Η Ένωση Πληροφορικών Ελλάδας έστειλε επιστολή στο Υπουργείο Προστασίας του Πολίτη σχετικά με την ακύρωση της διαγωνιστικής διαδικασίας για την προμήθεια ταυτοτήτων και λοιπών εγγράφων ασφαλείας.
Το περιεχόμενο της επιστολής έχει ως εξής:
Αξιότιμοι κύριοι,
Με μεγάλη μας έκπληξη πληροφορηθήκαμε ότι ματαιώθηκε από το Υπουργείο Προστασίας του Πολίτη η διαγωνιστική διαδικασία προμήθειας ταυτοτήτων και λοιπών εγγράφων ασφαλείας (https://is.gd/pJpG90) διότι “…οι προδιαγραφές του συστήματος, οι οποίες υποτίθεται ότι είναι απόρρητες, ήδη κυκλοφορούσαν στην αγορά”.
Δυστυχώς, θα χρειαστεί και πάλι να υπενθυμίσουμε ότι τα πληροφοριακά συστήματα του δημόσιου τομέα θα πρέπει να σχεδιάζονται και να υλοποιούνται με βάση ανοικτά πρότυπα (open standards). Ο σχεδιασμός και η υλοποίηση πληροφοριακών συστημάτων και έργων ΤΠΕ (Τεχνολογίες Πληροφορικής & Επικοινωνιών) με βάση τα ανοιχτά πρότυπα, εξασφαλίζει -μεταξύ άλλων- τον ενδελεχή έλεγχο των προδιαγραφών και των προτεινόμενων λύσεων, τη διαφάνεια κατά την παραλαβή και την εύρυθμη λειτουργία των έργων αυτών, καθώς καθίσταται εφικτός ο λεπτομερής έλεγχος από ειδικούς εμπειρογνώμονες που θα παραλάβουν τα τελικά παραδοτέα του έργου, αλλά και σε όλα τα στάδια ανάπτυξής του. Επιπλέον, δίνει τη δυνατότητα αποτελεσματικής επικαιροποίησης, αναβάθμισης και ευχερέστερης μελλοντικής συντήρησής του χωρίς εξαρτήσεις από συγκεκριμένους προμηθευτές, όπως επίσης και τη δυνατότητα διασφάλισης των απαιτούμενων επιπέδων ελέγχου ποιότητας και ασφάλειας της πρόσβασης, βάσει της υφιστάμενης εθνικής και ευρωπαϊκής νομοθεσίας.
Σημαντικοί διεθνείς οργανισμοί όπως ο EFF (www.eff.org) και ο FSF (www.fsf.org), καθώς επίσης και η ΕΕΛ/ΛΑΚ (www.ellak.gr) προβάλλουν σταθερά την αξία της υιοθέτησης Ανοικτών Προτύπων (https://en.wikipedia.org/wiki/Open_standard), όπως π.χ. είναι ο ίδιος ο Παγκόσμιος Ιστός του διαδικτύου (World Wide Web). Η μεγάλη παγκόσμια άνθιση των ΤΠΕ στηρίχθηκε κυρίως στην αξιοποίηση ανοικτών προτύπων, τα οποία επέτρεψαν τον ανοικτό σχεδιασμό και την ευρεία χρήση των αντίστοιχων συστημάτων. Τα πλέον ευρέως διαδεδομένα πληροφοριακά συστήματα σήμερα βασίζονται σε ανοικτά πρότυπα για την πρόσβαση και διαχείριση κειμένων, εικόνων, βίντεο, ιστοσελίδων, αλλά και για την επικοινωνία μεταξύ υπολογιστικών συστημάτων μέσω δικτύων δεδομένων (π.χ. PDF, MPEG, HTML, XML, TCP/IP, PCI κλπ). Αυτή η εξέλιξη και η άνθιση των ΤΠΕ τα τελευταία 30 έτη βασίστηκε στα ανοικτά πρότυπα και δεν θα ήταν εφικτή εάν τα πρότυπα αποθήκευσης και διαχείρισης των δεδομένων ήταν “κλειστά” και ιδιοταγή (proprietary). Τα “κλειστά” και ιδιοταγή πρότυπα δεσμεύουν στο διηνεκές τις σχεδιαστικές και αρχιτεκτονικές προσεγγίσεις του προμηθευτή, δεν επιτρέπουν την εξέταση και τον έλεγχό τους από εμπειρογνώμονες ή ανεξάρτητους αξιολογητές, ενώ μπορεί να διαθέτουν “τρύπες” ασφάλειας, δημιουργούν νόθευση του ανταγωνισμού και οδηγούν σε συνεχή εξάρτηση από συγκεκριμένο προμηθευτή για την συντήρηση ή την αναβάθμισή τους.
Κατόπιν όσων περιγράψαμε παραπάνω, και σε αντίθεση με τα ανοικτά πρότυπα, η Ελληνική Πολιτεία επιλέγει να ακυρώσειδιαγωνισμό προϋπολογισμού πάνω από μισό δισεκατομμύριο Ευρώ (515.000.000€) με τη δικαιολογία ότι οι προδιαγραφές (specs) του συστήματος “ήδη κυκλοφορούσαν στην αγορά” – ενώ στην πραγματικότητα η ανοικτότητα και η ελεύθερη πρόσβαση στις τεχνικές προδιαγραφές/απαιτήσεις του συστήματος θα έπρεπε να είναι εξ’ αρχής απαράβατη προϋπόθεση της συμμετοχής του εκάστοτε υποψήφιου αναδόχου στο διαγωνισμό. Για να το κάνουμε όσο πιο κατανοητό γίνεται, είναι σαν να ακυρώνεται η αγορά ενός αυτοκινήτου, επειδή ο προμηθευτής επιτρέπει στον υποψήφιο πελάτη ελεύθερα προς εξέταση και αξιολόγηση όλα τα μηχανολογικά σχέδια του κινητήρα και των υπόλοιπων υποσυστημάτων του αυτοκινήτου!
Εν τέλει, ποιος επιθυμεί να προμηθευτεί ένα πληροφοριακό σύστημα που θα διαχειρίζεται τα πιο κρίσιμα προσωπικά δεδομένα των πολιτών, το οποίο μόνο ο ιδιώτης προμηθευτής θα μπορεί να διαχειρίζεται, να αναβαθμίζει και να συντηρεί; Επιπροσθέτως, πώς διασφαλίζεται έτσι ότι δεν θα επιτραπεί σε ιδιώτη προμηθευτή να έχει πλήρη πρόσβαση στα προσωπικά δεδομένα όλων των πολιτών; Σκάνδαλα όπως αυτό του Facebook και της Cambridge Analytica (https://is.gd/v6HifB), ή πρόσφατες καταγγελίες όπως και η δική μας (24/6: https://is.gd/LNMWPk) για δεδομένα που επί της ουσίας διαθέτει η ΑΔΑΕ σε τρίτους προς “καταστροφή” ως φυσικό απόρριμα, υποδηλώνουν ότι η προστασία των δεδομένων προσωπικού χαρακτήρα πρέπει να αποτελεί πρωταρχικό μέλημα των δημόσιων πληροφοριακών συστημάτων, σύμφωνα και με τον Ευρωπαϊκό Κανονισμό GDPR (https://en.wikipedia.org/wiki/General_Data_Protection_Regulation).
Να σημειωθεί ότι η Ελλάδα εξακολουθεί να οδηγείται από την Ευρωπαϊκή Επιτροπή σε δίκες κατηγορούμενη για τη μη ενσωμάτωση της νομοθεσίας της ΕΕ περί GDPR στο εθνικό δίκαιο (https://is.gd/MLp15G , https://is.gd/IlivqG , https://is.gd/K9cn8E), καθώς κάτι τέτοιο αποτελεί εθνική υποχρέωση της Ελλάδας από τις 6 Μαΐου 2018 και έκτοτε επιβάλλονται ημερήσιες χρηματικές ποινές. Επιπλέον, η πρόφαση ότι λόγω του ότι πρόκειται για κρίσιμο πληροφοριακό σύστημα υποδομής θα πρέπει οι προδιαγραφές του να παραμείνουν μυστικές αποτελεί επιστημονική και τεχνολογική ανακρίβεια της χειρότερης μορφής. Κανένα σύστημα ασφάλειας, ειδικά σε θέματα κρυπτογράφησης και ψηφιακών υπογραφών, δεν βασίζει την ορθότητα και την αξιοπιστία του στο αν οι αλγόριθμοι και οι υλοποιήσεις του είναι ανοικτά διαθέσιμες οι όχι – το αντίθετο, έχει αποδειχθεί ότι η ανοικτότητα ενισχύει σημαντικά την αξιοπιστία τους, τον έγκαιρο εντοπισμό αδυναμιών και σφαλμάτων, καθώς και την έγκαιρη ενημέρωση των αρμόδιων φορέων και των πολιτών όταν εντοπιστεί οποιοδήποτε πρόβλημα ασφάλειας. Το γεγονός και μόνο ότι κάποιοι εξακολουθούν να διατυπώνουν τη μη-προσβασιμότητα στις προδιαγραφές ως προϋπόθεση για τη διασφάλιση της αξιοπιστίας του συστήματος αποτελεί απόδειξη της άγνοιας του αντικειμένου, σε ανησυχητικό επίπεδο για το τι ακριβώς θα παραδοθεί και πως θα λειτουργεί τελικά.
Να σημειωθεί επίσης ότι μετά την αρχική προκήρυξη του έργου (https://is.gd/Uysz9k), τον Ιανουάριο του 2019, διαπιστώθηκε με καθυστέρηση πέντε ολόκληρων μηνών (https://is.gd/GECahk) ότι από τις προδιαγραφές έλλειπε ένα από τα πιο βασικά δεδομένα ταυτοποίησης – τα ψηφιοποιημένα δακτυλικά αποτυπώματα. Ακόμα κι αν όπως ανακοίνωσε τότε το αρμόδιο υπουργείο αυτό δεν υπήρχε στις συμβατικές υποχρεώσεις των προδιαγραφών διαλειτουργικότητας, είναι αυτονόητο ότι η υιοθέτηση ανοικτών προτύπων στις προδιαγραφές θα επέτρεπε τον έγκαιρο εντοπισμό του σχεδιαστικού σφάλματος ή, το λιγότερο, θα επέτρεπε εξ’ αρχής την υιοθέτηση ανοικτού σχεδιασμού και εύκολης τροποποίησης επιμέρους τμημάτων του, όπως η προσθήκη ή αφαίρεση συγκεκριμένων τύπων προσωπικών δεδομένων στο ενσωματωμένο μικροκύκλωμα.
Σχετικά με την υποχρέωση υιοθέτησης ανοικτών προτύπων, όχι μόνο στις προδιαγραφές των δεδομένων αλλά και ως προς την διάθεση του πηγαίου κώδικα του λογισμικού σε έργα ΤΠΕ δημοσίου, το 2018 το Βέλγιο πρότεινε αλλαγές στην ευρωπαϊκή οδηγία για τα ανοιχτά δεδομένα και την επαναχρησιμοποίηση των πληροφοριών του δημόσιου τομέα, γνωστή ως PSI directive(https://is.gd/33d9tr) και συγκεκριμένα τη ρητή συμπερίληψη στην οδηγία αλγορίθμων και προγραμμάτων Η/Υ. Μετά από αυτή την παρέμβαση, η τελική έκδοση της οδηγίας (https://is.gd/n9kqJw) πράγματι περιλαμβάνει τη φράση: «Τα κράτη μέλη μπορούν να επεκτείνουν την εφαρμογή της παρούσας οδηγίας στα προγράμματα ηλεκτρονικών υπολογιστών». Η νέα οδηγία με το όνομα “Open Data Directive” τέθηκε σε ισχύ από τις 16 Ιουλίου και όλα τα κράτη μέλη θα πρέπει ενσωματώσουν τον αναθεωρημένο νόμο στην εθνική τους νομοθεσία (https://is.gd/XUyE3a). Αυτό πρακτικά σημαίνει ότι, όχι μόνο οι τεχνικές προδιαγραφές τέτοιων συστημάτων, αλλά και οι υλοποιήσεις τους, συμπεριλαμβανομένου και του πηγαίου κώδικα του λογισμικού, θα πρέπει στο εξής να είναι δημόσια διαθέσιμα, ως ρητή νομική υποχρέωση του εκάστοτε αναδόχου σε έργα ΤΠΕ με δημόσια χρηματοδότηση.
Έστω και με την εξέλιξη της ακύρωσης του διαγωνισμού, ας αξιοποιηθεί η συγκυρία έτσι ώστε να επανασχεδιαστούν οι λειτουργικές και τεχνικές προδιαγραφές του σχεδιαζόμενου πληροφοριακού συστήματος, έτσι ώστε αυτό να σχεδιαστεί και να υλοποιηθεί με:
- βάση τις αρχές των ανοικτών προτύπων,
- διασφάλιση της διαλειτουργικότητας με τα υφιστάμενα ή μελλοντικά πληροφοριακό συστήματα του δημόσιου τομέα,
- έλεγχο των προδιαγραφών διασφάλισης της πρόσβασης και ασφάλειας των δεδομένων,
- μέριμνα για τη διασφάλιση των δεδομένων προσωπικού χαρακτήρα των πολιτών, βάσει της εθνικής και ευρωπαϊκής νομοθεσίας.
Με την ελπίδα να πρυτανεύσει ο ορθολογισμός και η σοβαρότητα, καθώς επίσης και να αξιοποιηθεί η διεθνής εμπειρία και πρακτική, είμαστε πάντα στη διάθεση σας για να συζητήσουμε και να αναπτύξουμε από κοντά τις θέσεις μας.
Με εκτίμηση,
Το ΔΣ της Ένωσης Πληροφορικών Ελλάδας (ΕΠΕ)