Elektroniskais paraksts joprojām vēlējuma izteiksmē
Paraksts uz E-dokumenta
Elektronisko
dokumentu likuma pārejas noteikumu 1. Punkts vēsta: valsts un
pašvaldību iestādēm ir pienākums pieņemt
elektroniskos dokumentus no fiziskām un juridiskām personām ne
vēlāk kā 2004. gada 1. janvārī. Elektronisko dokumentu
likums ir pieņemts 2002. gada novembrī, tomēr arī
aizritējušais gads nav iezīmējis īpašus
sasniegumus elektronisko parakstu ieviešanā. Joprojām gan par
elektroniskajiem parakstiem, gan pilsoņu identifikācijas kartēm
tiek runāts vēlējuma un perspektīvo plānu
izteiksmē.
Vai
tas nozīmē, ka prece elektroniskais paraksts nav
pieprasīta? Kāpēc risinājumi, kas varētu likvidēt
dokumentu iesniedzēju un dokumentu saņēmēju rindas valsts
institūcijās, kas varētu atvieglot darbu uzņēmējiem,
kā arī padarīt daudzus veselības aprūpes pakalpojumus
pieejamus no iedzīvotāju mājām, nav atraduši savus
lietotājus (vai, kā teikts Elektronisko dokumentu likumā
parakstītājus)? Iespējams, cēlonis ir vadības vai
atbildīgo personu nepietiekama informētība par šiem
risinājumiem.
Kas
ir paraksts?
Parakstoties
uz dokumenta, apliecinām atbildību par informāciju, uz kuru
šis paraksts ir attiecināms. Paraksts ir dokumenta
sastāvdaļa. Runājot par elektronisko dokumentu vai elektronisko
transakciju, elektroniskais paraksts nav uzskatāms vienkārši par
šī dokumenta vai transakcijas sastāvdaļu. Elektroniskais
paraksts ir elektroniskā dokumenta vai transakcijas pasniegšanas
forma (pēc analoģijas ar papīra dokumentu varētu teikt, ka
parakstīta tiek katra zīme dokumentā, apliecinot gan tās
formu, gan atrašanās vietu, gan dokumenta sastādīšanas
laiku, gan parakstītāja tiesības parakstīt).
Tehnoloģijas, kas realizē elektronisko parakstu, pirms nonākšanas
tirgū iziet visrūpīgākos testus, lai iegūtu
atbilstošus starptautiskus sertifikātus. (Piemēram,
saskaņā ar Common Criteria for Information Technology Security
Evaluation (CC) noteikti septiņi līmeņi
drošības vērtēšanai no EAL1 līdz EAL7.
Drošu elektronisko parakstu risinājumi ir jābalsta uz
ražojumiem, kas ieguvuši EAL4 līmeni augstākais
drošības līmenis, kura normu izpilde atrodas uz ražojuma
realizācijas ekonomiskā izdevīguma robežas.)
Elektroniskā paraksta pamatuzdevums ir:
ú
apliecināt,
ka saņemtais dokuments pilnībā atbilst nosūtītajam;
ú
apliecināt,
ka dokumentu nosūtījusi persona, kura to ir parakstījusi;
ú
nepieciešamības
gadījumā garantēt, ka dokumenta parakstītājs
nevarēs noliegt parakstīšanas faktu.
Drošas
elektronisko parakstu tehnoloģijas realizē visus trīs
uzskaitītos pamatuzdevumus, rodot iespēju elektroniski
parakstītiem dokumentiem nodrošināt augstāku
uzticamības pakāpi nekā papīra dokumentiem.
Parakstītāja identitātes apliecināšanu un
parakstīšanas fakta nenoliegšanas garantēšanu
nodrošina trešās puses (sertifikācijas pakalpojumu
sniedzēja) uzturēts kvalificēts sertifikāts
(saskaņā ar Elektronisko dokumentu likuma terminoloģiju
elektronisks apliecinājums, kas saista elektroniskā paraksta
pārbaudes datus ar parakstītāju un kalpo parakstītāja
identitātes noteikšanai). Sertifikācijas pakalpojumu
sniedzēja uzticamībai (arī sertifikācijas pakalpojumu
sniegšanai izmantoto tehnoloģiju drošībai) ir
noteicošā loma elektronisko parakstu sistēmas
drošībā.
Papīra
lamatas
Neraugoties
uz informācijas tehnoloģiju ražotāju un likumdevēju
pūlēm, elektronisko parakstu tehnoloģijas ikdienā
ienāk ne visai plašā straumē. Ekspertu vērtējumi
norāda uz vairākiem apstākļiem, kāpēc tā
notiek, no kuriem būtu izdalāmi šādi:
ú
augstas
risinājuma izmaksas,
ú
nepietiekama
izpratne par izmantotajām tehnoloģijām,
ú
problēmas
lietojumprogrammu salāgošanā ar elektronisko parakstu
risinājumiem.
Tomēr,
raugoties no parakstītāju (elektronisko parakstu
lietotāju) viedokļa, risinājuma izmaksas nebūt nav tik
augstas un, kā rāda pasaules prakse, gada maksa par tipveida
pakalpojumu saņemšanu svārstās robežās no
apmēram desmit latiem fiziskām personām līdz vairākiem
simtiem - juridiskām personām. Parakstītājam nav
nepieciešamas īpašas zināšanas par elektronisko
parakstu tehnoloģijām tas paliek pakalpojuma sniedzēja
pārziņā. Elektroniskā paraksta lietotājam
nepieciešamās tehniskās zināšanas nepārsniedz
līmeni, kas ir nepieciešams sērfošanai internetā.
Daudz būtiskāka problēma lietotājam ir lietojumprogrammu
salāgošana ar elektronisko parakstu risinājumiem. Labākais
šīs problēmas risinājums standartizētu,
sertificētu ražojumu izmantošana (mūsu apstākļos
izklausās nedaudz panaivi, bet skopais maksā divreiz). Tomēr
ir viena iepriekš nenosaukta, grūti risināma problēma
ieradums un tradīcijas. Vairums no mums ir pieraduši ikdienā
rīkoties ar papīra dokumentiem, un bieži vien pat datoru guru
internetā iegūto informāciju lasa nevis uz monitora, bet
izdrukātu papīra lapu veidā. Arī daļai
ierēdņu nebūtu viegli šķirties no rindām aiz
kabineta durvīm, kas netieši rosina apziņu par paša
nozīmību šai sabiedrībā.
Kur slēpjas
āķis?
No
parakstītājiem nekāds āķis nav
paslēpts. Būtu labi, ja šie vārdi būtu patiesi. Āķis
ir. Mēdz teikt: katrai lietai sava vieta. Šinī
gadījumā risinājums sekmīgi darbosies tikai tam
piemērotā vidē. Elektronisko dokumentu likums nepārprotami
norāda uz vienu no galvenajiem parakstītāja
rūpaliem: Parakstītājs ir atbildīgs par zaudējumiem,
kas nodarīti personai, kura saprātīgi paļāvusies uz
kvalificētu sertifikātu, ja .. parakstītājs
pienācīgi nerūpējas par elektroniskā paraksta
radīšanas datu aizsardzību pret neatļautu lietošanu.
Pienācīgi rūpēties par datu aizsardzību
nozīmē pārvaldīt informācijas drošību
informācijas sistēmā. Drošu informāciju raksturo
trīs parametri:
ú
konfidencialitāte informācija ir
pieejama vienīgi tiem, kuriem tā ir paredzēta;
ú
integritāte informācija ir
uzticama;
ú
pieejamība informācija ir
pieejama tad, kad tā ir nepieciešama.
Pārvaldīt
informācijas drošību nebūt nenozīmē vienīgi
ugunsmūra un antivīrusu programmatūras ieviešanu.
Informācijas drošības pārvaldība ir pasākumu
kopums, kas ietver gan organizatoriskos, gan tehnoloģiskos
risinājumus, vadoties pēc Latvijas normatīvo aktu
prasībām, standartā ISO17799 ietvertajām
norādēm un uzņēmuma vai iestādes darbības
rakstura. Turklāt informācijas drošība ir
jāpārvalda katrā informācijas sistēmā
neatkarīgi no tā, vai elektroniskais paraksts tiek izmantots vai ne.
Elektroniskā paraksta ieviešanas nepieciešamība būtu
uzskatāma par papildu stimulu drošības pārvaldības
problēmu risināšanai.
Elektronisko
parakstu lietotāji
Elektronisko
parakstu sistēmā izšķir divas parakstu lietotāju
kategorijas:
ú
sertifikātu
turētāji (saskaņā ar Elektronisko dokumentu likuma
terminoloģiju parakstītāji),
ú
sertifikātu
turētāju sadarbības partneri.
Sertifikātu
turētāji ir personas, kuras elektroniski paraksta dokumentu
(ģenerē dokumenta elektronisko parakstu, izmantojot savu,
sertifikācijas pakalpojuma sniedzēja izsniegto, privāto
atslēgu) un kuru identitāte tiek apliecināta ar
sertifikācijas pakalpojumu sniedzēja sertifikātu.
Sadarbības partneri ir elektroniski parakstīto dokumentu
saņēmēji (izmantojot sertifikātā iekļauto publisko
atslēgu, pārliecinās par elektroniskā paraksta
autentiskumu un atšifrē dokumentu). Elektronisko parakstu
lietotāji ar vienkāršām darbībām (ne
sarežģītākām par dokumenta saglabāšanu no
teksta redaktora vides) iniciē sarežģītu tehnoloģisko
procesu nosūtītājs, elektroniski parakstot dokumentu, veic
datu šifrēšanu, saņēmējs - atšifrēšanu,
turklāt atšifrēt varēs vienīgi persona, kurai
dokuments ir paredzēts.
Vēlmes un
iespējas
Elektronisko
parakstu tehnoloģijas jau sen (pēc informācijas tehnoloģiju
attīstības dinamikas mērauklas) ir nosvinējušas 10
gadu jubileju. Arī Latvijā tās nav uzskatāmas par eksotisku
retumu, jo elektronisko parakstu ieviešana sniedz reālus ieguvumus
pieaug informācijas aprites ātrums un drošība. Turklāt
šie ieguvumi ir aprēķināmi, jo gan laikam, gan
informācijai ir konkrēta cena un tās ir vienas no
dārgākajām mūsdienu precēm. Elektroniskais paraksts ir
instruments, kas saukli informācijas sabiedrība
piepildītu ar saturu un ļautu daudz dinamiskāk risināt
daudzus birokrātiskās procedūrās stiegošus
jautājumus.
Dainis RUMENTS,
IS
drošības konsultants
Elektronisko dokumentu likuma pārejas noteikumu 1. Punkts vēsta: valsts un pašvaldību iestādēm ir pienākums pieņemt elektroniskos dokumentus no fiziskām un juridiskām personām ne vēlāk kā 2004. gada 1. janvārī. Elektronisko dokumentu likums ir pieņemts 2002. gada novembrī, tomēr arī aizritējušais gads nav iezīmējis īpašus sasniegumus elektronisko parakstu ieviešanā. Joprojām gan par elektroniskajiem parakstiem, gan pilsoņu identifikācijas kartēm tiek runāts vēlējuma un perspektīvo plānu izteiksmē.
Vai tas nozīmē, ka prece elektroniskais paraksts nav pieprasīta? Kāpēc risinājumi, kas varētu likvidēt dokumentu iesniedzēju un dokumentu saņēmēju rindas valsts institūcijās, kas varētu atvieglot darbu uzņēmējiem, kā arī padarīt daudzus veselības aprūpes pakalpojumus pieejamus no iedzīvotāju mājām, nav atraduši savus lietotājus (vai, kā teikts Elektronisko dokumentu likumā parakstītājus)? Iespējams, cēlonis ir vadības vai atbildīgo personu nepietiekama informētība par šiem risinājumiem.
Kas ir paraksts?
Parakstoties uz dokumenta, apliecinām atbildību par informāciju, uz kuru šis paraksts ir attiecināms. Paraksts ir dokumenta sastāvdaļa. Runājot par elektronisko dokumentu vai elektronisko transakciju, elektroniskais paraksts nav uzskatāms vienkārši par šī dokumenta vai transakcijas sastāvdaļu. Elektroniskais paraksts ir elektroniskā dokumenta vai transakcijas pasniegšanas forma (pēc analoģijas ar papīra dokumentu varētu teikt, ka parakstīta tiek katra zīme dokumentā, apliecinot gan tās formu, gan atrašanās vietu, gan dokumenta sastādīšanas laiku, gan parakstītāja tiesības parakstīt). Tehnoloģijas, kas realizē elektronisko parakstu, pirms nonākšanas tirgū iziet visrūpīgākos testus, lai iegūtu atbilstošus starptautiskus sertifikātus. (Piemēram, saskaņā ar Common Criteria for Information Technology Security Evaluation (CC) noteikti septiņi līmeņi drošības vērtēšanai no EAL1 līdz EAL7. Drošu elektronisko parakstu risinājumi ir jābalsta uz ražojumiem, kas ieguvuši EAL4 līmeni augstākais drošības līmenis, kura normu izpilde atrodas uz ražojuma realizācijas ekonomiskā izdevīguma robežas.) Elektroniskā paraksta pamatuzdevums ir:
ú apliecināt, ka saņemtais dokuments pilnībā atbilst nosūtītajam;
ú apliecināt, ka dokumentu nosūtījusi persona, kura to ir parakstījusi;
ú nepieciešamības gadījumā garantēt, ka dokumenta parakstītājs nevarēs noliegt parakstīšanas faktu.
Drošas elektronisko parakstu tehnoloģijas realizē visus trīs uzskaitītos pamatuzdevumus, rodot iespēju elektroniski parakstītiem dokumentiem nodrošināt augstāku uzticamības pakāpi nekā papīra dokumentiem. Parakstītāja identitātes apliecināšanu un parakstīšanas fakta nenoliegšanas garantēšanu nodrošina trešās puses (sertifikācijas pakalpojumu sniedzēja) uzturēts kvalificēts sertifikāts (saskaņā ar Elektronisko dokumentu likuma terminoloģiju elektronisks apliecinājums, kas saista elektroniskā paraksta pārbaudes datus ar parakstītāju un kalpo parakstītāja identitātes noteikšanai). Sertifikācijas pakalpojumu sniedzēja uzticamībai (arī sertifikācijas pakalpojumu sniegšanai izmantoto tehnoloģiju drošībai) ir noteicošā loma elektronisko parakstu sistēmas drošībā.
Papīra lamatas
Neraugoties uz informācijas tehnoloģiju ražotāju un likumdevēju pūlēm, elektronisko parakstu tehnoloģijas ikdienā ienāk ne visai plašā straumē. Ekspertu vērtējumi norāda uz vairākiem apstākļiem, kāpēc tā notiek, no kuriem būtu izdalāmi šādi:
ú augstas risinājuma izmaksas,
ú nepietiekama izpratne par izmantotajām tehnoloģijām,
ú problēmas lietojumprogrammu salāgošanā ar elektronisko parakstu risinājumiem.
Tomēr, raugoties no parakstītāju (elektronisko parakstu lietotāju) viedokļa, risinājuma izmaksas nebūt nav tik augstas un, kā rāda pasaules prakse, gada maksa par tipveida pakalpojumu saņemšanu svārstās robežās no apmēram desmit latiem fiziskām personām līdz vairākiem simtiem - juridiskām personām. Parakstītājam nav nepieciešamas īpašas zināšanas par elektronisko parakstu tehnoloģijām tas paliek pakalpojuma sniedzēja pārziņā. Elektroniskā paraksta lietotājam nepieciešamās tehniskās zināšanas nepārsniedz līmeni, kas ir nepieciešams sērfošanai internetā. Daudz būtiskāka problēma lietotājam ir lietojumprogrammu salāgošana ar elektronisko parakstu risinājumiem. Labākais šīs problēmas risinājums standartizētu, sertificētu ražojumu izmantošana (mūsu apstākļos izklausās nedaudz panaivi, bet skopais maksā divreiz). Tomēr ir viena iepriekš nenosaukta, grūti risināma problēma ieradums un tradīcijas. Vairums no mums ir pieraduši ikdienā rīkoties ar papīra dokumentiem, un bieži vien pat datoru guru internetā iegūto informāciju lasa nevis uz monitora, bet izdrukātu papīra lapu veidā. Arī daļai ierēdņu nebūtu viegli šķirties no rindām aiz kabineta durvīm, kas netieši rosina apziņu par paša nozīmību šai sabiedrībā.
Kur slēpjas āķis?
No parakstītājiem nekāds āķis nav paslēpts. Būtu labi, ja šie vārdi būtu patiesi. Āķis ir. Mēdz teikt: katrai lietai sava vieta. Šinī gadījumā risinājums sekmīgi darbosies tikai tam piemērotā vidē. Elektronisko dokumentu likums nepārprotami norāda uz vienu no galvenajiem parakstītāja rūpaliem: Parakstītājs ir atbildīgs par zaudējumiem, kas nodarīti personai, kura saprātīgi paļāvusies uz kvalificētu sertifikātu, ja .. parakstītājs pienācīgi nerūpējas par elektroniskā paraksta radīšanas datu aizsardzību pret neatļautu lietošanu. Pienācīgi rūpēties par datu aizsardzību nozīmē pārvaldīt informācijas drošību informācijas sistēmā. Drošu informāciju raksturo trīs parametri:
ú konfidencialitāte informācija ir pieejama vienīgi tiem, kuriem tā ir paredzēta;
ú integritāte informācija ir uzticama;
ú pieejamība informācija ir pieejama tad, kad tā ir nepieciešama.
Pārvaldīt informācijas drošību nebūt nenozīmē vienīgi ugunsmūra un antivīrusu programmatūras ieviešanu. Informācijas drošības pārvaldība ir pasākumu kopums, kas ietver gan organizatoriskos, gan tehnoloģiskos risinājumus, vadoties pēc Latvijas normatīvo aktu prasībām, standartā ISO17799 ietvertajām norādēm un uzņēmuma vai iestādes darbības rakstura. Turklāt informācijas drošība ir jāpārvalda katrā informācijas sistēmā neatkarīgi no tā, vai elektroniskais paraksts tiek izmantots vai ne. Elektroniskā paraksta ieviešanas nepieciešamība būtu uzskatāma par papildu stimulu drošības pārvaldības problēmu risināšanai.
Elektronisko parakstu lietotāji
Elektronisko parakstu sistēmā izšķir divas parakstu lietotāju kategorijas:
ú sertifikātu turētāji (saskaņā ar Elektronisko dokumentu likuma terminoloģiju parakstītāji),
ú sertifikātu turētāju sadarbības partneri.
Sertifikātu turētāji ir personas, kuras elektroniski paraksta dokumentu (ģenerē dokumenta elektronisko parakstu, izmantojot savu, sertifikācijas pakalpojuma sniedzēja izsniegto, privāto atslēgu) un kuru identitāte tiek apliecināta ar sertifikācijas pakalpojumu sniedzēja sertifikātu. Sadarbības partneri ir elektroniski parakstīto dokumentu saņēmēji (izmantojot sertifikātā iekļauto publisko atslēgu, pārliecinās par elektroniskā paraksta autentiskumu un atšifrē dokumentu). Elektronisko parakstu lietotāji ar vienkāršām darbībām (ne sarežģītākām par dokumenta saglabāšanu no teksta redaktora vides) iniciē sarežģītu tehnoloģisko procesu nosūtītājs, elektroniski parakstot dokumentu, veic datu šifrēšanu, saņēmējs - atšifrēšanu, turklāt atšifrēt varēs vienīgi persona, kurai dokuments ir paredzēts.
Vēlmes un iespējas
Elektronisko parakstu tehnoloģijas jau sen (pēc informācijas tehnoloģiju attīstības dinamikas mērauklas) ir nosvinējušas 10 gadu jubileju. Arī Latvijā tās nav uzskatāmas par eksotisku retumu, jo elektronisko parakstu ieviešana sniedz reālus ieguvumus pieaug informācijas aprites ātrums un drošība. Turklāt šie ieguvumi ir aprēķināmi, jo gan laikam, gan informācijai ir konkrēta cena un tās ir vienas no dārgākajām mūsdienu precēm. Elektroniskais paraksts ir instruments, kas saukli informācijas sabiedrība piepildītu ar saturu un ļautu daudz dinamiskāk risināt daudzus birokrātiskās procedūrās stiegošus jautājumus.
Dainis RUMENTS,
IS drošības konsultants