Wydawnictwo Publicus Sp. z o.o.
04-260 Warszawa, ul. Jedwabnicka 1
tel/fax: +48 22 610 10 99 w. 26
Bank Zachodni WBK SA XVII Oddział Warszawa 
08 1090 1753 0000 0001 1981 0954

Ostrzeżenie

JUser::_load: Nie można załadować danych użytkownika o ID: 70.

wtorek, 03 grudzień 2013 21:44

WIĘCEJ ZAUFANIA DO PROFILU ZAUFANEGO

Napisane przez 

Podstawowym problemem stanowiącym barierę w szybkim i powszechnym rozwoju usług e-administracji jest zagadnienie potwierdzania tożsamości – identyfikacji użytkownika.

Ustawa z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizujących zadania publiczne[1] (dalej: uoip) nie zawiera definicji legalnej pojęcia identyfikacji użytkownika. Zgodnie z definicją zawartą w internetowym Słowniku Języka Polskiego, identyfikacja oznacza rozpoznawanie kogoś na zasadzie odsiewu poprzez pewne specyficzne cechy[2].

Taka specyficzna cecha jest wskazana w mającym zasadnicze znaczenie dla praktyki przepisie zawartym w art. 20a ust.1 uoip stanowiącym, że identyfikacja użytkownika systemów teleinformatycznych – udostępnianych przez podmioty realizujące zadania publiczne określone przez ustawy – następuje przez zastosowanie kwalifikowanego certyfikatu, przy zachowaniu zasad przewidzianych w ustawie z dnia 18 września 2001 r. o podpisie elektronicznym[3] lub profilu zaufanego ePUAP.

W tymże artykule w ust. 2 dopuszczono możliwość identyfikacji w systemie teleinformatycznym używanym do realizacji zadań publicznych przez podmiot publiczny przez zastosowanie innych technologii, chyba że przepisy odrębne przewidują obowiązek dokonania czynności w siedzibie podmiotu publicznego. Klasycznym przykładem takiego rozwiązania charakterystycznego dla systemów dziedzinowych jest możliwość składania deklaracji podatkowych przez Internet w portalu e-deklaracje. Składanie niektórych deklaracji[4] nie wymaga bezpiecznego podpisu elektronicznego, weryfikowanego za pomocą ważnego kwalifikowanego certyfikatu, a jedynie ich autoryzacji poprzez podanie określonego zestawu informacji[5]. Warto podkreślić, że w 2013 r. złożono drogą elektroniczną ponad 12,3 mln deklaracji, z tego ponad 3,5 mln deklaracji PIT, w których podatnicy skorzystali z darmowego sposobu identyfikacji[6]. Przytoczone liczby jednoznacznie wskazują na możliwość masowego korzystania z usług e-administracji, pod warunkiem dostępności usługi i łatwości identyfikacji użytkownika.

Szacuje się, że w skali kraju wydano kilkaset tysięcy certyfikatów kwalifikowanych, jednakże koszty ich uzyskania wydają się być barierą w upowszechnianiu usług e-administracji.

Powszechność możliwości komunikowania się z urzędami na drodze elektronicznej i łatwość identyfikacji miała być zapewniona w wyniku realizacji projektu pl.ID, jednakże – wobec problemów z jego realizacją – Komitet Rady Ministrów ds. Cyfryzacji zarekomendował przesunięcie terminu wdrożenia nowego dowodu osobistego do czasu m.in. „opracowania jednolitej polityki w zakresie uwierzytelniania obywateli w systemach teleinformatycznych                  administracji publicznej, na podstawie której będzie możliwe precyzyjne określenie niezbędnych funkcjonalności elektronicznego dowodu osobistego, w tym także rozstrzygnięcie celowości wprowadzania kolejnej metody uwierzytelniania – podpisu osobistego”, a także „nowelizacji ustawy o dowodach osobistych, która będzie uwzględniała wymagania wynikające z opracowanej polityki w zakresie uwierzytelniania, a także będzie zgodna ze znowelizowaną dyrektywą 1999/93/WE ws. wspólnotowych ram prawnych dla podpisów elektronicznych”[7].

W zaistniałej sytuacji rozwiązaniem kompensacyjnym, pozwalającym na spełnienie jednego z uwarunkowań dynamicznego rozwoju usług e-administracji, stał się profil zaufany.

Definicja legalna profilu zaufanego ePUAP – zawarta w uoip – stanowi, że profil zaufany jest zestawem informacji identyfikujących i opisujących podmiot lub osobę, będącą użytkownikiem konta na ePUAP, potwierdzonym w wiarygodny sposób przez organ jednego z wymienionych w uoip podmiotów realizującego zadania publiczne.

Zgodnie z obowiązującym rozporządzeniem MSWiA z dn. 27 kwietnia 2011 r. w sprawie zasad potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej[8], osoba wnioskująca, posiadająca konto na platformie ePUAP, przesyła wniosek o potwierdzenie profilu zaufanego ePUAP na ePUAP w postaci elektronicznej i w ciągu 14 dni może go potwierdzić w punkcie potwierdzającym. Punktem potwierdzającym, zgodnie z przywołanym rozporządzeniem, jest konsul, naczelnik urzędu skarbowego, wojewoda, Zakład Ubezpieczeń Społecznych lub, za zgodą ministra, inny podmiot wykonujący zadania publiczne po spełnieniu określonych warunków.

Ustawa o informatyzacji zawiera również definicję legalną podpisu potwierdzonego profilem zaufanym ePUAP, określając go jako „podpis złożony przez użytkownika konta ePUAP, do którego zostały dołączone informacje identyfikujące, zawarte w profilu zaufanym ePUAP, a także:

a) jednoznacznie wskazujący profil zaufany ePUAP osoby, która wykonała podpis,

b) zawierający czas wykonania podpisu,

c) jednoznacznie identyfikujący konto ePUAP osoby, która wykonała podpis,

d) autoryzowany przez użytkownika konta ePUAP,

e) potwierdzony i chroniony podpisem systemowym ePUAP”.

Mimo, że procedura uzyskiwania profilu zaufanego jest prosta i dobrze zilustrowana, w materiałach opublikowanych na platformie ePUAP[9], tylko nieco ponad 170 000 osób (lub innych podmiotów) uzyskało tę formę potwierdzania tożsamości. Wydaje się, że jedną z barier w szybkim upowszechnianiu profilu zaufanego jest względnie mały krąg podmiotów[10], które mogą go potwierdzać, a wizyta w urzędzie może być dla wielu osób istotnym utrudnieniem.

Proponowana nowela uoip[11] przewiduje m.in., że sieć punktów, w których będzie można potwierdzić profil zaufany, zostanie rozszerzona – o placówki Poczty Polskiej oraz banki.

Jednakże taka koncepcja, realizująca koncepcję „więcej zaufania do profilu zaufanego”, budzi refleksję dotyczącą bezpieczeństwa takiego rozwiązania. W opinii Polskiego Towarzystwa Informatycznego[12] zwraca się uwagę, że zrównanie podpisu bezpiecznego i podpisu składanego przy pomocy profilu zaufanego, budzi wątpliwości. Podkreśla się w tej opinii, że jest to zwykły podpis elektroniczny, którego bezpieczeństwo jest oparte „na bardzo słabym bezpieczeństwie skrzynki elektronicznej właściciela profilu”.

W opinii Biura Analiz Sejmowych[13] stwierdza się, że poszerzenie listy podmiotów uprawnionych do potwierdzania profilu zaufanego należy co do zasady ocenić pozytywnie, jednakże „wydaje się, że należałoby rozważyć, czy możliwość potwierdzania profilu zaufanego nie powinna zostać ograniczona do urzędów administracji publicznej i sądów”. Podkreśla się w tej opinii, że „potwierdzanie tożsamości danej osoby dla potrzeb prowadzenia przez nią spraw administracyjnych (w tym podatkowych) i sądowych jest związane z dużą odpowiedzialnością, szczególnie obecnie, gdy coraz poważniejszym problemem staje się kradzież tożsamości. Wydaje się, że całkowitą odpowiedzialność za realizację tego zadania powinny brać na siebie podmioty publiczne – państwowe lub samorządowe”.

Warto zauważyć, że już w obecnym stanie prawnym inne podmioty mogą uzyskać zgodę ministra i pełnić funkcję punktu potwierdzającego, jednakże brak jakiejkolwiek zachęty powoduje, że tylko nieliczne urzędy samorządowe pełnią taką rolę. W cytowanej opinii zauważono ten problem i zaakcentowano, że „w projekcie brak propozycji mających na celu zachęcenie innych podmiotów do składania stosowanych wniosków. Samo rozszerzenie bazy podmiotów, które takie uprawnienie miałyby posiadać, bez zajęcia się tym problemem, zapewne nie zmieni istniejącej obecnie sytuacji, a w konsekwencji nie doprowadzi do większej dostępności tego typu punktów dla obywatela”.

Zagadnienie bezpieczeństwa usług e-administracji jest akcentowane również w dokumencie MAC  „Program Zintegrowanej Informatyzacji Państwa”[14] opublikowanym w czerwcu br., w którym stwierdza się, że „z uwagi na powszechność rozwiązań korzystających z sieci (internetu), ochrona cyberprzestrzeni będzie mieć kluczowe znaczenie w zapewnieniu bezpieczeństwa w korzystaniu z e-usług, w tym e-administracji na obszarze kraju. Obserwuje się wzrost zagrożeń dla systemów teleinformatycznych, a odpowiedzialność za bezpieczeństwo teleinformatyczne rozkłada się na wszystkich uczestników obiegu informacji”.

Warto zaznaczyć, że problemy bezpieczeństwa przesyłu danych w e-administracji zostały również określone m.in. w załączniku nr 2 do komunikatu Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów – „W kierunku interoperacyjności europejskich usług użyteczności publicznej”[15] – w którym stwierdza się w szczególności, że bezpieczna wymiana danych powinna odbywać się „za pośrednictwem bezpiecznej, zharmonizowanej, zarządzanej i kontrolowanej warstwy, umożliwiającej wymianędanych między administracją, przedsiębiorstwami i obywatelami, która jest: zabezpieczona podpisem i certyfikatem — za pomocąustalonych mechanizmów identyfikowana i uwierzytelniana jest tożsamośćzarówno nadawcy, jak i odbiorcy; zaszyfrowana — zapewniona jest poufnośćdanych będących przedmiotem wymiany; rejestrowana za pomocądziennika — zapisy elektroniczne sąrejestrowane za pomocądziennika i archiwizowane tak, by zapewnićwymaganąprawem ścieżkęaudytu”.

Wnioski płynące z sukcesu systemu e-deklaracje jednoznacznie wskazują, że jeśli potrzebna usługa zostaje udostępniona obywatelowi lub przedsiębiorcy przez Internet, a sposoby identyfikacji nie są skomplikowane, to zainteresowanie i korzystanie z takiej usługi jest powszechne.

Zagadnienie to znalazło odzwierciedlenie w umieszczonej na stronie internetowej Ministerstwa Administracji i Cyfryzacji informacji[16] o przyjęciu przez rząd projektu ustawy o zmianie ustawy o informatyzacji, w której podkreśla się, że „rozwój e-usług zależy od tego, jak wiele z nich pojawi się na ePUAP. Ustawa poszerzy grono instytucji, które będą mogły kontaktować się z obywatelami za pośrednictwem e-PUAP: im więcej będzie takich usług, tym bardziej potrzebny będzie profil zaufany. Trzeba też pamiętać, że większość usług publicznych świadczą w naszym kraju samorządy. Udostępniają one swoje usługi na ePUAP, robią to różnie, dlatego w budowaniu e-administracji i ułatwianiu obywatelom korzystania z niej tak ważne jest tworzenie dobrych standardów i wzorców”.

Wypada zatem stwierdzić, że celowe jest rozważenie z jednej strony zastosowania rozwiązań zapewniających  jak najwyższy poziom bezpieczeństwa profilu zaufanego, a z drugiej strony – co zaakcentowano w przywołanej opinii BAS – propozycji, mających na celu zachęcenie samorządów, by częściej podejmowały się pełnienia funkcji punktów potwierdzających profil zaufany.



[1] Tekst jednolity Dz. U. 2013 poz.235

[2] www.sjp.pl/identyfikacja

[3] Dz. U. Nr 130, poz. 1450, z późn. zm.

[7] Komunikat prasowy w tej sprawie dostępny jest pod adresem https://mac.gov.pl/dzialania/komunikat-rzecznika-prasowego-stanowisko-komitetu-rady-ministrow-ds-cyfryzacji-w-zakresie-wprowadzenia-nowego-dowodu-osobistego-po-przedlozeniu-informacji-mspraw-wewnetrznych/

[8] Dz. U. z 2011r. nr 93, poz.647

[10] 12 listopada 2013 r. na platformie e-puap figurowało 934 takich podmiotów

[11] Druk sejmowy nr 1637

[12] Opinia PTI do Projektu założeń projektu ustawy o zmianie ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne oraz niektórych innych ustaw z dn. 8 sierpnia 2012 r.

[13]  Opinia prawna na temat rządowego projektu ustawy o zmianie ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne oraz niektórych  innych ustaw (druk 1637) z dn. 30 września 2013 r.

Lock full review www.8betting.co.uk 888 Bookmaker

PARTNERZY