sâmbătă, 21 ianuarie 2023

Prostia si blocajul din Legea Interoperabilității (eIDAS #69)

 angajasem să explic consecințele catastrofale induse de un articol forțat de ADR și Sabin Sărmaș în ultima zi din procedura parlamentară care ne-a dat Legea interoperabilității (Legea 242/2022), respectiv Platforma Națională de Interoperabilitate PNI.

Scriam atunci, în contextul analizei viitorului ADR, că articolul:

Art.17 (1) i) CTE ... va emite avize de funcționare doar pentru acele sisteme tehnologice ale căror funcționalități vor fi pe deplin aliniate la infrastructurile naționale de identificare și autorizare notificate de ADR în cadrul unui sistem transnațional, în conformitate cu normele europene prevăzute în Regulamentul eIDAS.
...  poate avea în mod egal două interpretări:
1.     că ADR notifică către UE așadar, implicit și ocolit, ar fi Autoritate Națională pentru identitatea electronică
2.     că ADR este operatorul unui sistem informatic care urmează să fie notificat
Aceste interpretări au fost livrate după caz dar nu pot fi simultan adevărate întrucât la nivelul UE nu este acceptat ca o Autoritate Națională, care implementează un regim de supraveghere conform Art. 9 (1) b) din eIDAS, să fie și operator, respectiv să se supravegheze pe sine, în consecință acel ipotetic sistem nu va fi niciodată acceptat pentru notificare. Oricare dintre ele ar fi, însă acest articol este atât o prostie profesională cât și killerul funcționării rapide a PNI.

Astăzi explic de ce Art.17 este o prostie și un blocaj al funcționării PNI.

Blocajul este evident. Dacă putem utiliza PNI doar cu identități notificate, atunci îl putem utiliza doar de atunci când acestea devin disponibile.


Când am putea avea identități notificate ?

În privința Cărții Electronice de Identitate – cel mai devreme după 12 luni de la definitivarea tehnică a proiectului, adică de la lansarea în producție a versiunii finale a CEI. Cu optimism ar însemna toamna anului 2024, sperăm că MAI își va respecta afirmațiile verbale și va demara acest demers.

În privința PSCID, posibil niciodată. Am explicat, Caietul de Sarcini aferent nu conține obligația de a livra un sistem notificabil și nici servicii de consultanță pentru procesul de notificare. Presupunând că reușesc să-l livreze înainte de termen, în ultima zi când fondurile UE mai pot fi decontate, termenul ar fi 1 ianuarie 2025.

În privința furnizorilor privați din România, momentan o variantă doar teoretic permisă de Regulament, ar trebui parcurși un număr de pași dificili. MCID ar trebui să manipuleze  opinia publică că nu le face cadou un business care, default, este un atribut al autorității publice, ci că a reușit să-i convingă să se implice salvator în sprijinul administrației. Astfel să apară o legislație dedicată lor, ei să-și construiască sistemele și să le notifice sau să adere la o schemă. Având în vedere istoria semnăturilor calificate, faptul că art.17 vine tot de la MCID/ADR, îmi este greu să cred că celelalte instituții publice vor achiesa ușor la această „soluție”. Aș opina 6 luni pentru legislație, minim 3 luni pentru construcția sistemelor, 6-12 luni pentru notificare. Deci vara anului 2024.

Însă furnizorii notificați proveniți din restul UE vor cere, deplin justificat, să fie utilizabili în PNA argumentând că prevederea care limitează la „doar notificări făcute de ADR” este grosier ilegală agresând Regulamentul eIDAS. Toate sistemele notificate au valoare egală în UE. O luptă care le va fi rentabil să o poarte, poate vor trece 12 luni până când vom primi un avertisment prealabil înaintea unui infringement.

În concluzie, Interoperabilitatea va fi complet blocată pentru minim 18 luni.


Dar de ce notificate ?

De proști. Notificarea este procedura care concluzionează că sistemul respectă prevederile Regulamentului UE  2015/1502. Pentru cei care nu au înțeles încă din eIDAS că un eID notificat este dedicat doar persoanelor fizice, acest regulament are o lungă anexă cu condiții practice de îndeplinit iar toate aceste condiții fac referire doar la „persoană”.

Însă interoperabilitatea este o activitate instituțională, automatizată.

Se așteaptă cineva ca un funcționar public să-și țină conectată CEI în sistem pentru a-și desfășura sarcinile de servici?

Se așteaptă cineva ca un funcționar public să-și lase permanent CEI conectată la un server care rulează aplicațiile instituției ?

Chiar dacă nu este CEI ci alt mijloc de identificare, nu vor fi prea multe persoane care să facă asta!


Ce alte opțiuni ar fi existat?

S-ar fi putut cere ca mesajele care compun dialogul dintre aplicații să fie semnate cu un Sigiliu Calificat. Un Sigiliu este atașat unei instituții însă este scump și mult prea mare/potent pentru acest scenariu, ar aduce o dimensiune a semnăturii mai mare decât mesajul util.

S-ar fi putut cere utilizarea certificatelor calificate pentru site-uri (QWAC) prevăzute de Art.45 din eIDAS. Acestea sunt certificate de tip TLS, sunt scumpe, sunt subiectul contestării de către fabricanții de browsere care consideră că știu mai bine decât CE ce este bun pentru utilizatorii lor. Această dispută merită un studiu aprofundat, este o ceapă cu foarte multe straturi. Tot de întrebat este de ce STS nu oferă astfel de certificate pentru instituțiile publice.

S-ar fi putut utiliza o infrastructură PKI de nivel avansat, internă PNI, pentru semnarea mesajelor iar autentificarea sa se facă prin IPSEC sau alte mecanisme din acest layer.

S-ar fi putut analiza riscul real asociat atât timp cât schimbul de date se face exclusiv prin rețeaua STS iar datele schimbate sunt logate centralizat.


O prostie, dar în ce context ?

Noi credem că interoperabilitatea are ca scop integrarea bazelor de date distribuie în proceduri complexe, orientate către cetățean – abordarea bazată pe evenimente de viață.

Se adună însă semnele că decidenții au alte planuri.

Scenariul spre care ne îndreptăm real este cel în care prelucrările de date sunt manuale, funcționarul public accesează manual un portal (numit pompos PNI) unde caută manual date, într-un context de identificare care comunică identitatea sa până la sursa datelor și tuturor celor de pe acest traseu. Pentru cine știe, cam cum este accesibil PatrimVen azi celor din APL.

Argumente:

Sabin Sărmaș a forțat ștergerea unui articol din proiectul de lege a interoperabilității, articol votat de Senat la propunerea AMR, articol care menționa o prelucrare automată bazată pe triggeri și era tipic prelucrărilor automate.

Avem o ploaie de legi de eliminare a copiilor/dovezilor/adeverințelor. Mecanismul lor comun este o procedură prin care petentul face o afirmație (care altfel ar fi trebuit dovedită cu un document) iar funcționarul de la ghișeu o verifică în PNI și-i spune petentului dacă o acceptă sau nu.

Art.17 practic blochează orice procedură complexă, atât automată cât și dintre cele care implică mai mulți funcționari care analizează dosarul pentru că aceștia nu pot fi global reprezentați de un singur mijloc de identificare notificat.

Niciun comentariu:

Trimiteți un comentariu