System informatyczny ZUS, poza opóźnieniami przekazywania składek oraz niezwykle wysokimi kosztami budowy i utrzymania, budzi również wiele kontrowersji związanych z techniczną stroną przedsięwzięcia. Największa z nich to zamknięty format wysyłania danych do systemu.

Niejawna specyfikacja

Specyfikacja formatu dokumentów (KSI) jest jawna i dostępna na stronach ZUS - są to pliki XML o odpowiedniej strukturze. Nic właściwie nie stoi więc na przeszkodzie, by dowolny system finansowo-księgowy (pod Windows, pod Linuksa, Maca czy jakikolwiek inny system) sam generował te pliki i wysyłał je do ZUS bez konieczności instalowania dostarczonego przez ZUS programu Płatnik. Jest on co prawda darmowy, ale po pierwsze nie integruje się z już działającym w firmie systemem F-K, a po drugie wymaga zakupu Windows, jeśli firma go nie ma.

Niestety, nie jest to w praktyce możliwe. Specyfikacja KSI jest jawna, ale za to tajna jest specyfikacja KSI MAIL, czyli protokołu używanego do transmiji plików KSI do ZUS. Czyli możemy je sobie wygenerować, ale wysłać do ZUS - już nie.

Dlaczego tak jest? Nie wiadomo. W tej kwestii kolejni rzecznicy ZUS bardzo kręcili. Wrocławski przedsiębiorca Sergiusz Pawłowicz od 2002 roku prowadzi sprawę sądową przeciwko ZUS, podczas której chciał po prostu uzyskać specyfikację KSI MAIL. Sprawa nie została zakończona po dziś dzień (w 2005 roku sąd nie wyznaczył żadnego terminu).

Walka o KSI MAIL

W czasie kilkuletniej wymiany pism ZUS posługiwał się absurdalną argumentacją, kilkukrotnie przecząc sam sobie. Początkowo ZUS i Prokom, który jest wykonawcą projektu, przerzucały się odpowiedzialnością, twierdząc, że nie są właścicielami specyfikacji KSI MAIL, nie wiedzą kto może ją mieć lub nie wiedzą jak szyfrowane są dane w KSI MAIL.

Innymi słowy, za pieniądze podatników otrzymaliśmy system, który - jeśli czytać dosłownie słowa ZUS - nie wiadomo do kogo należy.

Kuriozalnej odpowiedzi udzieliło wkrótce potem GIODO, które uzasadniło odmowę ZUS tym, że ujawnienie szczegółów wykorzystanego szyfru mogłoby... narazić go na złamanie - co przeczy jednej z podstawowych zasad kryptografii, zasadzie Kerckhoffsa.

Wielki sekret ujawniony

Wkrótce potem, w 2003 roku, programiści Piotr Kołodziej i Paweł Hikiert metodą prób i błędów ustalili, że KSI MAIL opiera się o typowe operacje kryptograficzne takie jak podpis RSA i szyfrowanie algorytmem 3DES. W niektórych wersjach KSI MAIL szyfrowanie było prawdopodobnie realizowanie nieco krótszym kluczem (112 bitów) niż standardowo dla 3DES (168 bitów), ale nie ma to znaczącego wpływu na bezpieczeństwo. Po ujawnieniu specyfikacji autor zadał ZUS retoryczne pytanie "co zatem było tutaj do ukrycia, proszę państwa?"

Co naprawdę ukrywa ZUS?

Jak powiedział Computerworld Security jeden z niezależnych specjalistów od bezpieczeństwa, również zaangażowanych swego czasu w analizę KSI MAIL, problem który starał się ukryć ZUS mógł być o wiele poważniejszy niż tylko szyfrowanie.

Według niego w istniejącym wówczas systemie informatycznym ZUS obliczaniem należnej składki oraz weryfikacją wyniku zajmowało się oprogramowanie tylko po stronie klienta czyli Płatnik. Mogą o tym również świadczyć częste aktualizacje programu, zwłaszcza po każdej zmianie w sposobie naliczania składek.

Jest to oczywiście sprzeczne z zasadami budowy bezpiecznych systemów przetwarzania danych - to tak jakbyśmy zlecając przelew bankowy przez Internet sami deklarowali... ile mamy na koncie. W poprawnie zbudowanym systemie klient deklaruje pewne wielkości, do których deklarowania jest uprawniony (wartość przelewu), natomiast same obliczenia i weryfikację wyników prowadzi serwer, który reaguje w razie błędu (przelew większy niż środki na koncie).

Gdyby tak działał system informatyczny ZUS, to wystarczyłoby tylko udostępnić polskim informatykom interfejs (KSI i KSI MAIL), a ci mogliby tworzyć własne moduły do wysyłania danych do ZUS ze swojego oprogramowania. Jakie jest ryzyko w modelu według którego być może działa obecnie ZUS? Głównie takie, że co sprytniejsze podmioty mogą deklarować mniejsze składki niż powinny płacić w rzeczywistości i w ten sposób oszczędzać kosztem innych podatników.

Czy system informatyczny ZUS nadal działa w ten sposób? Trudno powiedzieć, bo przez kolejne ekipy rządzące był traktowany jak święta krowa - a przez część firm informatycznych jak krowa dojna. Fakt, że ZUS zaczyna mówić o zmianach może sugerować, że ktoś w końcu zauważył problem...