Napisane przez mediologia dnia . Wysłane Polityka.

Koniec informatyzacji III Rzeczpospolitej

W ostatnim numerze tygodnika „ComputerWorld” ukazał się artykuł Michała Tabora, autora rozwiązania profilu zaufania, który miał gwarantować bezpieczny i szybki dostęp do Elektronicznej Platformy Usług Administracji Państwowej (ePUAP). Artykuł powinien wstrząsnąć urzędnikami Ministerstwa Cyfryzacji i Administracji a przede wszystkim ministrem Bonim, ponieważ autor stwierdza – bez ogródek - , cytuję :

 

„Jestem autorem rozwiązania profilu zaufanego, ale, niestety, nie miałem możliwości nadzorować jego wdrożenia w systemie Elektronicznej Platformy Usług Administracji Państwowej (ePUAP), a z pierwotnej koncepcji zrealizowano tylko część. Przede wszystkim nie wdrożono mechanizmów bezpieczeństwa. Rozwiązanie nie ma również właściciela biznesowego, co powoduje, że nikt kwestii bezpieczeństwa nie kontroluje. Wobec tego muszę z przykrością stwierdzić, że nie używam profilu zaufanego ePUAP, nigdy go nie założyłem i odradzam jego stosowanie.”.

Pytanie jakie każdy czytelnik sobie stawia brzmi : co skłoniło M.Tabora do tego typu oświadczenia? Zanim podam moja interpretację tego oświadczenia wybitnego informatyka, które do dzisiaj nie jest skomentowane ani jednym słowem przez ministra Boniego – co jest swoistym skandalem – zacytuje dłuższy fragment artykułu :

"Profil zaufany ePUAP jest dzisiaj jedynym ogólnopolskim i darmowym mechanizmem uwierzytelniania w procesach dokumentowych. Warto więc wskazać główne mankamenty tego rozwiązania. Całość profilu zaufanego jest zaszyta w systemie w całości kontrolowanym i utrzymywanym przez zewnętrzną firmę - pozostającą w zakresie bezpieczeństwa poza kontrolą administracji publicznej. O ile mi wiadomo, nigdy nie przeprowadzono kompletnego audytu rozwiązania, a Centrum Projektów Informatycznych nie ma realnej kontroli nad działaniem systemu. Brak mechanizmów bezpieczeństwa w sferze organizacyjnej skutkuje brakiem zobowiązań firmy utrzymującej profil zaufany.

Profil zaufany jest obecnie mechanizmem opartym tylko na haśle i kontroli nad podpisami przez skrzynkę elektroniczną użytkownika./…/ W założeniach proces złożenia podpisu potwierdzonego profilem zaufanym miał wykorzystywać różne techniki uwierzytelnienia użytkowników. Jednym z głównych mechanizmów pozwalających na bezpieczne korzystanie z zaawansowanych funkcji profilu zaufanego miał być elektroniczny dowód osobisty. Nie można bowiem oprzeć narodowego mechanizmu uwierzytelniania obywateli tylko na znajdujących się poza czyjąkolwiek kontrolą zabezpieczeniach skrzynek pocztowych użytkowników. Rosnące ryzyko nieuprawnionego wykorzystania wymaga zastosowania bardziej zaawansowanych mechanizmów, opartych na karcie, tokenie, biometrii lub hasłach jednorazowych.

Dopóki profil zaufany jest mechanizmem potwierdzania autentyczności pism, gdzie ryzyko jest niewielkie, dopóty możemy używać go w obecnej postaci. Jeżeli natomiast - jak wskazuje rząd w swoich oficjalnych komunikatach - ma być podstawą określania tożsamości obywatela w sieci, to ryzyko zaczyna być poważne. Zarówno dla samego użytkownika, jak i usług świadczonych przez internet.


Brak zarządzania bezpieczeństwem informacji, analizy ryzyka i adekwatnych zabezpieczeń profilu zaufanego może doprowadzić do poważnego naruszenia zaufania wobec mechanizmów usług elektronicznych, a co za tym idzie, do kompromitacji obecnej i przyszłej cyfryzacji państwa. Przy wykorzystaniu profilu w obecnym kształcie nie można dać dostępu do danych rejestrowych, medycznych czy wypełnionych deklaracji podatkowych, ponieważ zagrożenia z tytułu naruszenia profilu zaufanego mają poważne konsekwencje, w szczególności w kategoriach utraty prywatności lub naruszenia dóbr materialnych.

Elektroniczny dowód osobisty pl.ID miał dawać mechanizmy uwierzytelniania dla obywateli, przedsiębiorców i samej administracji. Niezrozumiałe jest zatem dla mnie, dlaczego zrezygnowano z pl.ID - mechanizmu, który mógł doprowadzić do tego, że usługi skupiałyby się wokół jednej tożsamości, tej, dostarczonej przez dowód osobisty. Wtedy doszłoby do naturalnej integracji rejestrów. Minister Administracji i Cyfryzacji powtarza błędną tezę, że do wydania dowodu osobistego potrzebna jest integracja rejestrów. To integracja rejestrów miała być osiągnięta przez wdrożenie jednego mechanizmu zarządzania tożsamością, a integracja bez takiego mechanizmu nie wiadomo jak miałaby być osiągnięta."

Tyle wyjaśnienia M. Tabora – w normalnym państwie po takim artykule nastąpiłaby natychmiastowa reakcja ministra odpowiedzialnego za realizację projektu e-pułap czyli – w tym wypadku – ministra Boniego. Niestety minister milczy, jest to tym dziwniejsze, że projekt e-pułap jest sztandarowym projektem administracji rządu Tuska i co ważniejsze podstawą planu „Polska 2.0”. Zwracam przy tym uwagę, że wielokrotnie na naszych łamach pisałem o największym mankamencie projektu „Polska 2.0” czyli całkowitym niezrozumieniem aktualnej ekipy problemu rejestrów w procesie informatyzacji administracji publicznej (to samo podkreśla w cytowanym powyżej artykule M. Tabor).

Przypomnę w tym kontekście pewien fakt : 2 maja br. Ministerstwo Administracji i Cyfryzacji opublikowało komunikat, którego fragmenty zacytuje :

„Ze względu na awarię weryfikacji danych w rejestrze PESEL nie funkcjonuje usługa umożliwiająca weryfikację danych /…/.Niedostępność usługi „Weryfikacja PESEL” uniemożliwia prawidłowe działanie /…/ na platformie ePUAP. W systemie ePUAP nie stwierdzono żadnych dodatkowych problemów technicznych poza awarią rejestru PESEL. Ministerstwo Administracji i Cyfryzacji jest w tej sprawie w stałym kontakcie z Ministerstwem Spraw Wewnętrznych.”.

Awarię usunięto po trzech dniach. W komunikacie niezwykle istotne jest zdanie : „”Ministerstwo Administracji i Cyfryzacji jest w tej sprawie w stałym kontakcie z Ministerstwem Spraw Wewnętrznych.”, które przypomina, że rejestry państwowe – po powołaniu do życia kilka miesięcy temu Ministerstwa Administracji i Cyfryzacji – pozostają nadal w gestii MSW.

Jak może minister Boni zarządzać informatyzacja administracji publicznej nie zarządzając jednocześnie rejestrami? Jak może kapitan statku nim sterować nie mając kontroli nad sterem? Awaria rejestru Pesel dowodzi niezbicie, ze powołanie Ministerstwa Administracji i Cyfryzacji czyli rozdzielenie działów administracji i informatyzacji od działu rejestrów państwowych doprowadziło w szybkim czasie do dalszej dezintegracji państwa polskiego. Miałem jednak nadzieję, że albo MSW albo MAiC w specjalnym komunikacie wyjaśni obywatelom dlaczego do awarii systemu e-pułap i Pesel doszło. Rzeczywiście Ministerstwo Administracji i Cyfryzacji ogłosiło komunikat 4 maja br., który zacytuję w całości : „ePUAP świadczy już usługę weryfikacji, zarówno na potrzeby Profilu Zaufanego, jak i CEIDG. - Artur Koziołek, rzecznik prasowy Ministerstwa Administracji i Cyfryzacji.”. I koniec ! Czegoś tak kuriozalnego jak ten komunikat nie czytałem już dawno – ani słowa o przyczynach awarii, ani słowa wyjaśnienia dlaczego do niej doszło i co zrobiono by tego typu awarie nie zdarzały się w przyszłości.


Artykuł M. Tabora oraz nieodległa w czasie awaria rejestru Pesel i systemu e-pułap powinna być jak najszybciej wyjaśniona przez urzędników MAiC.

Piotr Piętak