Czego się nie mówi o KSI ZUS?

W ostatniej serii publikacji Gazety Wyborczej na temat KSI ZUS oraz odpowiedzi rzecznika ZUS zabrakło kilku istotnych detali.

Po pierwsze, działalność dywersyjno-legislacyjna organów ustawodawczych, czyli kolejnych rządów i kadencji Parlamentu. Jeśli można wskazać jakiś pojedynczy czynnik, który zagwarantował ogromne koszty, opóźnienia i błędy w projekcie Kompleksowego Systemu Informatycznego (KSI) ZUS to była to właśnie ich niekompetencja i nieodpowiedzialność składająca się na to, co określa się eufemistycznie "niską jakością stanowionego prawa".

Twórcy prawa w Polsce mają zwyczaj zmieniać prawo często i w ostatniej chwili. Nie trzeba tłumaczyć, jak to wpływa na przetargi, przygotowywane niechlujnie i w pośpiechu po to, by "spełnić wymóg formalny" z pełną świadomością, że implementuje się coś co jest ułomne. Po roku prawo jest poprawiane, ale przecież projekt jest już w toku i działa według poprzedniej wersji. Więc aneksy, nowe przetargi, chaos, koszty i opóźnienia. I wspaniałe pole do nadużyć...

ZUS słusznie więc usprawiedliwia część swoich problemów chaotyczną działalnością legislatorów, zapomina jednak o swoich własnych niezrozumiałych decyzjach.

Jedną z nich była trzyletnia walka sądowa o piętnastostronicową specyfikację protokołu KSI MAIL. ZUS najpierw argumentował, że odmowa jej udostępnienia jest podyktowana "względami bezpieczeństwa", a po jej publikacji zapewniał, że jej ujawnienie nie ma na to bezpieczeństwo wpływu (co było zgodne z prawdą). Do dziś nie wiadomo kto i dlaczego podjął bronioną następnie z oślim uporem decyzję o zablokowaniu tej specyfikacji.

Dalej, do 3 mld rachunku za KSI można chyba także dopisać poniesione przez ZUS oraz przedsiębiorców koszty przejścia KSI na certyfikaty kwalifikowane. Lekko licząc firmy będące płatnikami ZUS wydały na to 60-100 mln złotych i przymus administracyjny był w większości firm jedyną przyczyną zakupu certyfikatów w latach 2008-2009. Decyzji tej - nie dającej w mojej opinii żadnej wartości dodanej z punktu widzenia bezpieczeństwa, za to generującej gigantyczne i wciąż jeszcze nie zamknięte koszty - nie towarzyszyła o ile mi wiadomo żadna analiza ryzyka czy analiza kosztów i zysków.

Decyzję tę podjął legislator (ustawa o informatyzacji z 2005 roku), ale nie wierzę by ZUS jej nie konsultował. Ktokolwiek to był, podjął decyzję w mojej ocenie nieuzasadnioną i niewłaściwą. Skutkowało późniejszymi rozterkami jak zarządzać uprawnieniami płatników. Takich spraw jest znacznie więcej. Nie sądzę na przykład, by z wymogów prawa wynikała bezpośrednio decyzja o zamówieniu takiej architektury Kompleksowego Rozproszonego Systemu Bezpieczeństwa (KRSB ZUS), która jak się wydaje uniemożliwiała jej wieloletnie serwisowanie przez kogokolwiek innego niż oryginalny dostawca.

Najlepsze na koniec. Jakim zdumiewającym "kontekstem prawno-instytucjonalnym, którego dzisiaj nie sposób odtworzyć" (za ZUS) można wytłumaczyć fakt, że instytucja zamawiająca napisany na swoje wyłączne potrzeby system KSI za prawie 1 mln złotych przez 13 lat nie dysponuje prawami do jego kodu źródłowego, a jedynie jest jego licencjobiorcą?