Marcowy Klub Informatyka OMaz PTI poświęcony był kwestiom podpisu elektronicznego. Była to druga dyskusja na ten sam temat po 7 latach przerwy (raczej chudych). Poprzedni Klub o e-podpisie odbył się w 2008 (zob. relacja z tamtego Klubu).
Klub 3 marca br. po raz pierwszy w historii zagościł w murach (czy raczej: szklanych taflach?) nowego gmachu Wydziału Matematyki i Nauk Informacyjnych (MiNI) Politechniki Warszawskiej. Prodziekan wydziału dr inż. Krzysztof Bryś zapewnił, że kolejne kluby PTI mogą zawsze liczyć na gościnę.
Dyskusję podpisie zainicjowały trzy osoby, kolejno reprezentujące postawę neutralną, pozytywną oraz krytyczną.
Neutralnie podeszła do zagadnienia prawniczka Martyna Machowiak, która przypomniała iż 23 lipca 2014 r. pojawiło się rozporządzenie Parlamentu Europejskiego na temat nowych regulacji dotyczących eIDAS (electronic IDentification And trust Services) podpisu elektronicznego (rozporządzenie Parlamentu Europejskiego i Rady UE Nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, uchylające dyrektywę 1999/93/WE). Większość zapisów tego rozporządzenia wejdzie w życie w połowie roku 2016.
Regulacje zawarte w rozporządzeniu wymagają całkowitej (i pilnej) przebudowy naszego dotychczasowego systemu identyfikacji i uwierzytelnienia bazującego na ustawie o podpisie elektronicznym z 18 września 2001 r.
Jako zdeklarowany zwolennik podpisów elektronicznych we wszelkich postaciach wystąpił Kajetan Wojsyk, który przedstawił się jako wieloletni pracownik sektora publicznego, lubiący e-podpis z racji tego, że jest leniwy. E-podpis pozwala mu oszczędzać czas i chodzenie do urzędów, a przy tym daje możliwość sprawdzenia, czy i jak instytucje publiczne akceptują dokumenty elektroniczne.
Trzeci z wprowadzających do dyskusji, Wiesław Paluszyński (który był konsultantem polskiej ustawy o e-podpisie na wczesnych etapach jej powstawania) wyraził swoje zastrzeżenia. Jego zdaniem to, iż po ponad 10 latach nie więcej niż 300 tys. osób korzysta z wprowadzonych ustawą podpisów, trzeba uznać za porażkę. Ponadto realizacja ustawy i jej rozporządzenia wykonawcze – preferując firmy zaangażowane w zdefiniowaną w ustawie infrastrukturę klucza publicznego (świadczące usługi certyfikacyjne) – pozostawiły innym niewiele miejsca na świadczenie usług identyfikacji i uwierzytelniania.
Po trzech wprowadzających głos zabrał Marek Ujejski, który jest przedstawicielem Polski w eIDAS Expert Group oraz eIDAS Committee, ciałach doradczych Komisji Europejskiej. Podkreślił, że w prowadzonej obecnie dyskusji dotyczącej aktów wykonawczych do rozporządzenia PE kraje członkowskie mogą jeszcze mieć pewien wpływ na kształt tych aktów, które mają się ukazać w drugiej połowie 2015 roku. Przypomniał też, że rozporządzenie eIDAS nakazuje uznawanie wszelkich notyfikowanych (czyli także zagranicznych) systemów identyfikacji elektronicznej z połową 2018. Stworzy to pole do świadczenia międzynarodowych usług zaufania przez wiele firm. Nic nie stoi na przeszkodzie, żeby usługodawcami były także firmy z Polski, choć nie ma ich wśród licznych partnerów z kilkunastu krajów europejskich (m.in. Litwy, Islandii, Czech, Grecji, Estonii, a także Szwajcarii i Turcji) budujących pilotażową platformę uwierzytelniania STORK (Secure idenTity acrOss boRders linKed) w ramach projektu koordynowanego przez hiszpański oddział firmy Atos.
W rozpoczętej tymi głosami dyskusji krytyczne zdanie o e-podpisie w jego obecnym kształcie wyraziło wielu dyskutantów, zauważając że podpis jest niewygodny i trudny technicznie do opanowania przez przeciętnego użytkownika. Wymaganie podpisu z kwalifikowanym certyfikatem jest często niewspółmierne do zagrożeń (inne jest ryzyko przy wysyłaniu dokumentu indywidualnego PIT rocznego, a inne przy deklaracji CIT lub VAT). Poza tym e-podpis w swojej ustawowej formie w ogóle nie znalazł zastosowania tam, gdzie uwierzytelnianie jest wykonywanie codziennie przez miliony użytkowników. Chodzi oczywiście o systemy bankowości elektronicznej, w których ostatnio wykorzystuje się mechanizmy uwiarygodnienia transakcji za pośrednictwem esemesowych haseł, w ogóle nie brane pod uwagę w polskim prawie.
Uczestnicy Klubu OMaz otrzymali treściwą pigułkę wiedzy na temat tego, co się zmieni w regulacjach i jakie to da możliwości użytkownikom i dostawcom. Wiele poruszonych wątków wymagałoby obszernych wyjaśnień, na które nie było czasu. Np. dlaczego ePUAP w obecnym kształcie nie nadaje się do uwierzytelniania danych zdrowotnych? Czy naprawdę KE przedkłada standardy ETSI ponad ISO? Jaką strategię przyjmować podczas konstruowania nowych regulacji prawa krajowego, które w nowej sytuacji umiędzynarodawiania e-podpisu będzie miało nadal pewną rolę do spełnienia. (ady, tmk, mp)
Zapis wideo z marcowego Klubu jest już dostępny w kanale PTI na YouTube. Zapraszamy. Jest tam wiele ciekawych materiałów, w tym zapisów wideo z innych Klubów Informatyka.