أثيرت مخاوف بشأن صفقة السحابة الضخمة التي أبرمتها وزارة الداخلية بقيمة 450 مليون جنيه إسترليني مع AWS
يثير عقد الاستضافة السحابية العامة الضخم الذي أبرمته وزارة الداخلية بقيمة 450 مليون جنيه إسترليني مع Amazon Web Services (AWS) قلق مراقبي السوق في القطاع العام مع ظهور المزيد من التفاصيل حول محتوى العقد وكيفية ترتيبه.
بدأ العقد لمدة ثلاث سنوات يوم الجمعة 1 ديسمبر 2023، وأكدت نسخة منقحة من عقد إلغاء الصفقة المؤلف من 114 صفحة أنه تم تم ترتيبها من خلال إطار مشتريات G-Cloud الحكومي طويل الأمد، مع استفادة وزارة الداخلية من الأسعار التفضيلية من AWS.
وحتى مع أخذ هذه الخصومات في الاعتبار، فإن الحقيقة هي أن هذا العقد – وهو الأحدث في سلسلة من الصفقات السحابية بين وزارة الداخلية وAWS – يمثل جزءًا كبيرًا من التغيير.
أوين سايرز هو شريك رئيسي في شركة Secon Solutions الاستشارية لأمن تكنولوجيا المعلومات ويتمتع بخبرة تزيد عن 20 عامًا في تقديم أنظمة الشرطة الوطنية، ووصف عقد وزارة الداخلية بأنه “غير مسبوق على الإطلاق وكبير بشكل مذهل”.
وقال لـ Computer Weekly: “تُظهر أرقام مكتب مجلس الوزراء أن AWS تلقت 840 مليون جنيه إسترليني من العقود منذ بدء G-Cloud، مما يعني أن جائزة وزارة الداخلية هذه البالغة 450 مليون جنيه إسترليني تزيد عن نصف هذه القيمة مرة أخرى في عقد واحد مدته ثلاث سنوات”. “من الصعب للغاية أن نرى كيف يمكن تبرير ذلك أو كيف يمثل قيمة جيدة لدافعي الضرائب”.
إن القيمة العالية للعقد ليست العنصر الوحيد الذي جذب الانتباه، حيث يوجد فيه بند ينص على أنه لا يحق لوزارة الداخلية فحص موظفي AWS الذين يعملون في المشروع – كما أنه ليس لها الحق في التدقيق أو فحص البنية التحتية لمركز بيانات AWS المستخدمة لاستضافة أنظمتها.
“[The] يمكن للمشتري أن يطلب (حيثما ينطبق ذلك بموجب اتفاقية عدم الإفصاح) تقرير تدقيق مستقل فيما يتعلق بعمليات البنية التحتية المادية للمورد،” حسبما جاء في مستند الاستدعاء الخاص بالعقد.
وفقًا لمصدر يتمتع بمعرفة عملية وثيقة بالعقود السحابية، فإن هذه الصياغة “قياسية” في عقود أمازون السحابية، ولكنها شرط “غير عادي حقًا” يمكن رؤيته ضمن عقد القطاع العام.
ما يجعل الافتقار إلى التدقيق وفحص البنية التحتية أكثر إثارة للدهشة هو أن وزارة الداخلية، في دورها كإدارة وزارية مسؤولة عن الهجرة والأمن والشرطة في إنجلترا وويلز، من المحتمل أن تتعامل مع بيانات وأعباء عمل حساسة للغاية. كما أنها تنفق ما يقرب من نصف مليار جنيه إسترليني على إعداد سحابي ليس لها أي إشراف عليه بشكل أساسي.
“لقد تنازلت وزارة الداخلية ببساطة عن جميع الالتزامات المتعلقة بفحص موظفي AWS، وبعضها [these checks] وقال سايرز: “إنها مطلوبة بموجب القانون، لذلك لا أعتقد أنهم يستطيعون فعل ذلك بشكل واقعي – ومن المربك للغاية سبب شعورهم بالحاجة إلى القيام بذلك”.
طلبت مجلة Computer Weekly من وزارة الداخلية الرد على هذه النقطة، لكن الوزارة لم تتناول السؤال بشكل مباشر في ردها.
ونظرًا لحساسية البيانات التي تتعامل معها وزارة الداخلية، أضاف سايرز أنه لا ينبغي للوزارة أن تظل صامتة بشأن هذا الموضوع.
“[The] وأضاف: “يجب أن تكون وزارة الداخلية شفافة بشأن سبب شعورهم بعدم الحاجة إلى إجراء تدقيق لموظفي AWS الذين يعالجون بياناتهم، والتي تتضمن بعض المواد الحساسة للغاية بالفعل”.
ما يجعل الوضع أكثر إرباكًا هو حقيقة أن قائمة أمازون في الإصدار الأخير من إطار عمل G-Cloud تنص على أن الشركة يمكنها تلبية قواعد الممارسة BS7858:2019، وهو معيار بريطاني يسمح لأصحاب العمل بفحص موظفي الأمن قبل تابع سايرز، استخدمهم. لكن عقد وزارة الداخلية يعني أنه ليس لديها وسيلة للتحقق من ذلك.
ومن الجدير بالذكر أيضًا، كما قال سايرز، أن الملاحظات التوضيحية الخاصة بإرشادات الأمن السحابي الصادرة عن المركز الوطني للأمن السيبراني تحذر من أن بعض موفري الخدمات السحابية قد لا يكونون على استعداد لإجراء فحوصات فحص الموظفين.
“إنه [also] وأضاف: “من المحتمل جدًا أن يكون تنازل وزارة الداخلية عن التدقيق يعكس حقًا الوضع الحقيقي للمسؤولين والمهندسين الموزعين عالميًا في AWS”.
حجم العقد المثير للجدل
وبالعودة إلى حجم الصفقة، فهي أكبر صفقة يتم إجراؤها حتى الآن بين AWS ووزارة الداخلية، وفقًا لبيانات الفاتورة التي تمت مشاركتها مع كمبيوتر ويكلي من قبل دار التحليل التي تركز على القطاع العام Tussell.
تظهر بياناتها أن حجم الأموال التي أنفقتها وزارة الداخلية مع AWS ارتفع بشكل ملحوظ بشكل عام من 874.691 جنيه إسترليني في عام 2016 إلى 64.4 مليون جنيه إسترليني في عام 2023 حتى الآن، على الرغم من أن إنفاق الوزارة للعام بأكمله بلغ 65.9 مليون جنيه إسترليني في عام 2022.
يشير تاريخ بدء العقد إلى أنه كذلك إنه تجديد فعال لصفقة الاستضافة السحابية العامة طويلة الأمد التي أبرمها الطرفان منذ عدة سنوات، نظرًا لأن عقد الاستضافة السحابية السابق من المقرر أن ينتهي في 11 ديسمبر 2023.
وقدرت قيمة هذه الصفقة بحوالي 120 مليون جنيه إسترليني، ومن المقرر أن يزيد عقد الاستبدال بأكثر من أربعة أضعاف قيمته البالغة 450 مليون جنيه إسترليني، لكن لا يزال من غير الواضح سبب توقع ارتفاع تكاليف السحابة للإدارة بشكل كبير في السنوات القادمة.
تفهم شركة Computer Weekly من مصدر حكومي أن قيمة العقد مخصصة لـ “الإنفاق غير الملتزم به” وسيتم تحديد التكاليف النهائية من خلال الاستخدام الفعلي لوزارة الداخلية لـ AWS خلال هذه الفترة، في حين أن العقد نفسه يمثل في الأساس قيمة تقديرية في هذه المرحلة .
عندما سألت شركة Computer Weekly وزارة الداخلية عن سبب توقع ارتفاع تكاليف السحابة واستخدامها خلال فترة العقد، لم يجب ممثل الوزارة بشكل مباشر على السؤال في ردها.
توفر قائمة الصفقة على بوابة Contract Finder التابعة للحكومة أيضًا فكرة قليلة أو معدومة حول هذه النقطة، حيث تنص ببساطة على أنه تم تكليف AWS بتقديم خدمات استضافة سحابية عامة إلى القسم. وهذا مطابق تقريبًا لما ورد في قائمة الإصدار السابق من الصفقة.
تؤكد نسخة منقحة من عقد الاستدعاء أن وزارة الداخلية تجني فوائد صفقة التسعير التفضيلية التي تم تجديدها مؤخرًا والتي أبرمتها AWS مع حكومة المملكة المتحدة. المعروفة باسم اتفاقية قيمة الحكومة الواحدة (OGVA).
يعد عقد وزارة الداخلية هو الأول الذي يتم توقيعه بموجب اتفاقية OGVA 2.0، والتي تشرف عليها ذراع المشتريات الحكومية، وهي Crown Commercial Service (CCS).
انتهت صلاحية التكرار الأول لنظام تسعير خصم الإنفاق الملتزم هذا في أكتوبر 2023، وزود الهيئات العامة بخصومات على المستوى الأساسي بنسبة 18%، مع خصومات إضافية بنسبة 2% مقدمة للمشترين الذين دفعوا مقابل خدماتهم مقدمًا وبالكامل.
في وقت كتابة هذا التقرير، لم يكن من المعروف ما هو مستوى الخصم الذي ستستفيد منه وزارة الداخلية بموجب OGVA 2.0، لكن متحدثًا باسم CCS قال لـ Computer Weekly إنها “تتوقع [the] الفوائد التجارية… لعملاء القطاع العام في OGVA 2.0 [will be] “يتجاوز بكثير” تلك التي تم تسليمها من خلال الاتفاقية الأصلية.
وأضاف متحدث باسم CCS: “تتضمن الاتفاقية الجديدة بين AWS وCCS هيكل خصم جديدًا يجعل الأسعار المنخفضة متاحة لجميع هيئات القطاع العام مباشرةً من خلال AWS أو عبر موفري الحلول المرخصين، بغض النظر عن حجمهم أو حجم الطلب”.
الأسئلة المطروحة حول استخدام الإطار
في حين تم ترتيب صفقة وزارة الداخلية بموجب شروط اتفاقية OGVA 2.0، فقد تم طرح أسئلة حول سبب إلغائها بموجب إطار G-Cloud الحكومي طويل الأمد والذي يركز على الشركات الصغيرة والمتوسطة بدلاً من أي إصدار من الإصدار الأكثر توجهاً نحو النطاق الواسع إطار الحوسبة السحابية.
كما ذكرت مجلة Computer Weekly سابقًا، تم إنشاء أطر عمل الحوسبة السحابية لثني إدارات الحكومة المركزية عن استخدامها G-Cloud ستمنح عقودًا واسعة النطاق وعالية القيمة مباشرةً لشركات السحابة واسعة النطاق مثل AWS لأن هذا يعتبر إساءة استخدام للغرض الأصلي لـ G-Cloud.
ولهذا السبب، صرح نيكي ستيوارت، الرئيس السابق لتكنولوجيا المعلومات والاتصالات في مكتب مجلس الوزراء التابع لحكومة المملكة المتحدة، لموقع Computer Weekly أن قرار وزارة الداخلية باستخدام G-Cloud لترتيب هذا العقد عالي القيمة يقوض بشكل كبير جهود الحكومة لوضع المزيد من الأعمال من خلال Cloud Compute .
“مع العقود عالية القيمة التي تهدف إلى المرور عبر Cloud Compute 2، فمن المفاجئ أن العقد الأول [under OGVA 2.0] قال ستيوارت: “تم التعامل معها بموجب G-Cloud – خاصة وأن هذا الإصدار الأخير من عقد وزارة الداخلية قد تضاعفت قيمته أربع مرات تقريبًا منذ التكرار السابق الذي تبلغ قيمته 120 مليون جنيه إسترليني”.
للسياق، تم إلغاء العقد الأخير بين وزارة الداخلية وAWS بموجب 13ذ تكرار إطار عمل G-Cloud للقطاع العام، وتشكل صفقة وزارة الداخلية بقيمة 450 مليون جنيه إسترليني ما يقرب من 50% من إجمالي الإنفاق السابق الذي تراكمت عليه AWS سابقًا من خلال اتفاقية الشراء هذه منذ أن بدأت في عام 2012.
تعد AWS أكبر مورد لـ G-Cloud من حيث مقدار إنفاق القطاع العام، ووزارة الداخلية هي الوزارة الحكومية التي أنفقت أكبر قدر من خلال الإطار حتى الآن، حيث تجاوزت المشتريات 1.8 مليار جنيه إسترليني.
“سيكون من المثير للاهتمام معرفة ما إذا كانت جميع عقود OGVA 2.0 قد تم التعامل معها أيضًا بموجب G-Cloud 13 وما إذا كانت جميعها ستشهد ارتفاعات مماثلة في القيمة. وأضاف ستيوارت: إذا كان الأمر كذلك، فسيؤدي ذلك إلى تقويض Cloud Compute 2 بشكل أكبر.
سألت شركة Computer Weekly وزارة الداخلية عن سبب اختيارها لاستخدام G-Cloud بدلاً من Cloud Compute 2 في عملية الشراء هذه، لكن الوزارة رفضت الإجابة على السؤال في ردها على Computer Weekly.
ومع ذلك، يعتقد سايرز من Secon Solutions أن الإجابة على سبب تفضيل G-Cloud لهذا الشراء على أي من إصداري إطار عمل Cloud Compute تتعلق بشرط “عدم التدقيق” في العقد.
قال سايرز: “لقد سمحت لهم وزارة الداخلية بعدم تطبيق أي تدقيق على الإطلاق – وهذا غير مسموح به بموجب Cloud Compute 1 أو Cloud Compute أو بموجب سياسة حكومة صاحبة الجلالة”. “ببساطة، لم يكن من الممكن منح عقد وزارة الداخلية بموجب شروط Cloud Compute 1 أو Cloud Compute 2.”
وذلك لأن كلا الإصدارين من إطار عمل الحوسبة السحابية يصران على أن الموردين الحكوميين لديهم تصريح بمعايير أمان الموظفين الأساسية (BPSS) كحد أدنى، مع نص السياسة على أن “جميع موظفي الموردين يجب أن يخضعوا لفحص ما قبل التوظيف” قبل مشاركتهم في تقديم خدمة للقسم.
“إن متطلبات التدقيق الأمني موجودة في Cloud Compute، وتتكرر في إطار عمل Cloud Compute 2 الجديد. كلاهما يتوافق مع سياسة حكومة جلالة الملك فيما يتعلق بـ BPSS كحد أدنى، وفحص أعلى عندما يطلب العميل ذلك.
“وبالتالي، لم يكن بوسع وزارة الداخلية إظهار مثل هذا القدر من التدقيق إذا منحت هذا العقد لشركة AWS بموجب Cloud Compute 2 الممنوحة حديثًا.”
تشير نظرة خاطفة على قوائم G-Cloud 13 لبعض خدمات أمازون السحابية في السوق الرقمية إلى أن موظفيها يتوافقون بالفعل مع المعايير البريطانية التي تساعد أصحاب العمل على فحص موظفي الأمن قبل توظيفهم.
وينص أيضًا على أن موظفي AWS خضعوا “لتدقيق متطور”، مما يسمح لهم “بالوصول بشكل كبير” إلى الأصول السرية للغاية وتنفيذ العمل لصالح وكالات الأمن والاستخبارات.
إن الطريقة التي تمت بها صياغة عقد وزارة الداخلية تعني أنه سيتعين على الإدارة ببساطة أن تأخذ كلام AWS بأن موظفيها قادرون على التعامل مع بياناتها وأعباء العمل بأمان وأمان.
وتابع سايرز: “ليس من الواضح حقًا كيف ستتمكن وزارة الداخلية من اختبار وضمان أي خدمات تنشرها على AWS بموجب هذا العقد”. “سيحتاجون فعليًا إلى أخذ كل ما تخبرهم به AWS على محمل الثقة. لست متأكدًا من أن هذا نهج حكيم لأي مقدم خدمة حكومي ولم أر هذا من قبل”.
