pondělí 30. října 2017

Pozor od 1.1.2018 na komunikaci s ISZR

Aktualizace 9.11.2017

SZR (resp. Autocont) dnes udělalo nějaké změny, takže se na pub.egon.cms lze dostat přes TLS 1.2 s TLS_RSA_WITH_AES_128_CBC_SHA. Bohužel ale stále stav nesouhlasí s popisem, protože je například povolen Cipher Suite TLS_DHE_RSA_WITH_AES_256_GMC_SHA384, který by být povolen neměl.

Aktualizace 1.11.2017

Podařilo se nám získat neoficiální vyjádření (není od SZR):

O níže popsaných problémech při komunikaci s ISZR u některých připojených AISů víme a snažíme se je řešit. V současné době pracujeme na řešení, které problémy odstraní. Nápravné opatření však zahrnuje rizikové činnosti jak na testovacím, tak na produkčním prostředí. Tyto rizikové činnosti nám však SZR zatím nepovolilo. Se SZR jednáme o termínech.

Z toho a dřívejších zjištění plynou dvě základní věci:
  • prostředí EGON-4 (https://egon.gov.cz, https://pub.egon.cms) a EGON-5 (https://edit.egon.gov.cz, https://edit.egon.cms) neodpovídají stavu podle  Oznámení o vypnutí protokolů TLS 1.0 a TLS 1.1 a podporují pouze Cipher Suite s RC4, který je ale dle dokumentu zakázán a naopak nepodporují Cipher Suite s AES, které by měly být povoleny a podporovány,
  • pokud jste si podle výše uvedeného dokumentu otestovali změnu na TLS 1.2, která má být v produkci od 1.1.2018, tak jste neotestovali vůbec nic a paradoxně, pokud vám testy prošly, tak zřejmě s RC4, což je špatně,
  • vnitro o problémů ví, ale na odbornou veřejnost, vývojáře a provozovatele AIS zvysoka dlabe a neobtěžuje se upozornit na to, že testování, o kterém píší, je zcela bezzubé a zavádějící,
  • vůbec nemáme jistotu, jak skutečně bude produkční prostředí po 1.1.2018 z hlediska podporovaných Cipher Suite vypadat a zda budeme fungovat.
Zatím stále čekáme na oficiální vyjádření vnitra, resp. SZR na náš záznam v helpdesku ID 28313.

Aktualizace 31.10.2017

Problém jsme zapsali do helpdesku SZR pod ID 28313. Již dříve jsme zapsali problémy ID 27025 a 27786, ale oba byly uzavřeny následujícím způsobem, v přímém rozporu s Oznámení o vypnutí protokolů TLS 1.0 a TLS 1.1 (Cipher Suite s RC4 tam není povolen):

Status: 08-VYŘEŠEN, Dobrý den jako dočasné řešení nastavte šifrování TLS_RSA_WITH_RC4_128_SHA na úrovni klienta. IE 10 používá protokkoly, které splňují podmínky nastaveni 128 bit šifrování.

Status: 08-VYŘEŠEN, Dobrý den, rozhodně je třeba používat pouze IE. FF 50 a vyšší ani ostatní nepodporují RC4. V odkazu je postup aktivace požadovaného šifrování v IE.


Původní text

Správa základních registrů (SZR) zveřejnila dokument s názvem Oznámení o vypnutí protokolů TLS 1.0 a TLS 1.1, ve kterém od 1.1.2018 oznámila vypnutí protokolů TLS 1.0 a TLS 1.1. Podporovaný bude pouze protokol TLS 1.2 a následující Cipher Suite (CS):

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Protože jsou naše systémy na ISZR napojené, tak jsem začal upravovat konfigurace a aplikace. Podle popisu SZR má být na testovacím prostředí změna provedena a je tedy možné odladit systémy:

"V období od 1. 8. 2017 do 31. 12. 2017 otestujte v testovacím prostředí, že váš AIS bezproblémově komunikuje s ISZR i s takto změněným nastavením kryptografických protokolů."

Dva dny jsem se snažil rozchodit připojení na testovací prostředí (pub.egon.cms), ale marně. Neustále jsem končil na chybě, že se nepodařilo sestavit bezpečné spojení. Měl jsem podezření, že mám něco špatně nakonfigurované a aplikace nejede přes TLS 1.2 nebo podporované CS. Klesl jsem až tak hluboko, že jsem sáhl po Microsoft Message Analyzer (něco jako Wireshark) a monitoroval jsem TCP komunikaci. Ověřil jsem, že nabízím podporované protokoly:


Podle odpovědi serveru jsem usoudil, že akceptuje CS TLS_RSA_WITH_AES_128_CBC_SHA:

Vše vypadalo OK, ale spojení stále padalo. Po dvou dnech kolega zkusil aplikaci na jiném, starém stroji, kde je ještě Windows 2008 (ani to není R2). K mému překvapení aplikace fungovala. Tak jsem opět hledal v TCP a zjistil jsem, že spojení jede s CS TLS_RSA_WITH_RC4_128_SHA:

Problém je v tom, že TLS_RSA_WITH_RC4_128_SHA podle dokumentu SZR nemá být podporován a také, že od 1.1.2018 nebude podporován na produkčním prostředí:
Částečně tento stav potvrzuje i fakt, že helpdesk SZR mému kolegovi, který řešil spojení z Internet Exploreru na testovací prostředí (chtěl získat WSDL), odpověděl, že si musí povolit RC4.

Z toho plyne, zřejmě testovací prostředí ISZR neodpovídá tomu, co je v dokumentu uvedeno. Pokud jste si podle pokynů SZR vaše systémy otestovali proti testovacímu prostředí, tak to ještě neznamená, že vám od 1.1.2018 budou fungovat. Vypadá to, že testovací prostředí má nějaký problém s CS jako TLS_RSA_WITH_AES_128_CBC_SHA a funguje jen s CS založenými na RC4, což je přesně opak toho, v jakém stavu by to mělo být. 

Jestli proti jejich testovacímu prostředí ISZR fungujete, nenechte se tím ukolébat a prověřte, že nepoužíváte CS na RC4, ale nějaký CS uvedený v tom dokumentu, jinak od 1.1.2018 nemusíte fungovat (pokud RC4 vypnou a nevyřeší se pravděpodobný problém s neakceptací jiných CS).

Budu to řešit přes Helpdesk SZR a dám vědět, jak to dopadlo. Problém samozřejmě může být na mé straně. Je to zvláštní. Pochopil bych, že jen vypnuli TLS 1.0 1.1, zapnuli TLS 1.2 a zapomněli odstranit RC4. Ale to, že zřejmě neakceptují např. TLS_RSA_WITH_AES_128_CBC_SHA je podivné, i v souvislosti s tím, co je na druhém obrázku, kdy mi jejich serveru odpoví, že je to OK a přesto se spojení nenaváže (zkoušeno z více strojů bez podpory RC4). 

PS: Má aplikace (založena na .NET 4.7), se kterou to zkouším, je OK, protože na produkčním prostředí s TLS 1.0 jede bez problémů. Problém se objeví pouze tehdy, pokud jdu na testovací prostředí, zapnu natvrdo TLS 1.2 a zakážu všechny CS na RC4.

pondělí 25. září 2017

Všechna státní data jako otevřená (Open data)

Příznivci otevřených dat, oslavujte a radujte se. V pátek 22.9.2017 nám přišel k připomínkám níže uvedený návrh usnesení vlády ČR  "o zveřejňování dat, která jsou vedena v informačních systémech veřejné správy spravovaných ústředními správními úřady, jako otevřených dat".


Tento návrh zjednodušeně řečeno říká, že všechna neprovozní data vedená v IS státní správy by měla být zpřístupněna jako otevřená data, pokud tomu nebrání nějaké jiné právní předpisy. Týká se to dat, které jsou vedena v IS, které budou vytvořeny nebo rozvíjeny a využitím zákona o zadávání veřejných zakázek. Zjednodušeně řečeno, pokud budeme po 1.1.2018 dělat veřejnou zakázku (VZ) na nový systém nebo na podporu stávajícího, tak už s tím  musí počítat.

Záměr je to podle mě velmi dobrý a chvályhodný a směřuje k tomu, aby se na otevřená data myslelo při vypisování nových VZ, což je správná cesta. Bohužel ale dojem z tohoto záměru velmi kazí fakt, že pro jeho připomínky se použila zkrácena lhůta, konkrétně je musíme odeslat do 29.9.2017. Reálně na připomínky máme 3 dny, protože 28.9.2017 je státní svátek a většina lidí má na 29.9.2017 naplánovanou dovolenou, takže je musíme dát dohromady do 27.9.2017, tj. 3 dny, přičemž otázek a nejasností v dané problematice je spousta.

Na první pohled to vypadá, že není  žádný problém. Ale když jsme se rychle trochu zamysleli nad možnými dopady na nás, tak jsme zjistili, že vlastně ani přesně nevíme, co vše pod otevřená data spadá.  Podle  §3 odstavce (11) zákona o svobodném přístupu k informacím 106/1999 Sb. je definice otevřených dat následující:
"Otevřenými daty se pro účely tohoto zákona rozumí informace zveřejňované způsobem umožňujícím dálkový přístup v otevřeném a strojově čitelném formátu, jejichž způsob ani účel následného využití není omezen a které jsou evidovány v národním katalogu otevřených dat".

Pokud by se někdo zaradoval, že všechny úřady budou muset zveřejnit například i data z personálních systémů, tak ho rovnou zklamu, protože tato povinnost se naštěstí (jinak bychom se z toho asi zbláznili) nevztahuje na provozní systémy, které jsou definovány takto:
"Provozní informační systém - informační systém zajišťující informační činnosti nutné pro vnitřní 
provoz příslušného orgánu, například účetnictví, správu majetku, nesouvisející bezprostředně 
s výkonem veřejné správy – viz § 2 písm. u) zákona o ISVS."

Uvedu pár okruhů a otázek, které mě napadly při prvním přemýšlení. Jedním z okruhů je například náš výměnný formát ISKN (NVF), který obsahuje prakticky všechna data ISKN. Je strojově čitelný a je dokumentovaný. Dnes je ale placený, není dostupný online dálkovým přístupem, není veřejný a obsahuje osobní údaje. Stačí tedy, pokud ho zveřejníme dálkovým způsobem?

1) Veřejný = zdarma?
Pokud stačí jeho zveřejnění, může být placený, nebo musí být poskytován zdarma? Pokud zdarma, tak co se stane našimi příjmy, které musíme povinně odvádět do státního rozpočtu? Není to zrovna malá částka (pozn. možná to nevíte, ale i když jsme státní správa, tak máme nařízenu splnit určitou velikost příjmů, kterou musíme odvést do státního rozpočtu, na kterou jsou vázány naše výdaje a když ji nesplníme, tak máme docela problém).

2) Osobní údaje 
Co s osobními  údaji, které ve výměnném formátu jsou?
Máme je z něj nějak vyřezávat, kvůli GDPR?  Když není veřejný a víme, komu byl poskytnut, tak je to rozdíl proti stavu, že bude někde veřejně dostupný. Už dnes máme problém s ÚOOÚ, kterému se nelíbí, že jsou v katastru zveřejňována rodná čísla (pozn. je to odvěký spor, protože katastr je ze zákona veřejný). Pokud si někdo koupí list vlastnictví, tak je to velký rozdíl proti tomu, když by si hromadně a anonymně stáhl výměnný formát s osobními údaji všech vlastníků a jiných oprávněných všech nemovitostí ČR.

3) Veřejné = přístupné anonymně?
Pokud je něco zveřejněno jako open data, tzn. veřejně online dostupné, znamená to, že to musí být dostupné i anonymně? Nebo to může být přístupné jen po registraci, abychom věděli, kdo data odebral? Souvisí to i s předchozím odstavcem.

4) Stačí zveřejnit výměnný formát?
NVF obsahuje prakticky všechna zajímavá data z ISKN. Stačí tedy, pokud ho zveřejníme a splníme tím naši povinnost? Máme spoustu jiných výstupů, které využívají stejná data, jako jsou ta v NVF. Problém v tom, že například Výpis z KN je tak komplikovaný výstup, který, jak si troufám tvrdit,  nedokáže nikdo na základě dat z NVF správně sestavit tak, aby odpovídal tomu od nás (často i my s ním máme problémy :-) ). Dnes je poskytován elektronicky. Musí být dostupný i jako otevřená data nebo ne? Takových výstupů a sestav máme mnoho.

5) Náklady
Zveřejňování všech dat jako otevřené nepochybně přinese i náklady na úpravy existujících IS (nové s tím budou počítat, tak to tak strašné nebude) a infrastrukturu, což plyne i ze zkušeností států, které již takto data poskytují. V tento okamžik je obtížné náklady vyčíslit, v rámci návrhu usnesení jsou obecně rozmělněny do běžných rozpočtů jednotlivých organizací.

Mohl bych pokračovat dál. Výše uvedené otázky jsou jen to, co nás rychle napadlo. 
Jednodušší je to u RÚIAN. Ten má výměnný formát VFR, který je už dnes veřejný, zdarma, osobní údaje neobsahuje a můžeme ho celkem bez problémů jako open data v katalogu zveřejnit.

Zkrácená lhůta na připomínky u sice krátkého, ale závažného materiálu, který má velké dopady, je hodně podivná. Nenapadá mě žádný důvod, proč by v tomto případu mělo být využito zkrácené připomínkové  řízení, které se má používat ve výjimečných situacích a má být řádně odůvodněno:

Tohle je navíc naplánované tak, že je přes státní svátek a velmi pravděpodobné dovolené, což nám neumožní udělat kvalitní připomínky, protože záběr je velmi široký. Argument může být, že se to týká až VZ po 1.1.2018, ale to nemění nic na tom, že připomínky musíme dávat k záměru jako takovému, v obecné rovině. 
Celé je to podivné a "zkráceně zkrácený" termín vnáší pochybnosti, zda to není spíše jen rychlé politické rozhodnutí za účelem jeho bezproblémového protlačení ještě před volbami, aby v nich mohlo být patřičně využito. V materiálu "odůvodněno" takto:


Zveřejňování státních dat jako otevřená je určitě správná cesta, ale rozhodně bych to takto neuspěchával. Usnesení dále vůbec neřeší případné dopady na právní úpravy, které určitě v mnoha případech vzniknou, jinak nebude možnost publikace otevřených dat plnohodnotná. Ale to se už opravdu ve 3 dnech nedá zvládnout promyslet. Bohužel to vypadá jen jako předvolební, rychlý výkřik, bez nějakého hlubšího promyšlení. 

Úkol je zadán, tak ho musíme nějak zvládnout. Musíme jen doufat, že nenastane žádná mimořádná situace, který by způsobila vyhlášení veřejné zakázky na něco pro ISKN po 1.1.2018 (i to už jsme museli), protože pak by se už i na ISKN tato povinnost vztahovala. ISKN bohužel na tuto situaci není připraven, protože je rozdíl poskytovat NVF offline způsoben, na objednávku, nebo ho mít dostupné online, pro všechny a ještě možná s upravenými daty. Generování NVF je v ISKN nejnáročnější dávková úloha. Museli bychom tam úpravu pro otevřená data nějak rychle doplnit, doslova a písmene dolepit", což nemám rád, takové divoké úpravy moc systémově řešit nelze.
Po vyřešení výše uvedených dotazů (a spoustě dalších) začneme ISKN na tuto situaci připravovat a plánovat úpravy v rámci jeho normálního životního cyklu.

PS: Pro zajímavost - ČÚZK má v současné době ze všech státních orgánů nejvíce datových dat v Národním katalogu otevřených dat

pondělí 18. září 2017

Jednací řízení bez uveřejnění (JŘBÚ)

Dnes jsem narazil na článek ÚOHS se zaměřil na IT zakázky zadávané v JŘBU. Rozdal pokuty za 3 miliony. Je poučný a doporučuji si ho přečíst.



Z článku byste ale mohli špatně pochopit význam JŘBÚ. Je to režim, který se má používat převážně v nouzových a závažných situacích. Není jen tak o tom, že se někdo jen tak rozhodně jít touto cestou, jak by šlo z článku usoudit. Musí se předem schvalovat atd.

Jednou jsme ho málem museli použít. Chtěli jsme vypovědět smlouvu a do doby uzavření nové bychom museli jít touto cestou a zajistit tím nejnutnější podporu stávajícího systému. Naprosto všichni z toho měli u nás strašný vítr, protože projít schvalovacím procesem pro JŘBÚ není jen tak, jsou tam celkem striktní podmínky. Probíhalo by to tak, že bychom vytvořili něco na způsob žádosti o schválení JŘBÚ a s velmi podrobným zdůvodněním ji poslali na MZe, které by nás při jednání s MF zastupovalo.  Naštěstí se situace vyřešila jinak, mohli jsme se JŘBÚ vyhnout a všichni si oddychli.

Pokud se JŘBÚ zneužívá, tak je to průšvih a v tomto (výjimečně :-) ) souhlasím s ÚOHS, že se do toho pustil, protože by se mělo používat co nejméně.


pátek 15. září 2017

Veřejné zakázky a minimální cena

Občas dostávám dotazy, proč mi vadí to, že jsou  v poslední době velmi nízké ceny u veřejných zakázek (VZ). Vždyť to vypadá přeci strašně dobře? Co mám proti tomu, když ušetříme?

Ono to bohužel není tak jednoduché. Když dostanete 3 nabídky s cenou 2500 Kč/MD, tak přestože víte, že to není reálná cena (tak je u firem cca 8500-10000 Kč/MD), nedokážete tyto nabídky vyloučit na nízkou nabídkovou cenu. Prakticky okamžitě následuje odvolání vyloučených firem k  ÚOHS a ten vás nepodrží, protože přeci 3 firmy už nemohly nabídku podseknout. Jednu byste ještě uhádali, ale 3 už ne.

Pokud firmy splní všechny požadavky, tak musíte jednu z nich podle předem daných kritérií vybrat (cena musí tvořit při rozhodování tuším minimálně 60%). Následuje uzavření smlouvy průběh zakázky, kde se ještě v tom lepším případě namísto konstruktivní práce jen hádáte s dodavatelem o každé ptákovině a řešíte každé písmeno v analýze. O drzosti a fíglech některých firem bych mohl (no, raději nemohl) vyprávět.

Asi si řeknete, že pokud to nefunguje a dodavatel nedokáže plnit smluvní povinnosti, tak můžeme jednoduše smlouvu vypovědět. Teoreticky ano, prakticky to tak jednoduché není. Nemůžete vypovědět smlouvu, dokud nebudete mít zajištěnu novou, což trvá při bezproblémovém průchodu minimálně 1/2 roku (musí proběhnout nová veřejná zakázka, což má svá pravidla). A bezproblémové to rozhodně nebývá.

Další problém máte následně s NKÚ.  První, co od nich při kontrole uslyšíte je tohle: "A to jste  vypověděli tak výhodnou smlouvu a uzavřeli jste místo ní dražší?" Následně zdůvodňujete a těžce obhajujete, až se z vás kouří, proč jste to museli vypovědět, přičemž na NKÚ jsou ekonomové, ne lidé z IT, takže pro ně je jako první cena a IT vůbec nerozumí.

Celý tento tragický stav v oblasti VZ na IT potvrzuje i to, že MV a MMR nechali vypracovat Ceník obvyklých cen ICT prací. Má to ale háček. Uchazeč klidně může nabídnout cenu nižší než obvyklou, pokud to zdůvodní. Kreativitě se meze nekladou a firmy velmi kreativní jsou. Vy pak zase musíte ještě více kreativně zdůvodňovat, že je to jejich zdůvodnění zcela mimo.

Zrovna chystáme novou veřejnou zakázku a vymyslet, jak se vyhnout podseknuté ceně, je hlavní úkol.  Řeknu vám, docela zábava  :-)

Příloha: Ceník obvyklých cen ICT prací: https://drive.google.com/file/d/0B8G9y9ZbOEw-UVIyNWw4a1NFOVE/view



čtvrtek 14. září 2017

SW ve státní správě jen jako Open Source?

Dnes na root.cz vyšel krátký příspěvek ohledně problematiky povinného Open Source ve státní správě. Protože se tam (dle očekávání) objevily z mého pohledu zavádějící názory, že Open Source spasí svět (omlouvám se příznivcům Open Source), tak zde dávám část diskuze k dané problematice, abyste znali můj názor a zkušenosti ze státní správy.

Předem varuji, že jsem se pravda trochu rozjařil, to uznávám. Jen mě štve mě, když jsme (státní správa) pro někoho, kdo nemá povědomí o tom, co všechno musíme ze zákona splňovat a zajišťovat, jen podvodníci, co záměrně odmítají Open Source, aby mohli mít plné kapsy úplatků od velkých podobných firem.

Aktualizace 15.9.2017 15:00 Doplněna část naší smlouvy na ISKN, kde se řeší licence

Aktualizace 15.9.2017 07:00 Doplněna diskuze z Google+ s Miroslavem Prýmkem

Diskuze z Root.cz

  • Na úvod, aby bylo jasno - ano, pracuji jako IT ve státní správě :-)
    Výzva je z mého pohledu jen ptákovina a populistické, hipísácké plácání. S takovým přístupem by se autor mohl objevit ve strakovce, že tam chce přespat, protože je to placeno i z jeho daní. Může mě to být vlastně jedno, můj SW to není, ale z mého pohledu by to nic extra rozumného nepřineslo, možná víc komplikací.
    Důležité ale je, aby státní a veřejná správa měla dobře ošetřené licence, aby se nestávala situace, že je zdroják majitelem dodavatele a ne zákazníka. To je pak samozřejmě průšvih a viník by za to měl nést odpovědnost.
    Zajímavé třeba je, že se do open source nehrnou ani firmy, i když by jim to umožnilo větší zisk. Asi vědí proč. Pravidelně do naších výběrových řízení uvádíme, že povolujeme i využití open source, za podmínek, že za něj dodavatel kompletně převezme odpovědnost a záruku (prostě za celek - celý systém, včetně open source částí). Za celou dobu se nám nestalo, že by někdo nabídl třeba open source databázi a získal tak výraznou cenovou výhodu. Pří následných diskuzích se neoficiálně dozvíte, že si to nedovolí a raději tam dají komerční SW, u kterého mají oni zasmluvněný support atd. Nedivím se jim.
  • Palo (neregistrovaný) 86.110.227.---
    > Zajímavé třeba je, že se do open source nehrnou ani firmy
    Ale hrnou, najdete velke mnozstvo firiem ktore robia platenu podporu open source SW. O mnohych ani neviete od DB ako PostgreSQL cez rozne cloudove frameworky az po virtualizaciu serverov na Docker.
    > Za celou dobu se nám nestalo, že by někdo nabídl třeba open source databázi a získal tak výraznou cenovou výhodu
    Hmmm, tak mi to ponukame bezne (PostgreSQL) ako option ibaze statna sprava si vzdy vyberie drahsie riesenie Oracle - hadajte preco!!!
    • Kamil Zmeškal
      To je nesmysl, alespoň v ČR. Dražší řešení si v ČR dle Zákona o zadávání veřejných zakázek č. 134/2016 Sb. (ZZVZ) může zadavatel "vybrat" pouze tehdy, pokud celkové výsledné hodnocení vychází lépe. Hodnotící kritéria jsou předem známá a stanovena, zpráva o posouzení nabídek jde všem a může ji kdokoli napadnout. Rozhodně to není stylem "mě se líbí červená, tak zelení jděte do ...".
      Pokud vyhraje někdo s Oracle proti PostgreSQL, tak je to z důvodu, že se to celkově nevyplatí, i přes bájný a opěvovaný open source. Daná nabídka s Oracle vyšla dle předem zveřejněných hodnotících kritérií lépe.. A že se ta kritéria sakra hlídají a firmy neváhají prakticky cokoli napadnout a hnát k ÚOHS (a často se vydírají i vzájemně)..
      To, co píšete vy, může udělat soukromník (něco si "vybrat" podle toho, co se mu líbí), ne státní a veřejná správa. Já naopak do zadávací dokumentace nemohu ani napsat, že chci server s Intel, ale musím napsat, že chci server s výkonem minimálně XXXX podle SPEC http://spec.org/cpu2017/results/cpu2017.html a tak dále. Popisoval jsem tyto problémy například zde: http://blog.kamil-zmeskal.cz/2017/08/vyberove-rizeni-na-zprostredkovatele.html
      • Palo (neregistrovaný) 86.110.227.---
        Isteze, pretoze sa to zaobali ako integracia existujuceho Oracle ktory tam uz je a ta stoji 0. A potom vypiseme dalsie obstranicko na doplnenie chybajucej infrastruktury ako disky a mozno aj nejaky procesorik a rozsirenie licencie lebo to uz 'nestiha'. Ja tie vase triky dobre poznam, tiez robime obstaranie - ibaze z opacnej strany.
        • Kamil Zmeškal
          Evidentně neznáte. Kdyby to fungovalo tak, jak píšete, tak by nebylo možné, aby například Dopravní podnik Prahy musel zrušit zakázku na autobusy, protože do ní napsal, že má dílny vybavené na autobusy značky XY. ÚOHS to sejmul s tím, že je to diskriminace ostatních, protože by na rozdíl od firmy XT dodat i vybavení dílen.
          Přímo u nás jsme měli zase problém se zakázkou (a dostali jsme za to i pokutu), když jsme soutěžili datové centrum. V zakázce bylo, že součástí ceny musí být i přestěhování. Jenže nás klepli přes prsty, protože jsme tím zvýhodnili současného poskytovatele, který logicky stěhovat nemusel.
          Možná je na Slovensku v tomto bordel, ale u nás se to hodně hlídá.
          • Palo (neregistrovaný) 86.110.227.---
            Klamete seba alebo sa pokusate klamat mna. :-D
            Chcete povedat ze kazdy system obstaravate vratane celej SW aj HW infrastrukty nanovo. Houby! Napisete do coho to musi zapasovat, vsetci maju podmienky rovnake. Bezne byva v obstarani ze vas SW musi bezat napriklad na ExaLogic. Potom sa zdovodnuje preco treba rozsirit ExaLogic - lebo ved vsetko doteraz bezi na tom a taaak dookola.
            • Tomáš2
              jasně, takže nepoužíváte RedHat (či Oracle Linux)? Samozřejmě se k vám (do státní správy) hlásí dodavatelé s open source, komerční support k open source existuje, stejně tak ve velké míře státní správa open source používá, ale vše je zabalené komerční licencí protože požadavky zakázek vylučují nemít support, že.
              Pokud jde o vyhrávání, to je na jinou diskuzi, pokud si v zadání podmíníte (přímo či nepřímo) technologie od IBM/Oracle, těžko uspěje někdo s něčím jiným (viz třeba analytická část EET). Nebo další super věc pro nové dodavatele je situace, kdy k vytvoření nabídky potřebují specifikace, které ale nevlastní státní správa, ale současný dodavatel (opět často IBM či OKsystem) a ty je k dispozici nedají, to se pak špatně nabídka tvoří.
              Poté člověk čte takovéhle argumenty. Chci jen zmínit, že nekopu přímo za open source ve státní správě, ale o trochu méně pokrytecký přístup, nemluvím přímo o tobě, ale celá legislativní soustava jde proti otevřenosti a jednoduchosti.
              • Kamil Zmeškal
                Tam, kde je to vhodné, tak Redhat používáme. Ale ne všude plošně, jak by zastánci Open Source chtěli. Někde máme AIX a někde i Windows, podle vhodnosti.
                Když jsme chtěli například dát Linux na IBM Power architekturu, tak přestože ho IBM podporuje, tak je to spíš jen marketing, protože tam nefunguje spousta věcí, což ale navenek hned tak neřeknou, aby vypadali, že jsou "cool".
                Aby bylo jasno - já nejsem proti Open Source ve státní správě. Klidně ať na místech, kde je to OK, funguje (a jak píšu, sami ho také někde máme). Ale nejsem příznivce názoru, že povinný a plošně vyžadovaný Open Source spasí svět. Musí se používat s rozumem, stejně jako komerční SW.
                • Kamil Zmeškal
                  Ještě k vyhrávání - jak jsem psal, konkrétní technologie si (alespoň u nás) nedovolíme vyžadovat a občas mě to zcela upřímně fakt točí. Rozhodně nejsem nadšen z toho, když mi tam dodavatel dá něco zcela jiného, než provozujeme (což se stává) a pak máme další typ systému na udržování a administraci, musíme školit (nebo i přijmout další) lidi, integrovat ho do monitorování, hlídat patche atd. Celý provoz se tím komplikuje.
                  EET nemohu komentovat, ale troufám si tvrdit, že pokud tam něco záměrně přihnuli atd, tak by se to stalo i s Open Source, opět by si něco našli. Je to prostě o lidech, ne o Open Source a Open Source tomu nezabrání.
                  Problém nedostupných specifikací je problém licencí a špatné smlouvy, který by si měl někdo odskládat. Tohle se snažíme mít vždy dobře ošetřeno a nikdy jsme s tím neměli problém (a doufám, že se nám to bude dařit i v budoucnu). Například s každou dodávkou ISKN nám musí dodavatel dát i kompletní zdrojáky, specifikace rozhraní apod., včetně případných úprav v Open Source, pokud ho k něčemu využil.
                  • peter (neregistrovaný) ---.tomra.sc.cust.gts.sk
                    1. Čiže tvrdíte ze stačí dať pozor na
                    Důležité ale je, aby státní a veřejná správa měla dobře ošetřené licence
                    a potom všetky obstarávania fungujú úplne dokonale a verejnosť dostane softvér s najlepším pomerom cena/výkon? Nijak tomu nemôže zverejnenie zdrojového kódu pomôcť?
                    2. S firmou, ktorá sa v dnešnej dobe nasilu vyhýba použitiu open source vo svojich riešeniach, podľa mňa nie je niečo v poriadku a bol by som rád aby z mojich daní nedostala ani korunu.
                    Napr. skúste pozrieť http://mapka.gku.sk/, koľko použitých open source knižníc objavíte v len v zdrojákoch hlavnej stránky?
                    • Kamil Zmeškal
                      Ad 1) Ne, to netvrdím. Ale úplně stejně - že veškerý SW pro st. správu Open Source, také nic vůbec nezaručuje. Podstatně důležitější z mého pohledu je:
                      - správně vypsat veřejnou zakázku (to rozhodně není žádná sranda, včetně vymyšlení hodnotících kritérií),
                      - následně mít oboustranně dobrou a výhodnou smlouvu.
                      Pokud něco z toho není splněno, tak je podružné, zda je projekt OpenSource nebo ne (za předpokladu, že jsou zdrojáky ve vlastnictví Zadavatele a má patřičná autorská práva, jak jsem psal v jiném příspěvku).
                      OpenSource může něco přinést, to je bez debat. Ale nejsem (zatím) vůbec přesvědčen, že výhody převáží nad nevýhodami.
                      Ad 2) Nenapsal jsem to úplně správě. U nás také používáme Open Source. Ale to jsou víceméně jen sranda věci jako nějaké knihovny atd., ne kritické části systémů. Zatím asi největší využití máme JasperReports, kterými chceme postupně nahradit OracleReport. Takže Open Source se také nevyhýbáme, ale ani ho nepovažujeme za nějakou vše řešící modlu, jak se občas propagátoři tváří (pro odlehčení: je to něco jako reklama na prášky, které vyřeší vše, od menstruačních bolestí až po zápal plic :-) ). Takže určitě z mého pohledu neplatí, že Open Source je řešení na problémů IT ve st., správě. V něčem ano, v něčem ne a je potřeba k tomu tak přistupovat.
                      • Palo (neregistrovaný) 86.110.227.---
                        Viete co je zaujimave. Mnohe komercne firmy pouzivaju open source na absolutne kriticke casti svojich systemov. Male aj stredne aj velke aj teda ze VELMI VELKE z pohladu statnej spravy. Co im chyba si sami dorobia. Preco tento model funguje z pohladu komercnej firmy ale nie z pohladu statnej spravy?
                        • Kamil Zmeškal
                          Odpovědnost, na obou stranách. Firma si to nabídnout nedovolí, protože za Open Source nechce nést záruku (je to po ní logicky považováno) a státní správa ty záruky požaduje, protože kdyby nějaký systém zdechl kvůli problému s Open Source a dodavatel by za něj neměl odpovědnost, tak je to velký průšvih, porušení několika zákonů atd.
                          Pokud spadne něco ve firmě, tak je to věc jen té firmy a maximálně přijde o zisk. Pokud něco spadne ve st. správě, je to pr*ser, protože ze zákona musíme zajišťovat funkčnost. V tom je zásadní rozdíl mezi systémy provozovanými firmami a st. správou.
                          Abych byl konkrétní, tak třeba naše ISKN:
                          "ISKN je dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy, ve znění pozdějších předpisů (dále též „ZoISVS“), součástí ISVS pro správu a vedení katastru nemovitostí. ISKN byl vyhláškou č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, stanoven jako významný informační systém."
                          nebo
                          Zadavatel hodlá uzavřít s jedním vybraným Účastníkem zadávacího řízení rámcovou dohodu o rozvoji a údržbě a Informačního systému katastru nemovitostí tak, aby jej mohl Zadavatel bezproblémově a v souladu s vývojem legislativy a dalších předpisů využívat pro podporu výkonu státní správy katastru nemovitostí a souvisejících částí zeměměřictví
                          A to ani nemluvím o zákonu č. 181/2014 Sb. o kybernetické bezpečnosti.... Když si zákony prostudujete, tak ten obrovský rozdíl v přístupu pochopíte.

                        Diskuze z Google+




                        • Profilová fotka uživatele Miroslav Prýmek
                          Ta diskuse je imho o koze a o voze.

                          Ve zprávičce se píše "software, který byl vyvinut pro veřejný sektor" a úplně stejně i v té výzvě: "software developed for the public sector".

                          Tj. chce se, aby když si něco nějaká státní instituce nechá naprogramovat, tak aby to zveřejnila. Což je imho rozumný požadavek a divím se, že to není automaticky (ze zákona). Pokud vím, přesně z tohodle důvodu vznikla MIT licence - pokud něco bylo financováno z veřejných peněz jako výzkum, muselo to být uvolněno.

                          Doplňuješ si, co tam není ani v náznaku ("opensource spasí svět", apod.)

                          "Zajímavé třeba je, že se do open source nehrnou ani firmy" - to je (v kontextu výš napsanýho) úplně mimo mísu.

                          "S takovým přístupem by se autor mohl objevit ve strakovce, že tam chce přespat, protože je to placeno i z jeho daní" - tohle je težce demagogické srovnání, protože tím, že ve Strakovce budu spát, budu omezovat její normální provoz. Tím, že využiju software, který si nechá nějaký úřad napsat, jeho využití toho stejného sw nijak neovlivňuju.

                          Podle mě je to rozumný požadavek, který se dá shrnout do "když už se to jednou zaplatilo, ať se to využije co nejvíc". Dává to smysl. Hlavně pro systémy, které si různé části státu platí úplně zbytečně opakovaně (různé CMS apod.)
                          ODPOVĚDĚT
                          před 14 h
                        • Profilová fotka uživatele Kamil Zmeškal
                          +Miroslav Prýmek Jo, trochu jsem se rozjařil, uznávám. Štve mě, když jsme pro někoho, kdo navíc nemá ani páru o tom, co všechno musíme splňovat a zajišťovat jen podvodníci, co záměrně odmítají Open Source, aby mohli mít plné kapsy úplatků od Oracle a podobných firem.

                          S přístupem "když už se to jednou zaplatilo, ať se to využije co nejvíc" problém rozhodně nemám a naopak s tím souhlasím. Ale nesouhlasím s tím, že jde říct plošně, že vše, co se programuje dělá pro st. správu, musí být Open Source. Větu v článku "A právě proto by měly mít vládní agentury plnou kontrolu nad systémy, které jsou jádrem naší digitální infrastruktury" splňujeme s ISKN i bez toho aby byl Open Source.

                          Osobně bych neměl problém s tím, kdyby třeba ISKN zdrojáky, až na nějaké části, Open Source byly. Vlastně by se mi líbilo řešení, kdyby na úrovni státní správy vznikl repozitář, kde by byly zdrojáky státních IS (těch, kde by to nevadilo) pro využití ostatních resortů. Nevím, ale zda je dobré to zpřístupňovat úplně veřejně. Sice jsme si to všichni zaplatili, ale jen obyvatelé ČR. Ne zahraniční komerční firmy a subjekty atd.

                          "Všichni" říkají, jak by povinné Open Source bylo cool, ale nemá to jen výhody. Určitě by existovaly výjimky, které by se musely řešit. Určitě by existovaly kritické části IS, které by se také zveřejnit nemohly. O to vše by se muselo starat, což je další práce.
                          Některé firmy by tuto podmínku nepřekously a tak by st. správa mohla přijít o zajímavé řešení (a firma ale samozřejmě o kšeft).
                          Často se také upravují řešení krabicová a prodávaná řešení. Například máme DMS (viz https://www.tenderarena.cz/profil/zakazka/detail.jsf?id=82731 ), což je Oracle UCM upravené na naši míru. Oracle těžko přistoupí na to, abychom to zveřejnili jako Open Source. Příkladů by se našlo mnoho.

                          Závěr za mě je stále stejný -
                          OpenSource ano, ale tam, kde to má smysl a kde to přinese více výhod jak nevýhod. A je jedno, zda je to Open Source jako SW třetí strany (PostgreSQL), nebo vyvíjený IS na míru.
                          ODPOVĚDĚT
                          před 14 h
                        • Profilová fotka uživatele Miroslav Prýmek
                          Nevím, ale zda je dobré to zpřístupňovat úplně veřejně.

                          Já zas nevím, čemu by to mělo vadit. Jediné, co hrozí, je, že někdo najde bezpečnostní díru. U closed source zase hrozí, že tam tu díru dá zhotovitel schválně (nic neriskuje, protože 1) úřad si kód nikdy nezkontroluje 2) i kdyby se díra náhodou našla, bude dělat, že to byla jenom chyba, nebo selhání jedince, typicky takovýho, který už ve firmě není ;) ) - a jelikož úřad ani zhotovitel nemají potřebu to rozpatlávat po médiích, ututlá se to.

                          Vyloženě pozitivní by pak bylo, že by si občané mohli zkontrolovat, co se jaké peníze doopravdy dodalo. Ono by občany celkem legitimně mohlo zajímat, jestli třeba nějaký IS za miliony není jenom nějaký přeskinovaný wordpress, žejo...

                          Sice jsme si to všichni zaplatili, ale jen obyvatelé ČR. Ne zahraniční komerční firmy a subjekty atd.

                          Tak teoreticky by se dala použít i taková licence, která by použití mimo ČR zakazovala, ale to podle mě není správná cesta. Hlavní totiž je, že tím, že kód použije i někdo jiný, stát o nic nepřijde. S ostatními státy není v takovém typu konkurence jako jsou komerční firmy.

                          Některé firmy by tuto podmínku nepřekously a tak by st. správa mohla přijít o zajímavé řešení

                          Mám pocit, že pořád mluvíš o něčem jiném. Podle mě je řeč o situaci: přijdu do firmy X a řeknu jim "naprogramujte mi IS na Y". Jako dílo pak můžu buď dostat jenom binárky (tragická varianta), nebo můžu dostat zdrojáky a nechám si je pro sebe, nebo můžu zdrojáky zveřejnit. První varianta je špatná per se a vůbec by k ní imho ve státní správě nemělo docházet (viz OpenCard). Mezi druhou a třetí variantou není pro úřad žádný rozdíl, je mu to jedno.

                          Že by ve státní správě mělo být opensource všechno (čili by úřad logicky nesměl používat ani Windows), to snad neprosazuje vůbec nikdo, nikde, nikdy - možná kromě nějakých radikálních jednotlivců, naprosto okrajových.
                          ODPOVĚDĚT
                          před 13 h
                        • Profilová fotka uživatele Kamil Zmeškal
                          +Miroslav Prýmek
                          Mám pocit, že pořád mluvíš o něčem jiném. Podle mě je řeč o situaci: přijdu do firmy X a řeknu jim naprogramujte mi IS na Y....

                          Mluvím přesně o tom. Mezi druhou a třetí variantou je propastný rozdíl. Firmě se nemusí líbit, pokud by její zdrojáky byly volně dostupné, pro jakoukoli konkurenci apod. a nepřistoupila by na to. Je rozdíl, když zdrojáky předá nám a my je pak můžeme dát jen jejímu nástupci (kterých jsou max. jednotky) , než když je jejich dílo dostupné komukoli zcela volně.

                          Jan tak přemýšlím - jak je to s Open Source a SW patenty? Neřešily by to nějak? Myslím stav, že by firma vymyslela něco geniálního, měla na to SW patent, aby to nemohl někdo bez jejího vědomí
                          zneužítvyužít a mohla to pak st. správě dát jako Open Source ke zveřejnění. Ale to je asi blbost a jde to přímo proti sobě.
                          ODPOVĚDĚT
                          před 11 h
                        • Profilová fotka uživatele Miroslav Prýmek
                          No počkej, jak "firmě se nemusí líbit"?! Pokud si u krejčího nechám ušít sako, tak mi taky nemá co diktovat, kam v něm můžu chodit.

                          SW patenty v Evropě nejsou. A vůbec k tomu poslednímu odstavci: ne, ve zdrojácích 99,9% sw není nic, z čeho by si konkrence měla sednout na zadek, nic, co by jí vůbec stálo za opisování. Vždyť dnešní sw development je normální řemeslo... Vem od uživatele, sečti, vlož do databáze, zobraz na webu... Není tam vůbec nic, co by mělo být jakékoliv know how (v té oblasti, o které se bavíme - tj. IS pro státní správu).
                          ODPOVĚDĚT
                          před 10 h
                        • Profilová fotka uživatele Kamil Zmeškal
                          To srovnání se sakem silně kulhá. To, že Ti krejčí ušije sako automaticky neznamená, že Ti k němu dá veškeré podklady - střih, technologické postupy apod. A i kdyby Ti je dal (nám firmy zdrojáky dávají, to máme ošetřené), tak to neznamená, že ty střihy můžeš jen tak hodit všem dostupně na internet (což my se zdrojákama nemůžeme, ale můžeme je dle licence užít pro další rozvoj ISKN a předat nástupnické firmě).
                          Ostatně, proč by pak vůbec v oblasti programování existoval autorský zákon nějaký institut udělování licence?
                          ODPOVĚDĚT
                          před 9 h
                        • Profilová fotka uživatele Miroslav Prýmek
                          Ale to je přece na tobě, s jakou zakázkou k developerům přijdeš. Pokud si nasmlouváš, že ti mají dát zdrojáky + veškerá práva k nim, tak je budeš mít. Pokud si práva nenasmlouváš, tak je nemáš, to je jasný.

                          A podle mě ta iniciativa je právě o tomhle - pokud všechna práva má státní orgán, pak by měl zdrojáky zveřejnit. Tak tomu rozumím já.
                          ODPOVĚDĚT
                          před 9 h
                        • Profilová fotka uživatele Kamil Zmeškal
                          No však ano. Já jen říkám, že pokud přijdu za krejčím, který je vyhlášený a dobrý, ale odmítne mi to povolení zveřejnit jeho know-how dát, tak mám smůlu a buď musím jít k jinému, třeba ne tak dobrému, nebo si vystačím s tím, že mi to know-how předá pro mé další využití, ale ne pro zveřejnění (což je dle mého pohledu OK, zcela dostačující a oboustranně akceptovatelné).

                          Přemýšlím, zda bychom před ÚOHS dokázali obhájit, kdybychom jako jedno z hodnotících kritérií dali, že veškeré zdrojáky projektu budou OpenSource. Myslím, že by to firmy, které by to nechtěly dát, okamžitě napadly a vymýšlely by diskriminační důvody o 106. A že mají fantazii, to Ti už z mnohaletých zkušeností mohu říct. Kdyby nehrozilo, že to někdo napadne a celou VZ tím minimálně o 1/2 roku zdrží, tak bych to i zkusil :-)

                          Přivedl jsi mě na myšlenku, kterou musím ze zajímavosti prozkoumat. V příští VZ na rozvoj ISKN podmínku na Open Source dát můžeme, ale stejně bychom zdrojáky ještě nemohli zveřejnit, protože budeme vázáni dnešní smlouvou (tam máme, že dostaneme zdrojáky a můžeme je předat další firmě). Nejsem si jistý, co by se dělo v přespříští smlouvě, zda by to ta dnešní firma stále nemohla napadnout. To je ale na právníky.
                          U nových projektů je to jednoduché, ale u těch, které pokračují, je to otázka.
                          ODPOVĚDĚT
                          před 9 h
                        • Profilová fotka uživatele Miroslav Prýmek
                          No každopádně by to byl zajímavý spor. Samozřejmě nejsem právník, ale nedovedu si vůbec představit, jak by mohla firma argumentovat. Pokud chceš zdroják vlastnit, tak prostě hledáš někoho, kdo ti ho prodá (se všema právama).

                          Ale každopádně ti musím dát trochu za pravdu, teď jsem se víc díval na materiály té iniciativy a vypadá to opravdu na obecnou podporu opensource, ne jenom u zakázkového sw. Mají to nejasně formulované, není z toho evidentní, co vlastně přesně chtějí. Takže asi jsi měl nakonec v lecčems pravdu :)

                          Třeba ten Open Letter (https://publiccode.eu/openletter/) je celej laděnej jako obecná podpora OSS a přitom na konci je zase ta formulace "developed for public sector", tak fakt nevím :)
                          ODPOVĚDĚT
                          před 9 h
                        • Profilová fotka uživatele Tomáš Hrouda (Gobbet)
                          Chlapi, oběma vám děkuji za výbornou diskuzi. +Kamil Zmeškal​ již sleduji dlouho, zde i na Twitteru a jeho názory na OS mi přijdou dobře podložené zkušenostmi. Líbí se mi, že o tom přemýšlí taky trochu „jinak“. +Miroslav Prýmek​ uvedl taky zajímavé argumenty. Obecně mi přijde fajn o tomto tématu dost diskutovat, protože je to něco, co má čím dál tím větší význam.

                          Sám jsem byl v minulosti velkým podporovatelem OS, ale po některých nepříjemných událostech v tomto sektoru (rozdělení OpenOffice na OO a LibreOffice, JRE zaplevelené McAfeem apod.) jsem začal být také více opatrný. OS stále obdivuji a snažím se používat, kde to jde, ale už mám kritičtější pohled na jeho „spásný“ dopad.

                        Licence na ISKN


                        Pro zajímavost přidávám část smlouvy na ISKN týkající se licence. Důležitý je bod 1.7, konkrétně:

                        Objednatel může dílo využít ke komerčním i nekomerčním účelům, dále upravovat, zpracovávat, překládat, či měnit jeho název, spojit s jiným dílem a zařadit jej do díla souborného bez předchozího souhlasu autora, včetně poskytnutí tohoto díla k úpravám smluvním partnerům objednatele

                        Nevím, zda bychom uvolněním ISKN jako Open Source neporušili smlouvu, protože je tam k úpravám smluvním partnerům objednatele a kdokoli náš smluvní partner není. 

                        Na druhou stranu je tam ta první část, ale z té mi vlastně také neplyne, že uvolnění zdrojáků pod Open Source je "využití díla objednatelem k nekomerčním účelům". Ta znamená, že to můžeme používat my, ale nevím, zda by to nenarazilo, kdyby to používal "kdokoli". 

                        Zkusím to v další smlouvě nějak ohlídat, aby to bylo jasnější, pokud na to u nás získám politickou podporu vedení :-)