Usw & docman engineering Channel World practice usw ltd Цифровият подпис “отвъд океана”

Казаното до тук в никакъв случай не е белег, че масовото използване на цифровия подпис не се е “случило”, или че няма да се “случи”. Правилната оценка задължително трябва да калкулира преди всичко изключителния прагматизъм, който американците проявяват при използването на каквото и да било, включително и при новите върхови технологии.

Всъщност те не отказват да загърбят хартиените документи, но пресметливо използват всяка възможност да работят с електронни документи без да ги утежняват задължително с използването на електронен подпис. Тук е мястото отново да отбележим в прав текст, че самата процедура по подписването се оценява, като неприятно трудоемка- вадене на картата, съхраняваща данните за подписа, стартиране на процеса на подписване, въвеждане на PIN и т.н. Може да добавим и проблеми по това да не се загуби картата, да не се забрави в четящото устройство, да се държи винаги в наличност и т.н. Истинската оценка на проблема трябва да включи и високото доверие на бизнес отношенията в САЩ.
Интересен е анализът на това доверие. Jim Minihan (в “Gaining Trust for Digital Signatures”) посочва някои интересни оценки на практикуването на хартиения подпис. Той прави следната градация: при пазаруване в дрогерията (до стотина USD) никой не сравнява подписа върху чека; при покупка (например на кола- от няколко, до десетки хиляди USD) обикновено се задоволяват със сравняване на подписа върху чека с подписа върху шофьорския лиценз; при сключване на ипотека вече се включва трето лице- нотариус.
Американците пренасят тази “схема на доверие” почти без промени и в практиката на електронния подпис, като отново използват три нива на “наследяване на риска” (James Dukart). Към първото ниво можем да причислим размяната на неподписани документи, към второто- размяна на подписани с подпис издаден от не сертифициран доставчик на удостоверителни услуги (ДУУ) и към третото- въвличането в процеса на сертифициран ДУУ, което за нашите условия е равностойно на използване на универсален подпис, съгласно нашия Закон за ЕДЕП.
Най-интересно е второто ниво. Може да се каже, че то рядко се използва поради не оптималното съотношение “ниво на покрит риск разходи по използване”. Всъщност това второ ниво най-често се практикува във вътрешно фирмената практика, където нивото на риска сумарно е не само ниско, но и добре контролируемо. Ето защо, подписването на вътрешно фирмени документи (например във връзка със съгласуването им) среща естествен отпор и мениджърите избягват да го прилагат.

Във връзка с това, Tommy Petrogiannis (президент на Silanis- security software vendor) коментира два възможни начина за преход към използване на ЕП- еволюционен и революционен. Първият разчита на естественото налагане на новата технология и в общи линии е обяснение за текущото състояние на нещата в САЩ.

Вторият начин Petrogiannis го илюстрира с опита на ръководството на GMAC Commercial Mortgage. В тази корпорация се обявява, че който не използва електронен подпис, ще бъде лишен от премии. Petrogiannis не без ирония констатира, че всички се стичат под знамената на “марша към paperless office”.

Верни на своя прагматизъм, американците с лекота бягат от второто ниво на риска и се доверяват на Log-данните, като на първо място трябва да поставим тези съпътстващи електронната поща. Това обяснява, защо електронните съобщения първи бяха обявени за “records” , тоест за документи под нормативна регулация, или документи които могат да донесат до 20 години затвор при злоумишлено поведение- съгласно Sarbanes-Oxley Act. Друг е въпросът, че това стана след грандиозните скандали с Enron, WorlCom и други, но това е по-скоро оценка за нивото на материалните загуби, които само в рамките на няколко месеца могат да задвижат американската законодателна машина.

Все пак, нека отчетем, че същата тази машина съвсем наскоро обяви и т.н. Instant Messages за същата категория документи, което постави под нормативно регулация включително съобщенията по пейджърите. Този път без прецедента на грандиозния скандал...
Преходът от второ ниво на риск към първо практически заменя относително трудоемката и скъпа PKI- технология с (нека условно да я наречем) Log-технологията. В повечето случаи това води не само до облекчаване на практиката на ЕП (компютрите подписват хората!), но е и напълно безплатно, тай като тя е вградена във всяка професионална система за целите на контрола.

Всъщност в случая печалбата е много по-голяма. Възможността да се генерират (автоматично) за различни случаи различни Log-данни дава възможност да се подписват различни волеизявления (съгласно нашия ЗЕДЕП). Казано по друг начин може да има подпис за “утвърдил”, “не утвърдил”, утвърдил с особено мнение” и т.н. Това е постижимо с УЕП/PKI само с използването на малко или повече трудоемки технологии, изискващи създаване на допълнителни информационни единици (носещи характера на волеизявлението), поддържане на връзки между основния документ и допълнителните информационни единици и т.н.

Jim Minihan не съобщава за вътрешно фирмена практика на “размножени подписи”, което е логично. За подобни цели (подписване на различни по тип волеизявления) фирмите обикновено използват Log-данни. В статията си той посочва, че използването на няколко подписа се практикува на ниво агенции в органите на федералната и щатската администрация. В случая “специализацията” на подписите е свързана не с маркиране на типа на волеизявлението, а с повишаването на сигурността на работа, просто защото е по-трудно да се “хакнат” няколко подписа.

Със сигурност ще се намери решение на техническите проблеми.

Дали и как ще се намери решение на проблема с доверието- бъдещето ще покаже...

Л.Благоев, USW Ltd.

Септември, 2003г.