Witamy w świecie interoperacyjności i otwartych standardów

Wydaje się, że niebawem nie trzeba już będzie wyjaśniać zagrożeń wynikających z takiego, lub innego brzmienia przyjmowanych przez rząd i Sejm przepisów. Administracja publiczna zaczyna na własnej skórze odczuwać skutki działań prawodawcy. Ponieważ w sferze podpisu elektronicznego w Polsce dopuszczono do sytuacji, w której wystawcy certyfikatów oferują rynkowi niekompatybilne ze sobą rozwiązania okazało się, że nie udało się podpisać pewnego rozporządzenia, "ponieważ zostały tu wykorzystane podpisy wystawione przez różne podmioty uprawnione"...

Informacje na ten temat można znaleźć w protokole z XXIII posiedzenia Komitetu Rady Ministrów ds Informatyzacji i Łączności, które odbyło się 27 maja. Tam, w "sprawach różnych", przez Zastępcę Dyrektora w Biurze Dyrektora Generalnego Ministerstwa Środowiska, p. Marcina Kuśmierczyka, został zasygnalizowany pewien problemik z "praktycznym użytkowaniem podpisu elektronicznego w kontekście ustawy o ogłaszaniu aktów normatywnych i niektórych innych aktów prawnych". Zresztą przepiszę stosowny fragment protokołu (PDF) (przepiszę, ponieważ administracja publiczna pewnie jeszcze nie natknęła się na inną sygnalizowaną w tym serwisie minę, tj. na problem publikowania dokumentów w sposób pozwalający na łatwą pracę z tekstem, więc wciąż publikuje treści w plikach PDF zawierających zeskanowaną bitmapę):

(...)
Przytoczył przykład problemu związanego z elektronicznym podpisywaniem rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie materiałów geodezyjnych i kartograficznych oznaczonych klauzulą poufne. Prace legislacyjne nad rozporządzeniem zakończyły się na początku kwietnia, a w połowie kwietnia zostało podpisane przez Ministra Spraw Wewnętrznych i Administracji Jerzego Millera, a następnie przesłane do Ministerstwa Obrony Narodowej, ponieważ jest to rozporządzenie podpisywane w porozumieniu. Niestety nie udało się podpisać tego dokumentu przy użyciu podpisu elektronicznego, gdyż zostały tu wykorzystane podpisy wystawione przez różne podmioty uprawnione.

Oczywiście w pewnym momencie można było wskazać standard podpisu elektronicznego wymagany w działaniach administracji publicznej, ale przecież te istniejące centra certyfikacji już tyle zainwestowały w swoje przedsiębiorstwa, że byłoby to wręcz nieludzkie, by narzucić np. standard wykorzystywany wcześniej przez Św. P. Signet (por. Koniec działalności Centrum Certyfikacji Signet). W tekście Czy będzie nowy cud nad Wisłą? sprzed pięciu lat pisałem:

Na szczególną uwagę zasługuje brak standaryzacji wspieranych przez różnych certyfikatorów podpisów elektronicznych. Każdy wspierany zgodnie ze stosownym rozporządzeniem – tam wskazano trzy standardy, działający na polskim rynku czterej certyfikatorzy postanowili wspierać jeden z nich (nie zgadza się? No tak, jeden ze standardów ma warianty, zatem można było się podzielić w ramach jednego z nich). Niby nic wielkiego, ale może się zdarzyć, że dokument podpisany podpisem w jednym standardzie nie będzie weryfikowalny przez narzędzia udostępnione przez innych certyfikatorów. W administracji publicznej ma to spore znaczenie, bo przecież ze względu na neutralność technologiczną państwa nie można obywateli zmuszać do korzystania tylko z jednego z dostępnych na rynku standardów. Podobno już jest lepiej w tym względzie, ale czy wystarczająco dobrze?

Rozwój "społeczeństwa informacyjnego" dotarł do tego etapu, w którym można teraz sobie wygodnie usiąść, zrelaksować się i patrzeć, jak grupa Laokona walczy z wężami wyrosłymi na żyznym gruncie wcześniejszych, własnych decyzji. Gorzej, że sanacja będzie musiała być finansowana z publicznych pieniędzy.

Przypomina mi się jeszcze pewna argumentacja w dyskusji o otwartych standardach i interoperacyjności, gdzie podnoszono, że normatywne zagwarantowanie konieczności stosowania w administracji publicznej "otwartych standardów" w istocie dyskryminuje rozwiązania zamknięte, własnościowe...

Cóż. "Moralni zwycięzcy" czasem chodzą głodni. Warto o tym pamiętać.

Przeczytaj również:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

dedykacja

Niniejszym chciałbym zadedykować ten wpis (bardzo skądinąd przeze mnie szanowanemu) Panu dr Wojciechowi Wiewiórowskiemu, przypominając debatę na Forum Teleinformatyki 2007 w Legionowie.

xades?

Czy to nie w rozporządzeniu do ustawy o ogłaszaniu aktów normatywnych, odwoływano się do standardu ETSI i formatu xades, który miał być respektowany przez wszystkie centra certyfikacyjne?

Kompatybilność produktów podpisu elektronicznego

kravietz's picture

XAdES to format podpisu. Poza formatem podpisu jest jeszcze kwestia tego, jak dane podpisu będą powiązane z danymi podpisywanymi. Można to zrobić na wiele sposobów - dane można osadzić w XAdES, XAdES można osadzić w danych, XAdES może być w oddzielnym pliku itd itp.

Wykorzystując trzy dopuszczalne formatu podpisu zawarte w rozporządzeniu naszym orłom od produktów e-podpisowych udało się wyprodukować czternaście niekompatybilnych formatów dokumentów.

Jak to działa w praktyce miałem okazję się przekonać na elektronicznej skrzynkce podawczej w Urzędzie Miasta Krakowa.

Odczuwam ponurą satysfakcję widząc, że chaos który zafundował nam ustawodawca i zwolennicy podpisu kwalifikowanego dotyka teraz ich samych :)

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT

A cóż to jest za pojęcie

A cóż to jest za pojęcie "otwarty standard" ?

Strasznie tajemniczo brzmi bo przecież samo pojęcie "standard" z natury jest otwarte gdyż to o czym ten standard stanowi skierowane jest z założenia dla szerszego (innego) grona odbiorców (wytwórców). Przecież nikt sam dla siebie nie tworzy standardów.

Po co więc przymiotnik "otwarty" ? Czyż standardy nie są opracowywane w organizacjach (szczycących się jako non profit) skupiających podmioty komercyjne które raczej nie są zainteresowane ujawnianiem ("otwieraniem") własnych pilnie strzeżonych rozwiązań ?

Brzmi to wszystko jak 15% gratis batonika... a w praktyce zjadamy przecież całego... więc o co tu chodzi ?

otwarty standard

ksiewi's picture

Przymiotnik "otwarty" w odniesieniu do standardów wykorzystywany jest na oznaczenie zakresu uprawnień korzystających ze standardu.

Standard (norma) oraz "to o czym standard stanowi" jest istotnie skierowana do szerszego grona osób, ale samo to nie uzasadnia wniosku, że każdy standard jest otwarty.

Poszukując analogii można np. powiedzieć, że każdy ustrój władzy skierowany jest do szerszego grona (społeczeństwa), ale to jeszcze nie oznacza, że każdy jest demokratyczny. Albo, że każdy (co do zasady) utwór przeznaczony jest dla jakiejś publiczności, co jeszcze nie oznacza, że jest on wolny (w rozumieniu ruchu wolnej kultury i wolnego licencjonowania).

Z uwagi na ograniczenia prawno-autorskie oraz często powiązane ze standardem patenty, które nie są udostępniane bez dyskryminujących ograniczeń, wiele standardów to zamknięte standardy. Korzystanie z nich (np. produkcja produktów zgodnych ze standardem) jest kontrolowane wyłącznie przez uprawnionych z patentów lub licencjonowane w sposób nie pozwalający na wdrożenie tych standardów każdemu, kto dysponuje możliwością ich wdrożenia (np. opłaty licencyjne "per user", których nie jest w stanie ponosić producent wolnego oprogramowania).

Standardy opracowywane są przez różnego rodzaju organizacje. Niektóre z nich istotnie nie mają na celu otwierania swoich standardów i nie wymagają od swoich uczestników dzielenia się swoją technologią na otwartych zasadach. Inne jednak przyjmują dość kategoryczne "IPR policies", w których wymagają ujawniania posiadanych patentów oraz przyjmują procedury mające na celu uniknięcie sytuacji, w której uchwalony standard będzie obciążony czyimś patentem, a w konsekwencji da tej osobie monopol na korzystanie ze standardu.

No i czas pokazał swoje...

Witam.

Już w 2006 roku, a także później, nawet tutaj sygnalizowałem problem "jakości" rozwiązań ePodpisu. Dziś tylko z uśmiechem złośliwym, mogę poczytać o tym, że niestety już na samym początku wymuszania ePodpisu, udało mi się dostrzec to co dopiero teraz zaczyna się powoli ujawniać w opiniach innych.
Wiem, że wielu osobom się to nie spodoba, ale powtórzę po raz kolejny. Systemy informatyczne nie znoszą chaosu decyzyjnego, dowolności interpretacji ani rozbudowania pojęciowego dla procedur, których rozwiązanie jest tak proste jak konstrukcja dźwigni.
Inaczej rzecz ujmując, trzeba sobie wprost powiedzieć, że funkcjonują tylko te urządzenia, których elementy składowe są doprowadzone do maksymalnej prostoty. A prostota rozwiązań powstaje na skutek eliminacji zbędnych wodotrysków, których jedynym celem jest zapewnienie niekompatybilności rozwiązania.
Niestety, jednak tak właśnie powstają produkty informatyczne w tym kraju. Są pełne wodotrysków i procedur, których sam autor aplikacji nie rozumie, gdyż są dostarczone jako gotowy komponent kompilatora.
A rozwiązanie jest prostsze. Wystarczy aby rozwiązania rządowe nie powstawały na mocy przetargów, a jedynie zleceń w ramach grantów dla wyższych uczelni. Uczelnie jako ośrodki akademickie finansowane z budżetu państwa, nie mają żywotnego interesu w konstruowaniu takich rozwiązań, które będą stanowiły stałe i pewne źródło dochodów jak to ma miejsce w przypadku firmy komercyjnej.
Innym aspektem jest tu także budowa przepisów. których sposób sformułowania treści może dla zwolenników teorii spiskowych, stanowić dowód na istnienie lobbingu. A efekty? No cóż. Wiele milionów wydanych z budżetu na wymuszony aktami prawnymi zakup oprogramowania lub ściśle określonych rozwiązań informatycznych, które nie dały rady wytrzymać próby czasu.
Pośrednio taki stan rzeczy jest przyczyną tak opornie postępującego procesu informatyzacji urzędów. Rozwiązania są kosztowne, mało efektywne, a ich modernizacja celem dostosowania przekracza możliwości finansowe urzędów uszczęśliwionych przymusowym zakupem rozwiązań informatycznych.

Jak widać hurra optymizm dotyczący rozwiązań informatycznych, który nie jest poparty dogłębną wiedzą na temat jak należy prawidłowo budować takie rozwiązania, najczęściej kończy się tylko na wdrażaniu rozwiązań bezużytecznych. Nie mniej jednak można się pochwalić w mediach jaki to nowoczesny jest zarząd urzędu lub samorządu.
Jak już pisałem wielokrotnie - nawet tutaj - systemy informatyczne nie potrafią rozwiązywać zagadnień z grupy wiary czy życzeń. To są tylko proste logiczne oparte o algebrę Georga Boole.
Nawet tak modne laptopy, iPad'y czy nawet szerokopasmowy internet nie zastąpią wiedzy i kreatywności, choć są politycy którzy w tym upatrują przyszłość polskiej myśli naukowej. :-) Bo są to tylko gotowe narzędzia, których większość z ludzi nie potrafi wykorzystać nawet w 10% ich potencjalnych możliwości.

Pozdrawiam.

Ale Minister obiecał że to rozwiąże....

W protokole z kolejnego posiedzenia (1 lipca 2010 r.) jest wzmianka (sprawy różne), że problem zostanie rozstrzygnięty (w domyśle przez Komitet) więc należy tylko i wyłącznie czekać na informację z kolejnego posiedzenia. Wierzę w Pana Ministra. Nie rzuca słów na wiatr jak jego poprzednik....:)

W protokole z ostatniego

W protokole z ostatniego posiedzenia (5.08.2010 r. - jest już na stronie) nie powrócono niestety do tego problemu (pkt. 5 Sprawy różne). Być może podjęto już stosowne działania i problem już jest de facto rozwiązany.....

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>