НАП, ПИК и електронната идентификация

НАП (Национална Агенция за Приходите) активно въвежда използването на ПИК (персонален идентификационен код) за своите електронни услуги. Т.е. ако искаме да подадем данъчна декларация онлайн или да направим онлайн справка за внесените от работодателя ни осигуровки, ни е нужен ПИК. Всъщност, към момента ПИК се ползва само за справки, а за подаване на декларация трябва електронен подпис, но това е на път да се промени – НАП има желание да разшири използването на ПИК.

За съжаление, ПИК-ът е едно недоразумение. Да започнем стъпка по стъпка.

Как получавате ПИК? Отивате в офис на НАП, където служител ви го дава, разпечатан на лист А4, след като проверява самоличността ви. В работно време, разбира се. Т.е. в добрия случай ви отнема обедната почивка. В лошия случай, постоянният ви адрес е в друг град, защото, да кажем, живеете под наем в София, а НАП не издава ПИК по настоящ адрес. Само по постоянен. Защо – остава мистерия. Отговорът им на мое запитване беше, че е от съображения за сигурност – ако бъде издаван в друг офис от този по постоянен адрес, това щяло да значи, че повече служители на НАП ще видят кода. Това дали 1 или 5 служителя ще го видят не прави кода по-малко компрометиран, но дори да е така, то при една обмислена система кодът просто би бил издаван на гишето, използвайки централизирана система. Но явно „обмислена“ не е подходящо прилагателно. Така, в крайна сметка, получаването на ПИК може да ви струва и цял ден път до офис на НАП по постоянен адрес. За да може да правите електронни справки. Чудесно!

Но да оставим ползваемостта настрана и да поговорим за сигурността. Дори само един служител да види кода ви, това вече е лошо. Но може би по-лошо е това, че е хвърчащ лист А4, който всеки, който ви дойде на гости, може да види на бюрото ви. Също така при изтичане на базата данни (или в резултат на brute-force атака) ПИК-ът става просто една не особено силна парола (12 символа, но само цифри), която може да бъде разбита. А не съм убеден, че в базата данни ПИК-ът се пази според добрите практики за пазене на пароли (bcrypt), защото кодът не е отворен. И докато това е някак приемливо за справки (макар и да разкрива лична информация), то със сигурност не е окей за подаване на документи (тип данъчна декларация). „Какво толкова може да стане?“. Да, някой да подаде данъчна декларация вместо вас може би не е най-лошото, което може да се случи. Някой да подаде данъчна декларация вместо счетоводителя ви, от името на всички фирми, които той обслужва, също може би не е фатално, просто ще отвори работа. И евентуално ще се наложи да платите данъци, които не дължите (ако например някой подаде декларация ден преди крайния срок, а когато НАП ви потърсят след това, вие сте в чужбина). Изобщо, сценарии, по които някой може да бъде „прецакан“, макар и не „фатално“, има доста. Но по-лошото е, че ако ПИК-ът се наложи като средство за електронна идентификация, може да „плъзне“ и в други администрации, където щетите могат да са по-големи.

Като говорим за средства за електронна идентификация, това лято Европейската комисия публикува Регламент 910/2014 (задължителен законодателен акт за всички страни членки), който дефинира 3 нива на сигурност на електронната идентификация. Както се сещате, хвърчащият лист със слаба парола на него не покрива и най-ниското ниво. Не се доближава дори.

Всъщност, в Холандия също използват нещо като ПИК – код, генериран от държавата. Само че по много различен начин. Изпращат го по поща, и е втори компонент при електронната идентификация (2-factor authentication). И то далеч не за всичко.

Друг много сериозен проблем на ПИК-овете е фрагментацията, която носят. НАП ви издават един ПИК, НОИ ви издават друг, общината може би трети, кадастърът четвърти, МВР пети… И така се разхождате до 5 администрации, за да може да ползвате по една електронна услуга, която ви трябва в момента (след това губите листа, и ходите наново). Изобщо, „всеки прави к’вото си иска“ е доста характерно за администрацията ни, което е и една от причините за отсъстващо електронно управление.

Дали финансовият министър (Владислав Горанов, на чието подчинение е НАП) или някой от обкръжението му е авторът на този „напън“ за стандартизиране на ПИК като средство за електронна идентификация, не знам. Но много се надявам да направят крачка назад и да помислят. И да приемат мнението на експерти. Дори човек да е добър финансист и мениджър, когато става дума за електронна сигурност, по-добре решението да е на хората с опит в сферата. Иначе утре министърът на икономиката може да напише строителни изисквания без да пита архитектите, и на следващата година сградите да започнат да падат.

Дискусията по темата доста навременна, предвид очаквания всеки момент закон за електронна идентификация, който да сложи правна рамка за технологично решение (може би базирано на пилотното такова). В крайна сметка целта е да имаме електронната си идентичност в личните документи, така че когато държавата ни издава лична карта, заедно с това да получаваме и достатъчно сигурен метод, работещ в цялата администрация, вкл. НАП, КАТ, болници (че дори и с частни компании). А хвърчащите листи с цифрички да останат само временно недоразумение.

Share Button

8 коментара

  1. Супер куца работа е това. Много ми хареса как са го направили в Швеция. Банката ти издава BankID което е свързано с телефонния ти номер. Когато искаш да се логнеш в коя да е онлайн услуга на община, държава, университет, единственото нещо е да си вкараш телефонния номер, след което на телефона ти си отваряш BankID приложението, което е получило нотификация, че се опитвш да се логнеш като себе си някъде, вкарваш си PIN и това пушва логина обратно в услугата. Стори ми се доста яко и практично това решение.

  2. В Естония това, дето ти е в личната карта, можеш да го сложиш и на телефона си. Т.е. на практика същото, но издадено от държавата.

  3. Не зная дали държавата или банката са по-надеждни при обработка на лични данни. Замислих се на базата на конкретен случай, при който МВР издаде на сръбски наркотрафикант (Будимир Куйович) българска лична карта и български международен паспорт с фалшиви имена (Цветослав Захариев). Най-тревожното са реакциите на замесените в случая: http://dariknews.bg/view_article.php?article_id=254055
    http://ivanbedrov.com/?p=1379

  4. Интересен текст. Някои размисли в лично качество, независимо, че работя за НАП.
    В НАП онлайнн ежегодно се подават около 70 млн. документа. Е-услугите й не са съвършени, но изглежда въшат работа, спестявайки над 300 млн. лв. годишно на данъкоплатците. Силно ми се ще да вярвам, че когато се говори за е-правителство, би било редно да не слагаме всички под общ знаменател…
    Докато всички уверено чакаме вграждането на е-идентификацията в личните карти, не виждам пречка да се използва алтернативен механизъм като ПИК. Мога да изпратя на мейл правен анализ за съответствието на ПИК практиката на НАП с Регламент 910/2014 🙂 Четиво за юристи, но най-общо казващо, че ПИК е достатъчно надежден за употреба за подаване на декларации, базирано на закона – ДОПК и подзаконовия акт за прилагането му. Разбира се, на линия съм да водим правен спор, ако някой има желание.
    Коментарът за издаването на ПИК по постоянен адрес е логичен – потребителското удобство предполага да може да се получи във всеки офис. Имам увереност, че в близките месеци това може да се промени, но причината му е юридическа отново – действията на НАП са ограничени от т.нар. териториална компетентност на органите му, която, за съжаление е валидна и процедурите за издаване на ПИК. Не е изключено заобикалянето на това изискване, но държавата, съвсем очаквано, е предпазлива в заобикалянето на закона.
    Хвърчащите листове – напълно логичен коментар. Добра новина – от днес, 4.03.2015 г. всеки ПИК се получава в запечатан плик, невъзможно е узнаването му от служител.
    Литературните вметки за забравен ПИК на бюрото и риска за подаване на данни предлагам да ги оставим настрана. За загубен, откраднат или неволно даден другиму ПИК всеки потърпевш може да звънне на 0700 18 700, блокирането на ПИК отнема непродължително време, а всички данни, подадени след обаждането се считат за недействителни.
    За многото ПИК, издавани от различни ведомства сте безсъмнено прав – здравата логика предполага интеграция на съществуващите, поне до светлото бъдеще, на вградената в личните документи идентификация. Дотогава обаче сякаш няма пречка да се случат около 1 млн. електронни административни услуги в НАП от хората, които са преглътнали еднократно посещение, за да получат ПИК, валиден безсрочно и струващ 0 лв.?
    Доколко отвореният код и модела на съхранение на данните за ПИК са свързани, не мога да кажа.
    Вместо това, каня Ви в удобно за Вас време в централата на НАП на Дондуков 52, за да проверим заедно техническите гаранции за конфиденциалност, а и да си поговорим за ролята на НАП в е-управлението.
    Със здраве.

  5. Мерси за детайлния отговор, и за добрите новини в него 🙂 С удоволствие ще дойда в НАП да поговорим. Мейлът в коментара валиден ли е?

  6. Да споена как стоят нещата и във Финландия. В техния НАП се влиза с банковото ID, впрочем навсякъде където ти искат аутентикация bank ID е единия вариянт. Както каза и Крис и с телефона може.
    Но нека в България да е по различно, нека всяка институция си организира различно пинче, нека да помним 68 кода за различни услуги, които фактически служат на един главатар – държавата. That’s my 2 cents.

  7. Тед, обаче не е възможно да имаш банкови идентификатори без да плащаш месечен пакет в някоя банка, а това не би трябвало да е така. Данске взимат по 6 евро и нещо.

  8. Валиден е мейлът, ще се радвам да се видим.
    Поздрави.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *