Cyfrowa Polska

Takie ploteczki i obserwacje na temat cyfryzacji Polski.

Wczorajszy wieczór miałem wyjęty z życia. Moja połowica miała mieć po godz. 19 kurs z obsługi MS Teams. Nie spodziewałem się problemów, bo z tą aplikacją pracuję codziennie. Jednak i tak zasiadłem do komputera o 18:00. Odkryłem, że proces korzystania ze szkoleń można bardzo fajnie skomplikować.

Problemy, jakie się wkrótce pojawiły, były mieszanką dziwnego sposobu zarządzania uczestnikami, wielości usług firmy Microsoft, wprowadzenia zabezpieczeń i niedokładnego czytania instrukcji przesłanej pocztą elektroniczną. Wszystko razem do kupy sprawiło, że Ewa nie wzięła udziału w szkoleniu, a ja siedziałem do 22:00 szukając błędu, jaki popełniliśmy. Nie znalazłem.

Zaczęło się od szukania pakietu instalacyjnego MS Teams na MacOS. Jakoś poszło, chociaż już wtedy przeczuwałem, że może być trudno się wyrobić.Po instalacji Ewa podała mi login i hasło. Nic z tego! Okazało się, że administrator włączył 2FA i Microsoft podpowiedział, żeby użyć ich aplikacji mobilnej Authenticator. Szybko zainstalowaliśmy i dalej dodawać konto do aplikacji. Jakoś nie chciało, więc sprawdziłem, że trzeba dodać konto służbowe. Dodaliśmy i udało się wreszcie zalogować. Szkolenie miało być w kalendarzu, ale jakoś nie bardzo. Jakieś znane osoby pojawiły się, tudzież chat. Wpisy były jednak dość stare, a na pewno nie z trwającego szkolenia. Co dalej?

Kilka słów wyjaśnienia – Ewa ma kilka kont Microsoft: prywatne, pracownicze i całego przedszkola. To ostatnie jest oczywiście błędem, bo każda z nauczycielek może coś narozrabiać i nie będzie wiadomo która. Ewa zalogowała się na początek pracowniczym, co wydało się oczywiste. Jednak w usługach Microsoftu jakoś szczególnie dobrze zapamiętują się loginy i hasła. Trzeba było wylogować się w wielu miejscach, a i tak uparcie pojawiała tożsamość przedszkola. Przebrnęliśmy przez wszystkie te przeszkody i teraz trzeba było wklepać specjalny kod, który dotarł razem z instrukcją. Tylko gdzie?

Instrukcja wyglądała całkiem dobrze. Zawierała 3 sposoby korzystania ze szkolenia w Teams: przez aplikację webową, stacjonarną i mobilną. Zdecydowaliśmy się na aplikację stacjonarną, bo Microsoft lojalnie uprzedzał, że na Safari działa kiepsko. Z kolei w mobilnej wielokrotne wpisywanie loginów i haseł jest dość trudne. Instrukcja instruowała, że w Teams jest kalendarz, a w nim przycisk do szkolenia. Ponieważ go tam nie było, to zerknęliśmy do instrukcji. Coś tam było dziwnego napisane, bo trzeba byłoutworzyć zespół i tam miało pojawić się pole do wpisania kodu. Oboje próbowaliśmy to zrobić, ale bez skutku. Ewa chwyciła za telefon i spanikowana zadzwoniła do koleżanki. Ta miała akurat przerwę, bo połowa szkolenia już minęła. No i wtedy się okazało, że Ewa nie doczytała i na to szkolenie trzeba się zalogować innym kontem. Była nawet instrukcja. Zabawa zaczęła się od początku: wylogowanie się z konta, próba zalogowania, konieczność włączenia 2FA, zmiana hasła, logowanie się do teams. Wreszcie się udało! Tylko przycisku do szkolenia w kalendarzu nadal nie było. W tym momencie Ewa się poddała i poszła się kąpać, a ja posiedziałem jeszcze z pół godziny klikającach w Teams na różne rzeczy w poszukiwaniu miejsca na wpisanie kodu. Potem ja też się poddałem.

Muszę przyznać, że wszystko tu było dziwne. Po co oddzielne konto do logowania, skoro Ewa już miała swoje? oba wydawane były przez władze Warszawy. Potem ten kod, którego nijak nie mogliśmy nigdzie wpisać. Organizując szkolenia i spotkania na Teams można to zrobić o wiele łatwiej, dodając do kalendarza wydarzenie i do niego z kolei uczestników. Można też rozesłać łącze do spotkania, choćby i tam trzeba było wpisać ten nieszczęsny kod. Dla mnie najgorsze jest zaś to, że nadal nie wiem, co zrobiliśmy źle. A jeszcze bardziej intrygujące, jak poradziły sobie koleżanki Ewy, które były widoczne w zespole.

Główny Urząd Statystyczny ma jakoś pod górkę z usługami cyfrowymi. Całkiem niedawno wybuchła afera na temat sposobu logowania się do aplikacji samospisu. Sprawdziłem i faktycznie – da się zalogować za pomocą numeru PESEL i nazwiska rodowego matki. To jest dość niefortunny sposób, bo takie informacje są stosunkowo łatwe do zdobycia. Bawią mnie za to komentarze na temat tego zagrożenia. I nie dotyczy to faktu, że ktoś może się za mnie spisać, bo to faktyczne ryzyko, chociaż nie mam pojęcia po co ktoś miałby to robić. Interesujące są dla mnie dywagacje na temat numeru PESEL.

Numer PESEL nie wymaga zdobywania. Można go sobie wygenerować, choćby za pomocą tego narzędzia. Bo numer PESEL nie jest losowym ciągiem 11 cyfr, lecz zakodowaną informacją o konkretnej osobie.

  • Pierwsze 6 cyfr to data urodzenia. Dwie pierwsze to dwie ostatnie cyfry roku urodzenia, dwie kolejne to miesiąc, a ostatnia para to dzień. Przy czym parę cyfr miesiąca modyfikuje się dodając pewną liczbę, w zależności od stulecia. Ja jestem stary, więc u mnie jest to 03 (XX wiek), a moja córka ma 22 (XXI wiek). Ja się urodziłem w marcu, a Maja w lutym.
  • kolejne 4 cyfry numeru PESEL to numery kolejne, z tym że ostatnia cyfra oznacza rolę społeczną nadaną przez położnika przy urodzeniu. Cyfra nieparzysta to mężczyzna (u mnie 5), a parzysta to kobieta (u mojej żony 6).
  • Ostatnia cyfra służy do sprawdzania poprawności 10 poprzedzających.

Zarówno struktura numeru PESEL, jak i algorytm wyliczania jedenastej cyfry są opisane w przepisach. Właśnie dlatego przygotowanie generatora PESEL jest możliwe, a przy tym stosunkowo łatwe. Kiedyś do testowania wniosku na 500+ potrzebowałem lipny PESEL, a znając strukturę wymyśliłem pierwsze 10 cyfr i kłopot miałem tylko z ostatnią. Kilka prób i trafiłem. Jak widać – poznanie dowolnego numeru PESEL jest banalnie proste i nie wymaga wykradania go.

Co więcej – znając datę urodzenia i płeć, możemy pokusić się o wygenerowanie listy numerów PESEL i sprawdzać je po kolei. W końcu trafimy. Korzystając z bramki do systemu PESEL możemy od razu je sprawdzać i odrzucać i to jest dość efektywny algorytm. W Polsce rodzi się ok. 1000 dzieci dziennie. Z grubsza połowa to chłopcy i druga połowa to dziewczynki. Z grubsza, bo chłopców rodzi się statystycznie więcej. Wystarczy zatem wziąć konkretną datę i zakodować na pierwszych 6 miejscach, a potem sprawdzać kolejne numery z dodaną cyfrą kontrolną. Jak wchodzi, znaczy istnieje. Jak nie wchodzi – znaczy że można odpuścić dalsze szukanie.

No dobrze, a co z tym nazwiskiem panieńskim matki? Na to też jest sposób, chociaż mniej efektywny. Można pobrać bazę żeńskich nazwisk i wybrać kilkanaście najczęściej występujących. Mając już odsiane numery PESEL możemy próbować dopasowywać nazwiska do numerów i z dość dużym prawdopodobieństwem trafić. Znając datę urodzenia i nazwisko panieńskie matki można trafiać nawet w konkretnych ludzi. A dane takie są dostępne, przynajmniej jeżeli chodzi o polityków i szeroko pojętych celebrytów. Często można je wyciągnąć także z Facebooka.

Czy zatem ta bramka GUS jest niebezpieczna? To zależy. Jeżeli jest zabezpieczona przed wielokrotnymi próbami logowania się, to raczej nie. Jest niebezpieczna tylko dla osób, które beztrosko podają swoje dane publicznie, jak ja:) Jeżeli zaś bramka nie jest odpowiednio zabezpieczona, to już o wiele gorzej. Może się bowiem stać narzędziem do zestawiania danych z różnych źródeł i tworzenia zasobu częściowo pochodzącego z rejestru PESEL. A może to już się dzieje i za jakiś czas eksploduje bomba...

Mamy w Polsce fajną usługę elektroniczną IKP, czyli Indywidualne Konto Pacjenta. Każdy obywatel może tam znaleźć recepty, skierowania, wizyty lekarskie i podobne informacje. Niby poręczne, ale coś jednak zgrzyta. Mianowicie – aby się dostać do IKP trzeba wcześniej wykonać sporo czynności. Wypisałem je poniżej, dokładnie tak, jak to wyglądało dzisiaj.

  1. otwieram stronę https://pacjent.gov.pl/
  2. Klikam na łącze “Przejdź do Zaloguj się do IKP”. Nic się nie dzieje, więc klikam jeszcze drugi i trzeci raz.
  3. Zaczynam szukać i okazuje się, że jest taka opcja rozwijanego menu nazwana “Kliknij, aby rozwinąć menu z możliwością zalogowania się do systemu”. To pewnie to, więc klikam.
  4. Jest łącze “Internetowe Konto Pacjenta”, więc klikam.
  5. Wcale nie jestem w oknie logowania, tylko na kolejnej podstronie. Nadzieja wraca po chwili, bo jest łącze “Zaloguj się”, więc klikam.
  6. Trafiam na podstronę jednolitego systemu logowania usług publicznych https://login.gov.pl/. To nadal nie jest miejsce, w którym mogę się zalogować, ale wybrać sposób logowania.
  7. Ja już wiem, co robić, ale za pierwszym razem zmyliły mnie wyświetlone nazwy banków. Bo to jest kolejny sposób logowania, którego akurat mój bank nie obsługuje. Klienci tych banków pewnie nie raz kliknęli w te łącza, a potem się wycofywali. Ja jestem cwany, więc klikam w łącze “Profil Zaufany”.
  8. Fanfary! Jest okienko do logowania! Wpisuję dane i okazuje się, że nie mogę się zalogować tym hasłem, bo wygasło. Zgrzytam resztkami zębów i zmieniam hasło.
  9. Akceptuję bez czytania “Warunki korzystania z systemu P1” i wreszczie wchodzę na moje konto pacjenta.

Tym razem nie użyłem możliwości logowania się przez bank, bo procedura byłaby jeszcze dłuższa. Zamiast wpisywania loginu i hasła musiałbym kliknąć w nazwę banku, zalogować się tam, potwierdzić w aplikacji, że to ja chcę się zalogować i voila!

Wydaje mi się, że dałoby się to zrobić prościej. Na przykład dać możliwość wybrania z listy usługi (w tym wypadku IKP) i z drugiej sposób logowania (profil zaufany). Od razu otwierałoby się okno do zalogowania. Takie rozwiązanie dawałoby także możliwość wypromowania usług cyfrowych związanych ze zdrowiem. Bo na pewno są też inne, tylko ja ich nie znam.

Od początku kwietnia przez 6 miesięcy trwa w Polsce Narodowy Spis Powszechny. Przydarzył się w czasie pandemii i trzeba było coś z tym zrobić. Wymyślono zatem aplikację do samospisu.

Aplikacja jest dość skomplikowana wewnętrznie i ma dołączone różne słowniki, na przykład z nazwami geograficznymi. Natomiast jest mocno niedostępna cyfrowo, co sprawdziłem na wersji demonstracyjnej i natychmiast wysłałem żądanie zapewnienia dostępności. Temat poruszył także portal Integracji. Nie wiem jednak, czy coś się zmieni, chociaż ruch się już zaczął.

No dobrze, ale co z tymi cyfrowo wykluczonymi? Na to też jest sposób, bo mogą się spisać przez telefon lub spotkać z rachmistrzem spisowym. Jednak to mają być wyjątki, a podstawową formą ma być spis przez aplikację. I jest to obowiązek zagrożony karami, zarówno finansowymi, jak i poważniejszymi.

Spodziewam się ciekawych efektów takiego podejścia, a przede wszystkim trollingu. Już czytałem dyskusję na temat narodowości i co wpisać zamiast polskiej. Podobnie z wyznaniem i językiem. W kontakcie bezpośrednim ludzie są mniej odważni, niż siedząc przed klawiaturą komputera. Tym bardziej, że może to być świetna okazja do manifestowania różnych postaw ideologicznych.

Ja czekam, aż poprawią aplikację na tyle, że będę mógł bez problemu sam się spisać. Mam na to jeszcze dużo czasu i nie śpieszy mi się z tym. Za to potem będę czekał z niecierpliwością na wyniki.

Rano dowiedziałem się, że chyba jednak dostanę szczepionkę. Była usterka w systemie i teraz ją naprawiają. A robią to za pomocą algorytmu.

  • jeżeli urodziłeś się w 1961 r. lub wcześniej to termin zostaje;
  • jeżeli twój termin szczepienia wypada 5 kwietnia lub wcześniej, to termin zostaje;
  • jeżeli urodziłeś się w 1971 lub wcześniej, to termin zostaje;
  • zmiana terminu na majowy;
  • end.

Czyli 17 kwietnia idę na Stadion Narodowy zaszczepić się szczepionką Fizer. Podobno tam na miejscu wszystko jest świetnie zorganizowane i idzie jak burza. Za 2 tygodnie się przekonam.

Wczoraj w Polsce przydarzyła się niezła wtopa ze szczepieniami. Zadzwonił do mnie znajomy i powiedział, żebym szybko dzwonił na 989 i umawiał dla siebie szczepienie. No to zadzwoniłem. Komunikat w automatycznym zgłoszeniu poinformował mnie, że jeżeli urodziłem się w 1961 roku lub wcześniej, to mogę nacisnąć 1. Urodziłem się później, ale i tak nacisnąłem.

Potem było bardzo przyjemnie i wygodnie. Najpierw poprosili o wpisanie numeru PESEL na klawiaturze, więc myślałem, że teraz system mnie odrzuci, bo mam na początku 70. Jednak przeszło dalej i teraz automat poprosił mnie o kod pocztowy bez myślnika. Wpisałem na klawiaturze 5 cyfr i system poinformował mnie, że szuka mi terminu. No i znalazł na 17 kwietnia! Potwierdziłem, że mi pasuje.

Potem eksplodowała bomba w mediach. Okazało się, że nic nie wiadomo. Raz mówili, że rozszerzają krąg uprawnionych do szczepień, a potem że to błąd systemu. Minister oświadczył, że to usterka i będą teraz powiadamiać wszystkich i przekładać terminy na maj. Wzruszyłem w duchu ramionami i postanowiłem czekać, aż dostanę wiadomość o przełożeniu terminu szczepienia.

Dzisiaj nic nie przyszło, ale wszedłem na moje indywidualne konto pacjenta i znalazłem tam skierowanie! Co ciekawe – z datą 31 marca, chociaż zgłaszałem się 1 kwietnia. Czekam dalej na rozwój wypadków, bo nie sądzę, że to się tak skończy.

Mam takie ambiwalentne odczucia. Z jednej strony – blamaż i obciach, a z drugiej – świetny interfejs telefoniczny. Podobno strona internetowa ciągle leżała. Znowu dobry pomysł i słabe wykonanie. Ciekawe, czy ktoś za to poleci... A ja wciąż nie wiem, czy dostanę szczepionkę, czy nie.