ZUS odtajni Płatnika?

Rzecznik ZUS zadeklarował, że od połowy 2007 r. Kompleksowy System Informatyczny ZUS (KSI ZUS) będzie przyjmował deklaracje z dowolnego systemu operacyjnego. Specyfikacja formatu dokumentów (KSI) jest jawna i dostępna na stronach ZUS - są to pliki XML o odpowiedniej strukturze.

Rzecznik ZUS zadeklarował, że od połowy 2007 r. Kompleksowy System Informatyczny ZUS (KSI ZUS) będzie przyjmował deklaracje z dowolnego systemu operacyjnego. Specyfikacja formatu dokumentów (KSI) jest jawna i dostępna na stronach ZUS - są to pliki XML o odpowiedniej strukturze.

Nic więc nie stoi na przeszkodzie, aby dowolny system finansowo-księgowy sam je generował i wysyłał do ZUS bez konieczności instalowania dostarczonego przez ZUS programu Płatnik pracującego wyłącznie na Windows. Niestety, nie jest to możliwe, bo wciąż tajna jest specyfikacja KSI MAIL, protokołu używanego do transmisji plików KSI do ZUS. W tej kwestii wrocławski przedsiębiorca Sergiusz Pawłowicz od 2002 r. prowadzi sprawę sądową przeciwko ZUS. Sprawa nie została zakończona po dziś dzień. W czasie kilkuletniej wymiany pism, ZUS posługiwał się absurdalną argumentacją. Początkowo ZUS i Prokom, który jest wykonawcą projektu, zrzucały na siebie wzajemnie odpowiedzialność, twierdząc, że nie są właścicielami specyfikacji KSI MAIL, nie wiedzą kto może ją mieć lub nie wiedzą, jak szyfrowane są dane w KSI MAIL. Innymi słowy, za pieniądze podatników otrzymaliśmy system, który - jeśli czytać dosłownie słowa ZUS - nie wiadomo do kogo należy. Kuriozalnej odpowiedzi udzieliło wkrótce potem GIODO, które uzasadniło odmowę ZUS tym, że ujawnienie szczegółów wykorzystanego szyfru mogłoby... narazić go na złamanie.

Wkrótce potem programiści Piotr Kołodziej i Paweł Hikiert metodą prób i błędów ustalili, że KSI MAIL opiera się na typowych operacjach kryptograficznych, takich jak podpis RSA i szyfrowanie algorytmem 3DES. W niektórych wersjach KSI MAIL szyfrowanie było prawdopodobnie realizowane nieco krótszym kluczem (112 bitów) niż standardowo dla 3DES (168 bitów), ale nie ma to znaczącego wpływu na bezpieczeństwo. Po ujawnieniu specyfikacji autor zadał ZUS retoryczne pytanie: "Co zatem było tutaj do ukrycia, proszę państwa?".

Jak się okazuje problem, który starał się ukryć ZUS, mógł być o wiele poważniejszy niż tylko szyfrowanie. Według jednego ze specjalistów od bezpieczeństwa, w istniejącym wówczas systemie KSI ZUS obliczaniem należnej składki oraz weryfikacją wyniku zajmowało się oprogramowanie tylko po stronie klienta, czyli Płatnik. Mogą o tym świadczyć częste aktualizacje programu, zwłaszcza po każdej zmianie w sposobie naliczania składek. Gdyby tak działał system informatyczny ZUS, to wystarczyłoby tylko udostępnić polskim informatykom interfejs (KSI i KSI MAIL), a ci mogliby tworzyć własne moduły do wysyłania danych do ZUS. Istnieje jednak ryzyko, że co sprytniejsze firmy mogłyby deklarować mniejsze składki niż powinny płacić w rzeczywistości.


TOP 200