Vyšlo na Lupě, 19.4.2010
Vytištěno z adresy: http://www.earchiv.cz/b10/b0419001.php3

ISSS: Datové schránky budou mít institucionální archiv

Jednou z plánovaných inovací datových schránek bude zavedení služby, která podle uchovaného otisku (hashe) zprávy později potvrdí její pravost. Podobně tomu má být i pro konvertované dokumenty. Má něco takového vůbec smysl a může to fungovat? Vnitro chce zrušit transakční část portálu veřejné správy a zdejší agendy převést na datové schránky.

Letošní ročník konference Internet ve státní správě a samosprávě (ISSS) byl v pořadí již třináctým. A jak se dalo již dopředu očekávat, jeho hlavním tématem byly základní registry. Právě ty jsou totiž dalším milníkem na již nastoupené cestě našeho eGovernmentu k lepšímu a efektivnějšímu fungování. Jejich implementace a spuštění, byť zatím jen v testovacím režimu, je naplánována již na polovinu letošního roku, a k ostrému startu by mělo dojít o dva roky později.

Téma základních registrů samozřejmě bylo na konferenci probíráno z mnoha různých pohledů – ale vždy šlo spíše o upřesňování toho, o co vlastně jde, jaké změny to přinese, jaké to bude mít důsledky, co vše je potřeba udělat atd. Jakkoli půjde o ještě mnohem dalekosáhlejší změny, než k jakým dosud v českém eGovernmentu již došlo, přeci jen jsou to „budoucí změny“, které se koncových uživatelů (ať již v pozici občanů  či úředníků) dotýkají přeci jen jinak, než věci již implementované a používané. Třeba jako datové schránky.

A tak se i v tomto článku budu věnovat spíše datovým schránkám. A i zde hlavně tomu, co je kolem nich nového a co reaguje na jejich dosavadní provoz a fungování.

Něco statistických údajů

Začít můžeme u zajímavých čísel, které byly na konferenci ISSS prezentovány. Hlavním zdrojem je tato přednáška náměstka MV ČR pro informatiku pana Jaroslava Chýlka, resp. její aktualizovaná verze, použitá přímo na ISSS (s údaji k 12.4.2010).  Podle ní bylo k 15.3.2010 úspěšně odesláno 7 322 263 datových zpráv, a k 12.4.2010 již 9 256 337 zpráv. Právě včera pak Telefónica O2 Czech Republic (která jako „technický dodavatel řešení“ statistiky sestavuje) přispěchala se svou predikcí, podle které by do konce dubna mělo být doručeno přes 10 milionů datových zpráv.

Když si vše zaneseme do grafu, jeho průběh naznačuje víceméně lineární průběh. Nicméně údaje o průměrné „denní  zátěži“ přeci jen poněkud rostou: zatímco ještě koncem loňského roku vnitro hovořilo o cca 80 tisících zpráv denně, dnes už hovoří optimističtěji a uvádí 90 až 110 tisíc zpráv denně.

Zajímavý je také údaj o celkovém počtu aktivovaných datových schránek: původně bylo předpovídáno, že jich bude na 600 000. K 1. listopadu, již po povinných aktivacích dosud neaktivovaných schránek, jich vnitro napočítalo celkem 359955. Dnes, přesněji k 12.4.2010, uvádí jejich počet na 381 028. Což představuje přírůstek ve výši 21 073 datových schránek. Ty mohly být založeny nově vzniklým firmám, nebo na žádost dalším fyzickým osobám. Stejně tak ale mohly být založeny na žádost dalším orgánům veřejné moci (jako jejich „další“ datové schránky k té, kterou mají již ze zákona).

S postupem času klesá i procento zpráv, které jsou doručovány fikcí: nyní vnitro uvádí 4 procenta. Jde o takové zprávy, které si jejich příjemci nestihnou v termínu vyzvednout (resp. přečíst, resp. aspoň se přihlásit do své schránky) do 10 dnů od jejich dodání – a tak po oněch 10 dnech nastává fikce doručení. Početně jde o cca 4 tisíce zpráv denně.

S tím ale poněkud neladí informace, kterou nedávno přinesl server Podnikatel.cz: že do 45% datových schránek se dosud nikdo nepřihlásil. Jak je potom možné, že pouze 4% zpráv bylo doručeno fikcí, zatímco majoritních 96% si jejich příjemci vyzvedli sami (a k tomu se nutně museli ke své schránce přihlásit)? Snad jediné možné vysvětlení je takové, které vychází ze struktury provozu: do oněch 45% procent datových schránek míří minimum datových zpráv. Nejspíše skutečně jde o datové schránky „mrtvých“ firem (jak naznačuje i článek na serveru Podnikatel.cz), kterým zatím nikdo nic moc neposílá.

Aktuální údaje o struktuře provozu, pokud jde o přijímané zprávy, k dispozici nemám. Na konferenci ISSS ale byla představena alespoň obrácená statistika, v prezentaci náměstka Chýlka: jak kdo odesílá datové zprávy. Vidíte to na následujícím obrázku:

 Jednoznačně zde vedou orgány veřejné moci. Zajímavý je také podíl exekutorů, který je vyobrazen samostatně (modře), byť exekutoři jsou formálně také orgány veřejné moci. To koreluje se zjištěním, že právě exekutoři zdaleka nejvíce konvertují své dokumenty z listinné podoby do podoby elektronické (viz minulý článek). A jak je vidět, také je pak odesílají přes datové schránky.

Kolik se ušetřilo?

Přímo na konferenci ISSS zaznělo také několik údajů o tom, kolik se díky datovým schránkám ušetřilo. A to v hodně velkém rozpětí. Na jedné prezentaci se mluvilo o 50 ušetřených milionech, jinde až o 180 milionech. Toto číslo konkrétně obsahovala aktualizovaná prezentace náměstka Chýlka, a mělo vzniknout vynásobením počtu přenesených zpráv (cca 9 milionů) a úsporou ve výši 20 Kč na jedné zásilce (když 20 Kč je prý průměrná cena jednoho dopisu).

To je ovšem úsporou pouze na straně koncových uživatelů. Stát měl naopak kvůli tomu zvýšené výdaje, protože z rozpočtu zaplatil 9 milionů * 18 Kč (za jednu datovou zprávu), tj. celkem cca 162 milionů. Správnější by bylo hovořit o úspoře ve výši rozdílu těchto dvou částek.

Jiný odhad, vycházející skutečně z rozdílu nákladů, prezentoval bývalý náměstek na ministerstvu vnitra Zdeněk Zajíček: podle něj činí rozdíl v ceně (mezi obálkou s pruhem a datovou zprávou) v průměru 15 Kč, a při cca 7,5 milionu zpráv to dává cca 112 milionů. Obálky s pruhem přitom přijdou na 26 až 36 Kč, podle druhu zásilky. Jenže u tohoto odhadu zase není zohledněno to, že dnes se skrze datové zprávy (a tedy za cca 18 Kč) posílají i věci, které se dříve posílaly pomocí běžných  a tím i lacinějších dopisů (bez „pruhů“). Takže reálný rozdíl bude nižší.

Bude zrušena transakční část portálu veřejné správy?

S úsporami souvisí i jedna zajímavá věc, která na konferenci ISSS zazněla: ministerstvo vnitra počítá s postupným zrušením transakční části portálu veřejné správy, neboť informační systém datových schránek prý nahrazuje transakční část portálu veřejné správy (PVS).

No, věcně to s tím nahrazením „není úplně přesné“. Ale pravdou asi je, že podání dosud realizovaná přes interaktivní rozhraní portálu je principiálně možné jednosměrně přenášet i pomocí datových zpráv. A argument o dvou paralelních systémech také má svou logiku. Ministerstvo vnitra prý stojí provoz transakční části portálu 40 milionů korun ročně, a tak by rádo tuto částku ušetřilo. Nejprve by ale muselo přinutit k přechodu hlavního uživatele portálu, kterým je Česká správa sociálního zabezpečení (ČSSZ), aby přešla na příjem podání  výlučně přes datové schránky. Právě ČSSZ ale již dříve sama deklarovala (dokonce opakovaně), že chce zůstat u portálu a jeho transakční části, a do datových schránek se očividně nehrne.

Podívejme se na to ale z pohledu nákladů: k České správě sociálního zabezpečení směřuje na 95% provozu přes transakční část portálu, což by mělo obnášet na 6 až 8 milionů dokumentů (formulářů). V rámci jednoho podání je ale přenášeno více dokumentů současně (typicky: za celou organizaci). Podle tohoto zdroje to v roce 2006 bylo v průměru 3,5 dokumentu na jedno podání, v roce 2007 4,96 dokumentu, a v roce 2008 již 6,7 dokumentu na jedno podání. V roce 2010 by to odhadem mohlo být někde na úrovni 10.

Pokud by se podařilo vložit všech 10 dokumentů do jedné datové zprávy, počet podání (a tím i datových zpráv) by při celkovém počtu 6 až 8 milionů dokumentů představoval desetinu. Náklady na přenos datových zpráv by tak představovaly 18 Kč x 600 až 800 000, neboli 10,8 až 14,4 milionu. Ale to je skutečně jen velmi zjednodušený a hrubý odhad, který má dokreslit skutečnost, že když resort vnitra ušetří svých 40 milionů ročně na provoz transakční části portálu, státní rozpočet (ze kterého se platí za datové zprávy) s tím bude mít nemalé náklady, které mohou (ale také nemusí) být nižší než oněch 40 milionů. Nehledě na náklady, které si takováto změna vyžádá – jak na straně ČSSZ, tak i u všech uživatelů, jejichž systémy jsou již uzpůsobeny a nastaveny na komunikaci přes transakční rozhraní portálu veřejné správy, a teď se budu muset předělat. Sama ČSSZ odhadla své náklady na zavedení současné podoby svého  e-podání na 66 milionů Kč.

Velký úklid na vnitru

Zástupci ministerstva vnitra na konferenci ISSS hovořili i o dalších svých plánech v souvislosti s datovými schránkami a jejich informačním systémem. Zaznělo například, že provádí „velký úklid“ a snaží se řešit různé resty, které jim z překotného zavádění datových schránek byly. Náměstek Jaroslav Chýlek k tomu řekl:

Vytvořili jsme na ministerstvu vnitra  dvě komise, v rámci něčeho co my nazýváme „velký úklid“, protože v tom rychlém náběhu se na některé věci zapomnělo, protože nebyly tak aktuální, nebyly tak důležité. Takže teď máme velký úklid, máme dvě komise, jednu legislativní a jednu technickou, kde sbíráme podněty od významných zákazníků toho systému, snažíme se je nějak sumarizovat a postupně vydáme nějakou novou metodiku. Připravíme i změnu legislativy,  v tom smyslu že upravíme vyhlášku. Už dnes víme, že tam chybí některé formáty, a některé další drobnosti v té vyhlášce by bylo třeba změnit. A připravujeme nějaký technický rozvoj datových schránek, protože ten systém skýtá poměrně velké možnosti a budeme implementovat nové funkčnosti tak, aby se dal plně využít.

Konkrétně by se mělo jednat například o zavedení podpory pro hashovacích funkcí SHA2, či o možnost volit si úroveň zabezpečení vlastního přihlašování k datové schránce. Dnes jsou na výběr jen dvě úrovně, a to pouze jméno a heslo, nebo jméno, heslo a certifikát.  Do budoucna by zřejmě měly přibýt i další varianty, a možná mezi nimi bude i přihlašování (přesněji: autentizace) pomocí jednorázových autentizačních údajů, ať již ve formě autentizační SMSky či v nějaké jiné podobě.

Změna se prý chystá i u doručenky, kde by se mělo objevit více údajů, a ne pouze údaj o finální události (doručení) – nýbrž také dodání, způsob doručení (řádně či fikcí) atd. V neposlední řadě je prý připravována služba pro hromadné dotazy (na vyhledávání příjemců, resp. uživatelů s datovými schránkami), což je prý „docela seriózní problém, se kterým se mnoho úřadů potýká“.

Bude institucionální archiv!

Konkrétní obrysy začíná dostávat i to, co bylo již dříve slibováno jako tzv. institucionální archiv, a co je dnes prezentováno jako „služba pro ověření pravosti“. Konkrétně jde o to, že ISDS si ke každé zprávě uchovává její otisk (hash), a chce nabízet možnost srovnání tohoto hashe s konkrétní zprávou za účelem zjištění, zda je o původní zprávu, která prošla systémem datových schránek. A to nejen pro datové zprávy, ale i pro konverze. Takto to popisoval náměstek Chýlek:

… připravujeme službu, která po čase ověří, zda datová zpráva skutečně prošla systémem, zda je to ta pravá zpráva, tím že se to ověří proti uloženému hash (otisku datové zprávy), který se dnes u datových zpráv uchovává, a totéž (stejný nástroj) připravujeme pro to, abychom mohli ověřit, že tento dokument byl skutečně autorizovaně konvertován.

Za sebe jsem již několikrát před takovouto možností varoval, a to ze stejného důvodu, kvůli kterému považuji za principiálně chybnou i včera popisovanou „vyvratitelnou domněnku pravosti“: dříve či později bude možné vypočítat ne jednu, ale libovolný počet (vzájemně různých) kolizních zpráv, které všechny budou mít stejný  otisk. A popisovaná služba pro ověření pravosti by pak každé z nich udělila svůj punc pravosti.  

Lidé kolem datových schránek si ale toto nebezpečí zřejmě již uvědomují. Podle neoficiálních informací by totiž uvedená služba měla být postavena na poněkud odlišném principu, který by popisovaný problém přeci jen řešil. Otisk zprávy, alias hash, by totiž nebyl počítán jen ze zprávy samotné, ale ze zprávy zřetězené s dalším údajem, který by zůstal utajen (a byl by dostupný jen pro informační systém datových schránek). To by pomohlo v tom, že až bude možné vypočítat kolizní zprávu, stále nebude známo, z čeho (resp. k jakému otisku)  ji vlastně počítat. A pouze při ověřování skutečně původní zprávy, zřetězené z tajným údajem, dojde k výpočtu správného otisku, který bude úspěšně porovnán s tím otiskem, který si pamatuje systém datových schránek.

Jistě už tušíte, kde je slabé místo tohoto řešení: v udržení onoho tajného údaje (klíče, či jak mu chceme říkat) skutečně v tajnosti. Jakmile by byl prozrazen, je celé opatření neúčinné a kdokoli, kdo dokáže vypočítat kolizní zprávu (se zahrnutím tohoto „již ne tajného“ údaje) si bude moci nechat potvrdit pravost svého falzifikátu. A to vlastně i pro konverze mezi elektronickou a listinnou formou, a nejen pro datové zprávy‚ má-li být stejné ověření možné i pro konvertované dokumenty.

V souvislosti s těmito skutečnosti mne napadají dvě důležité souvislosti. První je ta, že pokud má popisovaná služba fungovat i na dnes přenášené zprávy a konvertované dokumenty, musí být otisk (hash) již dnes počítán i s uvážením onoho tajného údaje, a ne pouze ze samotné zprávy či konvertovaného dokumentu. Druhá souvislost se týká bezpečnosti: pokud již dnes ISDS pracuje s oním tajným údajem, měl by po stránce své bezpečnosti fungovat adekvátně tomu, co je ve hře při eventuelní kompromitaci onoho tajného údaje.

Což mne zase přivádí k otázce na to, jak je to s bezpečnostním auditem ISDS. A to nevím, na ISSS jsem v tomto ohledu (o dokončení snad stále probíhajícího bezpečnostního auditu) žádné informace nezaznamenal.

Konverze jen přes společné úložiště

S představou, že by měla existovat možnost zpětného ověření konvertovaného dokumentu, nepřímo souvisí ještě jiná zajímavá zpráva, která se v pondělí objevila na konferenci ISSS. Zazněla z úst zástupce resortu vnitra, při prezentaci o problematice konverze, a týká se využití systému CzechPoint: konverze je prý nutné dělat výhradně přes CzechPointy, a ne přímo, nějakým vlastním systémem. Důvodem má být nutnost uložení konverzní doložky do jednotného centrálního úložiště, které provozuje právě centrála CzechPointů. Nyní, vzhledem k výše popisované možnosti zpětného ověření, by tedy zřejmě přibylo i centrální ukládání otisků z dokumentů (plus tajného údaje), a jejich centrální uchovávání.

Využití CzechPointů přitom nemusí být přímé, v tom smyslu, že konvertující osoba přímo pracuje se softwarem CzechPointu (nejspíše v provedení CzechPoint@Office). Může pracovat s vlastní aplikací, například se spisovou službou svého úřadu – ale ta musí využívat API CzechPointů a jeho služby pro centrální ukládání konverzních doložek, a nyní tedy zřejmě i otisků.

Povinná „centralizace“, skrze služby CzechPointů, alespoň podle mého názoru ze zákona nevyplývá. A stejného názoru jsou přinejmenším advokáti, kteří dávají najevo, že si chtějí ukládat konverzní doložky sami, ve svých vlastních evidencích, a služby CzechPointů vůbec nevyužívat. A podobně i někteří exekutoři, viz konkrétní příklad v minulém článku. Výše popisovaný závěr o nutnosti centralizace je pak výsledkem výkladu samotného resortu vnitra (ke kterému ale nemám žádný odkaz na jeho písemné znění).

Strukturovaná data a formuláře

Na závěr ještě jeden zajímavý postřeh z letošní konference ISSS: jak se zdá, už i „lidem kolem datových schránek“ začíná docházet nevýhodnost dosavadní preference nestrukturovaných dat. Požadavek na formát PDF totiž v zásadě znamená, že i původně strukturovaná data, generovaná nějakým informačním systémem či službou, se převedou do nestrukturované podoby („vytisknou do PDFka“), a teprve pak se přenáší přes datové schránky, případně konvertují apod. – a pak je zase někdo musí (nejspíše ručně) přepsat a tím převést zpět do strukturované podoby, aby se s nimi dalo dále strojově pracovat.

A tak na ISSS zazněl například kuriózní požadavek na možnost „vytěžování nestrukturovaných informací“: dodavatelé prý mají upravit své aplikace tak, aby nebylo nutné PDFka nejprve tisknout a pak přepisovat – ale dalo se na jedné obrazovce zobrazit PFDko s nestrukturovanými daty a vedle něj formulář vlastní aplikace, tak aby se data dala přepisovat přímo z obrazovky či přetahovat jako kusy textu přímo do aplikace. No, u „okenních“ aplikací v rámci nějakého GUI (třeba na MS Windows) by snad stačilo umět si vhodně uspořádat jednotlivá okna, a není nutné s tím otravovat výrobce aplikací.

Smysluplnější pak byl apel na používání formulářů. To má spoustu výhod, kromě strukturování dat i možnost určité kontroly správně zadaných dat či jejich úplnosti. Ale má to i své nevýhody až nebezpečí: pokud si každý úřad (orgán veřejné moci) vymyslí a bude vyžadovat svůj vlastní a zcela specifický formulář, doplatí na to nejrůznějšími zmatky jak úředníci, tak i občané jako jejich klienti.

Další výhodou formulářů může být to, že mohou disponovat vlastní inteligencí, která jim umožní provázat se se systémem datových schránek a čerpat z něj informace. Například tak, abyste při vyplňování nějakého formuláře (v rámci datové zprávy) nemuseli sami vypisovat údaje o sobě – ale formulář si je dokázal zjistit sám (od datové schránky, která je má k dispozici), a za vás je předvyplnit. Takovéto „ISDS Ready“ formuláře na letošní konferenci ISSS předváděla společnosti Software602.