|
|
||||||||||||||||
| Streda 3.Novembra 1999 | |||||||||||||||||
|
 |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Od plniaceho pera k elektronickému podpisuModerná technika vstupuje aj do oblastí, o ktorých sme si mysleli, že tam nemôže V súčasnosti transformuje rad inštitúcií svoj informačný systém, založený na papierových médiách, do elektronickej podoby. Dôvodom tejto transformácie je snaha znížiť náklady. Tento trend však prináša potrebu spoľahlivej a efektívnej náhrady manuálneho podpisu podpisom elektronickým (digitálnym). Elektronický podpis môže byť, rovnako ako manuálny podpis, použitý na identifikáciu a autentizáciu pôvodcu informácie. Prakticky ide o to, aby dokázanie totožnosti bolo dôveryhodné, čo znamená, že partner, ktorý o sebe tvrdí, že je Milan Dušín, nemôže byť v skutočnosti Štětináč, ktorý ľahko vystupuje ako Milan Dušín. Problém podpisu Nasledujúca dramatická poviedka ilustruje využitie elektronického podpisu v jednej z možných oblastí, a to v zdravotníctve. Predmetná problematika však nie je obmedzená iba na túto konkrétnu oblasť, ale má obecnú platnosť (bezpečná identifikácia občana, vodiča, klienta banky ...). Všetky podobnosti so skutočnosťou sú čisto náhodné. Keď MUDr. Jan Kundera skončil univerzitu, dostal od svojho otca pamätný darček zlaté plniace pero Parker so slovami: Synu, s týmto perom budeš slúžiť všetkým pacientom, ktorí ťa budú potrebovať. MUDr. Jan Kundera zaznamenal každú návštevu perom do karty ťažko čitateľným rukopisom. A tiež bol jediný, kto to prečítal. Vďaka tomu, že bol jediným doktorom, nemal potrebu podpisovať zvyčajne veľmi krátke záznamy. Ale jeho podpis bol dobre známy po širokom okolí z predpisov, to dobre vedel lekárnik pán Zelenka. Všetko sa zmenilo v roku 1994. Do jeho praxe nastúpili ďalší lekári a sekretárka Helena prepisovala oveľa viac záznamov z diktafónu. Pri neprítomnosti MUDr. Kunderu museli jeho pacienti navštíviť niektorého kolegu, ktorý musel každý záznam podpísať kvôli účtovníctvu a z čisto právnych dôvodov. MUDr. Kundera si musel dať opraviť plniace pero, ktoré mu však ďalej slúžilo. V roku 1995 priviala elektronická éra Jana Nováka. Inštaloval počítač a príslušný zdravotný informačný systém. Sekretárka dostala mocný nástroj a zavrhla písací stroj. Ale čo s podpismi a plniacim perom? Pacienti ešte dostávali recepty podpísané perom. A čo sa stalo so záznamami pacientov? Boli teraz krásne tlačené a čitateľné, mená doktorov veľkými písmenami. Ale podpisy chýbali a jedného dňa sa to stalo problémom. Dátový súbor Nový mladý doktor Cvach musel navštíviť pani Horákovú. Nebol nadšený z jej večných nárekov na žalúdok a rýchlo vypísal recept na 25 tabletiek Ketobemidonu. Ale urobil vážnu chybu. Pani Horáková mala relatívne malý nádor a v okresnej nemocnici o dva dni zomrela. Jej manžel navštívil ordináciu už druhý deň a obvinil doktora, že ženu zabil. Začalo sa vyšetrovanie, spojené s kontrolou počítačových záznamov... Na základe výpovedí manžela zistili, že pani Horáková si často sťažovala, že ju mladý doktor odbíja silnými liekmi tíšiacimi bolesť bez toho, aby sa jej dotkol brucha. Predvolali sestru Annu, a po konfrontácii so záznamami, sa veľmi podivila a zistila, že nie sú pravdivé. Zvyčajne ich tipovala Helena, hoci krátke poznámky robil sám MUDr. Cvach. Helena si spomenula na natipovanie veľmi krátkej správy, nie na konkrétne slová. Prekvapivo bola poznámka podpísaná iba podpisom Cvacha, nie H. M. (Helena Moudrá). Na základe tejto skutočnosti MUDr. Cvach priznal, že správu zmenil v tú noc, keď sa dozvedel o hroznom konci. Bolo to také jednoduché. Ktokoľvek s trochou za ušami a minimálnou znalosťou PC vie, ako zmeniť dátový súbor, povedal. MUDr.. Kundera bol veľmi rozčarovaný. Dočasne nútil kolegov podpisovať záznamy ručne. Trvalo to tri dni, a potom sa vrátil k elektronickým záznamom o pacientoch. MUDr. Cvach musel odísť. Reťazec číslic MUDr. Jan Kundera stále zlepšoval výkonnosť kliniky. S pomocou softwarehousu a nadšeného vedúceho projektu začali príslušné zdravotné poisťovne experiment s elektronickými receptami, prinášanými z ordinácie do niekoľkých lekární pomocou modemu. Zmizli grafologické hádanky príšerných rukopisov. Čo sa však nestalo? Štrnásťročná Viera si myslela, že je obézna. Jej šestnásťročný brat mal jediný záujem záujem o počítače. Napichol sa do systému lekárne a predpisoval sestre pod menom MUDr. Peterka, ktorý práve začínal prax v meste ako nováčik, chudnúce medikamenty Slimosin. Po piatich mesiacoch užívania tohto stimulantu centrálneho nervového systému, bola Viera v hroznom stave. Brat jej odmietal napísal ďalší recept, ale pod vyhrážkou prezradenia rodičom to urobil. Trvalo to dovtedy, až predpísal svojmu priateľovi anabolické steroidy a keď ten si ich preberal, lekárnik zavolal MUDr. Kunderu. Brat prišiel o PC, Vieru poslali na liečenie anorexie, ale MUDr. Kundera nebol spokojný. V roku 1999 sa dočítal o elektronických podpisoch a kartách s čipom a položil svojmu priateľovi, odborníkovi z tejto oblasti, otázku: Ak sa to používa? Odpoveď znela: Vždy, keď naštartujete PC, musíte vložiť kartu a potvrdiť váš PIN. Potom karta verifikuje, či ste oprávneným používateľom a pre váš PC systém sa použije kódovací mechanizmus, ktorý overí, že vám karta patrí. Až potom vám povolí prístup k citlivým zdravotníckym informáciám. Dobre, a čo podpisy záznamov? To je skutočne veľmi dôležitá funkcia. Vďaka vašej karte sa vygeneruje elektronický podpis. Kontrolná hodnota sa počíta z nového textu a posiela sa na vašu kartu. V nej potom kódovací mechanizmus spolu s vaším osobným kľúčom vytvorí výstupný reťazec číslic, ktoré sú digitálnym podpisom. Ten je rovnako jedinečný ako váš odtlačok palca a je tak funkciou podpísaného textu, ako aj funkciou vašej identity vyjadrenej osobným kľúčom uchovaným vo vašej karte. Je to fantasticky dobre vymyslené len čo zmeníte iba čiarku, je výstup kompletne rozdielny a nikto iný, iba vy, môžete vytvoriť tento podpis. Kľúč s menom Ale ako môže byť takýto podpis overený? Existuje tzv. verejný kľúč, zodpovedajúci vášmu osobnému kľúču. S vaším verejným kľúčom môže ktokoľvek otvoriť váš elektronický podpis na akomkoľvek dokumente. Pochopiteľne, cez počítač. Ale ako dostanú taký kľúč napríklad v lekárni? Musím im ho dať ja osobne? To nie je nevyhnutne potrebné. Základnou myšlienkou je potreba organizácie, ktorá vydáva kľúče a potvrdzuje ich pridelenie určitej osobe. Takéto potvrdenie je krátka elektronická správa s kľúčom a vaším menom, ľahko prenositeľná tomu, s kým potrebujete komunikovať... Za mesiac inštalovali nový SW modul a čítačky kariet a všetci dostali osobné identifikačné karty, kde vedľa čipu bolo aj meno a fotografia, aj keď ich v skutočnosti v meste každý poznal. Boli to profesionálne zdravotné karty, ktoré boli užitočné, pokiaľ sa príležitostne praktikovali kdekoľvek inde v meste, alebo aj v inej európskej krajine. Netrvalo naozaj dlho a stalo sa to bežnou rutinou. Karty žiadali nielen na prístup, ale aj každý podpis museli potvrdiť text na obrazovke a potom vložiť svoj PIN, aby potvrdili, že dokument akceptujú. Mali síce s niektorými kolegami problémy, ale boli pripravení dokázať, že ich elektronické podpisy sú dôveryhodné, rovnako ako tie, čo napísali rukou. Diskrétny prenos Prípad z tejto jesene potvrdil neočakávanú výhodu tohto systému. Jeden z najstarších pacientov išiel k svojim vnúčatám. Mal veľmi vyčerpávajúci záznam, s niekoľkými dosť vážnymi podmienkami. Teraz potreboval akútne ošetrenie vo vzdialenej nemocnici a ošetrujúci lekár volal MUDr. Kunderovi: Môžete mi poslať záznamy? Asi budeme musieť v priebehu hodiny robiť laparotomiu. Povedal mi o niekoľkých predchádzajúcich operáciách, a preto by som potreboval od vás presné informácie vrátane liečebných postupov. Áno, rozumiem. Ale mám obavy o diskrétnosť informácií. Nerád by som, aby sa niektoré stali verejnými a neverím sieťam. Ale to nie je problém. Vy predsa máte experiment s elektronickými podpismi, že? Takže môžete správu zakódovať. Pošlem vám oficiálnu žiadosť s mojím verejným kľúčom elektronickou poštou. Skutočne, tento prvok nového systému MUDr. Kunderovi unikol. Systém elektronického podpisu dovoľuje bezpečnú výmenu kódovacích kľúčov na zakódovanie z dôvodu uchovania dôverností osobných údajov. A hoci ešte MUDr. Kundera nemusel so vzdialenou nemocnicou nikdy predtým komunikovať, mohli teraz zabezpečiť utajenú komunikáciu automaticky, umožňujúc urgentný prenos pacientovej histórie. Nedá sa odtajiť Prečo potrebujeme zákon o digitálnom podpise? Digitálny podpis je pojem, ktorý väčšina ľudí chápe ako elektronickú analógiu manuálneho podpisu. Napriek tomu túto analógiu treba do istej miery akceptovať, ide o nepresné chápanie digitálneho podpisu. Pri jeho aplikácii čoskoro zistíme, že je potrebné presne definovať, ktorá funkcia nám digitálny podpis poskytuje. Ide o nasledujúce funkcie: - Autentizácia pôvodcu, čo znamená, že príjemca digitálneho dokumentu bezpečne vie, kto je autorom (odosielateľom) digitálneho dokumentu. Príjemca má istotu, že dokument nebol falšovaný alebo podhodený. - Integrita digitálneho dokumentu, čo znamená pre príjemcu istotu, že digitálny dokument nebol modifikovaný. - Nepopierateľnosť (neodmietnuteľnosť zodpovednosti), čo zabezpečuje, že autor (odosielateľ) digitálneho dokumentu nebude môcť poprieť, že dokument s daným obsahom vytvoril alebo odoslal. Funkcie nepopierateľnosti sa zásadne líšia od predchádzajúcich dvoch funkcií. Funkcia autentizácie pôvodcu a integrity správy sú funkcie čisto technické, ktoré môžu byť zabezpečené iba technickými prostriedkami, bez potreby akejkoľvek právnej alebo zákonnej podpory. Funkcia nepopierateľnosti je však bez potrebnej právnej podpory nefunkčná. Účelom je presvedčiť tretiu, nezávislú stranu o tom, že správa bola v danej podobe odoslaná, a to tak, aby túto skutočnosť nemohol pôvodca správy poprieť. Práve preto, že cieľom nepopierateľnosti je presvedčiť tretiu stranu (typicky arbitra alebo súd) o istej skutočnosti, je ťažké používať digitálny podpis bez potreby zákonnej podpory bez zákona o digitálnom podpise. Zaručený podpis Praktický zmysel týchto funkcií pozorný čitateľ iste chápe, stačí uviesť niekoľko konkrétnych prípadov: - v roku 1995 na základe falošného súdneho faxového príkazu prepustili z Ruzynskej väznice Viktora P., údajného vydierača, člena ruskej mafie, - v tom istom roku prišlo k podvodným prevodom akcií v Stredisku cenných papierov, pri ktorých majiteľom spôsobili značnú škodu, - opakovane došlo k podvodným prevodom peňazí z existujúcich účtov na podvodne založené účty s ich následným výberom v hotovosti. V súčasnosti je v ČR už spracovaný návrh vecného zámeru zákona o elektronickom podpise. Navrhovaným zákonom je vymedzený obsah základným pojmov tak, aby bolo rešpektované ich pojatie v pripravovanej legislatíve EÚ. Na účely návrhu zákona je potrebné rozlišovať dva pojmy: a) Elektronický podpis informácie v elektronickej podobe, ktorá je vytvorená podpisovacím prostriedkom držaným podpísanou osobou, technicky neoddeliteľne pripojená k určitému dokumentu v elektronickej podobe. Elektronický podpis je spolu s dokumentom, ku ktorému je pripojený, z právneho hľadiska rovnocenný podpisu urobenému vlastnou rukou a pripojenému k obsahu listiny. b) Zaručený elektronický podpis elektronický podpis splňujúci nasledujúce požiadavky: - je jednoznačné spojený s podpísanou osobou, - umožňuje jednoznačne určiť podpísanú osobu, - je vytvorený spôsobom, ktorý môže podpísaná osoba udržať pod svojou výhradnou kontrolou, - je spojený s dokumentom, ku ktorému je pripojený takým spôsobom, že je zistiteľná každá následná zmeny dát v tomto dokumente, - je založený na kvalifikovanom certifikáte vydanom akreditovanou certifikačnou autoritou. Zaručený elektronický podpis predstavuje vyššiu mieru záruky spoľahlivosti a bezpečnosti použitia elektronického podpisu. Spolu s dokumentom, ku ktorému je pripojený, je z právneho hľadiska rovnocenný podpisu určenému vlastnou rukou a pripojenému k obsahu listiny, overovanému na základe osobitných zákonov. Prehľad legislatívy v oblasti elektronického podpisu v zahraničí UNCITRAL (United Nations Commission on International Trade Law) pracuje na modelovom zákone o digitálnom podpise, ktorých poslednú verziu z 23. novembra 1998 prerokovali na stretnutí pracovnej skupiny elektronického obchodu UNCITRAL vo Viedni vo februári tohto roka. OECD (Organization for Economic Cooperation and Development) priala v odporúčaní zo dňa 27. marca 1997 Guidelines for Cryptography Policy. Európska komisia prijala v októbri 1997 Communication on Digital Signatures and Encryption: Towards a European Framework for Digital Signatures and Encryption. Na začiatku roku 1998 DG XIII vytvoril pracovný návrh Directive on a Framework for Electronic Certification Services. Následne DG XIII publikoval Proposla for a European Parliament and Council Directive on a Common Framework for Electronic Signaturec (COM(1998) 297 final, 13. 5. 1998). Návrh usiluje o zabezpečenie riadneho fungovania vnútorného trhu v oblasti elektronických podpisov pomocou vytvorenia harmonizovaného právneho rámca na používanie elektronických podpisov v Európskom spoločenstve a pomoci stanovenia súboru kritérií, ktorá by vytvárala základ na právne uznanie elektronických podpisov. Európa V Nemecku vstúpil do platnosti dňa 1. augusta 1997 Singaturgesetz SigG (článok 3 Informations und Kommunikationsdienste Gesetz luKDG). Spolková vláda vydala v septembri 1997 Verordnung zur digitalen Signatur (Signaturverordnung SigV), ktorým implementovala Singaturgesetz. Vo Francúzsku je liberalizované používanie kryptografie článkom 17 Law on Telecommunications Regulations (No. 96-650 of 26 July 1996). Následným riadením (No. 98-102 of 24 February 1998) boli predpísané pravidlá pre licencované dôveryhodné tretie strany, ktoré spravujú kryptografické kľúče. V Taliansku je táto problematika riešená Digital Document Rebulations (Presidential Decree No. 513 of 10 November 1997). Nariadenie zabezpečuje právne uznávanie digitálnych dokumentov, podpisov, zmlúv a platieb. Na základe tohto nariadenia môže byť digitálny podpis používaný ako rovnocenný vlastnoručnému podpisu. V Belgicku v máji 1997 publikovali návrh zákona o elektronických podpisoch. V Dánsku je vypracovaný návrh zákona o digitálnych podpisoch. V Luxembursku návrh zákona o digitálnom podpise z minulého roka nahradili v marci 1999 novou verziou. Tento nový návrh vychádza zo smernice EÚ o elektronických podpisoch. V Rakúsku vstúpi zákon o digitálnych podpisoch do platnosti 1. 1. 2000. Amerika V USA je legislatíva ekonomického (digitálneho) podpisu upravená v jednotlivých štátoch rôzne. Zákon o elektronickom (digitálnom) podpise má napríklad Florida (Electronic Signature Act, 1996), Havaj (Hawai Digital Signature Act, 1997), Idaho (Idaho Electronic Signature and Filling Act, 1998), Indiana (Electronic Digital Signature Act, 1997), Kansas (Kansas Digital Signature Act, 1997), Utah (Utah Digital Signature Act, 1995), Washington (Washington Digital Signature Act). V Argentíne podpísal prezident Decree No. 427/98. Nariadenie upravuje používanie digitálnych podpisov vo verejnej správe. V Kolumbii vydali návrh zákona o elektronickom obchode, digitálnych podpisoch a certifikačným autoritách. Návrh vychádza z modelového zákona o elektronickom obchode UCITRAL. V Indii v decembri 1998 ministerstvo pre elektroniku vydalo návrh zákona o informačných technológiách, ktoré obsahuje ustanovenia týkajúce sa digitálnych podpisov. Malajzia prijala v roku 1997 Digital Singature Act. Singapur schválil Electronic Transaction Act 1998, v ktorom je zahrnutá problematika digitálnych podpisov, elektronických zmlúv a certifikačných autorít. Miroslav Hrubý Predseda ČAČK Člen Hospodárskeho klubu - NEF |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Webmaster: webmaster@maxo.sk Design: MAXO s.r.o. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
