Category Archives: bip

ePUAP- fikcyjny urząd – rozwiązanie zagadki?

Słowo się rzekło, zapytanie do Ministerstwa Cyfryzacji wysłałem (Fri, 22 Apr 2016 01:12:54 +0100), otrzymałem również odpowiedź (Thu, 5 May 2016 09:58:15 +0000) – jak można policzyć, w ustawowym terminie.

O co pytałem?

  1. treść regulaminu lub równoważnego dokumentu regulującego prawa i obowiązki użytkowników (w tym administratorów) platformy ePUAP
  2. politykę bezpieczeństwa informacji
  3. informację który użytkownik utworzył na platformie ePUAP konto podmiotu “Jan Kowalski, 00-001 Poznań, Astrowa 21”
  4. informację, czy, kiedy i z jakim rezultatem wniosek o nadanie funkcjonalności podmiotu publicznego w/w podmiotowi został rozpatrzony przez MAiC
  5. informację, w jaki sposób na platformie ePUAP rejestrowany jest fakt oraz rezultat rozpatrzenia wniosku o nadanie funkcjonalności podmiotu publicznego
  6. jeżeli nie wynikało to z powyższych, wyjaśnienie jakie zabezpieczenia przed nieuatoryzowanym tworzeniem kont użytkowników, podmiotów oraz przed nieautoryzowanym (w tym niepopartym pozytywną decyzją Ministra) nadaniem funcjonalności podmiotu publicznego wdrożone są na platformie

Odpowiedź, jak P.T. czytelnicy mogą zobaczyć poniżej, nie jest wyczerpująca i z wdziękiem omija zagadnienie kto utworzył/autoryzował konto testowe podmiotu publicznego w środowisku produkcyjnym, oraz jakie zabezpieczenia przed nieautoryzowanym utworzeniem takiego podmiotu są wdrożone. Niemniej wdzięczny jestem za otrzymanie kopii Zarządzenia nr 14 Ministra Administracji i Cyfryzacji z dnia 12 września 2012 w sprawie Polityki Bezpieczeństwa elektronicznej platformy usług administracji publicznej z załącznikami, w tym rzeczoną Polityką Bezpieczeństwa epuap. Wdzięczny jestem tym bardziej, że w/w zarządzenia nie sposób znaleźć w Dzienniku Urzędowym Ministra Administracji i Cyfryzacji (jak również w Dzienniku Urzędowym Ministra Cyfryzacji). W trakcie moich poszukiwań ustaliłem, że dokument ten wydobył już prędzej nieoceniony Adam Dobrawy, który swoje perypetie opisuje w serwisie ochrona.jawne.info.pl. Można tam znaleźć również link do przedmiotowego dokumentu, ja dla zwiększenia dostępności udostępniam “moją” kopię również tutaj. Jest to skan dokumentu, wyszukiwanie tekstowe nie działa.

Poniżej treść odpowiedzi, którą otrzymałem:

RP-MC-BM-odpowiedz
Szanowny Panie,

w odpowiedzi na wniosek z dnia 22 kwietnia 2016 r. uprzejmie informuję, że prawa i obowiązki użytkowników platformy ePUAP reguluje Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. z 2014 r. poz. 584). Podmiot „Jan Kowalski” o identyfikatorze epuap_test1IP został założony na potrzeby odbiorów produktów (e-usług) w ramach projektu POKL. Sytuacja ta była wyjątkowa, że względu na całkowite wykorzystywanie środowiska testowego ePUAP, w chwili zakładania
konta epuap_test1IP, na potrzeby testów wdrożeniowych nowej odsłony ePUAP 2. Fakt posiadania przez podmiot funkcjonalności podmiotu publicznego na ePUAP jest przede wszystkim rozpoznawalny ze względu na możliwość wyszukania danego podmiotu w słowniku listy adresatów w usłudze pisma ogólnego do podmiotu publicznego. Dokładniej, już następnego dnia po nadaniu uprawnień możliwe jest wysłanie pisma do danego podmiotu i otrzymanie Urzędowego Poświadczenia Przedłożenia (UPP). Ponadto uprzejmie wyjaśniam, iż funkcjonalność podmiotu publicznego nadają wyłącznie osoby upoważnione przez Ministra Cyfryzacji, po weryfikacji danych z wniosku o nadanie funkcjonalności. Jednocześnie w załączeniu przesyłam obowiązujące zarządzenie w sprawie Polityki Bezpieczeństwa elektronicznej platformy usług administracji publicznej.

Lektura Polityki Bezpieczeństwa, która, po pobieżnym przejrzeniu, wydaje się być sensowna, być może zaoowocuje kolejnym “pogłębeniem tematu” z mojej strony, za co pracowników Ministerstwa z góry przepraszam, z drugiej strony mając nadzieję, że zadawane pytania oraz ewentualna krytyka odbierane są konstruktywnie, z pożytkiem dla wszystkich użytkowników platformy ePUAP.

ePUAP- fikcyjny urząd cd…

22 lutego 2016, zażywając uciech doczesnych w postaci przeczesywania platformy ePUAP w poszukiwaniu właściwej usługi i właściwego urzedu, natknąłem się na “podejrzany” podmiot o nazwie “Jan Kowalski”, z siedzibą w Poznaniu, przy ulicy Astrowej 21, kod pocztowy 00-001.

Podmiot ten istnieje do dziś:
ePUAP_Kowalski_2016-04-15

Znalezisko niezwłocznie zgłosiłem tego samego dnia korzystając z funkcji Zadaj pytanie / Zgłoś uwagę w systemie ePUAP, a już w piątek 26/02/2016 otrzymałem maila z następującą odpowiedzią:

Re: [Ticket#056902] Dane testowe w środowisku produkcyjnyn
Service-Desk. 26 February 2016 at 10:07
To: ######@#######
Szanowny(a) Panie(i)

Dziękuję za przekazanie spostrzeżeń. Faktycznie mogą występować konta, gdzie osobom fizycznym zostaną nadane uprawnienia podmiotu publicznego.

Pozdrawiam
##################
Zespół Service Desk
Centrum Cyfrowej Administracji.

Oszczędzając słowa, rzekłbym, że odpowiedź nie wyczerpuje tematu. Problem z tym “podmiotem” na platformie ePUAP jest taki, że

  • nazwa tego podmiotu to, w powszechnym przekonaniu, najbardziej popularne imię i nazwisko w Polsce, czyli metonim przeciętnego obywatela Polski.
  • kod pocztowy jest nieprawidłowy dla siedziby podmiotu (Poznań):
    Poczta_Polska_kod_00-001_2016-04-15
  • Adres również wygląda na nieprawidłowy (nie ma numeru 21 przy Astrowej w Poznaniu):
    geoportal_Astrowa_Poznan_2016-04-15

Mając na względzie przepisy rozporządzenia Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej do głowy przychodzi co najmniej kilka pytań…

§ 4. 1. Założenie konta dla podmiotu jest dokonywane przez użytkownika zarejestrowanego działającego w imieniu podmiotu i wymaga podania:
1) nazwy podmiotu;
2) identyfikatora podmiotu.
2. Użytkownik zarejestrowany, zakładając konto dla podmiotu, staje się administratorem podmiotu.
3. Identyfikator użytkownika i identyfikator podmiotu są wybierane przez użytkownika. Raz nadany identyfikator nie może być nadany ponownie.
4. W przypadku zmiany danych, o których mowa w ust. 1 pkt 1, użytkownik zarejestrowany działający w imieniu podmiotu powinien niezwłocznie dokonać ich zmiany w profilu podmiotu.
5. Konto podmiotu może usunąć administrator tego podmiotu albo minister na wniosek podmiotu.
§ 5. 1. Podmiot publiczny występuje do ministra z wnioskiem o nadanie funkcjonalności podmiotu publicznego na ePUAP.

2. Wniosek, o którym mowa w ust. 1, zawiera:
1) oznaczenie podmiotu publicznego;
2) imię i nazwisko osoby upoważnionej do reprezentacji podmiotu publicznego wraz z podaniem funkcji lub stanowiska;
3) dane administratora podmiotu.
3. Funkcjonalność podmiotu publicznego na ePUAP staje się dostępna po pozytywnym rozpatrzeniu wniosku przez ministra.

Pytania prześlę do Ministerstwa.

www.gitd.gov.pl – serwer dedykowany w OVH

Informacja publiczna uzyskana w dniu 16.02.2015, w odpowiedzi na wniosek z dnia 15.02.2015 skierowany do Głównego Inspektoratu Transportu Drogowego. Zgodnie z duchem art. 13 ust. 1 ustawy – czyli bez zbędnej zwłoki.  Interesowały mnie tryb i kryteria wyboru dostawcy usługi hostingowej wykorzystywanej do utrzymania strony internetowej http://www.gitd.gov.pl/ a także treść, wartość oraz okres obowiązywania umowy na tę usługę.

Treść odpowiedzi:

GITD-odpowiedz-2015-02-16

Wspomniany w odpowiedzi Regulamin Zamówień Publicznych, w obecnym brzmieniu ustalony został zarządzeniem nr 10/2015 Głównego Inspektora Transportu Drogowego, które jest dostępne online.

Szczególnie zainteresowało mnie stwierdzenie:

Nie zawierano umowy – jest to standardowa usługa dzierżawy serwerów dedykowanych w fimie OVH Sp. z. o.

Pani Kobylska twierdzi, że GITD zawarł umowę dzierżawy nie zawierając umowy, a jednocześnie płaci za tę (bezumowną) dzierżawę 7679 złotych i 88 groszy rocznie. Intrygujące.

Na końcu pojawiają się formułki dotyczące mojej odpowiedzialności za błąd nadawcy, a także ochrony środowiska naturalnego – czyli Corporate email bullshit.

Zastanawia mnie, który podmiot w tym układzie biznesowym, z “bezumowną” dzierżawą w tle, dba o to, aby przedmiotowy serwer i informacje na nim przetwarzane były objęte oddziaływaniem systemu zarządzania bezpieczeństwem informacji, o którym mowa w § 20 Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Kto dba o zapewnienie dostępności informacji – na przyklad przyłączając serwer z użyciem nadmiarowych łącz do Internetu i chroniąc serwer fizycznie, przed celową bądź przypadkową manipulacją jego stanem. Zgaduję, że GITD nie oddelegowało pracowników do Roubaix w tym celu. Zapewne dba o to dostawca, tylko GITD o tym nie wie…

Oprogramowanie serwera również cierpi na  parę bolączek, ale to temat na osobne zapytanie o dostęp do informacji publicznej:

GITD-reverse-proxy-176.31.238.14.png

Dostawa urządzenia firewall – Sąd Okręgowy w Warszawie [ZP/OI/54/12]

Informacja publiczna uzyskana w dniu 11.12.2014 w odpowiedzi na wniosek z dnia 28.11.2014. Zapytanie dotyczyło zamówienia publicznego pod tytułem:
“Upgrade urządzenia firewall Fortigate FG-620B, dostawa urządzenia firewall Fortigate FG-300C oraz urządzenia firewall Fortigate FG-200B wraz z aktualnymi oprogramowaniami i konfiguracją, a także aktualizacja oprogramowania w urządzeniu FortiAnalizer 1000C wraz konfiguracją, wsparcie techniczne oraz szkolenie z obsługi przedmiotowych urządzeń”

Zamawiający: Sąd Okręgowy w Warszawie

Treść odpowiedzi:

SO-ado 065-1182_14

Załączniki do odpowiedzi na zapytanie:

SOWAW-image2014-12-11-145437
SOWAW-image2014-12-11-145906
SOWAW-image2014-12-11-150341
SOWAW-image2014-12-11-151020
SOWAW-image2014-12-11-151207

Dostawa zapór sieciowych – Urząd Patentowy RP [BG-II/211/28/2014]

Informacja publiczna uzyskana w dniu 08.12.2014 w odpowiedzi na wniosek z dnia 28.11.2014. Zapytanie dotyczyło zamówienia publicznego pod tytułem:
“Dostawa zapór sieciowych typu Edge Firewall i Internal Firewall wraz z instalacją i konfiguracją”

Zamawiający: Urząd Patentowy RP

Treść odpowiedzi:

UPRP-BG-II_211_28_2014

Załączniki do odpowiedzi na zapytanie:

UPRP-300004-2014
UPRP-SIWZ_08
UPRP-MONOLIT

Dostawa urządzeń do ochrony sieci – Krajowe Biuro Wyborcze [ZP-3710-23/14]

Informacja publiczna uzyskana w dniu 28.11.2014 w odpowiedzi na wniosek z dnia 27.11.2014. Zapytanie dotyczyło zamówienia publicznego pod tytułem:
“Zakup, dostawa i wdrożenie 50 urządzeń do ochrony sieci z systemem do centralnego zarządzania dla Krajowego Biura Wyborczego i delegatur Krajowego Biura Wyborczego”

Zamawiający: Krajowe Biuro Wyborcze

Treść odpowiedzi:

KBW-ZP-3710-23_14

Dokumenty dostępne pod adresem http://pkw.gov.pl/zamowienia-publiczne/zakup-dostawa-i-wdrozenie-50-urzadzen-do-ochrony-sieci-z-systemem-do-centralnego-zarzadzania-dla-krajowego-biura-wyborczego-i-delegatur-krajowego-biura-wyborczego.html w dniu 18.02.2015:

ZP-3710-23-14zawiadomienie o wyborze najkorzystniejszej oferty
ZP-3710-23-14zawiadomienie o poprawieniu oczywistej omyłki rach

SIWZ_23_14 – AK

Załącznik do odpowiedzi na zapytanie:

SKMBT_C45214112814130-oferta na UTM-y

RE-BIP czyli publikuję nieopublikowaną informację publiczną

Z racji swoich zawodowych (ale nie tylko) zainteresowań, wiedziony naturą badacza, awanturnika, ale też obywatela, sięgam czasem po informację publiczną. Ukłony w stronę p. Piotra Waglowskiego (VaGla), który wielokrotnie w swoim serwisie pokazywał zarówno ułomności i niedostatki  obowiązującego prawa w zakresie dostępu do informacji publicznej, jak też istniejące w obecnym stanie prawnym możliwości. Tworzę więc kategorię RE-BIP – w której postaram się publikować wszelkie pozyskane w drodze zapytania o dostęp do informacji publicznej informacje o sprawach publicznych. bip.gov.plWyręczam w ten sposób dysponentów tych informacji, którzy zamiast wysyłać mi odpowiedź pocztą elektroniczną powinni1 mogliby opublikować ją w Biuletynie Informacji Publicznej. Na początek opublikowałem trzy otrzymane w 2014 roku odpowiedzi – które były merytorycznie poprawne i dostarczyły mi informacji, o które zabiegałem, ale ich forma pozostawia wiele do życzenia – zapraszam do sprawdzenia.

1 Niestety tylko mogliby, za sprawą art. 8 ust. 3 Ustawy o dostępie do informacji publicznej:

Podmioty,  o  których  mowa  w  art.  4  ust.  1  i  2,  obowiązane  są  do udostępniania w Biuletynie Informacji Publicznej informacji publicznych, o których mowa w art. 6 ust. 1 pkt 1–3, pkt 4 lit. a tiret drugie, lit. c i d i pkt 5. Podmioty, o których  mowa  w  zdaniu  pierwszym,  mogą  udostępniać  w  Biuletynie  Informacji Publicznej również inne informacje publiczne.