Wiarygodność źródła
-
- Krzysztof M. Święcicki,
- 01.07.2002
Dokument papierowy - oryginał może znajdować się tylko w jednym miejscu i różni się od swoich kopii. Jak jest w przypadku dokumentu elektronicznego, rozpatrzmy na przykładzie typowej operacji pobrania gotówki z bankomatu sieci PKO BP SA przy użyciu karty VISA wydanej posiadaczowi rachunku w tym banku.
1 Komputer bankomatu buduje komunikat oparty na treści informacji sczytanej z karty (której legalność użycia została potwierdzona podaniem prawidłowego PIN-u) oraz na podstawie polecenia klienta wyrażonego ręcznym wpisaniem na klawiaturze cyfrowej pożądanej kwoty wypłaty.
2 Komunikat zostaje utrwalony na nośniku komputerowym bankomatu, zaszyfrowany i uwierzytelniony pewnym rodzajem podpisu elektronicznego, po czym wysłany siecią komputerową do centrum autoryzacyjnego Organizacji VISA w Londynie. Po drodze przechodzi przez wiele komputerów w węzłach sieci teletransmisyjnej.
3 System komputerowy w centrum autoryzacyjnym, odbierając komunikat, utrwala go na swoim nośniku operacyjnym i podejmuje decyzję o realizacji lub odrzuceniu transakcji; odpowiedni komunikat zwrotny wraca do bankomatu oraz, w przypadku decyzji pozytywnej, zostanie wygenerowany i wysłany drugi komunikat do centrum przetwarzania danych w banku w Warszawie, by spowodować obciążenie rachunku klienta. Zgodnie z art. 7 Prawa bankowego bank PKO BP SA otrzymał "oświadczenie woli" klienta "złożone za pośrednictwem elektronicznych nośników informacji", które to oświadczenie jest "dokumentem spełniającym wymagania formy pisemnej".
To oświadczenie woli jest zapisane w bankomacie, jak również choćby chwilowo w komputerach zlokalizowanych w węzłach teletransmisyjnych pośredniczących w przesyłaniu komunikatu czy komputerach centrum autoryzacyjnego Organizacji VISA w Londynie i centrum przetwarzania danych banku PKO BP SA w Warszawie.
Schematy przetwarzania
W związku z powyższym pojawia się zasadnicze pytanie: gdzie znajduje się oryginał dokumentu, za pomocą którego klient złożył opisane wyżej oświadczenie woli i którego dotyczą przepisy Prawa bankowego? Która to z wielu identycznych kopii komunikatu, znajdujących się na nośnikach operacyjnych licznych komputerów zaangażowanych w jego generowanie, przesyłanie i przetwarzanie, w tym jego przechowywanie (choćby tylko chwilowe), ma rangę oryginału i jaka cecha o tym decyduje?
W bajkach za dokonania wychodzące poza powszechną normę obiecywano konia z rzędem, pół królestwa i rękę córki na dodatek. Polska jest Rzeczpospolitą i króla nie posiada, koń przestał być powszechnym środkiem transportu indywidualnego, a kobiety teraz same decydują o swym stanie matrymonialnym - tak więc nagrody nie mam, ale mogę obiecać: pytanie w każdym razie czeka na odpowiedź.
Rozpatrzmy lewą stronę schematu, biorąc jako przykład bank. Przy obecnym stanie techniki i prawa, niezależnie od wejścia w życie Ustawy o podpisie elektronicznym, dziesiątki tysięcy dokumentów elektronicznych każdego dnia przechodzą w bankach przez systemy komputerowe. Każdy dokument jest sprawdzany pod względem wiarygodności oraz poprawności formalnej i merytorycznej. Następnie na jego podstawie zostaje automatycznie wykonana właściwa operacja finansowa lub wysłana odmowa jej wykonania ze wskazaniem przyczyny. Na końcu zostają wprowadzone odpowiednie zapisy w księgach rachunkowych banku prowadzonych za pomocą komputerów.
Proces podejmowania decyzji przez urzędników w sprawach nietypowych, wymagających jednostkowego rozpatrzenia, zazwyczaj jest skomplikowany i wymaga kilkakrotnego sprawdzenia wiarygodności dokumentu (często wielu dokumentów) oraz jego wystawcy. W powyższym schemacie ilustruje to prawa strona (zakładamy, że dany urząd jest przygotowany do przyjmowania i procesowania dokumentów elektronicznych).
Dokument elektroniczny ukaże się kolejno na monitorach kilku osób i każda z nich będzie się starała rozwiać wątpliwości dotyczące autentyczności dokumentu i wiarygodności jego wystawcy. Podobnie upewnienia się będzie wymagać kwestia kompletności i autentyczności, tj. wiarygodności poleceń, rekomendacji i opinii swoich poprzedników w trakcie pracy nad dokumentem.
Autentyczność podpisu elektronicznego i wiarygodność ostemplowania znacznikiem czasu zostanie sprawdzona na komputerze w sekretariacie (pkt 1). Szef komórki organizacyjnej, do której trafi dokument, nie będzie miał pewności, czy dokument na ekranie jego komputera (2) pochodzi z sekretariatu, tj. czy jest autentyczny. Kolejni urzędnicy (3), (4) (5) będą mieli te same wątpliwości i trudności, ponieważ jest mało prawdopodobne, by któryś z nich był informatykiem z wiedzą kryptologiczną. Ponadto wraz z postępującą złożonością sprawy (liczbą elektronicznych biurek, przez które dokument musiał przejść) narastają wątpliwości dotyczące jej kompletności.
Żeby tych wątpliwości uniknąć, należałoby przeszkolić wszystkich urzędników na wszystkich stanowiskach z podstaw kryptologii i praktycznych konsekwencji stosowania technologii dokumentu elektronicznego, jak również sprawić, by każde wpłynięcie dokumentu na "elektroniczne biurko" wiązało się ze sprawdzeniem wiarygodności podpisu elektronicznego. To nie wystarczy, trzeba będzie bowiem na nowo uzyskiwać podpis elektroniczny dla każdej dodatkowej adnotacji, dołączanej do procesowanego dokumentu.
Nie można także zapominać, że urzędnicy mają praktyczną wiedzę dotyczącą sposobów omijania przepisów zobowiązujących ich do podejmowania odpowiedzialnych czynności i dobrze opanowali tzw. spychotechnikę.
Definicja
Ustawa o rachunkowości wprawdzie nie definiuje elektronicznego dowodu księgowego jako takiego, ale zezwala na prowadzenie księgowości wyłącznie za pomocą komputera bez użycia dokumentu papierowego. Oprócz odpowiedniego utrwalenia i zabezpieczenia każdy dowód księgowy obowiązkowo musi spełniać kilka wymogów: powinien mieć czytelną postać, umożliwiać identyfikację źródła pochodzenia i osobę odpowiedzialną za treść oraz zawierać wiele elementów (m.in. rodzaj dowodu, określenie stron dokonu- jących operacji gospodarczej, opis operacji i jej wartość, datę dokonanej operacji i ewentualnie datę wystawienia dowodu, podpis wystawcy lub inne jego uwierzytelnienie). W rozumieniu Ustawy o ochronie informacji niejawnych dokumentem natomiast jest każda utrwalona informacja niejawna.
Przyjmijmy ogólną definicję, że dokumentem jest informacja utrwalona w sposób gwarantujący jej niezmienność, w stosunku do której można mieć zaufanie co do autentyczności źródła jej pochodzenia i czasu jej utrwalenia.
W przypadku dokumentu elektronicznego podpisu złożyć i sprawdzić nie można własnoręcznie i organoleptycznie - zajmuje się tym urządzenie elektroniczne. Przy obecnym stanie techniki najprawdopodobniej będzie to komputer, dokument i podpis pod nim zaś cyfrowy.
Szczegółowe przepisy i ogólne zwyczaje określają wymagania dotyczące formalnej treści dokumentów. W tej dziedzinie nie należy się spodziewać szczególnej różnicy między dokumentem tradycyjnym, z własnoręcznym podpisem osoby wystawiającej dokument, a dokumentem elektronicznym, podpisywanym przez urządzenie będące w wyłącznym władaniu osoby fizycznej, która jest wystawcą dokumentu.
Należy zwrócić uwagę na działania podważające wiarygodność dokumentu elektronicznego. Są nimi: zniszczenie dokumentu, poświadczenie nieprawdy (w tym antydatowanie dokumentu), sfałszowanie istniejącego dokumentu (zmiana treści, pozbawienie integralności), podszycie się pod wystawcę dokumentu (sporządzenie fałszywego dokumentu i podrobienie uwierzytelnienia) czy wreszcie nielegalne skopiowanie treści dokumentu (pozbawienie poufności).
Krzysztof M. Święcicki jest głównym specjalistą w BGŻ SA oraz członkiem Normalizacyjnej Komisji Problemowej nr 182 ds. Zabezpieczenia Systemów i Ochrony Danych w Polskim Komitecie Normalizacyjnym.
