[Rejestr] [ISOC-PL] Dziwne ruchy wokół ustawy o podpisach elektronicznych (KOMENTARZ)
Paweł Krawczyk
pawel.krawczyk w hush.com
Pią, 11 Mar 2011, 10:06:09 MET
Teraz mój prywatny komentarz. Moim zdaniem w komisji toczy się
właśnie kluczowy dla przyszłości polskich usług administracji
elektronicznej spór o technologię podpisu osobistego.
Po konferencji w IMM w 2010 roku pisałem o podpisie z mediatorem w
serwisie IPSec.pl, śledzę też publikacje Michała Tabora (TICONS) na
ten temat. Być może dlatego pan Iszkowski odniósł wrażenie, że mam
z tym cokolwiek wspólnego (tak odbieram aluzję, że dziwi go, że nie
wiem o co chodzi). Otóż oświadczam nie mam nic wspólnego z TICONS
ani mediatorem, w każdym razie bardziej niż ktokolwiek inny
śledzący informacje na ten temat z inżynierskiej ciekawości.
Co do samej technologii mediatora nie mam opinii. Widzę w niej
pewne zalety, widzę pewne wady (rejestracja faktu złożenia podpisu
po stronie mediatora). Obecnie jest mi najzupełniej obojętne jaka
konkretnie technologia będzie stała za pl.ID, interesuje mnie tylko
tyle by działała i była godna zaufania.
Chcę natomiast zwrócić uwagę, że podpis z mediatorem to w praktyce
rozwiązanie zupełnie nowe, o ograniczonej liczbie niezależnych
analiz bezpieczeństwa. Jak zwraca uwagę "pierwszy PIIT", brak jest
standardów, aktów normatywnych, bibliotek czy otwartych
implementacji tej technologii. "Drugi PIIT" nijak tego nie
komentuje.
Nie twierdzę, że jest złe i że należy unikać nowych rozwiązań. Sam
pomagałem we wdrożeniu systemu Mobitrust, który był także zjechany
przez ekspertów jako niekoszerny, niezgodny itd. Ale Mobitrust
dokładnie wiedział jaki problem chce rozwiązać, zrobił to w oparciu
o określone standardy i potrafił te tezy publicznie obronić. Poza
tym nie jest to system budowany na potrzeby administracji
publicznej.
Chciałbym zatem zobaczyć powody, dla których MSWiA chce w podpisie
osobistym stosować mediatora i dlaczego uważa, że jest to
bezpieczne.
Powodów tych nie wymieniono w projekcie rozporządzenia z 15 lutego.
Uzasadnienie tego projektu jest szczątkowe i stanowi w ogóle kpinę
z legislacji, podobnie jak ocena skutków regulacji. MSWiA oraz
ewentualni autorzy spoza MSWiA powinni się za ten żenujący dokument
wstydzić i do poduszki poczytać "Wytyczne do oceny skutków
regulacji" Ministerstwa Gospodarki.
Nie widzę nic złego w merytorycznej debacie prowadzonej przez
ekspertów na temat podpisu osobistego w postaci wspomnianych uwag.
W mojej ocenie natomiast PIIT ośmiesza sam siebie pozwalając na
przesyłanie do komisji dwóch zestawów sprzecznych uwag, z których
każda pisze "my jako PIIT uważamy".
Stąd mój wcześniejszy postulat, by autorzy uwag po prostu podpisali
się imieniem i nazwiskiem, co przywróciłoby tej debacie charakter
normalnego sporu eksperckiego, zamiast dziecinnego sporu jakichś
wielce szanownych ale z jakiegoś powodu bezosobowych ekspertów. Co
z tą propozycją zrobi PIIT to sprawa jego zarządu i członków.
W całej sprawie wychodzi niestety nędza naszego procesu
legislacyjnego oraz nędza resortowości. Zamiast prowadzonego jawnie
sporu merytorycznego mamy jakieś zakulisowe przepychanki, zupełnie
nietransparentne dla opinii publicznej.
Współczuję urzędnikom, którzy muszą na podstawie tych subiektywnych
opinii podejmować jakieś decyzje, nie dysponując najwyraźniej żadną
formalną metodyką pozwalającą na konfrontowanie opinii i wyciąganie
z nich faktów, a następnie porównywanie do oryginalnych założeń.
Ponownie odsyłam do "Wytycznych do OSR".
I proszę nie tłumaczyć, że opóźni to cokolwiek o lata. Rzetelne
zestawienie argumentów i konfrontację z założeniami można zrobić w
miesiąc. Wystarczy pisać uczciwe a nie dialektyczne uzasadnienia
projektów i je publikować.
Przede wszystkim natomiast anonimowi eksperci sami sobie strzelają
w stopę, bo w żaden sposób nie potrafili przekonać interesariuszy
systemu, który budują, że jest to system godny zaufania. Na
konferencji pl.ID ani razu nikt nie wspomniał o użytkownikach tej
technologii i tym co oni będą sądzić o "finalizowaniu" podpisów w
MSWiA. Car chce, car zrobił - panowie, to nie te czasy!
Moim zdaniem, jeśli MSWiA przyjmie wspomnianą technologię bez
przeprowadzenia realnej oceny skutków to zagra va bank i zgodnie ze
starą polską zasadą "ja z synowcem na czele i jakoś to będzie".
Może się to skończyć albo sukcesem, albo niczym (będzie to tak samo
nieużywalne jak dzisiaj), albo spektakularną klapą, jeśli po
wydaniu przez Polskę ..set milionów ktoś się temu w końcu
dokładniej przyjrzy i znajdzie jakieś dziury.
Kto za to wtedy odpowie? Oczywiście nikt. Patrz obecne komentarze
ówczesnych zwolenników podpisu kwalifikowanego z 2001 roku. Wtedy
można było się tłumaczyć brakiem doświadczenia - teraz nie. A
metody prowadzenia tej legislacji teraz i wtedy były dokładnie
takie same, więc można oczekiwać podobnych efektów.
--
Paweł Krawczyk
http://ipsec.pl
Więcej informacji o liście Rejestr