Afera w ZUS. Kierownicy jednego z departamentów zwolnieni
Jak twierdzą nasi informatorzy, lekarze mogą mieć problemy z podpisywaniem e-recept i e-zwolnień, bo ZUS korzysta z przestarzałego, dawno złamanego rozwiązania. Jeśli to prawda, nieuprawnione osoby mogą same wystawiać sobie e-recepty.
Nasi informatorzy dodatkowo wiążą sprawę ze zwolnieniem czterech pracowników Departamentu Eksploatacji Aplikacji, z jego byłym już dyrektorem na czele. Ich zwolnienia udało nam się potwierdzić w trzech źródłach. ZUS nie łączy tych dwóch spraw ze sobą, tłumacząc, że departament ten nie jest odpowiedzialny za potencjalne problemy z podpisywaniem dokumentów e-medycznych.
Lekarze mają trzy możliwości elektronicznego uwierzytelnienia tych dokumentów. Jednym z nich jest e-podpis, drugim platforma ePUAP - te metody "obsługuje" Ministerstwo Cyfryzacji. Jest jeszcze trzecia metoda - podpis za pomocą certyfikatu od ZUS.
Tyle że elektroniczny podpis ma niewielu lekarzy, a ePUAP nie zawsze działa wystarczająco szybko. Wtedy zostaje opcja numer 3, czyli właśnie certyfikat ZUS, z którym też bywają problemy. - Sam przez pierwsze dwa tygodnie od ich wprowadzenia nie mogłem sobie z tym poradzić. W końcu siadłem na trzy godziny i udało mi się zainstalować ten certyfikat, ale nie zawsze udaje mi się nim podpisać dokumenty. Są jakieś kłopoty techniczne - mówi jeden z lekarzy z prywatnej placówki w Warszawie.
Algorytm złamany już 3 lata temu
"Jakieś kłopoty techniczne" mogą wynikać właśnie z przestarzałego algorytmu SHA-1, którego według naszych informatorów ZUS jeszcze niedawno miał używać przynajmniej w niektórych swoich systemach. Nowe aplikacje nie przyjmują SHA-1, dlatego jeśli lekarz chce podpisać e-receptę lub e-zwolnienie za pomocą certyfikatu ZUS, może dochodzić do konfliktu. Przeglądarka czy aplikacja, z której korzysta lekarz, certyfikatu nie chce przyjąć.
Zostając przy retoryce medycznej, SHA-1 jest jak nieszczepione dziecko, którego szkoła - tu aplikacja, z której korzysta lekarz - nie chce przyjąć do klasy, bo jest ono nieodporne na zagrożenia.
Zakład przekonuje, że nie korzysta już z SHA-1. "Algorytmy stosowane do podpisywania certyfikatu wykorzystywanego przez lekarzy oparte są o SHA-2 i są rekomendowane przez Ministerstwo Cyfryzacji" - czytamy w przysłanym nam stanowisku. Na stronie internetowej zakładu pojawiła się jednak instrukcja dla lekarzy na wypadek "problemów z podpisywaniem e-ZLA certyfikatem ZUS".
e-ZLA - instrukcja dla lekarzy
Instrukcja składa się z trzech kroków, ale wcale nie najprostszych dla osoby mniej wprawnej technicznie. Najpierw w przeglądarce internetowej trzeba wyczyścić dane przeglądania, czyli m.in. historię odwiedzanych stron i pliki cookies. Potem należy wyczyścić folder systemowy "temp" (z tzw. tymczasowymi plikami), który znajduje się na dysku twardym. Następnie trzeba jeszcze przeglądarkę odświeżyć. Po tych czynnościach podpisywanie e-dokumentów lekarskich powinno być znów możliwe.
- I pan wierzy, że każdy lekarz raz-dwa to zrobi? Przecież wielu z nas jest słabo obeznanych z technologiami - mówi anonimowo lekarz z jednego z indywidualnych gabinetów lekarskich w stolicy.
Google już w lutym 2017 roku informował o tym, że algorytm SHA-1 można łatwo złamać. A co jeśli się to uda? Nieuprawniona osoba, która złamie certyfikat oparty na tym algorytmie, mogłaby na przykład… wystawiać sobie samemu dowolne recepty.
W przysłanym do naszej redakcji stanowisku biuro prasowe ZUS zwraca też uwagę, że zwolnienia pracowników Departamentu Eksploatacji Aplikacji nie mają związku z e-zwolnieniami czy certyfikatami. "Departament Eksploatacji Aplikacji nie odpowiada za utrzymanie portalu ani za funkcjonowanie certyfikatów ZUS" - pisze Paweł Żebrowski z biura prasowego ZUS. Nie odpowiada jednak na pytanie, jaka była przyczyna zwolnień 4 osób z Departamentu Eksploatacji Aplikacji.