Po kolejnej awarii ePUAP – może jednak czas zaorać e‑administracyjny niewypał?
Elektroniczna platforma usług administracji publicznej (ePUAP)nie miała u nas dobrej prasy – i nie bez powodu. Integrująceponad setkę usług administracyjnych rozwiązanie, które miałorozpowszechnić „profil zaufany” i zastąpić docelowo okienko wurzędzie okienkiem przeglądarki, okazało się kosztującym grubemiliony partactwem. Realia życia z ePUAP-em świetnie opisała naszaużytkowniczka freyah w swoim wpisiept. „ePUAP – platforma, która skutecznie podnosi ciśnienie”.Jednak jak bardzo niedorobiony to system widać dopiero teraz, gdyupubliczniona została kopia audytu przeprowadzonego na zamówienienowej Minister Cyfryzacji, p. Anny Streżyńskiej.
Informacje zawdzięczamyczytelnikom Niebezpiecznika – ktoś z nich przesłał do jegoredakcji kopię audytu, która najwyraźniej nie była przeznaczonadla osób postronnych. Zacznijmy jednak od początku: w zeszłyczwartek pojawiły się doniesienia, że ePUAP nie bardzo działa. ZawiódłCEIDG – Centralna Ewidencja i Informacja o DziałalnościGospodarczej. Jak podaje Niebezpiecznik, nie można było podpisaćwniosku, ale nie tylko to, nie działała nawet wyszukiwarka poNIP-ie, nazwisku czy adresie.
Ciekawie wyglądała jednak obsługa błędów, zwracająca osobompostronnym informacje o ścieżkach dostępu do napisanej w VisualStudio serwerowej aplikacji. Przypadkowo okazało się też, żeśrodowisko deweloperskie ePUAP-u jest dostępne dla każdegozainteresowanego. Podobno transparentność administracji publicznejjest czymś dobrym – ale czy o to chodziło, by każdy mógłobejrzeć stronę https://testwww.ceidg.gov.pl//ceidg.cms.engine/?
Zrobiło się naprawdę ciekawie jednak dopiero ten weekend. NaTwitterze użytkownik korzystający z konta @padjaskancelar zapytałminister Streżyńską (@AnnaStrezynska), o to kiedy ePUAP zaczniewreszcie działać. Odpowiedź była bulwersująca:
@padjaskancelar Mamy do czynienia z uszkodzeniem fizycznym; wdrozony jest plan kryzysowy. ePUAP zostal zbudowany bez backupu.
— Anna Strezynska (@AnnaStrezynska) May 6, 2016Fizyczne uszkodzenie systemu, który nie miał żadnychmechanizmów kopii zapasowej, a kosztował podatników ponad 120 mlnzłotych? Według oficjalnejdokumentacji jednak miał jakieś „środowisko zapasowe”, alenajwyraźniej bez elementów High Availability (wysokiejdostępności). W razie awarii system nie potrafił przełączyć sięna zapasowe zasoby, potrzebował do tego interwencji administratorów.Nazwijmy to zabezpieczeniem miejsc pracy – w końcu te złe chmuryobliczeniowe, w których wszystko zautomatyzowano, zmniejszają tylkozatrudnienie.
Ręczna naprawa systemu potrwała sporo. Na oficjalnym koncieCentralnego Ośrodka Informatyki (@COIgovPL) dopiero 7 maja popołudniu poinformowano, że ePUAP znów działa. Za niedogodnościprzeproszono, wyrażając nadzieję, że oby to był ostatni raz.
ePUAP znów działa i to ze zaktualizowanym oprogramowaniem. Za niedogodności przepraszamy. Oby to był ostatni raz @MC_rzecznik @TVN24BiS
— COI (@COIgovPL) May 7, 2016Sądząc jednak po tym, co można przeczytać w opublikowanymprzez Niebezpiecznik audycie, nadzieja może tu być matką głupców,tym bardziej, że nie odkrył on wszystkich możliwych problemów.Audytorzy nie tylko mieli bardzo mało czasu (raptem kilka tygodni),ale i utrudniano im odczytanie przekazanych danych (zaszyfrowanearchiwa, uszkodzone nośniki) i nie zapewniono dostępu do środowiskatestowego. Mimo tego, lista wykrytych błędów jest spora. Wśródnich interesujące doniesienie – przełączenie ośrodków(produkcyjny/zapasowy) zajmuje dwa dni. Cóż, gdyby to byłaprywatna firma hostingowa…
Sama minister Streżyńska w wywiadzie dla PAP-u tłumaczyła:
Nic więc dziwnego, że później na Facebooku otwarciepowiedziała: Tym razem awaria jest za poważna, żeby wystarczyłopogonienie ludzi. Sposób w jaki zbudowano ePUAP może byćprzedmiotem habilitacji (…) Gdyby nie środki UE, to należałobygo zaorać. CCA – twórca i właściciel ePUAP – został przeznas postawiony w stan likwidacji (…). COI ma czas do wrześniapoprawić ten system i migrować go na stabilną infrastrukturę.
Niebezpiecznik, przypominając że błędami ma być obarczone 60%kodu platformy, zauważa, że lepszym pomysłem byłoby zbudowanieplatformy usług publicznych na bazie infrastruktury komercyjnychbanków. Radzą one sobie z informatyką zauważalnie lepiej, niżpodmioty państwowe, potrafią poradzić sobie i z automatyzacjąprocesów, i z dobrymi mechanizmami uwierzytelniania.
W tę stronę idą Chińczycy – swoje platformy administracjipaństwowej i uniwersalnego systemu cyfrowej tożsamości dlaobywateli Państwa Środka powierzyli prywatnym przedsiębiorcom.Sądząc po tym, jaki poziom innowacyjności takie podejście jużteraz przynosi (na czele z totalitarnym, ale przecież pomysłowymspołecznościowym scoringiem kredytowym), jest to droga znacznielepsza. Państwa może dobrze sobie radzą z podbojem kosmosu(przynajmniej niektóre państwa), ale w dziedzinie informatyki ichsprawność nie oszałamia.