Agencija Spirit: nov primer katastrofalnih rešitev v državnem IT-ju
Do konca julija morajo operaterji, dobavitelji in posredni dobavitelji energije po Zakonu o pomoči gospodarstvu zaradi energetske krize poročati o porabi energentov.
Podatke zbira agencija Spirit, ki si je izmislila povsem nepraktičen način zbiranja podatkov;
Marca so predstavili načrt v katerem od vsakega zavezanca zahtevajo vzpostavitev lastne infrastrukture za zbiranje podatkov in vzpostavitev vmesnika do katerega bo lahko Spirit dostopal na daljavo in sam pobiral podatke.
Zavezancev za poročanje naj bi bilo okrog 500, zavezanci so tudi tisti, ki večjim podjetjem kakorkoli zaračunavajo energijo (npr. zaradi najemanja površin za bankomate, bazne postaje itd.).
Do konca julija imajo vsi zavezanci rok da sami ali prek zunanjega izvajalca razvijejo svojo infrastrukturo prek katere bo lahko Spirit dostopal do podatkov. Marsikdo verjetno še zdaj ne ve, kaj točno mora do konca meseca narediti.
Prva tranša poročanja se je zgodila februarja letos, ko so zavezanci poročali preko aplikacije JRP. Iz javno dostopnih informacij je moč sklepati, da so bile napake v poročanju velik problem. V tem delu ugibamo, saj nimamo informacij iz prve roke, ampak verjetno je bilo potrebno v aplikacijo na roke pretipkati podatke, zato so se tudi zgodile napake. Prav to naj bi bil povod, da se je agencija Spirit odločila za tak sistem poročanja. Ampak obstaja tudi vmesna, veliko bolj racionalna pot.
Agencija Spirit bi lahko sama razvila lasten sistem in od zavezancev zgolj zahtevala, da jim ti v strojno berljivem in vnaprej predpisanem formatu (npr. datoteki CSV, XML…) posredujejo podatke o porabi energije. Oddaja bi bila lahko možna preko spletne aplikacije ali preko API vmesnika. Namesto tega so se odločili stroške in odgovornost prevaliti na prejemnike pomoči in zdaj zahtevajo razvoj prek 500 različnih sistemov na strani zavezancev.
Gre za povsem nepotrebno obremenjevanje podjetij in drugih gospodarskih subjektov, razvoj zahtevane infrastrukture pri vseh zavezancih bi lahko stal na stotisoče evrov.
Ampak tu se zgodba niti ne konča. Zavezanci morajo sporočiti poverilnice za dostop do svojih API vmesnikov na e-poštni naslov Agencije Spirit, ki gostuje pri enem od ponudnikov deljenega gostovanja.
Med zavezanci za poročanje so tudi upravljavci kritične infrastrukture. Prav lahko se zgodi, da se do teh podatkov dokoplje nepooblaščena oseba, izkoristi varnostno ranljivost v na hitro razvitem API vmesniku, pridobi dostop do strežnika in preko bočnega gibanja (“lateral movement”) pridobi dostop do ostalih sistemov upravljavca kritične infrastrukture.
Država s takšno "digitalizacijo zaradi digitalizacije" ne pomaga nikomur. Namesto, da bi stremeli k enostavnim rešitvam, se po nepotrebnem spodbuja kompleksne rešitve, kar na koncu ustvarja nepotrebne stroške za vse vpletene.
Vir: prt.si/sltechspirit