Co poświadcza certyfikat czyli brak autoryzacji w ZUS?

Nowa wersja Programu Płatnika 7.02.001 dopuszcza możliwość korzystania z certyfikatów kwalifikowanych, ale - w odróżnieniu od wcześniej implementowanych systemów - nie stosuje żadnej formy autoryzacji certyfikatu do danego płatnika.

W praktyce oznacza to tyle, że w teorii każdy posiadacz certyfikatu kwalifikowanego może złożyć dokumenty w imieniu dowolnego płatnika składek, czyli dowolnej firmy. Tak przynajmniej wynika z obserwacji działania obecnej wersji Płatnika oraz relacji kilku osób, które rozpoczęły eksperymenty przygotowując się na lipiec 2008.

Do tej pory dane uwierzytelniające płatnika stanowił certyfikat niekwalifikowany wydawany zgodnie z procedurą opisaną na stronie Unizeto. Polega ona na wygenerowaniu wniosku z poziomu Programu Płatnika i złożeniu go w centrum rejestracji wraz z dokumentami "potwierdzającymi tożsamość firmy i osoby".

W chwili obecnej - jeśli dobrze rozumiem to co widzę w Programie Płatnika - dane firmy to jedno, a certyfikat używany do ich wysyłania to drugie i są to rzeczy od siebie niezależne. Oczywiście, dane w certyfikacie kwalifikowanym są zweryfikowane równie dobrze, jeśli nie lepiej - ale brak jest procedury autoryzacji certyfikatu kwalifikowanego w stosunku do danego płatnika. Użycie certyfikatu kwalifikowanego oznacza więc tylko tyle, że bardzo dobrze zweryfikowanym certyfikatem osoby X możemy wysłać do ZUS dane firmy X, ale także firm Y i Z. I silna weryfikacja certyfikatu X w niczym nam tutaj nie przeszkodzi.

Problem jest wbrew pozorom nietrywialny, zarówno z technicznego jak i prawnego punktu widzenia. O ile bowiem funkcja uwierzytelnienia - czyli potwierdzenia tożsamości - jest w certyfikacie kwalifikowanym zapewniona w sposób silny i jednoznaczny (bo do tego służy), o tyle funkcja autoryzacji - czyli odpowiedzi na pytanie "co mi wolno" - w samym X.509 jest osadzona w sposób fragmentaryczny.

W X.509 mamy pola keyUsage, basicConstraints czy qcStatement, które w jakimś stopniu mówią co wolno danym certyfikatem robić, ale są to raczej kwestie techniczne, związane z obsługą samego PKI (poza qcStatement). W niektórych formatach podpisu (CMS, XAdES) mamy te funkcje nieco bardziej rozbudowane w postaci CommitmentTypeIndication i SignaturePolicyIdentifier, ale nie spotkałem się z ich wykorzystaniem w praktyce.

Tak więc autoryzację danego certyfikatu musi zapewnić sama usługa - i zwykle zapewnia. W przypadku usługi e-Deklaracje proces autoryzacji i rejestracji certyfikatu zapewnia wysłanie papierowego i podpisanego formularza ZAW-E1, a następnie elektronicznego ZAW-E2. Para tych dokumentów stanowi deklarację podatnika, że certyfikat osoby X jest uprawniony do składania deklaracji w imieniu osoby Y (przy czym czasem X=Y). Podobny proces obowiązuje przy rejestracji do systemu PFRON i pewnie paru innych.

Dlaczego zatem ZUS zrezygnował z takiego procesu uprawnienia certyfikatu kwalifikowanego do konkretnego podmiotu? Nie przypuszczam, by była to decyzja podjęta arbitralnie bo ZUS jest raczej znany z konsultowania każdej decyzji tego typu z działem prawnym.

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Nie będę się wypowiadał czy to dobrze czy źle, ale powiem, że ZUS dobrze sobie zdawał sprawę z możliwości "nadużyć" i już w roku bodajże 2005 planował wprowadzenie mechanizmów podobnych do zastosowanych w e-Deklaracjach. Prowadził na ten temat rozmowy z centrami kwalifikacji - oczekiwał odpowiednich zapisów w certyfikatach (pól mówiących o tym, że dana osoba może składać deklaracje w imieniu firmy X) i planował weryfikację tych wartości w systemie. I już wtedy pojawiały się liczne wątpliwości techniczno-organizacyjne:

1. W jakich polach i w jaki sposób wpisać tak niestandardowe z punktu widzenia X.509 dane?

2. Jak "nakłonić" centra certyfikacji do weryfikacji takich danych i przyjęcia na siebie odpowiedzialności za ich prawdziwość?

3. Jakie akcje w przypadku niezgodności ma podejmować system i ZUS ogólnie? Uznać jedynie deklarację za nieprawdziwą czy też prowadzić jakieś dalsze działania?

4. Jak rozwiązać problem biur podatkowych składających zeznania za firmy (bardzo często stosowane rozwiązanie)? Zamówić mnóstwo certyfikatów (każdemu z pracowników dla każdej z obsługiwanych firm), wyznaczyć grupy pracowników odpowiedzialnych za poszczególne firmy (ograniczając w ten sposób ilość potrzebnych certyfikatów) narażając się na problemy w wypadku nieobecności, choroby czy odejścia części pracowników? A może wpisywać w certyfikat wiele takich samych rozszerzeń dla kolejnych obsługiwanych firm?

5. Co z certyfikatami gdy biuro podatkowe podpisze nową umowę albo rozwiąże umowę o obsłudze podatkowej? Unieważniamy mnóstwo certyfikatów? Wystawiamy mnóstwo nowych bo trzeba pozmieniać wpisy (przy podejściu wielu zapisów w każdym certyfikacie) na dodatek ponownie uzyskując wiele upoważnień od firm, z którymi nadal współpracujemy?

6. I to wszystko przy koszcie certyfikatu na poziomie setek zł, dostępności punktów obsługi klienta centrów certyfikacji oraz czasie wystawiania "nie od ręki" ;) A z drugiej strony nieubłagane terminy rozliczeń z ZUS.

7. Kwestie czysto organizacyjno-papierowe związane z wystawianiem upoważnień przez firmy do reprezentowania ich, dbaniem o aktualność listy osób upoważnionych (zwłaszcza wobec tego, że samo pojęcie reprezentowania firmy przez kogoś za pomocą certyfikatu i świadomość tego faktu i jego konsekwencji i ciągłego nadzorowania tego przez firmę).

8. Kwestia utrzymywania i ciągłej aktualizacji po stronie ZUS bazy upoważnień do reprezentowania firm w kwestii rozliczeń (popatrzmy realnie - taka baza musi być nieaktualna ;) ).

No i jak widać to wszystko doprowadziło ZUS do prostej decyzji - każdy może złożyć dowolną deklarację. Ryzyko małe i na dodatek będzie wiadomo kto to zrobił.

A BTW to nie rozumiem pana Michała Tabora gdy twierdzi, że rozwiązanie wdrożone w MF "znacząco ogranicza rynek podpisu elektronicznego", no ale może miał jakieś nieznane mi przesłanki do takiego stwierdzenia.

Rozwiązanie kwestii autoryzacji na poziomie certyfikatu X.509 uważam za całkowicie chybione w tym przypadku. X.509 zapewnia funkcję uwierzytelnienia - tak się zresztą nazywa standard - "authentication framework".

Do tego autoryzacja jest relacją typu jeden-do-wielu, bo jedna osoba identyfikowana certyfikatem może być autoryzowana do wielu czynności w zupełnie od siebie niezależnych instytucjach. Dlatego włączanie dedykowanych dla ZUS rozszerzeń do certyfikatów ma niewielki sens.

Autoryzacja w tym przypadku musi być realizowana na poziomie aplikacji. Nie wiem jak to robią e-Deklaracja, ale przypuszczam że jest to po prostu relacja w bazie danych, w której każdy podatnik (NIP) ma przyporządkowane kilka obiektów (seriale certyfikatów), uprawnionych do składania deklaracji w jego imieniu.

Główne problemy jakie należy w takim modelu rozwiązać to kwestie czysto ergonomiczne, jak na przykład autoryzowanie nowego certyfikatu innym, już zarejestrowanym.

W przypadku dwóch tak przeciwstawnych modeli autoryzacji jak ZUS (zero) i e-Deklaracje (papierek na każdą aktualizację) prawda leży gdzieś po środku...

Dla jasności - ja nie mówiłem, że podejście ZUS w roku 2005 było dobre. Przedstawiłem tylko pewne fakty a efekt końcowy sami widzimy. Ja też nie byłem wtedy (ani teraz) zwolennikiem dopisywania do certyfikatu tego typu rozszerzeń. Certyfikat w samym założeniu ma służyć identyfikacji osoby a nie określeniu jej uprawnień w danym systemie.

Natomiast sumując uwagi o możliwości nadużyć pana Michała Tabora i pana Pawła Krawczyka to widać jasno, że nadużycia mogą być w postaci właśnie wyłudzeń. Bo nawet jeśli dzięki podpisowi mamy jasno wskazaną osobę, która nadużyć dokonała, to wyłudzenie poprzez podanie fałszywej deklaracji już nastąpiło a osoba np. przebywa z tymi pieniędzmi w jednej z tzw. "republik bananowych" i nie bardzo można sprawiedliwość wyegzekwować. Także należałoby powiedzieć, że:

1. Nadużycia mogą być

2. Argument, że nadużycia są łatwiejsze przy modelu papierowym, jest o tyle chybiony, że od nowego systemu oczekujemy raczej jak najskuteczniejszego mechanizmu ZAPOBIEGANIA nadużyciom a nie mechanizmu rejestrowania sprawców

3. Oczywiście mechanizmy zapobiegania nadużyciom (techniczne oraz organizacyjne) powinny być takie, żeby nie utrudniały specjalnie życia uczciwym obywatelom - jak rozumiem to miał na myśli ZUS decydując o takim właśnie modelu składania deklaracji (podobnie jak np. organizacje zajmujące się płatnościami kartami kredytowymi decydują o utrzymywaniu modelu prostych kart tzw. wypukłych z paskiem magnetycznym wiedząc, że pewne nadużycia są, ale wygoda większości użytkowników jest najważniejsza).

Ale to oczywiście tylko moje własne zdanie - pomimo posiadanego doświadczenia nie chciałbym tu autorytatywnie stwierdzać, że jestem ekspertem bo brzmi to zawsze jak stwierdzenie, że niejako "z definicji" zawsze mam rację. ;)

Ucinać łapki!
Najlepiej aby nie było kradzieży kieszonkowych wszystkich, którzy jeżdzą autobusami do pracy pozbawić rąk przez amputację. Takie jest myślenie tych, którzy próbują zadbać o bezpieczeństwo przez ograniczenia.

Inaczej się chroni dostęp do danych, a inaczej realizuje komunkację B2A lub C2A.
Tutaj identyfikujemy kazdego składającego deklarację (podpis kwalifikowany), uwierzytelniamy - ci co dysponują podpisem kwalifkiowanym. I wierzymy, że mają do tego prawo....
Jak nie będa mieli, a złożą deklarację to wskadzamy do więzienia.

Więc nie popadajmy w paranoję bezpieczeństwa. Autoryzacja tu nie jest potrzebna. JAk będziemy dyskutowali o dostępie do danych otrzymywanych z ZUS to możemy podyskutować o możliwościach autoryzacji.

BTW: Ja składam deklaracje do ZUS podpisane bezpiecznym podpisem.

Panie Michale prosiłbym bez takich demagogicznych argumentów. Wskazałem tylko na to, że możliwości nadużyć są. To ZUS podjął decyzję czy jest to dla niego ważne i jakie zabezpieczenia są odpowiednie. My tylko sobie spokojnie i kulturalnie oceniamy to podejście.

Czyżby był Pan zdania, że zupełnie nie ma sensu stosowanie środków prewencyjnych w celu uniknięcia nadużyć? Ja uważam, że zawsze należy się co najmniej nad tym zastanowić i jeśli istnieją możliwości dobre organizacyjnie i nie utrudniające życia zbytnio wszystkim, to należy je wdrożyć. Być może w tym wypadku dałoby się coś zrobić w tym kierunku.

Dla jasności raczej nie trzeba porównywać tego zagadnienia do zagadnień z banków lub z każdego zakresu w którym jest ściśle regulowana poprzez szczegółowe umowy. Z bankiem podpisujemy umowę w której szczegółowo opisujemy w jakim zakresie i za co odpowiadamy, tu zakres jest zupełnie inny, tu mówimy ogólnie o podejściu do autoryzacji, autentykacji i zapobiegania fraudom.
Ogólnie kwestię autentykacji rozwiązuje certyfikat kwalifikowany, natomiast autoryzacja i zapobieganie fraudom jest tematem obszernym i bardzo źle zaprojektowanym w omawiany rozwiązaniu ZUSowskim. Pan Krawczyk ma racje, należy zastanawiać się nad sposobem wykorzystania certyfikatów kwalifikowanych w każdym oddzielnym projekcie, bo administracja publiczna ma zbyt szeroki zakres prowadzonych spraw i należy oddzielnie w każdym projekcie zadbać o bezpieczeństwo autoryzacje i zapobieganie fraudów.
Jeżeli teraz ZUS pozwala na złożenie deklaracji w imieniu dowolnego podmiotu przez mocno autoryzowanych uzytkowników, co oczywiście jest łatwiejsze dla użytkownika niż w przypadku założeń z projektu e-Deklaracje to jutro możemy mieć sytuacje gdzie każdy może wszystko za każdy podmiot. Wyobraźmy sobie jakie konsekwencje takiego podejścia mogą być w serwisach aukcyjnych dla firm, deklaracjach celnych, przetargach. Jak dla mnie założenie ZUS brzmi "Każdy może wszystko za każdego, a później jakoś w tym się połapiemy i to się ustabilizuje" co jest oczywistym błędem, źle zaprojektowany system tylko zwiększy bałagan, a wraz ze wzrostem ilości użytkownikó poziom entropii rośnie(ciekawe jest czy ZUS zakładał testy rollback, tak by w dowolnym momencie wrocić do wydawanaia swoich certyfikatów). Dlatego właśnie jestem za ROZWAŻNYM podejściem do wrożeń związanych z elektronizacją, bo należy zadbać o to by procedury byli modyfikowalne w świtle zmieniającego się prawa, nie możemy polegać tylko i wyłącznie na mocnej autentyfikacji certyfikatu kwalifikowanego, bo zachwilę coś ustawodawcy się odwidzi i wprowadzony zostanie certyfikat zaawansowany w wersji plikówej z własnymi CA w firmach i bez roota krajowego, wtedy pojawia się konieczność wprowadzenia kosztowbych i nie trywialnych zmian w systemach, procedurach, obiegach spraw.
Stosowanie rozwiązań nie zupełnie elektronicznych, łączacych cechy papieru i postępowania elektronicznego jest bezpieczne. łącząc silną autentyfikacje certyfikatów kwalifikowanych i uciążliwą ale skuteczną hybrydową autoryzację papierowo-elektroniczną mamy bezpieczne i nie znacząco funkcjonalnie ograniczone(coś za coś) rozwiązanie(do iniciacji procesu elektronicznego wymagany papier). Takie rozwiązanie z resztą jest przyjęte nie tylko w e-deklaracjach ale i w e-fakturze(TP). Powodem stosowania takiego typu rozwiązań jest właśnie wyższy poziom bezpieczeństwa, kontrola nad procesem, użytkownikami zaagażowanymi w proces i ich uprawnieniami. Proszę mi wierzyć że zdarzają się wyłudzenia bilingów z telefonu męża przez żonę zamawiającą fakturę elektroniczną, nawet to może powodować konsekwencje prawne dla wszystkich trzech stron(żona, mąż i telekom). Sądy nie są z kolei przygotowane ani na większą ilość spraw, ani na postępowania elektroniczne ani nawet na większość spraw związanych z przestępczością elektroniczną(a jeżeli będziemy mieli elektronizację związaną z oświadczeniem woli na skalę masową to z pewnością ilość takich spraw będzie rozsnąć). Z tych kilkunastu specialistów od podpisu elektronicznego, bezpieczeństwa i kryptografii których znam żaden nie wypowiedział się pozytywnie na temat stanu widzy biegłych sądowych... A takie sprawy z penością powstaną, ZUS w obecnym kształcie zachęca do tego każdego krętacza, tak jak by zachęcał "Oszykaj nas a my będziemy cię ścigać i być może znajdziemy..."
Też nie przypuszczam by kwestia takiej otwartości ZUSu na dowolne certyfikaty do każdej z firm była arbitralna. Najgorsze jest to że nie potrafię sobie wyobraźić wszystkich możliwych niegatywnych skutków takeigo podejścia w skali masowej, przez dłuższy czas i jednocześnie zastanawiam się czy to już działa produkcyjnie?

Widzę to już jak za pomocą kilku ograniczonej ilości certyfikatów kwalifikowanych zdobytych w sposób daleki od przedstawienia SWOICH dokumentów w Centrum certyfikacji przeprowadza się atak DoS na ZUS. i Pada cały ZUS, call center obdzwania kilka tysięcy firm, system przestaje przyjmować nowe deklaracje, kolejki się przepełniają, system się wyłącza na "przerwę techniczną" ktoś gorączkowo szuka "sprawców"... Tak przyszłość jest możliwa dzięki "ułątwieniom"

Kwalifikowany podpis w ZUS nie potrzebuje dodatkowej autoryzacji!
ZUS jako pierwszy zauważył, że nie jest potrzebna żadna autoryzacja do składania deklaracji. Jako ekspert z zakresu podpisu elektronicznego i bezpieczeństwa systemów teleinformatycznych mogę potwierdzić, że jest to droga słuszna i nie powoduje niezbezpieczeństwa nadłużyć. A teraz kilka powodów:
1. Czy jak składamy delkarację papierową uwierzytelniamy się jakoś specjalnie -> NIE wystarczy podpis.
2. Czy jak składamy PIT papierowy to uwierzytelniamy się - NIE wystarczy tylko podpis.
3. To dlaczego jest to bezpieczne? Bo deklarację trzeba złożyć raz w miesiącu (lub w ustalonym czasie) -> i wiadomo, że jak się jej nie złoży to jest problem.
4. Każdy kto podpisze deklaracje może być jednoznacznie zidentyfikowany, a on sam bierze za nią odpowiedzialność - w tym odpowiedzialność karną - więc jakie jest niebezpieczeństwo naruszenia?

Rozwiązanie w zakresie deklaracji przyjęte przez Ministerstwo Finasów jest ZŁE, znacząco ogranicza rynek podpisu elektornicznego i wprowadza zabezpieczenie nieadekwatne do poziomu wymaganego bezpieczeństwa. Dodatkowo próbują uzależnić możliwość skłądania deklaracji elektronicznie od uprzedniej zgody papierowej - GŁUPOTA, GŁUPOTA, GŁUPOTA.

Dlatego liczę, że tak zacny portal jak ipsec.pl będzie wspierał sensowne rozwiązania ZUS w zakresie wykorzystania bezpiecznego podpisu przeciwieństwie do dziwnych rozwiązań forsowanych przez Ministerstwo Finasów. Pamiętajmy, że każdy kto podpisze deklaracje bieże za nią odpowiedzialność i nie spodziewam się, że będą ludzie, którzy swoim nazwiskiem będą chcieli podpisać fałszywe deklaracje.

Polecam mój artykuł w CW: http://publicstandard.pl/artykuly/56981.html

Otóż właśnie dlatego napisałem, że prawdopodobnie ZUS wie co robi.

Skomplikowanie rozwiązania MF w postaci ZAW-E1/E2 też opisywałem, bo właśnie przechodziłem go niedawno w związku z wymianą certyfikatu na nowy, co wiąże się z koniecznością wykonania całej papierkowej procedury od nowa (absurdem jest swoją drogą fakt, że dla odnowienia certyfikatu muszę jeździć do centrum rejestracji ze wszystkmi papierami).

Natomiast co do celowości autoryzacji certyfikatu dla danej operacji trudno mi się wypowiadać bez znajomości szczegółów konkretnego procesu biurokratycznego oraz odpowiedzialności z nim związanej.

Proszę zauważyć, że w momencie złożenia deklaracji np. VAT powstaje obowiązek przelania zadeklarowanej kwoty do US, czyli fałszywą deklaracją można spowodować, że ktoś takie zobowiązanie będzie musiał odkręcić. Pytanie na ile to jest realny atak i ile takich przypadków ZUS miał w świecie papierowym. Bo jak chce się komuś dołożyć to zawsze można też złożyć fałszywy donos...

Ale mamy przecież kwestię np. zwrotów VAT - u numeru konta do zwrotu, który też jest zapewne zgłaszany w deklaracji. Podobny mechanizm występuje chyba w PFRON. I tutaj pojawia się realna możliwość ataku przez zgłoszenie fałszywego numeru konta i przejmowanie cudzych należności.

I znowu pytanie na ile to jest łatwe w przypadku formularza papierowego? Wydaje mi się, że w każdym przypadku należy kierować się tutaj racjonalną analizą ryzyka, oceniając możliwe zagrożenia ale nie tracąc równocześnie z pola widzenia stanu obecnego. Przypuszczam, że tak właśnie zrobił ZUS.

No nie, nie zgodzę sie tu z Panem.

Chciałem przetestować działanie systemu e-deklarację(np. po to by wytłumaczyć kadrowej i księgowej jak to się robi) to sobie złożyłem deklarację która została słusznie odrzucona. Działalem świadomie, dlatego że wiem że składając deklarację za firmę w której pracuje niv mi nie grozi ponieważ NIE JESTEM UPRAWNIONY DO TAKIEGO TYPU DZIAŁAŃ, ponieważ nie posiadam pełnomocnictwa.

A teraz wyobrazi Pan sobie scenariusz, jak w średniej firmie, zatrudniającej ze 20-30 osób, jeden admin-helpdesk dostaje polecenie zainstalować i PRZETESTOWAĆ działanie certyfikatu kwalifikowanego w ZUS(ponieważ podczas comiesięcznych deklaracji NIC NIE MOŻE SIĘ SPÓŹNIĆ). Oczywiście najrozsądniejszą metodą takiego testu będzie test na danych dalekich od produkcyjnych(ściąga sobie płatnika, instaluje certyfikat i dla żartu wpisuje nazwę firmy dostawcy, kolegi, wujka lub naprzykład Trusted Information Consulting Sp. z o.o, 02-672 Warszawa, ul Domaniewska 41 A) Jaka odpowiedzialność i dla kogo, w jaki sposób oceniona i czym się odbije dla obu stron powinien pokazać sąd... Swoją drogą ciekawe zagadnienie w jaki sposób ZUS odróżni prawdziwą deklarację od fałszywej.

Widzę też niebezpieczeństwo psucia nerwów firmom ZUSowi, i nie wiadomo komu jeszcze z użyciem certyfikatów załatwionych na "słupy" i celowe złożenie deklaracji ZA wskazaną firmę.

Ba, nawet więcej, wiemy że złożenie podpisu z wykorzystanie smart cardów w zwykłym środowisku biurowym jest zupełnie nie bezpieczne, z lekkością mogę sobie wyobrazić program który przechwytuje kod pin do podpisywania dowolnym z certyfikatów kwalifikowanych, znając z praktyki gdzie księgowe, kadrowe, pracownicy biurowe przechowują kartę(często w czytniku podpiętym do stale włączonego komputera) widzę możliwość wysyłki w ramach "żartu koleżeńskiego" czegoś co powoduje odpowiedzialność karną w skali MASOWEJ do ZUS.

Ogólnie, innowacyjne usługi elektroniczne, które się wiążą z odpowiedzialnością karną, skarbową jaką kolwiek związaną z niezaprzeczalnością moim zdaniem należy wprowadzać bardzo rozważnie i ostrożnie. Dlaczegoś przecież nadal nie można całkowicie elektronicznie założyć konta w banku, lub kupić telefon na abonament a banki to instytucje które bardzo dobrze liczą pieniążki za autoryzację związaną z papierkami i obsługą białkową(w oddziale), z kolei telekomy tworzą, praktycznie tworzą nowe innowacyjne rozwiązania i bardzo chętnie z nich korzystają.

W przypadku usług administracji publicznej jest nawet gorzej, bo zasady odpowiedzialności (i jej braku) przy korzystaniu z usług banku są określone zawsze precyzyjną umową, podpisywaną z bankiem przez konkretną osobę.

W przypadku administracji takiej umowy nie ma, a zobowiązania obu stron wynikają z przepisów, które siłą rzeczy są bardzo ogólne. Dlatego zdefiniowanie wymagań prawnych i technicznych dla usług publicznych jest tak trudne.

A propos, obszerna lektura w temacie o którym rozmawiamy: IDA(BC) Authentication Policy.

Może ZUS weryfikuje dane po tym jak otrzymał?? Nie zawsze autoryzacja musi polegać na niemożliwości wykonania czynności dla błędnie autoryzowanych. Możliwe również że to tymczasowa funkcjonalność po to by w lipcu nie okazało się że 90% posiadaczy certyfikatów nie są upoważnieni do składania w imieniu swoich firm danych do ZUS...

Możliwe. W weryfikację post factum wątpię, bo przecież dany podmiot - np. biuro rachunkowe - może składać deklaracje za kogoś legalnie. Tylko że w obecnej wersji nie widać nigdzie mechanizmu, który pozwoliłby właśnie odróżnić uprawnione złożenie deklaracji od nieuprawnionego...

Ja bym to rozwiązał (obszedł) na poziomie audytu.
Jeśli wiadomo (jest w logach), że Kowalski co miesiąc wysyła deklaracje za firmę X, to jeśli raz deklarację przyśle Nowak - odpowiedni pracownik powinien ustalić, dlaczego tak się stało.

Ogólnie do bezpieczeństwa można mieć dwa podejścia: albo ufać ludziom, albo im nie ufać. Jeśli będziemy ufać, świat będzie lepszy (choć policja będzie miała dużo więcej pracy). Jeśli nie ufamy, to wszystko, co robimy, staje się strasznie trudne (a policja ma troszkę mniej pracy - choć tylko troszkę, bo zawsze znajdzie się cwaniak, który znajdzie jakieś obejście). Ja osobiście, przynajmniej na poziomie "filozoficznym", jestem zwolennikiem tego, by świat był lepszy :), i popieram upraszczanie życia obywateli (w końcu to oni są najważniejsi) kosztem - za przeproszeniem - "dupochronów" dla administracji. Bardziej technicznie: koszt (ekonomiczny, społeczny, edukacyjny) stosowania "dupochronów" jest niewspółmiernie wysoki w porównaniu z zyskami (ekonomicznymi, społecznymi, edukacyjnymi), które wynikają z ich braku, nawet przy uwzględnieniu ryzyka cwaniactwa.

--
Pozdrawiam,
Łukasz

Taaak, wszystko piękne: trochę pracy dla jednego, trochę mniej dla drugiego, lepszy świat dla lepszych ludzi... tylko że problem nie w "trochę pracy" tylko w tym że źle zaprojektowany i źle zorganizowany system próbują wdrożyć na taką skale... coś mi tu śmierdzi, aha, chyba to że "trochę pracy" przybędzie i dla ZUS i dla policji i dla firmy którą chcą usunąć z jakiegoś przetargu, postępowania itd... to że dDos atak to nie fikcja tylko rzeczywistość, to że jeżeli onet wpadnie na pomysł braku autoryzacji dla kont pocztowych, to będzie to "lepszy świat" lub prawo jazdy będzie sprawdzane tylko po stłuczce lub wykroczeniu?

RMS przez dłuugi czas nie używał haseł - i nie narzekał :).

Ja nie twierdzę, że należy całkowicie zrezygnować z zabezpieczeń. Twierdzę jedynie, że zawsze znajdzie się cwaniak, który te zabezpieczenia złamie.

Proszę zauważyć, że DDoS jest faktem - i nie ma możliwości się przed nim zabezpieczyć - zawsze znajdzie się jakiś cwaniak, który ewentualne zabezpieczenia obejdzie. Natomiast DDoS podpisany certyfikatem kwalifikowanym ma taką ciekawą cechę, że można wysłać do delikwenta kilku dobrze zbudowanych panów i w ten sposób zlikwidować źródło ataku.

Bezpieczeństwo to nie jest cel sam w sobie - ma służyć konkretnym zadaniom. Jeśli z analizy ryzyka wynika, że koszt wprowadzenia zabezpieczeń jest wyższy niż potencjalne zyski - należy dać sobie spokój, ewentualnie opracowując odpowiednie plany awaryjne.

A to, która firma akurat się przy tym napracuje - cóż, nie mieszajmy się w "politykę" ;-).
--
Pozdrawiam,
Łukasz

"Kontrola podstawą zaufania" - Włodzimierz Ilicz Lenin. Cytuję z pamięci za mottem jednej z kapitalnych publikacji o analizie ryzyka panów Lidermana i Patkowskiego z WAT :)