Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. W podpis wmanewrowani

W podpis wmanewrowani

Tymczasem Rozporządzenie o warunkach technicznych podpisu elektronicznego wskazuje wprost na normy ITSEC i Common Criteria (par. 49, 1.4 i 2.2). Obowiązują one także przy wprowadzaniu do obrotu urządzeń do ochrony informacji niejawnej. Część przedsiębiorców wskazuje też na możliwość "outsourcingu", czyli wystawiania poświadczeń odbioru przez zewnętrzny podmiot, co istotnie mogłoby zmniejszyć koszty ich wystawiania w przeliczeniu na jednostkę administracji. Jednak z rozporządzenia w żaden sposób nie wynika, by było to prawnie możliwe, wprost przeciwnie, rozporządzenie posługuje się językiem wskazującym raczej na to, że poświadczenie ma wystawiać sama jednostka. Czy administracja publiczna doczeka się jednoznacznej interpretacji tego przepisu ze strony odpowiednich ministrów, zanim przed 16 sierpnia br. zacznie zamawiać urządzenia z amerykańskim certyfikatem?

Przed nowelizacją ustawy należy koniecznie rozważyć konieczność stosowania HSM we wszystkich jednostkach administracji. Ich stosowanie jest niewątpliwie uzasadnione w urzędach, w których czas otrzymania dokumentu może mieć istotne znaczenie dla konkurujących o jakieś zasoby firm, jest jednak nieuzasadnionym obciążeniem dla małych jednostek administracji, które będą otrzymywać drogą elektroniczną dwa dokumenty miesięcznie.

Dla nich powinna być dostępna tańsza opcja, np. outsourcing, którego legalność musi jednak wynikać wprost z rozporządzenia, lub podpis elektroniczny w trybie potwierdzenia autentyczności, generowany przez system informatyczny (bez udziału człowieka). W każdym wypadku niezbędne jest wprowadzenie norm ITSEC oraz Common Criteria, które obecnie nie są wymienione w rozporządzeniu - wbrew wcześniejszym przepisom i praktyce europejskiej.

Nie tylko nasz problem

Ankieta przeprowadzona przeze mnie w Austrii, Niemczech, Republice Czeskiej, Estonii i Francji pokazuje, że inne kraje Unii borykają się z podobnymi problemami. Brak jest doświadczeń oraz jednoznacznych stanowisk, by zaradzić wszystkim problemom podpisu elektronicznego, są one wystarczające, by wskazać rozwiązanie opisanych obok problemów. Proponowane rozwiązania są kompatybilne z rozwiązaniami w innych państwach członkowskich UE. Jest to tym bardziej istotne, że podpis elektroniczny z założenia ma być instrumentem ułatwiającym wymianę gospodarczą nie tylko wewnątrz Polski, ale także na rynku europejskim, zwłaszcza po otwarciu rynków usług oraz możliwym wejściu Polski do strefy euro. Kluczowe jest dążenie do ujednolicenia rozwiązań prawnych i technicznych stosowanych w Europie. Nie powinno to jednak oznaczać wyłącznie przyjmowania rozwiązań wdrożonych w innych krajach, ale także aktywną wymianę doświadczeń i promowanie rozwiązań, które sprawdziły się w Polsce. Doświadczenia Polski, w tym także negatywne, mogą być dla innych krajów bardziej wartościowe niż doświadczenia Estonii, która ma 1,4 mln obywateli. Choćby były one jak najlepsze, to skalą nie przekraczają wdrożenia e-podpisu w Małopolsce.

Odpowiednią organizacją zrzeszającą większość krajów Unii jest FESA (Forum of European Supervisory Authorities for Electronic Signatures), w której Polska jako jeden z niewielu krajów nie ma reprezentacji.

Podpis bez człowieka

Elektroniczne faktury, elektroniczna publikacja urzędowych aktów, oświadczeń, interpretacji, komunikatów, a także np. elektroniczne poświadczenie odbioru nie są oświadczeniami woli osób fizycznych i nie wymagają dopilnowania niezaprzeczalności. Tu potrzebne jest jedynie potwierdzenie autentyczności, ale polskie prawo mówi wprost o osobie fizycznej. W związku z tym w obecnej sytuacji niezaprzeczalność podpisu osoby fizycznej w sposób sztuczny próbuje się "wcisnąć" w biznesowe wymogi automatycznego potwierdzania autentyczności dokumentów. Jest to całkowicie niepotrzebne.

Proponowane dotychczas rozwiązanie (podpis wielokrotny) nie jest ani wygodne w stosowaniu, ani nie w pełni zgodne z prawem. Podpis wielokrotny (multiSign) jest sprzeczny ze sformułowaniami polskiej Ustawy o podpisie elektronicznym, która posługuje się liczbą pojedynczą (np. "ostrzeżenie poprzedza złożenie podpisu", a nie "podpisów"). Problemy te można rozwiązać, uogólniając definicję podpisu elektronicznego w ustawie, tak by nie ograniczała się ona do niezaprzeczalności, ale obejmowała także autentyczność.

Równocześnie należy umocować w rozporządzeniu oddzielną kategorię podpisu elektronicznego - takiego, który jest składany w celu potwierdzenia autentyczności i może być składany bez udziału człowieka. I ten podpis przeznaczyć dla faktury elektronicznej oraz niektórych dokumentów elektronicznych (ustawy, interpretacje). Taka regulacja powinna zastrzegać, by certyfikat stosowany do automatycznego podpisywania faktur elektronicznych nie był wykorzystywany do innych celów oraz, jeśli jest to uzasadnione innymi przepisami, ograniczać możliwość automatycznego podpisywania dokumentów, np. do określonej kwoty.

Chaos w administracji publicznej

Na trzy miesiące przed rzekomym wdrożeniem podpisu w administracji publicznej brak jest poprawnego wskazania formatu podpisu elektronicznego, który ma być stosowany przez urzędy. Powoduje to ogromny chaos w jednostkach administracji. Format wskazany w rozporządzeniu do ustawy o informatyzacji (XML-DSig) nie może być wykorzystywany dla podpisu kwalifikowanego. Format, który może być wykorzystany (XAdES), nie jest z kolei w ogóle tam wymieniony, występuje za to w rozporządzeniu do ustawy o podpisie elektronicznym. Równocześnie gminy zastanawiają się skąd wziąć pieniądze na egzotyczne i niepotrzebne urządzenia HSM?

Z przeprowadzonej przeze mnie nieformalnej ankiety wynika, że jednostki administracji publicznej mają pełną świadomość tego, że do sierpnia mają obowiązek wdrożyć podpis kwalifikowany. Jednak wobec niespójnych przepisów oraz braku jakichkolwiek wytycznych lub interpretacji ze strony rządu (informacje z lutego 2006 r.) nie potrafią one sformułować jednoznacznych i zgodnych z prawem kryteriów zamawianych systemów informatycznych.

Ponieważ skala problemów gwarantuje, że terminowe wdrożenie systemów podpisu elektronicznego w administracji jest niemożliwe, konieczne także przedłużenie czasu na wdrożenie. Sierpień bieżącego roku jest terminem nierealnym pod każdym względem.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas