Czy nieznane jest bezpieczne?

O próbach opracowania aplikacji obsługującej elektroniczne rozliczanie składek ubezpieczeniowych, będącej alternatywą dla Programu Płatnika, pisaliśmy już kilkakrotnie (CHIP 6/2002, 210; CHIP 7/2003, 216). Dotychczas wszystkie wysiłki osób skupionych wokół alternatywnej aplikacji Janosik rozbijały się o brak specyfikacji formatu danych wysyłanych za pomocą modułu Program Płatnika – Teletransmisja. Sprawa po drodze trafiła do Naczelnego Sądu Administracyjnego, który jednak odesłał ją z powodów proceduralnych z powrotem do ZUS-u. Wezwany po raz kolejny ZUS i tym razem odmówił udostępnienia specyfikacji. Błędne koło?

     

Wbrew pozorom sprawa powoli posuwa się do przodu. Najciekawsze jednak uzasadnienie odmowy przedstawione zostało przez ZUS. Wynika z niego, że system przyjmujący nadsyłane przez podatników dane może się "wyłożyć" w przypadku otrzymania niepoprawnych danych. Według Witolda Łuczywa, dyrektora departamentu ZUS zajmującego się wdrożeniem systemu, taka możliwość istnieje, pomimo tego że, jak zapewnia dyrektor, poprawność danych jest weryfikowana także po stronie ZUS-u. Innego zdania jest Tadeusz Dyrga, wiceprezes Prokom Software: "Nieprawidłowy format danych nie może doprowadzić do zakłócenia pracy systemu odpowiedzialnego za przyjmowanie danych, gdyż błędy formatu są wykrywane przez oprogramowanie zainstalowane w ZUS, informacje o nich przekazywane są zaś zwrotnie płatnikom składek".

     

Co więcej, w uzasadnieniu odmowy udostępnienia formatu zapisu danych napisano, że miałoby to "narazić na naruszenie tajemnicę służbową Zakładu". Jak rozumieć to ostatnie stwierdzenie? Wygląda to tak, jakby szefowie ZUS-u po prostu nie ufali opracowanym przez Prokom mechanizmom kryptograficznym, wykorzystującym infrastrukturę klucza publicznego, i bardziej wierzą w utajnianie algorytmów. "Zastosowany protokół szyfrowania i podpisu elektronicznego zapewnia integralność przekazywanych danych i ich poufność. Ujawnienie go jednak mogłoby ułatwić pracę potencjalnym hakerom" – mówi wiceprezes Dyrga. Czy ma rację? "Znajomość algorytmu szyfrowania nie wpływa na jego bezpieczeństwo. Dobry algorytm zachowuje swoją skuteczność niezależnie od tego, czy zna go osoba chcąca złamać szyfr" – komentuje profesor Jerzy Jaworski, kierownik Centrum Kryptografii Uniwersytetu im. Adama Mickiewicza w Poznaniu.

     

W telefonicznej rozmowie Witold Łuczywo zasugerował inne wyjaśnienie, a mianowicie takie, że umowa między Zakładem Ubezpieczeń Społecznych a Prokomem zabrania temu pierwszemu udostępniania specyfikacji technicznej modułu Programu Płatnika – Teletransmisja.

     

Jakkolwiek się sprawy mają, ciąg dalszy z pewnością nastąpi, gdyż do ZUS-u już trafiło odwołanie od decyzji o nieudostępnieniu formatu danych.

Więcej:bezcatnews