©PIIT: Uwagi do projektu ustawy o usługach zaufania, identyfikacji

UWAGI
Polskiej Izby Informatyki i Telekomunikacji [PIIT]
do koncepcji wdrożenia polskiego dowodu osobistego z warstwą elektroniczną z dnia 20.10.2016
Polska Izba Informatyki i Telekomunikacji (PIIT) z wielką uwagą przygląda się pracom nad kolejną na przestrzeni
lat koncepcją wdrożenia polskiego dowodu osobistego z warstwą elektroniczną (eDO). Po przedstawieniu uwag
natury ogólnej, szczegółowe uwagi do zapisów koncepcji umieszczono w tabeli w drugiej części dokumentu.
Uwagi ogólne do koncepcji
Koncepcja wdrożenia polskiego dowodu osobistego z warstwą elektroniczną powinna zostad
przedyskutowania w szerokim gronie ekspertów z analizą różnych rozwiązao technicznych
i organizacyjnych. Podejmowanie decyzji na kolejne 10 -20 lat przy konieczności wydania znaczących
środków wymaga racjonalności. Dokument plastikowy z mikroprocesorem to było dobre rozwiązanie 510 lat temu. Obecnie mamy już inne technologie oraz znacznie bardziej zaawansowany rozwój
informatyzacji rynku i umiejętności Obywateli. Nasuwa się pytanie zasadnicze, czy eDO
w zaproponowanej postaci w 2019 roku w ogóle będzie potrzebny obywatelom.
Równocześnie z koncepcją nowego dowodu powinien zostad zaprezentowany (i oszacowany, co do
kosztów i terminów) program modernizacji podstawowych publicznych systemów teleinformatycznych.
Obie koncepcje powinny byd też dokładnie przeanalizowane pod kątem zapewnienia im w przyszłości (!)
bezpieczeostwa teleinformatycznego.
W przedstawionej koncepcji brak prezentacji i analizy propozycji architektury rozwiązania eDO
w urządzeniach mobilnych (smartfonach), gdy wielokrotnie taka koncepcja pojawiała się
w wypowiedziach przedstawicieli Rządu. Chcąc zapewnid pełną mobilnośd konieczne jest przygotowanie
wymagao na bezpieczne środowisko „end to end” poprzez zapewnienie różnych mechanizmów
tokenizacji nośnika dowodu. W dokumencie nie przewidziano też środków na tego typu prace.
Założenie wprowadzania do eDO bliżej nieokreślonego tworu, jakim jest podpis osobisty wraz
z podpisem kwalifikowanym to dublowanie części funkcjonalności potrzebnej dla obywateli. Obecnie
zważywszy na to, że podpis elektroniczny regulowany jest Rozporządzeniem eIDAS, należy wdrażad
narzędzia tamże określone.
Odnosząc się do kwestii podpisu medycznego to wdrażanie rozwiązania polegającego na cyfrowym (nie
elektronicznym) podpisie bezpinowym ma sens, o ile funkcjonalnośd takiego rozwiązania będzie
dostępna dla różnych rozwiązao i funkcji. W takim wypadku możliwe będzie w przyszłości zbudowanie
innych usług urzędowych lub usług zaufania korzystających z tej funkcji dowodu. W związku z tym należy
zapisad o funkcji eDO, jakim jest “uwierzytelnienie blankietu” a nie zastosowaniu, ponieważ przyszłe
zapisy prawne mogą uniemożliwid legalne korzystanie z tej funkcji.
W koncepcji założono określone koszty wytworzenia eDO w oparciu o wyliczenia trzech resortów
i PWPW. Wyliczenia te np. pomijają koszty niezbędnej infrastruktury PKI (do której dokument się
odnosi), koszty wdrożenia nowego rozwiązania w administracji centralnej i samorządowej, a niektóre
wyliczenia podano bez kontekstu (np. koszt zakupu czytników – nie wiadomo, ile sztuk uwzględniono.
Nasuwa się pytanie, dlaczego nie przeprowadzono faktycznej analizy rynku, konkurencji i pełnych
kosztów takiego przedsięwzięcia. Obecna analiza jest zupełnie niemiarodajna.
Strona 1
Warstwa elektroniczna dowodu osobistego (procesor, system operacyjny i ew. applety Java) musi
bezwzględnie posiadad certyfikat wydany zgodnie z art. 30 rozporządzenia eIDAS. Rekomendujemy przy
tym, aby spośród możliwych do wyboru profili zabezpieczeo, o których mowa w Decyzji Wykonawczej
Komisji (UE) 2016/650 z dnia 25 kwietnia 2016 r. ustanawiającej normy dotyczące oceny bezpieczeostwa
kwalifikowanych urządzeo do składania podpisu i pieczęci elektronicznych, zostały wybrane profile,
które nie wymagają bezpiecznego kanału z aplikacją podpisującą i jednocześnie by zapewniono
zgodnośd z profilem zakładającym generowanie kluczy na karcie. Zwracamy przy tym uwagę, że
aktualnie wiodący dostawcy kart elektronicznych zapewniają zgodnośd swoich produktów zarówno
z profilem EN 419 211-2 (generacja kluczy na karcie), jak i jednocześnie EN 419 211-3 (import kluczy).
Dokument „Koncepcji...”, aczkolwiek w wielu kwestiach szczegółowy, nic nie wspomina o aspekcie
minimalizacji ryzyka dostaw elementów warstwy elektronicznej. Ryzyka te są różnej natury i wagi,
począwszy od braku możliwości wytworzenia układów scalonych, a skooczywszy na problemie
„kompromitacji” układu i tym samym wycofania stosownego certyfikatu na warstwę elektroniczną
dowodu. Ten ostatni przypadek wydaje się mało prawdopodobny, natomiast zastrzeżenie, iż „z powodu
ujawnienia pewnych słabości wymaga się, aby np. od nowego roku zaprzestad używania go w nowo
produkowanych urządzeniach, pozostawiając możliwośd użycia tylko w już dostarczonych urządzeniach”
jest istotnie prawdopodobny. Stąd w wielu podobnych rozwiązaniach wymaga się, aby układy warstwy
elektronicznej, w tym użyty system operacyjny, było dostarczane przez min. 2 różnych producentów (a
w Niemczech nawet wymaga się 3 różnych), podobnie jak ma to miejsce w przypadku polskiego
paszportu biometrycznego. W związku z tym zasadne jest wprowadzenie analogicznego założenia
w przypadku eDO.
W przypadku Karty Specjalisty Medycznego (KSM) przedstawiono założenia finansowe, które nie zostały
w żaden sposób „zderzone” z konkurencją rynkową. Czy również założono (jak w przypadku eDO), że
tylko PWPW jest w stanie dostarczyd taką kartę z systemem do zarządzania cyklem jej życia?
Deklarowana w dokumencie koncepcji zgodnośd z normami i standardami implikuje, w przypadku karty
KUZ, implementację rozwiązania zgodnego z wieloczęściową normą PN-EN ISO 21549 „Informatyka
w ochronie zdrowia -- Dane dotyczące karty zdrowia pacjenta” oraz ze standardem Europejskiej Komisji
Normalizacyjnej CWA 15974 „Interoperability of the electronic European Health Insurance Cards
(WS/eEHIC)”. W przywołanej normie europejskiej EN ISO 21549 zakłada się, że jako minimum będą
znajdowały się w karcie pacjenta „dane administracyjne” i „dane identyfikacyjne”, a wśród nich m.in.
adres. Ponadto norma przewiduje możliwośd umieszczania „danych ratunkowych” (ang. clinical data).
W związku z tym nasze wątpliwości budzi sformułowanie „Koncepcji...”, iż dane w warstwie
elektronicznej będą zapisywane w dokumencie na etapie personalizacji i nie będą podlegały zmianie
przez cały okres ważności dokumentu (z wyjątkiem kontenera dla certyfikatu kwalifikowanego). Wobec
tego należy wyjaśnid:
o czy funkcjonalnośd KUZ będzie realizowana bez zgodności z normą ISO 21549?;
o
czy w części KUZ będą zapisywane medyczne dane ratunkowe?;
o
jakiego typu, w rozumieniu standardu CWA 15974, będzie karta KUZ?
Strona 2
Według naszej oceny termin 1 stycznia 2019 roku gotowości projektowanej realizacji wydawania eDO
jest możliwy, ale też niekoniecznie musi zostad osiągnięty. Tym samym wątpliwe jest już teraz (na koniec
2016 roku) ustawowe podejmowanie decyzji, co do wydłużenia oraz skrócenia terminów ważności części
aktualnych dokumentów DO. Bardziej rozsądnym rozwiązaniem jest przygotowanie nowego systemu
wydawania i dopiero po jego przetestowaniu - umożliwieniu zainteresowanym obywatelom wymianę
DO (nawet przed terminem upływu ważności) na eDO. Dopiero po sprawdzeniu systemu będzie można
go wdrożyd dla wszystkich, stopniowo wymieniając obecne DO (warto tutaj przyjąd założenie, że wielu
Obywateli – szczególnie starszych - nie będzie widzied potrzeby wymiany DO na eDO ).
W podsumowaniu uwag ogólnych postulujemy (jak na początku), aby przeprowadzona została szersza
merytoryczna dyskusja na temat zasadności wprowadzenia eDO w
proponowanej formie oraz
przedyskutowanie innych możliwych rozwiązao.
Strona 3
Tabela i zestawienie uwag szczegółowych do
koncepcji wdrożenia polskiego dowodu osobistego z warstwą elektroniczną
L
p
Referencja
.
1.
Rozdział 1,
Wstęp,
strona 2
Uwaga
Twórcy koncepcji eDO odnieśli się do faktu, że kierują się
przesłankami natury ekonomicznej w przedstawionej
koncepcji. Pytaniem jest jak należy to rozumieć , skoro
wszyscy interesariusze w bezpośredni lub pośredni sposób
zależni są od Skarbu Państwa.
Uzasadnienie
Faktyczne przesłanki ekonomiczne można poznać weryfikując rozwiązania
dostępne na rynku. W całej koncepcji nie ma ani słowa o tym, że brany jest
pod uwagę wariant, aby to firmy zewnętrzne mogły być partnerem Skarbu
Państwa w celu wybrania faktycznie najbardziej uzasadnionej technicznie i
ekonomicznie oferty.
Strona 4
L
p
Referencja
.
2.
Rozdział 1,
Wstęp,
strona 2
Uwaga
Zapis:
W związku z tym dowód osobisty z warstwą elektroniczną
powinien zawierać podstawowe funkcjonalności, aby możliwe
było jego wdrożenie w krótkim czasie.
Należy zmienić na:
W związku z tym dowód osobisty z warstwą elektroniczną
powinien pozwalać na ładowanie i instalację nowych apletów
(funkcjonalności) już po jego wydaniu, a tylko te podstawowe
mogłyby być aktywne od momentu wydania dowodu, aby
możliwe było jego wdrożenie w krótkim czasie.
Uzasadnienie
Im więcej funkcjonalności zostanie umieszczonych w momencie wydania
dokumentu tym łatwiej będzie z nich skorzystać w przyszłości. W projekcie
zakłada się brak możliwości zmian czegokolwiek w dowodzie po jego
wydaniu, co oznacza, że nowe funkcjonalności dla osób, które otrzymają
elektroniczny dowód dostępne będę dopiero po jego wymianie w 2029 roku.
Istnieją dwa sposoby rozwiązania tego problemu:
1. - Warstwa elektroniczna pozwalająca na dodawanie nowych
funkcjonalności po wydaniu dokumentu bez utraty Certyfikacji
Common Criteria. Przy takim założeniu, system operacyjny dowodu
powinien posiadać funkcje związane z powydawniczym zarządzaniem
zawartością karty (zgodnie z Global Platform) , w tym ładowanie i
instalację apletów. Platforma taka musi być certyfikowana wg profilu
PP Java Card System – Open Configuration. W związku z tym
możliwe jest dodawanie nowych apletów bez utraty certyfikacji
Common Criteria PP-SSCD
2. - Warstwa elektroniczna w momencie wydania dokumentu zawiera
maksymalną ilość zakładanych funkcjonalności a systemy
pozwalające na ich użycie mogłyby powstawać z czasem.
Istnieją też projekty hybrydowe, gdzie duża część funkcjonalności istniej od
momentu wydania dokumentu a nowe są dodawane już w po wydaniu
dokumentu jego posiadaczowi.
3.
Rozdział 2
Do listy danych w dowodzie osobistym powinien zostać
dodany adres zamieszkania ( zameldowania) lub
korespondencyjny oraz adres poczty elektronicznej
Przy takim założeniu każdy urząd, przedsiębiorca w szczególności bank,
ubezpieczyciel lub operator telekomunikacyjny mógłby w sposób
bezpieczny odczytać tę informację z warstwy elektronicznej dowodu bez
konieczności wymagania przynoszenia zaświadczenia z urzędu.
Propozycja:
Dowód powinien zawierać w warstwie elektronicznej adres
zamieszkania lub korespondencyjny oraz adres poczty
elektronicznej .
Strona 5
L
p
Referencja
.
4.
Rozdział 2
Uwaga
Zmiana zapisu:
Natomiast personalizacja warstwy elektronicznej wymaga
dalszych konsultacji technicznych i porozumienia pomiędzy
MSWiA a PWPW
Na:
Dla bezpieczeństwa procesu personalizacji, personalizacja
elektroniczna oraz graficzna powinna odbywać się w tym
samy miejscu..
5.
Rozdział 2
Zmiana zapisu:
Dane w warstwie elektronicznej będą zapisywane w
dokumencie na etapie personalizacji i nie będą podlegały
zmianie przez cały okres ważności dokumentu (z wyjątkiem
kontenera dla certyfikatu kwalifikowanego).”
Uzasadnienie
Rozdzielenie personalizacji graficznej od elektronicznej w sensie miejsca
fizycznego i podmiotów, które go wykonują naraża Skarb Państwa na
dodatkowe koszty, a obywateli na wydłużony czas oczekiwania na
dokument. W przypadku, gdy po personalizacji elektronicznej, coś pójdzie
nie tak w personalizacji graficznej, wówczas raz jeszcze trzeba będzie
zamówić blankiet spersonalizowany elektronicznie dla danej osoby.
Oznacza to dodatkowe koszty i dodatkowy czas. W przypadku, gdy
personalizacja dokonywana jest w jednym miejscu, wówczas po błędnej
personalizacji graficznej wystarczy wziąć kolejny czysty blankiet.
Co więcej, może się kiedyś okazać, że np. ze względów ekonomicznych
taniej można kupić czyste blankiety od innego producenta wówczas taka
zmiana może być niemożliwa do realizacji z przyczyn technicznych.
Proponowany zapis pozwoli na dodawanie w przyszłości np. danych
ratunkowych lub innych istotnych danych do dokumentu (np. odcisku
palca). A tak dokument po personalizacji będzie zamknięty już na zawsze.
na :
Dane w warstwie elektronicznej tożsame z danymi zapisanymi
graficznie na blankiecie będą zapisywane w dokumencie na
etapie personalizacji i nie będą podlegały zmianie przez cały
okres ważności dokumentu. Inne dane lub funkcjonalności
mogą być dodawane lub zmieniane po wydaniu dokumentu.
Strona 6
L
p
Referencja
.
6.
Rozdział 3,
pkt 3, strona
4
Uwaga
W koncepcji proponuje się aby w warstwie elektronicznej
dowodu osobistego znalazły się:
…
2) certyfikat „podpisu osobistego” (kontener MSWiA,
wydawca MSWiA we współpracy z PWPW), którego ważność
będzie tożsama z ważnością dokumentu, czyli 10 lat;
…
4) kontener umożliwiający zapis dowolnego certyfikatu
kwalifikowanego za pośrednictwem PWPW, przy czym PWPW
wystawi nieodpłatnie pierwszy, dwuletni certyfikat dla
wszystkich chętnych obywateli. Po upływie tego okresu
posiadacz dokumentu będzie mógł wystąpić o odnowienie
certyfikatu do PWPW lub też o nowy certyfikat do innego
podmiotu świadczącego takie usługi; koszty aktualizacji lub
wgrania kolejnego certyfikatu dla podpisu kwalifikowanego
będą leżały po stronie obywatela.
Twórcy koncepcji wprowadzają własne narzędzie tj. certyfikat
podpisu osobistego, które z punktu widzenia rozporządzenia
unijnego 910/2014 tzw. eIDAS nie istnieje. Rozwiązanie takie
nie wpisuje się w ideę Jednolitego Rynku Cyfrowego.
Uwaga dotycząca podpisu kwalifikowanego dotyka kwestii
wyboru PWPW jako jedynego dostawcy mogącego wydać i
zapisać w części elektronicznej eDO kwalifikowany certyfikat
podpisu elektronicznego.
Uzasadnienie
Wytyczne dla Polski w zakresie usług zaufania stanowi Rozporządzenie
Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca
2014 r. w sprawie identyfikacji elektronicznej i usług zaufania
w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz
uchylające dyrektywę 1999/93/WE (tzw. eIDAS).
W związku z powyższym zamiast nieznanego narzędzia podpisu
osobistego należy zastosować zdefiniowane pojęcia eIDAS. W przypadku
uznania podpisu osobistego zaawansowanym podpisem elektronicznym to
należy wziąć pod uwagę fakt , że taki podpis zgodnie z art. 27 eIDAS
powoduje konieczność uznawania podpisów zaawansowanych z całej UE.
O ile mechanizmy „wyspowe” były stosowane przez kraje członkowskie
przed wejściem w życie eIDAS to obecne dążenie twórców koncepcji w
tym zakresie jest zaprzeczeniem celów eIDAS.
Dodatkowo proponowany podpis osobisty jako podpis zaawansowany
byłby tylko narzędziem na takim samy poziomie wiarygodności jak podpis
potwierdzony profilem zaufanym na potrzeby samej administracji
publicznej. Byłoby to wyrzucanie pieniędzy na dublujące się rozwiązanie
bez uzasadnienia
W związku z faktem, że rynek kwalifikowanych dostawców usług
zaufania jest rynkiem komercyjnym, nie zgadzamy się na to aby jeden
dostawca miał uprzywilejowaną pozycję do innych dostawców. Nie ma w
tym założeniu żadnej argumentacji merytorycznej. Niezależnie czy to
będzie pierwsze czy kolejne wydanie certyfikatu rynek kwalifikowanych
usług zaufania powinien podlegać konkurencji.
Dodatkowo fakt pośrednictwa PWPW we wgrywaniu certyfikatu
kwalifikowanego innego podmiotu nie znajduje uzasadnienia i stanowi
zagrożenie bezpieczeństwa kluczy prywatnych przypisanych do certyfikatu
kwalifikowanego, jeżeli klucze generowane byłyby poza elektronicznym
dowodem i przekazywane do niego. Pośrednictwo PWPW we wgrywaniu
certyfikatów innych podmiotów, pozwoliłoby PWPW budować wiedzę o
udziale w rynku każdego z podmiotów, o elastyczności cenowej (cena
certyfikatu jest publicznie znana, a ilość PWPW znałaby na podstawie
pośrednictwa we wgrywaniu certyfikatów). Stawiałoby to PWPW w
jeszcze bardziej uprzywilejowanej pozycji.
Strona 7
L
p
Referencja
.
7.
Rozdział 3
strona 5
Uwaga
Uwaga dotyczy braku zastosowania aplikacji ICAO w
warstwie elektronicznej e-Dowodu
Zaleca się przemyślenie raz jeszcze tej decyzji
Uzasadnienie
Argumenty za ICAO:
jest to ogólny trend w Europie i fakt ten został potwierdzony
przez Eurosmart, organizację zrzeszającą producentów
elektronicznych dokumentów
w przedstawionej koncepcji dowodu elektronicznego rozważa się
użycie interfejsu dualnego (interfejsu stykowego i bezstykowego).
Standard ICAO, zakłada zabezpieczenie interfejsu bezstykowego
przed podsłuchiwaniem mechanizmem SAC Supplemental
Access Control (PACE). Brak aplikacji ICAO oznacza, że nie ma
pewności czy interfejs bezstykowy będzie w jakikolwiek sposób
zabezpieczony, a jeżeli nawet będzie to czy nie powstanie coś
wyspowego używanego tylko w Polsce (brak interoperacyjności,
o którą tak zabiega Unia Europejska i jej kraje inwestując ponad
100 mln Euro właśnie w ten obszar).
dane z aplikacji ICAO, można odczytać dowolną aplikacją
pozwalającą na odczyt danych z paszportów biometrycznych.
Takich aplikacji na telefony komórkowe jest całe mnóstwo w
sklepie Google Play. Pozwoliłoby to każdemu obywatelowi na
porównanie i zweryfikowanie danych z warstwy elektronicznej z
warstwą graficzną zwiększając bezpieczeństwo obrotu
gospodarczego. Dodatkowo warto zaznaczyć, że znaki
diakrytyczne nie stanowią tutaj problemu podobnie jak np. pole
MRZ
Wykorzystanie bramek ABC jest coraz częstsze, a do ich
wykorzystania wystarczyłaby tak naprawdę aplikacja ICAO tylko
z pierwszą cechą biometryczną. Wówczas wszystkie niezbędne
dane do personalizacji takiej aplikacji są już w posiadaniu gmin.
Strona 8
L
p
Referencja
.
Uwaga
8.
Rozdział 3,
strona 6
Jako wykonawcę Systemu zarządzania kartami i modułem
utylizacji (SZK) wskazano PWPW.
Proponujemy na tym etapie nie wskazywać konkretnego
wykonawcy.
9.
Rozdział 3
strona 6
Zapis dotyczące interfejsów stykowy i bezstykowy (dualny)
Uzasadnienie
Wskazywanie PWPW jako wykonawcy systemu (SZK) jest niezrozumiałe.
Na rynku występuje szereg podmiotów komercyjnych, które mogą stanowić
alternatywę dla PWPW szczególnie patrząc przez pryzmat kwestii
ekonomicznych wskazanych w pkt 1. Decyzje o wyborze systemu
informatycznego powinno zostać poprzedzone analizą biznesową i
finansową oraz porównaniem z konkurencją. Dodatkowo warto zaznaczyć,
że dostawca SZK będzie również zobowiązany do udostępniania
nieodpłatnie bibliotek middleware
O ile zrozumiała jest wyższa cena za eDO z interfejsem dualnym,
wynikająca chociażby z konieczności umieszczenia anteny w karcie, to
niezrozumiałym jest różnica w terminach dostępności blankietów. Proces
projektowania i wdrażania czy to kart dualnych czy kart stykowych jest
bardzo zbieżny. Należy przypuszczać, że różnica w czasie dostępności
wskazana w dokumencie wynika z konieczności opracowania
oprogramowania warstwy elektronicznej dowodu i jej certyfikowania o
czym też mowa na stronie 6. To oznacza, że terminy podane w dokumencie
są mocno szacunkowe i istnieje wiele elementów, które mogą ten termin
zakłócić. Jeżeli zależy nam na szybkim i skutecznym wdrożeniu eDO, to
PWPW powinna skorzystać z istniejących na rynku komponentów (warstwy
elektronicznej) co pozwoli na zmniejszenie ryzyka niedotrzymania
terminów
Strona 9
L
p
Referencja
.
10.
Rozdział 3,
strona 6
Uwaga
Twórcy koncepcji wskazują na konieczność dostarczenia
oprogramowania zapewniającego komunikację z węzłem
krajowym eIDAS.
Nie zostało sprecyzowane jeszcze co autorzy mają na myśli
ale już na tym etapie wskazano, że wykonawcą
oprogramowania będzie PWPW.
Należy jasno określić co to jest za oprogramowanie, do czego
ma konkretnie służyć.
Uzasadnienie
Po raz kolejny wskazane jest PWPW jako wykonawca bliżej nieznanego
oprogramowania bez wskazania na jakiej podstawie została podjęta taka
decyzja. Brak przy tym analizy biznesowej i finansowej. Domyślając się
co może się kryć pod słowem „oprogramowanie” chcemy wskazać, że
komunikacja z węzłem krajowym jak i zapewnienie notyfikacji wymaga
po stronie rządowej uruchomienia usługi uwierzytelniania on-line zgodnie
z artykułem 7 f) eIDAS. Dla dowodu osobistego nie powinna to być
aplikacja tylko system uwierzytelniania dowodem, do którego
komunikacja byłaby przekierowywana z hubów i systemów
federacyjnych. Usługa taka powinna być zbudowana przez wystawcę
dowodu.
W tym samym punkcie mowa jest o middleware jednakże autorzy
koncepcji nie przewidzieli w ogóle możliwości wykorzystania tzw.
serwerowego middleware co przyczyniłoby się do braku konieczności
obarczania obywateli dodatkowymi instalacjami oprogramowania.
Strona 10
L
p
Referencja
.
11.
Rozdział 3
strona 7
Uwaga
Zmiana zapisu:
Oprogramowanie do wykorzystania smartfonów jako
czytników – wobec rosnącej popularności smartfonów,
wyposażonych standardowo w NFC, za pożądane uznać
należy opracowanie oprogramowania komunikacyjnego, które
zapewni możliwość zestawienia bezpiecznego kanału łączności
między e-dowodem a komputerem, np. karta <-NFC->
smartfon <-bluetooth-> PC. Zadanie wykona COI na zlecenie
MC. Finalna decyzja o zakresie i harmonogramie wdrożenia
tego komponentu zostanie podjęta na etapie projektu
technicznego.
Uzasadnienie
Przedmiotowy zapis pokazuje, że wśród zespołu tworzącego koncepcję
eDO, nie ma zrozumienia możliwości wykorzystania smartfonów oraz
interfejsu NFC. Nie ma bowiem konieczności by smartfon komunikował się
po interfejsie bluetooth z PC. Jeżeli nawet obywatel korzysta z PC w
dostępie do e-Usług, to w nowoczesnych rozwiązaniach nie ma potrzeby
komunikacji po interfejsie bluetooth pomiędzy telefonem a komputerem PC
użytkownika. Całość komunikacji przechodzi przez serwer on-line a telefon
służy jedynie, jako czytnik karty. Co więcej użytkownik może korzystać z eusługi na smartfonie i wówczas telefon pełni rolę urządzenia dostępowego
do e-serwisu oraz czytnika kart z interfejsem bezstykowym.
Na:
Oprogramowanie do wykorzystania smartfonów jako
czytników – wobec rosnącej popularności smartfonów,
wyposażonych standardowo w NFC, za pożądane uznać
należy opracowanie oprogramowania komunikacyjnego, które
zapewni możliwość zestawienia bezpiecznego kanału łączności
między e-dowodem a komputerem, np. karta <-NFC->
smartfon. Finalna decyzja o zakresie i harmonogramie i
wykonawcy wdrożenia tego komponentu zostanie podjęta na
etapie projektu technicznego.
Strona 11
L
p
Referencja
.
12.
Rozdział 4,
strona 7,
tabela
Uwaga
Tabela z kosztami inwestycyjnymi została przedstawiona
jako zagregowane wartości bez możliwości weryfikacji
jakie składowe zostały uwzględnione w tych kosztach. Brak
jest analitycznego uzasadnienia podanych kosztów.
Z kwestii które udało się zauważyć:
W tabelkach kosztów inwestycyjnych na str. 7 i
kosztów utrzymania na str. 8 nie został uwzględniony
koszt oprogramowania zapewniającego komunikację
z węzłem krajowym eIDAS, o którym mowa na str.
6.
W tabelce kosztów inwestycyjnych na str. 7 kwota
dla systemu do zarządzania cyklem życia karty (l.p.
4) wydaje się zbyt niska, bo powinna zawierać koszt
nowych serwerów oraz koszt urządzeń HSM.
W tabelce kosztów utrzymania na str. 8 kwota dla
stałych kosztów utrzymania systemu do zarządzania
cyklem życia karty (l.p. 10) wydaje się zbyt wysoka
– suma roczna przekracza koszt inwestycyjny z l.p. 4
z tabelki na str. 7.
W tabelach nie wskazano kosztów budowy
infrastruktury klucza publicznego
Nie wskazano ilości czytników a tylko wartość
całego zakupu
Uzasadnienie
Należy opracować lub przedstawić bardziej szczegółowe pozycje
kosztowe przedstawionych inwestycji aby można było merytorycznie
ocenić ich zasadność i wielkość.
Warto jednak zaznaczyć, że bazując na informacjach publicznych z
przetargów zagranicznych w których PWPW brała czynny udział na
przestrzeni lat (np. przetarg w RPA w 2013 roku na dostawę 9 mln sztuk
kart poliwęglanowych w interfejsem bezstykowym z wysokimi
wymaganiami funkcjonalnymi) gdzie musiała się mierzyć z konkurencją
zewnętrzną, to przedstawiane ceny były konkurencyjne z innymi
dostawcami.
W celu potwierdzenia tego faktu poniżej znajduje się tabela z cenami z
publicznego otwarcia ofert z dnia 22 lutego 2013:
Cena całkowita w
Euro
Bundesdruckerei € 17 100 000,00
Giesecke & Devrient € 17 910 000,00
Gemalto
€ 16 470 000,00
Trube
€ 18 630 000,00
PWPW
€ 19 709 000,00
HID
€ 17 910 000,00
Safran Moprho
€ 21 098 151,00
Mühlbauer
€ 16 639 023,00
Nazwa dostawcy
Cena za sztukę Kurs z dnia Cena w PLN za
w Euro
22.02.2013
sztukę
€
1,90
4,1574
7,90 zł
€
1,99
4,1574
8,27 zł
€
1,83
4,1574
7,61 zł
€
2,07
4,1574
8,61 zł
€
2,19
4,1574
9,10 zł
€
1,99
4,1574
8,27 zł
€
2,34
4,1574
9,75 zł
€
1,85
4,1574
7,69 zł
W przypadku rynku polskiego gdzie PWPW ma monopol, propozycje
cenowe przedstawione w koncepcji są znacząco zawyżone, biorąc
dodatkowo pod uwagę większy wolumen kart w Polsce i mniej
skomplikowane wymagania funkcjonalne.
Strona 12
L
p
Referencja
.
13.
Rozdział 5,
strona 15
Uwaga
Twórcy koncepcji wskazali, że …system identyfikacji
elektronicznej wykorzystujący dowód osobisty z warstwą
elektroniczną będzie podlegał notyfikacji zgodne z wymogami
rozporządzenia PE i Rady (UE) Nr 910/2014 z dnia 23 lipca
2014 r. w sprawie identyfikacji elektronicznej i usług zaufania
w odniesieniu do transakcji elektronicznych na rynku
wewnętrznym oraz uchylające dyrektywę 1999/93/WE –
zgodnie z art. 9 co najmniej 6 miesięcy przed jego notyfikacją
pozostałe państwa członkowskie Unii Europejskiej powinny
mieć możliwość zapoznania się z takim systemem.”
W koncepcji jednakże nie uwzględniono , że 29 września
2018 roku jest datą graniczną dla obligatoryjnego uznawania
notyfikowanych środków identyfikacji elektronicznej, Nie
określono, czy to ma być pierwszy system eID notyfikowany
przez Polskę, czy drugi(kolejny).
Uzasadnienie
W naszej opinii należy poważnie się zastanowić nad planowaniem
notyfikacji polskiego systemu identyfikacji elektronicznej do momentu
emisji elektronicznego dowodu kiedy cały rynek identyfikacji
elektronicznej w UE będzie już funkcjonował . Widzimy w tym duże
ryzyko dla sukcesu w tym zakresie tego projektu zważywszy na wskazany
termin 1 stycznia 2019 jako początek wydawania nowych e-dowodów.
Dowód osobisty powinien raczej być nowym, ale kolejnym
notyfikowanym środkiem identyfikacji elektronicznej (poziom wysoki),
który obok wcześniej notyfikowanego będzie funkcjonował w systemie w
krajowym systemie eID wcześniej notyfikowanym (przed wrześniem
2018r,) w UE.
W przeciwnym przypadku obywatel Polski będzie pozbawiony
możliwości używania krajowego środka eID w komunikacji elektronicznej
z administracją w UE przy jednoczesnym uznawaniu przez naszą
administrację takich środków innych państw członkowskich. Nasi
obywatele, którzy będą mieć potrzebę korzystania z akceptowanego w UE
środka identyfikacji elektronicznej będą taki środek pozyskiwać w innych
państwach.
Strona 13
L
p
Referencja
.
14.
Rozdział 7,
strona 18-19
Uwaga
Autorzy koncepcji wskazują szereg ryzyk związanych z
wprowadzeniem eDO. Należy do nich dodać dodatkowe
ryzyko, że kwalifikowane certyfikaty podpisu
elektronicznego może wydać TYLKO dostawca, który
podda się zewnętrznemu audytowi zgodności i taki audyt
przejdzie pozytywnie.
Dodatkowo treść ryzyka nr 5:
Zgodnie z przyjętym przez Radę Ministrów w dniu 27
września 2016 r. Programem Zintegrowanej Informatyzacji
Państwa Ministerstwo Cyfryzacji planuje rozwijanie
identyfikacji elektronicznej (tzw. e-ID) w modelu
federacyjnym, dzięki której obywatel będzie mógł się
komunikować z administracją za pomocą środków
komunikacji elektronicznej. W tym kontekście przewidywane
korzyści z funkcjonalności dowodu osobistego z warstwą
elektroniczną mogą być mniejsze, ponieważ podobne funkcje
będą spełniały inne środki tożsamości elektronicznej.
Niemniej porównując obecnie planowane środki tożsamości,
dowód z warstwą elektroniczną będzie jedynym, którym
zapewni najwyższy poziom zaufania, a więc będzie jedynym
środkiem umożliwiającym autoryzację dla e-usług
wymagających tego poziomu.
Należy zmienić na :
Zgodnie z przyjętym przez Radę Ministrów w dniu 27
września 2016 r. Programem Zintegrowanej Informatyzacji
Państwa Ministerstwo Cyfryzacji planuje rozwijanie
identyfikacji elektronicznej (tzw. e-ID) w modelu
federacyjnym, dzięki której obywatel będzie mógł się
komunikować z administracją za pomocą środków
identyfikacji elektronicznej. W tym kontekście przewidywane
korzyści z funkcjonalności dowodu osobistego z warstwą
elektroniczną mogą być mniejsze, ponieważ podobne funkcje
będą spełniały inne środki tożsamości elektronicznej.
Uzasadnienie
W przypadku gdyby dostawca usług zaufania jakim jest obecnie PWPW
nie przeszła lub nie poddała się audytowi zgodności zgodnie z
rozporządzeniem eIDAS to przedmiotowa koncepcja w zakresie podpisu
kwalifikowanego nie mogłaby być zrealizowana. Dlatego istotne jest
otworzenie rynku kwalifikowanego podpisu od samego początku projektu.
Z ryzyka 5 należy usunąć nieprawdziwe stwierdzenie:
Niemniej porównując obecnie planowane środki tożsamości, dowód z
warstwą elektroniczną będzie jedynym, którym zapewni najwyższy poziom
zaufania, a więc będzie jedynym środkiem umożliwiającym autoryzację
dla e-usług wymagających tego poziomu.
Rozporządzenie eIDAS definiuje poziomy bezpieczeństwa (wysoki,
średni, niski)
Poziom wysoki systemu identyfikacji elektronicznej może być uzyskany
także z wykorzystaniem innych środków identyfikacji elektronicznej i nie
ma znaczenia czy jest to dowód osobisty czy inny dokument
Strona 14
L
p
Referencja
.
15.
Rozdział 7,
pkt 6 , strona
20
Uwaga
Brak zgody na zapis:
Pierwszy, dwuletni certyfikat podpisu kwalifikowanego będzie
zamieszczany w dokumencie nieodpłatnie przez PWPW na
wniosek zainteresowanego obywatela. Po upływie tego okresu
posiadacz dokumentu będzie mógł wystąpić o odnowienie
certyfikatu do PWPW lub też PWPW umożliwi instalację
nowego certyfikatu wystawionego przez inny podmiot
świadczący takie usługi na rzecz posiadacza dokumentu;
koszty aktualizacji lub wgrania kolejnego certyfikatu dla
podpisu kwalifikowanego będą leżały po stronie obywatela.
Uzasadnienie
Oprócz uzasadnienia opisanego w uwadze nr 2 należy podkreślić, że w
przypadku certyfikatów kwalifikowanych mamy szczególne naruszenie
zasady uczciwej konkurencji na dojrzałym rynku usług komercyjnych, na
którym PWPW jest jednym z istotnych graczy.
Nie ma żadnych przeszkód technicznych udostępnienia możliwości
wprowadzania certyfikatów kwalifikowanych przez dowolny podmiot od
razu po wydaniu karty, a nie dopiero po 2 latach użytkowania.
Załącznik nr 1 – Elementy pośrednio związane z Koncepcją które nie stanowią formalnego stanowiska PIIT ale mogą stanowić inspirację dla
twórców Koncepcji
Strona 15
Załącznik 1
1. Zgodnie z koncepcją, dowód osobisty ma dalej pełnić funkcję dokumentu identyfikującego tożsamość. W tej roli kluczowa jest funkcja zdjęcia osoby.
W koncepcji pominięto kwestię cyfryzacji procesu rejestrowania wizerunku osoby. W dobie cyber-zagrożeń kwestią zasadniczą jest pewność, że w
dowodzie osobistym zarejestrowano wizerunek osoby będącej bez wątpienia wnioskodawcą, i że pewność tą można potwierdzić na podstawie
cyfrowej sygnatury biometrii twarzy. Uzyskanie tej pewności jest możliwe wyłącznie w sytuacji, gdy rejestracja wizerunku osoby jest realizowana w
sposób cyfrowy, przez urzędnika państwowego, w atestowanym środowisku (oprogramowanie, aparat cyfrowy, oświetlenie). Takie rozwiązania
stosuje wiele krajów, najbliżej – Słowacja. Zastosowanie tego rozwiązania jest także wymagane zgodnie z zapisem przedstawionym w rozdziale III
pkt 40 na str. 4 Koncepcji: „Dowód elektroniczny ma być zgodny z normami i dyrektywami UE regulującymi kwestie (…) elektronicznego systemu
identyfikacji osób fizycznych …”
UZASADNIENIE:
Uzyskanie zgodności koncepcji dowodu osobistego z wymaganiem przedstawionym w rozdziale III pkt 40 na str. 4 „Dowód elektroniczny ma
być zgodny z normami i dyrektywami UE regulującymi kwestie (…) elektronicznego systemu identyfikacji osób fizycznych …”
Uzyskanie pewności, że dokument służący do identyfikacji tożsamości zawiera wizerunek osoby, która ubiega się o jego wydanie. Eliminacja
fałszerstw tożsamości, np. metodą „na słupa”, lub za cichym przyzwoleniem urzędnika
Umożliwienie cyfrowej weryfikacji twarzy osoby (kamera + oprogramowanie) z danymi na blankiecie dowodu
Umożliwienie budowy funkcji „master foto”, gdzie raz wykonane profesjonalnie zdjęcie jest przechowywane przez określony czas w
systemie rejestrów państwowych i w tym czasie może być wielokrotnie wykorzystywane do różnych dokumentów (prawo jazdy, paszport,
itp.). Jakość zarejestrowanego obrazu pozwala na konwersję obrazu do postaci czarno-białej bez utraty jakości.
2. W przypadku decyzji o rezygnacji z ICAO do zastanowienia pozostaje konieczność stosowania kart dual-interface. Rezygnacja z interfejsu
bezstykowego może wówczas przynieść następujące oszczędności (w oparciu o przedstawione w Koncepcji dane:
4,7 zł x 44,2 mln blankietów (wariant 2) = 207,6 mln zł lub 4,7 zł x 54,6 mln blankietów (wariant 1) = 256,7 mln
rezygnacja z aplikacji NFC = 0,688 mln zł
obniżenie kosztu personalizacji (tańsze urządzenia)
znaczne obniżenie kosztu czytników
3. W Koncepcji nie wskazano możliwości wykorzystania środowiska TEE (Trusted Execution Environment), które wykorzystywane jest w smartfonach.
Jest to odseparowane środowisko sprzętowe mające na celu zapewnienie poufności i bezpieczeństwa wykonywalnego na nim kodu i danych
Strona 16