Od kilku miesięcy na stronie projektu e-PUAP czytaliśmy optymistyczne komentarze o uruchamianiu kolejnych usług "zgodnie z harmonogramem". Projekt, którego głównym celem jest udostępnienie urzędom platformy do uruchamiania skrzynek podawczych został otwarty dla "skrzynkodawców" i "skrzynkobiorców" 1 maja. Lepiej byłoby jednak chyba opóźnić jego premierę aż zacznie działać...
Od ponad tygodnia w dyskusji na stronie Piotra Waglowskiego dyskutanci z obu stron systemu wymieniają się uwagami - głównie na temat tego, czego nie udało im się zrobić. Sądząc po komentarzach i moich własnych doświadczeniach system e-PUAP ma bardzo poważne problemy.
Poza wątpliwościami co do kompetencji zespołu, który do publicznej sieci wystawia serwis pełen ewidentnych błędów konfiguracyjnych i mający praktycznie bez przerwy problemy wydajnościowe nasuwa się pytanie o bezpieczeństwo danych osobowych, które - jeśli tylko serwis zadziała - zaczną być w nim licznie gromadzone.
Co konkretnie można zarzucić obecnej wersji e-PUAP? Chyba przede wszystkim to, że po prostu nie pozwala zrobić tego do czego został uruchomiony - to znaczy złożyć podpisanego elektronicznie wniosku do urzędu. Poniżej kilka wybranych problemów jakie w nim zauważono:
- 6 maja jeden z użytkowników opisuje błąd, jaki pojawia się podczas próby założenia skrzynki podawczej: "The value "Z o enie pisma lub podania ( dania, wyja..." cannot be constructed as, or cast (using an implicit or explicit cast) to the data type "VARCHAR". Error QName=err:FORG0001". Sądząc z brzmienia, jest to wynik błędu programistycznego lub w konfiguracji bazy danych. Jeszcze większym błędem jest jednak to, że użytkownik systemu w ogóle taki komunikat widzi - oznacza to, że serwer działa prawdopodobnie na ustawieniach domyślnych lub nadal na developerskich.
- Tego samego dnia podczas szkolenia z podstaw podpisu próbowałem z kursantami zrobić w e-PUAP cokolwiek, niestety bezskutecznie. Próba choćby założenia konta z poziomu Firefoksa kończy się zawsze przekroczeniem czasu oczekiwania na połączenie lub przekierowaniem do jakiejś pustej strony. Jednemu z kursantów udało się w końcu założyć konto przy pomocy Internet Explorera. Niewiele mu jednak z tego przyszło, bo po zalogowaniu katalog spraw jest całkowicie pusty - pomimo, że przed zalogowaniem jakieś sprawy były w nim widoczne.
- Nieco później, od połowy dnia na stronę e-PUAP w ogóle nie da się wejść żadną przeglądarką - wygląda na to że serwis ma poważne problemy wydajnościowe albo padł w ogóle.
- Po pewnym czasie jeden z czytelników serwisu Vagla.pl zgłasza, że przy próbie zalogowania dostał błąd "500 Internal Server Error" i komentuje: "O tym jak ten serwer jest skonfigurowany, niech świadczy ten komunikat: Please contact the server administrator, you@your.address". Przy okazji z komunikatu błędu można się dowiedzieć, że serwer, który się wysypał to "IBM_HTTP_Server/6.0.2.25 Apache/2.0.47 (Unix)".
- 7 maja przy próbie zalogowania się, po wpisaniu danych i oczekiwaniu przez 3 minuty dostaję komunikat "Error 500: Filter [SecurityFilter]: filter is unavailable" i na tym koniec.
- 8 maja strona główna serwisu ładuje się niekompletnie - to znaczy widać sam templejt, grafikę i tak dalej, ale brak jest... jakichkolwiek linków.
- 9 maja rano udało mi się zalogować i wejść do jakiegoś wniosku z poziomu
Firefoxa. Niestety, na stronie wniosku przeglądarka próbuje załadować plugin
EpuapSign.xpi (który według deklaracji serwera ma 4194 MB
czyli ok. 4 GB - tyle pokazuje Firefox podczas ściągania). Po kilku sekundach proces ściągania wysypuje się jednak
z komunikatem "Błąd podczas instalacji komponentu EpuapSign because
signing could not be verified". I dalej nic się nie da zrobić z takim wnioskiem.
- Nieco później przy pomocy MSIE udaje mi się wypełnić jakiś wniosek. Po wypełnieniu próbuję ten wniosek podpisać podpisem kwalifikowanym,
wciskam przycisk Podpisz, ale niestety pojawia się komunikat MSIE
"błąd na stronie" i tyle...
- Próbuję więc dokument zapisać ale dostaję od serwera błąd HTTP 408 — Limit czasu żądania lub HTTP — 409 Konflikt. Przyznam, że pierwszy raz w życiu widzę taki komunikat HTTP, więc korzystanie z e-PUAP jest w pewnym sensie pouczające.
- Jeśli już uda się do nich wejść, to wszystkie formatki z danymi urzędów zawierają linki do stron w domenie www.crd.gov.pl czyli - jak się domyślam - Centralnego Repozytorium Dokumentów, która jednak od dłuższego czasu w ogóle nie działa. Jaki jest cel ich publikacji - lub dlaczego nie działa CRD (z różnych publikacji w sieci wynika, że co najmniej w październiku 2007 działało)?
- Nie działa wyszukiwarka na stronie e-PUAP - co można łatwo sprawdzić wpisując np. słowo kluczowe "ministerstwo finansów", które zwraca pustą listę wyników. Tymczasem przeglądając katalog spraw ręcznie można znaleźć stronę usług oferowanych przez MF.
- 14 maja przez pół dnia w ogóle nie można połączyć się z serwerem e-PUAP. Pod wieczór serwer pokazuje błąd "SRVE0017W: A WebGroup/Virtual Host to handle / has not been defined. SRVE0017W: A WebGroup/Virtual Host to handle / has not been defined. IBM WebSphere Application Server".
- Nie bardzo też rozumiem, po co podczas zakładania konta wpisywałem pracowicie wszystkie dane (NIP, PESEL, REGON, adres itd), skoro w każdym wniosku trzeba je wpisać ręcznie od zera?
- Jedyna forma kontaktu z obsługą serwisu to telefon podany na stronie "Kontakt". Niestety, jest on permanentnie zajęty. Rezultat jest taki, że zamiast zgłaszać powyżej opisane błędy emailem, użytkownicy wywnętrzają się na portalach.
Podsumowując, po wyżej opisanych objawach można sądzić że system e-PUAP został oddany do publicznego użytku we wczesnej wersji uruchomieniowej. Mam szczerą nadzieję, że nikt jeszcze nie podpisał protokołu odbioru zamówionego za systemu?
W tym kontekście jak żart brzmi sugestia rządu, że e-PUAP wkrótce przejmie rolę głównego centrum federacji tożsamości, mającego zastąpić częściowo certyfikat kwalifikowany w komunikacji z urzędami (na stronie e-PUAP jest to wspomniane jako SSO czyli Single Sign-On). Przed wprowadzaniem nowej funkcjonalności, należałoby najpierw doprowadzić do końca obecną.
Na dzień dzisiejszy serwis e-PUAP w praktyce nie spełnia swojej zadeklarowanej funkcjonalności czyli skrzynek podawczych dla urzędów dostępnych dla obywateli.
Moje wątpliwości wzbudza też poziom ochrony danych osobowych jaki może zapewniać (lub nie) taki serwis skierowany we wczesnej wersji uruchomieniowej do produkcji. Czy cały system został przetestowany pod kątem bezpieczeństwa (np. w teście penetracyjnym)?