Roman Vrba zhruba před rokem skončil v odboru e-governmentu na Ministerstvu vnitra a stal se šéfem Státní pokladny Centrum sdílených služeb (SPCSS), tedy jednoho ze dvou státních IT podniků. Ten primárně provozuje systémy pro Ministerstvo financí a jemu podřízené orgány, má ale také dvě datová centra a před pár týdny byl pověřen provozováním dlouho chystaného státního cloudu. Právě o něm Vrba mluví v rozhovoru pro Lupu.
Vláda vás pověřila provozováním státní části státního cloudu. V jakém rozsahu ho budete provozovat?
Byli jsme pověřeni v souladu se zákonem o informačních systémech provozováním státní části eGovernment Cloudu (SeGC). Cloud, který bude v SPCSS, je určen pro nejvyšší bezpečnostní úroveň 4 (BÚ4), tedy zejména kritické informační systémy dle zákona. Primárním důvodem, proč něco takového vzniká, je to, aby stát měl vyšší kontrolu nad svými daty s maximální možnou úrovní bezpečnosti a efektivity díky sdílení zdrojů a kapacit. Není to tak, že by třeba docházkový systém měl běžet ve státním cloudu, tyto věci je možné dát do veřejného cloudu.
Jaké systémy budou pod bezpečnostní úroveň 4 spadat?
Pro nás bylo prvním a základním krokem získat pověření a mandát začít cloud computing provozovat. Druhý bod vládního usnesení je finalizace kapacitního plánu, který chystá Digitální a informační agentura (DIA). Z něj vyplyne, co do BÚ4 dle správců informačních systémů pravděpodobně spadá. Na tom teď spolupracujeme. Je možné, že pod BÚ4 nepůjdou nutně celé informační systémy, ale pouze jejich části. Mám na mysli hlavně data a back-end, ne nutně front-end, tedy část, která „je vidět“. Následně předpokládáme, že spolu s DIA a správci informačních systémů provedeme assessment tak, abychom společně naplánovali a zvolili vhodnou strategii migrace do eGovernment Cloudu.
Kdo se na určení těchto systémů musí shodnout?
Výchozím podkladem bude zmíněný kapacitní plán, zahrnující scénáře a prognózy a oceněné možnosti dodání služeb na stanovené úrovni. Dále rozhoduje správce na základě analýzy rizik a následně kontroluje nebo rozporuje DIA a NÚKIB. Osobně to vidím tak, že pod BÚ4 spadne deset až patnáct systémů z oblasti financí, justice a dalších, a zejména centrální systémy, jako jsou základní registry. Na ně aplikujeme jak samotnou IT bezpečnost, tak fyzickou v rámci areálů datových center. Bavíme se tedy o datech, která když nebudou k dispozici, bude mít stát problém, protože může mít problém občan nebo firma.
Kdy bude seznam hotový?
Pevně věřím, že kapacitní plán bude hotový v dubnu. Finalizuje se výchozí verze, na které se snad v prvním kvartálu shodneme. Není čas ztrácet čas. Větší komplikací však je, že obecně nejkritičtější systémy jsou často ty nejstarší a nejsložitější. Je nutné je předělat, aby byly na cloud připraveny, úplně nevěřím na způsob „lift and shift“. Technologicky vybudovat cloud je jedna věc, ale přenést tam aplikace nebo celé systémy je větší příběh pro všechny zúčastněné. Z toho důvodu navrhujeme realizovat následný cloud assessment tak, abychom DIA a věcným správcům pomohli zvolit správnou strategii a případně podpořili nutnost investic do těchto legacy systémů.
Bavíme se o kompletním přepsání některých aplikací?
Přesně tak. Ale nesouvisí to s vytvářením cloudu. Je to spíše úkol pro věcné správce těch informačních systémů než pro nás. My postavíme infrastrukturu a s přizpůsobením aplikací můžeme pomáhat a konzultovat na základě našeho katalogu infrastrukturních služeb.
Vás tedy primárně zajímá postavit IaaS a PaaS?
Ano, my budeme řešit hlavně infrastrukturu a platformu jako službu, výše nechceme jít. Našim zákazníkům v podobě úřadů a spol. poskytneme katalog služeb, který nebude rigidní a půjde upravovat. Ale v nějakých mezích, nemůžeme splnit každý požadavek. Například v případě základních registrů už nějakou dobu na koncepci „cloud ready“ spolupracujeme. Registry by se do IaaS části cloudu mohly dostat do roku 2027.
Narážíte při plánech na přesun do cloudu na odpor?
Narážíme spíše, jak jsem zmiňoval, na překonané systémy a aplikace, které je problém přepsat. Existují spíše obavy, že na něco takového nejsou peníze. Jde o rizikové operace, často s poddimenzovanými týmy.
Zároveň je přesun do cloudu příležitost vyřešit problémy s dlouhodobými vendor lock-iny. Například bylo vypsané výběrové řízení na nDIS, tedy náhradu ADISu pro správu daní. Je to velká příležitost. Obecně mohu říci, že resorty chtějí změny a cítí, že jsou nevyhnutelné.
Kdy budete mít vaší cloudovou platformu hotovou?
Existují projekty jako Sčítání lidu, domů a bytů 2021, o kterých nikdo moc neslyšel, protože veškerá jejich podpora proběhla bez problémů, a tyto projekty se řešily na hybridní cloudové infrastruktuře. Něco už tedy vybudovaného máme. Na sčítání lidu jsme používali naše služby VMware platformy v rámci našeho cloudu, což jsme doplňovali nákupem výkonu z tradičního veřejného Azure. Zkušenosti máme a testujeme a nasazujeme další technologie. Naposledy jsme v takovém hybridním modelu realizovali pro Ministerstvo financí infrastrukturu pro ARES (registr ekonomických subjektů). Zde jsme naši část postavili nad Azure Stackem a veřejnou škálujeme v Azure cloudu.
Přesné termíny tedy ještě nemáte?
Většinu systému pro provoz cloud computingu v bezpečnostní úrovni 4 máme připravenou. Některé věci však ještě nejsou zapsány v katalogu služeb. To chceme dohnat v průběhu letošního roku, předpokládáme do léta. Celkově je o termínech v případě cloudu těžké mluvit – jeho vývoj je nekončící proces.
SPCSS testovala provoz cloudu na Azure Stacku pro Ministerstvo financí. Budete chtít Microsoft používat jako hlavní technologii?
To je velmi správná otázka, ale ještě na ni neumím odpovědět. Je velmi pravděpodobné, že budeme provozovat dvě platformy, aby nevznikl vendor lock-in a aby existovala možnost volby. Efektivita cloudu vzniká primárně z úspor z rozsahu a provozní excelence, což by vedlo k volbě jednoho strategického technologického partnera. Současně jsme ovšem pod zákonem o zadávání veřejných zakázek a znamená to, že takto postupovat nemůžeme. Máme tedy v nabídce na výběr například Azure Stack, VMware, PowerVM, AKS, OpenShift, Azure nebo Google Cloud Platform. Je jasné, že poskytovat všechno nebudeme. S DIA bychom se měli shodnout, kudy to budeme směřovat, aby nevznikl nestrategický vendor lock-in, ale zase aby to nebylo příliš široké.
Takže žádný dodavatel ještě není vybraný?
Není, je to v běhu. Otestovali jsme si více technologií a máme určitou znalost, kromě Microsoft Azure jsou to VMware nebo IBM Power. Stavíme na tom, co už máme a umíme. Diskutujeme s DIA, jak naše služby rozvíjet, a následně k tomu budeme standardně nakupovat technologie dle zákona o veřejných zakázkách.
Předpokládám, že OpenStack si asi udržovat nebudete?
Ne, to vůbec ne. Vzhledem k požadavkům na provozovatele BÚ4 SeGC jdeme cestou „enterprise“ řešení. Samozřejmě pracujeme s open řešením, ale vždy s odpovídající podporou například Linux Red Hat, Kubernetes s OpenShift.
Jak jste si pilotní provoz Azure Stacku na financích vyhodnotili?
Výborně, nyní jsme spolu již produkčně spustili ARES na nové a moderní architektuře.
Jak jste se na tom s hardwarem?
Máme datacentra Na Vápence a v Zelenči. Blížíme se k jejich naplněnosti. Bude nutné udělat určitý úklid. Stává se, že resorty nakoupí hardware, ale jeho výkon využívají z deseti, patnácti procent, přičemž hardware zabírá prostor. Na Vápence máme například k dispozici výkon jeden megawatt, ale reálně se využívá přibližně dvacet procent výkonu. I proto se staví cloud, přinese úspory.
O jak velkých úsporách může být řeč?
Z dlouhodobých zkušeností se přechodem do cloudu uspoří mezi 20 až 30 procenty nákladů. Pokud vezmeme v potaz naše zkušenosti z využití on-premise řešení, můžeme se bavit o úspoře až 80 procent.
Budete rozšiřovat datacentrum v Zelenči?
V Zelenči budeme stavět druhou a třetí etapu. Vybraná firma již připravuje projektovou dokumentaci. Současná datová budova má výkon na IT jeden megawatt, druhá a třetí také budou mít po megawattu. Jedna etapa bude k dispozici pro Agenturu Evropské unie pro kosmický program (EUSPA) sídlící v Praze. Projekt by měl být hotový do konce léta. Pak budeme soutěžit dodavatele. Bavíme se už také o etapách čtyři až šest. Plánujeme hodně dopředu, v České republice se staví pomalu.
Na kolik dvě nové etapy vyjdou?
Naprosto přesný ještě nedokážu být. První etapa přišla na více jak 300 milionů korun. V dalších fázích už se nebudou stavět komunikace a podobně, ale zase výrazně vzrostly ceny materiálů i práce. Kolik však budou stát jednotlivé etapy, ukáže až projekt a následná soutěž na dodavatele. Osobně věřím, že cena nebude vyšší jak 200 milionů za jednu etapu.
Je pro vás ve hře také pronájem kapacit v komerčních datacentrech?
Můžeme to udělat, ale pouze na systémy nižší bezpečnostní úrovně, než je 4. Absolvovali jsme určitá jednání, nicméně ne pro účely státního cloudu. Zákon jasně definuje, že poskytovatelem státního cloudu musí být organizace vlastněná a ovládaná státem. Ale obecně je to tak, že chceme poskytovat služby pro Ministerstvo financí a jeho organizace, protože tento resort je naším zřizovatelem, a dále státní cloud, tedy BÚ4. Nic dalšího momentálně neplánujeme.
Od nového roku začal fungovat nový katalog poskytovatelů cloud computingu. Jde o druhou část státního cloudu, kde úřady mohou odebírat služby od běžných komerčních poskytovatelů. Vy tam máte tři nabídky (VMware, Azure Stack, IBM Power). Chcete konkurovat komerčním subjektům?
Děláme projekty především pro resort Ministerstva financí. Na jeho organizační části se vztahují zákony ke cloud computingu. Pokud jim chceme dodávat cloudové služby, byť jsou na BÚ3, musíme být v katalogu zapsáni, jinak by je Finance nemohly konzumovat. Nechceme jít expanzivním směrem do byznysového sektoru. Stát má dělat jenom věci, které jsou nezbytně nutné, a zbytek ať vyřeší komerční sektor.
V předchozím katalogu cloud computingu jednoznačně dominoval Microsoft Azure a jeho partneři. Lze očekávat, že Microsoft bude mít stejně silnou pozici i v novém katalogu?
Microsoft byl první a velmi aktivní. Ale nemyslím si, že by to bylo tak jednoznačné i do budoucna. Půjde o tvrdé konkurenční prostředí. Aktuálně jsou velmi aktivní kolegové z AWS a dokážu si představit i zapojení lokálních českých datových center.
Byl pohled českého státu na velké cloudové poskytovatele ovlivněn vývojem bezpečnostní situace ve světě?
K tomu mohu říci jen to, že cloud je jeden z největších a nejkomplexnějších vynálezů lidstva. Jde o skvělou věc, která ale současně nese rizika. Cloud computing kopíruje vývoj například v energetice. V minulosti se konsolidovaly elektrárny do větších centrálnějších institucí z menších lokálních elektráren, ale přesto i dnes nejenom u datacenter naleznete diesel generátory. Proto tu existuje obrovský prostor pro privátní či hybridní cloudy.
Měl by stát tlačit na velké poskytovatele cloudu, aby měli lokální datacentra?
Dejte si do kontextu velikost globálních hráčů a velikost českého trhu. Pokud má vznikat nějaká síla tohoto typu, musí vznikat z většího celku, tedy Evropské unie. Pak může zafungovat, že si nadiktujeme lokální podmínky. Velké firmy buď přijdou a něco vybudují, protože jim to byznysově vychází, nebo je tvrdě zregulujeme. Ale bohužel tu regulaci musí někdo zaplatit. A my nejsme velký trh. I proto si myslím, že bychom se v rámci Česka neměli prát a řešit, že bude existovat více státních cloudů.
Ono se řeší, že by vznikl další poskytovatel státního cloudu?
Zákon to umožňuje, ale já osobně si myslím, že to není dobrý nápad. Ano, i jiný státní podnik nebo ministerstvo si mohou říci, že také postaví státní cloud. Takové myšlenky tady byly od počátku cloud computingu. Nechceme být monopol, ale je zde pouze určitý omezený počet lidí s dostatečnými znalostmi. Čím více poskytovatelů, tím více odborníků, kteří právě teď na trhu nejsou a vy je potřebujete. A zároveň každá další instituce znamená navýšení režie. Za mě je nutné spolupracovat, ne se tříštit.
Kdo se ozývá, že by také chtěl?
Sem tam někdo něco řekne, ale reálně není nic na stole. Mimo jiné z toho důvodu, že jde o velkou papírovou válku a administrativa spojená s rozjezdem státního cloudu je obrovská.
Platí to i pro zápis do nového katalogu poskytovatelů komerční části cloudu? Microsoft mluví o dvou letech práce a pěti tisících stranách dokumentace.
Proces zápisu může reálně trvat rok a déle především z důvodu kompletace velice obsáhlé dokumentace. S tím jsou spojeny i nezanedbatelné náklady. Se vším respektem k zákonům – o Češích se říká, že vyžadují na vše precizní zákony a předpisy a při tom hned přemýšlejí, jak je obejít. Zároveň nezávidím lidem v NÚKIBu a DIA, kteří tu dokumentaci posuzují. Cloudová agenda je obrovská a lidí a času mají velice málo. Na druhou stranu legislativa cloud computingu byla připravována společně se zástupci komerčního sektoru a byl to kompromis, na kterém se shodli s Ministerstvem vnitra a NÚKIBem. Realita nám ukazuje, že jsme se ale v řadě směrů posunuli a překotný vývoj zejména v oblasti AI nám přináší nutnost jistých úprav zejména v zápisu nových služeb pro BÚ3 a BÚ4, o kterých teď trh diskutuje.
Jak to bude s původním katalogem poskytovatelů cloudu?
To je spíše otázka na DIA. Tuším, že od prvního ledna běží rok přechodného období, kdy stále můžete používat služby zapsané v prvním katalogu, ale nesmíte je měnit a rozvíjet. Během roku se musíte přizpůsobit. Očekávám, že hysterie nastane na podzim.
Jak vypadá datacentrum SPCSS v Zelenči:
Chci odebírat newsletter
