ISSS: Datové schránky budou mít institucionální archiv (Lupa.cz; 19.4.2010)

Jednou z plánovaných inovací datových schránek bude zavedení služby, která podle uchovaného otisku (hashe) zprávy později potvrdí její pravost. Podobně tomu má být i pro konvertované dokumenty. Má něco takového vůbec smysl a může to fungovat? Vnitro chce zrušit transakční část portálu veřejné správy a zdejší agendy převést na datové schránky.

Letošní ročník konference Internet ve státní správě a  samosprávě (ISSS) byl v pořadí již třináctým. A jak se dalo již dopředu  očekávat, jeho hlavním tématem byly základní registry. Právě ty jsou totiž  dalším milníkem na již nastoupené cestě našeho eGovernmentu k lepšímu a  efektivnějšímu fungování. Jejich implementace a spuštění, byť zatím jen v testovacím  režimu, je naplánována již na polovinu letošního roku, a k ostrému startu  by mělo dojít o dva roky později.

ISSS 2010

      Téma základních registrů samozřejmě bylo na konferenci  probíráno z mnoha různých pohledů – ale vždy šlo spíše o upřesňování toho,  o co vlastně jde, jaké změny to přinese, jaké to bude mít důsledky, co vše je  potřeba udělat atd. Jakkoli půjde o ještě mnohem dalekosáhlejší změny, než  k jakým dosud v českém eGovernmentu již došlo, přeci jen jsou to  „budoucí změny“, které se koncových uživatelů (ať již v pozici občanů  či  úředníků) dotýkají přeci jen jinak, než věci již implementované a používané. Třeba  jako datové schránky.

2010 rok základních registrů

      A tak se i v tomto článku budu věnovat spíše datovým  schránkám. A i zde hlavně tomu, co je kolem nich nového a co reaguje na jejich  dosavadní provoz a fungování.

panel k datovým schránkám

      Něco statistických údajů     Začít můžeme u zajímavých čísel, které byly na konferenci  ISSS prezentovány. Hlavním zdrojem je tato  přednáška náměstka MV ČR pro informatiku pana Jaroslava Chýlka, resp. její  aktualizovaná verze, použitá přímo na ISSS (s údaji k 12.4.2010).  Podle  ní bylo k 15.3.2010 úspěšně odesláno 7 322 263 datových zpráv, a  k 12.4.2010 již 9 256 337 zpráv. Právě včera pak Telefónica O2  Czech Republic (která jako „technický dodavatel řešení“ statistiky sestavuje) přispěchala  se svou  predikcí, podle které by do konce dubna mělo být doručeno přes 10 milionů  datových zpráv.

počty přenesených zpráv

      Když si vše zaneseme do grafu, jeho průběh naznačuje  víceméně lineární průběh. Nicméně údaje o průměrné „denní  zátěži“ přeci jen  poněkud rostou: zatímco ještě koncem loňského roku vnitro hovořilo o cca 80  tisících zpráv denně, dnes už hovoří optimističtěji a uvádí 90 až 110 tisíc  zpráv denně.

      Zajímavý je také údaj o celkovém počtu aktivovaných datových  schránek: původně bylo předpovídáno, že jich bude na 600 000. K 1.  listopadu, již po povinných aktivacích dosud neaktivovaných schránek, jich vnitro napočítalo celkem  359955. Dnes, přesněji k 12.4.2010, uvádí jejich počet na 381 028.  Což představuje přírůstek ve výši 21 073 datových schránek. Ty mohly být  založeny nově vzniklým firmám, nebo na žádost dalším fyzickým osobám. Stejně  tak ale mohly být založeny na žádost dalším orgánům veřejné moci (jako jejich  „další“ datové schránky k té, kterou mají již ze zákona).

      S postupem času klesá i procento zpráv, které jsou  doručovány fikcí: nyní vnitro uvádí 4 procenta. Jde o takové zprávy, které si  jejich příjemci nestihnou v termínu vyzvednout (resp. přečíst, resp. aspoň  se přihlásit do své schránky) do 10 dnů od jejich dodání – a tak po oněch  10 dnech nastává fikce doručení. Početně jde o cca 4 tisíce zpráv denně.

      S tím ale poněkud neladí informace, kterou nedávno přinesl  server Podnikatel.cz: že do 45 % datových schránek se dosud nikdo  nepřihlásil. Jak je potom možné, že pouze 4 % zpráv bylo doručeno fikcí, zatímco  majoritních 96 % si jejich příjemci vyzvedli sami (a k tomu se nutně museli  ke své schránce přihlásit)? Snad jediné možné vysvětlení je takové, které  vychází ze struktury provozu: do oněch 45 % procent datových schránek míří  minimum datových zpráv. Nejspíše skutečně jde o datové schránky „mrtvých“ firem  (jak naznačuje i článek na serveru Podnikatel.cz), kterým zatím nikdo nic moc  neposílá.

      Aktuální údaje o struktuře provozu, pokud jde o přijímané  zprávy, k dispozici nemám. Na konferenci ISSS ale byla představena alespoň  obrácená statistika, v prezentaci  náměstka Chýlka: jak kdo odesílá datové zprávy. Vidíte to na následujícím  obrázku:

zprávy dle odesilatele

       Jednoznačně zde vedou orgány veřejné moci. Zajímavý je také  podíl exekutorů, který je vyobrazen samostatně (modře), byť exekutoři jsou  formálně také orgány veřejné moci. To koreluje se zjištěním, že právě exekutoři  zdaleka nejvíce konvertují své dokumenty z listinné podoby do podoby  elektronické (viz minulý článek).  A jak je vidět, také je pak odesílají přes datové schránky.

      Kolik se ušetřilo?    Přímo na konferenci ISSS zaznělo také několik údajů o tom,  kolik se díky datovým schránkám ušetřilo. A to v hodně velkém rozpětí. Na  jedné prezentaci se mluvilo o 50 ušetřených milionech, jinde až o 180  milionech. Toto číslo konkrétně obsahovala aktualizovaná prezentace náměstka  Chýlka, a mělo vzniknout vynásobením počtu přenesených zpráv (cca 9 milionů) a úsporou  ve výši 20 Kč na jedné zásilce (když 20 Kč je prý průměrná cena jednoho  dopisu).

statistika

      To je ovšem úsporou pouze na straně koncových uživatelů.  Stát měl naopak kvůli tomu zvýšené výdaje, protože z rozpočtu zaplatil 9  milionů * 18 Kč (za jednu datovou zprávu), tj. celkem cca 162 milionů.  Správnější by bylo hovořit o úspoře ve výši rozdílu těchto dvou částek.

      Jiný odhad, vycházející skutečně z rozdílu nákladů, prezentoval  bývalý náměstek na ministerstvu vnitra Zdeněk Zajíček: podle něj činí rozdíl  v ceně (mezi obálkou s pruhem a datovou zprávou) v průměru 15  Kč, a při cca 7,5 milionu zpráv to dává cca 112 milionů. Obálky s pruhem  přitom přijdou na 26 až 36 Kč, podle druhu zásilky. Jenže u tohoto odhadu zase  není zohledněno to, že dnes se skrze datové zprávy (a tedy za cca 18 Kč)  posílají i věci, které se dříve posílaly pomocí běžných  a tím i lacinějších  dopisů (bez „pruhů“). Takže reálný rozdíl bude nižší.

      Bude zrušena transakční část portálu veřejné správy?    S úsporami souvisí i jedna zajímavá věc, která na  konferenci ISSS zazněla: ministerstvo vnitra počítá s postupným zrušením  transakční části portálu veřejné správy, neboť informační systém datových  schránek prý nahrazuje transakční část portálu veřejné správy (PVS).

zruseni transakcni casti portali

      No, věcně to s tím nahrazením „není úplně přesné“. Ale pravdou  asi je, že podání dosud realizovaná přes interaktivní rozhraní portálu je  principiálně možné jednosměrně přenášet i pomocí datových zpráv. A argument o  dvou paralelních systémech také má svou logiku. Ministerstvo vnitra prý stojí  provoz transakční části portálu 40 milionů korun ročně, a tak by rádo tuto  částku ušetřilo. Nejprve by ale muselo přinutit k přechodu hlavního  uživatele portálu, kterým je Česká správa sociálního zabezpečení (ČSSZ), aby  přešla na příjem podání  výlučně přes datové schránky. Právě ČSSZ ale již dříve  sama  deklarovala (dokonce opakovaně),  že chce zůstat u portálu a jeho transakční části, a do datových schránek se očividně  nehrne.

      Podívejme se na to ale z pohledu nákladů: k České správě  sociálního zabezpečení směřuje na 95 % provozu přes transakční část portálu, což  by mělo obnášet na 6 až 8 milionů dokumentů (formulářů). V rámci jednoho  podání je ale přenášeno více dokumentů současně (typicky: za celou organizaci).  Podle tohoto  zdroje to v roce 2006 bylo v průměru 3,5 dokumentu na jedno  podání, v roce 2007 4,96 dokumentu, a v roce 2008 již 6,7 dokumentu  na jedno podání. V roce 2010 by to odhadem mohlo být někde na úrovni 10.

      Pokud by se podařilo vložit všech 10 dokumentů do jedné  datové zprávy, počet podání (a tím i datových zpráv) by při celkovém počtu 6 až  8 milionů dokumentů představoval desetinu. Náklady na přenos datových zpráv by  tak představovaly 18 Kč x 600 až 800 000, neboli 10,8 až 14,4 milionu. Ale  to je skutečně jen velmi zjednodušený a hrubý odhad, který má dokreslit  skutečnost, že když resort vnitra ušetří svých 40 milionů ročně na provoz  transakční části portálu, státní rozpočet (ze kterého se platí za datové  zprávy) s tím bude mít nemalé náklady, které mohou (ale také nemusí) být  nižší než oněch 40 milionů. Nehledě na náklady, které si takováto změna vyžádá  – jak na straně ČSSZ, tak i u všech uživatelů, jejichž systémy jsou již uzpůsobeny  a nastaveny na komunikaci přes transakční rozhraní portálu veřejné správy, a  teď se budou muset předělat. Sama ČSSZ odhadla  své náklady na zavedení současné podoby svého  e-podání na 66 milionů Kč.

      Velký úklid na vnitru    Zástupci ministerstva vnitra na konferenci ISSS hovořili i o  dalších svých plánech v souvislosti s datovými schránkami a jejich informačním  systémem. Zaznělo například, že provádí „velký úklid“ a snaží se řešit různé  resty, které jim z překotného zavádění datových schránek byly. Náměstek  Jaroslav Chýlek k tomu řekl:

      Vytvořili jsme na ministerstvu vnitra  dvě komise  v rámci něčeho, co my nazýváme „velký úklid“, protože v tom rychlém  náběhu se na některé věci zapomnělo, protože nebyly tak aktuální, nebyly tak  důležité. Takže teď máme velký úklid, máme dvě komise, jednu legislativní a  jednu technickou, kde sbíráme podněty od významných zákazníků toho systému,  snažíme se je nějak sumarizovat a postupně vydáme nějakou novou metodiku. Připravíme  i změnu legislativy,  v tom smyslu že upravíme vyhlášku. Už dnes víme, že  tam chybí některé formáty, a některé další drobnosti v té vyhlášce by bylo  třeba změnit. A připravujeme nějaký technický rozvoj datových schránek, protože  ten systém skýtá poměrně velké možnosti a budeme implementovat nové funkčnosti  tak, aby se dal plně využít.     Konkrétně by se mělo jednat například o zavedení podpory hashovacích funkcí SHA2, či o možnost volit si úroveň zabezpečení vlastního  přihlašování k datové schránce. Dnes jsou na výběr jen dvě úrovně, a to  pouze jméno a heslo, nebo jméno, heslo a certifikát.  Do budoucna by zřejmě  měly přibýt i další varianty, a možná mezi nimi bude i přihlašování (přesněji:  autentizace) pomocí jednorázových autentizačních údajů, ať již ve formě  autentizační SMSky či v nějaké jiné podobě.

změny

      Změna se prý chystá i u doručenky, kde by se mělo objevit  více údajů, a ne pouze údaj o finální události (doručení) – nýbrž také dodání,  způsob doručení (řádně či fikcí) atd. V neposlední řadě je prý  připravována služba pro hromadné dotazy (na vyhledávání příjemců, resp.  uživatelů s datovými schránkami), což je prý „docela seriózní problém, se  kterým se mnoho úřadů potýká“.

      Bude institucionální archiv!    Konkrétní obrysy začíná dostávat i to, co bylo již dříve  slibováno jako tzv. institucionální archiv, a co je dnes prezentováno jako  „služba pro ověření pravosti“. Konkrétně jde o to, že ISDS si ke každé zprávě  uchovává její otisk (hash), a chce nabízet možnost srovnání tohoto hashe  s konkrétní zprávou za účelem zjištění, zda je o původní zprávu, která  prošla systémem datových schránek. A to nejen pro datové zprávy, ale i pro  konverze. Takto to popisoval náměstek Chýlek:

institucionální archiv

      … připravujeme službu, která po čase ověří, zda datová zpráva  skutečně prošla systémem, zda je to ta pravá zpráva, tím, že se to ověří proti  uloženému hash (otisku datové zprávy), který se dnes u datových zpráv uchovává,  a totéž (stejný nástroj) připravujeme pro to, abychom mohli ověřit, že tento  dokument byl skutečně autorizovaně konvertován.    Za sebe jsem již několikrát před takovouto možností varoval,  a to ze stejného důvodu, kvůli kterému považuji za principiálně chybnou i včera  popisovanou „vyvratitelnou domněnku pravosti“: dříve či později bude možné  vypočítat ne jednu, ale libovolný počet (vzájemně různých) kolizních zpráv,  které všechny budou mít stejný  otisk. A popisovaná služba pro ověření pravosti  by pak každé z nich udělila svůj punc pravosti.

institucionální archiv

      Lidé kolem datových schránek si ale toto nebezpečí zřejmě  již uvědomují. Podle neoficiálních informací by totiž uvedená služba měla být  postavena na poněkud odlišném principu, který by popisovaný problém přeci jen  řešil. Otisk zprávy, alias hash, by totiž nebyl počítán jen ze zprávy samotné,  ale ze zprávy zřetězené s dalším údajem, který by zůstal utajen (a byl by  dostupný jen pro informační systém datových schránek). To by pomohlo v tom,  že až bude možné vypočítat kolizní zprávu, stále nebude známo, z čeho (resp.  k jakému otisku)  ji vlastně počítat. A pouze při ověřování skutečně  původní zprávy, zřetězené z tajným údajem, dojde k výpočtu správného otisku,  který bude úspěšně porovnán s tím otiskem, který si pamatuje systém  datových schránek.

      Jistě už tušíte, kde je slabé místo tohoto řešení: v udržení  onoho tajného údaje (klíče, či jak mu chceme říkat) skutečně v tajnosti. Jakmile  by byl prozrazen, je celé opatření neúčinné a kdokoli, kdo dokáže vypočítat kolizní  zprávu (se zahrnutím tohoto „již ne tajného“ údaje) si bude moci nechat  potvrdit pravost svého falzifikátu. A to vlastně i pro konverze mezi  elektronickou a listinnou formou, a nejen pro datové zprávy‚ má-li být stejné  ověření možné i pro konvertované dokumenty.

      V souvislosti s těmito skutečnosti mne napadají dvě  důležité souvislosti. První je ta, že pokud má popisovaná služba fungovat i na  dnes přenášené zprávy a konvertované dokumenty, musí být otisk (hash) již dnes  počítán i s uvážením onoho tajného údaje, a ne pouze ze samotné zprávy či  konvertovaného dokumentu. Druhá souvislost se týká bezpečnosti: pokud již dnes  ISDS pracuje s oním tajným údajem, měl by po stránce své bezpečnosti fungovat  adekvátně tomu, co je ve hře při eventuelní kompromitaci onoho tajného údaje.

      Což mne zase přivádí k otázce na to, jak je to s bezpečnostním  auditem ISDS. A to nevím, na ISSS jsem v tomto ohledu (o dokončení snad stále  probíhajícího bezpečnostního auditu) žádné informace nezaznamenal.

A ještě jeden aspekt: proč vlastně ISDS potřebuje takovouto službu na ověřování pravosti? Vždyť pokud by platila ona "vyvratitelná domněnka pravosti", pak by jednotlivé datové zprávy měly být považovány za pravé již z titulu této domněnky (fikce), pokud se neprokáže opak.

      Konverze jen přes společné úložiště    S představou, že by měla existovat i možnost zpětného  ověření konvertovaného dokumentu, nepřímo souvisí ještě jiná zajímavá zpráva,  která se v pondělí objevila na konferenci ISSS. Zazněla z úst zástupce  resortu vnitra, při prezentaci o  problematice konverze, a týká se využití systému CzechPoint: konverze je  prý nutné dělat výhradně přes CzechPointy, a ne přímo, nějakým vlastním  systémem. Důvodem má být nutnost uložení konverzní doložky do jednotného centrálního  úložiště, které provozuje právě centrála CzechPointů. Nyní, vzhledem k výše  popisované možnosti zpětného ověření, by tedy zřejmě přibylo i centrální  ukládání otisků z dokumentů (plus tajného údaje), a jejich centrální  uchovávání.

konverze

      Využití CzechPointů přitom nemusí být přímé, v tom smyslu,  že konvertující osoba přímo pracuje se softwarem CzechPointu (nejspíše v provedení  CzechPoint@Office). Může pracovat s vlastní aplikací, například se  spisovou službou svého úřadu – ale ta musí využívat API CzechPointů a jeho  služby pro centrální ukládání konverzních doložek, a nyní tedy zřejmě i otisků.

      Povinná „centralizace“, skrze služby CzechPointů, alespoň  podle mého názoru ze zákona nevyplývá. A stejného názoru jsou přinejmenším  advokáti, kteří dávají najevo, že si chtějí ukládat konverzní doložky sami, ve  svých vlastních evidencích, a služby CzechPointů vůbec nevyužívat. A podobně i  někteří exekutoři, viz konkrétní příklad v minulém  článku. Výše popisovaný závěr o nutnosti centralizace je pak výsledkem  výkladu samotného resortu vnitra (ke kterému ale nemám žádný odkaz na jeho  písemné znění).

      Strukturovaná data a formuláře    Na závěr ještě jeden zajímavý postřeh z letošní konference  ISSS: jak se zdá, už i „lidem kolem datových schránek“ začíná docházet nevýhodnost  dosavadní preference nestrukturovaných dat. Požadavek na formát PDF totiž v zásadě  znamená, že i původně strukturovaná data, generovaná nějakým informačním  systémem či službou, se převedou do nestrukturované podoby („vytisknou do PDFka“),  a teprve pak se přenáší přes datové schránky, případně konvertují apod. – a pak  je zase někdo musí (nejspíše ručně) přepsat a tím převést zpět do strukturované  podoby, aby se s nimi dalo dále strojově pracovat.

      A tak na ISSS zazněl například kuriózní požadavek na možnost  „vytěžování nestrukturovaných informací“: dodavatelé prý mají upravit své aplikace  tak, aby nebylo nutné PDFka nejprve tisknout a pak přepisovat – ale dalo se na  jedné obrazovce zobrazit PFDko s nestrukturovanými daty a vedle něj  formulář vlastní aplikace, tak aby se data dala přepisovat přímo z obrazovky  či přetahovat jako kusy textu přímo do aplikace. No, u „okenních“ aplikací v rámci  nějakého GUI (třeba na MS Windows) by snad stačilo umět si vhodně uspořádat jednotlivá  okna, a není nutné s tím otravovat výrobce aplikací.

      Smysluplnější pak byl apel na používání formulářů. To má  spoustu výhod, kromě strukturování dat i možnost určité kontroly správně  zadaných dat či jejich úplnosti. Ale má to i své nevýhody až nebezpečí: pokud si  každý úřad (orgán veřejné moci) vymyslí a bude vyžadovat svůj vlastní a zcela  specifický formulář, doplatí na to nejrůznějšími zmatky jak úředníci, tak i  občané jako jejich klienti.

      Další výhodou formulářů může být to, že mohou disponovat  vlastní inteligencí, která jim umožní provázat se se systémem datových schránek  a čerpat z něj informace. Například tak, abyste při vyplňování nějakého  formuláře (v rámci datové zprávy) nemuseli sami vypisovat údaje o sobě – ale  formulář si je dokázal zjistit sám (od datové schránky, která je má k dispozici),  a za vás je předvyplnit. Takovéto „ISDS  Ready“ formuláře na letošní konferenci ISSS předváděla společnost Software602.

URL| http://www.lupa.cz/clanky/isss-datove-schranky-budou-mit-archiv/