Informacja o składkach drogą elektroniczną - dlaczego kwalifikowany podpis nie jest dobrym pomysłem

Uwagi do do projektu "ustawy o zmianie ustawy o systemie ubezpieczeń społecznych" z dnia
26 czerwca 2008 dotyczącego przekazywania informacji o składkach, zgłoszonego przez komisję "Przyjazne Państwo".

Wyrażony w art. 1 ust 2 projektu wymóg opatrywania informacji o składkach kwalifikowanym podpisem elektronicznym nie doprowadzi do postulowanego "usprawnienia działanie jednostek odpowiedzialnych w firmie za przekazywanie stosownych dokumentów ubezpieczonym" oraz "ograniczenia kosztów".

Kwalifikowany podpis elektroniczny (k.p.e.) nie nadaje się do tego celu z następujących powodów:

  1. wymaga specjalizowanego oprogramowania do jego składania posiadajacego deklarację zgodności z ustawą o podpisie elektronicznym; w praktyce eliminuje to z jego użycia wszystkie popularne pakiety biurowe
  2. dostępne na rynku oprogramowanie do k.p.e. generuje pliki w specyficznym formacie, czytelne tylko przy pomocy specjalnej aplikacji; utrudnia to dostęp do tych danych dla osoby, która po prostu chciałaby taki dokument przejrzeć, a nie np. wykorzystywać go w sporze sądowym
  3. korzystanie z k.p.e. wymaga dodatkowego znakowania czasem każdego podpisywaneg dokumentu w celu zachowania jego mocy dowodowej przez okres dłuższy niż okres ważności certyfikatu; generuje to jednostkowy koszt znakowania dla każdego dokumentu - znaczący przy dużych seriach dokumentów
  4. korzystanie z k.p.e. jest stosunkowo trudne i czasochłonne m.in. z powodu konieczności zaakceptowania wymaganych przez ustawę o podpisie informacji i ostrzeżeń wyświetlanych przez aplikację
  5. korzystanie z k.p.e. nie jest możliwe w sposób całkowicie automatyczny z poziomu systemu finansowo-księgowego - k.p.e. jest przywiązany do osoby fizycznej

W praktyce jedyne uzasadnienie dla opatrywania tych dokumentów jakimkolwiek podpisem elektronicznym to zwiększenie jego mocy dowodowej do celu ewentualnych sporów i dochodzenia roszczeń w przyszłości.

Wystarczający poziom bezpieczeństwa w takim zastosowaniu zapewni zwykły, niekwalifikowany podpis elektroniczny składany przy pomocy certyfikatu wystawianego przez polskie lub zagraniczne centra certyfikacji.

Zwykły podpis elektroniczny jest wystawiany w procedurze zbliżonej do tej, według której wystawia się certyfikaty SSL dla sklepów internetowych czy banków i jest powszechnie akceptowany. Ustawa o podpisie elektronicznym nie odmawia takiemu podpisowi ważności.

Równocześnie nie posiada on wyżej wymienionych wad kwalifikowanego podpisu elektronicznego. Zwykły podpis elektroniczny można wystawić na organizację, a nie na osobę fizyczną, można go używać w sposób automatyczny i poza kartą kryptograficzną oraz nie wymaga znakowania czasem.

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Tylko się zastanawiam, dlaczego ludzie tak lubią darmowy ser? przeciez chyba rozwój umysłowy jest odbrobinę wyższy czy tylko mi się wydaje??
"można go używać w sposób automatyczny i poza kartą kryptograficzną oraz nie wymaga znakowania czasem." Czy to celowe niedomówienie? Dlaczego autor który proponuje zastosować "zwykły" podpis elektroniczny do bardzo niezwykłych dokumentów? "wymaga dodatkowego znakowania czasem" jest to celowa manipulacja, bo co zwykły dokument papierowy, nie wymaga zabezpieczeń w celu przetrwania dokumentu i jego treści? Czy domorosły informatyk nie potrafi postawić CA i TSA na windows 2003 server? A przecież taki sposób zabezpiecznia(sic! właśnie zabezpieczenia a nie podpisu) nie jest w żaden sposób negowane przez ustawę... Kłamstwem jest to że każdy popdis wymaga kwalifikowanego znacznika czasu, znacznik jest tylko mechanizmem zabezpieczającym a nie elementem podpisu i to sąd (w przypadku nie kwalifikowanego znacznika) powinien zadecydować o jego waznosci za pomoca begłych...

No właśnie. Sąd zdecyduje o ważności znacznika czasu. To dlaczego nie może także zdecydować o ważności podpisu złożonego certyfikatem niekwalifikowanym wydanym przez polskie lub zagraniczne centrum certyfikacji, 10-krotnie tańszym i łatwiejszym w użyciu?

Czy moc dowodowa RMUA podpisanego certyfikatem wystawionym w polityce Certum IV lub podobnej będzie rażąco niższa? Przecież tysiące serwerów SSL, banków i urzędów, są zabezpieczone podobnymi certyfikatami i nikt nie kwestionuje poziomu gwarancji w tych przypadkach.

Kampania wciskania gdzie się da, czy trzeba czy nie trzeba, podpisu kwalifikowanego prowokuje ponure podejrzenia, że jej jedynym celem jest zapewnienie wysoce ograniczonego i lukratywnego rynku niewielkiej liczbie polskich firm, umiejętnie wpływających na ustawodawcę.

Interes ogółu obywateli i przedsiębiorców jest przy tym traktowany po macoszemu. Patrz np. jakie koszty generowałby podpis kwalifikowany gdyby zgodnie z postulatami jego zwolenników zaczętoby go powszechnie wykorzystywać w medycynie - "Problem z e-podpisem w medycynie". Zamiast na leczenie pacjentów  i pensje personelu pieniądze wydawano by na drogi i kłopotliwy w użyciu podpis kwalifikowany.

Patrz np. jakie koszty generowałby podpis kwalifikowany gdyby zgodnie z postulatami jego zwolenników zaczętoby go powszechnie wykorzystywać w medycynie - "Problem z e-podpisem w medycynie". Zamiast na leczenie pacjentów i pensje personelu pieniądze wydawano by na drogi i kłopotliwy w użyciu podpis kwalifikowany.
No to jeżeli w tej rozmowie zaczęliśmy się powoływać na ten artykuł i uważamy go za punkt odniesienia, to proszę skomentować określenie "informatycy szpitala" oraz "Można elektronicznie podpisywać dokumenty również dla urzędu skarbowego i KRS-u, ale jest to praco- i czasochłonne." Czy faktycznie "informatycy szpitala" musieliby by wykupić licencję na bibiliotekę od CC? Czy nie jest tak, że można zrobić o wiele prościej - zlecić cała usługę niezależnej firmie, która napisze program, który będzie obsługiwał pracę wszystkich urządzeń.
Jeden z ekspertów w tym artykule ponadto dodaje, że dla niego łatwiej jest pojechać do urzędu niż załatwić sprawę przy użyciu e-podpisu.
Czyli to jest słuszne podejście według admina? ))

Zasadniczym zadaniem szpitala jest leczenie pacjentów,  a nie rozwijanie oprogramowania czy testowanie eksperymentalnych technik uwierzytelniania.
Podpis elektroniczny w szpitalu powinien być używany wtedy i tylko wtedy, jeśli daje wymierne korzyści. Wymierne korzyści to sytuacja, gdy koszt wdrożenia i używania danej technologii jest znacząco mniejszy niż oszczędność czasu lub papieru dzięki niej uzyskana. W przeciwnym razie będzie to marnowanie pieniędzy. Cytowane w artykule wypowiedzi pozwalają sądzić, że korzyść ze stosowania k.p.e. w szpitalu jest co najmniej wątpliwa - mi też się wydaje, że koszt wyposażenia wszystkich lekarzy i pielęgniarek w k.p.e. oraz koszt corocznego odnawiania ich certyfikatów to marnowanie pieniędzy.
Z marnowaniem pieniędzy będziemy mieć zwłaszcza wtedy, jesli dodatkowo "zlecenie zewnętrznej firmie" miałoby się odbywać w każdym szpitalu oddzielnie, co jest praktyką bardzo rozpowszechnioną na polskim rynku.