Dzisiaj dwie rzeczy: pomysły Pani Minister na informatyzację kraju a potem nieco o modelu informatyzacji.
Rząd ma pomysły…
Niedawno ukazał się wywiad z Panią Minister Streżyńską, w którym między innymi czytamy, że:
Minister cyfryzacji śpi ze smartfonem, awanturuje się ze strażnikami, że nie nosi dowodu osobistego – do tego stopnia, że w końcu da go obywatelowi i sobie w aplikacji. Nie rozwodzi się nad tym, co zepsuli jej poprzednicy, tylko bez znaków przestankowych mówi o tym, co sama zrobi, sprawiając wrażenie jedynej (Źródło: Mnie się nawet nie chce na Filarecką na Żoliborz jeździć po te wezwania i inne rzeczy, które mi tam przetrzymują ? 300POLITYKA ROZMAWIA Z ANNĄ STREŻYŃSKĄ)
Pochylmy się nad wywiadem z Panią Minister Streżyńską. Skupie się tylko na wybranych aspektach, tych które wzbudziły u mnie obawy.
[Pani minister] nie nosi dowodu osobistego ? do tego stopnia, że w końcu da go obywatelowi i sobie w aplikacji
Dowód osobisty (DO) stanowi potwierdzenie tożsamości Obywatela. Za każdym razem gdy tożsamość ta (jej uwiarygodnienie) jest konieczne “w terenie” (np. w celu uniknięcia podszywania się) pokazujemy DO. Teraz ma on postać zmaterializowaną w postaci zabezpieczonej karty plastikowej (kiedyś papierowy). Kluczowe cechy: trudny do podrobienia, możliwy do użycia zawsze, nie wymaga zasilania, nie można go “zhakować”. Wprowadzenie DO w formie aplikacji spowoduje to, że bardzo prawdopodobne będzie podrobienie, zanik zasilania (wyczerpana bateria) urządzenia będącego środowiskiem tej aplikacji, doprowadzi to stanu w którym nie mamy DO. Każdy, komu skończyła się bateria w urządzeniu do nawigacji w toku podróży, wie jaki to kłopot i stres. Czy tego chcemy? A jak sobie Pani Minister wyobraża przeforsowanie swojego pomysłu na granicach strefy Schengen?
? Bankowi się opłaca, że pan ma kartę. Państwo polskie jest monopolistą i jemu się nic nie opłaca. Ono nic nie musi, uważa, że klient musi i klient ma przyjść grzecznie poprosić, cieszyć się, że coś dostał. Zachowuje się jak typowy monopolista, który nikogo nie musi, a wszyscy mają go prosić. […] ? Mam zamiar skończyć z tym monopolem państwa.
Tego nie rozumiem. Po pierwsze Państwo z zasady jest monopolistą (co wynika z definicji tego czym jest monopol). Banki (i nie tylko) maksymalizują zyski, mają konkurencję. Państwo konkurencji “prawie” nie ma, o ile nie mamy na myśli emigracji. Rolą Państwa jest świadczenie usług na najwyższym możliwym ale wystarczającym (to z naszych podatków) poziomie, a to można osiągnąć jawnością projektów wdrażania tych usług i porównaniem osiągnięć z komercyjnymi podmiotami na rynku. Nie jest to proste (a co jest?), jednak nie mam pojęcia jak Pani Minister chce usunąć monopol Państwa.
Streżyńska wie, jak skorzystać z istniejących systemów komercyjnych, jak te bankowe, którymi obywatele na co dzień biegle operują: ? Trzeba zrobić jedną bramę do administracji
Nic odkrywczego, obecnie jest nią Poczta, kulawy ePUAP i praktycznie niewykorzystywany powszechnie e-podpis. Czy musi to być akurat ePUAP i e-podpis? Raczej nie:
Tabor, matematyk i informatyk z wykształcenia, myślał inaczej: ? Przeanalizowałem bazy danych ministerstwa finansów. Okazało się, że fiskus wie o swoich podatnikach na tyle dużo, że podpis jest zbędny. (Źródło: Jak moja prognoza się sprawuje czyli e-podpis po 13 latach | | Jarosław Żeliński IT-Consulting)
Co do “nienoszenia” DO przy sobie, pozostawię to bez komentarza, bo w wielu przypadkach w interesie Obywatela jest uwiarygodnić się przez Urzędnikiem Państwowym. Postawa Pani Minister w moich oczach wygląda raczej jak pieniactwo:
Zapytana o dowód osobisty minister Anna Streżyńska śmieje się i mówi: ? Nie noszę nigdy. Z powodu braku dowodu mam zawsze jakieś problemy, wykłócam się z konduktorami w pociągach, nie mogę wejść w jakiejś miejsce.
Tym bardziej, że korzystając z transportu publicznego wyraża zgodę na Regulamin przewozów danym środkiem komunikacji, który to Regulamin wymaga czasami uwiarygodnienia praw do np. imiennego biletu.
Minister cyfryzacji wspomina o dowodzie osobistym w smartfonie i to już za rok.
To mnie martwi, bo to znaczy, że usługa publiczna zostanie przekazana do realizacji w 100% małej grupie dużych prywatnych międzynarodowych korporacji (producenci smartfonów i operatorzy telefonii komórkowej), te zaś po pierwsze są nastawiona z zasady na zysk, po drugie jako lobbyści, dostaną do ręki nie lada środek nacisku na rząd i Państwo. Czy Pani Streżyńska jest lobbystą…?
Pytamy też o kolejny problem ?pierwszego świata?, zmorę młodych zapracowanych ? czyli listy polecone, które trzeba odbierać na poczcie: ? Mnie się nawet nie chce na Filarecką na Żoliborz jechać po te wezwania i inne dokumenty, które mi tam przetrzymują. Myślę, że tam już jest stos, bo programowo nie jeżdżę i nie odbieram korespondencji.
To mi wygląda na świadome szukanie kłopotów… o czym w dalszej części.
Nie chcą uruchomić usługi, która polegałaby na tym, że wskazuję im adres, pod którym mają tę korespondencję (a chodzi o tę z sądów czy z urzędów) przesłać fizycznie, no to dobra: jak fizycznie nie, to niech mi to otworzą, przeskanują i wyślą najlepiej na telefon, bo wtedy już nigdzie nie muszę iść, tylko mam informację, że muszę iść wezwanie na policje ws. mandatu, na Żwirki i Wigury do pokoju 10, tam się mam stawić o 10:00 do pani takiej i takiej i to wszystko, czego potrzebuję.
Ciekawe jak sobie Pani Minister wyobraża to skanowanie i potwierdzanie terminów doręczeń… Owszem, mamy bazę:
Poczta-Polska Usługi Cyfrowe to firma, która od 4 lat działa na rynku, ma zaskakująco niski efekt … […]
z powodu prawa które blokuje pewne operacje drogą elektroniczną, jednak okazuje się, że
za kilka tygodni wejdzie w życie ustawa o usługach zaufania, żeby można było dokumenty uwierzytelnione elektronicznie i dostarczone bezpiecznym e-doręczeniem uważać za równorzędne z oryginałem podpisanym, datowanym i popieczętowanym właściwymi pieczątkami. Faktury, zaświadczenia o niezaleganiu z podatkami, itd. itd.
czyli jakieś sztuczne to zaskoczenie “niskim efektem”, skoro znana jest przyczyna: aktualnie obowiązujące prawo (a nie Poczta Polska jest jego twórcą). A teraz coś, co mnie nieco zaniepokoiło:
? Miotła musi iść wszędzie ? mówi Streżyńska: ? Musimy się skoncentrować na tym, aby zinformatyzowaną administrację jakoś ułożyć systemowo, dlatego wymyśliliśmy coś, go nazywa się Główny Informatyk Kraju i to nie jest nowy organ broń Boże. To idea, czyli minister cyfryzacji, który musi mieć uprawnienia do horyzontalnego działania.
Pani Minister ma chyba ambicje bycia “Ziobrem informatyzacji”… taki “monopol na rację” nie wróży nic dobrego… Nie jestem zbudowany pomysłami Pani Minister. Centralizacja decyzji projektowych i wyborów rozwiązań dobrze nie wróży, wolał bym jednak ogłaszanie założeń i konkursy na rozwiązania.
Urząd z obywatelem wymienia informacje – elektroniczny dokument
Teraz dla wyjaśnienia moich obaw kilka słów o tym, z czym “walczymy”…
To co nazywamy usługą Urzędu, to szeroko pojęte decyzje administracyjne. Obywatel pisze do Urzędu (zwraca się do Państwa) “Podanie” a Urząd odpowiada. Z treści podania wynika to, jak zostanie ono obsłużone, zaś efekt, czyli treść odpowiedzi Urzędu, zależy od ustalonego stanu faktycznego. Urząd nie jest sądem o niczym nie decyduje, decyduje prawa, które Urząd stosuje. Poza rzadkimi wyjątkami (obywatel został wezwany) taki dialog z Państwem inicjuje obywatel. Wygląda to tak:
Mamy wiele Urzędów, wiele Rejestrów (zbiory danych np. o obywatelach, nieruchomościach itp.). Urzędy komunikują się między sobą i korzystają z Rejestrów. Obywatel może złożyć podanie na miejscu w Urzędzie lub skorzystać z Poczty Polskiej jako doręczyciela. Decyzja o wyborze Urzędu spoczywa na Obywatelu, jednak gdy ten podejmie złą decyzję i dostarczy podanie do niewłaściwego Urzędu, ten musi przekazać to podanie do Urzędu właściwego (dla sprawy) i powiadomić o tym obywatela. W tę stronę doręczycielem jest zawsze Poczta.
W celu dalszej analizy stworzymy pewne uogólnienie powyższego (metamodel):
Ten diagram został wzbogacony o dwa detale: zarówno Urząd jak i Obywatel przechowują dokumenty w Archiwum. Urząd musi to robić a Obywatel z reguły robi w swoim dobrze pojętym interesie ;).
Dla doprecyzowania modelu opiszę jeszcze czym jest dokument:
Każdy dokument (tu) składa się z zasadniczej treści oraz podpisu autora i osoby, której go doręczono. Dokument ma zawsze dane jego autora i może mieć dane osoby, która potwierdziła doręczenie jej tego dokumentu. Typowy rejestrowany dialog Obywatel – Urząd skutkuje analogicznym (w 100% zgodnym co do treści) kompletem dokumentów po obu stronach (Archiwum Obywatela i Archiwum Urzędu). Obywatel ma egzemplarze z podpisem Urzędu a Urząd z podpisem Obywatela, wraz z datami doręczenia. Jeżeli w tej wymianie pośredniczy Poczta potwierdzenia (tak zwane zwrotki) są “dołączane” do dokumentów. Datą doręczenia jest zawsze dzień przekazania dokumentu w Urzędzie lub Poczcie. Daty doręczeń są bardzo ważne bo bieg spraw i wzajemne zobowiązania są uzależnione od terminów. Podpis odręczny w wersji papierowej służy do dowodzenia tego, że jesteśmy autorem treści i że doręczyliśmy dokument np. Urzędowi. Celem jest jednak wiarygodność treści tych dokumentów, a nie składanie podpisu jako takiego.
Uważam, że bazowanie na jakiejkolwiek technologii szyfrującej to dalsze brnięcie w ślepą uliczkę, co czynimy od kilkunastu lat. Praktyka pokazała, że metody systemowe (organizacyjne, nie utożsamiajmy “systemowe” = “IT”) są skuteczne i nie prowadzą do rozdwojenia jaźni jak obecny podział na dokument papierowy i elektroniczny. Dokument to “treść” a nie “treść i nośnik”. W dobie powszechnego dostępu do internetu i elektronicznej komunikacji utożsamianie dokumentu z nośnikiem, nie ma sensu. Faktura (wrażliwy dokument a jednak bez podpisu, sprowadzany do zestawu określonych danych), deklaracje podatkowe, wiele dokumentów (a raczej treści) wymienianych drogą elektroniczną pomiędzy podmiotami gospodarczymi za ich obopólna zgodą, zwykłe (bez podpisów elektronicznych) emaile miedzy urzędami a obywatelem (praktykuję osobiście), masowo wykorzystywane numer telefonu lub adres email, do potwierdzania doręczenia i tożsamości… To są fakty, wystarczy umiejętnie wykorzystać te możliwości. Technokratyczne forsowanie bardzo zaawansowanych technologii (klucze asymetryczne, PKI) nie dało praktycznie żadnego rezultatu w sferze kontaktu Państwo – Obywatel, więc może pora z tego po prostu zrezygnować…
Całe to machanie smartfonem przez Panią minister wygląda jak zabawa podnieconego nastolatka, który ekscytuje się jakie to możliwości ma jego nowy telefon. Nie wiem co siedzi w głowie minister cyfryzacji ale mam podobne do powyższych obawy. Pomijając omówione już wyżej problemy z obsługą tego typu aplikacji istotnym także czynnikiem jest bezpieczeństwo.
Oczywiście z ust zwolenników usłyszymy zapewnienia o stuprocentowym bezpieczeństwie danych i niemożliwości ich kradzieży z telefonu. Nawet jeśli tak będzie w momencie startu projektu (T), nie będzie tak po jakimś już czasie (T+1). Na wieki wieków bezpiecznych systemów nie ma ale ok można powiedzieć, że aplikacja stale będzie aktualizowana pod kątem bezpieczeństwa. Pytanie czy zabezpieczenia stale będą wyprzedzać o krok działania oszustów pozostawiam otwarte. Doświadczenie jakie mam wskazuje że mimo wydawania ogromnych środków na zabezpieczenia technologiczne zawsze można zostać czymś niemiło zaskoczonym.
No i jeszcze pozostaje człowiek. Ten zawsze jest najsłabszym ogniwem łańcucha zabezpieczeń także elektronicznych. Na telefonach komórkowych z aplikacją DO są i będą także instalowane inne oprogramowania przez użytkownika. Pół biedy jeśli jest to świadomy zagrożeń osobnik, ten ma większe szanse być bezpiecznym, gorzej jeśli trafi na niedoświadczonego osiemnastolatka instalującego wszystko i wszędzie bez chwili refleksji.
DO to takie ustrojstwo, na podstawie którego w dzisiejszych czasach można zrobić ogrom szkód drugiej osobie. Łącznie z wzięciem kredytu czy zakupem czegoś na raty. Raty, które spłaca właściciel dowodu (danych) a nie złodziej. Do dziś pamiętam moje wycieczki do Krakowa gdzie na komisariacie przechodziłem testy grafologiczne po tym jak na studiach ukradziono mi portfel z dowodem osobistym. Wtedy po zauważeniu straty, od razu zgłosiłem to na policję co później zabezpieczyło mnie przed koniecznością spłacania pobranej na poczcie pożyczki (wtedy mieli taki produkt), przez oszusta, choć na testy grafologiczne i tak musiałem jeździć. O ile brak fizycznego portfela i dowodu można dość szybko zauważyć, o tyle kradzież eDO może być w ogóle niezauważona.
Wierzę w dobre intencje pani minister. Ja jednak tego typu aplikacji u siebie nie zainstaluję. Sporo moich znajomych nie zrobi tego także. I tu zadaję sobie pytanie czy przed rozpoczęciem prac zostanie wykonana choć niewielka analiza zapotrzebowania na tego typu aplikację czy może pani minister napisze ją tylko dla siebie i swoich znajomych? W drugim przypadku zalecam by kupić znajomym pani minister jednakowe telefony i zrobić aplikację tylko na ten jeden OS. Wyjdzie taniej a i pani minister będzie zadowolona.
Dowód osobisty w postaci certyfikatu kwalifikowanego, wraz z aplikacją umożliwiającą jego wykorzystanie za pomocą smartfona do podpisywania. Dla tych co nie lubią smartfonów powinna być opcją karty z chipem. De facto jest to powrót do pierwotnej koncepcji PL ID, więc jak najbardziej widać, że fajnie by było aby pożenić ze sobą profil zaufany z certyfikatem oraz udostępnić opcję potwierdzania wszelkich spraw administracyjnych za pomocą takiego rozwiązania.
Co do dedykowanej karty czy DO z chipem zamiast smartfona: to uniezależni nas to od korporacyjnych telekomów, nadal jednak pozostaje kwestia na granicy filozofii ale rodząca znaczące konsekwencje: “ja to ja” czy “ja to karta (aplikacja)”?
Osobiście jestem zwolennikiem metod systemowych, pozwalających mi zaistnieć w administracji jako obywatel także bez “karty z chipem i aplikacji”, nie chciał bym by ziściły się filmowe sytuacja typu “ja to moja karta z hasłem” albo “ja to mój obcięty kciuk”…..
Rozproszenie i nadmiarowość nadal są najskuteczniejsze, autoryzacja przez telefon polegająca na podaniu kilku danych z dużej ich liczby o mnie, jest skuteczna i nie wymaga żadnej “elektroniki i PKI”…. to jest systemowe podejście… Ale mam wrażenie, że lobbyści firm technologicznych ewangelizują “świat”….
Warto starać się zrozumieć, dlaczego od tylu lat PKI nie rozpowszechnił się w społeczeństwie…