Referencyjny projekt

Bezpieczeństwo systemu i koncepcja e-ID

Na podstawie doświadczeń przy budowie analogicznego systemu w Austrii można z pewnością stwierdzić, że również w Polsce z czasem liczba zintegrowanych rejestrów wzrośnie do kilkunastu. W związku z tym często podnoszone przez media zarzuty dotyczące braku wystarczającej ochrony przechowywanych danych osobowych nie są bezpodstawne. Najpoważniejszym uchybieniem odebranej w grudniu 2007 r. architektury systemu jest korzystanie z numeru PESEL jako identyfikatora rekordu.

PESEL 2 powinien opierać się na koncepcji e-ID, elektronicznym identyfikatorze użytkownika. Zasadniczym założeniem koncepcji e-ID jest z jednej strony ścisła kontrola dostępu do danych osobowych, z drugiej zaś zapewnienie pełnej dostępności uprawnionym podmiotom. Wdrożone e-ID w Austrii zakłada, że poszczególne jednostki administracji państwowej (np. Ministerstwo Finansów, Zdrowia, NFZ) nie indeksują rekordów osobowych po numerach "PESEL", ale wg identyfikatorów przydzielonych przez centralny urząd, mający w swoich kompetencjach kontrolę dostępu do danych osobowych - w naszym przypadku jest to Główny Inspektorat Danych Osobowych (GIODO). Obywatel w każdym z rejestrów państwowych ma przydzielony inny numer identyfikacyjny.

W przypadku realizacji procesu administracyjnego (np. zameldowanie) wymagającego pobrania danych z innych rejestrów należy w pierwszej kolejności wykonać zapytanie o właściwy identyfikator obywatela w danej instytucji do bazy GIODO. Zapytania tego typu są szczegółowo rejestrowane, możliwe jest więc sporządzenie raportów dostępu do danych osobowych - kto, kiedy, w czyim imieniu i w ramach jakiej procedury miał dostęp do jakich danych osobowych. Umożliwia to również implementację scentralizowanych polityk bezpieczeństwa. Ponadto sposób ten zabezpieczyłby dostęp do danych obywateli, uniemożliwiając jednorazowe pobranie wszystkich informacji o osobie (znajdujących się w różnych podsystemach). Jednocześnie dałby możliwość elektronicznej implementacji procesów wymagających wymiany danych pomiędzy wieloma instytucjami.

Paweł Bielesz pracuje w Biurze Projektu PESEL2, od lipca do listopada 2007 był kierownikiem projektu.

Co zrobić, aby stworzyć nowoczesną e-administrację?

W najbliższych latach zapowiada się spokój na scenie politycznej. Sprzyja to realizacji dużych przedsięwzięć, jakimi z pewnością są projekty Planu Informatyzacji Państwa. Planując kolejne projekty, nie można popełnić tych samych błędów co przy PESEL 2. Przypomnę, że prace nad PESEL 2 rozpoczęły się w 2003 r. W wyniku tych prac podpisano umowę w połowie 2005 r. Dopiero po roku powołano biuro projektu, a konsultanta wyłoniono 10 miesięcy później, pozostawiając jedynie rok na zaplanowanie i wykonanie systemu. Rodzi to uzasadnione obawy, że w przypadku braku podjęcia należytych starań podczas planowania kolejnych przedsięwzięć skutki mogą być analogiczne jak przy Projekcie PESEL 2.

Projekt PESEL 2 stanowi ważny element struktury informacyjnej państwa. Jest niejako fundamentem dla kolejnych przedsięwzięć, takich jak PL_id. W założeniu będzie rejestrem nadrzędnym, z którego wszystkie pozostałe systemy będą korzystać. Istnieje obawa, że Projekt w obecnym kształcie nie spełni tych założeń. W związku z powyższym planowane jest przeniesienie wszystkich niezrealizowanych zadań do kolejnego projektu, jakim jest PL_id.

Takie przesuwanie zadań pomiędzy projektami nie jest dobrym rozwiązaniem, ponieważ sprawia, że zakres przedsięwzięcia staje się mniej klarowny i zbyt ogólnikowy. Ponadto, w ramach jednego projektu realizowane będą zadania w żaden sposób ze sobą niezwiązane, np. integracja systemów lokalnych z wydawaniem nowego dowodu biometrycznego.

Każdy z projektów powinien mieć ściśle określony cel. Przenoszenie zadań pomiędzy projektami spowoduje, że tych celów będzie przynajmniej kilka. Co więcej, złożone problemy po rozbiciu na elementy składowe są łatwiejsze do wykonania, rozliczenia i zakończenia w założonym czasie i budżecie. Jedynym rozwiązaniem w tym przypadku wydaje się uruchomienie nowego projektu, mającego na celu integrację rejestrów na poziomie lokalnym oraz stworzenie systemu łączności gmin ze szczeblem centralnym. Realizacja tych zadań jest podstawą budowy referencyjnej bazy centralnej, stanowiącej fundament nowoczesnej e-administracji.


TOP 200