List do Zespołu Profilu Zaufanego
Opublikowano (w nieco zmienionej wersji) w CRN 2022/10
Korzystając z Profilu Zaufanego – aplikacji administracji państwowej – spotkałem się z trudnościami logowania się do systemu, który pomimo mojej staranności informatycznej, przekazywał informację o błędzie. Tę sytuację postanowiłem zasygnalizować mejlem Zespołowi Service Desk (?) Centralnego Ośrodka Informatyki. Na moje zgłoszenie uzyskałem odpowiedź, a potem nawet ponaglenie wykonania pewnych czynności oraz przesłania kilku informacji. Nieco tym zdziwiony przygotowałem im szerszą odpowiedź, którą chcę się tutaj z Wami podzielić. Otrymaną odpowiedź przytaczam na końcu.
Koleżanki Informatyczki, Koledzy Informatycy,
W odpowiedzi na Waszą prośbę w mejlu z dnia 30.08.2022 dotyczącą Wniosku o usługę o nr 2454545, bardzo mnie rozczuliliście proponując na wstępie zastosowanie CTRL+SHIFT+DELETE dla wszystkich przeglądanych stron. Czy naprawdę muszę to zrobić, tracąc potem wiele czasu na ponowne czytanie nudnych opowieści o ciasteczkach (oraz często już bezsensownych, acz obowiązkowych zasad RODO) i ustalanie zakresu ich działania oraz ponowne logowanie się do wielu stale używanych portali (np. gazet, czasopism, itp.)? Czy może gdzieś widzieliście, aby w celu używania portalu jakiegoś banku trzeba było wcześniej kasować wszędzie ciasteczka?
Ciekawą jest też propozycja zmiany przeglądarki. Może lepiej gdzieś napisać, których przeglądarek polska administracja cyfrowa nie wspiera (aha – lepiej tego nie robić nie chcąc się narażać na pozew z tytułu ochrony praw konkurencji). Nie powinno się też wyłączać HTML5, rekomendowanego w 2014 roku przez W3C. Oczywiście strony gov powinny też dobrze działać na starszych wersjach przeglądarek. Dlaczego to stanowi problem nie do ogarnięcia?
Dzisiaj potrzebowałem użyć portalu gwd.nfosigw.gov.pl (dogrzebanie się do niego wymagało nieco starań). Portal ten (o siermiężnej grafice) jest dostępny po zalogowaniu przez profil zaufany. Niestety przy powrocie na gwd wystąpił podobny (jak ten uprzednio) błąd oznaczony ciągiem znaków alfanumerycznych. Co ciekawsze, zostałem o tym też poinformowany przez Was również mejlem.
Zacząłem jeszcze raz logowanie, ale teraz na stronie prywatnej przeglądarki. O tym tipie (tej wskazówce) kiedyś poinformowała mnie Pani z jakiegoś Centrum Pomocy. I udało się, ale potem ku mojemu zdziwieniu, należało się jeszcze zalogować się w gwd podając jako login adres mejlowy oraz (uwaga!) hasło – zgadłem, że identyczne jak w profilu zaufanym. Zadziałało.
W tym miejscu mam istotną uwagę o dziwnym powiązaniu tych portali domeny gov.pl poprzez portal Profilu Zaufanego do logowania Np. (tylko 3 przykłady) [uwaga adresy stron portali skróciłem o frazę https://]:
- ikp.gov.pl → login.gov.pl/login... → pacjent.gov.pl
- epuap.gov.pl → login.gov.pl/login... → epuap.gov.pl/wps/myportal
- moja.warszawa19115.pl/ → login.gov.pl/login... → https://moja.warszawa19115.pl/user-dashboard
- przy istnieniu też portalu → pz.gov.pl/dt/pages/accountDetails
również przeznaczonego do logowania przez profil zaufany. Ten sposób powiązania stron w celu przejścia przez stronę logowania jest dziwny i wzbudza sporo obaw u mnie i zapewne u wielu użytkowników. Nie mam dostępu i nie wnikałem w jego implementację, ale zapewne wykorzystuje on ciasteczka przekazujące dane pomiędzy tymi stronami. Stąd jest ta rada czyszczenia wszystkich ciasteczek w przeglądarce, gdy są kłopoty z otrzymaniem esemesa z kodami - ogólnie z logowaniem, bo się te ciasteczka tym stronom poplątały.
Po co tak to zrobiono? Czy może widzieliście jakieś podobne rozwiązanie dla logowania się do aplikacji bankowych? Czy ktoś oprócz w gov.pl zastosował takie rozwiązanie? A według mojej informatycznej intuicji jest ono potencjalnie niespójne i mało odporne na oszustwa – bardzo chciałbym nie mieć tutaj racji. W każdym razie mam nadzieję, że czytujecie wpisy w niebezpieczniku.pl.
Zresztą przykładów bałaganu organizacyjnego w tym systemie jest więcej. Zacznijmy od tego, że istnieje jedna wersja rozpoczynająca się na stronie mobywatel.gov.pl oraz druga na stronie epuap.gov.pl. Obie z nich oferują podobne usługi, tylko w innym układzie wizualnym. Przy logowaniu niekiedy można zobaczyć wpisane hasło, a w innym przypadku nie. Żądanie wpisania kodu z potwierdzającego esemesa czasem pojawia się natychmiast, a czasem dopiero na następnej i jeszcze następnej stronie.
Wyszukanie interesującej nas instytucji czy urzędu wymaga dokładnej znajomości ich nazwy, inaczej trzeba je szukać na długiej liście urzędów miasta między przedszkolami. Poszukiwanie potem interesującej nas sprawy do załatwienia również wymaga znajomości jej oficjalnej nazwy, ale też znalazłem dla Grodziska Maz. sprawę Ełckiej Karty Seniora.
Proszę wybaczyć to narzekanie, ale jeżeli ja, z wykształcenia informatyk z 50+ stażem zawodowym mam kłopot w zrozumieniu logiki organizacji i użytkowania tego systemu, to co mają powiedzieć inni? Chociaż znam jednego Kajetana (jest 16861 Kajetanów w Polsce, a więc nie naruszam RODO), który twierdzi, że dla niego to jest bardzo prosty system, bo on wszystko może w nim szybko znaleźć. No cóż, może rzeczywiście powinienem już być przesłany do archiwum, ale kto wtedy za mnie załatwi zdalnie sprawę podatku od nieruchomości, czy przekształcenie użytkowania wieczystego. I żeby nie było już tak na czarno – to chwalę aplikację Pacjent ze zrozumiałym dostępem do e-recept i e-szczepień , itp.
Teraz muszę z całą stanowczością stwierdzić, że to nie do Was mam te pretensje i uwagi. Wy tylko pomagacie zagubionym użytkownikom, coś tam staracie się sprawdzić i ewentualnie poprawić czy usprawnić oraz uporządkować, nieraz klnąc pod nosem na rzeczywistych autorów tych aplikacji powiązanych „sznurkami”. To nie jest wasza wina za taki stan tego systemu. To jest wina tych co przygotowywali specyfikację w zamówieniu tych systemów i tych co dostarczali, nie zawsze zgodne z tymi specyfikacjami, poszczególne jego części. To jest wina braku głównego architekta Informacji Państwa i projektanta całości i części systemu oraz tego, że kolejni inicjujący prace często się zmieniali i czasem zaczynali od początku porzucając dotychczasowe rozwiązania. Do tego dokłada się resortowość administracji, gdzie każdy z resortów czuje się jedynym (wyłącznym) właścicielem swojego systemu. Stąd też pochodzi równoległość funkcjonalna oraz brak jednolitej logiki w użytkowaniu tego systemu. I nawet w takich warunkach powstawania systemu, możliwe byłoby kolejne jego ulepszanie, aż do osiągnięcia akceptowalnej przez większość wersji, gdyby nie odpowiedzialność za informacje jakie ten system zbiera i udostępnia, w znaczącym stopniu dane osobowe, a w tym wrażliwe.
À propos, jaka jest jego oficjalna nazwa tego systemu, bo chyba nie Profil Zaufany oraz nie ePUAP, bo czym jest wtedy mObywatel oferujący podobną listę usług?.
I już na koniec powrócę do waszego przesłanego mi pytania, w którym prosicie, abym po nieskuteczności efektu czyszczenia kukisów (tzn. ciasteczek), przesłał Wam uzupełnienie zgłoszenia o następujące informacje:
- Login/Identyfikator Użytkownika.
- Kolejno wykonywane kroki do momentu pojawienia się komunikatu błędu.
- Zrzut ekranu z widocznym komunikatem błędu.
- Datę i godzinę wystąpienia problemu.
- Nazwę oraz wersję przeglądarki internetowej.
Po pierwsze, nie bardzo chcę i mogę podać te informacje. Chociaż wierzę w waszą uczciwość w ochronie danych osobowych, to jednak nie podam mojego loginu czy identyfikatora użytkownika – już powinien Wam wystarczyć mój adres mejlowy. Ja byłem tylko użytkownikiem, a nie testerem tego systemu, a więc w trakcie logowania nie robiłem zrzutów ekranów oraz nie zapisywałem godziny i minut kiedy to się działo. Jedynie mogę podać, że była to przeglądarka Edge lub Chrome.
Po drugie, po co Wam te informacje? Czy byście zamierzali odszukać w logach tę moja nieudaną operację logowania, aby sprawdzić czy przypadkiem nie próbowałem ją źle wykonać? Teraz w trakcie pisania tego listu do Was wykonałem na próbę kilka logowań i dwa z nich były nieudane, ale też nie byłem testerem.
Wniosek jest jeden - jest problem z logowaniem do tego całego systemu, stąd też powinno się go stale testować dla różnych systemów operacyjnych (np. Windows 11) oraz coraz to aktualizowanych przeglądarek. Albo też należy wszystkie (może tylko niedublujące się wzajemnie) części podpiąć hierarchicznie pod stronę mObywatel.gov.pl gdzie jest jedno logowanie do wszystkich usług. Czy coś lub ktoś temu przeszkadza?
Już na koniec życzę Wam determinacji i cierpliwości w usprawnianiu tego systemu, a waszym szefom (aż do najwyższych) zdecydowania w uporządkowaniu tego oprogramowania tak, aby było rzeczywiście przyjazne nawet dla mniej ogarniętych w informatyce użytkowników oraz bezpieczne i efektywne w działaniu.
A oto otrzymana odpowiedź (bardzo ogólna):
Szanowny Użytkowniku Dziękujemy za zgłoszenie i wszelkie sugestie w zakresie działania portalu ePUAP/PZ. Logowanie z zewnętrznych serwisów zintegrowanych z usługami PZ odbywa się przez Węzeł Krajowy, który umożliwia logowanie profilem zaufanym, ale także innymi środkami identyfikacji elektronicznej np. bankiem, e-dowodem. Informacje dostępne są na stronie https://www.gov.pl/web/login/. Jest to prawidłowe działanie aplikacji. W nawiązaniu do przesłanego błędu informujemy, że aktualnie błąd nie powinien występować. Prośba o weryfikację.
Z wyrazami szacunku
Zespół Service Desk