Tożsamość w czasach internetu

Elektroniczny podpis kwalifikowany ma taką samą ważność jak odręczny i w firmach może go zastąpić.

Duża część dokumentów wychodzących z firmy musi być podpisana przez pracownika. Dotychczas stosowano podpis odręczny, a dokument był przesyłany tradycyjną pocztą. Proces był długotrwały, co spowalniało procesy biznesowe, dlatego też firmy decydowały się na usprawnienie go przez przesyłanie kopii dokumentów faksem, by później dostarczyć oryginał pocztą. Później miejsce faksu zajęła poczta elektroniczna, która działa sprawniej i umożliwia przesłanie skanów dokumentów o znacznie lepszej jakości, a także dowolnych załączników, w tym plików biurowych, nad którymi obie strony mogły równocześnie pracować. Wadą faksu jest jego słabe bezpieczeństwo - przy ważnych dokumentach nie powinno się go stosować.

Faksymila to ryzyko dla firmy

Przesyłanie dokumentów faksem nie gwarantuje autentyczności i niezmienności treści, jest także podatne na fałszerstwa. Wystarczy skopiować na kserokopiarce prawdziwy podpis odręczny upoważnionej osoby z dowolnego dokumentu, wkleić do fałszywego dokumentu (np. zamówienia), zamaskować korektorem miejsca wklejenia, ponowne skopiować i kopię wysłać faksem. Odbiorcy będzie trudno podważyć autentyczność. Fałszerstwo wyjdzie na jaw dopiero wtedy, gdy analizą zajmą się laboratoria organów ścigania. Gdyby dokument był traktowany tak jak oryginał (a często się to jeszcze zdarza), proste fałszerstwo może narazić firmę na znaczne straty. Ponieważ zarówno treść, jak i dane nadawcy faksu można sfałszować, w firmach należy przyjąć zasadę zerowego zaufania do dokumentów wysyłanych faksem i traktować je co najwyżej jako szybką kopię tego, co ostatecznie będzie potwierdzone inną drogą.

Elektroniczny posłaniec bez gwarancji

Zintegrować podpis z systemem firmy

Portal webowy oraz aplikacja instalowana na stacji roboczej mają ograniczenia wynikające z konieczności kopiowania i przenoszenia plików, które podlegają podpisaniu. Aby ułatwić pracę przy wysyłce większej liczby dokumentów, można zintegrować podpis elektroniczny z systemem ERP czy CRM w firmie. W ten sposób pracownicy mogą podpisać dokumenty przeznaczone do wysyłki, znajdujące się np. w systemie obiegu dokumentów, a następnie uruchomić ich automatyczną wysyłkę drogą elektroniczną. Metoda ta jest bardzo szybka w działaniu i o wiele bardziej wydajna od podpisywania każdego z dokumentów z osobna. Unika się także problemu związanego z ewentualnym niedopatrzeniem pracownika i podpisaniem niewłaściwego pliku. W przypadku firm, które wysyłają dużo dokumentów, integracja z systemem obiegu jest najsprawniejszym sposobem wdrożenia podpisu elektronicznego.

Poczta elektroniczna bardzo szybko stała się podstawowym sposobem przesyłania firmowych dokumentów. Oprócz przesyłania projektów plików w oryginalnym formacie (czego faks nie potrafi) oraz skanów gotowych dokumentów, za pomocą poczty elektronicznej można przesłać także inne pliki lub linki do obiektów dostępnych na serwerach. W porównaniu do faksu bezpieczeństwo jest trochę lepsze, gdyż można zweryfikować adres IP nadawcy, niestety, sfałszowanie niepodpisanego e-maila nadal jest możliwe. Niepodpisana wiadomość przesłana pocztą elektroniczną nie gwarantuje ani integralności treści, ani potwierdzenia tożsamości nadawcy.

Plik podpisany

Większość dokumentów, które są podpisywane w firmach, nie wymaga później żadnej edycji po stronie podmiotu odbierającego treść. Powszechnie wykorzystuje się zatem pliki PDF, za których pomocą można przesłać skan dokumentu papierowego, treść pliku powstałego w pakiecie biurowym, a także dowolną zawartość, w tym zdjęcia, a nawet osadzone wideo. Taki plik można podpisać i przesłać jako normalny załącznik e-mail. Odbiorca może sprawdzić integralność, potwierdzić tożsamość nadawcy, a podpis kwalifikowany jest odpowiednikiem podpisu odręcznego. Można także znakować dokumenty kwalifikowanym znacznikiem czasu w sposób nieulegający wątpliwości - dzięki temu w podpisie dokumentu zawarta jest informacja o dacie i godzinie podpisania, stanowiąc skutek daty pewnej w rozumieniu prawa. Podpis znakowany czasem umożliwia złożenie na przykład zleceń nabycia z określoną datą, przy czym nie może nastąpić zafałszowanie chwili, w której dokument został podpisany. Ma to znaczenie przy przetargach, transakcjach handlowych, oświadczeniach lub zeznaniach.

Jak sprawdzić podpis

Istotą podpisu elektronicznego jest klucz prywatnego i publicznego, a także zaufany podmiot - urząd certyfikacji CA (certification authority), który potwierdza fakt własności klucza publicznego danej instytucji lub osoby. Ponieważ oprócz zabezpieczeń technologicznych i matematycznych wprowadzone zostały procedury uwierzytelnienia osoby starającej się o prawo wykorzystania podpisu kwalifikowanego, można założyć, że pomyślny wynik weryfikacji poprawnie złożonego podpisu elektronicznego wskazuje, że treść dokumentu nie została zmieniona przez osoby niepowołane, a sam podpis został złożony przez osobę, która miała do tego prawo. Przy weryfikacji sprawdza się integralność oraz fakt złożenia podpisu za pomocą klucza prywatnego odpowiadającego kluczowi publicznemu, zawartemu w podpisanym przez urząd certyfikacji certyfikacie. W połączeniu online sprawdza się także status certyfikatu, czy nie został on unieważniony, odwołany lub zawieszony przez CA, a także czy nie nastąpiło odwołanie lub zawieszenie samego CA.

Jeśli osoba podpisująca wykupiła usługę znakowania kwalifikowanym znacznikiem czasu, informacje o dacie i godzinie złożenia podpisu mają skutek prawny. Wykrycie fałszerstwa jest proste - dokument zmodyfikowany po podpisaniu nie będzie pasował do skrótu kryptograficznego określającego rzeczywiście podpisany dokument.

Sekret na karcie, usługa w sieci

Ze względów prawnych i bezpieczeństwa klucze podpisu przechowuje się wyłącznie na kartach inteligentnych. Karta taka zawiera mikroprocesor, w którym zawarte są informacje, na kogo wystawiony jest certyfikat, oraz parę kluczy niezbędnych do podpisania i weryfikowania dokumentu. Po włożeniu do czytnika proces podpisu jest realizowany przez oprogramowanie znajdujące się zazwyczaj na stacji roboczej.

Ciekawe rozwiązanie, które nie wymaga instalacji oprogramowania podpisu elektronicznego na stacji roboczej, przedstawiła firma Unizeto. System ten korzysta ze standardowych czytników, kart oraz aplikacji umożliwiającej podpisanie plików PDF online w przeglądarce, bez konieczności instalacji oprogramowania na stacji roboczej. Chociaż jego działanie jest ograniczone tylko do plików PDF, w praktyce większość dokumentów jest wysyłana właśnie w tym formacie. Do podpisu wykorzystuje się aplet Java, który odwołuje się do certyfikatów dostępnych dla danej stacji roboczej. To metoda przenośna, pod warunkiem że w systemie operacyjnym są zainstalowane sterowniki do czytnika kart inteligentnych. Weryfikacja podpisu może się odbyć praktycznie z dowolnego urządzenia za pomocą zwykłej przeglądarki internetowej. W ten sposób można sprawdzić podpisy elektroniczne i certyfikaty klucza publicznego wydawane przez wszystkie centra certyfikacji w Unii Europejskiej i Rosji. Ponieważ odpowiedzialność za prawidłową weryfikację i proces składania podpisu przejmuje podmiot świadczący usługę, prawdopodobieństwo prostych ludzkich błędów jest o wiele mniejsze niż przy standardowej instalacji na typowej stacji roboczej.

Komentarz

Tomasz Litarowicz

dyrektor Obszaru Podpis Elektroniczny Unizeto Technologies

Obecnie rozwija się szersza świadomość użyteczności i wygody stosowania podpisu elektronicznego w polskich firmach. Jednak już teraz coraz częściej po to rozwiązanie sięgają nie tylko księgowi, ale również sami przedsiębiorcy. Ma to związek z szerokim spektrum zastosowań w relacjach z administracją - CEIDG, ePuap, ZUS (PUE), Urząd Skarbowy, GIODO itd., z klientami, gdzie podpisywać elektronicznie możemy np. wystawiane e-faktury oraz w kontaktach biznesowych, jak chociażby zawieranie umów handlowych drogą elektroniczną.

Zainteresowanie e-podpisem rozwija się na całym świecie. Jak wynika z raportu Gartner, rynek ten urósł w 2011 r. o 48% w porównaniu do roku poprzedniego i osiągnął odpowiednią dojrzałość do dynamicznego rozwoju na całym świecie. Obecnie wyłącznie z tzw. bezpiecznego e-podpisu korzysta ponad 260 tys. polskich podmiotów, a liczba ta będzie rosnąć w kolejnych latach. Wpływ na takie zjawisko będą miały z jednej strony potrzeby generowania oszczędności, a z drugiej rosnąca liczba zagrożeń cyberprzestępczych. Z analizy Unizeto Technologies wynika, że wprowadzenie podpisu elektronicznego w przedsiębiorstwach może generować od 5 tys. (w przypadku małej firmy) do ok. 50 tys. zł (w przypadku dużej firmy) oszczędności w skali roku. Zestawiając to z kosztem ok. 300 zł za kompletny zestaw z kartą kryptograficzną i jej czytnikiem, od razu widać korzyści. Ponadto rosnąca potrzeba bezpieczeństwa również przemawia za e-podpisem. Warto zauważyć, że na tym rynku nie ma miejsca dla niezweryfikowanych dostawców usług. Przykładowo CERTUM znalazło się w tym roku na liście zaufanych dostawców certyfikatów - Adobe Approved Trust List. Dzięki temu e-podpisy, składane przez klientów CERTUM w dokumentach PDF, są uznawane jako zaufane w popularnych programach Adobe. Daje to jasny sygnał osobie otwierającej taki dokument, że podpis został złożony z użyciem bezpiecznej technologii i certyfikatu.

Podpis w pliku PDF

W standardzie PDF od wersji 1.3 wprowadzono opcje podpisu elektronicznego, umożliwiając także weryfikację za pomocą każdego zgodnego z tym standardem i rozszerzeniem czytnika. Oprócz oprogramowania Adobe dostępne są także inne implementacje komercyjne (m.in. NitroPDF, PDFlib, FormRouter, RainbowPDF, Arx, PDFMachine, IBEX, NitroPDF, CutePDF), aż po otwartą implementację iText. Dla firm dostępne jest także API, które można wykorzystać we własnych aplikacjach.

Funkcjonalność podpisu w standardzie PDF znacznie wykracza poza to, co do niedawna oferowały pakiety biurowe, wprowadzając obsługę wersjonowania dokumentów, rejestrację zmian i komentarzy oraz szyfrowania i ograniczania dystrybucji dokumentów. Obecnie zarówno standard, jak i niektóre jego implementacje (m.in. Adobe) są zgodne ze europejskim standardem kwalifikowanego podpisu elektronicznego, obowiązującym także w Polsce. Przykładowym zastosowaniem takiej metody podpisu dokumentów jest dystrybucja informacji o transakcjach lub elektronicznych dokumentów z zamówieniami.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200