środa, 10 marca 2010

(Nie) Bezpieczne PITy? [PL]

Promuj

Minął luty, więc większość z nas staje jak co roku przed koniecznością wypełnienia i dostarczenia do urzędu skarbowego rocznego zeznania podatkowego. Nie jest to ani przyjemne, ani łatwe, dlatego wielu z nas wspomaga się licznymi aplikacjami, które choć trochę uproszczają ten obowiązek. Aplikacji „wspomagających” jest dużo, dodawane są do różnych gazet, niektóre można pobrać z Internetu, dzięki temu każdy (często nawet nie czytając skomplikowanych instrukcji, czy aktów prawnych) może w miarę łatwo i bezbłędnie wypełnić zeznanie. Dodatkowo cieszyć powinna też możliwość przekazania deklaracji w sposób elektroniczny, bez potrzeby odwiedzania urzędu skarbowego, czy przesyłania deklaracji pocztą.

Zastanówmy się jednak, czy te ułatwienia rzeczywiście mają same dobre strony?

Przez Internet rozliczyć się można na dwa sposoby. Poprzez interaktywne formularze na stronie przygotowanej przez Ministerstwo Finansów: www.e-deklaracje.gov.pl lub pobierając z tej strony specjalny program, który instaluje się na własnym komputerze. Nie można wysyłać deklaracji jako załącznik do poczty elektronicznej. Nie jest już potrzebny kwalifikowany podpis elektroniczny. Zamiast kwalifikowanego podpisu elektronicznego dla każdego z podatników wykorzystywany jest specjalny numer referencyjny (też pewnego rodzaju podpis – ale uproszczony), oparty na zestawie następujących cech identyfikujących podatnika składającego zeznanie (wg www.e-deklaracje.gov.pl)

  • numer NIP,

  • imię (pierwsze),

  • nazwisko,

  • numer PESEL (jeśli podatnik posiada ten numer),

  • data urodzenia,

  • kwota przychodu z zeznania lub rocznego obliczenia podatku za rok 2008 albo wartość „0” (zero) w przypadku gdy za rok 2008 nie zostało złożone żadne zeznanie lub obliczenie.

Tak przygotowany podpis zapewnia autentyczność zeznania elektronicznego za rok 2009. Jeżeli powyższy zestaw danych jest błędny, to system nie przyjmie zeznania. O odrzuceniu deklaracji zostaniemy poinformowani poprzez otrzymanie statusu: „414 Weryfikacja negatywna - błąd w danych identyfikacyjnych”, w trakcie próby pobrania Urzędowego Poświadczenia odbioru (UPO). Podanie prawidłowej kwoty przychodu oraz wszystkich prawidłowych danych z sekcji „dane autoryzacyjne do podpisania zeznania” jest warunkiem koniecznym do prawidłowego złożenia zeznania rocznego. Dużym pozytywem jest też fakt, że deklaracja jest weryfikowana i nieprawidłowo wypełniona deklaracja nie może zostać wysłana.

Opisywany tutaj przykład jest więc klasycznym rozwiązaniem, w którym przesyłane informacje podpisywane są z wykorzystaniem szyfrowania o współdzielonym sekrecie. Obie strony muszą znać ten sekret, aby stwierdzić czy podpis przesyłanych danych jest poprawny. W opisywanym tutaj systemie na sekret składają się: nazwisko, imię, data urodzenia, numer NIP i PESEL oraz kwota przychodu określona w zeznaniu rocznym lub rozliczeniu podatnika złożonym za rok poprzedni. Cechy te, weryfikowane w systemie centralnym, posłużą jednocześnie do ustalenia tożsamości podatnika korzystającego z usługi. Wystarczy, by intruz znał wszystkie wspomniane wcześniej cechy, by mógł przekazać „za nas” PITa. Takie dane jak: nazwisko, imię, data urodzenia, numer NIP i PESEL, są chronione ustawą o ochronie danych osobowych, ale ponieważ są one podawane różnym instytucjom, więc stosunkowo łatwo można sobie wyobrazić, że te dane wyciekną.

Zostaje jeszcze kwota przychodu określonej w zeznaniu rocznym lub rozliczeniu podatnika złożonym za rok poprzedni, która w teorii powinna być znana tylko podatnikowi i urzędowi skarbowemu. Czy jednak tylko tym dwóm stronom? Niestety wcale tak nie musi być. Przecież posiłkujemy się dodatkowymi usługami lub oprogramowaniem, by tego PITa wypełnić. Musimy mieć więc zaufanie do osoby, której zlecamy usługę wypełnienia deklaracji lub do twórców oprogramowania, którego celem też jest wypełnienie tej deklaracji. I nie chodzi tylko o zaufanie co do poprawności wypełniania PITu, ale też zaufanie dotyczącej rzetelnej ochrony naszych danych. W licencjach dołączanych do oprogramowania bardzo często możemy znaleźć zapisy, że licencjodawca dołożył starań, aby program działał prawidłowo w zakresie technicznym, a szczególnie merytorycznym, ale ponieważ program jest tworem myśli ludzkiej, nie można wykluczyć, że nie jest wolny od błędów. Z tego powodu autor nie ponosi żadnej odpowiedzialności za jakiekolwiek szkody materialne i niematerialne. Są to dość standardowe zapisy. Zastrzeżenie może jednak budzić fakt, że najczęściej nie ma żadnych zapisów potwierdzających należytą ochronę danych osobowych. Dodatkowo większość z dostępnych aplikacji nie jest podpisana elektronicznie, przez co nie można precyzyjnie zidentyfikować producenta. Nie można więc ignorować możliwej sytuacji, w której program zbiera nasze dane osobowe oraz dane związane ze składaną przez nas deklaracją i udostępnia je osobom trzecim. W wyniku zdarzenia się, opisywanej tutaj hipotetycznej sytuacji, osoba trzecia może w prosty sposób wejść w posiadanie kompletu informacji potrzebnej do podszycia się pod nas i złożenia w roku następnym fałszywej deklaracji. Oczywiście analiza, czy program danych nie wykrada, może być bardzo trudna, a często niedozwolona przez licencję (zabrania się inżynierii wstecznej, dekompilacji, itp... ). Pewnym pocieszeniem jest fakt, że jeśli uda nam się złożyć zeznanie przed fałszerzem, to on nie złoży już kolejnego przy pomocy tego prostego - internetowego sposobu. Korekty zeznań należy składać drogą tradycyjną lub w formie elektronicznej opatrzonej bezpiecznym podpisem weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. Pytanie jednak, czy to powód by się spieszyć, aby ktoś nas nie ubiegł?

Z przytoczonych wyżej informacji nie trudno wyciągnąć wniosek, że zaproponowane przez Ministerstwo Finansów rozwiązanie nie jest całkowicie bezpieczne, a ryzyko, że ktoś się pod nas podszyje, jest dość duże (nie biorę tutaj pod uwagę ew. motywu takiego działania). Co z tego, że ministerstwo wyszło nam więc naprzeciw i zrezygnowało z drogiego i mało popularnego podpisu kwalifikowanego na korzyść prostszego mechanizmu, skoro wybrane zabezpieczenie (oparte na współdzielonym sekrecie) okazuje się łatwe do obejścia. Pocieszać może fakt, że na stronie Ministerstwa Finansów ( www.e-deklaracje.gov.pl ) znaleźć można również aplikację dostarczaną przez MF, która jest opatrzona podpisem elektronicznym, który weryfikuje tożsamość dostawcy. Dzięki wykorzystaniu tej aplikacji możemy mieć pewność, że dostawca oprogramowania nie ma potrzeby wykradania danych, których i tak jest posiadaczem. Niestety dostarczany przez MF program może wydawać się odrobinę trudniejszy w użyciu od innych tego typu aplikacji, gdyż brakuje mu wygodnego kreatora i działa jako edytor, który pozwala w sposób elektroniczny wypełnić PIT.

Reasumując, to że Ministerstwo Finansów umożliwiło składanie PITu drogą elektroniczną i bez wykorzystania podpisu kwalifikowanego wydaje się chyba dobrym posunięciem, aczkolwiek wydaje się koniecznym dopracowanie przyjętego rozwiązania, by było ono bardziej bezpieczne. Tymczasem my, musimy zastanowić się komu powierzamy nasze dane, z jakich aplikacji korzystamy i czy mamy do nich zaufanie. Wybierajmy te aplikacje, których dostawca przynajmniej podpisał cyfrowo instalator.

Na koniec chciałbym wszystkim (a zwłaszcza specjalistom z MF) polecić książkę pt.: „Sztuka podstępu. Łamałem ludzi, nie hasła”, tytuł oryginału: „The Art of Deception”, autorzy: Kevin Mitnick, William L. Simon. Książka ta przy pomocy prostego i nietechnicznego języka opisuje możliwości oszukiwania, podszywania się, wyłudzania itp... Może to choć trochę pomoże uniknąć niedopracowanych rozwiązań na przyszłość.

I jaka decyzja? Składacie PIT'a przez Internet? Ja na razie nie, jeszcze poczekam...

Niniejsze opracowanie powstało,w oparciu o wiedzę autora i następujące materiały:

Promuj

7 komentarzy:

  1. Podobnie łatwo ma ten, kto zdecyduje się podszyć pod inną osobę przesyłając PITa pocztą - nie musi znać kwoty przychodu za poprzedni rok, za to musi sfałszować podpis. Ale w obu przypadkach, gdy do US dotrą dwa zeznania podatkowe, zostanie to wykryte i podatnik się o tym dowie (z błędu na stronie lub pisma z US).

    OdpowiedzUsuń
  2. Zgadza się, że podobnie można podszyć się wykorzystując pocztę, lub zanosząc osobiście PIT'a do Urzędu, tylko czemu tworzyć kolejne niedopracowane rozwiązanie? Czemu na www.e-deklaracje.gov.pl jest napisane, że jest to rozwiązanie bezpieczne? (przecież nie jest). Czemu bez zastanowienia wpisujemy nasze dane do różnych aplikacji, których autorzy nawet nie potwierdzili poprzez podpis elektroniczny? Czemu wielu ludzi nie wie nawet, że oprogramowanie powinno być podpisane? Wydaje mi się że warto się nad tym wszystkim chwile zastanowić...

    OdpowiedzUsuń
  3. Mimo wszystkich tych "niedogodności" cieszę się, że MF w ogóle "zechciało" ułatwić nam, podatnikom, możliwość rozliczania się przez internet.

    OdpowiedzUsuń
  4. Artykuł dostępny też na portalu Wiadomości 24: http://www.wiadomosci24.pl/artykul/nie_bezpieczne_pity_130422.html.

    OdpowiedzUsuń
  5. Rozumowanie autora jest dość abstrakcyjne i trudno się z nim zgodzić. Dane osobowe łatwo wyciekają, kwoty z ostatniego zeznania latają po sieci bo aplikacja MF jest zbyt trudna, idąc tym tropem podpis kwalifikowany też nie jest bezpieczny, bo źli ludzie pracują w CA, a nawet jak nie są źli to Mitnick skompromituje to CA.

    Rozwiązanie jest na tyle bezpieczne na ile jest bezpieczne jego najsłabsze ogniwo. W porównaniu do standardowych metod rozliczania możliwość uzyskania danych, złożenia zeznania w imieniu innej osoby jest o wiele trudniejsze.

    Ostatnio płaciłem podatek w okienku w US i stojąc w kolejce bez problemu mogłem zebrać kilka kompletów danych osobowych, co przy wykorzystaniu dedykowanej aplikacji MF i rozliczeniu przez internet wydaje się trudniejsze, abstrahując oczywiście od zabezpieczeń stacji roboczej rozliczającego.

    OdpowiedzUsuń
  6. Do tego dochodzi jeszcze jedno miejsce wycieku - pracodawca składającego. Mając dostęp do PITa pracowników, osoba zajmująca się ich wystawianiem może potem z tzw. bezpiecznego miejsca nieźle im nabałaganić.
    Nikt też nie testował scenariusza w którym dane faktycznie dostał złośliwy atakujący i celowo oraz złośliwie składa w ilościach hurtowych korekty do zeznania. Ciekawe co na to US? No chyba że są procedury, nieznane masom (czemu?), wg których można czasowo lub trwale zablokować możliwość e-rozliczenia dla konkretnego podatnika.

    OdpowiedzUsuń
  7. W tekście mamy przepiękny przykład pozbawionego sensu myślenia o systemach zabezpieczeń. Zadajmy więc dwa prawidłowe pytania:

    1. jakie zagrożenie spowoduje 'przełamanie zabezpieczeń'?
    2. w jaki sposób się rozliczyć się bezpieczniej?

    Odpowiedzi są aż nadto proste:
    1. żadne
    2. w żaden.

    A nieco rozwijając:
    ad. 1. dopóki system umożliwia jedynie składanie deklaracji, a nie ich korekt, ewentualne szkody ograniczą się do tego, że zamiast złożyć zeznanie drogą elektroniczną, będę musiał pofatygować się do urzędu, a do wniosku papierowego dołączyć wyjaśnienie (jak zawsze przy jakiejkolwiek korekcie) stwierdzające, iż 'ja się nie rozliczałem' - czy US skieruje sprawę do zbadania prokuraturze czy nie, to już nie różni się niczym od deklaracji złożonej w czyimś imieniu na papierze. W KAŻDYM przypadku jest równie łatwo podrobić i równie łatwo wychwycić zdublowaną deklarację.
    Biorąc natomiast pod uwagę wynikłe zagrożenie, a raczej jego brak, należy poddać w wątpliwość celowość takiego działania. Ergo: wspomniane sytuacje będą na tyle marginalne, na ile marginalne jest składanie fałszywych zeznań papierowych. Z tym, że tutaj jest znacznie ŁATWIEJ WYKRYĆ SPRAWCĘ (system z pewnością przechowuje adresy IP, więc jest się o co zaczepić).

    ad. 2. zacytujmy tutaj arcymądrą myśl kończącą tekst:
    "I jaka decyzja? Składacie PIT'a przez Internet? Ja na razie nie, jeszcze poczekam..."
    Buahahahahahhaaaaaa. Ha. Cóż z tego, że sam pobiegniesz z kawałkiem papieru, skoro ewentualny atak nie jest kierowany w składającego zeznanie drogą elektroniczną, lecz w DOWOLNEGO podatnika? Fakt, że sam nie skorzystasz z tej metody, nie zmienia NIC, bo i tak już mogłeś zostać 'podrobiony'.

    OdpowiedzUsuń

Posty powiązane / Related posts