Vlákno názorů k článku
E-shop na dálniční známky měl bezpečnostní problémy, unikly osobní údaje [AKTUALIZOVÁNO] od anonym - No, já si konečně dal du práci a...

No, já si konečně dal du práci a zběžně pročetl smlouvu, zveřějněné požadavky, rozpad ceny a nakonec i ten znalecký posudek.
https://www.sfdi.cz/soubory/aktuality-pro-verejnost-media/2020_edaz_pozadavky_objednatele.pdf
Obecně doporučuji si alespoň proklikat to co SFDI postupně zveřejnilo. Žádná média to nepřevzala, téměř nikdo o tom neví.

Řešil jsem už pár podobných nabídek, některé úspěšně, některé neúspěšně. Ale v žádném případě bych si netroufl tvrdit, že těch zmiňovaných 400 mega je přestřelených. Tento projekt je NESKUTEČNĚ RIZIKOVÝ. To, že 3 z pěti firem ani nepodaly nabídku mě v tom utvrzuje
Evidentně vznikly tři cenové kalkulace (firma co vyhrála, firma co nevyhrála, posudek) a ty vyšly +- podobně (či minimálně na více jak 400) . Konspirační dohady o tom, že všechny ty cenové kalkulace jsou propojené neberu.

Šibeniční termín - pokud by měl tenhle systém fungovat od prosince, musí být nejpozději v září dokončen. Minimálně dva měsíce vezme dolaďovaní, UAT, bezpečnostní, penetrační, výkonnostní testy, dokumentace atd. Minimálně dva měsíce vezme analýza (únor, březen). A ne, opravdu se analýza a architektura nedá udělat z toho obrázku co SFDI zvěřejnila. Takže na vývoj mi vychází nějakých 5 měsíců. To je jak nic. Navíc dovolené v létě v klidu vezmou další měsíc.

Nemalý počet integrací - kdo někdy něco integroval ve státní správě, tak ví, že integrace v klidu vemou i 50 % času z vývoje projektu. Ono to není jen o zapojení nějakých služeb, ale hlavně o datech co ve službách tečou. A data jsou chybová a děravá. Ale systém nesmí být chybový, budou se pomocí něj pokutovat... Takže ISZR (asi ROB, ROS, RÚIAN), registr vozidel, NIA, ISDS, asi i JIP-KAAS?, nějaké interní systémy SFDI (účetnictví, AD), spisovky, auditní systémy. Bezpečnostní složky? Systém musí odpovídat v rozumných odezvách, takže online napojení na služby asi nepřipadá v úvahu. Všechno si pěkně někam synchronizovat a modlit se, že to nespadne, protože:

24/7 a sankce - mrkněte do smlouvy,. 0,1% z ceny za každou minutu kritické chyby. Za minutu! Jak dlouho vám trvá udělat kafe, než vůbec začnete něco řešit?

Požadavky bezpečnostních složek - tenhle systém je vlhký sen všech tajných složek. Bez ohledu na to, zda se mi to líbí nebo ne, i tohle bude něco stát. Pokud se to má řešit v režimu D, musí mít i klíčové role (viz smlouva) v týmu D. A je dost možné, že ne jenom na čtení, ale i na vytváření důvěrné dokumentace. To také není úplně zdarma a hlavně to není na počkání.

Odezvy - jestli je pravda, že se měly ukládat všechny průjezdy aut (možná s fotkami, možná bez, nevím, spekuluji) mýtnými branami, tak to bude mít obrovské nároky na HW. A tím i na cenu. Jakákoliv neoptimalizovaná část může mít fatální dopad (viz sankce).

100 mega za vývoj systému je dost. Ale pokud budu postupně odečítat veškerá rizika s tím spojená, dostanu se na částky, které jsou už "akceptovatelné". Ale naprosto tuto cenu chápu. dalších 160 mega je za provoz na 4 roky. 40 mega za provoz systému s takovými požadavky a sankcemi mi také nepřipadá ujeté. Ve zbývajících 140 mega je HW (respektive asi Azure) a 2000 MD rozvoje (rámec). Mluví se o maximální částce, předpokládám, že to bude méně, spíše někde k 80%.

No a jenom závěrem pousmání se tlaku různých komerčních eshopů. Dle SFDI (opravdu doporučuji proklikat) https://www.sfdi.cz/1-aktuality-pro-verejnost-a-media/finalni-navrh-architektury-systemu-edaz/
se prodají známky za 5 mld. To už je pěkný trh a je jasné, že se o něj vyplatí trochu bojovat. Na Slovensku má dodavatel známek 2,8% z ceny. To by u nás bylo skoro 150 mil. A to je dvakrát tolik než vysoutěžená cena z rok provozu ((160+140)/4=75). Nebo oni to ty eshopy opravdu budou dělat zadarmo? Včetně všech integrací, které budou muset udělat? Co rizika pokud by eshop nepřeposílal peníze státu? Bavíme se i o miliardě za měsíc! No a to ještě nemluvím o tom, že jádro systému by se muselo vytvořit tak jako tak. Těch 5 mld je dost velkej balík peněz na to, aby stát investoval do vlastního řešení a nešel do zbytečného rizika s komerčními shopy. On si tohle fakt nikdo neuvědomuje?

Ale bude zajímavé to ještě sledovat. Jen se bojím, aby se nechystal další tunel, jen umně skrytý za snahu šetřit.

A toto je realita státních zakázek. Nejasné nepřesné zadání v jednom ohledu, a spousta zbytečností navíc v ohledu jiném.

Je k tomu třeba dodat, že to nejsané zadání může být dodatečně po přijetí zakázky upřesněno, a tím naroste náročnost implementace. Nejasnosti se ale dají komunikovat se zadavatelem, pokud stihnete termín. (musíte si tam dát nějakou vatu pro tyto případy)

Dále je třeba dodat, že s tím zadáním toho nejde moc dělat, tedy zbytečnosti zpravidla úředník odmítne odstranit - musel by vypsat nové výběrové řízení, a to se mu nechce :)

Připravit nabídku k něčemu takovém může zabrat celkem dost času, ty lidi musíte z něčeho zaplatit - je tam více účastníků a ne vždy to vyhrajete zvláště pokud vás někdo "podstřelí". (tzn. musíte si tam dát další vatu na zaplacení i těch lidí, kteří připravovali jinou nabídku, kterou jste nevyhráli).
A to je tam ještě perlička typu, že dáte dohromady nabídku (x dní práce teamu) a následně úředník výběrové řízení z nějakého důvodu zruší... a vypíše nové - jinak zadané.

Při realizaci se čas od času setkáte s úředníkem, který si s vámi touží strašně moc povídat a "hnidopišsky" hodnotit vaší práci. (na to si musíte taky dát vatu... :))

Všechny tyto věci vedou k tomu, že "státní zakázky" jsou obecně dražší než zakázky v komerčním sektoru, takže pokud máte zkušenosti pouze z komerčního sektoru, tak přidejte nějaká ta procenta navíc (klidně i 100).

Je poměrně zajímavé, že se tu řeší zakázka na systém (včetně 10 let podpory a porovozu/rozvoje; včetně call centra). Zajímalo by mě, zda jste si všimli, že médii bohužel ve stínu tohoto jen tak problikla informace o tom, že náklady na nový systém MPSV se podle všeho o jednu miliardu zvýší, a to cekově na 2.5 miliardy korun. (https://www.lidovky.cz/byznys/statni-pokladna/informacni-system-ministerstva-prace-bude-o-miliardu-drazsi-bude-stat-2-5-miliardy-korun.A200122_162152_ln_domov_ele), tedy ten e-shop na sociální dávky bude asi tak 5krát dražší, a to bez callcentra, a dost možná i 10 let provozních nákladů - jen těch "e-shopů" je tam víc... asi 3 - "systém pro agendu zaměstnanosti", "resortní portál", "systém pro vyplácení dávek").

Zákazník používá svoji terminologii, aniž by si ji nutně spojoval s konkrétním produktem. Podle mě to je i tento případ. Od toho je analýza, aby požadavky upřesnila. A i s touto nejistotou musí cenotvorba počítat.

Bezpečnost API - jedná se o "významný informační systém". Tudíž se na něj vztahuje ZoKB, VoKB, Zákon o informačních systémech a další (donedávna i třeba vyhláška o přístupnosti). Ne vše je nutné psát do zadávací dokumentace. Jde o státní systém, takže se na něj vztahují i zákony a omezení, které komerční SW mohou ignorovat.

Nesmyslnost, zbytečnost a nebo zmatenost některých požadavků nerozporuji. Neznáme ale důvody těchto požadavků, takže se to těžko hodnotí. Já se jenom vyjadřoval k té "hrůzostrašné" ceně 400 mil za eshop.

Tak jsem si řekl, že tomu dám 10 minut a to zadání v PDFku si otevřel a hned vidím:

POR50: "Portál musí obsahovat aplikační podporu pro správu šablon Web site,
šablonu lze přiřadit Web site" => ten kdo to psal už cíli na sharepoint, jinde se tato terminologie nepoužívá, navíc všechny ty požadavky jsou naprosto mimo reálné potřeby toho systému, prostě kolem čísla 50 opsali feature list SP

Sekce 2.1.7 => neobsahuje nic o tom, že by snad API mělo být bezpečné, jen "Zobrazování relevantních dat". Takže vlastně to, že v hackatlonu vyrobili otevřený produktu bez zabezpeční API je naprosto v pořádku. Perlička: v dokumentu se nevyskytuje zkratka OWASP ? WT?

Sekce 2.3.3.14: "Vytvoření příkazu k převodu finančních prostředků ze sběrného účtu na
jiný účet SFDI. Příkaz bude po schválení předán do banky a zároveň bude tento
požadavek evidován za účelem následného párování s obratem na účtu" => pevně věřím, že takovou funkci by nikdo nikdy nepoužil. Oni snad na toto nemají běžnou účtárnu a ten "SAP" ??

Celé to někdo dělat už z něčeho a nasekal tam milon zbytečností, které pro účel nejsou vůbec potřeba. Pak mu došlo, že některé zásadní věci potřeba asi budou, takže je dal od kapitoly 6, a to vždy tak jeden odstaveček zcela bez specifikace na stránku. Např. ke callcentru tam není napsané vůbec nic, ani požadovaný počet hovorů, ani do kdy musí být volající obsloužen nic - tomu prostě ten kdo to psal nerozuměl a požadavky na to žádné reálné neměl.

Naprostý vrchol je kapitola 10:
"SFDI požaduje, aby v rámci činností provozu systému byly zajištěny také následující
činnosti: Zajištění správy a zpracování přehledu kartových platebních transakcí
provedených pro úhradu časového poplatku v eShop – kontrola úplnosti a
správnosti, řešení neshod přímo s bankou poskytující služby platební brány (na
základě zmocnění od SFDI)"
=> a tím chtějí říct jako co ?