Published

Fri 17 October 2014

←Home

FINA i dalje u kaosu

Centralni obračun plaća (COP) je ponovno dobra ideja sa realizacijom koja je toliko loša da je doslovno moralni zločin. Ne znam da li samo ja tako razmišljam, ali doista ne bi mogao mirno spavati da znam da sam sudjelovao u izradi takvog užasa. Ali nema pomaka - što god pisao na ovom blogu, i što god novine pisale o tome što se događa u IT servisima državne uprave, (APIS je jednako kriv), isti ljudi u istim organizacijama na istim mjestima konstantno rade iste pogrešne stvari. Nema nam pomoći.

Već dulje vrijeme na Sveučilištu vlada panika jer treba prijeći na sustav centralnog obračuna plaća. Barem na FER-u, nije panika u tome da su podaci loši ili nešto radimo krivo nego je panika jednostavno jer FINA-ini sustavi koje su ljudi u tajništvu prisiljeni koristiti rade loše ili uopće ne rade. Tamo kao da ne postoji institucija arhitekta tehnologije ili razvoja, kao da se nove usluge rade potpuno bezveze i bez ikakvog uvida u širu sliku stvari. Danas je bila frka jer nije moguće prebaciti povijesne informacije o plaćama u COP. Problem je došao do mene i evo što sam saznao u tih oko sat vremena dok smo pokušavali išta napraviti (potpuno bezuspješno):

  • COP šalje osobama koje rade obračun plaće, “tetama u računovodstvu” informacije o XML-u i XML Shemama po kojima podatke trebaju unijeti (!)
  • Od muke, tete su počele učiti i direktno raditi s XML-om u Notepadu (!!!) Pošto SAP kojeg je u nekoj vjerojatnoj muljaži Sveučilište potpuno bespotrebno (s obzirom na stvarne potrebe) kupilo i čiji pilot-projekt je bio FER (ovo nije novost, radi se o potezu napravljenom prije puno godina) nije dobro prilagođen stalnim promjenama u računovodstvenoj praksi u zadnje vrijeme (JOPPD, COP), na tetama počiva da ručno modificiraju XML da sadrži ispravne podatke. Danas je trebalo od COP-a preuzeti definicije XML shema koje tete žele koristiti da u Notepadu pišu podatke za FINA-u.
  • Web s kojeg je tetama u službenom dopisu rečeno da preuzmu definicije XML shema je izgleda nekada bio dio Intraneta FINA-e, koristi Active Directory za login, te prima loginove prefiksirane s “INTRANET\”. Tetama je otvoren takav login oblika “INTRANET\username” i poslan password (naravno, mailom).
  • Kako je web bio dio Intraneta, a sada više nije (u uputama za tete piše hostname oblika server.fina.hr), HTTPS server još uvijek koristi stari certifikat, s hostnameom oblika server.intranet.fina.hr - što naravno znači da browseri tetama ne dozvoljavaju da se spoje jer je to invalidan certifikat za novo ime.
  • Na dotičnom webu sluša Microsoft ISA server iz 2006. godine.
  • Nismo se mogli spojiti na server s poslanim usernameom i passwordom - ili taj username još nije bio otvoren, ili je otvoren krivo, ili su nam poslani krivi podaci. Vidjeti ćemo što je od toga u ponedjeljak.
  • U mailu s ovim usernameom i passwordom je rečeno da za probleme odgovorimo na taj mail ili da nazovemo generički info telefon FINA-e. Nazvavši ovaj telefon, dočekao me je govorni automat s neupotrebljivim opcijama - koristi se terminologija koja se preklapa među opcijama i daleko je previše tehnička za krajnje korisnike. Kako sam predugo razmišljao koju točno opciju odabrati, dogodio se srećom timeout i došao sam automatski do žive osobe za razgovor, koja je, nakon što sam ispričao o čemu se radi ponovila riječ “XML” kao valjda keyword za koji se uhvatila, no nije mogla pomoći. Uzela je kontakt podatke i rekla da će nam se netko javiti. Nije nas mogla spojiti niti dati broj telefona od osobe koja je poslala mail s usernamom i passwordom. Vidjeti ćemo odgovor na mail u ponedjeljak…

Ne znam više koje riječi upotrijebiti za opisivanje koliko je sve ovo nabrojano gore pogrešno. Ako se ne bavite informatikom, ne znam, to je valjda kao da vam automehaničar ugradi novi motor koji je napravljen od drva i šperploče. Kao da vam majstor za vodoinstalacije ugradi cijev za kanalizaciju koja je sastavljena od većeg broja onih kartonskih cijevi koje ostanu od roli WC papira, povezanih izolir-trakom (ne zbog svojstava ljepljenja nego što misli da su bitna svojstva strujne izolacije te trake). Kao da vam dođe vatrogasac kad gori kuća i radi nešto suludo, na primjer gasi solnom kiselinom jer je čitao na Intranetu da netko tako radi. Neopisivo, strašno loše. Ono što sam do sada vidio od FINA-e izgleda kao da je netko slučajno načuo po knjigama i forumima pojmove kao što su certifikati, XML, web, login i slično i onda onako “po sluhu” pokušava sastaviti sustav koji mora funkcionirati 24/7.

No hajde da budem konstruktivan malo - inženjeri koji se stalno bune a ništa ne rade nisu dobri:

  • Kao što je za JOPPD moguć u web aplikaciji ePorezna “ručno” upisati sadržaj obrazac ili poslati XML, zašto isto ne bi bilo i u COP-u? Ili, općenito, kako FINA redovito stvara nove sheme XML-a za svoje potrebe, zašto se uz svaku shemu ne napravi web aplikacija koja nudi “ručni” unos podataka i onda samo download validnog XML-a iz tih podataka? (Mada, čuo sam glasine da FINA-ini sustavi redovito imaju greške u primanju XML-ova koje je FINA propisala i dokumentirala - sustavi i dokumentacija se ne slažu - što je opet problem managementa). Naravno, NE MISLIM da treba raditi novu aplikaciju ispočetka za svaku shemu, to treba napraviti jednom ali proširljivo, ili, puno bolje, ne izmišljati toplu vodu nego uzeto nešto gotovo).
  • Stvarati vanjskim korisnicima accounte na nečem što je Intranet ustanove nije naročito zdravo za informacijsku sigurnost te ustanove, osobito ovako kada se passwordi šalju e-mailom. Ovo izgleda kao rješenje “nabrzinu” jer je gorilo pod nogama da se nešto radi pa je to bio najlakši način. Same “tete u računovodstvu” vjerojatno nikada neće napraviti neki sigurnosni incident, no njihova računala su podložna virusima, bot-netovima, password snifferima i svim drugim posve uobičajenim sigurnosnim prijetnjama danas. Kako sada stvari stoje, FINA-u jednostavno neizbježno čeka napad koji će vjerojatno naoko doći s takvog accounta neke slučajne, ni-krive-ni-dužne osobe u računovodstvu neke državne organizacije.
  • Ako se, kao što u ovom slučaju naoko izgleda ali ne mogu potvrditi jer login nije uspio, radi samo o pristupu dokumentaciji koja objašnjava kako stvoriti i uploadati ispravne XML-ove - zašto se uopće traži login za takvu vrstu podataka? Po definiciji, obrasci i formati koje FINA traži od svojih korisnika su javni i nema nikakve prednosti u traženju logina prije pristupanju.
  • Invalidni certifikat na serveru čija adresa je dana “tetama u računovodstvu” u službenom dopisu, pogotovo ovakav certifikat koji je očito pripadao računalu u Intranetu govori o nepostojanju ili nefunkcioniranju internog change managementa u FINA-i. Ne znam za sigurno, ali izgleda kao da nisu promišljene implikacije izdvajanja računala iz Intraneta van.
  • Slanje usernamea i passworda za korisnika (ostavimo po strani da su oba poslana u istom e-mailu bez enkripcije, iako FINA ima, doduše rudimentarni i polu-radeći, sustav PKI autorizacije s tokenima i karticama) koji nisu ispravni upućuju da je dotičan account otvoren od strane osobe koja možda ne zna što radi, ili je ta osoba dala otvaranje accounta kao zadatak nakom drugom i poslala mail korisniku prije nego što je account zapravo otvoren. Ponovno, ovo upućuje na organizacijski kaos, nepostojanje ticket trackera ili drugog načina sistematskog praćenja i rješavanja korisničkih upita na razini institucije.

Ne znam, jednostavno ne znam što više da kažem. Apsolutno sam siguran da sve ovo pišem posve bez efekta i da će se ista stvar ponavljati i dalje do neke radikalne promjene.

Go Top
<< Avantura s reinstalacijom Windowsa na laptop | APIS i FINA - linkovi >>
comments powered by Disqus