Przyczyn jest wiele, w poniższym artykule postaram się zdiagnozować najważniejszą. Aby zrozumieć dzisiejszą katastrofę informatyczną - najważniejsze systemy informatyczne państwa całkowicie przestały działać, niedostępne są Profil Zaufany, CEPiK, System Rejestrów Państwowych, ePUAP czy serwis obywatel.gov.pl. - należy cofnąć się do roku 2012. Wtedy w jednym z numerów tygodnika „ComputerWorld” ukazał się artykuł Michała Tabora, autora rozwiązania profilu zaufania, który miał gwarantować bezpieczny i szybki dostęp do Elektronicznej Platformy Usług Administracji Państwowej (ePUAP). Zacytuję najważniejsze fragmenty
„Jestem autorem rozwiązania profilu zaufanego, ale, niestety, nie miałem możliwości nadzorować jego wdrożenia w systemie Elektronicznej Platformy Usług Administracji Państwowej (ePUAP), a z pierwotnej koncepcji zrealizowano tylko część. Przede wszystkim nie wdrożono mechanizmów bezpieczeństwa. Rozwiązanie nie ma również właściciela biznesowego, co powoduje, że nikt kwestii bezpieczeństwa nie kontroluje. Wobec tego muszę z przykrością stwierdzić, że nie używam profilu zaufanego ePUAP, nigdy go nie założyłem i odradzam jego stosowanie.”.
Pytanie jakie każdy czytelnik sobie stawia brzmi : co skłoniło M.Tabora do tego typu oświadczenia? Zanim podam moja interpretację tego oświadczenia wybitnego informatyka,cytuje dłuższy fragment artykułu :
"Profil zaufany ePUAP jest dzisiaj jedynym ogólnopolskim i darmowym mechanizmem uwierzytelniania w procesach dokumentowych. Warto więc wskazać główne mankamenty tego rozwiązania. Całość profilu zaufanego jest zaszyta w systemie w całości kontrolowanym i utrzymywanym przez zewnętrzną firmę - pozostającą w zakresie bezpieczeństwa poza kontrolą administracji publicznej. O ile mi wiadomo, nigdy nie przeprowadzono kompletnego audytu rozwiązania, a Centrum Projektów Informatycznych nie ma realnej kontroli nad działaniem systemu. Brak mechanizmów bezpieczeństwa w sferze organizacyjnej skutkuje brakiem zobowiązań firmy utrzymującej profil zaufany.
Dopóki profil zaufany jest mechanizmem potwierdzania autentyczności pism, gdzie ryzyko jest niewielkie, dopóty możemy używać go w obecnej postaci. Jeżeli natomiast - jak wskazuje rząd w swoich oficjalnych komunikatach - ma być podstawą określania tożsamości obywatela w sieci, to ryzyko zaczyna być poważne. Zarówno dla samego użytkownika, jak i usług świadczonych przez internet.
Brak zarządzania bezpieczeństwem informacji, analizy ryzyka i adekwatnych zabezpieczeń profilu zaufanego może doprowadzić do poważnego naruszenia zaufania wobec mechanizmów usług elektronicznych, a co za tym idzie, do kompromitacji obecnej i przyszłej cyfryzacji państwa. Przy wykorzystaniu profilu w obecnym kształcie nie można dać dostępu do danych rejestrowych, medycznych czy wypełnionych deklaracji podatkowych, ponieważ zagrożenia z tytułu naruszenia profilu zaufanego mają poważne konsekwencje, w szczególności w kategoriach utraty prywatności lub naruszenia dóbr materialnych.
Tyle wyjaśnienia M. Tabora – w normalnym państwie po takim artykule nastąpiłaby natychmiastowa reakcja ministra odpowiedzialnego za realizację projektu e-pułap czyli – w tym wypadku – ministra Boniego. Niestety minister milczał, jest to tym dziwniejsze, że projekt e-pułap był sztandarowym projektem administracji rządu Tuska i co ważniejsze podstawą planu „Polska 2.0”.
Przypomnę w tym kontekście pewien fakt : 2 maja br. Ministerstwo Administracji i Cyfryzacji opublikowało komunikat, którego fragmenty zacytuje :
„Ze względu na awarię weryfikacji danych w rejestrze PESEL nie funkcjonuje usługa umożliwiająca weryfikację danych /…/.Niedostępność usługi „Weryfikacja PESEL” uniemożliwia prawidłowe działanie /…/ na platformie ePUAP. W systemie ePUAP nie stwierdzono żadnych dodatkowych problemów technicznych poza awarią rejestru PESEL. Ministerstwo Administracji i Cyfryzacji jest w tej sprawie w stałym kontakcie z Ministerstwem Spraw Wewnętrznych.”.
Jak mógł minister Boni zarządzać informatyzacja administracji publicznej nie zarządzając jednocześnie rejestrami? Jak może kapitan statku nim sterować nie mając kontroli nad sterem? Awaria rejestru Pesel dowodzi niezbicie, ze powołanie Ministerstwa Administracji i Cyfryzacji czyli rozdzielenie działów administracji i informatyzacji od działu rejestrów państwowych doprowadziło w szybkim czasie do dalszej dezintegracji państwa polskiego. Miałem jednak nadzieję, że albo MSW albo MAiC w specjalnym komunikacie wyjaśni obywatelom dlaczego do awarii systemu e-pułap i Pesel doszło. Rzeczywiście Ministerstwo Administracji i Cyfryzacji ogłosiło komunikat 4 maja br., który zacytuję w całości : „ePUAP świadczy już usługę weryfikacji, zarówno na potrzeby Profilu Zaufanego, jak i CEIDG. - Artur Koziołek, rzecznik prasowy Ministerstwa Administracji i Cyfryzacji.”. I koniec ! Czegoś tak kuriozalnego jak ten komunikat nie czytałem już dawno – ani słowa o przyczynach awarii, ani słowa wyjaśnienia dlaczego do niej doszło i co zrobiono by tego typu awarie nie zdarzały się w przyszłości.
Paweł Paleczny
Komentarze
Pokaż komentarze (19)