facebook RSS # #

21.07.2017 14:51

Polska Agencja Prasowa Serwis Samorządowy
 
2016-01-21 16:31       aktualizacja: 2016-01-21 19:17       Wiadomości PAP
  A A A

Chyba magia. Czytelnicy o podpisywaniu aktów w ŹRÓDLE i akceptach bez PIN-u

Chyba magia. Czytelnicy o podpisywaniu aktów w ŹRÓDLE i akceptach bez PIN-u
Akta akceptują się same. Magia?
Fotolia
„Mimo braku wpisania PIN-u akt się zaakceptował”, „„kierownik USC chciał podpisać akt, czynność przerwano, a akt jednak został podpisany” – piszą Czytelnicy.

„Najlepsze w tym wszystkim jest to, że to nie jest kwalifikowany podpis elektroniczny w rozumieniu ustawy. Tak więc COI, MSW i inne podmioty mogą sobie zmieniać do woli tak podpisane akty” – pisze na forum Marcin - informatyk gminny.

Jego zdaniem „zadziwiający jest fakt, że nie wykorzystano prawdziwego podpisu elektronicznego, gdzie od razu wyłapano by gmeranie przy podpisanych dokumentach. Czyżby po to użyto pseudopodpisu, by grzebać przy aktach?” – pyta.

„Podpis kwalifikowany nie zmieniłby tu absolutnie niczego. Dane zapisywane do systemu (czyli XML - KMD), który jest podpisywany, możesz podejrzeć. To te dane są podpisane i te dane trafiają do systemu. Te dane zgodnie z ustawą są audytowane w niezmienionej formie i można je zweryfikować (…) Jeśli zwrotnie dostajemy wydruk z błędem, to problem stanowi logika prezentacji, która nie wiadomo co robi z danymi z bazy. Przy wykorzystaniu certyfikatu kwalifikowanego (który technicznie różni się mniej więcej niczym) byłby ten sam problem (…)” – uważa podpisywator.

Informatyk gminny opisuje sytuację w swoim urzędzie, której był świadkiem. „(…) kierownik USC chciał podpisać akt, (…) po dłuższym oczekiwaniu na załadowanie apletu podpisującego czynność, ta została przerwana. W tym czasie nie pojawiło się żadne okienko umożliwiające wybranie certyfikatu, wprowadzeniu PIN-u czy wreszcie zatwierdzenie czynności. Jakie było nasze zaskoczenie (całą czynność widziałem, gdyż stałem obok), gdy po chwili okazało się że jednak Akt został podpisany przez tego kierownika”.

Jak dodaje, zgłosił problem do COI, „ale tam stwierdzili, że użytkownik podpisał akt, bo tak wskazują logi w systemie. Na moje zaprzeczenie otrzymałem odpowiedź, że po ponownej analizie potwierdzają wcześniejsze stwierdzenie. Akty papierowe podpisywane były własnoręcznym podpisem kierownika”.

„Akty w źródle podpisywane są certyfikatami wystawianymi przez MSW które nie są kwalifikowanymi podpisami elektronicznymi w rozumieniu ustawy. W związku z powyższym uważam, że podpis w Źródle tym bardziej nie ma żadnego znaczenia, gdyż Źródło potrafi samoczynnie podpisać Akt bez ingerencji użytkownika i jeszcze dodatkowo przekłamie w logach sugerując, że zrobił to dany użytkownik” - podkreśla.

A Kierownik USC dodaje: „(…) sama (i nie tylko ja) odkryłam, że jak zbyt długo kręci się kółeczko podczas akceptacji aktu, to mimo braku wpisania pinu akt się zaakceptował. Ciekawe jakim cudem (chyba magia). Pracuję w dość dużym urzędzie 100 tys. miasto. Takie sytuacje zaczęły się pojawiać niedawno chyba od grudnia”.

Kkż/
Serwis Samorządowy PAP
 
KOMENTARZE: 17 PRZEJDŹ NA FORUM

DODAJ SWÓJ KOMENTARZ

 
2016-01-25 23:22:22
podpisywator: Marcin:
Zobacz kto wystawił certyfikat na karcie. Na pewno nie było to COI, bo COI nie wystawia certyfikatów.

Weryfikację możesz przeprowadzić niezależnie od tego, czy podpis jest kwalifikowany, czy nie. Poszukaj "Polityka certyfikacji CC MSW" i sprawdź sam. Inną sprawą jest, czy urzędnicy i informatycy gminni mają dostęp do audytu SRP, ale to znów leży w gestii właściciela systemu, czyli właściwego ministra, a nie COI.

Co do zakresu danych, to podpisywany jest komunikat XML wg KMD (kanoniczny model danych). Nie ma powodu by szydzić z zakresu danych. Informacje o tym są dostępne nawet w internecie.

Piszesz, że głęboko w poważaniu poszanowanie prawa - podaj proszę, o których przepisach konkretnie mowa?


 
2016-01-25 12:18:30
Marcin - informatyk gminny: Drogi "podpisywatorze". Tak jak wspominałem wcześniej. Nie znam sposobu przechowywania, nie znam sposobu zapisu danych ani tym bardziej zakresu danych, które są podpisywane. Ten badziew (czyt. źródło) nie wskazuje po uruchomieniu czy i jakie dane zostały zmienione, a tym bardziej czy są to podpisane dane. Przyjmując, że jest to mimo wszystko "jakiś" tam zakres danych (tabela, ciąg znaków, suma kontrolna itp.) po podpisaniu kwalifikowanym podpisem i po zmianie tych danych, od razu będzie to widoczne (przy możliwości weryfikacji, która obecnie nie istnieje i to weryfikacji przez kogokolwiek, nie tylko właściciela certyfikatu). Przynajmniej powinno tak być w tym badziewiu.
Audyt danych? Przecież COI może sobie tam wpisać co chce. Skąd kierownik USC albo pracownik będzie wiedział że dane się zmieniły? Przecież nie jest to uwidocznione! Ma je weryfikować za każdym razem z wydrukami? Pisanie o przybywającej kawalerii uznam za mierny żart. Tak samo jak bagatelizowanie tzw. zaufanej trzeciej strony.
No ale czegóż tu oczekiwać, gdy obecne elity mają głęboko w poważaniu poszanowanie prawa, więc czegóż tu oczekiwać od instytucji, która sama napisała, sama obsługuje, sama wystawia sobie certyfikaty i sama weryfikuje poprawność danych znajdujących się w bazie.
Rola kierowników USC została sprowadzona do klikaczy i do tego, że to oni, pomimo namieszania w danych przez COI, będą odpowiadać, tak samo jak pracownicy odpowiedzialni za dowody osobiste i rejestr mieszkańców. Bo to niby oni podpisali się pod takimi, a nie innymi danymi. A że brak jest możliwości weryfikacji? A po co? Przecież komputery się nie mylą. A tym bardziej ludzie z COI...
 
2016-01-25 09:22:01
leśniczy: Nie ma sensu tłumaczyć @podpisywatorowi, bo z treści jego wpisów (np. " Nikt jak dotąd nie zgłosił, że w SRP są dane, gdzie podpis się nie zgadza") wynika, że jest pracownikiem COI i nie rozumie treści postów, tak jak przez rok nie rozumiał zgłoszeń na Atmosferze.
 
2016-01-25 08:57:46
infor: @podpisywator: widzę że nie rozumiesz problemu z "magicznym podpisem" to wytłumaczę prościej: po przygotowaniu aktu klikam ikonkę PODPISZ - karta z certyfikatem cały czas MUSI być w czytniku aby bagno mas nie rozłączyło - uruchamia się aplet Javy a dokładnie ekran robi się szary i kręci się kółeczko, trwa to kilka minut i NIC potem wyskakuje informacja, że "sesja wygasła" logujemy się ponownie aby zakończyć proces tworzenia aktu a tu ojej akt już podpisany ...... normalnie powinno wyglądać to tak że pokazuje się okienko "wpisz PIN" a potem informacja "akt został pomyślnie podpisany". Czy jaśniej się da nie wiem.

@obywatel: Urzędy wysyłały dane, my takie potwierdzenie mamy, że wysłano dane, więc dlaczego w Bagnie są błędy skoro twierdzisz że po stronie Ministerstwa wszystko było ok? Mało tego otrzymywaliśmy informację zwrotną o poprawności danych. A w Bagnie jest błąd !!!!
 
2016-01-24 18:26:53
samorzadowiec: obywatel@: będziemy polemizować, jak sprawdzisz, kiedy weszła w życie ustawa, o której piszesz. Przepis, który wskazujesz obowiązuje od 1 marca 2015 r. Do tej daty rejestr działał na innych zasadach (o ile dobrze działał). Samorządy przekazywały dane za pośrednictwem WBD. Dane w gminach i w województwie zapisywały się dobrze i były ze sobą zgodne. Zarówno gminy, jak i województwa mają kopię wygenerowanych przez system zmian do PESEL, gminy mają nawet w systemie potwierdzenia, że zmiany dotarły do WBD. Problem polega na tym, że Jantar nie zapisywał tych zmian.

Odnośnie ostatniego zdania twojego postu, to przyjmij do wiadomości, że pracownicy urzędów miast oraz gmin są pracownikami samorządowymi, a nie urzędnikami państwowymi i doskonale wiedzą, za co biorą to najniższe krajowe wynagrodzenie.
Odnośnie przekazywania zmian do MSW, to raporty (pliki) numerowane były kolejno i nie było możliwości, aby cokolwiek zostało pominięte, a jeżeli w dowodzie osobistym masz wydrukowane prawidłowe dane (zakładam, że nikt nie odebrał by z urzędu błędnego dokumentu, to oznacza, że w dniu drukowana dowodu osobistego były zgodne z systemem PESEL, ponieważ następowała weryfikacja danych.
A tak w ogóle to cała ta walka samorządowców z COI prowadzona jest dla twojego dobra Obywatelu@.
 
2016-01-23 13:00:51
LAS'ka: potwierdzam, zdarzają się sytuacje kiedy system zatwierdza jakieś zmiany mimo że nie uruchamia się aplet do podpisu.

 
2016-01-23 07:27:11
podpisywator: Marcin: Czyli twoim zdaniem, jeśli użyty zostałby podpis kwalifikowany, to w 'magiczny' sposób przyjechałaby kawaleria z tej zaufanej trzeciej strony i zaczęła machać flagą, żeby coś uwidocznić?
To tak nie działa.

Po pierwsze, obecnie certyfikaty wystawiane i potwierdzane są i tak przez oddzielną jednostkę. Podległą co prawda MSWiA, więc może się wydawać, że to to samo.
Po drugie, jedyną różnicą przy podpisie kwalifikowanym byłaby zmiana CC MSWiA na inną jednostkę. Co to da?
Otóż, zmieni tyle, że to ta inna jednostka będzie gwarantowała, że certyfikat pana X lub systemu Y rzeczywiście został wystawiony i to certyfikat tej innej jednostki pozwoli stwierdzić, że podpisana przy pomocy X lub Y wiadomość rzeczywiście została podpisana przy jego użyciu. Natomiast standard pozostanie ten sam.

Nikt jak dotąd nie zgłosił, że w SRP są dane, gdzie podpis się nie zgadza. Czyli to, co zostało podpisane przez posiadaczy certyfikatów jest zachowane w niezmienionej formie. Nie ma naruszenia niezaprzeczalności podpisu.

Wobec tego problem, którego warto się czepiać, to zła obsługa wyświetlania danych, czy wydruków, które są generowane już po odczytaniu danych. A nie integralność danych w rejestrze. Jeśli dane zostały zmienione, to zostało to zaudytowane. Wiadomo kto, wiadomo kiedy, wiadomo dlaczego. Wiadomo co było przed i co było po zmianie.

O pieniądzach nie rozmawiam, bo się na tym nie znam.
Jeśli moglibyśmy trzymać się tematu, to byłoby super.


 
2016-01-22 23:05:08
obywatel: @usc, a wiesz na jakiej podstawie działa rejestr PESEL ?

To może przytoczę:
USTAWA z dnia 24 września 2010 r. o ewidencji ludności
Art. 10
Pkt
3. Dane z rejestru PESEL są przekazywane do rejestrów mieszkańców oraz do rejestrów centralnych, o których mowa w ust. 2.

Tak, więc będąc urzędnikiem, nie masz bladego pojęcia według czego wykonujesz swoje obowiązki. To chyba takie normalne w urzędach naszego kraju.
urzędy Gminy, miały obowiązek przesyłania aktualizacji informacji o obywatelach do MSW, aby MSW aktualizowało Jantara ! Jeśli tego nie robiliście, to właśnie Wy/gminy są odpowiedzialne za to, że teraz dostają nieprawdziwe dane i ich rejestry mieszkańców są aktualizowane o nieaktualne dane obywateli, bo sami do bagno zrobiliście ...

To taki chyba standardowy obraz urzędnika Państwowego - nic nie wiem i nie umiem, a i tak podatnik zapłaci za moją pensje !
 
2016-01-22 12:18:31
Kier. USC: Podpisywator - czytając twoje posty odnoszę wrażenie, że jesteś pracownikiem COI lub ich service desku, nie rozumiesz treści artykułów i nie rozumiesz treści komentarzy.
Za rejestrację stanu cywilnego, ewidencję ludności i dowody osobiste odpowiedzialni są użytkownicy bagna.
Jako użytkownika systemu nie interesują mnie rozwiązania informatyczne, ale normy prawne, Za Źródło odpowiedzialny jest inny podmiot i za to dostaje kasę, aby SRP funkcjonował prawidłowo. Jeżeli odpowiedzialny podmiot jest nieudolny, to bagno działa tak jak działa.
Na dzień dzisiejszy Źródło fałszuje wprowadzone dane przez użytkowników wszystkich modułów.
Nie znam przepisu obowiązującego prawa, który zezwalał by na zmianę danych w akcie stanu cywilnego w inny sposób, niż przez wprowadzenie wzmianki dodatkowej przez właściwego kierownika USC.
Odnośnie zarejestrowania w SRP aktu stanu cywilnego jako podpisanego, pomimo tego, że użytkownik nie wprowadzał pinu, a nawet nie wybierał opcji podpisywania potwierdzam, że bardzo często tak się zdarza. Tak samo jest w RDO i PESEL.
Źródło jest moim podstawowym narzędziem pracy i ma być dla mnie dostępne w godzinach mojego urzędowania, a zarejestrowane przeze mnie zdarzenia mają być zapisane i przechowywane w systemie w takiej formie, w jakiej potwierdiłem certyfikatem.
 
2016-01-22 12:07:13
Marcin - informatyk gminny: Drogi "podpisywatorze". Dlaczego nielogiczne? Przecież nie da się zaprzeczyć, że jakakolwiek zmiana w danych podpisanych kwalifikowanym podpisem, od razu jest uwidoczniana. Istnieje wtedy tzw. "zaufana trzecia strona", która pilnowałaby na swój sposób niezmienności i niezaprzeczalności danych podpisanych certyfikatem.
To MY informatycy musimy wysłuchiwać na temat działania tego badziewia. To NAS nigdzie nie zaproszono do wdrożenia, a wręcz przekazywano zakaz zabierania nas na jakiekolwiek spotkania związane z tym badziewiem.
Ciekaw jestem (to odnośnie artykułów, wpisów, głosów użytkowników) dlaczego jest tak źle, skoro jest tak pięknie? Wszyscy nagle uwzięli się na biedne bagienko. Gdzie głosy że to wspaniałe rozwiązanie? Gdzie, że działa szybko, stabilnie, że nie przekłamuje danych? A może wspomnimy o pieniądzach? Może wspomnimy o tym, że ministerstwo nie daje samorządom żadnych pieniędzy na utrzymanie po ich stronie tego systemu? Że wprowadzane są zmiany, za które płacą samorządy z własnej kasy? Można by tak długo. I wybacz mi osobistą wycieczkę Szanowny "podpisywatorze", ale pachniesz na kilometr "kimś z ciemnej strony mocy" (czyt. COI).
 
2016-01-22 10:50:10
momo: Bez paniki. System był gotowy już 04.12.2014r. Przynajmniej wg wiedzy jego twórcy czyli COI. http://samorzad.pap.pl/depesze/redakcyjne.e_administracja/146194/System-jest-gotowy--Marcin-Malicki-z-COI-zapewnia-o-gotowosci-SRP--MSW-chce-wiekszej-pewnosci
 
2016-01-22 10:11:09
podpisywator: Marcin, informatycy: Odbijam nielogiczne zarzuty, że lekarstwem na wszystkie problemy jest podpis kwalifikowany. Jutro napiszecie, że lepiej by było, jakby przesyłaniem dokumentów zajmowały się kangury.

urzędnicy: Codziennie na PAPie jest jakiś artykuł i komentarze, w których widać koszmarną listę bzdur. Zaciemniacie w ten sposób rzeczywiste problemy, o których warto mówić i naprawiać. Jeśli chcecie zasiać panikę w ministerstwie i spowolnić im pracę, to może jest jakaś metoda, ale sobie tym nie pomagacie :)

Bardzo wygodnie jest napisać, że podpisywanie zostało przerwane (przyczyny dowolne), a akt został zatwierdzony. Tyle, że podpisuje KARTA, a nie ŹRÓDŁO. Pytanie, czy akt ostatecznie został 'magicznie' podpisany waszym certyfikatem, czy może w międzyczasie podpisał go inny pracownik urzędu z uprawnieniami kierownika? To w 'magiczny' sposób wyjaśniałoby sytuację, nieprawdaż?

Niczego nie sugeruję, przedstawiam tylko możliwości.
 
2016-01-22 08:57:04
Marcin - informatyk gminny: Drogi "podpisywatorze". Zawsze można odbić piłeczkę i stwierdzić, że piszesz-jesteś z COI i bronisz interesów tego badziewia (czyt. źródła). Ale jak sam piszesz... merytorycznie.
Bardziej chodzi mi o to, że ten sam podmiot wystawia, uwierzytelnia i potwierdza niezaprzeczalność certyfikatu, a co najlepsze jeszcze w tym wszystkim, potwierdza to w dokumentach podpisanych takim certyfikatem w napisanym przez siebie systemie. I tyle, tylko tyle albo aż tyle.
Nie znam struktury bazy, nie znam sposoby zapisywania, przechowywania, ani tym bardziej podpisywania danych w tym badziewiu. Przy podpisie kwalifikowanym, jak sam dobrze wiesz, po podpisaniu określonych danych takim podpisie i potem po wprowadzeniu w nich zmiany, od razu jest to uwidocznione. A tutaj? System mój, centrum moje, podpisy moje... Niczego nie sugeruję, przedstawiam tylko możliwości.
 
2016-01-22 08:20:42
kierownik: Miałem identyczny przypadek jak opisywany w artykule. Po dłuższym oczekiwaniu podpisywanie aktu zostało przerwane, pomimo, że nie wybrałem certyfikatu i nie wprowadziłem pinu akt został zatwierdzony.
 
2016-01-21 22:07:23
informatyk gminny: @podpisywator Jakie ma znaczenie czy to podpis w rozumieniu certyfikatu kwalifikowanego czy nie? Używany jest w obrębie jednego systemu i ma w nim pełnoprawne skutki, a do tego niezaprzeczalność i jednoznaczność. Podobnie działa profil zaufany nieszczęsnego ePUAPu. Podpisem kwalifikowanym nie jest, ale skutki ma.
Dużo bardziej sensowne byłoby używanie certyfikatu kwalifikowanego, ale z drugiej strony stosowanie powszechnego narzędzia do pracy w tak bardzo ważnym systemie jest mniej bezpieczne niż rozwiązanie dedykowane. Zresztą problem nie dotyczy zapewne samego certyfikowania, a współpracy całości opartej na javie, która jest zakałą systemów. Niebezpieczne, dziurawe, niewydajne i niewydolne, ale stosowane powszechnie, bo byle małpa nauczy się w tym programować.

Ja nie zauważyłem samoistnego podpisywania, a Kierowniczka by mnie poinformowała o czymś takim. Uznaję, że to u mnie nie wystąpiło.
Niemniej znając zachowanie Bagna uznaję też, że ten problem występuje i jest równie groźny jak zmiany podpisanych aktów.
 
2016-01-21 21:01:26
usc: Potwierdzam wszystkie zarzuty pod adresem bagna.
Na nasze uwagi nie ma żadnej pozytywnej reakcji ze strony COI. Zaznaczam jednocześnie, że żadnych czynności podejmowanych przez COI w kierunku naprawy systemu nie można określać mianem wsparcia użytkownika. Za bagno odpowiedzialne jest COI i jak do tej pory, to użytkownicy wspierają nieudolnych pracowników COI, a nie odwrotnie.

Przy okazji opisywania fałszowania aktów stanu cywilnego warto również zwrócić na fałszowanie danych w PESEL i RDO.
W przypadku PESEL fałszowanie danych odbywa się na dwa fronty. Z jednej strony fałszowanie (takie jak w BUSC) danych wprowadzonych na bieżąco, a z drugiej strony proces niszczenia przez bagno danych w rejestrze mieszkańców.
Od roku 1979 proces tworzenia rejestru PESEL, jego zasilania i prostowania odbywał się w jednym kierunku: z gminy za pośrednictwem województwa do rejestru centralnego.
Była to dobra zasada i powinna być kontynuowana, można było zmienić tylko to, aby dane z gminy przekazywane były bezpośrednio do rejestru centralnego.
Przed wdrożeniem Źródła samorządowcy alarmowali do COI, aby wzięli pod uwagę, że rejestr PESEL jest nieprawidłowy, i że baza centralna powinna zostać stworzona z baz gminnych i wojewódzkich. COI robi coś odwrotnego. Wyrównuje dane w pesel niszcząc rejestry mieszkańców w gminach. Niszcząc te rejestry, które są jedynym źródłem prawdziwych danych mieszkańców. Jeżeli Jantar - stary system PESEL zawierał błędne (albo nieaktualne) dane. to dane PESEL powinny być wyrównane do danych z rejestru mieszkańców. Jeżeli proces notorycznego niszczenia danych w rejestrach mieszkańców nie zostanie zatrzymany, to COI zniszczy ostatnie prawidłowe zapisy o mieszkańcach w Polsce.
 
2016-01-21 18:25:42
podpisywator: Polecam porównać cechy certyfikatów kwalifikowanych i niekwalifikowanych:
http://bitostrada.pl/index2.php?option=com_content&do_pdf=1&id=57

Źródło takie a nie inne, bo opracowuje różnice z ustawy w gotowej formie, można oczywiście poczytać ustawę i wyjdzie na to samo.

Widać jak na dłoni, że karty do Źródła pod względem technicznym są równie dobre, jak certyfikat kwalifikowany (którym zaś w myśl ustawy nie można byłoby się do systemu logować, tj. uwierzytelnić).

Odnośnie skutków prawnych - ciekawe czy istnieje taka umowa, o której mowa w podlinkowanym materiale. Jeśli tak, to zarzuty powyżej odnośnie "nieprawdziwego" podpisu nie mają racji bytu. Czyżby odezwało się lobby kartowe? :)

Błędy warto piętnować, ale trzymajmy się merytoryki.

Pozdrawiam
newsletter

TAGI

PARTNERZY 
  Związek Gmin Wiejskich     Związek Powiatów Polskich

KONTAKT
Polska Agencja Prasowa SA
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (+48 22) 509 22 22
Faks: (+48 22) 509 22 34
REDAKCJA SERWISU SAMORZĄDOWEGO PAP
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (22) 509 23 67
Faks: (22) 509 23 72, (22) 509 22 20
e-mail: samorzad@pap.pl
e-mail klubowy: klub@pap.pl
DZIAŁ SPRZEDAŻY I OBSŁUGI KLIENTA
Tel.: (22) 509 22 25
Faks: (22) 509 22 72
pap@pap.pl
PAP Copyright © PAP SA 2013 .
Redakcja  |  O portalu  |  Licencje  |  Polityka Prywatności  |  v 1.4.22