Wstęp

Podpis elektroniczny ma sens i jest przydatny wszędzie tam, gdzie wnosi dodatkową wartość w proces, który wspiera. Warunek tej przydatności: cykl życia technologii użytej do obsługi (używania) podpisu elektronicznego musi być istotnie dłuższy w porównaniu z cyklem życia produktu procesu, który wspiera.?

Na początku Października wywiązała się na liście dyskusyjnej PTI ([[Polskie Towarzystwo Informatyczne]]) dyskusja na temat bezpieczeństwa podpisu elektronicznego.

Dyskusja zapoczątkowana została notatką prasową na temat odkrycia przez jedną z firm informatycznych możliwości zmiany treści tak podpisanego dokumentu bez ?pozostawiania śladów?. Z uwagi na trudność administracyjną w przytaczaniu cudzych wypowiedzi (zebranie zgody na publikację od kilkunastu osób graniczy z cudem) postanowiłem utworzyć ten artykuł tylko z moich wypowiedzi na forum. Mam nadzieję, że ta postać także będzie dla Państwa czytelna.

Cytaty z moich wypowiedzi

Ja zadam takie pytanie: jakiej trzeba wiedzy i jakich narzędzi żeby sfałszować podpis elektroniczny a jakiej żeby podrobić “pisany”? Jaki odsetek ludzi potrafi i ma możliwość (zasoby) żeby sfałszować podpis elektroniczny a jaki odsetek ludzi ma możliwości, zasoby (długopis…?) fałszuje odręczne podpisy (i robi to nagminnie)?

Prawda, że jest to groźne jednak podrabia się nie wiszące w powietrzu podpisy a podpisy na dokumentach, trzeba je najpierw pozyskać… Zresztą na tej samej zasadzie bardzo łatwo podsłuchać i podrobić list (treść) e-mail i jakoś nie jest to zjawisko masowe……. Nie neguję konieczności ochrony dokumentów jednak zwróciłem tylko uwagę na to, że podpis powinien być wystarczająco dobry a nie najlepszy bo im lepszy tym droższy.

Jaki ma Pan zamek w drzwiach wejściowych? Czy wie Pan, że przeciętny włamywacz otworzy go po cichu prawdopodobnie w maksimum 15 minut? To są oficjalne dane z opisu zamka drzwiowego klasy C (być może ma Pan nawet zamek klasy niższej). I jak Pana spokojny sen??

Tak właśnie się kreuje niektóre produkty rynkowe: należy potencjalnego klienta dobrze wystraszyć a potem sprzedać mu stosowne dobre zabezpieczenie za stosowną dobra cenę. Dlatego między innymi sprzedają się stalowe drzwi do domków jednorodzinnych ze zwykłymi szybami w oknach (tak na jedna mała cegiełkę). Prawdopodobieństwo zdarzenia, którym jesteśmy straszeni jest znikome aczkolwiek nikt przy zdrowych zmysłach nie powie że niemożliwe i na tym polega tu sprzedaż.

Pytanie: kto zyska na sfałszowanej fakturze? Dlaczego jakiś czas temu uznano, że faktur (papierowych) nie trzeba podpisywać? Po co więc elektroniczne mają być podpisywane?

Domyślam się, że sprzęt i oprogramowanie służące do używania podpisu to niezły towar z fajną marżą (przypomina mi to czasy boomu internetowego).  Jakoś banki radzą sobie przez Internet doskonale bez elektronicznego podpisu (w wersji opisanej ustawą). Od lat producenci samochodów z użyciem EDI także radzą sobie doskonale. Nie dziwię się, że ustawowo dozwolony podpis elektroniczny jest jak na razie martwym prawem a kilka firm, które na tym zbudowały swój biznesplan już wiatr historii rozwiewa po pustymi.

Nie jestem sceptykiem co do samej technologii podpisu elektronicznego ale jak sobie zrobiłem model w którym ludzie i firmy “obracają” dokumentami elektronicznymi to jakoś ten model działa i nigdzie nie ma potrzeby użycia podpisu kwalifikowanego tj. jego użycie niczego nowego nie wnosi (wręcz przeciwnie), więc po co?. Jeżeli padnie pytane “a co z notariuszami” odpowiem: prawda tu spokojnie można użyć elektronicznego podpisu i załatwić spadek z pomocą e-mail’a ale…. gdzie wartość dodana skoro nośnik z treścią spadku podpisaną elektronicznie najprawdopodobniej będzie nie do odczytania za 10 lat więc trzeba go będzie przechowywać wraz z kompletnym komputerem z napędem i czytnikiem podpisów niezbędnych do jego odczytania. Wyobraźmy sobie, że ustawę uchwalono 4 lata temu i mamy w szafach faktury na dyskietkach 3,5″.

Moim zdaniem podpis doskonale sprawdza się jako narzędzie np. do uwierzytelniania łączy VPN bieżącej wymiany dokumentów ale nie mam przekonania do elektronicznego podpisywania dokumentów, których czas przechowania z definicji jest dłuższy od czasu starzenia się technologii użytej do podpisania.

Ktoś mógłby zapytać co to ma wspólnego z tematem postu. Ma i to bardzo dużo: podpisywanie dziś dokumentów w ten sposób jest bardzo niebezpieczne dla żywotności podpisywanych dokumentów. I nikt nie potrafi oszacować kosztów wieloletniego utrzymania takiego archiwum jednak wiadomo, że będzie musiało być okresowo w 100% przenoszone na nośniki nowej generacji. Ale biznes.

Ciekawe, że za najtrwalszy sposób zapisu nadal jest uważany papier……… po krótkiej fascynacji znowu wzrasta sprzedaż papieru fotograficznego…….

Wiec mamy coś w rodzaju początku wypracowywania stanowiska: podpis elektroniczny na największy sens i szanse zdobycia popularności nie w działalności gospodarczej a przede wszystkim w czynnościach cywilnoprawnych jednak zawsze równolegle będzie można załatwić wszystko na papierze (kompatybilność wstecz) np. dlatego, że nie każdego będzie stać na tę technologię a Państwo nie może się zobowiązać do jej bezpłatnego dostarczenia. 🙂

Swego czasu zaginęła mi karta kredytowa, wykonano nią kilka zakupów zanim zastrzegłem. Okazało się, że podpis służy tylko do ułatwienia (bez 100% gwarancji poprawności) weryfikacji przez sprzedawcę, który nie jest grafologiem. Po jego akceptacji i stwierdzeniu, że miał prawo nie odróżnić fałszywki od mojego podpisu obciążono mnie tymi kosztami (odrzucono reklamację).  Nie sądzę, by jakikolwiek sprzedawca przy każdej płatności karta wypukła angażował grafologa, nic by nie sprzedał. To pokazuje między innymi, że rynek i tak wymusza równowagę pomiędzy kosztem wprowadzenia rozwiązania (jakością skuteczności podpisu) i jego jakością a stratami wynikającymi z zaakceptowanego poziomu jakości.

Wydaje mi się, że ktoś wpadł na skądinąd dobry pomysł (podpis elektroniczny) jednak z narzędzia, które ma bardzo wąskie zastosowanie próbuje się zrobić produkt masowy. Zresztą widzę, że rysuje się coś co ja nazywam materialną i niematerialną potrzebą. Potrzeby materialne to dokument, który może być złożony w jakimkolwiek archiwum na lata. Tu konieczna jest możliwość użycia archiwum bez pomocy technologii. Potrzeby niematerialne to być może wszystkie pozostałe, szczególnie doraźne.

Tu po raz kolejny przytoczę, doskonały moim zdaniem przykład fotografii. Niezależnie od postępu technologicznego i możliwości zapisu zdjęć na coraz pojemniejszych nośnikach nadal niezastąpiony jest album fotograficzny działający zawsze i “bez prądu”. Nie ima się go czas ani postęp technologiczny (nie mówię tu o postępie w produkcji materiałów fotograficznych). Postęp technologii na razie wyeliminował w procesie powstawania zdjęcia zbędny etap jakim okazało się w większości przypadków naświetlanie i wywołanie filmu. Oczywiście w pewnych wąskich zastosowaniach, gdzie nośnik cyfrowy nie dorównuje kliszy ma ona zastosowanie jednak jest to już obecnie nisza.

Analiza łańcucha wartości jasno pokazuje, że jedną z istotnych wartości archiwum jest jego łatwa i powszechna dostępność, użycie tu technologii powoduje tylko dodatkowe problemy. W przypadku gdy wartością jest krótki czas dokonania transakcji, jej wiarygodność  i pokonanie dużej odległości podpis elektroniczny ma sens. Kolejny przykład: pamiętam jak swego czasu prześcigano się w prognozach kiedy to systemy wideokonferencyjne doprowadzą do zaniku podróży służbowych i co mamy?

Dla mnie wniosek jest jeden z tej dyskusji:

Wszyscy mają rację (ale to idiotycznie brzmi), każdy ze swojego punktu widzenia wydał najlepszą ekspercką opinię.

Efekt? Po zebraniu dotychczasowych opinii taki:

Podpis elektroniczny ma sens i jest przydatny wszędzie tam, gdzie wnosi dodatkową wartość w proces, który wspiera. Warunek tej przydatności: cykl życia technologii użytej do obsługi (używania) podpisu elektronicznego musi być istotnie dłuższy w porównaniu z cyklem życia procesu, który wspiera.

Jarosław Żeliński

Jarosław Żeliński: Od roku 1991 roku, nieprzerwanie, realizuje projekty z zakresu analiz i projektowania systemów, dla urzędów, firm i organizacji. Od 1998 roku prowadzi samodzielne studia i prace badawcze z obszaru analizy systemowej i modelowania (modele jako przedmiot badań: ORCID). Od 2005 roku, jako wykładowca akademicki wizytujący (nieetatowy), prowadzi wykłady i laboratoria (ontologie i modelowanie systemów informacyjnych, aktualnie w Wyższej Szkole Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk w Warszawie.) Oświadczenia: moje badania i publikacje nie mają finansowania z zewnątrz, jako ich autor deklaruję brak konfliktu interesów. Prawa autorskie: Zgodnie z art. 25 ust. 1 pkt. 1) lit. b) ustawy o prawie autorskim i prawach pokrewnych zastrzegam, że dalsze rozpowszechnianie artykułów publikowanych w niniejszym serwisie jest zabronione bez indywidualnej zgody autora (patrz Polityki Strony). Konsultacje: dostęp do treści Bloga jest bezpłatny, jednak wszelka pomoc oraz wyjaśnienia dotyczące treści artykułów autora bloga, udzielane są wyłącznie w ramach płatnych konsultacji.