(Tam, dadam dam daaaaam) Zaufany profil, tymczasowo, zamiast podpisu
Kiedy ludzie jeszcze nie otrząsnęli się w pełni z traumy 1 maja (skrzynka podawcza, ogłaszanie aktów normatywnych) rząd ma nowy pomysł na usprawnienie elektronicznej administracji. Jest nim... "zaufany profil". Zastępując niedziałający rynek podpisu elektronicznego rząd pragnie stworzyć "tymczasowe" rozwiązanie zmuszające obywateli do tego, by sami dawali władzy publicznej dane na swój temat, dane, które nie są tej władzy potrzebne. Myślę jednak, że to tylko "zasłona dymna", albo "próbny balon" (nawias w tytule tego tekstu proszę czytać organowo, wyobrażając sobie przeszywającą deszczowe, nocne niebo błyskawicę; na organach może grać Igor).
O "tymczasowym rozwiązaniu" (do czasu upowszechnienia się podpisu elektronicznego) pisze Gazeta.pl w tekście Hasło i login z urzędu zamiast e-podpisu. Padają tam słowa rzecznika Ministerstwa Spraw Wewnętrznych i Administracji, p. Wioletty Paprockiej:
Taki profil ma działać na platformie ePUAP i podobnie jak konto w serwisie internetowym - najpierw użytkownik musi się zarejestrować, podając swoje dane.
Potem czeka go wycieczka do urzędu - niestety nie wirtualna, lecz na własnych nogach. Za to tylko raz. Jak tłumaczy Paprocka, wizyta w urzędzie będzie potrzebna do zweryfikowania danych przez użytkownika. Na miejscu obywatel otrzyma hasło i login, za pomocą którego będzie mógł zgłosić przez internet np. wpis do ewidencji działalności gospodarczej, złożyć wniosek o wydanie paszportu czy odpisu aktu urodzenia.
Niepokoi mnie, że ktoś wpadł na pomysł, by tworzyć obywatelom profile na platformie ePUAP. Państwo nie powinno zbierać o obywatelach informacji, które nie są temu państwu potrzebne do realizacji jego podstawowych zadań. Takie zakładanie profili kojarzy mi się z zaproszeniem obywateli do tego, by się sami podsłuchiwali, zakładali na siebie teczki (brzmi demagogicznie, ale tym razem piszę to zupełnie bez emocji). Zresztą zastanawiam się jak szybko - patrząc na dotychczasowe dokonania ePUAP - dane gromadzone w takim systemie wyciekną i zaczniemy dostawać propozycje przedłużenia tego czy owego, ponieważ spamerzy (albo phisherzy) przejęli profile (podobnie jak w Wielkiej Brytanii po gigantycznym wycieku danych obywateli (por. Dyskusja po brytyjskich wyciekach danych), ale nie szukajmy daleko i nie szukajmy zbyt odlegle w czasie: Wyciek z Łodzi - już nikt nie pamięta, że dane "obywateli z Łodzi", którzy chcieli wymienić dowód osobisty były powszechnie dostępne w Sieci; jednak z ePUAPem tak na pewno nie będzie, nie, nie, nie, nie ma takiej możliwości.).
Rozumiem, że rząd na gwałt potrzebuje jakiegoś sukcesu w zmaganiach z informatyzacją państwa. Premier teraz mówi "podpis elektroniczny będzie tańszy" (przy okazji usiłując sprawiać wrażenie rozumienia technologii, ale pamiętam jeszcze, reakcje Pana Premiera na zetknięcie z nowymi technologiami i technikami informacyjnymi, gdy przez środowisko proszony był jako Wicemarszałek Sejmu, do udziału w różnych debatach i obchodach, może jednak przez dwa lata coś się zmieniło; wspominam o tym nie dlatego, że zmienił mi się pomysł na prowadzenie serwisu, nie dlatego też, że chciałbym nagle dyskredytować premiera - w końcu z wykształcenia historyka, a dziś - z racji licznych funkcji - człowieka zapracowanego, który nie ma czasu na sprawdzanie poczty, grzebanie "po internecie", rozpoznawanie blipów, flickrów czy innych web-dwa-zerowych nowości świata współczesnego... wspomniałem o tym, gdyż w komentarzach na temat "pomysłów na relacje społeczne" należy uwzględniać również różne zasłony dymne polityków, chociaż równie dobrze zupełnie mógłbym na to nie zwracać uwagi, czekając aż pomysł stanie się obowiązującym prawem - ale to felieton).
Premier zatem mówi, że podpis elektroniczny będzie tańszy. Zastanawiam czy premier ma wpływ na regulacje cen na rynku podpisu elektronicznego - przecież to jest, fakt, składający się z trzech podmiotów, ale jednak wolny rynek. Premier mówi: "Do końca roku rozstrzygniemy problematykę kosztów związanych z dysponowaniem podpisem elektronicznym". Co to znaczy? Czy dojdzie do znacjonalizowania wystawców certyfikatów? A może zostaną wprowadzone regulacje cenowe, narzucające przedsiębiorcom sposób prowadzenia biznesu? Dziś każdy może założyć centrum certyfikacji, jeśli spełni warunki ustawy, m.in co do formy prawnej - spółka akcyjna o określonym, wysokim kapitale, etc...
"Nie wiem dlaczego i przez kogo został wprowadzony monopol trzech firm, które mają do dyspozycji klucz do podpisu elektronicznego; dlaczego ta usługa jest tak droga" - mówi premier. Monopolu nie ma, ale to jest stwierdzenie kierowane do publiczności, za pośrednictwem mediów, które puszczą tylko smaczne kąski. Nie ma monopolu. Każdy może założyć centrum certyfikacji. Dlaczego jedno z istniejących umarło? Być może rozwiązaniem jest większa asertywność władzy publicznej na pomysły wikłające tę władzę w korzystanie z rozwiązań uzależniających, niekompatybilnych, ale za to dających krótkotrwałą przewagę na rynku (na dłuższą metę - jak to widzimy po podpisie - zmniejszających "tort" do zera, co powoduje konieczność "reanimowania rynku" przez ustawowe, poparte imperium państwa, narzucenie obywatelom korzystania z danego rozwiązania).
Czy w związku z tym, że właśnie sobie komentuje doniesienie o możliwości/konieczności wprowadzenia "tymczasowego rozwiązania zastępczego", to już nie myślimy o wyborach "przez internet", czy nadal o tym myślimy (dobrze jest się skalibrować z otoczeniem, by kolejne notatki utrzymywać w mniej więcej podobnym stężeniu oparów absurdu)?
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
jeden login i hasło
No no, czyli za 10 lat wpadną może na hasła jednorazowe, ale przedtem kilka wielkich afer będzie z kradzieżą tożsamości. No ale w końcu za te grube miliony wydane na serwis za wiele nie można wymagać - prawda?
Hmmm. A zamiast autostrad
Hmmm. A zamiast autostrad drogi ekspresowe.
Zaczynam się martwić co będzie zamiast szpitali jak reforma służby zdrowia nie wyjdzie? Kostnice?
W każdym razie wizja przerażająca, tym bardziej że skończy się jak zwykle -- outsourcing do jakiejś firmy prywatnej i żadne dane nie wyciekną z serwisów rządowych.
Jak się wczytać w strony
Jak się wczytać w strony e-PUAPu to można znaleźć tam mrzonki na temat federacji tożsamości (SSO) i to jest mniej więcej to o czym mówi MSWiA.
To znaczy, centralna baza w której obywatele rejestrują swoje dane, które następnie są weryfikowane przez urząd. Potem tymi danymi - i to jest kluczowe - można zalogować się do różnych innych urzędów i są one traktowane przez nie jako zaufane.
Pomysł dobry, ale nierealny i pogłębiający wrażenie, że decydenci w sprawie informatyzacji chaotycznie miotają się, łapiąc nawijające się pod rękę błyskotki-fetysze.
Niechby najpierw, przynajmniej raz, zrobili jakiś projekt z dziedziny informatyzacji raz, porządnie i do końca, tak żeby normalnie działał.
Tymczasem decydenci są w tych kwestiach kompletnie bezkrytyczni - nie wyciąga się najwidoczniej żadnych wniosków z tych wszystkich opóźnionych o wiele lat projektów (CEPIK, stary e-PUAP) czy milionów złotych zmarnowanych na niedziałające lub wyrzucone do kosza projekty (SIMIK).
A już sugerowanie oparcia tego nowego systemu o niedziałający przecież w praktyce e-PUAP to w ogóle kpina z czytelników i kompletny brak kontaktu z rzeczywistością.
--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/
Entropia rosnie
To co mozna poczytac na stronie ePUAP o eID (i "modelu sfederowanym" hmmmm) to dosc specyficzne potraktowanie zagadnienia: mam wrazenie ze sa to kawalki powyciagane z wiekszej calosci tak zeby pasowalo do idei ogolnej. No ale (czytajac inne posty) coz ostatnio to dosc typowy pomysl urzednictwa MSWiA.
Kiedy istnialo Sp Ministerstwo Nauki i INFORMATYZACJi uwazalem ze informatyzacja powinna znalezc sie w innym urzedzie. Teraz widze ze ci ludzie w MNiI przynajmniej mysleli w MSW nawet nie probuja.
Ja bym raczej powiedzial ze
Ja bym raczej powiedzial ze przyjmujac terminologie zarzadzania wiedza: MSWiA jest klasycznym przykladem organizacji ktora utracila wiedze korporacyjna i musi bazowac na wiedzy podmiotow zewnetrznych.
Nie wnikajac w terminologie jest to obciach.
Jak jeden z "niemyślących"
Jak jeden z "niemyślących" zachęcam do konkretneiejszej krytyki "tego co na EPUAPie napisano o eID". Panie Jerzy, przeciez zna Pan moj adres email. Można napisać :)
W.Wiewiórowski
Panie Doktorze, Nigdy mi
Panie Doktorze,
Nigdy mi nawet przez glowe nie przyszlo uwazac Pana za "niemyslacego"! Podejrzewam jednak ze to nie Pan nadzorowal dobor tekstow na strone ePUAP.
Tekst o "modelu tozsamosci" gdzies zniknal i tym samym zniknal obszar problemu tak wiec i ja wycofuje swoj protest.
Natomiast nie zmieniam opinii na temat obecnego usytuowania dzialu Informatyzacja. Za poprzedniego Rzadu pojawil sie ciekawy pomysl Ministerstwa Komunikacji Elektronicznej i Spoleczenstwa Informacyjnego.
Zniknął tak sam z siebie, w niebyt?
Zawsze mnie to ciekawi jak znikają teksty z oficjalnych i prowadzonych przez administracje publiczną serwisów. W sumie to potencjalnie wygodna właściwość takich tekstów...
--
[VaGla] Vigilant Android Generated for Logical Assassination
Pamietam ze na Portalu ePUAP
Pamietam ze na Portalu ePUAP byly zdjecia i informacje o przebiegu warsztatow nt. Platformy - teraz zniknely. W sumie niewiele to wnosilo do zakresu informacyjnego Portalu ale pokazywalo jakis postep prac.
Jest prosze wejsc na
Jest prosze wejsc na www.epuap.pl
Doradcy zgotują nam ten los...
A mi wydaje się, że prawdziwą tragedią naszej Rzeczypospolitej są wszelkiej maści tzw. Doradcy. Przecież Premier sam nie wpadł na takie pomysły jakie niezręcznie głosi. Co ekipa to nowi podpowiadacze. Są oczywiście tacy, którzy są „interoperacyjni”. Znają się na wszystkim, jednak jak się dobrzE przyjrzeć, nic im się nie udało. O tym napisał Kravietz.
Zupelnie sie nie zgadzam z
Zupelnie sie nie zgadzam z Autorem. Monopol jest, tylko ze za jego urodzenie odpowiedzialny jest ustawodawca, a nie tylko same firmy certyfikacyjne. Niby moze kazdy, ale jednak ty i ja bysmy nie mogli, gdyz niezbedne sa duze pieniadze, wplyw na ministerstwo i parlament. Ta ustawa to klasyczny przyklad korupcji, kontynuacja dobrego stylu "i czasopisma".
A ja naprawde nie rozumiem
...dlaczego komus nie przyjdzie do glowy zalatwienie tego w najprostszy z mozliwych sposobow?
MSW albo jakas inna agenda rzadowa wystawia serwer certyfikatow, za pomoca ktorego obywatel moze w latwy sposob wygenerowac sobie np. na dyskietce certyfikat. Nastepnie z ta dyskietka obywatel udaje sie do odpowiedniego urzedu, gdzie zostaje sprawdzona jego tozsamosc z dowodem osobistym i jezeli wszystko sie zgadza - certyfikat zostaje podpisany odpowiednim urzedowym kluczem. Potem taki certyfikat obywatel wgrywa sobie do przegladarki i uzywa go do logowania sie do wszystkich serwisow urzedowych, jak rowniez - po wgraniu do klienta pocztowego np. Thunderbirda - moze uzywac do podpisywania e-maili kierowanych do urzedow.
I po co komus cos wiecej?
Gdzie zysk?
O ile bardzo mi się podoba pomysł z potwierdzaniem mojego certyfikatu przez kolejne CA (w sumie tak właśnie wygląda sprawa z certyfikatami SSL dla serwerów WWW), to niestety sprawdzone rozwiązania nigdy nie były popularne wśród polskich ustawodawców (szczególnie jeżeli chodzi o branżę IT).
Do tego dochodzi kwestia utrzymania prywatnego klucza z certyfikatu CA w tajemnicy, co w realiach dysków z danymi znajdowanych na ulicach oraz wyciekania informacji po każdym tajnym spotkaniu komisji śledczej nie jest tak oczywiste, a odpowiedni dozór odpowiednio kosztuje.