Zapowiedź chaosu w ZUS?
Jak grom z jasnego nieba pojawiła się informacja o tym, że program Płatnik do ZUS nie autoryzuje kwalifikowanych certyfikatów.
Na stronie serwisu ipsec.pl pojawiła się informacja o tym, że nowa wersja programu Płatnik w żaden sposób nie autoryzuje certyfikatu kwalifikowanego płatnika, wysyłającego dokumenty do ZUS.
Oznacza to mniej więcej tyle, że od teraz każdy właściciel certyfikatu kwalifikowanego używając tej wersji Płatnika może złożyć za dowolny podmiot deklarację do ZUS.
Wyobraźmy sobie, że użytkownik 1 jakiegoś sklepu zamówił (podając dane użytkownika 2) komputer. Przy czym sklep w takiej sytuacji zobowiązuje do płatności użytkownika 2, ale odpowiedzialność za złożone zamówienie ponosi użytkownik 1. Sprzedawca oczekuje zapłaty od użytkownika 2, który nawet nie wie, że w jego imieniu użytkownik 1 złożył zamówienie. Za jakiś czas zaczynają się telefony, maile (przy czym w polu certyfikatu kwalifikowanego, które jest przeznaczone dla maila może być cokolwiek, bo to pole nie jest weryfikowane przez Centra Certyfikacji przy wydaniu certyfikatu).
Wśród możliwych scenariuszy można również wyobrazić sobie namówienie kogoś na zakup certyfikatu kwalifikowanego w jednym z centrów certyfikacji, by podpisać się nim przy wysyłce dokumentów za DOWOLNĄ ILOŚĆ firm.
Z technicznego punktu widzenia wynika (jeżeli rzeczywiście ZUS nie weryfikuje złożonych deklaracji pod względem źródła ich pochodzenia i powiązania źródła z treścią), że podpisując certyfikatem osoby A, możemy wysłać do ZUS deklaracje firmy zarówno A, jak i B lub nawet C.
Powstaje pytanie – czy to jest błąd w tej, najnowszej wersji Płatnika, czy też błędne założenia doprowadziły do takiego stanu rzeczy? Raczej to drugie. Po prostu ktoś odpowiedzialny za wprowadzenie kwalifikowanych certyfikatów do złożenia deklaracji do ZUS nie pomyślał, że system może pozwalać na tak liczne przekręty, związane z podszywaniem się pod inną firmę.
Podstawowym błędem w założeniach mógł być brak rozróżnienia dwóch podstawowych zagadnień bezpieczeństwa: Uwierzytelnianie (autentykacja) i Autoryzacja.
Uwierzytelnianie (autentykacja) służy tylko dla potwierdzenia tożsamości użytkownika, tak jak jest to w przypadku dokumentów tożsamości, i do tego może się przydać certyfikat kwalifikowany, dowód czy paszport.
Autoryzacja to proces sprawdzenia uprawnień do dowolnych czynności na podstawie wyniku Autentyfikacji, tak jak jest to z kategoriami na prawach jazdy, wizami w paszporcie, uprawnieniami użytkownika w systemach informatycznych.
Właśnie autoryzacji brakuje w Płatniku, przy czym autoryzacja nie może polegać na uprawnieniach zapisanych w certyfikacie przynajmniej z uwagi na koszt certyfikatu (nie da się do niego dopisywać kolejnych pól), proces jego wystawienia i możliwą częstą zmianę danych (w przypadku biur rachunkowych obsługujących firmy). W przypadku prawa jazdy kategoria zmienia się rzadko lub wcale, natomiast numery rejestracyjne samochodu nie są umieszczane w innym dokumencie. Dlatego podczas kontroli pokazujemy dwa dokumenty: prawo jazdy i dowód rejestracyjny, a nie dowód osobisty. Analogicznie jeżeli przyjąć logikę ZUS można przypuszczać, że podczas jazdy samochodem wystarczy mieć dowód osobisty, bo przecież wiemy, że nieupoważnione korzystanie z samochodu będzie karalne, a dowód zapewnia Autoryzację.
Najlepszym wyjściem w takiej sytuacji jest przejęcie doświadczenia autoryzacji, związanej z systemem e-Deklaracje. Za wzór można też wziąć sposób przejścia na e-faktury w TP – w obu tych przypadkach najpierw musimy złożyć PISEMNE oświadczenie o chęci składania deklaracji/otrzymywania e-faktur. Stosowanie pisemnej formy może nie być zachęcające, ale bezpieczeństwo takiej formy jest zdecydowanie wyższe. Taka hybryda papierowo-elektroniczna z pewnością jest bezpieczna.
Cała dyskusja na ten temat odbywa się na ipsec.pl – my tylko zobrazowaliśmy problem. Nasze odpowiedzi już się tam pojawiają, więc na chwilę obecną zapraszamy do tegoż serwisu.
