Prerekvizity datových schránek: k infrastruktuře elektronického podpisu v úřadě

Architektura vnitřních IS úřadů v návaznosti na datové schránky. Změny a zavedení nových technologií, pracovních postupů i vnitřních právních ujednání a předpisů.

Zprovoznění vnějšího kanálu datových schránek si uvnitř úřadu vyžaduje rozsáhlé přizpůsobení vnitřních informačních systémů a pracovních postupů.

Předem, tj. ještě před zpřístupněním datových schránek úřadu, by měly být zprovozněny tyto oblasti (prerekvizity):
1. Infrastruktura elektronického podpisu.
2. Elektronická spisová služba.

Přibližně současně nebo následně v řádu měsíců, nejvýše jednotek roků, by měly být zprovozněny další potřebné součásti (korekvizity, postrekvizity):
3. Formulářové systémy.
4. Uložení elektronických dokumentů.

Na potřeby vzniku součástí vnitřního IT úřadů, podmiňující zprovoznění datových schránek, jsem upozornil již v článku Elektronická revoluce spisů v úřadech a soudech, v tomto článku se budu zabývat některými podrobnostmi, zejména z výše uvedených oblastí 1 a 2.

Zkratky v článku:
DS – datová schránka(y),
ESS – elektronická spisová služba
IS – informační systém
IT – informační technologie
OVM – orgán veřejné moci
ZoASSL – zákon o archivnictví a spisové službě
ZoEP – zákon o elektronickém podpisu
ZoEÚ – zákon o elektronických úkonech a autorizované konverzi dokumentů
harmonogram datových schránek

Obr. 1 – Harmonogram projektů a náběhů informačních systémů

Harmonogram naznačuje, jak časově kritická situace na většině úřadů nyní je, a zejména ještě bude. Uvedené součásti jsou projekty, jejichž realizace si při svižné práci běžně vyžaduje období půl roku až rok. Mj. jsme totiž ve veřejné sféře, s povinnostmi řídit se při zadávání dodávek zákonem o veřejných zakázkách, i v podlimitních případech pak rigidními vnitřními předpisy.

Pro většinu úřadů proto bude racionální odložit zpřístupnění schránky(ek), označované někdy též jako „aktivace”, až na okamžik, když podmiňující prostředí (výsledek projektů) bude co nejvíce připravené a odzkoušené.

Mnoho úřadů má v plánu pokusit se své DS zpřístupnit již 1. října, mezním datem zpřístupnění datových schránek (dále jen DS) je 30. říjen 2009, neboť 1. listopadu budou automaticky zpřístupněny DS všech úřadů, kterým byly zřízeny před 15. říjnem, tj. prakticky všem úřadům.

Adresáti článku

Tento článek je zaměřen na vnitřní technické a organizační prostředí orgánů veřejné moci (dále OVM), které v období 7–10/2009 mají začít povinně komunikovat datovými schránkami. Pro OVM budu v tomto článku většinou používat označení úřad. Pod tímto pojmem nechť si laskavý čtenář představí i soudy a jiné státní orgány (Policie ČR apod.), kterých se povinná komunikace datovými schránkami týká.

Pro hrubou orientaci – udává se, že v České republice máme zhruba 600 úřadů. V ČR je 98 soudů. K tomu se řadí státní orgány, které nemají povahu úřadu, např. Policie ČR. Valnou většinu OVM budou však tvořit obce, kterých je nyní okolo 6250. Z toho „velkých obcí” (tzv. 3. typu) je asi 226. Za obce bude nejčastěji vystupujícím orgánem obecní úřad, ve městech též úřady městských částí popř. magistráty. Právě vzhledem k naprosté početní převaze a představitelnosti „úřadů” zde pro OVM volím jeho nejběžnějšího představitele i jako označení, tj. úřad.

Celkově lze odhadnout, že „velkých úřadů” (velkých OVM) bude v ČR něco mezi 600 až 1000. Kritériem „velikosti” je počet úředníků nebo osob, které v ní vytvářejí a podepisují úřední písemnosti, tj. dokumenty. V těchto velkých úřadech bude zprovoznění datových schránek hektickou záležitostí.

Soukromých subjektů (právnických osob, fyzických osob) se tento článek týká pouze „přiměřeně” a „přibližně”. Některé potřeby mohou mít podobné (namísto spisové služby systém DMS), některé mohou použít dobrovolně. Např. použití elektronického podpisu pro ně není povinné, přesto může být výhodné. Postavení soukromých subjektů vůči datovým schránkám bych ale rád někdy později věnoval i samostatný článek. U malých soukromých osob budou potřeby značně redukované.

Architektura vnitřní infrastruktury úřadu

architektura datových schránek

Obr. 2 – Architektura vnitřní infrastruktury úřadu

Vnitřní architekturu prerekvizit v úřadu lze v zásadě znázornit dle obr. 2. Tento obrázek (jako většina tohoto článku) je dedukován z účinných právních předpisů a vhodné technické praxe, nepochází tedy např. z propagačních materiálů dodavatelů. Z důvodu rozsahu i adresátů článku níže uvádím pouze některé nejvýznamnější právní odkazy.

Nejprve k barvám: oranžovočervená je použita pro infrastrukturu elektronického podpisu. Ta by v zásadě měla být v úřadě všudypřítomná. Ve stupních šedé je vyznačeno pracoviště podatelny, resp. její části – výpravny. Béžovou jsou zobrazeny prvky, které jsou nebo mohou být součástí spisové služby, protože na ni těsně navazují. Vůči úřadu externí systémy: žlutě je informační systém datových schránek, světlezeleně současná elektronická internetová pošta.

Dále k formám dokumentů: v obrázku jsou znázorněny jak klasické dokumenty (listinné, papírové) ve tvaru prohýbaných listů, tak i elektronické dokumenty ve tvaru přesných kosodélníkových lis­tů.

Tuto barevnost a tvary dodržuji i v dalších obrázcích v tomto článku.

Nyní k funkcím jednotlivých bloků.

1. Infrastruktura elektronického podpisu

Elektronický podpis je právně-technicko-kryptologický konstrukt, který v právní rovině zajišťuje původce podepsaných dat. Oproti všem jiným konstruktům v bezpečnosti výpočetní techniky poskytuje ochranu všem dotčeným stranám: podepisujícímu, spoléhajícímu adresátovi i třetím stranám. Nezávislá třetí strana, ultima ratio soud, též má možnost rozhodnout, zda je elektronický podpis platný a podepsaná data proto přisuzovatelná jedinečně určené a ztotožnitelné osobě.

Bez elektronického podpisu jsou jakákoliv data (údaje v elektronické podobě, datová zpráva, dokument …) jen shlukem binárních dat, který mohl vytvořit naprosto kdokoliv, kdykoliv, kdekoliv. Sama o sobě pak jako důkaz u žádné třetí strany rozhodně neobstojí, je zapotřebí provádět složité dokazování méně nebo spíše více dalšími způsoby, jejichž věrohodnost může být rozdílná a sporná.

Stručně řečeno: elektronický podpis má nahradit klasický podpis, právní teorií zvaný jako holografní. Výhodou pojmu je, že tuto analogii každý snadno chápe.

Naopak nevýhodou je, že tato snadnost pochopení je zavádějící. Intuitivně by elektronický podpis měl být stejně snadný jako podpis klasický, jenž každý ovládá a jehož smysl zpravidla chápe.

Pro odborníky se vzděláním v oblasti IT nebo matematiky je relativně pochopitelné i princip kryptografického schématu s využitím asymetrického algoritmu RSA. Tato schémátka vyšla v ČR na přelomu tisíciletí v řadě odborných časopisů a je zbytečné je zde opakovat. Přesto však deset let poté elektronický podpis stále není tou realitou, za jakou byl očekáván.

To má mnoho příčin (znám jich asi 15 až 30), jednou z nich však je to, že i pro informačně technologické specialisty je i tato druhá snadnost principu klamavá. Při snaze o skutečně právně vyhovující implementací je zapotřebí se vyrovnat s neobyčejným množstvím informací. Z vlastní zkušenosti vím, že jejich osvojení trvá několik let systematického zkoumání, rešerší a pochopení stovek dokumentů, přičemž se nesmíte věnovat ničemu jinému. Znalosti musí dokonce pocházet z několika disciplín: kryptologie, technické normalizace, implementace IT a rovněž práva.

Důsledkem je, že řešení e-podpisu nelze snadno koupit.

K obtížnosti pořízení přispívá i to, že elektronický podpis není jednoduchý produkt nebo služba, ale směs využití několika produktů a služeb. Velmi zhruba lze postavení elektronického podpisu pochopit z následujícího obrázku č. 3.

infrastruktura datových schránek

Obr. 3 – Obecná infrastruktura elektronického podpisu

Obrázek zachycuje, že podepisující a spoléhající osoby musí využívat řadu služeb a produktů, které ale nemohou být vytvářeny jednotlivými subjekty libovolně podle jejich okamžitého nápadu nebo reakce na potřeby, ale v určité vzájemné orchestraci, která spočívá nejen ve vzájemné technicko-právní kompatibilitě, ale i v oddělení rolí a přidržování se jich.

U všech produktů a služeb by se nemělo prostě spoléhat na nabídku, ale mělo by se provádět určité ověření nabídky. Na rozdíl od jiných produktů IT nedostačuje funkční testování. Nedostačuje, že produkt vykazuje požadovanou funkci, ale je třeba si být jist, že funkce byla vyvinuta, realizována a dodána korektně, že nemá chyby, že nejsou přítomny žádné nedokumentované funkce a že je ve stanovené míře odolný i proti záměrně vedeným útokům.

Tak je kupř. vyžadována akreditace poskytovatelů certifikačních služeb a u výrobců produktů bezpečnostní certifikáty, které byly vytvořeny nezávislými zkušebnami.

Ani to však nedostačuje – vybrané služby a produkty od dodavatelů je třeba i uvnitř organizace nasadit a udržovat bezpečnými postupy.

Hodnoceny by měly být i aplikace, které vytváří nebo ověřují elektronický podpis.

Důsledek zjevené obtížnosti je znám: elektronický podpis se nešíří. Pořizovatelé si buďto uvědomují, že jakákoliv chyba má za následek neplatnost nebo zpochybnitelnost elektronického podpisu, nebo si uvědomují aspoň to, že o e-podpisu vědí příliš málo na to, aby ho pro sebe byli schopni kvalifikovaně pořídit. Jejich reakce je poměrně racionální: rizikům s použitím elektronického podpisu se předchází tím, že se nevyužívá raději vůbec.

Asi stojí za to zde jasně vyjádřit, v čem spočívá zásadní rozdíl mezi datovou zprávou opatřenou elektronickým podpisem a záznamy v žurnálech nějakého IS o tom, kdo se kdy přihlásil do jaké aplikace, na čemž je založena tradiční bezpečnost počítačových systémů. V obou případech se provádí autentizace uživatele. V případě tzv. elektronického podpisu nalezneme sérii významných vlastností:

  1. Autentizace původce „přežije čas sezení”, její platnost trvá a je nepopiratelná.
  2. Autentizace původce je vztažena k jednoznačně určitelné datové zprávě.
  3. Z autentizace lze odvodit (je spojena) jednoznačnou identifikaci fyzické osoby.
  4. .Autentizace/i­dentifikace původce je dotažena až do právní roviny.
  5. Systematika je univerzální. Není vázána na jednotlivou aplikaci, na operační systém, technologické prostředí či dobové paradigma komunikace IT, je vyloučeno použití proprietárních zavřených standardů.
  6. Dostatečné ověření technologií, produktů a služeb proběhlo v zásadě předem a nikoliv až v okamžiku vypuknutí sporu mezi stranami, strany mají možnost se s očekávatelnou úrovní bezpečnosti systémů předem seznámit, bezpečnost je veřejně hodnotitelná nebo aspoň odhadnutelná.
  7. Postavení stran (podepisující x spoléhající) je vyrovnané a vzájemně nezávislé.

Bohužel, dosažení stejných nebo podobných vlastností jinými, jednoduššími metodikami se zatím nikomu nepodařilo.

Elektronický podpis a datové schránky

Projekt datových schránek se rozhodl ušetřit obtíží s elektronickým podpisem soukromé subjekty: právnické osoby a fyzické osoby, při činění úkonů vůči orgánům veřejné moci. Do jaké míry to je vhodná praxe. ukáže až delší zkušenost. Skeptické soukromé subjekty mohou elektronický podpis použít dobrovolně i při podání datovými schránkami, neboť ochraňuje i je, a to před změnou podané datové zprávy, ke které může dojít jak náhodně, tak projevem nějakého útočníka.

Na straně orgánů veřejné moci naopak zůstává potřeba elektronického podpisu plně zachována, a to i při doručování prostřednictvím datových schránek. Právní fikce písemnosti a podpisu dle § 18 odst. 2 ZoEÚ se ad rubrica § 18 týká pouze úkonů prováděných vůči orgánům veřejné moci. Doručování dokumentu směrem od OVM je upraveno v § 17 a tuto fikci neobsahuje. Zároveň plně platí procesní předpisy jako jsou zejména občanský soudní řád (v případě civilních soudů), správní řád (v případě úřadů) nebo zákon o správě daní a poplatků (finanční úřady a některá vymáhací řízení úřadů). Tyto předpisy v kombinaci se ZoEÚ znamenají, že soukromá osoba z datové schránky může obdržet dokument v podobě datové zprávy od úřadu vždy pouze elektronicky podepsaný uznávaným elektronickým podpisem, a to zpravidla některou z těchto osob:

  • osobou, která je autorem dokumentu (rozhodnutí, usnesení),
  • osobou, která odpovídá za správnost vyhotovení,
  • osobou, která provedla autorizovanou konverzi dokumentu z moci úřední.

Potřeba vytváření elektronických dokumentů elektronicky podepsaných, odesílaných povinně přes datové schránky, povede na každém úřadě ke vzrůstu potřeby množství osob vybavených elektronickým podpisem.

Kromě výše uvedené právní úpravy zůstává plně v platnosti i § 11 odst. 1 ZoEP stanovící, že: V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze (…) „uznávaný elektronický podpis“(…) Jeho běžný výklad je, že i pro vnitřní účely potvrzování elektronických dokumentů (kdy má toto potvrzení „účel podpisu“), např. při vnitřním řízení úřadu, se má používat uznávaný elektronický podpis.

Cíl maximální možné elektronizace dokumentového provozu úřadů, stanovený novelou zákona o archivnictví a spisové službě v novele zákonem č. 190/2009 Sb., vede na homogenizaci prostředí tak, aby pokud možno každá na úředních procesech angažovaná osoba byla schopna se elektronicky podepisovat, nebo aspoň podle potřeby mohla rychle začít se elektronicky podepisovat. Ze srovnání níže uvedených minimálních a maximálních variant je proto perspektivní pouze varianta max.

Úřadům se tak odkládaný problém plošnějšího nasazení elektronického podpisu vrací s projektem datových schránek obloukem nazpátek, ovšem v časově kritických termínech.

Specifika nasazování infrastruktury v úřadech

Zatímco výše vedená diskuse okolo obr. 3 naznačuje, že problematika elektronického podpisu je již tak dost složitá sama o sobě, při nasazení elektronického podpisu v úřadě (jakékoliv větší organizaci, i soukromé společnosti) vznikají další zvláštní problémy.

Ty především plynou z toho, že subjekt podepisující osoby a úřadu nejsou totožné. Vznikají specifické zájmy a potřeby ochrany podepisujícího i úřadu. S malou výjimkou zavedení institutu tzv. „držitele certifikátu“ české právo vztah podepisující osoby a úřadu, z hlediska specifik elektronického podpisu, zásadně neřeší. Bez činění dalšího je ZoEP zpravidla v organizacích právně-technicky porušován.

Pochopitelně vznikají i otázky oprávněnosti jednání jménem nebo zastoupením subjektu.

Právní vztahy je třeba vyřešit samostatně v každém úřadu zvlášť, smluvními dodatky a změnami vnitřních předpisů. Změny vnitřních předpisů jsou potřebné i z hlediska navazujících změn elektronické spisové služby. Zpravidla jsou nyní zralé na zásadní přepsání a nikoliv jen na drobné kosmetické úpravy a přílepky.

Další zvláštní potíže vznikají z prosté mnohosti podepisujících osob. Při jejich množství je zapotřebí jednotlivé podepisující v mnoha směrech podpořit i ohlídat.

Protože úřady musí používat kvalifikované certifikáty od certifikačních autorit, přichází do úvahu použití jedné ze tří: První certifikační autorita, a.s., PostSignum (Česká pošta, s.p.) a eIdentity a.s. Pro schopnost rychle reagovat na personální nebo organizační změny vydáváním certifikátů pro zaměstnance úřadu je vhodné nechat si zřídit vnitřní registrační autoritu (někdy označovaná jako registrační místo), která slouží pouze pro daný úřad, popř. pro více geograficky souvisejících či jinak spřátelených úřadů. Získaná časová flexibilita i kvalita činnosti registrační autority se značně vyplatí ve srovnání s tím, čeho se lze nadít na běžných registračních autoritách. Na certifikační autoritu pak lze hledět do značné míry jako na outsourcovanou službu, což je právně možné a technicko-ekonomicky výhodné.

Občas vnitřně zřizované certifikační autority sice mohou budit zdání činnosti, ovšem důvěryhodnost zpravidla trvá pouze do okamžiku započetí ověřování jejich činnosti a technologií podle metodik, které jsou používány pro udělování akreditací a dohled na nimi. Pro účely podpisů jejich použití v úřadech navíc odporuje výše uvedenému ustanovení § 11 odst. 1 ZoEP.

Služby kvalifikovaných časových razítek a vydávání kvalifikovaných (systémových) certifikátů spolu technicky nesouvisí, lze je poptávat a odebírat současně i zvlášť.

Obecně všechny zvláštnosti nasazování v úřadech mají aspekty: organizační, postupové, právní a technické.

Z jiného pohledu lze infrastrukturu elektronického podpisu dělit na část povahy horizontální, tj. takové, která se týká všech zaměstnanců a všech aplikací stejným způsobem, a na část povahy vertikální: po implementačních prostředích, hlavních užitých technologiích nebo po jednotlivých aplikacích, čemuž mohou odpovídat i různé agendy, různé odbory nebo oddělení.

Nejsou-li všechny tyto zvláštnosti nasazování v úřadu zvládnuty, pak opět není naplňován cíl elektronického podpisu, navíc úřadu nebo úředníkům vznikají četná rizika zneužití.

Výše uvedení poskytovatelé certifikačních služeb se zpravidla soustřeďují pouze na dodávky samotných certifikátů popř. časových razítek, zbylých cca 70 – 80 % oblastí problematiky elektronického podpisu jimi zůstává nepokryto.

Je zajímavé, že i norma ISO 27006, stanovující náležitosti bezpečnostních auditů, si je specifik elektronického podpisu vědoma. Do počtu 20 osob s (digitálním) podpisem je audit řazen do nejméně náročné kategorie, po překročení 20 osob se však přehoupne rovnou do kategorie nejnáročnějších auditů vůbec.

Bez řádné realizace infrastruktury elektronického podpisu (spíše pravidlo) vznikají v úřadech situace jako:

  • e-podepisování se děje v právním vakuu (z hlediska vnitřních vztahů), je porušován ZoEP, vnitřní předpisy jsou nepoužitelné, nedodržitelné nebo chybějící,
  • nikdo neví, kteří úředníci mají kvalifikovaný certifikát,
  • tím spíše nikdo neví, zda je obsah certifikátů správný a aktuální,
  • nikdo nezneplatňuje certifikáty zaměstnance, který odešel,
  • soukromé klíče se nacházejí v úložištích Windows, dokonce i bez ochrany heslem nebo PIN,
  • duplikace soukromého klíče zaměstnance je triviální,
  • neexistuje struktura technické podpory, rozdělení odpovědností a řešení situací osobami s patřičnou kvalifikací,
  • které pokud nejsou v zásadě „trvalým“ bezpečnostním incidentem, jsou přinejmenším nežádoucí, vždy jsou rizikem.

Náklady na pre/ko/post-rekvizity

O druhé zásadní pre-rekvizitě, tj. o ESS, bude pojednávat až navazující článek. I když trochu předbíhám, na závěr tohoto článku uvedu stanovení určité ekonomické náročnosti tvorby pre/ko/post-rekvizit datových schránek. Neřeším zde tedy vůbec otázku financování provozu DS a ISDS.

1. Infrastruktura elektronického podpisu. Z vlastní praxe rozpočtů pro velké úřady lze odvodit, že náklady na zavedení infrastruktury elektronického podpisu, v kvalitě dostatečné pro splnění účelů elektronického podpisu, jsou zhruba 8–15 tisíc Kč na podepisující osobu, přičemž náklad s velikostí úřadu zpravidla klesá. Z toho jen zlomek připadá na cenu certifikátu popř. kryptografických prostředků. S těmito náklady návrh žádného zákona nepočítal a proto úřady naprosto nejsou připraveny na jejich vynaložení, jak finančně, tak ani psychologicky.

2. Elektronická spisová služba. Vládní důvodová zpráva k novému § 69a zákona č. 499/2004 Sb. udává, že cena licence softwaru spisové služby pro 1 úředníka je asi 8500 Kč a v celé veřejné správě by měla činit asi 850 milionů Kč. Pořizovací náklady na veškerá datové pole (RAIDy) pro celou ČR však odhaduje na pouhých 8,4 mil. Kč ročně, což se mi zdá nerealistické, možná téměř o dva řády. Cena kvalifikovaného časového razítka má být 50 haléřů, ve skutečnosti však v malých počtech je okolo 5 Kč či více. I zde je v nákladech zcela pominuta potřeba odborného zavedení systému, nutných doprovodných služeb. Určitou nákladovou výhodou oproti infrastruktuře elektronického podpisu zde může být, že zavádění spisové služby lze v určité míře provést vlastními silami pomocí znalostí stávajících pracovníků, úředníků a právníků úřadů. Přesto i zde je pravděpodobné, že oblast je silně finančně podhodnocena.

Náklady na přípravu a v tomto případě i provoz pracoviště pro autorizovanou konverzi z moci úřední je obtížné předem určit (skener, zasíťovaný počítač, tiskárna, nábytek a uzavíratelná místnost pracoviště mohou přijít na řádově 75 – 100 tisíc na jedno konverzní místo, ale není zřejmé, kolik míst bude nakonec úřad pro svou činnost potřebovat), neboť hlavní budou mzdové náklady pracovníků. Pokud se konverze budou provádět tou rychlostí jako na CzechPOINtech, tedy asi 1 konverze za 10–15 minut, může se jako nákladové i dokumentově-tokové hrdlo ukázat právě konverzní pracoviště! Jeden úředník pak může provést asi 50 konverzí za směnu, tj. jen mzdový náklad úřadu na jednu konverzi by byl 30 Kč u jednoho dokumentu. Ani na tyto provozní náklady nejsou úřady zřejmě vůbec připraveny.

CIF16

3. Formulářové systémy. Zde bude velmi záviset na konkrétní potřebě toho kterého úřadu, na tom, zda se jedná o agendu vnitřní nebo agendu vnější. Zejména u vnějších agend by se mělo vyplatit centralizované zadávání zakázek pro resort, pro určitou agendu, která má právními předpisy stanovené standardizované formuláře. Poměrně příznivé nabídce společnosti Adobe zcela jistě napomáhá domácí konkurence Software602. Vzhledem k tomu, že znám pouze neveřejně uváděné ceny a situace záleží případ od případu jinak, odkáži zde přímo na výrobce nebo dodavatele.

4. Uložení elektronických dokumentů. Náklady na převody dokumentů v digitální podobě do výstupního datového formátu by mohly být nižší než u autorizované konverze dat, protože odpadá skenování listinné předlohy. Zbývají náklady na datové úložiště a na občerstvování věrohodnosti dokumentů po dobu skartační lhůty a na tuto funkci zajišťující software. Nejčastěji se zřejmě bude jednat o modul elektronické spisovny v rámci ESS, popř. o jeho zásadní upgrade. Vlastní skartační řízení může být naopak levnější než je v současnosti, pouze dojde k předání dat archivu na archiválie. Další časovou údržbu věrohodnosti již budou provádět vnější instituce – archivy.

Anketa

Jaká bude vaše důvěra v elektronicky podepsané dokumenty od úřadů nebo soudů, doručené datovou schránkou?

21 názorů Vstoupit do diskuse
poslední názor přidán 3. 8. 2009 12:43

Školení: Jak na firemní Facebook prakticky

  •  
    Jak efektivně propojit Facebook s webem.
  • Jak vše měřit a vyhodnocovat.
  • Jak řešit krizové situace.

Detailní informace o školení Facebooku »