ZUS: oficjalne stanowisko
"W związku z informacjami prasowymi, jakie ukazały się w ostatnich dniach, a dotyczyły ujawnienia przez programistów z grupy "Janosik" zasad przekazywania przez program "Płatnik" danych do Zakładu Ubezpieczeń Społecznych, pragniemy przedstawić nasze stanowisko w tej sprawie". - ZUS wydało oficjalne stanowisko w sprawie Janosika.
W stanowisku ZUS czytamy:
Odpowiadając na liczne pytania kierowane do Zakładu, chcemy zapewnić płatników i ubezpieczonych, że opisane zdarzenie NIE NARUSZA BEZPIECZEŃSTWA DANYCH przekazywanych do ZUS drogą elektroniczną.
Zasady nowoczesnego szyfrowania nie wymuszają ochrony algorytmów kodowania, a tylko ten element, jak można sądzić, rozpoznali programiści. Oznacza to, iż wbrew wrażeniu wielu Czytelników Gazety, w rzeczywistości nie został złamany żaden szyfr. Zapoznając się z protokołem przesyłania dokumentów, programiści grupy "Janosik" mogli osobiście przekonać się, że został on oparty na uznanych standardach szyfrowania danych. W żadnym jednak wypadku nie uzyskali oni dostępu do danych przesyłanych za pomocą programu "Płatnik" do Zakładu Ubezpieczeń Społecznych.
Osobnego komentarza wymaga kwestia dopuszczenia do komunikacji elektronicznej z ZUS innych programów komputerowych. Udostępniany przez Zakład Ubezpieczeń Społecznych program komputerowy "Płatnik" zawiera mechanizmy do weryfikacji dokumentów ubezpieczeniowych, za zgodność, których z aktualnymi przepisami odpowiada Zakład. Dlatego też "Płatnik" jest narzędziem, które umożliwia eliminację błędów w dokumentach jeszcze przed wysłaniem ich do ZUS. Doświadczenia reformy ubezpieczeń społecznych pokazują, że brak takiej kontroli w połączeniu z ogromną ilością informacji gromadzonych co miesiąc przez Zakład, skutkuje znaczną liczbą błędów w rozliczeniach. Poprawienie ich wymaga prowadzenia postępowań wyjaśniających, czasochłonnych i kosztownych zarówno dla płatników jak i Zakładu. Dla uniknięcia powyższych problemów wprowadzono ustawowy obowiązek przekazywania danych wyłącznie za pośrednictwem programu informatycznego dostarczanego przez ZUS.
Zakład nie odrzuca dopuszczenia w przyszłości innych programów komputerowych do komunikacji elektronicznej. Ponieważ jednak przygotowywane za ich pomocą dane mogłyby zawierać dużą liczbę błędów, konieczne byłoby wprowadzenie w tych programach szczegółowej kontroli dokumentów. Wymagałoby to także od autorów tych programów bieżącego ich dostosowywania do wszelkich zachodzących zmian prawa. Użytkownicy tych programów powinni mieć również na uwadze, iż w przypadku, gdy będą one generowały błędy w dokumentach, powodujące opóźnienia w przekazywaniu składek do Otwartych Funduszy Emerytalnych, to z tego tytułu poniosą oni konsekwencje finansowe przewidziane ustawą o systemie ubezpieczeń społecznych.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
no, jakby rację mają.
no, jakby rację mają. Skoro ustalili, że spójność danych jest zabezpieczana client-side, to nieautoryzowana aplikacja kliencka może popsuć.
Osobną kwestią jest, czy nie powinni byli zdecydować się na weryfikowanie spójności po stronie serwera. Przecież mieliby dzięki temu lepszą kontrolę nad wersjami.