E-urząd to internetowy serwer realnie istniejącego urzędu. W e-urzędzie i w jego murowanym odpowiedniku załatwiamy te same sprawy. Jeśli chcę się dowiedzieć czy daną sprawę mogę załatwić przez Internet, to wpisuje do wyszukiwarki nazwę miasta, nazwę urzędu oraz charakterystyczne słowo dotyczące sprawy. Bez problemu znajdę stronę właściwego e-urzędu. Nie muszę korzystać z rządowych portali informacyjnych czy specjalistycznych katalogów.
Samą sprawę załatwię przez przesłanie elektronicznych dokumentów lub inną formę bezpośredniej interakcji z serwerem konkretnego e-urzędu. Aby zapewnić wiarygodność osoby i jej dokumentów potrzebny jest zestaw do generowania podpisu elektronicznego. Podpis elektroniczny jest niezbędny do solidnego uwierzytelnienia stron w jednokrotnej lub sporadycznej interakcji przez Internet. (*)
Taki prosty sposób bezpośredniego załatwiania spraw z e-urzędem nie znajduje uznania u naszych polityków i urzędników. Ich wyobraźnię pobudzają tylko wielkie projekty. Jeśli e-administracja byłaby zdecentralizowana i tworzyła sieć autonomicznych e-urzędów, to gigantyczne projekty o budżetach przekraczających setki milionów złotych nie miałyby żadnego uzasadnienia.
MSWiA rozpoczęło budowę skomplikowanego systemu ePUAP (elektronicznej Platformy Usług Administracji Publicznej), który będzie pośrednikiem w kontaktach między obywatelem a e-urzędami oraz pomiędzy samymi urzędami. Funkcjonalność ePUAP będzie daleko wykraczała poza centralny katalog e-usług administracji publicznej.
W dokumencie „Czym jest ePUAP” przygotowanym przez Departament Informatyzacji MSWiA znajdujemy opis planowanej funkcjonalności ePUAP:
„w sensie organizacyjno-technicznym to:
- Wspólna infrastruktura udostępnienia przez dowolne jednostki administracji publicznej usług publicznych w kanałach elektronicznych w relacjach z obywatelami, przedsiębiorcami i innymi jednostkami administracji publicznej;
- Mechanizmy koordynacji usług publicznych świadczonych przez kilka podmiotów publicznych;
- Usługi wspólne:
- bezpiecznego, zgodnego z obowiązującym prawem przekazywania podmiotom publicznym i doręczania dokumentów przez organy administracji publicznej, w tym usługi identyfikacji i uwierzytelnienia osób, podmiotów i systemów, usługi przekazywania dokumentów z wykorzystaniem legalnych skrzynek elektronicznych, usługi identyfikacji i powiadamiania nadawców i adresatów, uwierzytelnienia przekazywanych dokumentów, potwierdzenia przedłożenia dokumentów, znakowania czasem itd.,
- przekazywania transakcji synchronicznych i asynchronicznych, w tym usługi identyfikacji usługodawców i usługobiorców, uwierzytelnienia i autoryzacji przekazywanych transakcji, itd.,
- Usługi rejestrowe, czyli usługi zintegrowanego dostępu do referencyjnych zasobów informacyjnych administracji publicznej;
- Usługi interoperacyjności tworzenia, publikacji i zarządzania rekomendacjami (ramami) interoperacyjności, dostarczania wzorców referencyjnych i transformacji danych;
- Usługi płatności elektronicznych, czyli usługi pochodzące spoza administracji, niezbędne z punktu widzenia realizacji zadań publicznych drogą elektroniczną.”
Poza standaryzacją formatów dla zapewnienia interoperacyjności inne usługi ePUAP nie wnoszą wartości dodanej jeżeli odniesiemy je do funkcjonalności bezpośredniego trybu załatwiania spraw przez Internet. Ponadto cześć tych usług będzie źródłem poważnych ryzyk i problemów.
Aby to uzasadnić omówię użyteczność dwóch usług ePUAP: bezpiecznego przekazywania dokumentów z grupy usług wspólnych i usługi płatności elektronicznych. O zagrożeniach wynikających z zautomatyzowanych usług rejestrowych i mechanizmach koordynacji e-usług świadczonych przez kilka podmiotów pisałem w tekście: PESEL2 i e-PUAP pozbawią nas prywatności
Usługi bezpieczeństwa
Na całym świecie do uwierzytelnienia podmiotów w e-administracji stosuje się podpis elektroniczny z certyfikatem. W Polsce to podejście nie budzi wątpliwości stąd też przyjmę założenie, że podpis elektroniczny będzie metodą uwierzytelnienia w e-usługach a do zapewniania poufności przesyłanych informacji będzie wykorzystywany ten sam klucz szyfrujący, który służy do generowania podpisu elektronicznego (tak jak w PGP).
Usługi wspólne ePUAP dotyczące bezpieczeństwa mają zapewnić bezpieczeństwo dokumentów i transakcji przesyłanych między urzędami a także między urzędami i obywatelami. Wprowadzenie pośrednika do przesyłania informacji kanałem elektronicznym tworzy problemy bezpieczeństwa, które nie występują w przypadku jego braku. Nasuwa się pytanie czy istnieje jakiś problem bezpieczeństwa w bezpośrednim przesyłaniu dokumentów i transakcji zabezpieczonych e-podpisem, który mógłby być rozwiązany przez ePUAP? Odpowiedź jest przecząca.
Załóżmy, że O jest komputerem obywatela, U jest serwerem e-urzędu a P pełni funkcję platformy pośrednika czyli ePUAP. Bezpieczeństwo dokumentów i transakcji wymienianych bezpośrednio przez Internet między O i U jest zależne tylko i wyłącznie od jakości podsystemu bezpieczeństwa komputera O, podsystemu bezpieczeństwa serwera U oraz długości kluczy kryptograficznych używanych do szyfrowania.
Jeśli wstawimy system pośredniczący P pomiędzy O i U, który będzie miał najnowocześniejszy i najbardziej wyrafinowany podsystem bezpieczeństwa, to poufność i wirygodność przesyłanych informacji między O i U na pewno nie wzrośnie a jedynie może się obniżyć. W przypadku pośrednika P w komunikacji między O i U biorą udział trzy podsystemy bezpieczeństwa. Poziom bezpieczeństwa komunikacji między O i U nie będzie wyższy niż poziom bezpieczeństwa najsłabszego z trzech podsystemów.
Problem dostępności e-usług też należy do dziedziny bezpieczeństwa. Jeżeli ePUAP będzie obligatoryjnym pośrednikiem, to jego awaria uniemożliwi funkcjonowanie całej e-administracji. Taka awaria nie mogłaby się zdarzyć w zdecentralizowanym trybie pracy.
Usługi płatności elektronicznych
Opłaty skarbowe i inne płatności na rzecz administracji publicznej mogą być dokonywane zdalnie przez:
- Przelew na konto bankowe urzędu
- Wykorzystanie zewnętrznych systemów płatności elektronicznych (eCard, PayPal, telefon komórkowy, etc.)
Niezależnie od sposobu wniesienia opłaty pieniądze na końcu zawsze trafiają na konto bankowe właściwego urzędu. Każdy system płatności bezgotówkowych polega na przeniesieniu środków z jednego konta bankowego na inne. Różne są tylko sposoby dokonania tej operacji. Czy w ramach ePUAP będzie stworzony nowy system płatności elektronicznych? Czy administracja publiczna zamierza uruchomić własny bank? Czy urzędnicy są w stanie stworzyć lepszy albo tańszy system płatności bezgotówkowych?
Czy nie wystarczy umieszczenie na stronie e-urzędu jego numeru konta bankowego lub ikonki z linkiem do strony zewnętrznego systemu płatniczego i cennika opłat? Niech pomysłodawcy tej usługi wskażą choć jedną funkcję, która będzie realizowana lepiej bądź taniej przez ePUAP w stosunku do istniejących rozwiązań.
Inne pytania i wątpliwości
Ponieważ w Polsce nie było debaty na temat kształtu e-administracji, to twórcy koncepcji ePUAP powinni odpowiedzieć na następujące pytania:
- Czy komputeryzacja przygotowująca urząd do świadczenia e-usług z pośrednictwem ePUAP jest tańsza od komputeryzacji koniecznej do bezpośredniego świadczenia e-usług?
- Jakie będą koszty dostosowania do ePUAP w przypadku gdy e-urząd jest już gotowy do bezpośredniego świadczenia usług?
- Który sposób funkcjonowania e-administracji (zdecentralizowany i bezpośredni czy scentralizowany przez pośrednika) w obszarze spraw osób fizycznych będzie bezpieczniejszy dla obywateli i ich prywatności?
Polski ECHELON?
Poza świadczeniem usług system ePUAP będzie centralnym węzłem przez który będą przepływać informacje i transakcje między obywatelami i e-urzędami oraz między systemami komputerowymi administracji publicznej
Zatem ePUAP będzie de facto polskim ECHELON-em, który umożliwi łatwe zbieranie i podsłuchiwanie informacji przepływających w całej administracji rządowej i samorządowej. Jeżeli sensowność i użyteczność oficjalnie deklarowanych usług systemu ePUAP można tak łatwo podważyć, to nasuwa się pytanie czy głównym celem tego przedsięwzięcia nie jest stworzenie infrastruktury do masowej inwigilacji obywateli, przedsiębiorstw i instytucji skomputeryzowanego państwa?
(*) Do tej pory, poza podpisem elektronicznym z certyfikatem, nie wymyślono innego bezpiecznego sposobu zdalnego uwierzytelnienia stron poprzez Internet jeśli wcześniej nie było między nimi bezpośredniego kontaktu. Innymi słowy jeśli mieszkam w Warszawie i chcę załatwić sprawę w rzeszowskim e-urzędzie to albo uwierzytelniam się przez podpis elektroniczny albo najpierw muszę skontaktować się z właściwym urzędnikiem w Rzeszowie aby dostać od niego jakąś tajemnicę np. hasło, które będzie moim uwierzytelnieniem w następnych zdalnych kontaktach z e-urzędem.
