Kdepak! To pouze v České republice převážil hlas několika byrokratů, kteří našli spojence v úzké skupince technokratů (programátorů), a všichni společně začali hlásat, jak je elektronický podpis složitý, že je k jeho používání nutný zákon, ale současně, že se bez jejich řešení elektronického podpisu náš stát nepohne kupředu v zavádění nových technologií ve státní správě i soukromém sektoru.
V následujících odstavcích a článcích se pokusím vysvětlit, že přístup, který byl v ČR zvolen, je sice možný, není ale nejlepší cestou, jak dojít k cíli, a současně se jedná o cestu nejdražší.
Elektronický podpis a k čemu slouží
Nutnost zavést nějakou formu ochrany počítačů a především dat na těchto počítačích uložených a hlavně přenášených přes internet si postupně uvědomuje každý uživatel. Pokud se jedná o ochranu jednoho počítače, je možné to zajistit „nějakým“ prográmkem pro šifrování dat na disku a pro spolehlivé ověření uživatelů, kteří se k počítači přihlašují.
První problémy se objevují v případě, kdy se má chránit několik počítačů v malé počítačové síti. To by bylo ještě možné vyřešit s použitím nějakého na zakázku vytvořeného programu. I v ČR bylo několik takových výrobců. Jak ale postupovat v případě, že se má řešit bezpečnost dat v prostředí, které se nepřetržitě mění? Zajistit bezpečnost dat v lokální síti s několika tisíci počítači nebo v síti Internet, kde se mnou chtějí komunikovat stále noví a noví obchodní partneři, může být téměř neřešitelný problém.
Naší velkou výhodou bylo a je určité zpoždění ve způsobu využívání výpočetní techniky proti USA a dalším anglicky hovořícím zemím. Teď nemám namysli kvalitu používaného hardwaru, ale způsob využívání hardwaru a softwaru pro snížení nákladů firmy a pro zrychlení realizace zakázky. V této oblasti má Amerika stále ještě náskok.
Náskok se v oblasti bezpečnosti odrazil v potřebě vytvořit nějaký společný bezpečnostní základ pro řešení bezpečnosti dat uložených na počítačích, přenášených po síti a současně pro spolehlivé určení osoby nebo počítače, se kterým se komunikuje. To znamená, že není nutné hledat nějakou českou cestu pro elektronický podpis, ale prostě okopírovat to dobré ze zahraničí.
Požadavek na zabezpečení moderních informačních technologií je naprosto pochopitelný, neboť například elektronická pošta je v současné podobě vlastně elektronickou podobou pohlednice či korespondenčního lístku. To znamená, že každý zvědavý listonoš si může pohlednici přečíst. Byrokrat může opět namítnout, že čtení pohlednic i elektronické pošty zakazuje zákon. Co je to platné, když podezření, že vaši elektronickou poštu čte konkurence, zjistíte, až když ztratíte několik zajímavých zakázek.
Elektronický podpis a všechny s tím spojené technické a programové prostředky dokážou zajistit, že data jsou vložena do „dopisní obálky“ (zašifrována), takže nejsou čitelná pro neoprávněnou osobu. Elektronický podpis dále umožňuje rozlišit, kdo odeslal konkrétní e-mail, nebo naopak zaručit, aby si danou zprávu mohl přečíst jenom předem určený příjemce.
Podstatný na takovém přístupu je fakt, že elektronický podpis v podobě, v jaké jej zná naprostá většina uživatelů – je součástí standardu PKI (Public Key Infrastructure – Inftastruktura s veřejnými klíči), což je soubor doporučení pro elektronický podpis, šifrování dat, ochranu počítačových sítí a spoustu dalších bezpečnostních opatření. Pravidla pro budování PKI jsou veřejná (nejsou výmyslem jedné konkrétní firmy) a PKI a s ním spojený elektronický podpis nejsou postaveny na jednom konkrétním šifrovacím algoritmu. To je přístup, který tu předtím nebyl.
Pokud se v předchozích řešeních pro bezpečnost dat nalezla slabina, znamenalo to rozsáhlé změny v používaných programech. V případě PKI a potažmo i v případě elektronického podpisu to znamená, že pokud se objeví chyba v nějakém šifrovacím algoritmu, tak se uživatelé konkrétní aplikace domluví a začnou pro svoji komunikaci používat jiný algoritmus, což může být pro běžného uživatele tak „komplikované“ jako změna fontu písma ve Wordu.
Další podstatnou výhodou PKI a elektronického podpisu je fakt, že spolu mohou bezpečně komunikovat uživatelé a počítače, které mají různé operační systémy a různé aplikace (např. internetové prohlížeče, poštovní programy apod.). Pokud to v nějakých aplikacích není možné, tak to není problém vlastního PKI a elektronického podpisu, ale jedná se o chybu tvůrce konkrétní aplikace, který si ulehčil práci a vytvořil řešení tak, aby byl co nejjednodušší jeho vývoj.
Z předešlého krátkého popisu je snad patrné, že pro úspěšné používání elektronického podpisu není potřeba zákon a vyhlášky. Jak je to možné, když se v této zemi prostřednictvím zákonů a vyhlášek řeší i takové banality, jako je balení koblih? Jednoduše! Digitální podpis nevytvořili ministerští úředníci, ale praktici pro potřeby soukromých firem, které chtěly zlevnit a zrychlit obchodování při zachování bezpečnosti svých informací.
Digitální podpis a cesta do vesmíru
Jasnou ukázkou, že to jde, je příběh Marka Shuttlewortha, který v roce 1994 založil v Jihoafrické republice společnost Thawte a začal provozovat certifikační autoritu, vydával digitální certifikáty a vše společné s digitálními podpisy. To vše dělal v době, kdy neexistovaly nikde na světě zákony o elektronických podpisech. Jeho podnikání mělo takový úspěch, že firmu v roce 1999 dobře prodal a za část peněz si udělal výlet do vesmíru. Ano, Mark Shuttleworth byl druhým vesmírným turistou a na cestu si vydělal v prostředí elektronického podpisu.
Možná se ptáte, jak mohl a může elektronický podpis fungovat bez zákona? Jednoduše! Stačí se na elektronický podpis podívat jako moderní a sebevědomý manažer a nikoliv jako šedá úřednická myš.
V případě společnosti Thawte, Marka Shuttlewortha a jejich klientů to fungovalo a funguje tak, že se zástupci společností, které spolu chtějí komunikovat a komunikaci chránit prostřednictví elektronického podpisu, domluvili na pravidlech. Dále se dohodli, že pokud vzniknou nějaké problémy při jeho užívání, sejdou se na pracovním obědě a k oboustranné spokojenosti vzniklé problémy vyřeší.
Velmi jsem to zjednodušil, ale podstatné je, že digitální podpis se úspěšně používal již v polovině 90. let a například v USA byl podepsán zákon o elektronickém podpisu až v roce 2000.
Je jistě rozdíl mezi soukromými společnostmi a státními úřady, ale i v případě používání elektronického podpisu pro komunikaci se státem by nemusel tento způsob vždy určovat zákon.
V naprosté většině případů je možné ověřit identitu odesilatele i jinou cestou než prostřednictvím zaručeného elektronického podpisu, ke kterému je nutné vlastnit čtečku čipových karet a čipovou kartu s příslušným digitálním certifikátem. Například zasláním rozhodnutí klasickou poštou do vlastních rukou občana nebo zaplacením daně ve stejné výši, jako je částka uvedená v daňovém přiznání, které bylo zasláno elektronickou poštou.
Elektronický podpis s sebou nese i určitá nebezpečí. Jedním z nich může být případ, kdy dojde ve špatně provozovaném IS ke ztrátě šifrovacích klíčů a zašifrovaná data mohou být následně nečitelná (není možné je dešifrovat). Dalším nebezpečím může být určitý pocit falešného bezpečí – Používáme PKI a elektronický podpis, tak to musí být bezpečné!
Nemusí! Záleží na tom, jak se elektronický podpis používá.
V každém případě elektronický podpis, PKI a všechna s tím spojená opatření jsou cestou, jak zvýšit bezpečnost vašich informačních systémů a současně je za jasně daných pravidel otevřít pro vaše obchodní partnery. Elektronický podpis, když se dobře použije, je cestou, jak pomoci zefektivnit a zrychlit realizaci obchodních zakázek.
Principy PKI a elektronického podpisu jsou prověřeny mnoha lety vývoje a používání, takže se s největší pravděpodobností nejedná o slepou uličku, do které byste investovali a za pár let by se řešení muselo odepsat. Současně to ale není oblast, do které by bylo nutné okamžitě na počátku investovat milióny, nebo dokonce desítky miliónů.
Elektronický podpis a PKI vám mohou pomoci efektivněji realizovat zakázky a současně chrání vaše počítače a data v nich uložená před zvídavými pohledy konkurence. Záleží pouze na vás, jak elektronický podpis budete zavádět a používat. Jednou cestou je striktně respektovat zákon o elektronickém popisu a snažit se s vypětím všech sil vydělat si na tramvajenku, nebo sebevědomě následovat Marka Shuttlewortha.
Elektronický podpis umožňuje oba přístupy, záleží pouze na vás, který si vyberete.
ČLÁNKY DO MAILU