Lietuvos Respublikos Vyriausybei

2024-05-

DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS NUTARIMO „DĖL VALSTYBĖS DUOMENŲ AGENTŪROS VALDOMŲ YPATINGOS SVARBOS VALSTYBĖS INFORMACINIŲ IŠTEKLIŲ“ PROJEKTO

I. Sprendžiama problema

Nuo 2024 m. sausio 1 d., įsigaliojus naujos redakcijos Valstybės informacinių išteklių valdymo įstatymui, siekiant užtikrinti tinkamą teisės aktų laikymąsi, ypatingos svarbos valstybės informacinius išteklius – Valstybės duomenų valdysenos informacinę sistemą ir joje tvarkomus duomenis – (toliau – VII) galima laikyti Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto sutarties organizacijos (NATO) valstybėse narėse esančiuose privačiuose duomenų centruose, tik jeigu tam Lietuvos Respublikos Vyriausybė suteiks teisę, šių VII kopiją Vyriausybės nustatyta tvarka kartu laikant ir valstybiniame duomenų centre.

Vadovaudamasi Lietuvos Respublikos oficialiosios statistikos ir valstybės duomenų valdysenos įstatymu, Valstybės duomenų agentūra (toliau – Agentūra) yra Valstybės duomenų valdysenos informacinės sistemos, skirtos minėto įstatymo 21 straipsnio 1 dalyje nustatytiems tikslams įgyvendinti, valdytoja ir tvarkytoja bei administruoja Valstybės duomenų valdymo platformą, organizuoja ir koordinuoja jos panaudojimą, valdo ir skirsto Valstybės duomenų valdymo platformos išteklius.

Agentūra valdo ir tvarko ypatingos svarbos valstybės informacinius išteklius – Valstybės duomenų valdysenos informacinę sistemą (toliau – VDVIS), kurią sudaro du posistemiai: Duomenų valdymo platformos posistemis ir Oficialiosios statistikos posistemis.

Duomenų valdymo platformos posistemis sukurtas Palantir Foundry platformoje, kuri šiuo metu yra eksploatuojama Amazon Web Services infrastruktūroje Airijos Respublikoje, todėl pagal įsigaliojusį įstatymą Vyriausybė gali priimti sprendimą leidžiantį VDVIS eksploataciją privačiame duomenų centre. Jei tokio sprendimo nepriimtų, Duomenų valdymo platformos posistemis privalėtų būti perkeltas į valstybės duomenų centrą.

II. Siūlomos priemonės

Egzistuoja dvi alternatyvos kilusiai situacijai spręsti.

Alternatyva I. Perkelti Duomenų valdymo platformos posistemį, realizuotą Palantir Foundry platformoje, į valstybės duomenų centrą (toliau – VDC).

Duomenų valdymo platformos posistemis nuo 2020 m. lapkričio 6 d. veikia licencijuotos duomenų valdymo platformos Palantir Foundry pagrindu kartu su platformos licencija įsigytoje debesijos infrastruktūroje, nes tokios apimties ir sudėtingumo infrastruktūra tuo metu negalėjo būti suteikta valstybės duomenų centre. Sudaryta Palantir Foundry programinės įrangos licencijos (SaaS) įsigijimo sutartis, galiojanti iki 2024 m. gruodžio 6 d., apima ir paslaugos teikėjo įsipareigojimą programinės įrangos veikimui užtikrinti reikalingą inžinerinę infrastruktūrą. Sutarties sąlygose apibrėžta, kad inžinerinė infrastruktūra yra realizuota Amazon Web Service (AWS) debesijos paslaugų infrastruktūroje. Atsižvelgdamas į Palantir Foundry platformos veikimo specifiką paslaugos teikėjas papildomai atlieka AWS infrastruktūros konfigūravimą, įdiegdamas papildomą programinę įrangą, technines ir organizacines priemones, kurios yra būtinos Palantir Foundry veikimui užtikrinti.

Atsižvelgiant į tai, Palantir Foundry papildomi ištekliai turi apimti ne tik atitinkamas AWS debesijos paslaugas, bet ir papildomus AWS aplinkos konfigūravimo, programinės įrangos bei organizacinių priemonių diegimo darbus ir papildomos infrastruktūros veikimo užtikrinimo paslaugas. Dėl šių aplinkybių Palantir Foundry programinės įrangos įsigijimo sutartyje yra nurodomi specifiniai infrastruktūros elementai (Batch compute, Interactive compute, Disk usage, Indexed storage).

Valstybės duomenų centruose šiuo metu teikiamos tik Informacinių technologijų paslaugų teikėjo centralizuotai teikiamų informacinių technologijų paslaugų kataloge, patvirtintame Lietuvos Respublikos ekonomikos ir inovacijų ministro 2020 m. balandžio 20 d. įsakymu Nr. 4-241, numatytos tipinės IT paslaugos, taigi Duomenų valdymo platformos posistemiui gali būti suteikti tik standartiniai konsoliduotos IRT infrastruktūros (esančios valstybiniuose duomenų centruose) resursai, numatyti patvirtintame IT paslaugų kataloge, tačiau ne tokios paslaugos, kurios atitiktų AWS specifines Palantir Foudry veikimui užtikrinti reikalingas paslaugas. Tai reiškia, kad Duomenų valdymo platformos posistemio, koks jis yra dabar, migracijai į valstybės duomenų centrą reikiamų prielaidų šiuo metu nėra.

Skyrus papildomą finansavimą ir sudarius galimybę valstybės duomenų centruose teikti ir nestandartinius resursus, preliminariais vertinimais, Duomenų valdymo platformos posistemio migracija galėtų būti įgyvendinta per dvejus metus.

Pasirinkus šią alternatyvą, siekdama užtikrinti veiklos tęstinumą ir Valstybės informacinių išteklių valdymo įstatymo nuostatų dėl duomenų laikymo įgyvendinimą:

1. Vyriausybė turėtų priimti sprendimą laikinai (bet ne trumpiau kaip 24 mėn.) leisti eksploatuoti VDVIS privačiame duomenų centre.

2. Skirti papildomą finansavimą Informacinės visuomenės plėtros komitetui sukurti nestandartinę infrastruktūrą ir nestandartines paslaugas pagal Palantir reikalavimus, taikytinus Palantir Foundry platformos veikimui užtikrinti.

3. Skirti papildomą finansavimą Agentūrai vykdyti migravimą į valstybinį duomenų centrą.

4. Finansuoti esamo Duomenų valdymo platformos posistemio veikimą privačiame duomenų centre pereinamuoju ne trumpesniu nei 24 mėn. laikotarpiu.

Alternatyva II. Suteikti teisę Agentūrai jos valdomus ypatingos svarbos informacinius išteklius – VDVIS – eksploatuoti  privačiame duomenų centre.

Atsižvelgiant į tai, kad:

‒   Foundry prieglobos infrastruktūra, paremta aukštos reputacijos (AWS) duomenų centre teikiama debesijos infrastruktūra, ir funkcionalumai kartu sudaro administruojamą, standartizuotą, ištestuotą ir išoriškai audituotą platformą, kurią galima pritaikyti prie klientų poreikių. Platforma yra suderinta su NIST 800-53. Platforma kasmet papildomai praeina SOC 2, 2 tipo auditą (saugumas, konfidencialumas ir prieinamumas), SOC 1 ir yra sertifikuota kaip atitinkanti ISO 27001/27017/27018, ISO 9001, FedRAMP Moderate, JAV DoD Impact Level 5 ir Cyber Essentials Plus reikalavimus. Papildomai, AWS infrastruktūra yra gavusi įvairius su saugumu susijusius sertifikatus ir yra valdoma pagal ISO 27001 ir ISO 9001. 

(Daugiau informacijos apie Palantir atitiktį įvairiems saugumo reikalavimams: https://palantir.safebase.us/, daugiau informacijos apie AWS atitiktį įvairiems saugumo reikalavimams: https://d1.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf?did=wp_card&trk=wp_card).

Be to, kaip duomenų tvarkytoja, Palantir turi daug patirties, padedančios klientams laikytis konkrečių reguliacinių ir industrijos reikalavimų, įskaitant Bendrąjį duomenų apsaugos reglamentą (BDAR).

‒   Agentūra, eksploatuodama Duomenų valdymo platformos posistemį Palantir Foundry platformoje, tvarko duomenis vadovaudamasi Valstybės duomenų agentūros generalinio direktoriaus įsakymu patvirtintu Informacijos saugumo valdymo sistemos vadovu ir Valstybės duomenų valdysenos informacinės sistemos duomenų saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.

Agentūros informacijos saugumo valdymo sistema nuo 2018-08-31 yra sertifikuota pagal ISO/IEC 27001 standartą. Atitiktis standartui tikrinama kasmet išorės auditorių atliekamų priežiūros auditų metu.

(Daugiau informacijos apie Agentūros saugumo politikos įgyvendinimą: https://vda.lrv.lt/lt/asmens-duomenu-apsauga/informacijos-saugumas/).

‒   Palantir Foundry platformą su analogiškomis privačios debesijos infrastruktūros konfigūracijomis naudoja JAV, Izraelio karinės ir Norvegijos, Prancūzijos, Jungtinės Karalystės bei kitų šalių valstybės institucijos;

‒   Naudojimas ne Lietuvos teritorijoje esančių duomenų centrų leidžia suvaldyti kai kurias regionines rizikas – svarbiausių valstybės informacinių išteklių duomenų kopijos išlieka prieinamos ir jų pagrindu gali būti atstatyta institucijos veikla, praradus pirminius duomenis ar prieigą prie jų;

‒   Įgyta Palantir Foundry licencija leidžia viešajam sektoriui lanksčiai ir realiu laiku disponuoti pakankamais Palantir/AWS resursais didelės apimties duomenų šaltinių integracijai, analitikos ir kitiems uždaviniams spręsti ir pakartotiniam viešojo sektoriaus duomenų naudojimui: didelės apimties centralizuotam viešojo sektoriaus duomenų atvėrimui, pakartotiniam sveikatos duomenų naudojimui, aplikacijų kūrimui, bei didina valstybės atsparumą operatyvių duomenų valdymo ir analizės prasme;

‒ Leidimas Agentūrai laikyti jos valdomus ypatingos svarbos valstybės informacinius išteklius (Valstybės duomenų valdysenos informacinę sistemą) Europos Sąjungos valstybėse narėse atitinka nacionalinio saugumo interesus (suderinimas buvo gautas ir iš Lietuvos Respublikos krašto apsaugos ministerijos). Taip pat pastebėtina, kad turint į debesiją iškeltus duomenis bus sudarytos sąlygos ir toliau užtikrinti sprendimų priėmimą esant kritinėms situacijoms ir šių duomenų neprarasti. Be to, šių duomenų kopija bus išsaugoma ir valstybiniame duomenų centre.

Ši alternatyva nesukuria papildomų finansinių išlaidų, Vyriausybė gali priimti sprendimą leidžiantį Duomenų valdymo platformos posistemiui naudoti privačių duomenų centrų Airijoje resursus. Alternatyvos pasirinkimo sukeliamos rizikos (priklausomybė nuo vienintelio gamintojo ir galimybės dirbti lokaliai, praradus interneto ryšį, nebuvimas) ir jų valdymo priemonės nustatytos Agentūros generalinio direktoriaus įsakymu tvirtinamame įstaigos metiniame veiklos plane.

Pagal 2024 m. sausio 1 d. įsigaliojusio Valstybės informacinių išteklių valdymo įstatymo 45 str. 3 d., Duomenų valdymo platformos posistemio duomenų kopija privalės būti laikoma valstybiniame duomenų centre, ją perkeliant iki š. m. gruodžio 31 d.

Siūloma Vyriausybei pasirinkti II alternatyvą, suteikiant Agentūrai teisę VDVIS Duomenų valdymo platformos posistemiui naudoti Airijos Respublikoje esančio privataus duomenų centro Amazon Web Service (AWS) debesijos paslaugų infrastruktūrą, o VDVIS ir joje tvarkomų duomenų kopiją laikyti valstybiniame duomenų centre, periodiškai, bet ne rečiau kaip kartą per 2 metus, atliekant VDVIS įgyvendinimo alternatyvų analizę, valstybės informacinių išteklių rizikos įvertinimo ataskaitą ir rizikos valdymo priemonių planą, ir pateikiant juos vertinti Vyriausybei.

Atkreiptinas dėmesys į tai, kad Lietuvos Respublikos konkurencijos įstatymo 2 straipsnio 1 dalyje nustatyta, kad šiuo įstatymu draudžiama ūkio subjektams atlikti veiksmus, kurie riboja ar gali riboti konkurenciją, nesvarbu, kokio pobūdžio jų ūkinė veikla, išskyrus atvejus, kai šiame įstatyme ar kituose įstatymuose, skirtuose atskiroms ūkinės veiklos sritims (šiuo atveju – Valstybės informacinių išteklių valdymo įstatyme), numatomos išimtys. Šiuo įstatymu taip pat draudžiama viešojo administravimo subjektams priimti sprendimus, ribojančius konkurenciją, išskyrus šiame įstatyme, Lietuvos Respublikos vietos savivaldos įstatyme ar kituose įstatymuose (šiuo atveju – Valstybės informacinių išteklių valdymo įstatyme) nustatytus atvejus.

Įvertinant tai ir vadovaujantis Valstybės informacinių išteklių valdymo įstatymo 45 straipsnio 3 dalimi, Nutarimo projektu yra siūloma tik nustatyti Agentūrai išimtį dėl leidimo laikyti jos valdomus ypatingos svarbos valstybės informacinius išteklius Europos Sąjungos valstybėje narėje – Airijos Respublikoje – esančio privataus duomenų centro Amazon Web Services infrastruktūroje, jų kopiją Vyriausybės nustatyta tvarka laikant valstybiniame duomenų centre.

Pažymėtina, kad toks siūlymas atitinka Valstybės informacinių išteklių valdymo įstatymo 45 straipsnio 3 dalies ir Konkurencijos įstatymo 2 straipsnio 1 dalies nuostatas, todėl šiam Nutarimo projektui netaikytinos 4¹ straipsnio 1 dalies 2 punkto nuostatos dėl poveikio konkurencijai vertinimo atlikimo. Pastebėtina, kad toks vertinimas turėtų būti atliekamas tik įsigyjant Palantir Foundry programinės įrangą ir su ja susijusios VDVIS veiklai reikalingos debesijos paslaugų inžinerinę infrastruktūrą, o ne siūlant Nutarimo projektu numatyti išimtį dėl jau atlikto viešojo pirkimo metu įsigytos Palantir Foundry programinės įrangos ir su ja susijusios VDVIS bei joje tvarkomų duomenų laikymo.

Atsižvelgiant į tai, Infobalt pastabos dėl Lietuvos Respublikos konkurencijos įstatymo 4¹ straipsnio 1 dalies 2 punkto ir Lietuvos Respublikos viešųjų pirkimų įstatymo 17 straipsnio nuostatų laikytinos nekorektiškomis, todėl jos negali būti vertinamos svarstant Nutarimo projektą.

III. Priemonių kaštai

Pasirinkus II alternatyvą, Nutarimo projektui įgyvendinti papildomų valstybės biudžeto lėšų nereikės. Vadovaujantis Oficialiosios statistikos ir valstybės duomenų valdysenos įstatymo 25 straipsnio 3 dalimi, Duomenų valdymo platformos posistemio tęstinumui užtikrinti reikalingos lėšos jau yra numatytos Agentūros 2024 metų biudžete.

IV. Nauda visuomenei

Priėmus Nutarimo projektą valstybės duomenys (tai yra pirminių viešojo sektoriaus duomenų kopijos) galės būti saugomi užsienyje, tokiu būdu Agentūra galės tęsti jai pavestų teisės aktų įgyvendinimą ir teikti susijusias paslaugas valstybės institucijoms, įstaigoms ir visuomenei bei įgyvendinti, palaikyti ir plėtoti pavestus duomenų valdysenos projektus. Agentūra galės:

1)    tęsti šių teisės aktų įgyvendinimą ir teikti susijusias paslaugas valstybės institucijoms, įstaigoms ir visuomenei:

‒   Oficialiosios statistikos ir valstybės duomenų valdysenos įstatymo, kiek jis susijęs su valstybės duomenų valdysena;

‒   Lietuvos Respublikos pakartotinio sveikatos duomenų įstatymo;

‒   Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymo, kiek jis susijęs su centralizuotu viešojo sektoriaus duomenų, įskaitant didelės vertės duomenų rinkinius, atvėrimu;

‒   Lietuvos Respublikos Vyriausybės 2023 m. rugsėjo 20 d. nutarimo Nr. 740 „Dėl reglamento (ES) 2022/868 įgyvendinimo“, kiek jis susijęs su apsaugotųjų kategorijų duomenų rinkinių pakartotiniu panaudojimu ir bendru informaciniu punktu;

‒   Lietuvos Respublikos Vyriausybės 2022 m. kovo 16 d. nutarimo Nr. 224 „Dėl laikinosios apsaugos Lietuvos Respublikoje užsieniečiams suteikimo“;

‒   kitų susijusių teisės aktų;

2)    įgyvendinti, palaikyti ir plėtoti šiuos duomenų valdysenos projektus:

‒   Statistinių Gyventojų, Ūkio subjektų ir Ūkininkų registrų;

‒   Užsienio prekybos statistikos modulio;

‒   COVID-19 pandemijos stebėjimo ir valdymo bei vakcinų paskirstymo modulių;

‒   EUROMOD analitinio modulio;

‒   Sankcionuotų prekių eksporto analitinės švieslentės;

‒   Strateginių rodiklių švieslenčių;

‒   Mokesčių, socialinio draudimo įmokų ir socialinių išmokų sistemos vertinimo modulio;

‒   Mikroįmonių ir savarankiškai dirbančių asmenų pajamų ir jų mokestinės aplinkos vertinimo modulio;

‒   Žmogiškųjų išteklių ir profesinio mokymo sistemos stebėsenos švieslentės;

‒   Klimato krizės stebėsenos švieslentės;

‒   Asmenų su negalia ir jiems suteiktos pagalbos duomenų analitinės aplinkos;

‒   Ukrainos karo pabėgėlių duomenų mainų tarp valstybės informacinių sistemų aplikacijų;

‒   Nacionalinio krizių valdymo centro realaus laiko švieslentės ekstremaliesiems įvykiams, ypatingiems įvykiams, ekstremaliosioms situacijoms ir krizėms stebėti;

‒   Sveikatos priežiūros paslaugų kokybės vertinimo modelio (rodiklių švieslentės);

‒   Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos ir Nacionalinės turizmo informacinės sistemos duomenų analizės komponentų;

‒   55 valstybės informacinių sistemų / registrų centralizuoto atvėrimo Lietuvos atvirų duomenų portale;

‒   Viešojo sektoriaus duomenų metaduomenų katalogo.

3)    Tęsti Naujos kartos Lietuvos plano projekto „Valstybės duomenų išteklių integracija į valstybės duomenų ežerą“ įgyvendinimą (šiuo metu yra integruota 150);

4)    Teikti paslaugas kitoms viešojo sektoriaus institucijoms kuriant savarankiškas analitines erdves (šiuo metu yra sukurta 61 analitinė erdvė).