Bój o sygnaturę

Choć prezydent podpisał ustawę już 11 października 2001 roku, to nadal czekamy na możliwość zawierania bezpiecznych i bezdyskusyjnie uznawanych transakcji i umów online czy załatwiania korespondencji z urzędami za pomocą Internetu. To opóźnienie może się wydłużyć, bo nadal brak przepisów wykonawczych, bez których ustawa pozostaje jedynie zadrukowanym papierem. Jan Mulak, dyrektor Departamentu Handlu i Usług w Ministerstwie Gospodarki, zapewnia jednak, że wszystkie regulacje będą gotowe do 17 sierpnia. “Nawet bez przepisów wykonawczych ustawa wejdzie w życie, tyle że podpisy elektroniczne nie będą składane w tzw. bezpiecznym środowisku” – wskazuje Marek Witkowski, dyrektor ds. przetwarzania informacji Centrum Certyfikacji Unizeto Certum. Podpisy złożone bez wykorzystania regulacji ustawowych można będzie traktować jak podpisy odręczne – będą one ważne, ale w razie wątpliwości trzeba żmudnie wykazywać tożsamość osób je składających. W przypadku podpisów wystawionych przez tzw. urzędy kwalifikowane i złożonych za pomocą bezpiecznych urządzeń nie ma takiej potrzeby.

Spór o korzenie

Brak uregulowań to jednak, zdaniem przedstawicieli niektórych firm mających wystawiać podpisy elektroniczne, a później weryfikować zawarte za ich pomocą transakcje, relatywnie niewielki problem. Często można usłyszeć lub przeczytać, że przyjęte w naszym kraju regulacje zawierają błędy podważające sens funkcjonowania e-gospodar-ki. Czy są to obawy słuszne?

By zrozumieć zarzuty, trzeba pojąć wzajemne relacje instytucji zaangażowanych w funkcjonowanie podpisu elektronicznego. Na samej górze procesu wydawania certyfikatów ustawa umieściła tzw. roota. Jest to organ, która wydaje zezwolenia centrom certyfikacyjnym, nadzoruje stosowane przez nie procedury i dba o to, by używane w naszym kraju narzędzia spełniały wymogi bezpieczeństwa. Ta rola przypadła firmie Centrast, będącej obecnie własnością NBP i innych krajowych banków. Z rootem nie będzie się jednak kontaktował ani przeciętny internauta, ani nawet firmy oferujące e-usługi i e-handel na podstawie podpisu elektronicznego, gdyż uzyskają one wszystkie niezbędne narzędzia od centrów certyfikacyjnych.

Instytucja roota, powołana w ostatniej fazie prac nad ustawą o podpisie elektronicznym, wzbudza kontrowersje, zwłaszcza wśród przedstawicieli niektórych firm certyfikacyjnych (patrz opinia: “Katastrofa!”). Czy słusznie? Czy włamanie na serwery roota lub awaria sprzętu mogą być przyczyną kryzysu zaufania? “Root ma wystawić tylko kilkadziesiąt poświadczeń dla centrów certyfikujących. Może on nawet działać off-line, wręcz tylko na papierze. To jest rola bardziej audytorska” – rozwiewa obawy Marek Witkowski, dyrektor firmy Certum. Według niego “instytucja roota nie jest złym pomysłem. Nie rozumiem głosów mówiących, że miałoby to hamować rozwój rynku. Bez takiej instytucji byłyby problemy z zachowaniem kompatybilności rozwiązań, jeśli chodzi o stosowane standardy i protokoły. On (root – przyp. red.) będzie jedynie poświadczał, że narzędzia wykorzystywane przez centra certyfikacyjne są bezpieczne i właściwe”. Jaki więc jest sens wyciągania wielkich propagandowych armat przeciw instytucji pełniącej funkcje administracyjne? “Niebezpieczeństwo związane z instytucją roota nastąpi wówczas, gdy zaufanie do tego urzędu zostanie zdyskredytowane. A do tego może doprowadzić publiczne podważanie wiarygodności tej instytucji” – wskazuje pracownik jednego z centrów certyfikacyjnych.

Więcej:bezcatnews