НАП (Национална Агенция за Приходите) активно въвежда използването на ПИК (персонален идентификационен код) за своите електронни услуги. Т.е. ако искаме да подадем данъчна декларация онлайн или да направим онлайн справка за внесените от работодателя ни осигуровки, ни е нужен ПИК. Всъщност, към момента ПИК се ползва само за справки, а за подаване на декларация трябва електронен подпис, но това е на път да се промени – НАП има желание да разшири използването на ПИК.

За съжаление, ПИК-ът е едно недоразумение. Да започнем стъпка по стъпка.

Как получавате ПИК? Отивате в офис на НАП, където служител ви го дава, разпечатан на лист А4, след като проверява самоличността ви. В работно време, разбира се. Т.е. в добрия случай ви отнема обедната почивка. В лошия случай, постоянният ви адрес е в друг град, защото, да кажем, живеете под наем в София, а НАП не издава ПИК по настоящ адрес. Само по постоянен. Защо – остава мистерия. Отговорът им на мое запитване беше, че е от съображения за сигурност – ако бъде издаван в друг офис от този по постоянен адрес, това щяло да значи, че повече служители на НАП ще видят кода. Това дали 1 или 5 служителя ще го видят не прави кода по-малко компрометиран, но дори да е така, то при една обмислена система кодът просто би бил издаван на гишето, използвайки централизирана система. Но явно „обмислена“ не е подходящо прилагателно. Така, в крайна сметка, получаването на ПИК може да ви струва и цял ден път до офис на НАП по постоянен адрес. За да може да правите електронни справки. Чудесно!

Но да оставим ползваемостта настрана и да поговорим за сигурността. Дори само един служител да види кода ви, това вече е лошо. Но може би по-лошо е това, че е хвърчащ лист А4, който всеки, който ви дойде на гости, може да види на бюрото ви. Също така при изтичане на базата данни (или в резултат на brute-force атака) ПИК-ът става просто една не особено силна парола (12 символа, но само цифри), която може да бъде разбита. А не съм убеден, че в базата данни ПИК-ът се пази според добрите практики за пазене на пароли (bcrypt), защото кодът не е отворен. И докато това е някак приемливо за справки (макар и да разкрива лична информация), то със сигурност не е окей за подаване на документи (тип данъчна декларация). „Какво толкова може да стане?“. Да, някой да подаде данъчна декларация вместо вас може би не е най-лошото, което може да се случи. Някой да подаде данъчна декларация вместо счетоводителя ви, от името на всички фирми, които той обслужва, също може би не е фатално, просто ще отвори работа. И евентуално ще се наложи да платите данъци, които не дължите (ако например някой подаде декларация ден преди крайния срок, а когато НАП ви потърсят след това, вие сте в чужбина). Изобщо, сценарии, по които някой може да бъде „прецакан“, макар и не „фатално“, има доста. Но по-лошото е, че ако ПИК-ът се наложи като средство за електронна идентификация, може да „плъзне“ и в други администрации, където щетите могат да са по-големи.

Като говорим за средства за електронна идентификация, това лято Европейската комисия публикува Регламент 910/2014 (задължителен законодателен акт за всички страни членки), който дефинира 3 нива на сигурност на електронната идентификация. Както се сещате, хвърчащият лист със слаба парола на него не покрива и най-ниското ниво. Не се доближава дори.

Всъщност, в Холандия също използват нещо като ПИК – код, генериран от държавата. Само че по много различен начин. Изпращат го по поща, и е втори компонент при електронната идентификация (2-factor authentication). И то далеч не за всичко.

Друг много сериозен проблем на ПИК-овете е фрагментацията, която носят. НАП ви издават един ПИК, НОИ ви издават друг, общината може би трети, кадастърът четвърти, МВР пети… И така се разхождате до 5 администрации, за да може да ползвате по една електронна услуга, която ви трябва в момента (след това губите листа, и ходите наново). Изобщо, „всеки прави к’вото си иска“ е доста характерно за администрацията ни, което е и една от причините за отсъстващо електронно управление.

Дали финансовият министър (Владислав Горанов, на чието подчинение е НАП) или някой от обкръжението му е авторът на този „напън“ за стандартизиране на ПИК като средство за електронна идентификация, не знам. Но много се надявам да направят крачка назад и да помислят. И да приемат мнението на експерти. Дори човек да е добър финансист и мениджър, когато става дума за електронна сигурност, по-добре решението да е на хората с опит в сферата. Иначе утре министърът на икономиката може да напише строителни изисквания без да пита архитектите, и на следващата година сградите да започнат да падат.

Дискусията по темата доста навременна, предвид очаквания всеки момент закон за електронна идентификация, който да сложи правна рамка за технологично решение (може би базирано на пилотното такова). В крайна сметка целта е да имаме електронната си идентичност в личните документи, така че когато държавата ни издава лична карта, заедно с това да получаваме и достатъчно сигурен метод, работещ в цялата администрация, вкл. НАП, КАТ, болници (че дори и с частни компании). А хвърчащите листи с цифрички да останат само временно недоразумение.

Share Button