W dniu 11 września 2019 roku Rada Ministrów podjęła uchwałę w sprawie inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (WIIP; pełną treść uchwały można pobrać stąd), określającą ramy działania rządu w obszarze informatyzacji administracji publicznej oraz korzystania przez nią z zasobów chmury obliczeniowej. Według zapowiedzi rządu rozwiązania chmurowe będą wykorzystywane w sektorze publicznym szerzej niż dotychczas, co ma napędzać „chmurowy” trend, a może też pociągnąć za sobą wzrost współczynnika migracji do chmury obliczeniowej polskich przedsiębiorstw z sektora prywatnego. Pod tym względem wyraźnie bowiem odstajemy od reszty krajów europejskich (zob.: badania Eurostatu). Działania polskiego gabinetu wpisują się w utrzymującą się od kilku–kilkunastu lat ogólnoświatową tendencję. Z badań przeprowadzonych przez firmę Gartner wynika, że do 2022 roku nawet 60 procent światowych firm i jednostek publicznych ma korzystać z usług zarządzanych w chmurze przez zewnętrznego dostawcę (zob.: link).

Czym jest WIIP?

Uchwała w sprawie inicjatywy WIIP ma charakter ramowy i organizacyjny. Tworzy jedynie podstawy dla działań rządu w przedmiocie budowy infrastruktury chmurowej dla administracji oraz przygotowuje grunt pod migrację zasobów administracji publicznej. W związku z tym nie rodzi ona obowiązków po stronie podmiotów administracji publicznej w zakresie wdrożenia chmury, a jedynie określa ramy tego procesu i strukturę organizacyjną. Uchwała jasno wskazuje też kierunek, w którym administracja ma podążać – polega on na odchodzeniu od modelu on premises (w którym infrastrukturę informatyczną, pozostającą własnością organu administracji, utrzymuje tenże organ) i wspieraniu rozwoju strategii cloud-first, przyznającej prymat rozwiązaniom chmurowym (w których organ administracji nie utrzymuje infrastruktury informatycznej ani nie jest jej właścicielem).

W ramach WIIP zapewnione mają być:

  • Rządowa Chmura Obliczeniowa (RChO), której budowa oraz zarządzanie pozostają w gestii Ministerstwa Cyfryzacji i która utrzymywana jest w infrastrukturze przeznaczonej wyłącznie do użytku administracji publicznej;
  • możliwość nabywania usług przetwarzania w Publicznych Chmurach Obliczeniowych (PChO), opartych o usługi komercyjnych dostawców chmurowych spełniających odpowiednie wymogi bezpieczeństwa;
  • Rządowy Klaster Bezpieczeństwa (RKB);
  • System Zapewnienia Usług Chmurowych (ZUCh) – system teleinformatyczny wspomagający zarządzanie usługami przetwarzania w RChO i PChO;
  • Standardy Cyberbezpieczeństwa Chmur Obliczeniowych.

W treści uchwały odzwierciedlenie znalazł zasadniczy podział obowiązujący w nomenklaturze usług cloud computingu na (w kolejności od najmniejszego do największego stopnia oddania dostawcy chmury kontroli nad systemem) IaaS, PaaS i SaaS.

Dla kogo jest WIIP?

WIIP obejmuje zapewnienie podmiotom administracji publicznej możliwości nabywania usług przetwarzania w RChO i w PChO wraz z usługami bezpieczeństwa.

Katalog podmiotów, które będą mogły korzystać z chmury obliczeniowej tworzonej dla administracji, jest dosyć szeroki i został wskazany wprost w § 6 ust. 1 uchwały. Uwzględnia on prawie wszystkie podmioty należące do sektora finansów publicznych w rozumieniu ustawy o finansach publicznych, czyli m.in. administrację rządową i samorządową, sądy, organy kontroli państwowej, Zakład Ubezpieczeń Społecznych, Narodowy Fundusz Zdrowia, jak również uczelnie publiczne czy inne państwowe osoby prawne wykonujące zadania publiczne oraz jednostki organizacyjne nieposiadające osobowości prawnej. Możliwość korzystania z zasobów chmury obliczeniowej może okazać się niezwykle istotna w związku z koniecznością przechowywania i zapewnienia bezpieczeństwa ciągle rosnących baz danych. Jest to szczególnie ważne z perspektywy jednostek samorządu terytorialnego, dla których utrzymywanie własnych systemów IT lub samodzielne wdrożenie chmury obliczeniowej niejednokrotnie okazuje się zbyt obciążające nie tylko finansowo, ale i organizacyjnie.

Spod WIIP wyłączono natomiast przedsiębiorstwa, banki i spółki prawa handlowego. Oznacza to, że WIIP nie jest skierowana do publicznych banków (np. Narodowego Banku Publicznego lub Banku Gospodarstwa Krajowego) ani do spółek Skarbu Państwa, niezależnie od sektora, w którym działają (w tym np. energetyki czy kolejnictwa).

W załączniku do uchwały o WIIP, który określa, jakie systemy mogą być umieszczane w chmurze, wskazano też, że na pewno nie znajdą się wśród nich systemy zawierające informacje niejawne bądź systemy służb specjalnych, takich jak ABW czy AW.

Co powstanie w ramach WIIP?

W ramach chmury obliczeniowej dla administracji publicznej powstanie RChO o charakterze „wspólnotowym” (§2 pkt 12) uchwały) – w nomenklaturze chmurowej zamiennie używa się też określenia „społecznościowa” – czyli, w uproszczeniu, działająca w infrastrukturze przeznaczonej do wyłącznego użytku administracji publicznej.

Za budowę, rozwój, utrzymanie oraz zarządzanie zasobami RChO odpowiada minister właściwy do spraw informatyzacji. Wiadomo już, że prace związane z jej budową powierzono Centralnemu Ośrodkowi Informatyki (zob.: protokół z publicznej prezentacji projektu WIIP), czyli jednostce budżetowej podległej Ministrowi Cyfryzacji. Do RChO mają być przyłączane kolejne Centra Przetwarzania Danych (CPD), obejmujące serwerownie lub budynki, w których zlokalizowana jest teleinformatyczna infrastruktura chmury. Skarb Państwa lub państwowe osoby prawne muszą mieć co najmniej 51% udziałów we własności CPD przyłączanych do RChO (pkt 2 załącznika nr 1 do uchwały), co związane jest z koniecznością zapewnienia stronie publicznej odpowiedniej kontroli nad infrastrukturą oraz wdrożenia wysokich standardów bezpieczeństwa.

Rządowa Chmura Obliczeniowa nie jest jednak jedyną chmurą, która zostanie przekazana do użytku administracji w ramach inicjatywy WIIP. Zgodnie z uchwałą podmioty, dla których utworzona zostanie RChO, będą również miały możliwość korzystania z usług publicznej chmury obliczeniowej nabywanych za pośrednictwem Systemu Zapewniania Usług Chmurowych. Z dostępnych informacji wynika, że ma on przypominać wprowadzony w Wielkiej Brytanii G-Cloud Digital Marketplace, który umożliwia proste zamawianie usług chmurowych za pośrednictwem zarezerwowanego do tego celu serwisu internetowego.

Pomysł ten co do zasady należy ocenić pozytywnie, ponieważ zakłada stworzenie prostego narzędzia, które wyraźnie zminimalizuje przeszkody techniczne i proceduralne związane z zawieraniem umów na świadczenie usług chmurowych. Jest to szczególnie istotne, gdyż z nowego rozwiązania mają korzystać jednostki samorządu terytorialnego, w tym także niewielkie gminy, dla których przeszkody te mogłyby okazać się trudne do przezwyciężenia. System ZUCh powinien w założeniu przyczynić się do szybkiej i sprawnej migracji polskich urzędów do chmury stworzonej przez rząd. By jednak scenariusz ten mógł się ziścić, System ZUCh musi funkcjonować prawidłowo, stanowiąc realne ułatwienie, a nie dodatkowe utrudnienie dla potencjalnych zamawiających.

Zgodnie z uchwałą nad bezpieczeństwem oraz sprawnym działaniem Rządowej Chmury Obliczeniowej czuwać ma Rządowy Klaster Bezpieczeństwa, którego operatorem jest także minister właściwy do spraw informatyzacji. RKB będzie odpowiadał za stały monitoring bezpieczeństwa, w związku z czym stworzone zostaną przeznaczone do tego celu Centrum Zarządzania Siecią (NOC, od ang. Network Operations Center) oraz Operacyjne Centrum Bezpieczeństwa (SOC, od ang. Security Operations Center). RKB wydaje się elementem nieodzownym dla prawidłowego działania RChO – jej awaria lub jakakolwiek podatność na incydenty może mieć bardzo poważny wpływ na bezpieczeństwo oraz ciągłość działania systemów kluczowych dla funkcjonowania głównych organów państwa.

Kiedy administracja publiczna zacznie korzystać z chmury w ramach WIIP?

Nie jest na razie znany dokładny termin uruchomienia poszczególnych elementów inicjatywy WIIP. Zgodnie jednak z harmonogramem udostępnionym przez Ministerstwo Cyfryzacji mają one być uruchamiane stopniowo, przy czym pierwsze działania (np. opracowanie standardów i polityk bezpieczeństwa, ogłoszenie przetargów na usługi chmury publicznej dostarczane przez prywatnych dostawców) miały zostać podjęte przed zakończeniem 2019 roku. Skoro jednak pierwsze przetargi mają zostać ogłoszone na początku przyszłego roku, można się spodziewać, że realizacja całego projektu również ulegnie opóźnieniu. Ministerstwo Cyfryzacji prowadzi obecnie konsultacje z przedstawicielami administracji publicznej, dostawców usług chmurowych oraz innych podmiotów zainteresowanych WIIP. Niedawno opublikowano RFI podmiotów świadczących usługi chmurowe, które ma ułatwić rozpoznanie ryku.

W ramach RChO najpierw zaoferowane mają zostać usługi IaaS (ten cel osiągnąć można najprościej i najszybciej), następnie PaaS, a na końcu SaaS, co wymaga zaangażowania komercyjnych dostawców usług chmurowych (zobacz: link).

Docelowo wszystkie usługi mają być dostępne i uruchomione do drugiego kwartału 2022 roku, chociaż pierwsze wersje katalogów usług oferowanych w ramach publicznych chmur obliczeniowych za pośrednictwem systemu ZUCh mają zostać udostępnione jeszcze w roku 2020, a usług oferowanych w ramach Rządowej Chmury Obliczeniowej – na początku roku 2021.

Wątpliwości dotyczące WIIP

Pewne wątpliwości może budzić stopień integracji RChO z chmurami obliczeniowymi prywatnych dostawców, których usługi będą dostępne dla administracji publicznej w Systemie ZUCh. Wydaje się, że pod wieloma względami najkorzystniejszym rozwiązaniem byłoby utworzenie w ramach obu tych infrastruktur jednej chmury hybrydowej umożliwiającej swobodne przenoszenie danych oraz aplikacji (przy założeniu, że klasyfikacja systemów określona w załączniku nr 2 do uchwały o WIIP na to pozwala), a także zapewniającej pełną integrację środowiska chmurowego. Najprawdopodobniej taki właśnie pomysł rozważa Rada Ministrów – może o tym świadczyć umieszczenie w §2 pkt 2) uchwały definicji chmury hybrydowej, która łączy różne rodzaje infrastruktury chmury obliczeniowej (publicznej, prywatnej lub wspólnotowej).

Kwestią otwartą pozostaje również katalog organów administracji, dla których będzie w praktyce przeznaczona Rządowa Chmura Obliczeniowa, oraz tych, które będą korzystały z usług chmury publicznej dopuszczonych w systemie ZUCh. Pewnego rodzaju wskazówkę stanowi załącznik nr 2 do uchwały, gdzie określono kategorie systemów teleinformatycznych, które mogą być przetwarzane w chmurze publicznej lub w RChO, a które powinny bezwzględnie pozostać w zarezerwowanej do tego celu infrastrukturze teleinformatycznej (tj. w rozwiązaniach typu on premises lub w prywatnej chmurze danego organu). Z dokumentu wynika, że bazy najbardziej poufnych danych, zawierające informacje istotne z perspektywy zapewnienia bezpieczeństwa państwa, będą przetwarzane albo w przeznaczonej do tego celu infrastrukturze on premises, albo w Rządowej Chmurze Obliczeniowej, czyli w rozwiązaniach zapewniających wyższy poziom kontroli bezpieczeństwa informacji. Pozostałe, mniej newralgiczne systemy będą mogły być przetwarzane w publicznych chmurach obliczeniowych. Można zatem przypuszczać, że RChO – ze względu na jej przeznaczenie dla najważniejszych czy wymagających wyższej kontroli systemów administracji rządowej – nie będzie w rzeczywistości bardzo rozległą chmurą. Zdecydowanie większe znaczenie praktyczne dla ogółu jednostek administracji mogą natomiast mieć usługi przetwarzania w publicznych chmurach obliczeniowych nabywane przez organy administracji w systemie ZUCh. Jednoczesne powstanie w Polsce spółki technologicznej Operator Chmury Krajowej, która ma świadczyć usługi przetwarzania w chmurze, gwarantując najwyższe standardy bezpieczeństwa oraz przetwarzanie danych na terenie Polski, a zwłaszcza jej partnerstwo na tym polu z Google, prawdopodobnie przesądza, że Operator Chmury Krajowej stanie się istotnym lub głównym dostawcą chmury publicznej dla administracji.

Czy dzięki WIIP czeka nas cyfrowa rewolucja?

Migracja organów administracji publicznej do chmury obliczeniowej jest procesem, który postępuje w wielu krajach europejskich i pozaeuropejskich. Z dobrodziejstw zdalnego dostępu do danych korzystają już takie kraje jak Wielka Brytania, Nowa Zelandia, Stany Zjednoczone czy Indie. Polska ma w tym obszarze wiele do nadrobienia.

Z aprobatą należy zatem przyjąć fakt, że również nasz kraj zdecydował się na podjęcie kroków w kierunku przeniesienia systemów administracji publicznej do infrastruktury chmurowej. Wiąże się to bowiem z wieloma zaletami, wśród których należy wyróżnić możliwość zapewnienia po pierwsze wysokich standardów bezpieczeństwa informacji bez konieczności ponoszenia niewspółmiernie wysokich kosztów, a po drugie wewnętrznej integracji wszelkich systemów, z których korzysta administracja publiczna. Duża dostępność technologii chmurowej stwarza także doskonałą okazję do informatyzacji procesów i danych, dla których nie wdrożono dotychczas odpowiednich systemów teleinformatycznych. Umieszczenie w chmurze obliczeniowej otwartych danych gromadzonych i przetwarzanych przez sektor publiczny powinno ponadto otworzyć więcej możliwości dla kreowania nowoczesnych rozwiązań wykorzystywanych w rozwoju smart city.

Mimo powyższych zalet użytkowanie chmury obliczeniowej wiąże się także z pewnymi zagrożeniami, które nie występują w przypadku korzystania z rozwiązań on premises. Największym wydaje się ryzyko uzależnienia od dostawcy w przypadku korzystania z PChO. Wspomnieć trzeba też kwestię utraty faktycznej kontroli nad dostępnością systemu oraz duży wysiłek organizacyjny towarzyszący migracji danych.

Wreszcie jakkolwiek wskazuje się, że pod względem bezpieczeństwa samych danych chmura obliczeniowa przewyższa infrastrukturę własną, należy zauważyć, że w przypadku korzystania z rozwiązań chmurowych duże zagrożenie pojawia się na etapie uzyskiwania dostępu do usługi. Dlatego też niezbędne jest wprowadzenie odpowiednich mechanizmów uwierzytelniania pracowników oraz przeszkolenie personelu administracji, ze zwróceniem szczególnej uwagi na nowe ryzyka.

Uwzględnienia wymaga także kwestia planu działania na wypadek wynikłej z nieprzewidzianych wcześniej okoliczności nagłej utraty dostępu do usług przetwarzania w chmurze – nie ma bowiem możliwości uzyskania szybkiego fizycznego dostępu do infrastruktury, a awaria po stronie dostawcy może mieć ogromny wpływ na funkcjonowanie administracji w całym kraju.

W związku z tym, że usługi Publicznej Chmury Obliczeniowej świadczone będą w założeniu w oparciu o współpracę z komercyjnymi dostawcami chmurowymi, wśród których zapewne pojawią się dostawcy amerykańscy, mogą powstać obawy o ewentualny dostęp służb USA w oparciu o Cloud Act do polskich danych rządowych przetwarzanych na serwerach takich firm. Wątpliwości dotyczących tej kwestii nie uda się rozwiać do czasu zawarcia przez USA i UE umowy w przedmiocie stosowania Cloud Act.

Korzystanie z chmury obliczeniowej w ramach WIIP przez administrację publiczną to olbrzymie wyzwanie stojące zarówno przed Ministerstwem Cyfryzacji, głównym podmiotem odpowiedzialnym za realizację inicjatywy WIIP, jak i przed jej beneficjentami, czyli organami administracji publicznej – zwłaszcza że informatyzacja sektora publicznego nie zawsze przebiega po myśli zamawiających (przykłady można mnożyć). Mimo to inicjatywę WIIP należy uznać za przedsięwzięcie potrzebne i zgodne z wyraźnie już widoczną na świecie tendencją do przenoszenia się przez administrację publiczną do chmury. Słusznie więc chce polski rząd przygotować się do tej nieuchronnej rewolucji.