Centralni obračun plaća
(COP) je ponovno dobra ideja
sa realizacijom koja je toliko loša da je doslovno moralni zločin. Ne
znam da li samo ja tako razmišljam, ali doista ne bi mogao mirno spavati
da znam da sam sudjelovao u izradi takvog užasa. Ali nema pomaka - što
god pisao na ovom blogu, i što god novine pisale o
tome što se događa u IT servisima državne
uprave,
(APIS je jednako kriv), isti ljudi u istim organizacijama na istim
mjestima konstantno rade iste pogrešne stvari. Nema nam
pomoći.
Već dulje vrijeme na Sveučilištu vlada panika jer treba prijeći na
sustav centralnog obračuna plaća. Barem na FER-u, nije panika u tome da
su podaci loši ili nešto radimo krivo nego je panika jednostavno jer
FINA-ini sustavi koje su ljudi u tajništvu prisiljeni koristiti rade
loše ili uopće ne rade. Tamo kao da ne postoji institucija arhitekta
tehnologije ili razvoja, kao da se nove usluge rade potpuno bezveze i
bez ikakvog uvida u širu sliku stvari. Danas je bila frka jer nije
moguće prebaciti povijesne informacije o plaćama u COP. Problem je došao
do mene i evo što sam saznao u tih oko sat vremena dok smo pokušavali
išta napraviti (potpuno bezuspješno):
- COP šalje osobama koje rade obračun plaće, "tetama u računovodstvu"
informacije o XML-u i XML Shemama po kojima podatke trebaju
unijeti (!)
- Od muke, tete su počele učiti i direktno raditi s XML-om u
Notepadu (!!!) Pošto SAP kojeg je u nekoj vjerojatnoj muljaži
Sveučilište potpuno bespotrebno (s obzirom na stvarne potrebe)
kupilo i čiji pilot-projekt je bio FER (ovo nije novost, radi se o
potezu napravljenom prije puno godina) nije dobro prilagođen stalnim
promjenama u računovodstvenoj praksi u zadnje vrijeme (JOPPD, COP),
na tetama počiva da ručno modificiraju XML da sadrži
ispravne podatke. Danas je trebalo od COP-a preuzeti definicije XML
shema koje tete žele koristiti da u Notepadu pišu podatke
za FINA-u.
- Web s kojeg je tetama u službenom dopisu rečeno da preuzmu
definicije XML shema je izgleda nekada bio dio Intraneta FINA-e,
koristi Active Directory za login, te prima loginove prefiksirane
s "INTRANET\". Tetama je otvoren takav login oblika
"INTRANET\username" i poslan password (naravno, mailom).
- Kako je web bio dio Intraneta, a sada više nije (u uputama za tete
piše hostname oblika
server.fina.hr
), HTTPS server još uvijek
koristi stari certifikat, s hostnameom oblika
server.intranet.fina.hr
- što naravno znači da browseri tetama ne
dozvoljavaju da se spoje jer je to invalidan certifikat za novo ime.
- Na dotičnom webu sluša Microsoft ISA server iz 2006. godine.
- Nismo se mogli spojiti na server s poslanim usernameom i
passwordom - ili taj username još nije bio otvoren, ili je otvoren
krivo, ili su nam poslani krivi podaci. Vidjeti ćemo što je od toga
u ponedjeljak.
- U mailu s ovim usernameom i passwordom je rečeno da za probleme
odgovorimo na taj mail ili da nazovemo generički info
telefon FINA-e. Nazvavši ovaj telefon, dočekao me je govorni automat
s neupotrebljivim opcijama - koristi se terminologija koja se
preklapa među opcijama i daleko je previše tehnička za
krajnje korisnike. Kako sam predugo razmišljao koju točno opciju
odabrati, dogodio se srećom timeout i došao sam automatski do žive
osobe za razgovor, koja je, nakon što sam ispričao o čemu se radi
ponovila riječ "XML" kao valjda keyword za koji se uhvatila, no
nije mogla pomoći. Uzela je kontakt podatke i rekla da će nam se
netko javiti. Nije nas mogla spojiti niti dati broj telefona od
osobe koja je poslala mail s usernamom i passwordom. Vidjeti ćemo
odgovor na mail u ponedjeljak...
Ne znam više koje riječi upotrijebiti za opisivanje koliko je sve ovo
nabrojano gore pogrešno. Ako se ne bavite informatikom, ne znam, to je
valjda kao da vam automehaničar ugradi novi motor koji je napravljen od
drva i šperploče. Kao da vam majstor za vodoinstalacije ugradi cijev za
kanalizaciju koja je sastavljena od većeg broja onih kartonskih cijevi
koje ostanu od roli WC papira, povezanih izolir-trakom (ne zbog
svojstava ljepljenja nego što misli da su bitna svojstva strujne
izolacije te trake). Kao da vam dođe vatrogasac kad gori kuća i radi
nešto suludo, na primjer gasi solnom kiselinom jer je čitao na Intranetu
da netko tako radi. Neopisivo, strašno loše. Ono što sam do sada vidio
od FINA-e izgleda kao da je netko slučajno načuo po knjigama i forumima
pojmove kao što su certifikati, XML, web, login i slično i onda onako
"po sluhu" pokušava sastaviti sustav koji mora funkcionirati 24/7.
No hajde da budem konstruktivan malo - inženjeri koji se stalno bune a
ništa ne rade nisu dobri:
- Kao što je za JOPPD moguć u web aplikaciji ePorezna "ručno" upisati
sadržaj obrazac ili poslati XML, zašto isto ne bi bilo i u COP-u?
Ili, općenito, kako FINA redovito stvara nove sheme XML-a za svoje
potrebe, zašto se uz svaku shemu ne napravi web aplikacija koja nudi
"ručni" unos podataka i onda samo download validnog XML-a iz tih
podataka? (Mada, čuo sam glasine da FINA-ini sustavi redovito imaju
greške u primanju XML-ova koje je FINA propisala i dokumentirala -
sustavi i dokumentacija se ne slažu - što je opet
problem managementa). Naravno, NE MISLIM da treba raditi novu
aplikaciju ispočetka za svaku shemu, to treba napraviti jednom ali
proširljivo, ili, puno bolje, ne izmišljati toplu vodu nego uzeto
nešto
gotovo).
- Stvarati vanjskim korisnicima accounte na nečem što je Intranet
ustanove nije naročito zdravo za informacijsku sigurnost te
ustanove, osobito ovako kada se passwordi šalju e-mailom. Ovo
izgleda kao rješenje "nabrzinu" jer je gorilo pod nogama da se nešto
radi pa je to bio najlakši način. Same "tete u računovodstvu"
vjerojatno nikada neće napraviti neki sigurnosni incident, no
njihova računala su podložna virusima, bot-netovima, password
snifferima i svim drugim posve uobičajenim sigurnosnim
prijetnjama danas. Kako sada stvari stoje, FINA-u jednostavno
neizbježno čeka napad koji će vjerojatno naoko doći s takvog
accounta neke slučajne, ni-krive-ni-dužne osobe u računovodstvu neke
državne organizacije.
- Ako se, kao što u ovom slučaju naoko izgleda ali ne mogu potvrditi
jer login nije uspio, radi samo o pristupu dokumentaciji koja
objašnjava kako stvoriti i uploadati ispravne XML-ove - zašto se
uopće traži login za takvu vrstu podataka? Po definiciji, obrasci i
formati koje FINA traži od svojih korisnika su javni i nema nikakve
prednosti u traženju logina prije pristupanju.
- Invalidni certifikat na serveru čija adresa je dana "tetama u
računovodstvu" u službenom dopisu, pogotovo ovakav certifikat koji
je očito pripadao računalu u Intranetu govori o nepostojanju ili
nefunkcioniranju internog change managementa u FINA-i. Ne znam za
sigurno, ali izgleda kao da nisu promišljene implikacije izdvajanja
računala iz Intraneta van.
- Slanje usernamea i passworda za korisnika (ostavimo po strani da su
oba poslana u istom e-mailu bez enkripcije, iako FINA ima, doduše
rudimentarni i polu-radeći, sustav PKI autorizacije s tokenima
i karticama) koji nisu ispravni upućuju da je dotičan account
otvoren od strane osobe koja možda ne zna što radi, ili je ta osoba
dala otvaranje accounta kao zadatak nakom drugom i poslala mail
korisniku prije nego što je account zapravo otvoren. Ponovno, ovo
upućuje na organizacijski kaos, nepostojanje ticket trackera ili
drugog načina sistematskog praćenja i rješavanja korisničkih upita
na razini institucije.
Ne znam, jednostavno ne znam što više da kažem. Apsolutno sam siguran da
sve ovo pišem posve bez efekta i da će se ista stvar ponavljati i dalje
do neke radikalne promjene.