Największa zaleta zaufanego profilu

2010-10-01 00:00:00 +0100


Na środowej konferencji PL.ID (którą opiszę oddzielnie) padło kilka krytycznych uwag pod adresem podpisu osobistego i zaufanego profilu. Na podstawie swoich codziennych doświadczeń mogę jednak wskazać jedną przewagę zaufanego profilu, która będzie absolutnie krytyczna dla jej sukcesu wśród zwykłych użytkowników. Jest to fakt, że zaufany profil powinien działać w zwykłej przeglądarce. Czytelnicy tego serwisu wiedzą, że często testuję różne usługi elektroniczne administracji publicznej - na przykład elektroniczne skrzynki podawcze. Robię to po prostu próbując ich używać - z tym, że zamiast dusić przekleństwa w sobie opisuję je tutaj i w miarę możliwości staram się przekazywać operatorom tych usług.

Jedna cecha wyróżnia wszystkie te serwisy i jest moim zdaniem największą wadą kwalifikowanego podpisu elektronicznego. Jest to uzależnienie dostępu do usługi od niskopoziomowych bibliotek zapewniających dostęp do karty kryptograficznej.

Na podstawie dotychczasowych obserwacji stawiam być może radykalną ale w mojej ocenie w pełni usprawiedliwioną tezę, że oprogramowanie pozwalające na korzystanie z podpisu kwalifikowanego z poziomu przeglądarki nie osiągnęło ani wystarczającego stopnia standardyzacji, ani stabilności, ani używalności by można było go stosować w produkcyjnym, heterogenicznym środowisku usług publicznych.

Nie spotkałem do tej pory żadnego serwisu elektronicznego administracji publicznej zbudowanego na bazie obecnego KPA, gdzie po prostu możnaby wysłać pismo bez bez zawiłej rekonfiguracji systemu lub przeglądarki, kilkustronicowej instrukcji instalacji appletów, zmiany uprawnień itd. Nie mam problemów z czytaniem dokumentacji technicznej i sporo wiem o ustawieniach bezpieczeństwa w systemach, ale osacza mnie konieczność wykonania kilkunastu kroków w celu skorzystania ze skrzynki urzędu (w tym dodawania jakichś niezaufanych certyfikatów SSL) i to jeszcze innych w każdym urzędzie!

Zupełnie nie wyobrażam sobie jak osoby odpowiedzialne za dostęp społeczeństwa do elektronicznych usług administracji publicznej mogą oczekiwać, że przy takim stopniu złożoności serwsy te będą czymkolwiek innym niż niszowym gadżetem dla tych, których to bawi oraz dla tych, którzy muszą?

Ja wiem, że tego wymagają biblioteki pozwalające na dostęp do karty - ale czy ktokolwiek zadał sobie pytanie, czy złożenie wniosku o wypis z ewidencji działalności czy wniosku o niezaleganiu ze składkami/podatkami naprawdę wymaga tej karty? Na szczęście od kilku lat grupa osób określanych jako “przeciwnicy bezpiecznego podpisu” to pytanie zadaje publicznie. Skutkiem jest m.in. zaufany profil.

Na konferencji PL.ID głównym oponentem zaufanego profilu i podpisu osobistego byli przedstawiciele centrów certyfikacji. Cieszy jednak fakt, że żaden z prelegentów nie lansował już obowiązującego jeszcze kilka lat temu mitu, że “tylko certyfikat kwalifikowany gwarantuje bezpieczeństwo informacji w sieci” i wszyscy uznawali e-Deklaracje “bez bezpiecznego podpisu” za sukces, choć przed ich wprowadzeniem straszono “brakiem bezpieczeństwa” i “wyciekami” (tak jakby certyfikat kwalifikowany przed nimi chronił).

Niestety, mam podstawy by przypuszczać, że dokładnie ten sam problem, który opisałem powyżej będzie z podpisem osobistym i mam nadzieję, że MSWiA nie zechce go wykorzystywać do usług elektronicznych bo komunikacja z kartą po prostu ten dostęp uniemożliwi 99% obywateli.

Niech MSWiA udostępni jedną usługę elektroniczną, która będzie normalnie działać pod standardową przeglądarką, bez konieczności instalowania Javy, dziwnych certyfikatów i rekonfiguracji połowy systemu. W teorii tak ma działać zaufany profil, ale jego można na razie tylko testować.

W praktyce udało się to tylko Ministerstwu Finansów, paradoksalnie dlatego, że nie jest ono związane Kodeksem Postępowania Administracyjnego zepsutym w 2005 roku na fali mody “tylko bezpieczny podpis”.

P.S. niniejszy wpis jest skutkiem moich dwutygodniowych walk z ePUAP. Najpierw nie udało mi się podpisać nic spod Firefoksa, bo nie instalował się add-in. Po pomocy uzyskanej sprawnie w helpdesku ePUAP (dziękuję!) i wykonaniu zaleconych tam czarów (tak, wiem czemu one służą) podpis zadziałał. Wtedy się okazało, że błędnie działa formularz EDG i wysyła prawie wszystkie dane - poza polami PKD, które właśnie próbuję aktualizować. Próbowałem sprawdzić czy problem występuje też pod MSIE ale wtedy okaząło się, że ta przeglądarka wymaga jeszcze innych czarów. I tak mijają dwa tygodnie…

Podoba mi się koncepcja ePUAP i jestem całym sercem za, ale nie mam równocześnie złudzeń, że tak działający system nie zmieni literalnie nic w dostępności usług elektronicznych. Zacznijmy w końcu mierzyć dostępność usług publicznych liczbą użytkowników a nie ilością wydanych na nie pieniędzy! OECD naprawdę nie robi tych rankingów na złość Polsce, tu po prostu o to chodzi, żeby więcej a nie mniej osób miało dostęp do tych usług.