suhlasim, bohuzial momentalne tam este nie sme. Najprv musime dodavatelov naucit bezpecnej prevadzke, bezpecnemu vyvoju, zabezpecit aby bol dodrziavany bezpecny vyvoj informacnych systemov, zabezpecit kontrolu uz nasadenych informacnych systemov z pohladu funkcnosti aj bezpecnosti, zabezpecit realne personalne kapacity ludi co to bude robit (momentalne to je poddimenzovane v mnohych ohladoch poctom, schopnostami aj financne ) a potom sa mozeme bavit o zverejnovani zdrojoveho kodu pocas vyvoja. Ide to aj opacne, ale to by nicomu realne nepomohlo.

Som bol v tom, ze pri cenovkach 10-100 M€ a vyzadovani certifikatov od vymyslu sveta toto v SK eGov uz davno nie je problem. Ved aj “pouzitelnost” vysledkov akoby casto krat svedcila o tom, ze to niekto prehnal s bezpecnostou. :slight_smile:

1 Like

Trefny komentar… robime co mozeme. Zakladom je aby stat mal dostatok vlastnych schopnych ludi.

Zákon je publikovaný v zbierke, má číslo 95/2019: https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/95/

1 Like

Velky suhlas. A ako sa vam v tom dari? Lebo teda zacitujem uz “takmer JPP” (a zaroven “sam seba”): ludske zdroje viaznu, tusim Jano alebo Lubor kdesi nedavno povedal ci napisal, ze “riesenie ludskych zdrojov viazne na ludskych zdrojoch” ( Obchodný register by mohol bežať v AI/ML cloude za cca 4500 eur mesačne - #98 by hanecak ) - tot hodnotenie zhruba pre “high level uroven, cca UPVII”.

A este trochu (alebo dost?) odbocim: Pritom EU (cez EVS) ide do SR naliat 335 M€, cast z toho na ludske zdroje, vid napr. Ľudské zdroje – OP-EVS .

No momentalne sa musim pochvalit, ze mame perfektny tim … momentalne sa nam podarilo postavit expertny tim. Je za tym strasne vela roboty a investovanie casu aj penazi do vzdelavania mladych ludi ale vzhladom na to, aki su ti ludia ziadanito ma aj svoj uspech.

Ale stale nas je malo. Je problem dostat schopnych ludi do statnej spravy, a ked ich tam aj dostanem tak zapltatit. EVS je komplikovane :frowning: a okrem toho su to projektove miesta, teda na dobu urcitu, co zasa mladi nechcu kvoli tomu, ze na to nedostanu hypoteku.

1 Like