Kraje spoza UE też chcą mieć swoje eIDAS
W krajach Unii Europejskiej, w tym również w Polsce, kwestie podpisu elektronicznego reguluje rozporządzenie eIDAS (ang. electronic IDentification, Authentication and trust Services).
- Na innych rynkach, takich jak np. USA, Szwajcaria czy Wielka Brytania, obowiązują przepisy lokalne i regionalne. Tendencja jest taka, że wiele krajów, m.in. Indonezja, Singapur, Kanada, Gruzja, Ukraina, pracują nad zastosowaniem ustandaryzowanego podejścia i interoperacyjności z unijnym rozporządzeniem eIDAS i powiązanymi standardami - zauważa Edgars Stafeckis, CEO & Co-founder TrustLynx.
Zgodnie z eIDAS, „podpis elektroniczny oznacza dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis” (art. 3, pkt 10 eIDAS). Podpisujący musi być też osobą fizyczną (art. 3, pkt 9 eIDAS).
Ponadto „podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych podpisów elektronicznych” (art. 25, pkt 1 eIDAS). eIDAS definiuje także rodzaje podpisów elektronicznych, takie jak: podpis elektroniczny, podpis zaawansowany elektroniczny, podpis kwalifikowany elektroniczny.
Podpis elektroniczny to dane w formie elektronicznej, które służą do identyfikacji osoby podpisującej. Podpis zaawansowany elektroniczny (AES) jest bardziej bezpieczny i musi spełniać dodatkowe kryteria, takie jak możliwość jednoznacznego powiązania z osobą podpisującą i wykrywania wszelkich zmian dokonanych w danych po podpisaniu. Z kolei podpis kwalifikowany elektroniczny (QES) to najwyższy poziom bezpieczeństwa, który jest tworzony za pomocą kwalifikowanego urządzenia do składania podpisu i certyfikatu kwalifikowanego, zapewniając ten sam poziom prawny co podpis odręczny. QES jest jedynym rodzajem podpisu elektronicznego, który ma pełną moc prawną w UE.
Czy warto korzystać z podpisu elektronicznego w biznesie?
Czy warto zatem, prowadząc biznes, korzystać z takiego rozwiązania? Przedsiębiorcy mówią zgodnie: „tak”, bo ich zdaniem podpis elektroniczny to wygoda i efektywność działań. - Podpis elektroniczny wykorzystuję praktycznie codziennie. Czasy, kiedy pracownicy zostawiali setki dokumentów w sekretariacie, gdzie czekały na mój odręczny podpis, z radością wymazuję z pamięci – mówi Jacek Starościc, prezes zarządu Perceptus.
Jacek Starościc od lat z powodzeniem działa na rynku cybersecurity. Jest to bardzo specyficzna branża, która z uwagi na potrzebę wdrażania zabezpieczeń u klientów, wymaga realizacji wielu procesów zdalnie.
- Skoro takie wdrożenia możemy prowadzić online, to nie wyobrażam sobie dzisiaj rezygnacji z bezpiecznego elektronicznego podpisu i odsyłania skanów dokumentów – mówi Jacek Starościc. - Podpis elektroniczny pozwala naszemu zespołowi pracować efektywnie, nie ograniczając jego mobilności. Służbowe i prywatne wyjazdy nie spowalniają naszego tempa. Kluczowe dokumenty można podpisać z dowolnej lokalizacji – dodaje.
Podobne zalety podpisu elektronicznego dostrzega Rafał Stępniewski, prezes Rzetelnej Grupy. Świadczy ona kompleksowe usługi doradcze w zakresie prawa gospodarczego, prawa spółek handlowych, prawa cywilnego, telekomunikacyjnego, prawa pracy, konsumenckiego, nieruchomościowego, praw autorskich oraz ochrony danych osobowych.
Dla Rafała Stępniewskiego podpis elektroniczny to po prostu oszczędność czasu i szybkość zawierania umów. - Po zakończonym procesie ustalania warunków w ciągu kilku minut można zawrzeć umowę z podpisami obu stron i przystąpić do realizacji. Dodatkowo dokument można od razu „wrzucić” w wersji elektronicznej z podpisami do bazy umów, dzięki czemu jest porządek i łatwy dostęp – zaznacza prezes Rzetelnej Grupy.
Jak w przypadku każdej technologii dostrzega pewne zagrożenia związane z korzystaniem z elektronicznego podpisu. Mowa tu m.in. o przejęciu klucza do podpisu wraz z hasłem autoryzującym. – Korzystając z e-podpisu, należy pamiętać o stosowaniu odpowiedniego zabezpieczenia do umów przechowywanych elektronicznie oraz zadbać o kopie bezpieczeństwa. Warto też korzystać z szyfrowania przesyłanych plików, zwłaszcza w sytuacji, gdy umowy mają szczególną wartość biznesową czy wręcz strategiczną dla firmy – mówi Rafał Stępniewski.
Wyższy poziom bezpieczeństwa
I tu przechodzimy do kwestii ochrony danych, zarówno tych osobowych, jak i strategicznych dla danej firmy. Podpis elektroniczny, mimo że jest narażony na cyberataki, zazwyczaj oferuje wyższy poziom bezpieczeństwa w kontekście ochrony danych osobowych dzięki zaawansowanym technologiom szyfrowania i możliwościom audytu.
Dlaczego? Bo e-podpis jest ściśle związany z osobą, która go składa. Oznacza to, że każda operacja podpisania dokumentu jest unikatowa i może być przypisana tylko do jednego użytkownika. Dzięki wykorzystaniu technologii kryptograficznych podpis elektroniczny gwarantuje, że dokument został podpisany przez określoną osobę. W kontekście usług rozwiązań do integracji i automatyzacji cyfrowych usług zaufania szczególnie istotne są usługi kryptograficzne związane z infrastrukturą klucza prywatnego (PKI), które opierają się na dwóch podstawowych komponentach - algorytmie (lub metodologii kryptograficznej) i zmiennym kluczu kryptograficznym.
- Takie podejście stosowane jest w celu ochrony integralności i poufności danych, które są podatne na nieuprawnione ujawnienie lub niewykrytą modyfikację podczas ich użytkowania, przesyłania lub przechowywania – mówi Edgars Stafeckis. - Algorytm i klucz służą łącznie do zastosowania ochrony kryptograficznej danych, zaszyfrowania ich lub do wygenerowania podpisu cyfrowego oraz do usunięcia lub sprawdzenia zabezpieczenia, np. do odszyfrowania zaszyfrowanych danych i/lub weryfikacji podpisu cyfrowego. Przez analogię można powiedzieć, że jest to podobne do korzystania z fizycznego sejfu, który można otworzyć tylko za pomocą prawidłowej i pasującej kombinacji – dodaje.
Jeśli chodzi o zarządzanie kluczami kryptograficznymi w kontekście podpisów elektronicznych, to zwykle spotykamy się z sytuacją, gdzie użytkownik kontroluje urządzenie do składania podpisu i klucz kryptograficzny (np. kartę eID, kartę SIM, token USB z kartą chipową, kryptowalutę, urządzenie HSM itp.) lub zarządzane jest centralnie lub w chmurze emitenta.
- Tendencja jest taka, że na rynku pojawia się coraz więcej rozwiązań, w których kluczami kryptograficznymi i urządzeniem do składania podpisu zarządzają dostawcy – wystawcy certyfikatów i kluczy, zwłaszcza kwalifikowani dostawcy usług zaufania (QTSP) – zauważa Stafeckis. – Jest to spowodowane rosnącym zapotrzebowaniem na korzystanie z usług zaufania i związaną z tym koniecznością zwiększania ich dostępności i użyteczności dla użytkowników, a także posiadania większych możliwości stosowania najnowszych praktyk bezpieczeństwa informacji – dodaje.
Dzięki temu użytkownicy mogą uzyskać certyfikat, w tym także kwalifikowany certyfikat elektroniczny stosowany w kwalifikowanych podpisach elektronicznych, w zupełnie nowy, uproszczony, a jednocześnie zabezpieczony i uregulowany sposób. Zazwyczaj są to nowoczesne, przyjazne dla użytkownika aplikacje mobilne, za pomocą których użytkownicy uzyskują dostęp do „towarów” zaufania cyfrowego (dostęp do korzystania z kluczy), takich jak tożsamość cyfrowa, podpisywanie elektroniczne, udostępnianie określonych atrybutów itp.
Do zabezpieczania PKI QTSP wykorzystuje się różne algorytmy, które dodatkowo są chronione przed ich „złamaniem”. Tymczasem obliczenia kwantowe umożliwiają nowy wymiar łamania starszych algorytmów, w związku z czym z dużym prawdopodobieństwem zaistnieje konieczność wzmocnienia istniejących podejść, na przykład poprzez oznaczanie czasem i/lub elektroniczne pieczętowanie istniejących treści przy użyciu ulepszonych algorytmów kryptograficznych.
- Mieliśmy już takie przypadki na niektórych rynkach i przewidujemy, że będzie taka konieczność także w przyszłości - uważa Edgars Stafeckis.
Trendy w rozwoju cybebezpieczeństwa podpisu
Nie ma co ukrywać, że rozwój technologii w kontekście podpisu elektronicznego będzie się rozwijał intensywnie, również pod kątem cybersecurity. Przede wszystkim dlatego, że coraz więcej firm z takiego rozwiązania korzysta, aby uniknąć przesyłania samej treści dokumentów przez sieci publiczne, m.in. e-maile.
Edgars Stafeckis dostrzega jeszcze dwa trendy i technologie w zakresie podpisów elektronicznych, które mogą zwiększyć ich bezpieczeństwo. Chodzi o uwierzytelnianie dwuskładnikowe w procesie nadawania dostępu do kluczy, z uwzględnieniem także wykorzystania biometrii oraz o siłę certyfikatów, algorytmów itp.
- Można zaobserwować, że okresy ważności certyfikatów ulegają skróceniu, co wymusza stosowanie możliwie najbardziej aktualnych algorytmów, metod szyfrowania, dłuższych kluczy, aby uniknąć stosowania starszych podejść, które są bardziej podatne na ataki hakerskie - mówi Edgars Stafeckis, CEO & Co-founder TrustLynx.
