GovBox

@jsuchal napad: Co tak dat prvych N sprav zadarmo namiesto jedneho mesiaca?

1 Like

vychadzal som z tohto:

Ale po precitani ostatnych prispevkov vidim ze som mozno nepochopil zamer aplikacie:
Chceli ste statu ukazat ako ma vznikat taka aplikacia, ktora mu chyba od A po Z?
Ak ano potom plati co som napisal a suhlasim aj s prispevkom @pletko

Je to komercna aplikacia? Potom beriem spat vsetko co som napisal a len 2 poznamky:

  1. Odporucam oddelit vasu komercnu cinnost od neziskovky. Teraz ste este len pripravili prvu aplikaciu, ale podla mna nemozete sa snazit participovat na nastavovani sluzieb statu ako neziskovka na jednej strane a na druhej strane pripravovat riesenia priamo pre stat alebo profitovat z napojenia vasich sluzieb na sluzby statu, ktore komercne poskytujete a tvarit sa stale ako ta ista neziskovka. Toto sa moze obratit proti vam
  2. Ferovo skuste povedat ci by inej komercnej firme, ktora pride s novym produktom (pricom tento produkt uz niekto poskytuje) na druhy den venovali HNky alebo dennikN titulku, alebo ked NASES spristupni podobnu sluzbu, ci sa to stane. Som presvedceny, ze keby NASES spustil takuto sluzbu s parametrami ako ste nastavili a s otazkami, ktore vyvolava, tak ho tie media zadupu pod ciernu zem. Tolko k objektivite a vasej spolupraci s mediami uz ako poskytovatela komercnej aplikacie.

Oddelenie beriem, myslim, ze sa nieco podobne coskoro udeje. Na druhej strane nasa neziskovka od zaciatku hovori, ze chce lepsie sluzby egovu. Jeden sposob je pripomienkovat, kritizovat, zastavovat vylepsovat projekty/studie/etc, dalsi sposob je vytvarat lepsie sluzby egovu sami. Je to uplne konzistentne s tym co tvrdime a presadzujeme od uplneho zaciatku. Nechceme len kritizovat, ale aj prinasat riesenia. To je predsa to, co tu ludia po nas kricia denne. Tak tu to mate.

Chapem vyhrade v zmysle, ze moze nastat situacia, ze bude v nasom zaujme povedzme - netlacit tak na zlepsenie sluzieb slovensko.sk, lebo by to kazilo biznis govboxu. Tuto debatu sme mali interne, vitam akykolvek navrh ako tomu zamedzit. Za seba si viem uprimne zodpovedat otazku “robil by som nieco inak keby sme nemali govbox?” jasnym nie. Tuto otazku si budem musiet teraz asi klast castejsie, ale nemam s tym problem a nemam problem priznat konflikt zaujmov ked nastane. Napr. na pracovnych skupinach - kiez by tak robili dalsi co tam lobuju za svoje komercne aktivity uplne inom leveli.

Netreba robit z medii nesvojpravnych, ale ja za seba poviem, ze ma reakcia medii velmi zaskocila. Cakal som ovela odmeranejsi pristup z ich k strany. Ak by podobnu sluzbu predstavil nases (a mam pocit, ze pelegrini povedal, ze toto stat bude poskytovat zadarmo), tak ma zaujimaju uplne presne tie iste otazky ako si kladieme a dostavame dnes. Ako bude zarucovat dorucenie emailu a co bude robit, ked zisti, ze dorucitelny nie je. Myslim, ze na vsetko tieto otazky odpovede mame, budu vo vseobecnych obchodnych podmienkach. Rad si podobne VOP pozriem od nasesu - co sa tyka ich notifikacii na email/sms.

To vam nikto nezazlieva, prave naopak, len to je to na co som narazal. Ak by ste to postavili na tom ze prinasate nieco co tu stat nema a ukazujete ako sa to robit ma, tak by ten proces mal byt transparentny od zaciatku (idem robit to a to atd.) a teda nemalo by sa to platit. Skor by ste to mohli potom vyuzit pri kampani pre 2% z dani. Ked ste to postavili ako komercnu sluzbu tak je potrebne to oddelenie.

Presne nieco podobne som myslel, ale ani nie tak z pohladu vasej vnutornej integrity ale z pohladu ze to bude zneuzitelne voci vam.

Myslim, ze dolezita tu bude miera a definicia slova komercna - lebo my ziadny zisk vytvarat nemienime, naopak OZ to moze len pomoct, navyse KPI sluzby je nastavene salamunsky:

  • ak je to sluzba dobra pre ludi tak si ju kupia = lepsie sluzby egovu.
  • ak to stat do slovensko.sk dorobi = lepsie sluzby egovu.

Toto mozno bolo blbe ocakavanie, ja nevylucujem, ze presne takto to spravime pri inych veciach (napadov je dost, casu a kapacit malo), no tu sme tak neurobili.

Za seba viem povedat, ze tu zlozitu cast (integracia na nases, papierovacky a procesy) chcem zverejnit. Nech si tymto uz nemusi nikto prechadzat tak komplikovane, ked chce stavat nad tym lepsie sluzby ako spominal pan podpredseda. To mi pride fer, z pohladu toho, ze chcem, aby sa nieco vratilo aj do komunity. Moze byt?

Zdravím, tu by som sa zapojil. Keby ste išli do zaručenej konverzie, radi by sme ako advokátska kancelária spolupracovali.

EDIT: spoluprácu myslím vo forme, že by sme pre vás vedeli zabezpečovať konverziu dokumentov.

2 Likes

Ak máte vo firme dvoch konateľov, presne o tom to je, že ten druhý konateľ sa tam TECHNICKY dostane bez VÁŠHO OP s čipom - proste použije svoj, keďže na prístup je autorizovaný aj jeho občiansky.

Toto je tá istá situácia - keď udelíte plnú moc GovBoxu, vytvoríte ďalšej osobe (občianskemu združeniu) autorizáciu, aby so svojim OP do schránky vstúpila. Čiže len vy rozhodujete o tom, kto sa tam dostanete, v zásade je to akoby vaša firma udelila prokúru GovBoxu na vybavovanie poštovej agendy.

Moj predpoklad je, ze riesenie, ktore vytvorilo Slovensko.Digital sa obmedzilo len na tu najzakladnejsiu vec a to integraciu na EKR a maju naviac autorizaciu dorucenky cez G2G. Nic viac… .to je cisty amaterizmus, nepochopenie koncepcie fungovania ustredneho portalu. Nemaju urcite integraciu na EForm a nevytvaraju podania voci OVM, ani len primitivnu vseobecnu agendu… Ze mam pravdu pani ? A dosledkom toho je ze oni vam sice preposlu spravu na mail, ale ak chcete na nu reagovat tak musite vziat eID, mat naistalovane vsetky nastroje na podpisovanie podani a pouzit slovensko.sk… tak naco cely govbox…

Vas predpoklad je uplne spravny, mozno by vsak stalo za zamyslenie ake podania viete urobit s eid s BOKom bez ZEPu (teda to co si statutari dnes musia vybavit). A ci na to vlastne potrebujete nejake formulare a ci vlastne niekto chce komunikovat elektronicky ked ta moznost tu je roky a akosi ten zaujem neprisiel.

To ci je to cisty amaterizmus alebo o to niekto zaujem ma napriek tomuto nech ukaze trh. Nikomu nebranime urobit lepsie kvalitnejsie lacnejsie bezpecnejsie riesenie. My mame za to, ze drviva vacsina ludi chce spravy hlavne vediet pohodlne prijat. O tom je govbox teraz, ale urcite nechceme skoncit prijimanim sprav.

Ako vidím, tak diskusia na platforme sa úplne zmenila z pôvodnej myšlienky a cieľov S/D. Nestálo by zato, vrátiť sa k začiatkom a pôvodným cieľom S/D? Akonáhle do celého S/D vloží biznis, tak to nebude dobré…

Prosim nerobit skratky a vysvetlit preco. Dakujem,

Napodobne, dávková konverzia a pokročilá správa podaní…ideálna nadstavba

Problém je v tom, že či naozaj platí, že “len ja rozhodnem, kto sa tam dostane”. To totiž stojí na predpoklade, že NASES prevádzkuje systém el. schránok tak, že môžem veriť že iný prístup, ako mnou odsúhlasený, nie je možný. Na základe čoho tomu mám/môžem veriť?

NASES napríklad tvrdí, že „Základnou a nevyhnutnou požiadavkou pri prístupe k elektronickým službám je jednoznačná identifikácia osoby a následne jej autentifikácia.“ (link som tu dával už dvakrát). Na tej stránke tiež tvrdí, že “na autentifikáciu osoby sa môže použiť len občiansky preukaz s elektronickým čipom (eID) a bezpečnostný osobný kód (BOK).” Akurát, že GovBox je riešený tak, že k príslušnej schránke pristupuje (so súhlasom NASES) cez tzv. technický účet, bez eID. Znamená to, že čo sa týka bezpečnosti (prístupu k schránke), NASES na svojej stránke síce niečo tvrdí, ale realita je “trochu” iná - ide to aj bez eID. Prečo by som potom vôbec mal veriť tvrdeniam NASESu, prečo by som mal veriť, že “len ja rozhodnem, kto sa tam dostane”?

1 Like

Dôvod “prečo veriť” je asi len “preto, aby ste mali kľudný spánok”; rovnako ako v listinnej forme je šanca, že napr. okrem sudcu sa k vášmu spisu a všetkému čo je v ňom dostane hocijaký brigádnik v archíve, prípadne budú okolo neho chodiť komplet všetci, ako je to napr. na OS BA I., kde už nemajú kam dávať spisy, a tak majú skrine s nimi aj priamo vo výdajni výpisov, hneď vedľa dverí.

Aby som pridal trošku oleja do ohňa na tému “To, že som paranoidný, neznamená, že ma nesledujú”; tak včera vláda schválila novelu zákona o e-governmente, ktorá predpokladá doručovanie (listinnej) pošty tým spôsobom, že z úradu pôjde elektronicky do “baliaceho strediska”, kde sa to vytlačí, naobálkuje a zašle. Tzn. aj listinná pošta pôjde cez “sklad”, kde neviete koľko ľudí má od toho kľúče :slight_smile: Ak si dobre pamätám, tak je to koncipované tak, že v konečnom dôsledku to dôjde na poštu (IOM), ktorá je k adresátovi najbližsie, a tam vám to zabalia a budú doručovať. Live with that :wink:

1 Like

:slight_smile: Spávam dobre, o bezpečnosti papierovej pošty nemám ilúzie, pri nej však do istej miery mám na výber (napr. doručiť to osobne či kuriérom). V prípade el. schránok však ako štatutár nemám na výber - tak by som uvítal väčšiu otvorenosť/úprimnosť, keď ide o ich bezpečnosť.

To, ze k schranke sa da dostat aj bez eID pomocou technickeho certifikatu a integracneho rozhrania je kazdemu, kto sa teme trosku venuje, zname. NASES sa tym nijak netaji a je to popisane v integracnych manualoch.

Ak niekto prevadzkuje nejaky system, ktory ma pod vyhradnou kontrolou, potom je samozrejme vzdy otazne, nakolko mu mozes verit. Nie su tam zadne vratka? Neupravi niekto svojvolne alebo na poziadanie konfiguraciu, aby sa tam dostal aj iny subjekt? Ak sa vyskytne bezpecnostny incident da ti vediet? Je to vobec v jeho zaujme? To ale nie je problem iba NASES-u ako prevadzkovatela eDesk ale aj problem prevadzkovatela GovBox-u.

Povedzme, ze je relevatne predpokladat, ze samotny NASES ma lepsi zabezpecenu infrastrukturu, ako prevadzkovatel GovBox-u. Na druhej strane su tam aj sirsie moznosti manipulacie, napr. v pripade centralnej podatelne disponuje vsetkymi klucmi organizacii, ktore ju pouzivaju na pecatenie. V pripade zneuzitia zvnutra/infiltracie si utocnik moze veselo pecatit dokumenty a vydavat rozhodnutia za lubovolny organ verejnej moci, co je z mojho pohladu katastrofalna architektura.

2 Likes

Áno, ale bežný štatutár firmy nemá dôvod sa tak hlboko do toho ponoriť. Ak však vie trochu logicky uvažovať, práve existencia GovBox-u mu aj bez technických detailov napovie, že to, čo NASES verejne tvrdí o prístupe k schránke cez eID, nie je tak úplne pravda. A potom je vcelku logické položiť si otázku, či ide len o úlet, alebo do akej miery je bezpečnosť schránok podložená len takými tvrdeniami - nikde som nenašiel ani len zmienku o tom, že by návrh systému prešiel kvalifikovanou oponentúrou (koho?), alebo že by prevádzka toho systému z času na čas prešla nezávislým auditom. Atď.

Presne tak! To je to, čo mi vadí - keď sa pri takomto dôležitom systéme jeho prevádzkovateľ (resp. štát, lebo ten firmy núti el. schránky používať) ani len neusiluje presvedčiť používateľov, že na bezpečnosť myslel (pri návrhu) a stále myslí (pri prevádzke).

Áno, to je presné - z hľadiska bezpečnosti a s prihliadnutím na to, o aký dôležitý systém ide, je to katastrofálna architektúra. Ak sa budeme tváriť, že všetko je OK, aká je šanca, že pri iných, tiež dôležitých systémoch, sa takýto prístup už nezopakuje?

Povedzme, ze stat tento problem zle uchopil. Nemoze prilis propagovat moznost automatizovaneho pripojenia napr. z informacneho systemu firmy, pretoze keby to statutarom takto podal, tak by to nezvladol.

Je nejaky proces, akym prebieha integracia. Uz dohoda o integracnom zamere, ktora je na zaciatku a hovori o sluzbach. ktore sa planuju vyuzivat, skonci na review na stole jedneho cloveka. Neviem, kolko je aktivnych a.s. a s.r.o, ale tipujem tak okolo 230.000-250.000 (upresnite ma). Keby prejavila zaujem iba 1 firma zo 100, na tom jednom stole sa ocitne cez 2.000 dohod o integracnom zamere a dotycny pan si moze hodit maslu. Pritom automatizovany pristup k schranke je tak genericky problem a API tak jednoduche, ze sa to da riesit bez tychto cirkusov. Stacila by jednoducha Ziadost o automatizovany pristupk eDesk a automaticky a odstupnovany ban pre tych, co prislusne sluzby volaju mimo definovanych pravidiel (napr. na 5 min, 1h, 1 den, trvaly).

Mimochodom, taku zataz by neunieslo ani UPVS a vysvetlovat, preco je to problem po tolkych investovanych milionoch nie je celkom ziaduce.

Pan Pellegrini, namiesto toho aby sa zamyslel, kde system zlyhava a aby integraciu a automatizaciu co najviac podporil, nahana pocty obcianskych preukazov a mudruje v mediach, ci zverit vyberanie posty nejakej tretej strane. Jasne, ze pri takom pocte firiem je dopyt po “software as a service” rieseni. Je sokujuce, ze ho mesiac pred udajnou povinnou aktivaciou prekvapuje, ze s tym niekto prisiel. Hovorim o udajnej povinnej aktivacii, lebo vsetci, co sa tym zaoberaju vedia, ze termin povinnej aktivacie davno uplynul a to, ze nejaky uradnik pojem aktivacia usmernenim “ohol” a zmenil tak datum v povodnom zakone schvalenom NR SR je divadielko mozne len vdaka tomu, ze sa v tom ziadna zainteresovana strana nechce vrtat. Neveria tomu ani pravnici na jeho vlastnom urade (osobny rozhovor).

5 Likes

Ja by som dodal, ze 1.7. je do velkej miery fiktivny datum. Kopec OVM do schranky veci posielat vobec nevie a 1.7. to nebude vediet rovnako. Ja co mam aktivovanu schranku na firmu uz dlhsie, tak mi tam dosli za cely cas dve spravy od socialky. Snazili sme sa vypatrat co vlastne do tych schranok chodi a v akych poctoch. NASES toto musi vediet, ale nedozvedeli sme sa nic.

Pritom schranky nie su vobec zly napad, ale marketing stylom bububu statutari pozor pozor musite si to vybavit, namiesto - na tieto veci uz nemusite chodit na postu, pride vam to do schranky a skontrolujete si to bez cakania v rade (aj ked na zatial skaredom webe) netrebalo vela rozmyslania.

3 Likes

Api je povedzme relativne jednoduche, ale… je tam este nastavenie infrastruktury, kadejake ipsec tunely, atd atd. Diabolsky plan by bol spravit open api proxy povedzme s oauth. Pravdepodobne sa teraz bezpecakom jezia vsetky vlasy, ze by bolo produkcne api len tak otvorene do internetu. S dobrym rate limiterom si viem predstavit, ze by to mohlo fungovat. Ved nakoniec, celosvetove aplikacie, tak bezne funguju a maju o niekolko radov vacsi traffic. Ako by sa vsak zacalo spravat pod tym loadom UPVS si neodvazim hadat. Inak velmi podobnu diskusiu sme mali priamo v nases NASES - skusenosti s integraciou na UPVS - #22 by jsuchal