Vyšlo na Lupě, 25.1.2010
Vytištěno z adresy: http://www.earchiv.cz/b10/b0125001.php3

Datové schránky: už i bez session cookies

Přes datové schránky prošly již 3 miliony datových zpráv, a nejvíce si jich poslaly úřady mezi sebou. Byl vydán nový provozní řád, který mj. rozšiřuje funkce rozhraní webových služeb. Nově je například možné přihlašování i bez session cookies. Bezpečnostní audit stále ještě není dokončen. Počátkem února se má změnit způsob provádění konverzí na CzechPointech.

Od posledního článku, který zde na Lupě rekapituloval vývoj kolem datových schránek, uplynul už nějaký ten čas – a tak snad nezaškodí popsat si některé novinky a změny kolem tohoto systému. Začít můžeme třeba aktuálními statistikami.

Správce a provozovatel informačního systému datových schránek (tj. MV ČR a Česká pošta) sice svého času naznačovali, že o statistikách ISDS budou informovat pravidelně – a zpočátku tak také činili. Formou tiskové zprávy například  informovali o prvním milionu přenesených datových zpráv (26.11.2009) i o druhému milionu (15.12.2009). Pak jim ale nějak došel dech, takže třetí milion prošel již bez povšimnutí. No, ještě že máme občas nějakou tu odbornou konferenci, kde aktuální čísla zaznějí, a nějaké ty dotazy a články v médiích.

Třeba minulou středu (tj. 20. ledna 2010), zazněl na konferenci CIO Forum 2010 k problematice datových schránek jako aktuální údaj o tom, že skrze datové schránky prošlo 3 010 392 datových zpráv. Stejný údaj ale publikoval časopis Ekonom již 13. ledna, s tím že jde o počet vztažený k 10. lednu 2010.

 Samotných datových schránek (v aktivovaném stavu) by mělo být 367 755, a na 94,9%  datových zpráv je prý doručeno „řádně“, neboli tak, že si je příjemce včas a sám přečte (a nemusí tak být aplikována fikce doručení po 10 dnech).

Jakkoli bylo toto procento prezentováno na zmiňované konferenci jako velmi dobré (ve smyslu: nízké) a zcela odpovídající „papírové praxi“ (tj. doručování klasických obálek), osobně mi to přijde hrozivě mnoho. Cca 5 procent ze 3 milionů přenesených zpráv znamená, že o 150 000 důležitých sděleních se jejich příjemci včas nedozvěděli, nejspíše jejich vlastní vinou (a přesto začaly běžet jejich právní důsledky).

Pokud jde o strukturu přenesených datových zpráv, pak podle následujícího grafu zde jasně převažují zprávy mezi úřady navzájem (tj. mezi orgány veřejné moci, tj. OVM-OVM). Zhruba poloviční je oproti tomu objem zpráv, které orgány veřejné moci zasílají právnickým osobám, případně je od nich přijímají (na grafu: OVM-PO).

Prakticky zanedbatelné pak jsou objemy zpráv, které si orgány veřejné moci vyměňují s podnikajícími a nepodnikajícími fyzickými osobami: těchto zpráv  bylo dohromady jen 1,26% z cca 3 milionů, tedy asi jen 38 tisíc. A kupodivu jich více směřovalo od nepodnikajících osob (či k nim), než od či k osobám podnikajícím. Že by šlo o důsledek aktivity různých notorických stěžovatelů (z řad nepodnikajících fyzických osob), kteří datové schránky uvítali jako značně usnadnění a zefektivnění svých aktivit?

K předchozím číslům si dovolím ještě poznamenat, že jde o „veřejnoprávní“ datové zprávy, zasílané od či k orgánům veřejné moci. Od 1. ledna 2010 je sice možné i zasílání „komerčních“ datových zpráv, byť zatím omezených jen na faktury a obdobné žádosti o zaplacení – ale hodnotit zájem o ně je ještě předčasné. Podle již zmiňované informace z Ekonomu bylo do 10. ledna přeneseno pouhých 10 komerčních zpráv (z toho nutně jedna mnou odeslaná a dvě přijaté, pro přípravu tohoto článku z 8. ledna).

Zajímavosti z konference

Ze zajímavých informací, či spíše „střípků“, které zazněly na konference CIO Forum minulý týden, si dovolím zmínit dvě. První se týká bezpečnostního auditu ISDS a říká, že tento se „dokončuje v těchto dnech“. Souběžně s tím na konferenci zaznělo, že auditor svým předběžným výrokem „posvětil“ start ISDS.

No, asi jsem měl jinou představu o tom, co je a jak probíhá bezpečnostní audit. Netušil jsem, že i bezpečnostní audit může mít nějaké etapy, a že auditovaný systém je možné spustit do ostrého provozu již na základě výsledku 1. etapy, resp. „vyjádření auditora po vyhodnocení 1. etapy auditu bezpečnosti ISDS“ (kterým se Česká pošta veřejně chlubila, viz následující obrázek z této prezentace), a který se vyjadřuje pouze k „dosud provedeným šetřením“. Kterápak to asi jsou? A které vlastnosti a funkce ISDS naopak v 1. etapě posouzeny nebyly?

Druhou zajímavostí je to, že resort justice, jako asi největší uživatel datových schránek z oblasti veřejné správy, prý má zcela samostatnou „bránu“ do ISDS. Zřejmě tedy vlastní server s rozhraním webových služeb, který využívají právě a pouze spisovky a další aplikace z resortu spravedlnosti. 

Nový provozní řád

Minulý pátek, 22. ledna 2010, byl vydán nový Provozní řád ISDS. Ten předchozí jsem kritizoval v souvislosti s požadavkem na pravidelnou změnu hesel každých 90 dnů (podrobněji viz tento článek zde na Lupě) – kvůli tomu, že v něm takto zásadní věc nebyla vůbec zmíněna. A tak jsem byl zvědav, zda se objeví v novém Provozním řádu.

No, neobjevila, když žádná zmínka o změně hesla po 90 dnech zde stále není. Místo toho je zde ale klauzule, která dává ISDS možnost vynutit si změnu hesla kdykoli:

Systém může kdykoliv, v závislosti na nastavení, omezit uživateli počet možných přihlášení s aktuálně používanými přístupovými údaji a znovu jej požádat o změnu přístupového hesla.

Změny, ke kterým v novém Provozním řádu skutečně došlo, se týkají například „komerčních“ datových zpráv, alias služby Poštovní datová zpráva od České pošty.

Zajímavější pak jsou spíše změny v rozhraní webových služeb, které jsou v Provozním řádu vyjmenovány (a podrobněji definovány v přílohách k Provoznímu řádu). Jednou z novinek je zavedení alternativní možnosti přihlašování k ISDS přes rozhraní webových služeb, kdy nejsou využívána tzv. session cookies („unášená“ při některých útocích), a místo toho musí každý jednotlivý požadavek znovu obsahovat všechny nezbytné identifikační a autentizační údaje, jako kdyby začínal „na zelené louce“ (jelikož nemá na co navazovat, když zde není udržována žádná relace).

Další změny v rozhraní webových služeb reflektují již zmiňované spuštění „komerčních“ datových zpráv, když umožňují přes webové služby udělit i odejmout souhlas s jejich zasíláním, či dozvědět se, zda komerční datová zpráva byla doručena.

Vyslyšena byla i kritika toho, že přes webové služby nejde měnit heslo, a dokonce se ani dozvědět že expirovalo – a tak to nově možné je.

Konverze dokumentů na CzechPointech

Zatímco provozní statistiky ISDS moc aktuální nejsou (viz výše), s informacemi kolem CzechPointů je to mnohem lepší: zdejší údaje jsou poskytovány prakticky v reálném čase (zde). A tak  se můžeme podívat alespoň na to, jak se vyvíjí počet autorizovaně konvertovaných dokumentů na CzechPointech. Vidíte to na následujícím grafu, kde údaj za leden je vztažen ke včerejšímu dni (24.1.2010).

K problematice konverze se vztahuje i jedna zajímavá informace, kterou jsem našel zatím jen na webu Egon Centra v Rosicích:

UPOZORNĚNÍ - Autorizovaná konverze z elektronické do listinné podoby dokumentu (na žádost)
Od 4.2.2010 dochází k úpravě postupu ověření platnosti uznávaného elektronického podpisu (značky) a zpracování externích podpisů při provádění konverze.

Signály o tom, že se něco takového chystá, mám již delší dobu, a předpokládal jsem spíše, že změny už jsou dávno provedeny. Ale jak se zdá, ještě se tak nestalo.

O co konkrétně by se ale mělo jednat? Vlastně o dvě různé věci, jak ostatně naznačuje i výše uvedený citát:

  • CzechPointy by při konverzi již měly umět pracovat také s externími elektronickými podpisy. Tedy s takovými, které nejsou obsaženy přímo v konvertovaném souboru (tj. v PDF-ku), ale mají formu samostatného souboru
  • Postup ověření platnosti elektronického podpisu či razítka by již neměl být ponechán jen na lidské obsluze (která si dosud musí převáděný dokument sama otevřít  v Adobe Readeru, nechat vyhodnotit podpis a eventuelní razítko, a výsledek pak také sama interpretovat). Nově by platnost podpisu a razítka měl vyhodnocovat sám konverzní program (který dosud jen sestavuje konverzní doložku, ale platnost podpisu a razítka sám neověřuje).

Doufám jen, že to nejsou všechny změny, a že dojde i na změnu obsahu konverzní doložky, tak aby minimálně obsahovala to, co od ní požaduje zákon (tj. informaci, zda konvertovaný dokument byl opatřen platným elektronickým podpisem). A snad se přitom vyjasní i to, zda neplatnost elektronického podpisu (ať již způsobená porušením integrity dokumentu, neplatností certifikátu či něčím jiným) je či není překážkou provedení konverze.

Až bude tato změna provedena, rád si ji v praxi vyzkouším a napíši o tom.

Datové schránky už i v mobilech

Možnosti přístupu k datovým schránkám, původně fakticky omezené jen na nejpoužívanější systémové platformy klasických počítačů s možností instalace XML Filleru od Softwaru 602, se naštěstí postupně rozšiřují. A to zejména díky aktivitám třetích stran, nezávislých na autorech a provozovatelích ISDS.

Jinými slovy: lidé si stále více pomáhají sami a pochopitelně hlavně tam, kde na ně autoři a provozovatelé ISDS zapomněli, nebo s nimi vůbec nepočítali.

Zatím posledním přírůstkem, o kterém jste se mohli dočíst i zde na Lupě, je možnost přístupu do datových  schránek z mobilů. Nejde ale o portaci potřebných nástrojů pro přístup na některou z majoritních systémových platforem pro mobilní telefony (jako je Symbian, Windows Mobile, Android atd.), na něco takového si asi ještě počkáme.

Laboratořím sdružení CZ. NIC se podařilo něco jiného, a to portovat své otevřené řešení pro přístup k datovým schránkám (DSGUI) na další systémovou platformu: kromě dosavadního Linuxu, FreeBSD, MacOS X a Windows nově i na platformu Maemo. Ta je  linuxovou platformou, ovšem určenou pro mobilní zařízení (například telefony) – a tak se touto cestou datové schránky poprvé dostaly i do mobilů. Pravda, zatím jen na jediném mobilu, který je reálně dostupný a platformu Maemo používá (a to Nokia 900). Ale i to představuje určitý milník a prolomení dosavadních bariér.

Budou peníze na eGovernment z fondů EU?

Na závěr si dovolím upozornit na zajímavý rozhovor s novým náměstkem ministra vnitra pro informatiku, panem Jaroslavem Chýlkem, který má dnes na starosti jak datové schránky, tak i zavádění základních registrů (a který převzal tyto kompetence po odchodu Zdeňka Zajíčka z postu prvního náměstka MV ČR).

Jde o rozhovor, který nedávno vyšel v Profit-u, a pan Chýlek v něm zmiňuje jednu velmi zajímavou a dosti podstatnou věc (o které se při jiné příležitosti již dříve zmiňoval i ministr Pecina): že předchozí vedení resortu vnitra (tj. hlavně tandem Langer+Zajíček) sice intenzivně rozvíjelo eGovernment a také se ohánělo financováním těchto aktivit primárně z fondů EU (v rozsahu 85%) – ale fakticky toto čerpání nepřipravilo tak, aby ho bylo možné skutečně realizovat:

… problémy, na něž jsem narazil, byly třeba s čerpáním peněz z evropských strukturálních fondů. Od roku 2007 Ministerstvo vnitra z těchto peněz nečerpalo ani korunu. Mým úkolem je proto dotáhnout projekty k realizaci. Za mého předchůdce tu totiž byly narýsovány pěkné vize, ale k jejich uvedení do praxe se udělalo docela málo.
Žádný z projektů elektronizace veřejné správy nebyl dotažen do stavu, kdy by bylo možné peníze čerpat. Nějaké drobnější peníze se čerpaly na CzechPointy, ale ostatní projekty mají velké zpoždění. Ať jde o základní registry, které se zpozdily možná až o tři čtvrtě roku nebo rok, nebo o datové schránky, které se musely také odsunovat. Všechny projekty jsou v nějakém stadiu rozpracovanosti, ale k čerpání peněz z fondů se ještě nedospělo. Odbor strukturálních fondů na tom proto nyní intenzivně pracuje.