E-podpis na rozdrożu

Podczas Europejskiego Forum Podpisu Elektronicznego wśród tematów wyraźnie dominowały kwestie dotyczące nowelizacji polskiej ustawy i działań administracji dotyczących e-podpisu.

Podczas Europejskiego Forum Podpisu Elektronicznego wśród tematów wyraźnie dominowały kwestie dotyczące nowelizacji polskiej ustawy i działań administracji dotyczących e-podpisu.

Oświadczenie przedstawiciela Ministerstwa Spraw Wewnętrznych i Administracji, dotyczące planów tego resortu w zakresie przyszłości podpisu elektronicznego w Polsce, bez wątpienia było najbardziej emocjonującym elementem konferencji zorganizowanej przez szczecińskie Unizeto. MSWiA nosi się bowiem z zamiarem rozbudowy infrastruktury PKI stworzonej na potrzeby systemu Centralnej Ewidencji Pojazdów i Kierowców, tak aby swoją funkcjonalnością objęło inne jednostki administracji. O tym mówią także przedstawiciele Ministerstwa Finansów, dla którego PKI MSWiA mógłby być fundamentem tworzonego systemu ePodatki i eDeklaracje.

W państwowych czy prywatnych rękach?

Co więcej, w przyszłości PKI MSWiA mogłoby zostać przekształcone w wystawcę certyfikatów kwalifikowanych. To zaś istotnie zmieniłoby rynek usług związanych z funkcjonowaniem e-podpisu w Polsce. Jednak bardzo się to nie podobna przedstawicielom firm świadczących usługi wystawiania i obsługi certyfikatów kwalifikowanych (a więc takich, które pozwalają na składanie podpisów elektronicznych mających moc równą podpisom odręcznym). Ich zdaniem, państwo nie powinno "marnować pieniędzy podatników" na budowę kolejnego PKI, ale skorzystać z komercyjnej oferty na zasadzie outsourcingu. Oczywiście, sprawa nie jest jednoznaczna, bowiem decydować tutaj powinien nie tylko rachunek ekonomiczny, ale kwestie dotyczące bezpieczeństwa i zarządzania ryzykiem.

Propozycja resortu spraw wewnętrznych i administracji nie stanowi jeszcze podstaw do podjęcia konkretnych decyzji, jest raczej przedstawieniem wizji, która może zostać zrealizowana. W ramach tej wizji zawiera się również pomysł wprowadzenia dowodów osobistych wyposażonych w procesor, który byłby zabezpieczany certyfikatem kwalifikowanym dostarczanym właśnie przez MSWiA. To mogłoby być katalizatorem rozwoju zastosowań e-podpisu w Polsce. Dzisiaj bowiem jedni czekają na drugich - nie ma usług, bo ludzie i firmy nie mają certyfikatów kwalifikowanych, ci zaś czekają z zaopatrzeniem się w certyfikaty aż dostępne będą usługi. Byłoby to więc powtórzeniem w Polsce modelu estońskiego i po części austriackiego.

Oburza to jednak wystawców komercyjnych, którzy sądzą, że państwo zawłaszczy w ten sposób obsługiwany przez nich rynek. Tyle tylko, że, po pierwsze, tego rynku wciąż prawie nie ma, po drugie zaś ministerstwo nie chce tego rynku zawłaszczać. Certyfikaty bowiem ważne są przez określony okres czasu (1-2 lata) i certyfikat "państwowy" każda osoba starająca się o wymianę dowodu otrzymywałaby niejako na zachętę tylko na ten okres. Później musiałaby go odnowić w ośrodku komercyjnym. Czas pokaże, czy taki scenariusz będzie możliwy do realizacji. Wkrótce czekają nas wybory, a więc również być może przemiany w odniesieniu do roli informatyki w służbie państwa i jego instytucji. Niewątpliwie jest to inicjatywa stanowiąca najpoważniejszą - od czasu powstania ustawy o podpisie elektronicznym - próbę napędzenia rozwoju rynku.

Nowelizacja i nowe pomysły

Tegoroczne Europejskie Forum Podpis u Elektronicznego upłynęło pod znakiem przygotowywanej przez Ministerstwo Gospodarki nowelizacji ustawy o e-podpisie. Obecnie trwa dyskusja nad założeniami tej nowelizacji - wiadomo, że trafi ona dopiero do nowo wybranego Sejmu. Co istotne, nastąpiła tutaj wyraźna zmiana równowagi sił w - od dawna już trwającym - konflikcie o kształt systemu podpisu elektronicznego. Zniknął Centrast, wchłonięty przez Narodowy Bank Polski, stanowiska Polskiej Izby Informatyki i Telekomunikacji oraz Polskiego Towarzystwa Informatycznego - które miały duży wpływ na kształt tworzonych rozwiązań - zbliżyły się zaś do stanowisk prezentowanych przez środowisko bankowców i Ministerstwo Gospodarki, któremu podlega nadzór nad system e-podpisu w Polsce.

Proponowana nowelizacja zawiera więc liczne elementy liberalizujące obecny system. Nastąpić miałaby rezygnacja ze wstępnej kontroli i autoryzacji centrów certyfikacyjnych, przy czym akredytacja mogłaby być dobrowolna w Polskim Centrum Akredytacji. Rozważana jest również możliwość odstąpienia od systemu centralnego roota - czyli struktury dwupoziomowej - na rzecz certyfikacji skrośnej albo budowy mostów. Istotną nowością miałoby być wprowadzenie trzeciego rodzaju podpisu elektronicznego (oprócz zwykłego i bezpiecznego). Miałaby być to implementacja zawartego w dyrektywie unijnej podpisu "zaawansowanego", który mógłby być przypisany nie tylko osobie, ale także instytucji, wówczas byłaby to elektroniczna pieczątka. O ile podpis kwalifikowany służy przede wszystkim do uzyskania równoważności z podpisem odręcznym, to podpis zaawansowany jest rozbudową podpisu elektronicznego rozumianego jako zupełnie osobny byt prawny. Postulat takiego zróżnicowania e-podpisów budził w trakcie Forum ostre spory.

Pragmatyczna praktyka

Polskie spory każą bacznie przyglądać się doświadczeniom innych krajów, które próbują wprowadzać bardzo zróżnicowane rozwiązania, co źle wróży możliwości uzyskania interoperacyjności podpisu elektronicznego w Europie. Jerzy Trzaskowski z Copenhagen Business School zaprezentował rozwiązanie przyjęte w Danii, gdzie rząd zrezygnował ze stosowania podpisu kwalifikowanego, wprowadzając własne rozwiązanie przy kontaktach obywateli i firm z e-administracją. Kosztowało ono nieco ponad 6 mln euro. Jest to podpis elektroniczny, do którego składania i weryfikacji potrzeba wyłączenia oprogramowania. Oznacza to tanią eksploatację i szybkość rozpowszechnienia.

Bezpieczeństwo uzyskano dzięki powiązaniu systemu podpisu elektronicznego z osobowymi bazami danych geograficznych - każda z osób czy firm aplikujących o certyfikat cyfrowy uzyskuje kody uruchamiające oprogramowanie zwykłą pocztą, przy czym list zostaje wysłany po sprawdzeniu podanych danych z informacjami z bazy geograficznej. Rozwiązanie okazało się stosunkowo popularne, a skorzystało z niego do tej pory blisko 400 tys. osób. Dzięki e-podpisowi mogą korzystać z ponad 250 usług elektronicznych.

W Polsce powstają wyspowe wdrożenia e-podpisu kwalifikowanego, jak np. w Generalnym Inspektorze Informacji Finansowej, Banku Ochrony Środowiska, czy Urzędzie Patentowym. Również przy nowelizacji ustaw często wpisuje się możliwość elektronicznej wymiany dokumentów z użyciem bezpiecznego podpisu elektronicznego, jak np. w Ustawie o planowaniu i zagospodarowaniu przestrzennym. Niestety, nie zawsze te nowe propozycje są ze sobą spójne - najwięcej kontrowersji wzbudziły propozycje Ministerstwa Finansów, w szczególności w obszarze e-faktur.

U wschodniego sąsiada

W Federacji Rosyjskiej działa obecnie ok. 150 rozproszonych jednostek certyfikacyjnych w obszarze e-podpisu. Obsługują one głównie jednostki administracji państwowej. Dlatego musi powstać krajowy system e-podpisu, tak jak ma to miejsce w innych państwach. Jest on budowany zgodnie z założeniami agendy Elektroniczna Rosja. System centralny stworzono w oparciu o oprogramowanie przygotowane przez rosyjskich ekspertów. Jego integralną częścią mają być serwery i rozwiązania Krypto-Pro instalowane we wszystkich 7 prowincjach Rosji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200