[Rejestr] [ISOC-PL] Dziwne ruchy wokół ustawy o podpisach elektronicznych (KOMENTARZ)

Paweł Krawczyk pawel.krawczyk w hush.com
Pią, 11 Mar 2011, 10:06:09 MET 

Teraz mój prywatny komentarz. Moim zdaniem w komisji toczy się 
właśnie kluczowy dla przyszłości polskich usług administracji 
elektronicznej spór o technologię podpisu osobistego.

Po konferencji w IMM w 2010 roku pisałem o podpisie z mediatorem w 
serwisie IPSec.pl, śledzę też publikacje Michała Tabora (TICONS) na 
ten temat. Być może dlatego pan Iszkowski odniósł wrażenie, że mam 
z tym cokolwiek wspólnego (tak odbieram aluzję, że dziwi go, że nie 
wiem o co chodzi). Otóż oświadczam nie mam nic wspólnego z TICONS 
ani mediatorem, w każdym razie bardziej niż ktokolwiek inny 
śledzący informacje na ten temat z inżynierskiej ciekawości.

Co do samej technologii mediatora nie mam opinii. Widzę w niej 
pewne zalety, widzę pewne wady (rejestracja faktu złożenia podpisu 
po stronie mediatora). Obecnie jest mi najzupełniej obojętne jaka 
konkretnie technologia będzie stała za pl.ID, interesuje mnie tylko 
tyle by działała i była godna zaufania.

Chcę natomiast zwrócić uwagę, że podpis z mediatorem to w praktyce 
rozwiązanie zupełnie nowe, o ograniczonej liczbie niezależnych 
analiz bezpieczeństwa. Jak zwraca uwagę "pierwszy PIIT", brak jest 
standardów, aktów normatywnych, bibliotek czy otwartych 
implementacji tej technologii. "Drugi PIIT" nijak tego nie 
komentuje.

Nie twierdzę, że jest złe i że należy unikać nowych rozwiązań. Sam 
pomagałem we wdrożeniu systemu Mobitrust, który był także zjechany 
przez ekspertów jako niekoszerny, niezgodny itd. Ale Mobitrust 
dokładnie wiedział jaki problem chce rozwiązać, zrobił to w oparciu 
o określone standardy i potrafił te tezy publicznie obronić. Poza 
tym nie jest to system budowany na potrzeby administracji 
publicznej.

Chciałbym zatem zobaczyć powody, dla których MSWiA chce w podpisie 
osobistym stosować mediatora i dlaczego uważa, że jest to 
bezpieczne. 

Powodów tych nie wymieniono w projekcie rozporządzenia z 15 lutego. 
Uzasadnienie tego projektu jest szczątkowe i stanowi w ogóle kpinę 
z legislacji, podobnie jak ocena skutków regulacji. MSWiA oraz 
ewentualni autorzy spoza MSWiA powinni się za ten żenujący dokument 
wstydzić i do poduszki poczytać "Wytyczne do oceny skutków 
regulacji" Ministerstwa Gospodarki.

Nie widzę nic złego w merytorycznej debacie prowadzonej przez 
ekspertów na temat podpisu osobistego w postaci wspomnianych uwag. 
W mojej ocenie natomiast PIIT ośmiesza sam siebie pozwalając na 
przesyłanie do komisji dwóch zestawów sprzecznych uwag, z których 
każda pisze "my jako PIIT uważamy". 

Stąd mój wcześniejszy postulat, by autorzy uwag po prostu podpisali 
się imieniem i nazwiskiem, co przywróciłoby tej debacie charakter 
normalnego sporu eksperckiego, zamiast dziecinnego sporu jakichś 
wielce szanownych ale z jakiegoś powodu bezosobowych ekspertów. Co 
z tą propozycją zrobi PIIT to sprawa jego zarządu i członków.

W całej sprawie wychodzi niestety nędza naszego procesu 
legislacyjnego oraz nędza resortowości. Zamiast prowadzonego jawnie 
sporu merytorycznego mamy jakieś zakulisowe przepychanki, zupełnie 
nietransparentne dla opinii publicznej. 

Współczuję urzędnikom, którzy muszą na podstawie tych subiektywnych 
opinii podejmować jakieś decyzje, nie dysponując najwyraźniej żadną 
formalną metodyką pozwalającą na konfrontowanie opinii i wyciąganie 
z nich faktów, a następnie porównywanie do oryginalnych założeń. 
Ponownie odsyłam do "Wytycznych do OSR".

I proszę nie tłumaczyć, że opóźni to cokolwiek o lata. Rzetelne 
zestawienie argumentów i konfrontację z założeniami można zrobić w 
miesiąc. Wystarczy pisać uczciwe a nie dialektyczne uzasadnienia 
projektów i je publikować.

Przede wszystkim natomiast anonimowi eksperci  sami sobie strzelają 
w stopę, bo w żaden sposób nie potrafili przekonać interesariuszy 
systemu, który budują, że jest to system godny zaufania. Na 
konferencji pl.ID ani razu nikt nie wspomniał o użytkownikach tej 
technologii i tym co oni będą sądzić o "finalizowaniu" podpisów w 
MSWiA. Car chce, car zrobił - panowie, to nie te czasy!

Moim zdaniem, jeśli MSWiA przyjmie wspomnianą technologię bez 
przeprowadzenia realnej oceny skutków to zagra va bank i zgodnie ze 
starą polską zasadą "ja z synowcem na czele i jakoś to będzie". 
Może się to skończyć albo sukcesem, albo niczym (będzie to tak samo 
nieużywalne jak dzisiaj), albo spektakularną klapą, jeśli po 
wydaniu przez Polskę ..set milionów ktoś się temu w końcu 
dokładniej przyjrzy i znajdzie jakieś dziury.

Kto za to wtedy odpowie? Oczywiście nikt. Patrz obecne komentarze 
ówczesnych zwolenników podpisu kwalifikowanego z 2001 roku. Wtedy 
można było się tłumaczyć brakiem doświadczenia - teraz nie. A 
metody prowadzenia tej legislacji teraz i wtedy były dokładnie 
takie same, więc można oczekiwać podobnych efektów.

-- 
Paweł Krawczyk
http://ipsec.pl

Więcej informacji o liście Rejestr