Vyšlo na Lupě, 21.01.2019
Vytištěno z adresy: http://www.earchiv.cz/b19/b0121001.php3

Datové schránky v responzivním kabátě a s novinkami

Zmizela Captha, přišlo uzamykání. Nově se dá přihlašovat i pomocí eObčanek a vyhledávat se dají i zprávy starší 90 dnů. Dostupné jsou jejich doručenky, ale samotný obsah starších zpráv nikoli.

Právě skončený víkend přinesl určité změny v uživatelském rozhraní Informačního systému datových schránek (ISDS). Některé z nich byly dopředu avizovány (hlavně zde), jiné nikoli. Podle mého zjištění jde o tyto změny:

  • design webových stránek ISDS je nově responzivní, po vzoru Portálu občana
  • nově je možné se k datové schránce přihlásit i přes NIA – ovšem jen pomocí nové eOP (a nikoli pomocí dalších možností, které NIA nabízí)
  • při přihlašování jménem a heslem, které používá drtivá většina uživatelů, byla zrušena CAPTCHA (a byla nahrazena uzamykáním přístupu na prodlužující se dobu)
  • k dispozici je nově historie datových zpráv (již bez omezení na posledních 90 dnů) a možnost stažení starších doručenek (nikoli ale samotného obsahu starších zpráv)
  • sdělení, které má představovat obsah odesílané datové zprávy, je nově možné připravit (napsat) přímo v rámci uživatelského rozhraní

Pojďme nyní k jednotlivým změnám podrobněji.

Responzivní design

Předchozí design uživatelského rozhraní datových schránek nebyl responzivní – v tom smyslu, že se nepřizpůsoboval velikosti (hlavně šířce) displeje uživatelova zařízení. Pravdou je, že to znesnadňovalo (ale nikoli znemožňovalo) práci s datovými schránkami přes toto rozhraní na zařízeních s omezenou velikostí displeje, hlavně na mobilech (ale i na některých tabletech).

Na druhou stranu ten, kdo chtěl pracovat s datovými schránkami z mobilu či tabletu, měl k dispozici řešení v podobě aplikací přímo určených pro mobilní zařízení (jako např. mobilní Datovku od CZ.NIC).

 
Ukázka responzivního designu Datových schránek (nahoře) a Portálu občana (dole)
 

Nynější nový design datových schránek tedy již je responzivní, založený na frameworku Bootstrap – a nijak nezapírá svou inspiraci (ani snahu o sjednocení) s designem Portálu občana. I když shodné zdaleka nejsou. A to ani svou reakcí na stejnou šířku displeje (viz předchozí obrázek), ani obsahem uváděných údajů, ani terminologií.

Na následujícím obrázku si povšimněte například toho, že datové schránky mluví o přijatých zprávách, zatímco portál o doručených datových zprávách. A zatímco portál nově uvádí jak čas dodání, tak i čas doručení (možná i v reakci na mou kritiku v tomto článku), datové schránky i v novém kabátě uvádí ve stejné situaci jen čas doručení.

 
Ukázka responzivního designu Datových schránek (nahoře) a Portálu občana (dole)
 

Celkové hodnocení nového designu datových schránek ale raději přenechám povolanějším.

Co se mění na přihlašování?

Když bylo dopředu avizováno, že nově bude možné se k datovým schránkám přihlašovat přes NIA (přes portál Národní identitní autority, resp. tzv. Národního bodu), doufal jsem, že to bude realizováno „plnohodnotně“ v tom smyslu, v jakém je NIA a její princip všude prezentován: že datové schránky budou poskytovatelem služby (SeP, Service Provider) a NIA umožní přihlášení k datovým schránkám všemi způsoby, které má k dispozici (přes všechny dostupné IdP, Identity Providery) a které dosahují požadované úrovně záruky.

Proč? Jde o celkové zvýšení bezpečnosti přihlašování k datovým schránkám: drtivá většina uživatelů (až 99,84 %) se k nim dnes přihlašuje tím nejméně bezpečným způsobem, jen prostřednictvím jména a (statického, opakovaně použitelného) hesla. To odpovídá úrovni záruky „nízká“, která se hodí jen pro takové účely, u kterých by případné zneužití nemělo závažnější důsledky. To ale velmi výrazně nekoresponduje s tím, jaké právní důsledky mohou mít úkony činěné datovými schránkami.

Přihlašování pomocí nových eOP v tomto ohledu určitě pomůže (mělo by odpovídat úrovni záruky „vysoká“), ale je to běh na dlouhou trať: lidé si asi nebudou masově měnit své dosavadní občanky za ty nové jen proto, aby se mohli bezpečněji přihlašovat ke svým datovým schránkám. Proto by se hodilo i takové řešení, které novou elektronickou občanku nevyžaduje, ale přesto je bezpečnější než pouhé jméno a heslo (aby dosahovalo alespoň úrovně záruky „značná“). Současně by mělo být jednoduché na použití, dostupné ihned a být (pro uživatele) zdarma.

Praxe takovéto řešení dobře zná a používá se například u internetbankingu: jde o kombinaci jména a jednorázového hesla, zasílaného pomocí SMS na mobilní telefon uživatele. Případně ještě v kombinaci se statickým (opakovaně použitelným) heslem.

Nová NIA takovéto řešení nabízí, v podobě prostředku „Jméno, heslo a SMS“, přičemž ona SMS je z pohledu přihlašujícího se uživatele (příjemce) zdarma, když náklady na ni hradí NIA (resp. stát). A přihlašovat se tímto způsobem (pomocí „Jména, hesla a SMS“) se můžete například k Portálu občana – skrze který můžete pracovat i se svou datovou schránkou. Stejně jako k dalším službám eGovernmentu.

Doufal jsem tedy, že nová možnost přihlašování k datovým schránkám přes NIA bude zahrnovat jak variantu s novou eOP, tak i možnost přihlášení pomocí prostředku „Jméno, heslo a SMS“. Tím by mohla být nahrazena dosavadní možnost, kterou datové schránky nabízí již dlouhé roky: přihlášení pomocí jména, hesla a jednorázového hesla (zasílaného také pomocí SMS). Problém ale je, že tato původní varianta je zpoplatněná: za každou přijatou SMS uživatel zaplatí 3 Kč, protože jde o prémiovou SMS (kterou musí mít navíc povolenou). Proto tuto možnost prakticky nikdo nepoužívá.

Pokud to tedy mohu shrnout: doufal jsem, že napojení na NIA umožní přejít od draze zpoplatněných prémiových SMS k SMSkám přijímaným zdarma. Tedy že stát dokáže pokrýt náklady na autentizační SMS zprávy s jednorázovými hesly (jako to dělá u přihlašování k Portálu občana a dalším službám eGovernmentu), a tím dá lidem impuls ke stále pohodlnému a jednoduchému, ale již bezpečnějšímu přihlašování k datovým schránkám. Že jim ukáže, že vyšší bezpečnost nemusí být ani komplikovaná, ani dražší.

Leč nestalo se: napojení datových schránek na NIA není plnohodnotné (ve výše popisovaném smyslu), ale omezené jen na přihlášení pomocí nových eOP. Ostatní varianty přihlašování přes NIA dostupné nejsou. A to i přesto, že když kliknete na nově přidanou nabídku „Přihlášení eObčankou“, je vám slibováno přesměrování na portál NIA „pro výběr způsobu přihlášení, např. eObčankou“.

 
Nabídka přesměrování při přihlašování pomocí eOP
 

Naopak z pohledu datových schránek zůstaly zachovány všechny dosavadní možnosti. Možnost přihlašování přes zpoplatněné prémiové SMS zůstala zachována i s upozorněním na to, že je k dispozici bezplatná varianta (kdy si uživatel sám provozuje svůj vlastní generátor jednorázových hesel – což je pro běžného uživatele přeci jen náročnější než zasílaní jednorázových hesel přes SMS).

 
Další možnosti přihlášení - zahrnují i variantu se zpoplatněnými SMS
 

Jak se přihlašuje pomocí nové eOP?

Pojďme nyní již k tomu, jak konkrétně se přihlašuje k datovým schránkám pomocí nově zpřístupněné možnosti – přes eOP.

Pokud si při přihlašování vyberete možnost „přihlášení eObčankou“, jste rovnou přesměrování na tu stránku NIA, kde probíhá přihlašování přes eOP. Je tedy zcela vynechána stránka, na které NIA nabízí k výběru více variant přihlášení. Pro srovnání a názornost je na následujícím obrázku vyobrazen postup přihlašování „přes NIA“ do datových schránek (vlevo) a k Portálu občana (vpravo), který ještě zahrnuje – jako mezikrok – možnost volby přihlášení přes NIA.

 
Při přihlašování k datovým schránkám přes NIA chybí mezikrok s volbou způsobu přihlášení - rovnou se přihlašuje pomocí eOP
 

Další dva kroky při přihlašování k datovým schránkám pomocí nové eOP jsou standardní a stejné jako při přihlašování jinam: v rámci systémové komponenty, sloužící pro práci s eOP, musíte zadat správný IOK (identifikační osobní kód) ke své občance.

 
Zadání Identifikačního osobního kódu
 

Pak musíte odsouhlasit předání osobních údajů mezi NIA a systémem datových schránek (případně udělit trvalý souhlas a příště už tento krok nemusíte absolvovat).

 
Souhlas s předáním osobních údajů
 

Další krok už je ale opět specifický a zaslouží si určité vysvětlení: náš systém datových schránek není řešením pro přenos zpráv mezi konkrétními odesílateli a konkrétními příjemci. Je systémem pro přenos zpráv mezi datovými schránkami: z odesílající datové schránky do přijímající datové schránky.

Vedle schránek, mezi kterými probíhá přenos zpráv, má systém i své konkrétní uživatele, kteří způsobují jak odeslání, tak i doručení. Systém jejich identitu zná, ale standardně si ji nechává pro sebe (jinými slovy ji tají) – ale třeba těm odesílatelům, kteří o to mají zájem, dává možnost se prozradit a příjemci poskytnout informaci o své identitě (což ale v praxi využívá jen minimum uživatelů).

 
Pasáž nápovědy, týkající se prozrazení identity odesilatele
 

Vzhledem k tomu, že právní účinky nepodepsaných úkonů, činěných skrze datové schránky, zákon váže právě na to, kdo takovýto úkon činí, je to dosti významná komplikace – ale to je na jiné (a delší) povídání.

Z pohledu přihlašování přes novou eOP je podstatné, že jeden a tentýž uživatel může přistupovat ve více různých rolích (oprávněná osoba, pověřená osoba, administrátor, likvidátor, nucený správce atd.) k apriorně neomezenému počtu datových schránek. Pro každou takovouto kombinaci (role a datové schránky) přitom dostává přidělenu unikátní sadu přihlašovacích údajů (uživatelského jména a statického hesla). Všechny dosavadní způsoby přihlašování přitom tyto dva základní přihlašovací údaje využívaly (a pouze k nim přidávaly „něco navíc“) – čímž měly vyřešenu otázku toho, v jaké roli a k jaké datové schránce se uživatel právě přihlašuje.

U přihlašování pomocí nové eOP je to ale jinak: uživatel se k NIA přihlašuje „jako takový“ (jako osoba A), a nikoli „jako osoba A v roli X vůči schránce Y“. Takže když NIA řádně ověří, že jde o osobu A, a tuto informaci vrátí systému datových schránek, pak tento ještě neví, v jaké roli a k jaké datové schránce se osoba A chce přihlásit. Proto se podívá do svých záznamů a přihlašující se osobě A nabídne ty kombinace, které připadají v úvahu.

V mém případě seznam zahrnoval jen jednu položku, protože mohu vystupovat jen v jediné roli (oprávněné osoby) vůči „své“ datové schránce fyzické osoby (vůči které jsem současně držitelem).

 
Výběr kombinace role a schránky, které jsou pro aktuálně přihlášeného uživatele k dispozici
 

Jak to bude vypadat v obecnějším případě, ukazuje následující obrázek, převzatý z nápovědy k ISDS.

 
Výběr kombinace role a schránky, které jsou pro aktuálně přihlášeného uživatele k dispozici
 

Po volbě konkrétní kombinace (role a datové schránky) už je uživatel přihlášen v konkrétní roli ke konkrétní datové schránce.

Jak se nově přihlašuje jménem a heslem  

Jak jsme si již jednou řekli, drtivá většina (99,84 %) uživatelů se ke své datové schránce přihlašuje tím nejméně bezpečným způsobem, jen pomocí (uživatelského) jména a (statického, opakovaně použitelného) hesla. Dosud přitom bylo takovéto přihlašování doplněno ještě běžným ochranným prvkem CAPTCHA, znesnadňující „strojové hádání“ hesel.

 
Původní a nové přihlašování pomocí jména a hesla
 

Nyní ale CAPTCHA zmizela – a je to prezentováno jako zjednodušení přihlašování. Čím ale bylo její odstranění kompenzováno, aby nebyla už tak hodně nízká bezpečnost přihlašování dále snižována? To jsem si musel zjistit sám.

Nuže tedy: pokud opakovaně zadáte chybnou kombinaci jména a hesla, systém vám umožní zadat novou kombinaci až za určitou dobu. Nejprve za 10 sekund, a při opakovaných chybných pokusech se tato doba prodlužuje: na 1 minutu, pak na 15 minut. Dále už jsem to raději nezkoušel, abych si přístup nezablokoval na ještě delší dobu. Nebo abych snad nemusel provést nějakou „nápravnou akci“, jejíž povahu ale dopředu neznám.

 
Hlášky o postupně se prodlužující době dočasného uzamčení přístupu
 

Jedinou přímou informaci, kterou jsem k tomu našel, skýtá nápověda na následujícím obrázku – která ale ukazuje něco trochu jiného, než na co jsem narazil já (a naznačuje jen to, že bude třeba volat na infolinku).

 
Nápověda ohledně uzamykání účtu
 

Ještě je zde ale jedna další zajímavá souvislost: na dalším obrázku vidíte možnosti nastavení e-mailové notifikace v novém uživatelském rozhraní. A zde je vidět, že pokud zadáte svou e-mailovou adresu, budete dostávat oznámení také o „zamknutí uživatelského účtu“ (a to „povinně“, bez možnosti vypnutí těchto oznámení).

 
Oznámení o zamknutí účtu se posílají vždy
 

O jaké „zamknutí“ účtu se ale jedná? Je tím míněno to, co ukazuje obrázek s pozdržením o 10 sekund, pak o 1 minutu a pak o 15 minut? To asi ne, protože na to jsem žádné upozornění mailem nedostal. Takže jde o něco „delšího“? A co je v takovém případě třeba dělat? Jen čekat, nebo i něco jiného?

Odpověď na takovéto otázky bohužel nedává ani nápověda, která pouze obecně zmiňuje možnost zamknutí účtu po opakovaném zadání chybné kombinace jména a hesla.

 
Oznámení o zamknutí účtu se posílají vždy
 

Notifikace už i s předmětem a odesílatelem

Když už jsem zmínil e-mailové notifikace: zde došlo také k jedné zajímavé změně, i když nikoli až teď, ale již v loňském roce (ale málo se o tom ví). Je to vlastně maličkost, ale mnoha lidem může výrazně pomoci: původně totiž takovéto e-mailové notifikace neříkaly nic o tom, o jakou zprávu jde ani od koho je (ze které datové schránky byla odeslána).

Nově už takováto možnost existuje, skrze volbu „Rozšířený obsah“ v nastavení e-mailových notifikací.

 
Možnost volby rozšířeného obsahu emailového oznámení
 

Jak potom taková notifikace v praxi vypadá, vidíte na následujícím obrázku. V jeho spodní části je ještě původní podoba e-mailové notifikace (resp. dnešní se základním obsahem), která kromě čísla datové zprávy a informace, že jde o zprávu určenou do vlastních rukou, již neříká nic dalšího. Nově (v horní části obrázku) se z notifikace s rozšířeným obsahem dozvíte i od koho je (přesněji: z čí datové schránky byla odeslána) a také její předmět.

 
Ukázka rozšířeného a základního obsahu oznámení
 

Historie datových zpráv

Další pozitivní (ale předem neavizovanou) změnou je nově dostupná historie všech datových zpráv, které prošly danou datovou schránkou. Ne, ještě nejásejte: nedošlo k návratu k úplně původnímu záměru, v rámci kterého se datové zprávy měly v systému datových schránek uchovávat trvale. Jde jen o metadata, včetně doručenek – ale ne o samotné zprávy, resp. jejich vlastní obsah.

Systém datových schránek si kromě záznamů o všech úkonech přihlášení (kdy a kdo se kam přihlásil) uchovává také záznamy (metadata) o všech přenesených datových zprávách. Není veřejně známo, v jaké rozsahu jsou tato metadata, ale měla by prý systému umožňovat, aby rozpoznal každou datovou zprávu, která skrz něj prošla (takovéto posouzení ostatně nabízí jako jednu ze svých funkcí, viz dále). Očividně ale uchovává i celé doručenky všech přenesených zpráv.

Dosud tato metadata (včetně doručenek) nebyla uživatelům systému dostupná – ale mohly se k nim dostat například soudy a obecně orgány činné v trestním řízení. Pro běžné uživatele se veškerý obsah, tedy včetně doručenek, ztrácel po 90 dnech (pokud si neplatili datový trezor od České pošty či nově nevyužili možnost archivace zdarma na Portálu občana).

Nově již uživatelé mají možnost dostat se k seznamu zpráv, které kdy prošly jejich datovou schránkou, i k jejich doručenkám (případně dodejkám). K dispozici je i možnost stáhnout si takovýto seznam v CSV či ve formátu Excelu.

 
Možnost vyhledání starších datových zpráv (za hranici 90 dnů)
 

Když si nějakou nalezenou starší zprávu navolíte, dozvíte se údaje z její obálky, viz následující obrázek. Stejně tak si můžete stáhnout i doručenku této zprávy – ale nikoli zprávu jako takovou, včetně jejího obsahu. Ten už je pro vás (resp. stále je) nedostupný. Nedozvíte se ani jaké konkrétní přílohy daná zpráva měla.

 
Zobrazení dostupných údajů o starší datové zprávě
 

Aby to ale nebylo až tak jednoduché, rozsah zpětného hledání nesmí být větší než tři měsíce.

 
Interval hledání nesmí být větší než 3 měsíce
 

Hledat starší zprávy můžete jak mezi přijatými, tak i mezi odeslanými datovými zprávami, a to jak podle data (ve smyslu: pouze podle data), tak i podle ID zprávy (nezávisle na datu) či podle data a současně ID odesílající datové schránky. 

Obsah zprávy můžete nově i přímo napsat

Další inovací, které se ovšem dočkal už i Portál občana (v té své části, která pracuje s datovými schránkami), je možnost napsat text sdělení přímo v uživatelském rozhraní datových schránek.

Opět si to zaslouží malé vysvětlení: datové zprávy, přenášené systémem datových schránek, se vyznačují tím, že nemají žádné tělo. Pokud je chcete využít k přenosu nějakého sdělení, musíte si ho připravit v podobě souboru (podporovaného typu, např. PDF), které pak přiložíte do odesílané datové zprávy jako její přílohu. Není to tedy jako u emailových zpráv, které mají tělo, do kterého můžete své sdělení napsat (a nějakou přílohu můžete, ale nemusíte přikládat).

Nově je to trochu jinak: na tom, že datová zpráva nemá žádné tělo, se nic nemění. Nicméně v uživatelském rozhraní datových schránek se nově objevuje políčko, kam můžete napsat své sdělení – a systém datových schránek z něj už sám udělá PDFko a přiloží ho jako přílohu odesílané zprávy.

 
Pole pro přímé napsání obsahu sdělení
 

Příjemce tedy dostane vaše sdělení v příloze úplně stejně, jako kdybyste ho jako přílohu rovnou vytvořili. Ovšem s tím drobným rozdílem, že když své sdělení píšete v nějakém textovém editoru, obvykle mu dáte nějakou vhodnou úpravu: někde třeba něco podtrhnete, něco napíšete jiným písmem, zarovnáte na střed či doprava, nebo vypíšete jako seznam s odtrhy či číslováním atd. Zkrátka nejspíše využijete nějaké možnosti formátování, které vám dnes nabízí snad úplně každý nástroj na psaní textů. Tedy: až na ten, který je nově zabudovaný do uživatelského rozhraní datových schránek. Protože ten žádné formátování neumožňuje, podporuje jen holý text.

Za jak dlouho přijdete o obsah své zprávy?

Další drobnou inovací, která souvisí i s možností zpětného hledání za hranici posledních 90 dnů, je nově zobrazovaná informace o počtu dnů, které do oné magické hranice zbývají: za jak dlouho přijdete o obsah své zprávy. Nově je to zobrazováno u těch zpráv, kterých se to týká (zřejmě v nejbližších cca 10 dnech), v rámci jejich seznamu.

 
Upozornění, že zpráva bude brzy smazána
 

Kam byla uklizena digitální kontinuita?

S novým responzivním designem pochopitelně došlo i ke změně rozložení různých částí a prvků uživatelského rozhraní. To předchozí například mělo hned na hlavní stránce (s přehledem doručených zpráv) výraznou nabídku „Ověření datové zprávy“, viz obrázek.

 
Nabídka ověření datové zprávy v původním rozhraní
 

Odsud pak bylo možné si nechat ověřit, zda nějaká konkrétní datová zpráva prošla skrze systém datových schránek (ne nutně skrze danou datovou schránku). Další možností pak bylo nechat si starší datovou zprávu „osvěžit“ a prodloužit tak možnost jejího ověření. Buď přidáním dalšího časového razítka, nebo i výměnou elektronické značky (za novější pečeť). Prezentováno to bylo jako „Přerazítkování“.

 
Nabídka přerazítkování datové zprávy v původním rozhraní
 

Nově je tato možnost schována pod nabídku „Otevřít .ZFO“. Pokud si nějakou starší zprávu takto otevřete (vlastně: nahrajete do ISDS), dozvíte se, jestli ji systém datových schránek poznal (jako zprávu, která skrze něj prošla).

 
Rozpoznání přenesené datové zprávy v novém rozhraní
 

Můžete si také nechat zobrazit onu načtenou starší datovou zprávu a dále s ní pracovat, třeba ji někomu přeposlat. V „dalších možnostech“ je pak schováno i původní „Přerazítkování“, viz obrázek.

 
Možné akce se starší zprávou
 

Pozor ale na to, že některé datové zprávy sice systém datových schránek rozpozná (že skrze něj prošly), ale už je odmítá dále přerazítkovat („zachovat jejich průkaznost“). Jsou to takové datové zprávy, které už byly jednou tímto systémem přerazítkovány, ale už není možné ověřit jejich časové razítko (už expiroval jeho certifikát).

 
Příklad datové zprávy, kterou systém rozpoznal, ale odmítá provést její přerazítkování
 

Kolik stojí datové zprávy?

Na závěr malé povzdechnutí: v souvislosti s oznámením současných změn u datových schránek se resort vnitra pochlubil tím, kolik díky datovým schránkám veřejná správa ušetří:

„S každou odeslanou datovou zprávou šetříme až 91 % nákladů. Doporučený dopis totiž dnes úřady vyjde na 52,70 Kč, datová zpráva stojí stát 4,50 Kč. Komunikace s úřady veřejné správy prostřednictvím datové zprávy je přitom pro občany zcela zdarma,“ doplnil Jan Hamáček.

Oněch deklarovaných 4,50 Kč je dost rozdíl oproti 18 Kč, které musí platit uživatelé, pokud by snad chtěli využít stejný systém datových schránek k přenosu tzv. poštovních datových zpráv. Tedy takových, které nesměřují od či k orgánu veřejné moci, ale přenáší se mezi soukromoprávními subjekty. Třeba mezi občany či firmami navzájem, mezi občany a firmou atd.

 
Cena skoukromoprávní datové zprávy
 

Pokud náš stát hledá způsob, jak podpořit využívání datových schránek i pro zpoplatněnou soukromoprávní komunikaci (která je dosud minimální), nebylo by řešením výrazně zlevnit tyto soukromoprávní (poštovní) datové zprávy?

A ještě dva krátké závěrečné postřehy:

  • přechod na nový design a přidání nových možností není doprovázen přechodem na používání kvalifikovaných elektronických pečetí. Informační systém datových schránek nadále pracuje pouze se zaručenými elektronickými pečetěmi, založenými na kvalifikovaném certifikátu (pro elektronické pečeti).
  • při spuštění Portálu občana upozorňoval bezpečnostní expert Tomáš Bezouška na problém tohoto portálu se session managementem. Nyní si všiml, že stejným problémem má trpět i nová responzivní verze datových schránek.