Datové schránky měly technickou závadu: několik hodin používaly již expirovaný certifikát
Na zapomenutou obměnu certifikátů během pravidelné odstávky doplatilo několik desítek tisíc datových zpráv. Nebyly opatřeny platnou elektronickou značkou MV ČR. Dá se to nějak dodatečně napravit?
Minulý týden se někteří uživatelé datových schránek mohli pořádně divit: začaly jim přicházet datové zprávy, které nebyly opatřeny platnou uznávanou elektronickou značkou Ministerstva vnitra ČR, coby správce celého systému datových schránek. Ten přidává svou značku na každou přenesenou datovou zprávu, čímž vyjadřuje (a ručí za to), že se jeho systém (informační systém datových schránek, zkratkou ISDS) chová jako řádný přepravce – že co dostal k přenesení, to také přenesl, a na přenášeném obsahu nic nezměnil. Podobně, jako když v kamenném světě kurýr zalepí a podepíše obálku, ve které má přenést svěřené dokumenty.
Celou dobu provozu datových schránek to vnitro takto dělalo – až do středy minulého týdne. To najednou začaly některým příjemcům přicházet datové zprávy, které sice byly opatřeny elektronickou značkou MV ČR, ale nikoli takovou, která by se dala vyhodnotit jako platná. Důvod byl vcelku banální: někdo (kdo to měl na starosti) nestihl včas vyměnit „starý“ systémový certifikát za „nový“. A tak se „starý“ certifikát používal i poté, co mu již skončila jeho řádná platnost (ve středu 5.11.2014, ve 13:54:02), a používat se již nesměl.
Problém je v tom, že certifikáty lze používat vždy jen po dobu jejich řádné platnosti, a ani o sekundu déle (nebo naopak dříve). Protože mimo tuto dobu již vydavatel certifikátu neručí za to, co je v něm uvedeno. Včetně údaje o tom, kam je třeba se podívat, zda certifikát nebyl revokován (předčasně zneplatněn). A bez toho – již z principu – není možné, aby elektronická značka byla vyhodnocena jako platná.
Běžný uživatel si použití již expirovaného certifikátu nemusel hned všimnout. Ale tam, kde mají elektronické podatelny, které průběžně stahují obsah datových schránek a následně vyhodnocují jak samotný obsah těchto zpráv, tak i neporušenost jeho obálky (platnost značky na datové zprávě), to muselo způsobit okamžitý poplach. Protože něco, co dosud spolehlivě fungovalo a bylo bráno jako samozřejmost (že ISDS „funguje tak, jak má“), najednou přestalo platit. A nejspíše nikdo nebyl na takovouto situaci dopředu připraven.
Třeba v justici tamní elektronická podatelna zcela automaticky ověřuje platnost podpisů a značek jak na jednotlivých dokumentech uvnitř datové zprávy, tak i platnost značky na samotné datové zprávě (vlastně: obálce přenášených dokumentů). A najednou musela podatelna na svých výpisech (tzv. záznamech o ověření elektronického podání doručeného na elektronickou podatelnu) konstatovat, že ISDS nefunguje tak, jak má. Že platnost značky na obálce (datové zprávě) nelze ověřit:
Na předchozím obrázku si můžeme zrekapitulovat podstatu problému: datová zpráva je opatřena platným časovým razítkem, které se přidává (stejně jako samotná značka MV ČR) v okamžiku stahování datové zprávy příjemce (zde: jeho podatelnou). Platné časové razítko nese datum 5.11.2014, 15:12:06, což by mělo znamenat, že těsně předtím byla ke zprávě připojena i samotná elektronické značka. Ale to už bylo v době, kdy příslušnému certifikátu skončila řádná doba jeho platnosti. Proto podatelna správně konstatovala, že certifikát je neplatný – a že značku na datové zprávě nelze ověřit.
Nechme raději stranou, že podatelna zde zřejmě postupovala chybně: platnost značky MV ČR měla ověřovat k času časového razítka. Správně se tedy měla ptát, zda certifikát byl platný v okamžiku přidání časového razítka (5.11.2014, 15:12:06, což nebyl). Ona ale ověřovala platnost k pozdějšímu času (následujícího dne, 6.11.2014, viz nejspodnější řádek). To by ovlivnilo výsledek ověření v případě, pokud by časové razítko bylo přidáno ještě před expirací certifikátu. Zde ale tato chyba výsledek neovlivnila.
Co na to říká vnitro?
O stanovisko k popsanému problému jsem požádal přímo Ministerstvo vnitra ČR. Spolu s dotazem na počet datových zpráv, kterých se problém týká, a na doporučené řešení pro ty, kteří dostali datové zprávy bez platné značky.
Odpověď byla zveřejněna i na informačním webu datových schránek. Kromě informace, že:
Chyba postihla několik desítek tisíc datových zpráv a doručenek.
Odpovědi rozumím tak, že chyba se stala při poslední pravidelné odstávce, kdy na jednom místě nedošlo k výměně „starého“ certifikátu za nový. Konkrétně na jednom či několika serverech, používaných pro potřeby přístupu k datovým schránkám přes rozhraní webových služeb (které využívají právě nejrůznější podatelny, spisovky a další aplikace). Naopak na serverech, používaných pro přístup k datovým schránkám skrze běžné webové rozhraní (pomocí webového prohlížeče) problém nenastal, protože zde k výměně certifikátů došlo včas. To mohu potvrdit z vlastní zkušenosti.
K nápravě došlo za cca 20 hodin. Vzhledem k tomu, že denně se podle statistik přenese něco kolem 180 tisíc datových zpráv, měly by problémem být postiženy (velmi hrubým odhadem) nějaké desítky procent všech datových zpráv, přenesených v inkriminované době (a nikoli třeba jen jednotky procent).
Jaké jsou praktické důsledky?
Než se pustíme do diskuse nad tím, zda jde popsaný problém nějak napravit, se zkusme zastavit u toho, o jak závažnou věc vlastně jde.
Zajímavé je, že po celou dobu fungování datových schránek Ministerstvo vnitra připojuje k jednotlivým datovým zprávám svou uznávanou elektronickou značku – ale zákon (konkrétně zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi) mu to explicitně neukládá. To by mu přikázala (a současně mu k tomu dala explicitní zmocnění) až chystaná novela, která si tohoto aspektu všimla (po více 5 letech od spuštění datových schránek) a chce jej napravit. Ale tato novela zatím není ještě ani ve veřejném připomínkovém řízení.
Takže striktně vzato popisovaný problém nemůže představovat porušení zákona. Přesněji: pokud jde o datové zprávy. Jinak je tomu ale u dodejek a doručenek, protože zde zákon ve svém §20 již ministerstvu vnitra ukládá povinnost značku přidávat. Pochopitelně: platnou značku. A podle výše citovaného vyjádření samotného MV ČR se celý problém týkal i dodejek a doručenek.
Problém je ale také praktický: uznávaná elektronická značka MV ČR na datové zprávě, i na dodejkách a doručenkách, vyjadřuje jejich autentičnost. V tom smyslu, že daná zpráva prošla skrze systém datových schránek, a nebyla změněna. A činí tak přímo – způsobem, který by měl být dostatečně průkazný a o kterém se může přesvědčit kdokoli, kdo je schopen platnost značky ověřit.
Autenticita a neporušenost konkrétní datové zprávy se však dá ověřit i jinak. Třeba přes samotný informační systém datových schránek, kterému jeho uživatelé mohou datovou zprávu dodatečně „předložit“, a on jim vykreslí zelenou fajfku v případě, že zprávu „pozná“ a pamatuje si ji (nikoli podle obsahu, ale podle nezveřejněných pravidel, na základě různých otisků a dalších parametrů). Jinak vykreslí červený křížek (viz obrázek).
Jenže: argumentujte někde takovouto zelenou fajfkou, která není „ukotvena“ v žádných právních předpisech, a o které si můžete pořídit záznam leda tak formou screenshotu z obrazovky.
V praxi přitom může být důležité, zda jste schopni prokázat, že něco konkrétního někdy prošlo skrze datové schránky. A zda je to skutečně „to“, co někomu předkládáte (zda to nebylo nějak pozměněno). Třeba při sporu o dodržení nějaké lhůty, o doručení apod. Zde tedy může popisovaný problém sehrát svou roli (i když asi více na dodejkách a doručenkách, než na samotných datových zprávách).
Na druhou stranu by neměl být problém s použitelností samotných dokumentů, které byly přepraveny z místa na místo pomocí datové zprávy bez platné značky MV ČR. Autenticita těchto dokumentů by neměla být odvozována od jejich transportu, ale od nich samotných. Stejně jako v listinném světě trváme na tom, aby řádně podepsány byly smluvní dokumenty jako takové - a nikoli obálka, ve které jsou nám doručeny (a kterou většinou zahodíme a dále neuchováváme).
Problém ale může být s nastavením různých procesů, probíhajících automaticky, a na ně navazujících úředních postupů. Třeba když podatelna automaticky vyhodnocuje platnost značky na obálce (datové zprávě) a další postup počítá s tím, že značka je vyhodnocena jako platná. Jistě, nějak se to dá (a musí) řešit. Ale je to pracné, zdlouhavé, a hlavně se přitom musí dávat o to větší pozor na to, co je příčinou problému – zda jen „technická závada“ na straně systému datových schránek, nebo zda jde o nějaký podvod, podvrh atd.
Jak to napravit?
Pojďme nyní již k tomu, zda lze popisovaný problém nějak napravit: má-li někdo datovou zprávu, opatřenou značkou MV ČR založenou na již expirovaném certifikátu, má možnost získat jinou verzi této datové zprávy s platnou značkou?
Možné to je, jak ostatně naznačuje i výše citovaná odpověď z MV ČR:
Uživatelům, kteří si v uvedeném období stáhli dokument opatřený el. značkou založenou na neplatném certifikátu MV, doporučujeme, aby si tento dokument stáhli z ISDS znovu, nyní již s platnou elektronickou značkou MV.
Možné je to díky tomu, že ISDS dnes přidává elektronickou značku MV ČR v okamžiku stahování datové zprávy (ať již přes webové rozhraní, nebo přes rozhraní webových služeb). Takže pokud někdo ještě má „postiženou“ datovou zprávu ve své datové schránce, skutečně si ji může stáhnout znovu – a tentokráte již s platnou značkou.
Jenže tento postup nejde aplikovat u starších datových zpráv, které dnes již v datové schránce nejsou. Představme si třeba někoho, kdo nechává věci „na poslední chvíli“, a své datové zprávy si ze své schránky stáhl (a někam uložil) těsně před jejich smazáním po 90 dnech – a to zrovna v inkriminované době (5.11.2014 15:12:06, až 6.11.2014 10:05), přes rozhraní webových služeb. Má je tedy s neplatnou značkou, a doporučení „stáhnout si zprávy znovu“ je pro něj nepoužitelné, protože zprávy již ve své datové schránce nemá.
Osobně jsem zatím nepřišel na jiný způsob, jak neplatnou značku nahradit novou značkou. Nejde to ani skrze tzv. přerazítkování, které dnes datové schránky nabízí. Ani přes relativně novou možnost „načtení“ datové zprávy (protože ta postrádá možnost uložení).