Złudna pewność starych procedur

Z zainteresowaniem przeczytałem artykuł Iwony D. Bartczak "Złudna pewność starych procedur" (CW nr 27/2000). Autorka zawarła w artykule kilka bardzo ważnych spostrzeżeń.

Istniejące w Polsce procedury zastępujące tradycyjny podpis elektronicznym podpisem cyfrowym. Czy rzeczywiście takie procedury istnieją, czy gotowe jest już ustawodawstwo dotyczące podpisu cyfrowego? W wielu krajach prace nad ustawodawstwem dotyczącym podpisu cyfrowego są w toku, niektóre kraje wstrzymują się z wydaniem regulacji prawnych do czasu ustalenia dobrych praktyk. Jednym z zasadniczych problemów jest np. kwestia zgubienia podpisu cyfrowego i odpowiedzialności instytucji finansowych w przypadku posługiwania się podpisem cyfrowym przez osobę podszywającą się pod właściciela podpisu!

Autorka pisze, że "twórcy tego rozwiązania informatycznego byliby w stanie dokonać przestępstwa i złamać kody...". Po co komu taka kiepska nowoczesność? Czy mowa tutaj o rodzimych rozwiązaniach programowych, czy też o rozwiązaniach właściwych, wykorzystujących zabezpieczenia sprzętowe? Dziwię się instytucjom wprowadzającym powszechnie w Polsce nowinki - takie jak dostęp internetowy do finansów - bez zastosowania niezbędnych zabezpieczeń, takich zabezpieczeń, które uniemożliwiają nawet twórcom rozwiązania złamanie systemu! A rozwiązania takie są doskonale znane i sprawdzone, tylko nie docierają do głów decydentów (są zwykle kosztowniejsze od tradycyjnej szafki do przechowywania w niej wzorów podpisów i o ile z zatwierdzeniem zakupu takiej szafki nie mają problemów, to trudno im zatwierdzić zakup spełniającego podobne funkcje sprzętu kryptograficznego). Być może to brak wiedzy i wyobraźni doradców decydentów powoduje takie, a nie inne decyzje. Wydaje się, że autorka sprzedaje w artykule niebezpieczne prawdy dotyczące zabezpieczeń transakcji finansowych. Niebezpieczne, dlatego że poziom świadomości w tej dziedzinie jest nikły, a Państwa gazeta pełni rolę opiniotwórczą.

Proszę nie odbierać mojej pisaniny jako totalnej krytyki nowoczesności. Inicjatywa autorki jest cenna i idea artykułu bardzo słuszna. Chcielibyśmy, aby nowe, elektroniczne usługi wprowadzane były z sensem i bezpieczeństwem kojarzonym z solidnymi instytucjami finansowymi, niezależnie czy te instytucje posługują się papierem, czy urządzeniami elektronicznymi. Zasadniczą ideą przy przejściu od systemów tradycyjnych (papierowych) do elektronicznych jest zachowanie wszystkich usług bezpieczeństwa, znanych ze środowiska tradycyjnego, w środowisku elektronicznym. Często nie zdajemy sobie sprawy z naszych naturalnych czynności i zachowań, a te właśnie muszą być przeniesione w świat elektroniki.

Chciałbym dodać, że w Polsce funkcjonuje od wielu lat (bodaj 6) jeden z pierwszych na świecie (o ile nie pierwszy) systemów wykorzystujących podpis elektroniczny do zabezpieczenia transakcji finansowych. Pracuje bez szumu związanego z bieżącym e-cośtam.

Adam Gregorczyk

Summit Technologies plc

oddział w Warszawie