Hlavní navigace

Jaké změny čekají datové schránky?

11. 12. 2009
Doba čtení: 13 minut

Sdílet

 Autor: 21971
Od prvního ledna příštího roku bude zrušeno testovací prostředí datových schránek. Naopak zřejmě vznikne „telefonní seznam“ všech datových schránek, o kterém se dosud tvrdilo, že nesmí existovat. Časem se možná budeme moci přihlašovat k datovým schránkám i pomocí mobilního klíče. 602XML Filler prý  již dnes plní i určité bezpečnostní funkce.  Pořídí si datové schránky serverový certifikát od Verisignu?

V posledních dnech se objevilo hned několik zajímavých informací o tom, jaké změny lze v brzké či delší době očekávat u datových  schránek.

Rád bych ale hned na úvod zdůraznil, že nejde o informace oficiální, v tom smyslu, že by již byly oficiálně oznámeny zřizovatelem či provozovatelem informačního systému datových schránek (tedy MV ČR, resp. Českou poštou). Jsou to vesměs informace, které zazněly na odborných konferencích k problematice eGovernmentu či na různých více či méně oficiálních setkáních. K nim si dovolím přidat i několik spíše již kuloárových informací.

Co se změní k 1.1.2010?

S většinou těchto informací není spojeno žádné konkrétní datum. Existují ale i výjimky, u kterých už je jasné, že k nim dojde právě k 1.1.2010. Někdy ale spíše jen formálně.

Platný zákon (č. 300/2008 Sb.) například stanovuje, že od 1.1.2010 bude možné „komerční využití“ datových schránek, byť zatím jen pro přenos faktur. K odkladu tohoto termínu (nějakou novelou) nedošlo, a tak uvedený termín platí.

Nicméně zatím nebyly  zveřejněny ceny, které by uživatelé měli platit za „komerční“ datové zprávy (tj. mezi privátními subjekty), ani mechanismus placení. Kuloárové informace přitom naznačují, že cena nebude stejná jako ta, kterou platí stát, ale vyšší. Pak ale bude hodně zajímavé, zda se tato možnost v praxi ujme – zda se vůbec někomu vyplatí. 

Podmínkou přitom bude, aby příjemce nejprve vyjádřil svůj souhlas s příjmem komerčních datových zpráv. Odesilatel zase musí nejprve uzavřít s Českou poštou, coby provozovatelem systému, potřebnou smlouvu. Zde kuloáry naznačují, že toto asi nebude až tak horké, resp. že smlouvy ještě nebudou ze strany provozovatele uzavírány hned k 1.1.2010. Takže formálně bude vše možné již od uvedeného data, fakticky to nejspíše ještě nějakou chvíli potrvá.

Podle toho, co zaznělo na jedné z konferencí o eGovernmentu, bude u těchto „komerčních“ datových zpráv  jeden zajímavý problém, související s ochranou osobních údajů. Jde o to, že když bude třeba odeslat nějakou takovouto zprávu fyzické osobě (ať již podnikající či nepodnikající), pak pouze orgány veřejné budou moci vyhledat v informačním systému datových schránek její adresu (ID datové schránky, resp. ID uživatele).

Ostatní subjekty prý tuto možnost mít nebudou.  A tak si budou muset zjistit potřebnou adresu jinak, již mimo samotný informační  systém datových schránek. Například tak, že jim potřebnou adresu příjemce sdělí dopředu, jiným kanálem.

Testovací prostředí bude zrušeno

Hned z několika zdrojů pochází informace o tom, že k 1.1.2010 bude zrušeno současné testovací prostředí datových schránek. Důvody prý souvisí s bezpečností: toto prostředí má být využíváno  jako „testovací hřiště“ i pro potenciální útočníky, kteří na něm zkouší své útoky.

No, na jedné straně toto testovacího prostředí až tak šikovné nebylo. Jako fyzické osoby jste si toho na něm moc nevyzkoušeli, kromě možnosti získat jednu předdefinovanou odpověď na svou testovací zprávu od jednoho konkrétního orgánu veřejné moci (když už jste si nějak zjistili, který to  je, a že vůbec takový existuje).  Na druhou stranu to bylo „alespoň něco“,  a tedy „lepší než nic“. 

Nově by místo testovacího prostředí mělo být zprovozněno nějaké (zatím blíže neurčené) vývojové prostředí pro spisové služby a jejich producenty, tak aby tito mohli nadále testovat své produkty.

Jen jeden z informačních zdrojů přitom naznačil, že by po 1. lednu mělo být nějak pamatováno i na jednotlivé koncové uživatele, formou nějakého nového „školícího prostředí“. Opět ale bez bližších detailů. Takže uvidíme.

Vyhledávání: telefonní seznam přece jen bude

S ochranou osobních údajů a vyhledáváním v rámci informačního systému datových schránek souvisí i další avizovaná změna, která by mohla být velmi významná.  Jde v ní o značnou „nepohodlnost“ vyhledávání, která je dnes úplnou noční můrou  například pro soudy. Obecně pro všechny, kteří odesílají zprávy velkému množství příjemců. Pro toto vyhledávání  jsou dosud odkázáni na značně omezené a nepříliš „user friendly“ možnosti samotného systému ISDS. Ty navíc fungují poněkud odlišně i podle toho, zda je vyhledávání realizováno přes rozhraní webového portálu, nebo přes rozhraní webových služeb (a tedy používáno například z nějaké spisové služby).

Významnou pomocí by byla existence něčeho jako „telefonního seznamu“ všech datových schránek. Ten by si připojené systémy (typicky spisové služby) nějak „natáhly“ do sebe, a svým uživatelům by pak umožnily komfortnější, přesnější a také rychlejší vyhledávání vlastními prostředky.

Jenže: možnost existence takovéhoto telefonního seznamu byla dosud aktivně popírána, s odkazem na zákon o ochraně osobních údajů. Dodnes se v nejrůznějších materiálech o datových schránkách stále dočtete, že takovýto telefonní seznam existovat nemůže a nebude.

Nicméně jak se zdá, zřejmě se podařilo najít určitou možnost, jak by přece jen mohl existovat a dal by se používat. Řešení vypadá typicky české:  potřebné údaje sice nejde dát „osobě“, ale lze je dát „serveru“. A je pak na něm, aby dodržel všechny požadavky zákona.

Poslechněte si, jak to na jedné konferenci popisoval pan Radek Smolík, který se zabývá bezpečností datových schránek:

… připravujeme něco, po čem se divím, že velcí provozovatelé spisovek nekřičí, i ministerstva, krajské úřady – očekával bych, že nám budou spílat, že neexistuje něco jako zlaté stránky pro informační systém datových schránek,  a budu říkat: tak sakra udělejte nějakou webovou službu, ať my si můžeme přes tu webovou službu stáhnout ty údaje k nám, na nějaký náš systém, a my si je potom ve svých aplikacích budeme vyhledávat takovým způsobem, že budeme zákon ctít a je to náš problém, jak si to uděláme.

A mají svatou pravdu, protože my můžeme těmito daty nakrmit jakýkoli server (jakýkoli ne,  jen takový,  který se autorizoval), aniž bychom porušili zákon 101, protože naší povinností je vědět, kterému technickému zařízení to dáváme, dávat to pouze autorizovanému, dávat mu to šifrovaně, ale serveru – ve smyslu systému, zařízení – to dát můžeme. My to nesmíme dát člověku. A my na takovéhle webové službě začínáme pracovat a chtěli bychom ji brzy mít.

No, pokud bude příjemcem takového telefonního seznamu orgán veřejné moci (jako například soud), pak tento seznam asi bude moci obsahovat i adresy datových schránek fyzických osob (viz předchozí zmínka o nemožnosti jejich vyhledávání pro komerční provoz). Nicméně i ta spisová služba, která si takovýto telefonní seznam „načte“, stále bude muset znovu a znovu testovat, zda si fyzická osoba v mezidobí nezřídila svou datovou schránku. Takže „úplné  řešení“ to nebude. Ale rozhodně to pomůže.

Filler jako bezpečnostní nástroj

Zajímavá je i následující informace, která také zazněla na jedné z konferencí k eGovernmentu. Týká se zabezpečení přístupu k datovým schránkám a vychází z empirického zjištění, že drtivá většina uživatelů, kteří používají portálové rozhraní (tj. přistupují ke schránkám přes webové stránky) se přihlašuje jenom jménem a heslem. S využitím certifikátu naopak jen naprosté minimum.

Mimochodem, dnes už většina „lidí kolem datových schránek“ připouští, že přihlašování jen pomocí jména a hesla je nedostatečně bezpečné. Dokonce jsem se setkal i s formulací, že tak lidé činí jen na vlastní riziko.  Jaká to změna oproti stavu, kdy ještě náměstek Zajíček všechny přesvědčoval, jak je pouhé jméno a heslo dostatečně bezpečné, když tak fungují i všechny internetbankingy.

Ale teď k samotné novince, byť je zatím poněkud více neoficiální: když provozovatelé zjistili, že jen minimum lidí se přihlašuje s certifikátem, a naopak všichni musí povinně používat 602XML Filler, rozhodli se začít do něj zabudovávat určité bezpečnostní funkce. Poslechněte si, jak to popsal pan Smolík:

V našem případě si všichni portáloví uživatelé instalují Filler, který jim umožňuje zprávy číst, ukládat a dělat i některé jiné jiné věci, které postupně omezujeme a Filler z nich vytěsňujeme. Nicméně: když jsme zjistili, že ta situace je taková, že naprostá většina uživatelů se skutečně s certifikátem nepřihlašuje, tak jsme začali zabudovávat velmi významnou bezpečnost do Filleru.

Do Filleru jsme totiž zabudovali několik velmi  silných bezpečnostních  praktik, a jedna z nich se jmenuje lístkování. Hojně ji používají webové aplikace různých internetbankingů již řadu let, je to děláno poměrně složitě, a řekl bych velmi sofistikovaně, takže Filler jakékoli takové pokusy, které nepřicházejí z toho jeho vlastního prohlížeče a nepřicházejí z té jeho vlastní relace, a nejsou navázány na ty lístky mezi všemi formuláři, odpoví takovým způsobem, že ty zprávy nepošle. Takže ten útočník bude schopen číst zprávy, ale nebude je schopen – bez toho, aby ten útok byl skutečně extrémně složitý a velmi sofistikovaný – ty zprávy poslat.

Mobilní klíč pro přihlašování

Když už jsme u přihlašování k datovým schránkám přes webové stránky: zde je autorům často vytýkáno, že se neinspirovali u internetového bankovnictví a neumožnili využití mobilního klíče. Ten může mít podobu SMSky (případně zprávy, kterou přijímá aplikace na SIM toolkitu) a obsahuje jednorázový kód, který uživatel musí přepsat do webové stránky.

Tato forma „mobilního klíče“ ale má jeden zásadní  problém, kterým je zpoplatnění SMS zpráv. U bankovních služeb je hradí banka, a svého zákazníka si následně zkasíruje přes bankovní poplatky. Ale jak by tomu bylo u datových schránek? Zde by buďto musel vše platit sám koncový uživatel, nebo by SMSky musel hradit provozovatel (a to z ceny, inkasované za přenos datové zprávy). Obojí zřejmě bylo shledáno jako neschůdné.

Nicméně začíná se rýsovat možnost použití jiného typu mobilního klíče. Vzpomínáte si ještě na „kalkulačku“, kterou už kdysi dávno poskytovala svým zákazníkům ještě eBanka? Šlo o zařízení, které uživateli samo vygenerovalo jednorázový kód, skrze který se pak uživatel autentizoval vůči bance. Výhoda byla v tom, že zde byl jen jednorázový náklad na pořízení této kalkulačky, zatímco její samotný provoz náklady neměl (odmyslíme-li si například výměnu baterií). Dodnes to některé naše banky nabízí, a třeba Raiffeisen banka to označuje jako osobní elektronický klíč (a zpoplatňuje 89 korunami měsíčně za každý účet).

Dnes už ale takováto „kalkulačka“ (fakticky generátor jednorázových autentizačních kódů) nemusí mít podobu fyzického zařízení, ale může to být i softwarová aplikace, provozovaná například v mobilním telefonu (nejspíše na SIM kartě), a fungující nezávisle na dostupnosti mobilní sítě. Což umožňuje dále redukovat počáteční náklady a zachovat nulové provozní náklady.

No a datové schránky prý do budoucna počítají i s takovýmto způsobem autentizace při přihlašování (tj. místo hesla). Jen je zřejmě ještě třeba vyřešit různé praktické aspekty – takže zatím není zřejmý časový horizont pro zavedení tohoto řešení.

Certifikáty od Verisignu?

Do třetice k přihlašování: čtenářům Lupy jistě netřeba popisovat problém se serverovým certifikátem, kterým se prokazuje web informačního systému datových schránek. Bylo to zde probíráno již mnohokrát (a sám jsem o tom psal například v článku Stalo se: Česká pošta neradila správně, již 13.7.2009).

Zajímavé je, že v poslední době se k tomuto problému již začínají vyjadřovat i lidé kolem datových schránek – a začínají signalizovat určité řešení.

Rozlišujme ale dvě věci: samotný původ serverového certifikátu (tedy: kým byl vydán), a dále osvětu vůči veřejnosti, týkající se vyjádření důvěry tomuto certifikátu (skrze jeho instalaci).  Osobně považuji za hlavní problém to druhé, zatímco to první vnímám jako ne moc šťastné  strategické rozhodnutí.

To, kde se začíná rýsovat určitý obrat, se také týká pouze první věci, resp. původu certifikátu. Lidé kolem datových schránek dnes už začínají otevřeně hovořit o tom, proč vlastně zvolili certifikát od CA PostSignum, a ne od nějaké jiné certifikační autority, kterou by browsery či přímo operační systémy považovaly za důvěryhodnou „samy od sebe“ (skrze své nastavení, dané jejich výrobcem).

Prý to bylo i proto, že by rozhodnutí o důvěryhodnosti či nedůvěryhodnosti vlastně přenechali někomu úplně cizímu, nad kým nemají kontrolu. I třeba proto, že v případě problémů by „chudák český uživatel“ byl přesměrován na anglicky psané stránky, kde by si nemusel vědět rady.

No, jsou to validní argumenty – ale musíme je poměřovat i tím, co a jak udělali oni sami, aby zajistili dostatečnou důvěryhodnost jimi zvoleného (a tedy jiného) řešení. A zde je bohužel nutné konstatovat, že dlouhou dobu nedělali vůbec nic. Ba co hůře: dokonce dělali takové věci, které naopak významně podrývaly důvěryhodnost jimi zvoleného řešení. Viz doporučení „ignorovat varování a všechno odklikat“, které zpočátku vydávala Česká pošta. A teprve s postupem času zřejmě zjišťovala, že někde je nějaký problém – a jak by se k němu měla postavit.

Zpět ale k meritu věci: dnes se objevují signály, že datové schránky by si mohly časem pořídit nový serverový certifikát, a to již od společnosti VeriSign.

No, dříve či později (nejpozději však 19.6.2010) si ISDS bude muset tak jako tak pořídit nový serverový certifikát, protože ten stávající platí právě jen do uvedeného data v červnu příštího roku.  Pokud by si znovu pořídil certifikát od CA PostSignum, pak v příštím roce by to už nutně musel být  certifikát využívající hashovací funkci SHA-2 (místo stávající SHA-1). S tím by ale měly problém počítače se staršími operačními systémy (na platformě MS Windows starší než XP s SP3).

Naproti tomu společnost Verisign, pokud jsou informace na jejím webu aktuální, dosud nestanovila, kdy ukončí vydávání nových certifikátů s dosavadním SHA-1. A její současná certifikační politika zatím připouští vydávání nových certifikátů se SHA-1 i po roce 2010, a jen opatrně říká, že na SHA-2 by se mělo přejít  teprve tehdy, až bude v praxi dostatečně podporováno.

Že by zde byla příčinná souvislost? Informace o tom, že by si datové schránky měly pořídit nový certifikát od Verisignu, totiž současně upozorňují na to, že i zde může být problém s instalací kořenových certifikátů, neboť jejich automatická aktualizace na platformě MS Windows je prý volitelná, a nikoli povinná. Tedy spíše: někdy jde  vypnout, jak jsem už upozorňoval v tomto svém článku. Takže se nelze spoléhat na to, že vždy a za všech okolností bude potřebný serverový certifikát správně nainstalován.

Na druhou stranu by to pro „běžného uživatele na platformě MS Windows“ asi bylo vhodnější řešení. Takovýto uživatel by totiž nemusel nic dělat, a tudíž by ani nepotřeboval žádný návod na to, co a jak má dělat. A ten, kdo by si aktualizace kořenových certifikátů sám vypnul, by nejspíše sám věděl, co si počít (když už ví, kde má co vypnout). Také by na to nejspíše nepotřeboval žádný návod od České pošty. Tudíž by ani nevznikal tak velký  prostor, ve kterém by Česká pošta mohla radit nesprávně (jako to bohužel zpočátku dělala, viz již zmiňovaný článek z července t.r.).

To si to ale autoři a provozovatelé datových schránek nemohli rozmyslet dříve? Ještě než přinutili všechny uživatele, aby vyjádřili svou důvěru certifikátům od CA PostSignum? Připomíná mi to situaci s registrací domén: zde bylo také ponecháno mnoho měsíců na to, aby si všichni zájemci o „podobné“ domény zaregistrovali, co jen chtějí. A teprve pak se resort vnitra probudil a začal si registrovat ty podobné domény, o které již nikdo neměl zájem.

Budou se opravovat chyby?

Na závěr si nechám jednu zásadnější záležitost, u které se mě dostupné informace poněkud rozcházejí. Jeden zdroj totiž hovoří o tom, že v současné době není vůle otevírat zákon 300/2008 Sb. a v něm opravovat ty chyby, které zde jsou. Třeba jen ujasnění základních pojmů (rozdíl mezi dokumentem a datovou zprávou), či záležitost s nepovinným časovým razítkem na elektronickém dokumentu, či podmínky konverze mezi elektronickou a listinnou formou dokumentu apod.

Pravdou je, že podle dřívějších předpokladů měla být chystaná novela zákona 300/2008 Sb. touto dobou již v meziresortním připomínkovém řízení. Jenže není – a prý není vůle takovouto novelu vůbec připravovat, resp. zákon 300/2008 v tuto chvíli otevírat. Stejně tak jsem nezaznamenal ani nové verze prováděcích vyhlášek.

UX DAy - tip 2

Jiný zdroj ale naopak říká, že vůle opravit chyby v zákoně i ve vyhláškách existuje. I vůle řešit také problematiku dlouhodobějšího statutu elektronických dokumentů (na jejíž neřešení zde upozorňuji již nějakou dobu). Vše by se přitom asi muselo pojmout poněkud komplexněji, nejen novelizací zákona č. 300/2008 Sb. (o elektronických úkonech, fakticky o datových schránkách), ale i zákona č 227/2000 Sb. o elektronickém podpisu a zákona č. 449/2004 Sb. o archivnictví.  Stejně tak se prý řeší i to, zda by mělo jít o „vládní“ návrh (věcně připravený některým resortním ministerstvem či přímo na úřadu vlády), nebo zda by se  mělo jednat spíše o nějakou poslaneckou iniciativu.

No, v každém případě je to alespoň určitý náznak toho, že si někdo začíná uvědomovat existenci tohoto zásadního problému – který podle mého názoru má podobu časované bomby, nastavené na druhou polovinu příštího roku, až začnou expirovat dnes používané podpisové certifikáty. Teď jen aby se stihlo alespoň něco ještě dříve, než tato bomba vybuchne.

Využili jste někdy testovací prostředí ISDS?

Byl pro vás článek přínosný?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).