11 marca 2008 dyskutowaliśmy w Klubie Informatyka na temat:
„Podpis elektroniczny – gdzie jesteśmy, dokąd zmierzamy?”
Frekwencja klubowiczów i przyjaciół Klubu była imponująca – ponad 40 osób. We wprowadzeniu do dyskusji pomogli nam zaproszeni goście (w kolejności zabierania głosu): Mariusz Skiba z firmy Mobitrust, Robert Podpłoński z KIR, przedstawiciel Centrum Certyfikacji Sigillum (PWPW SA), Elżbieta Andrukiewicz autorka ekspertyzy dot. Wdrażania ustawy o podpisie elektronicznym i Jarosław Mojsiejuk ekspert PIIT i PTI w pracach nad projektem Ustawy. W trakcie dyskusji wiele merytorycznych uwag wniósł też Andrzej Ruciński z UNIZETO.
Usiłowaliśmy znaleźć odpowiedź na pytanie dlaczego pomimo, że ze stosowaniem tzw. zwykłego podpisu elektronicznego jest nieźle, zastosowanie jego kwalifikowanej formy, nazywanej bezpiecznym podpisem elektronicznym, jest ciągle ograniczone i budzi wiele skrajnych emocji. Nie chcieliśmy doprowadzić do uzgodnienia stanowisk, które w dyskusji wyraźnie się zarysowały i spolaryzowały w układzie Centra Certyfikacji reszta dyskutantów, ale raczej stworzyć w miarę kompletny katalog przyczyn tego stanu rzeczy.
Z zapisu dyskusji wynika, że są to następujące przyczyny (kolejność zgłaszania a nie waga problemów !):
- mała dostępność usług wymagających stosowania podpisu, szczególnie poza sferą administracji;
- wysoka cena i trudne znalezienie rezerwy na obniżkę kosztów przy zbyt wysokich wymaganiach Ustawy;
- administracja zbyt późno zaczęła wdrażać usługi wymagające kwalifikowanej formy podpisu;
- złe regulacje dotyczące przeznaczania środków unijnych co powoduje budowanie przez administrację własnych Centrów Certyfikacji, nie spełniających wymogów bezpieczeństwa zawartych w ustawie (jeden z gości użył nawet stwierdzenia, że budowa takich centrów przez samorządy jest idiotyczna);
- zapisy w ustawie ograniczające rynek świadczenia usług certyfikacyjnych, wymuszające nieuzasadnione koszty;
- niezgodność zapisów ustawy z przepisami dyrektywy;
- niedoskonałości prawne ustawy nie budzą do niej, a w efekcie do kwalifikowanej formy podpisu zaufania użytkowników;
- bariery zawarte w systemie prawnym, które powodują, że forma elektroniczna jest trudniejsza w stosowaniu niż papierowa;
- upubliczniane w środowisku prawniczym sprzeczne opinie co do skuteczności stosowania bezpiecznego podpisu elektronicznego, co powoduje wstrzymywanie się ze stosowaniem tej formy;
- skomplikowany sposób posługiwania się tym narzędziem, niezgodności formatów, brak interoperacyjności pomiędzy produktami poszczególnych dostawców;
- opór środowiska prawników wynikający z niezrozumienia istoty bezpiecznego podpisu i nikłej wiedzy o tej problematyce;
- zły model biznesowy w którym działają centra certyfikacji, co przekłada się na windowanie ceny za dane do składania podpisu i certyfikat kwalifikowany;
- mały katalog usług oferowanych dla odbiorców usług certyfikacyjnych, sprzedaż pakietowa;
- wysoka cena produktów porównywana we wszystkich Centrach Certyfikacji, która wskazuje na brak mechanizmów rynkowych w tym obszarze usług.
Jak widać z tego zapisu dyskusja była wielowątkowa, spieraliśmy się mocno ale w granicach dobrego smaku. Zakończyliśmy nasze spotkanie wypełnieniem i podsumowaniem ankiety przygotowanej przez kolegów z ISOC, która pokazała jak wiele z naszych wątpliwości dotyczących trudności w stosowaniu proponowanych przez Centra Certyfikacji usług jest w pełni uzasadnionych.
Pozostaje żywić nadzieje, że nasz katalog stworzony na spotkaniu Klubu Informatyka pomoże osobom odpowiedzialnym za naprawę tej sytuacji na przeprowadzenie skutecznej terapii aby nasz pacjent, podpis bezpieczny, nie rozstał się ze światem wirtualnym. Mam nadzieję, że będziemy w tym procesie naprawy aktywnie uczestniczyć.
Wiesław Paluszyński
(moderator spotkania)