Datové schránky, elektronická náhrada „obálek s proužkem“, jsou dobrým nápadem. Přes dlouhé testování se ale rozhodně nepodařilo vytvořit plně funkční a pohodlný systém.
Tento článek vznikl ve spolupráci s časopisem Computer. Mohli jste si ho přečíst také v čísle 24/09.
Hned na počátku je potřeba vyvrátit oblíbený omyl, který občas koluje diskusními fóry: „To, co umí datové schránky, by zvládl i leckterý freemail a bylo by to levnější“. Tento mýtus vzniká a šíří se především u zcela laické veřejnost a prozrazuje nepochopení toho, co vlastně datové schránky musí umět. Kromě prostého doručení od odesílatele k příjemci (což by opravdu zvládl i freemail) totiž musí zajistit „svatou trojici“ počítačové bezpečnosti: autenticitu, nepopiratelnost a integritu.
Autenticita znamená, že odesílatel i příjemce jsou přesně určeni a o jejich identitě není sporu. Žádní falešní odesilatelé, žádné „zapomenuté“ schránky. Nepopiratelnost zase zajistí, že odesílatel nemůže žádným způsobem zpochybnit, že zprávu odeslal a příjemce zase to, že mu byla doručena. V tomto bodě je potřeba dodat, že datové schránky musí na rozdíl od mailu skutečně vždy zaručit doručení na cílovou adresu. Integrita zajistí, že nemůže být zpochybněn ani obsah zprávy (včetně příloh). Nejenže je jasné, jakou zprávu kdo odeslal a přijal, ale systém je také odolný pro pozměnění zprávy „po cestě“.
Desatero poštovních hříchů
Ano, toto vše datové schrány umí. Jenže jde o systém, který má používat široká veřejnost – od firem po soukromé osoby. V takovém případě samozřejmě nejde jen o to, co systém zajistí, ale také jak to zajistí. V tomto ohledu by se „datovky“ skutečně měly od freemalů něco přiučit.
1. Certifikát
S varováním týkajícím se „podivného“ certifikátu se setká úplně každý, kdo se pokusí datovou schránku využít. Nejde sice i nijak fatální problém, ale pro většinu uživatelů je odstranění těchto hlášení docela problematické. Česká pošta (která datové schránky provozuje) dokonce v prvních fázích projektu doporučoval hlášení o nedůvěryhodnost přeskočit – že tento postup otevírá dveře pro případné bezpečnostní útoky, není třeba dodávat.
Webové prohlížeče jsou dnes opatrnější než autoří internetových aplikací
Jde přitom jen o to, že je použit certifikát vydaný autoritou PostSignum QCA (opět pod křídly České pošty), která nemá důvěryhodnost potvrzenu některým ze standardně instalovaných certifikátů (nepatří do skupiny WebTrust). Správný postup tedy vyžaduje instalaci tohoto certifikátu: najdete jej na této adrese. Pokud chcete instalovat opravdu důvěryhodně, měli bystě poté ještě ověřit jeho integritu pomocí kontrolního součtu…
2. Časová razítka
Každá zpráva má přímo při odeslání vloženo časové razítko, které je také vydáváno certifikační autoritou, tentokrát PostSignum TCA. Aby vše dokonale fungovalo, musí být servery vydávající toto razítko vždy připraveny a v provozu. Jak jsme se ale už několikrát přesvědčili, výpadky nejsou nijak nepravděpodobné. V okamžiku, kdy tyto servery nejedou, prostě novou zprávu nikdo neodešle. Perlička nakonec? Oficiální dokument „Politika vydávání kvalifikovaných časových razítek PostSignum TSA“ uvádí v bodě „7.4.8.6 Schopnost obnovit činnost po havárii“, že v případě závažné havárie „nepřekročí doba výpadku služeb PostSignum TSA 20 pracovních dní.“ Tomu říkám blesková obnova.
Instalace kořenového certifikátu PostSignum
3. Častá změna hesla
Datové schránky požadují změnit přístupové heslo každých 90 dnů – heslo se přitom nesmí opakovat a být shodné s některým předchozím. To je dobré bezpečnostní pravidlo pro systém, který se často používá, a je vidět, že tvůrci schránek mysleli především na použití ve státní správě.
Představte si ale opačný případ – soukromou osobu, která za oněch 90 dnů dostane s bídou jediný doporučený dopis, připojovat se tedy bude jen v případě, že mu dorazí upozornění na novou zprávu. Heslo si tím pádem pamatovat nebude a bude si ho muset někde zapsat. Jelikož jsou uživatelé velmi nepoučení, možná si ho napíše na papírek nebo třeba pošle do vlastní freemailové schránky. V tomto případě se zdá, že pravidlo mohlo být nastaveno méně striktně, vhodná by byla třeba kombinace s počtem přihlášení.
4. Formáty a doplňky
Pokud si představujete, že datovou schránku použijete hned a z jakéhokoliv počítače, zapomeňte na to. I pokud si nebudete instalovat rozsáhlejší programy, které jsou pro práci se schránkou postupně vytvářeny, budete potřebovat alespoň doplněk do prohlížeče. Ano, pro práci s „oficiální poštou“ se budete muset svěřit do rukou soukromé firmy, v tomto případě Software602. Instalace doplňku 602XML je přitom problematická a není ho například možné přidat bez administrátorských práv.
Ne že by ekosystém kolem produktů 602XML nebyl dobrý, jen se zdá být zbytečným používat jej v situaci, kdy by stačilo trochu HTML a skriptů. Systém 602XML je určen a vyvíjen pro pokročilou správu dokumentů a formulářů a ve státní sféře se s ním setkáte docela často. Pro běžné použití datové schránky jde ale o kanón na vrabce a byl bych rád, kdyby zůstal ukryt v hlubinách serveru.
Dobrá zpráva na závěr: 602XML podporuje nejen Windows (včetně starších verzí), ale také Linux (několik distribucí) a Mac OS X. Aspoň to.
5. Archivace
Dokumenty uložené v datové schránce po 90 dnech zmizí. To je fakt, se kterým nic nenaděláte. Pokud potřebujete obsah dokumentu uchovat, není to problém, pokud ale potřebujete dokument uchovat, a přitom zajistit jeho autenticitu, problém se rychle objeví. Za poplatek (30 Kč za stránku) si můžete nechat vyhotovit ověřenou papírovou kopii, čímž ale výhody elektronické komunikace dokonale popřete. Za nemalý poplatek pak můžete využít funkcí datového trezoru – proč je ale uchovávání dokumentů zpoplatněno i pro malé objemy, není v dnešní době vůbec jasné.
Nastavení datové schránky
Další problém je ukončení platnosti certifikátu nejdéle jeden rok od udělení časového razítka. S nástrahami se pokusila vypořádat novela zákona o archivnictví (č. 199/2009 Sb.), jenže jak se ukázalo, nepodařilo se to zcela dokonale a budeme netrpělivě čekat na první soudní rozhodnutí, které bude s platností či neplatností dokumentů pracovat.
6. Chaos v doménách
Aby datové schránky fungovaly bezpečně, je nutnou podmínkou, aby se uživatelé přihlašovali jen a pouze na správné webové adrese. Malý kvíz: která adresa je ta správná? Je to www.datovaschranka.cz, www.mojedatovaschranka.cz, www.schranka.cz, nebo třeba www.datoveschranky.info? Pokud jste tipovali poslední, tušíte, odkud vítr vane, ale jste vedle – tuto stránku Česká pošta intenzivně propagovala v první vlně, přihlášení na ní ale nenajdete. Správně je pouze www.mojedatovaschranka.cz. Pokusy o podvržené stránky, tvářící se jako vstupní bod pro datové schránky, se už objevily – co se s databází jmen a hesel stane, je ve hvězdách.
Státní správa v tomto případě silně podcenila bezpečnostní rizika, nejenže oficiální jméno domény je téměř nezapamatovatelné (v přesné podobě), ale nebyly zaregistrovány ani podobné domény (s podtržítky, pomlčkami, či s jiným pořadím slov). Účinnější by jistě bylo spuštění na „oficiální“ doméně .gov.cz, nebo aspoň krátký, výstižný a jednoduchý název celého projektu.
7. Adresář
Aby datové schránky fungovaly alespoň uspokojivě, je potřeba zřídit oficiální, otevřený a dobře přístupný adresář. Dohledávání kontaktů na webech určitě není to pravé. Jenže na adresář zatím nějak nedošlo a tak budete adresy muset „googlovat“, nebo možná odhadovat – v tomto okamžiku vám datové schránky dovolí vyhledávat pouze v seznamu „Orgány veřejné moci“.
8. Uživatelské rozhraní
Jednoduchý webový interface sice připomíná doby nedávno minulé, to by ale nemusel být problém. Jde přece jen o oficiální komunikační web a tam se trochu větší míra konzervativizmu snese. Problém je spíše v nevyužitých možnostech a místy zmateném ovládání. Určitě bychom ocenili trochu AJAXu pomáhajícím v případě potíží či nejasností. Příkladem zmatení uživatele může být třeba notifikace (upozornění na novou zprávu) pomocí SMS, kde nabídka ještě nedávno uživatele zcela pletla – po zaškrtnutí poslední volby SMS rozhodně nechodily. Naštěstí dnes už stránka obsahuje vysvětlující text.
9. Amatérské mailování
Notifikační SMS stojí tři koruny, spořivější uživatelé (a nejen ti) určitě dají přednost e-mailu, který je zdarma. Maily byly ještě v době tvorby tohoto článku odesílány z adresy notifikace@mojedatovaschranka.cz, která ale neexistuje, a co hůře, doména mojedatovaschranka.cz nemá nastaveny ani MX záznamy. Aby bylo nejhůř, implicitní adresa pro příjem pošty ukazuje na stroj, na kterém žádný mailserver přijímající poštu neběží. Co na to řeknou některé antispamové filtry, respektive SMTP servery, je celkem jasné.
Samozřejmě není žádný speciální důvod, proč by adresa notifikace@mojedatovaschranka.cz měla maily přijímat. Ostatní problémy ale opravdu způsobí jen to, že odeslané zprávy mohou po cestě k adresátovi zmizet (a chybové hlášení navíc opět zamíří na adresu notifikací).
10. Start
Nakonec ještě tolikrát propíraný a hojně medializovaný start systému. Nejprve odložení na poslední chvíli, poté komunikace se zmatenými úředníky, kteří často nestihli ani prodělat (či možná pochopit) příslušné školení. Například v druhém největším městě republiky tak zodpovědní zaměstnanci prošli školením doslova za pět minut dvanáct až při přebírání flash disků s autorizačním klíčem. Rychlé zavádění nových technologií je určitě na místě, ale akce kulový blesk, provedená ve státní správě i firemním sektoru, udělala více škody, než užitku.
Datovým schránkám jsme se na Živě.cz v průběhu loňského roku obšírně věnovali. Všechny články a bleskovky, které se věnují této nové služby českého e-governmentu najdete zde.
