Odpowiedź ZUS w sprawie certyfikatów atrybutów
W połowie kwietnia 2009 roku ISOC-PL wystosował do ZUS wniosek o udostępnienie informacji publicznej na temat zasadności wprowadzenia certyfikatów atrybutów do KSI. Poniżej prezentujemy odpowiedź ZUS.
Wniosek miał następującą treść: na podstawie art. 2 ust. 1 ustawy o dostępie do informacji publicznej z dnia 6 września 2001 r. (Dz. U. Nr 112, poz. 1198) zwracam się z prośbą o udostępnienie informacji w następującym zakresie:
- Treść notatki lub wniosku, w którym ZUS zaproponował wprowadzenie art. 63 (certyfikaty atrybutów) do projektu ustawy o podpisach elektronicznych podczas konferencji uzgodnieniowej zorganizowanej przez Ministerstwo Gospodarki w dniu 11 marca 2009, wraz z uzasadnieniem wprowadzenia tego przepisu oraz ewentualnymi zewnętrznymi lub wewnętrznymi analizami i opiniami, które doprowadziły do takiego uzasadnienia.
- Informacja o tym, czy to ZUS był inicjatorem wprowadzenia do ustawy o informatyzacji podmiotów publicznych z 2005 roku artykułu 40 ust. 5, wprowadzającego wymóg stosowania certyfikatu kwalifikowanego zamiast dotychczasowych certyfikatów wydawanych przez dedykowana centrum certyfikacji. Jeśli ZUS był inicjatorem tej zmiany, to prosimy o udostępnienie uzasadnienia celowości zastąpienia dedykowanej infrastruktury PKI certyfikatami kwalifikowanymi, wraz z ewentualnymi opiniami i ekspertyzami jak wyżej
ZUS udzielił odpowiedzi w ustawowym terminie, prezentujemy ją poniżej.
| Załącznik | Rozmiar |
|---|---|
| Odp_ZUS_990100-2009.pdf | 438.54 KB |
- Zaloguj się lub zarejestruj by odpowiadać
- Generate PDF file
- Wersja do wydruku
Odpowiedzi
Przykład PIT-37 zachęca ale....
Firmę wysyła deklarację do ZUS samodzielnie (podpis pracownika) lub wykorzystując biuro rachunkowe które dokonuje tej czynności w imieniu płatnika składek (podpis pracownika biura).
Płatnik składek po to wynajmuje sobie biuro, aby nie posiadać certyfikatu oraz adresu pocztowego.
Lista mechanizmów do zabezpieczenia informacji o prawie do występowania w imieniu podmiotu:
* o ZUS posiada informację o pracownikach firmy i sposobach dotychczasowej komunikacji – np. adres email firmy – wystarczyłoby mechanizm, Wniosek, Przekazanie danych w ustalonym wcześniej kanale (np. ustalonym w deklaracji złożonej w poprzednim miesiącu)
W przypadku gdy deklarację składa pracownik biura, który rozlicza płatnika
to dane z poprzedniego miesiąca trudno uznać za wiarygodne.
* Baza pełnomocnictw ZUS
To mogłoby stanowić wartość pod warunkiem że poprzez dane z bazy udałoby się połączyć zawartość identyfikatorów pobranych z certyfikatu kwalifikowanego z danymi płatnika które chce otrzymać.
Niestety jeszcze ustawodawca musi pozwolić na funkcjonowanie takich
rejestrów w poszczególnych urzędach ZUS/US/...itd...
* Zaufany profil organizacji ePUAP – to jest mechanizm, w którym możemy potwierdzać, że dana osoba występuje w imieniu organizacji
Przed przeczytaniem http://prawo.gazetaprawna.pl/wywiady/320345,zaufany_profil_zastapi_e_pod...
miałem nadzieje że zaufany profil ma coś wspólnego z Windows CardSpace lub OpenID. Ale widać nie szukano technologii które mogłby pozwolić
na dostęp do wielu urzędów bez pośrednictwa e-Pułapu.
Jeśli w e-pułapie w zaufanym profilu osoba będzie miała swoje dane identyfikacyjne i dodatkowo swojego pracodawcy to nie rozwiązuje problemu autoryzacji pracowników biur rachunkowych działających w imieniu płatnika przy dostępie do informacji (bo to nie ich pracodawca).
* Certyfikaty atrybutów do certyfikatów kwalifikowanych wydawane przez sam ZUS lub inne instytucje publiczne
Fakt, że tych certyfikatów atrybutów nie muszą wydawać kwalifikowane centra a mogą to robić instytucje państwowe.
Od strony zawartości informacyjnej można do nich wpisać wiele.
Ich termin ważności nie przekroczy terminu ważności certyfikatu z którym
są związane więc maksymalnie to 2 lata.
Pozostają jednak problemy technologiczne.
RFC opisujące ich funkcjonowanie nie podlega aktualizacji od kilku lat (moim zdaniem martwe).
Od kilku lat usługa wydawania certyfikatów atrybutów niby działa na polskim rynku ale nikt tych ich nie widział.
Nikt nie potrafi wskazać na świecie usługi e-Gov która działałby w oparciu o te mechanizmy.
* Dostęp do rejestru KRS lub rejestru działalności gospodarczej w zakresie osób mających prawo do reprezentacji
Co płatnika obchodzi kogo dokładnie zatrudnia jego biuro rachunkowe.
Wydaje się że docelowymi rozwiązaniami mogą być:
-mechanizm certyfikatów atrybutów (będzie trudno bo to technologia martwa i cieżko integrowalna)
-mechanizm OpenID/Windows CardSpace (cały czas następuje rozwój tych technologii i łatwa integracja)
Obie te rzeczy moga być wydawane zarówno przez urzędy państwowe jak i centra kwalifikowane. Najważniejsze, że oba rozwiązania pozwalają na powiązanie z certyfikatami X509v3 (np. zarówno kwalifikowanym jak i tym który będzie w dowodzie osobistym).
Istotnie jesteśmy krajem, w którym pieczątka ma najważniejsze znaczenie. Co ciekawe nie chodzi tutaj o jakieś super zabezpieczenie, tylko o zwykłą pieczątkę – do wyrobienia sobie w 10 minut – bez żadnych dokumentów.
Do niedawna chwaliłem ZUS, że nie żąda specjalnych dodatkowych poświadczeń, a ganiłem Min. Fin za tzw. ZAWki. Ale co się ostatnio zmieniło ostatnio – udało mi się przekonać Min. Fin do PIT37 z podpisem w elektronicznym w postaci kwoty z zeszłorocznego PIT, a ZUS próbuje wprowadzać kosztem płatników składek dodatkowe zabezpieczenia w postaci certyfikatów atrybutów.
Wracając do meritum: certyfikaty atrybutów są dobrym mechanizmem wskazującym na uprawnienia osoby fizycznej, ale zanim się zacznie stosowanie jakichkolwiek mechanizmów potrzebna jest przeprowadzenie analizy:
• analizy ryzyka (związana z bezpieczeństwem)
• analizy biznesowej (kosztów i zysku)
Jak przyzwyczailiśmy się, administracja publiczna - żadko robi takie analizy. A przecież:
„Bezpieczeństwo to stosowanie środków adekwatnych do tego co się chroni”
• Pytanie 1 : Czy do składania deklaracji jest potrzebne stosowanie silnych mechanizmów potwierdzających uprawnienia osoby w danej organizacji?
Odpowiedź: NIE
• Pytanie 3: Kiedy może być potrzeba posiadania informacji o uprawnieniach do występowania w imieniu podmiotu?
Odpowiedź: Tylko wtedy gdy żądamy dostępu do danych osobowych.
• Pytanie 2: Czy są inne mechanizmy do zabezpieczenia informacji o prawie do występowania w imieniu podmiotu?
Odpowiedź: TAK – poniżej ich lista:
Zastosowanie tylko jednego mechanizmu (czyt. certyfikatów atrybutów wydawanych przez podmioty świadczące usługi kwalifikowane) na poziomie ustawy prowadzi do dwóch rzeczy: wzrostu klientów centrów świadczących usługi kwalifikowane i ograniczenia usług e-administracji.
Publicznie mogę tutaj oświadczyć, że tak jak społecznie pomogłem zrobić dobry mechanizm Ministerstwu Finansów dla PIT37, tak mogę pomóc społecznie ZUS w zrobieniu mechanizmów, które będą adekwatne do potrzeb, a będą należycie zabezpieczać zarówno ZUS jak i płatników składek.
Michał Tabor
Problem "certyfikatów atrybutów" w ZUS tak naprawdę problem zbudowania ogólnopolskiego rejestru pełnomocnictw. Same certyfikaty to jedynie techniczne mechanizmy, umożliwiające praktyczne uruchomienie takiego rejestru. Dlatego dyskusja powinna toczyć się w dwóch warstwach:
* funkcjonalnej: jak zapewnić działający elektroniczny rejestr pełnomocnictw?
* bezpieczeństwa: jak zapewnić, by podmioty, obsługujące rejestr pełnomocnictw, były zaufane i dostarczały dane wysokiej jakości?
Dyskusja natomiast często toczy się na poziomie: "Czy certyfikaty atrybutów opisane w RFC 3281 i centra certyfikacji są fajne?" RFC 3281 to tylko rozwiązanie techniczne; jeśli ktoś go potrzebuje, należy mu je udostępnić, a to, jak z tego skorzysta, to już tylko i wyłącznie jego sprawa. Dlatego też w dyskusji powinno się rozumieć certyfikaty atrybutów nie jako strukturę z RFC, ale jako byt, umożliwiający w sposób bezpieczny i wydajny potwierdzenie, że dany podmiot posiada pewne cechy. W tym rozumieniu "certyfikatem atrybutów" może być nawet podpisana elektronicznie wiadomość e-mail - ważne, by mogła spełniać funkcję biznesową certyfikatu atrybutów. A bez takiego bytu w ustawie może się to okazać trudne.
Podobnie nie należy zastanawiać się, czy oddawać takie zadania w ręce centrów certyfikacji, ale jak umożliwić świadczenie takich usług przez firmy prywatne. Obecnie muszą one zostać centrami certyfikacji, czego się boją (czytaj: nie opłaca im się); należy więc albo zmodernizować przepisy w tym zakresie, albo wprowadzić nowy byt, który jednak moim zdaniem byłby rozwiązaniem bardzo zbliżonym do centrów certyfikacji.
Samo zagadnienie zbudowania rejestru pełnomocnictw jest dużo bardziej skomplikowane, niż się to większości dyskutantów wydaje. Należy rozważyć wymagania prawne, stanowisko prawników i notariuszy, konieczność zapewnienia dostępności rejestru i umożliwienia dokonania zmian z każdego miejsca w Polsce. Nie rozmawiamy tutaj o niszowej usłudze dla kilku osób, ale o narzędziu, które powinno być powszechnie stosowane - rejestr powinien służyć zarówno państwu, jak i biznesowi. Do tego dochodzą takie kwestie, jak wysoka wydajność, odpowiedzialność prawna i materialna za jakość danych.
Rozwiązanie wydaje się warte przemyślenia. Tylko co zrobić, gdy pracownik otrzymujący korespondencję zwolni się w połowie miesiąca? Jak udostępnić komunikację kilku różnym osobom i jak rozwiązać problem różnych zakresu uprawnień tych osób? W praktyce sprowadza się to do zrobienia z poprzedniej deklaracji certyfikatu atrybutów.
Ten pomysł oznacza zbudowanie i eksploatację systemu pełnomocnictw za pieniądze publiczne, co z natury jest nieefektywne. Rozwiązanie ZUS zmierza do przerzucenia kosztów na podmioty prywatne, umożliwienie konkurencji itd.
Zauważmy, że ZUS nie został powołany do świadczenia usług certyfikacyjnych. Duże firmy starają się stosować w takim przypadku "outsourcing", by minimalizować ryzyko i problemy (koszty to nie tylko to, co widać w przetargach, ale też i koszty własne) i skupić się na prowadzeniu "core businessu". Alan Greenspan w "erze zawirowań" stwierdził nawet, że to właśnie specjalizacja jest wyznacznikiem postępu. Dlaczego ZUS miałby zachowywać się inaczej?
Rozmach i determinacja, z jaką promowany jest ePUAP, od dawna mnie zachwyca. Na podstawie moich dotychczasowych doświadczeń mam jednak wątpliwości, czy udźwignie on rozwiązanie tego problemu zarówno pod względem technicznym, jak i organizacyjnym. Poza tym nie rozumiem, czemu problem, który może zostać rozwiązany mechanizmami rynkowymi ma być w państwie kapitalistycznym załatwiany poprzez (zazwyczaj źle działające w polskich warunkach) mechanizmy centralnego planowania. Dlatego w tę stronę bałbym się pójść, pomimo (a może właśnie z powodu) sterty wydanych na ePUAP publicznych pieniędzy.
Czyli państwowa baza pełnomocnictw - o czym była mowa wcześniej.
KRS nie zawiera pełnych i aktualnych danych (zmiana wpisu trochę trwa), na przykład: nie jest w stanie zapobiec przekazania danych na wniosek zwolnionego właśnie prezesa. Nie spełnia więc wymagań jakościowych.
Pomijając to, że znów realizujemy to za pieniądze publiczne. Wątpliwości budzi też jakość danych w elektronicznych rejestrach państwowych i odpowiedzialność za tę jakość.
Być może dobrym pomysłem byłoby również zorganizowanie darmowego seminarium dla administracji publicznej z zakresu analizy ryzyka oraz analizy kosztów i zysków.
Może udałoby się znaleźć innych partnerów do takiej prezentacji, bo temat jest szeroki, palący i nie dotyczy tylko IT:
http://www.dziennik.krakow.pl/Artykul.100+M53a3acbb1c9.0.html
http://e-dp.pl/Artykul.100+M55b30cd798c.0.html
Głębokie problemy ze zrozumieniem zależności pomiędzy kosztem zasobu chronionego i kosztem zabezpieczenia wychodzą też przy okazji pomysłów administracji na domaganie się gwarancji na oprogramowanie o czym pisałem tutaj:
http://krawczyk.salon24.pl/105148,nie-udalo-sie-z-podpisem-to-wezmiemy-s...
Zgadzam się w pełni co do konieczności prowadzenia analizy ryzyka oraz analizy kosztów i zysków. Ja bym ten warunek rozciągnął na wszystkie regulacje prawne i jest to chyba oczywiste dla każdego, kto działa w warunkach gospodarki rynkowej.
Co do analizy ryzyka w ZUS to był poniekąd cel drugiego pytania - stwierdzić, czy taka analiza została przeprowadzona w 2005 roku kiedy w ogóle ten podpis kwalifikowany tam wprowadzono. Jak widać ZUS uniknął odpowiedzi na to pytanie stwierdzając, że to nie oni inicjowali tę nowelizację ustawy o ubezpieczeniach społecznych.
Na początku czerwca będę składał do MinFin wniosek o informację na temat liczby celowych fałszerstw i innych oszustw dokonanych przy okazji składania PIT-37 w kwietniu. Po jego uzyskaniu myślę że kilka stowarzyszeń branżowych mogłoby wystąpić ze stanowiskiem skierowanym do administracji publicznej by pomóc jej wyciągnąć wnioski z projektu PIT-37.