Registr vozidel: Ještě se máme na co těšit

S každým novým vyjádřením úředníků ministerstva dopravy (MD) i samotného ministra počet otazníků kolem nového registru vozidel vzrůstá, místo aby se snižoval. Ministerstvo v podstatě vystupuje jako dopravní sekce firmy ATS-Telcom a ne jako zadavatel a investor, který řádně pečuje o majetek, který jsme mu svěřili.

Je pravda, že tu vystupují problémy technického rázu, ale při dávce dobré vůle je lze vysvětlit tak, aby tomu všichni rozuměli. Situaci při spuštění registru jsme již popsali, další střípky do mozaiky uvádíme nyní.

Jako při stavbě domu

Z úst ministerských úředníků stále slyšíme, že při spouštění každého nového informačního systému se ukážou problémy, které nelze předvídat a zjistit během testování, a že je tudíž všechno úplně normální. Mlha z hor. ICT Unie (ICTU), která sdružuje firmy podnikající v oboru IT a elektronických komunikací, vydala prohlášení, v němž jasně jmenuje příčiny tohoto selhání – zanedbání základních zásad při vytváření tohoto informačního systému. Žádný z problémů, kterých jsme byli svědky, není nový a branže už se naučila, jak jim předcházet.

Některé firmy si tohoto vývoje bohužel nejsou vědomy. ICTU dokonce před časem vydala dokument Stavíme informační systém, kde jednoduchou a nenáročnou formou, vhodnou zejména pro ministerské úředníky, a pomocí paralely se stavbou domu popisuje, co je potřeba udělat, aby výsledný systém fungoval. Před zahájením projektu je třeba zejména:

• Určit osoby, které budou zastupovat jednotlivé role na straně zadavatele, například architekt, investor, projektový manažer (zadavatelský dohled) a zadavatel.
• Vypracovat dokumenty nutné pro zdárný průběh projektu, zejména zadávací dokumentaci, která obsahuje mimo jiné prováděcí projekt (detailní analýza funkcí a architektury systému, tedy co všechno má systém dělat a jak má vypadat) a technickou specifikaci řešení (použité technologie, například webový informační systém založený na centrální databázi, se kterou komunikují klienti pomocí standardních webových prohlížečů). Kromě toho také popsat, jak se bude průběžně kontrolovat kvalita jednotlivých částí i celého systému a připravit podklady pro úspěšnou „kolaudaci“ hotového systému.

Během projektu je pak třeba vykonávat permanentní „stavební dozor“ a vést o něm dokumentaci. Při dodržení těchto zásad je zaručené, že se na zásadní chyby přijde včas a bude možné na ně reagovat. Chyby při ostrém spuštění není samozřejmě možné nikdy stoprocentně vyloučit, ale to, co nastalo po spuštění registru vozidel, by takto nikdy nemohlo přijít:

• nefunkční tiskárny,
• zablokování systému při opakovaném zadání nesprávných hesel,
• nevyhovující hardware,
• chybějící indexy v databázi,
• přetížení systému dotazy,
• nedostatečně vyškolená obsluha.

Důvody nám budou jasné z vyjádření ministerstva, že „zadávací dokumentace nebyla vytvořena“. K tomu už není co dodat, tady udělali „soudruzi“ z MD opravdu chybu.

Firma ATS-Telcom přitom tvrdí, že systém byl dostatečně a za přítomnosti úředníků ministerstva testován, náměstek Miroslav Drobný ovšem toto tvrzení popírá. Že k testování podle doporučení ICTU nedošlo, je zřejmé z výpadků při ostrém provozu.

Funguje registr, nebo ne?

Ve středečních Událostech a komentářích České televize vystoupil Martin Tůma, obchodní ředitel firmy ATS-Telcom s překvapivým tvrzením, že jejich aplikace funguje. To, že úředníci dopravních inspektorátů zjevně nemohou některé zákazníky obsloužit vůbec a z ostatních jen podstatně méně než ve starém registru, je podle něj záležitost, která nemá s funkcí jejich aplikace nic společného. Zajímavé je to, že může mít i pravdu – kritéria pro funkčnost aplikace má stanovit zadavatel a ten, protože žádnou zadávací dokumentaci nevytvořil, nemůže na ni ani poukázat, a doložit tak, že požadované funkce nebyly splněny.

Jak to, že nový registr potřebuje více „transakcí“ na obsloužení jednoho zákaznického požadavku než ten předchozí?ATS-Telcom tedy může beze všeho tvrdit, že dokud jejich „aplikace“, to jest serverový program, který běží v centrálním počítači (pevně doufáme, že těchto počítačů je víc a že je systém jištěn proti výpadku hardwaru), pracuje a obsluhuje alespoň nějaké dotazy, pak je celý registr funkční a za výpadek mohou buď provozovatelé externích registrů nebo obsluhující úředníci.

Ještě se u tohoto tvrzení zastavíme. Funkci systému dokládá ATS-Telcom a její neoficiální pobočka – ministerstvo dopravy – počtem „transakcí“, které systém obsluhuje. Problémy posledních dní vysvětluje výpadky policejního registru, jenž údajně nesnesl zatížení, které na něj vyvinul (zjevně tedy naprosto funkční) nový centrální registr vozidel. Když si ale dáme dohromady útržky informací z různých zdrojů, musíme se ptát:

• Jak to, že nový registr potřebuje více „transakcí“, ať už je tím slovem míněno cokoli, na obsloužení jednoho zákaznického požadavku, než tomu bylo u starého registru? Nový systém totiž evidentně obslouží méně zákazníků, ale přitom k tomu potřebuje více těchto „transakcí“. Nedělá se tam něco zbytečně? A byl tento nadbytečný počet transakcí také započítán do požadované zatížitelnosti systému?
• Stejná úvaha nás vede k tomu, že jestliže policejní registr dříve zvládl obsloužit větší počet zákazníků, aniž by kolaboval, a dnes je přetížen už při zlomku nominálního zatížení, zřejmě dochází k nějakým nadbytečným dotazům. A stejně tak asi nebylo toto nadbytečné zatížení započítáno do požadavků na rozhraní nového registru.

Milion chybných dat

Novým šlágrem ministerstva je údajný milion chybných dat v registru. Tím se také vysvětluje, proč je nový systém pomalejší, musí se přece ta chybná data opravovat. Jak to konkrétně vypadá, si můžete přečíst zde.

Tato informace přišla z čistého nebe, nebo spíše z čisté mlhy MD, bez dalšího vysvětlení, jestli je nová nebo jestli ten milion zahrnuje také oněch 800 000 nekonzistentních dat, o kterých už byla řeč dřív. Ministerstvo vnitra přitom popírá, že by v době, kdy oni provozovali registr, byla chybovost dat v řádech desítek procent, mluví pouze o promilích. Tomu by odpovídalo pár desítek tisíc chybných dat (už i to nám popravdě řečeno připadá dost). Chyby v datech se tam podle nich dostaly při přesunu dat z okresních databází do centrálního registru. Zkusme si přiblížit, co se asi ve skutečnosti dělo:

• Ve starém registru měl každý okres (ORP) vlastní databázi, kam se všechny změny ukládaly. Když se vlastník vozidla přestěhoval jinam, asi tam byl založen nový záznam, který s původním neměl nic společného.
• Protože okresní databáze spolu nekomunikovaly, mohlo se klidně stát, že záznamy, které popisovaly stejné vozidlo, se lišily – jeden z úředníků mohl nějakou kolonku vyplnit chybně nebo jen trochu jinak než druhý.
• Nový registr je založen na centrální databázi, která vždy obsahuje údaje o všech vozidlech. Každé vozidlo je tam tedy zastoupeno jen jednou.
• Před spuštěním nového registru bylo třeba data ze všech detašovaných pracovišť ORP zkopírovat do jedné centrální databáze. První problém: jak se pozná, že jde o stejné vozidlo? Nová auta mají jednoznačný VIN kód, ale co když bude někde vyplněn špatně (mně se to stalo). Starší vozidla nemají VIN vůbec. Z toho, že se nedaří registrovat historická vozidla, lze usoudit, že tu asi nějaké problémy při kopírování nastaly.
• Další problém: když už je například z VIN kódu jasné, že je to stejné vozidlo, ale má dva nebo víc záznamů, které se v něčem liší – objem motoru, povolené zatížení, cokoli, co najdete ve velkém technickém průkazu –, co pak? Buď do nové databáze zapíšeme jen nejnovější záznam a budeme v podstatě pracovat tak, jako starý registr (to se jeví jako nejschůdnější řešení, takže asi nebylo zvoleno, jinak by systém nebyl chybovým milionářem), nebo budeme do centrální databáze kopírovat jednotlivé místní databáze v libovolném pořadí a záznamy stejných vozidel se prostě přepíšou.

Správné řešení by samozřejmě bylo zapsání nekonzistentních dat do jiné databáze, vyřešení nekonzistence, a poté zanesení vyčištěných dat do centrálního registru. Na to jsou zavedené postupy, velkou část dat lze po předběžné analýze opravit automaticky, zbytek je nutno prohlédnout detailně a nakonec zbudou data, která opravit nejdou a nikdo neví, co s nimi. Těch by ale mělo být jen několik.

Tato takzvaná migrace dat je přitom logistický oříšek: z výše uvedeného je vidět, že může trvat i dost dlouho, třeba několik týdnů, přitom během ní nemůže registr fungovat, jinak by se databázovým specialistům měnila při migraci data pod rukama.

Má vůbec ministerstvo dopravy všechna práva na vytvořenou aplikaci a kompletní zdrojový kód?Lze to řešit například dvoufázovou migrací: systém se na okamžik zastaví (řádově minuty) a data se zkopírují ze všech lokálních databází do pracovních kopií. Pak se systém opět zprovozní s tím, že všechny změny provedené od tohoto okamžiku až do konečného zastavení starého registru se budou migrovat zvlášť, ale všechna zkopírovaná data, kterých je řádově víc, se mohou bez potíží migrovat tak dlouho, jak to bude potřeba. Tento postup má také tu výhodu, že se ještě před spuštěním nového registru vytvoří věrný obraz nové databáze s téměř ostrými daty a lze ji použít jak na funkční, tak na zátěžové testy. Vzhledem k tomu, že k testování byla podle slov úředníků použitá databáze s dvaceti záznamy, asi tento postup zvolen nebyl.

A už jen na okraj otázka: Má ministerstvo dopravy všechna práva na vytvořenou aplikaci a kompletní zdrojový kód? Z minulých zkušeností by nepřekvapilo, kdyby tomu tak nebylo, a ministerstvo tedy nemohlo s aplikací nakládat podle vlastního uvážení i bez zhotovitelské firmy.

Vyřadit systém z provozu může kdokoli

Ministr slíbil, že odstoupí, když v pátek registr nebude fungovat. U tohoto prohlášení se musíme zastavit. Za prvé je dobré si uvědomit, že pátek není na registru úřední den. V podstatě se tak nemůže stát, že by z registru nějaký zákazník vůbec mohl odejít, aniž by byl obsloužen, on totiž ani nemůže přijít. Určitě se najde řada aktivních ORP, která zavedou mimořádnou úřední dobu i v pátek, ale celkové zatížení registru bude určitě menší než ve čtvrtek, kdy systém fungoval normálně.

Nový centrální registr je kupodivu veřejně přístupný na internetuMinistrovo prohlášení je ovšem třeba vnímat jako neustálý Damoklův meč – jakmile kdykoli potom registr zkolabuje nebo jen nebude schopen zákazníka obsloužit, musí ministr odstoupit, protože registr nebude 100procentně funkční.

Ministr Pavel Dobeš ovšem doslova položil hlavu na špalek z jiného důvodu: Nový centrální registr je kupodivu veřejně přístupný na internetu: https://crv.mdcr.cz/Account/LogOn. Kdokoli, kdo zná heslo, se může přihlásit. A kdo heslo nezná, může přesto systém vyřadit z provozu!

Takzvaný denial of service (DoS) útok, který spočívá v tom, že se na danou adresu pošle tolik požadavků, že postižený systém v lepším případě není schopen zpracovávat všechny legální požadavky a v horším rovnou zkolabuje, může spustit každý, kdo zná příslušnou adresu. Buď s partou kamarádů spustí v pátek ráno jednoduchý skript, nebo rovnou pověří profesionály se sítí zavirovaných počítačů, kteří to na zakázku provedou. A firma, která jim to umožňuje, má teď zajišťovat kyberbezpečnost na ministerstvu obrany... Máme se na co těšit.

Dění kolem centrálního registru vozidel jsme věnovali v těchto článcích:

• Registr vozidel rychle zkolaboval a prožíváme déja vu. Inspiroval se ministr Dobeš u Drábka?
• Nový registr vozidel pokračuje. Navzdory problémům.
• Kolaps registru vozidel: Jestli ani tohle není na odstoupení ministra...
• Epizody z komedie jménem centrální registr vozidel
• Nahradí Kamil Jankovský ministra dopravy Dobeše?