E-podpis: Ano či ne?

--kap--
Účely, kterÚ vy×adujÝ potvrzenÝ autora zprßvy, ověřenÝ jeho identity a pravosti zaslan²ch ·dajů, je velkÚ mno×stvÝ a jeho aplikace se bude stßle vÝce rozÜiřovat. Zßle×Ý na tom, jak rychle se bude rozvÝjet pou×itÝ elektronick²ch forem komunikace mezi subjekty, kterÚ zpracovßvajÝ citlivÚ informace.

Proč podepisovat?

Teoreticky mů×e mÝt u×ivatel potřebu chrßnit a ověřovat autenticitu ka×dÚ elektronickÚ zprßvy, kterou vydß nebo přijme. Pro nasazenÝ elektronickÚho podpisu nejsou ×ßdnß zßvaznß nařÝzenÝ (vyjma zvlßÜtnÝch přÝpadů), a tak zßle×Ý na uvß×enÝ a potřebě CIO, jak² model vyu×itÝ elektronickÚho podpisu zvolÝ.
Firma si mů×e vymÝnit, ×e bude přijÝmat pouze elektronickÚ objednßvky, kterÚ budou opatřeny elektronick²m podpisem zadavatele, a je jen na jejÝm rozhodnutÝ, jak² způsob si zvolÝ a jakÚ certifikßty bude přijÝmat. Nebo se CIO mů×e rozhodnout, ×e zavede elektronick² podpis jen pro vnitrofiremnÝ komunikaci.
Jak podepisovat?

Ten, kdo se začne zaobÝrat otßzkou elektronickÚho podpisu, by si měl uvědomit, ×e se pouÜtÝ do značně komplikovanÚ a nßročnÚ oblasti. Oblasti, kde vÜe musÝ b²t dolo×enÚ, ověřenÚ, nezpochybnitelnÚ, zabezpečenÚ, chrßněnÚ. Prostě nejde o jeden krok, ale o proces. NehovořÝme samozřejmě o nasazenÝ elektronickÚho podpisu u fyzick²ch osob, kterÚ si nechajÝ zdarma vystavit certifikßt a jÝm podepisujÝ e-maily posÝlanÚ přßtelům. MluvÝme o nasazenÝ v podniku a zejmÚna při komunikaci s ·řady. Certifikßty, kterÚ mohou b²t pou×ity jako elektronickÚ podpisy, přÝpadně k ÜifrovßnÝ obsahu zprßvy, vydßvajÝ takzvanÚ certifikačnÝ autority (CA). Jde o společnosti, kterÚ zajiÜťujÝ vydßvßnÝ certifikßtů a garantujÝ informace o dr×iteli certifikßtu.

Vydání certifikátu

Při vystavenÝ certifikßtu CA prověřÝ identitu ×adatele na zßkladě dokladů osvědčujÝcÝch jeho toto×nost. Jde nejčastěji o v²pis z obchodnÝho rejstřÝku, identifikaci ×adatele zastupujÝcÝho organizaci a ×ßdost o vydßnÝ certifikßtu. U fyzick²ch osob jde o 2 druhy dokumentů, z nich× musÝ b²t jeden opatřen fotografiÝ. ZÝskßnÝ certifikßtu je jen začßtkem procesu jeho nasazenÝ v organizaci. MusÝ b²t zavedena opatřenÝ proti jeho zneu×itÝ, jinak se u×ivatel vystavuje mo×nÚmu prßvnÝmu postihu. MusÝ b²t zavedena sprßva vydan²ch certifikßtů, vydßna nařÝzenÝ popisujÝcÝ zachßzenÝ s certifikßtem a postup při jeho ztrßtě nebo mo×nosti jeho zneu×itÝ. K čßsti těchto kroků se u×ivatel obecně zavazuje v rßmci pravidel při vydßnÝ certifikßtu u CA, ale spÝÜe by mělo jÝt o procesy navr×enÚ organizacÝ v jejÝm zßjmu, aby omezila mo×nÚ Ükody vzniklÚ neautorizovan²m pou×itÝm certifikßtu. NaklßdßnÝ s certifikßty musÝ b²t tedy velmi zodpovědnÚ. Stejně tak při přijetÝ podepsanÚ zprßvy si musÝ přÝjemce ověřit ×e je certifikßt platn². Proto×e dojde-li ke Ükodě, je na přÝjemci, ×e si jej neověřil.

Kvalita něco stojÝ

Samotné vydání certifikátu není časově nßročn² proces a v zßvislosti na procedurßch vydavatelů mů×e jÝt o rozmezÝ t²dnů. Nßklady spojenÚ s vydßnÝm certifikßtu se liÜÝ podle ·čelu pou×itÝ a kvality. OsobnÝ testovacÝ certifikßty jsou napřÝklad zdarma, jinÚ stojÝ v zßvislosti na vydavateli a kvalitě certifikßtu od zhruba 500 do 1 600 Kč ročně. Druhou polovinou prßce je v²běr a konfigurace programovÚho vybavenÝ, umo×ňujÝcÝ vyu×itÝ certifikßtu a elektronickÚho podpisu. VětÜinou jde o e-mailovÚ klienty, s jejich× pomocÝ se podepsanÚ zprßvy odesÝlajÝ -- nejvÝce rozÜÝřenÚ jsou Exchange nebo Outlook. Co jeÜtě vyřeÜeno nenÝ, je podepisovßnÝ dokumentů vytvořen²ch v MS Office. DalÜÝ komplikacÝ je sprßva certifikßtů v PC, kdy mů×e dojÝt k jejich zcizenÝ nebo poÜkozenÝ. ŘeÜenÝm jsou USB klÝče, do kter²ch se certifikßt ulo×Ý a mů×e b²t jednak neustßle po ruce a jednak nenÝ nebezpečÝ, ×e o něj u×ivatel při zhroucenÝ počÝtače nepřijde. DalÜÝ mo×nostÝ je pou×itÝ čipovÚ karty.

Složitá věcà

Jak je vidět, zavedenÝ elektronickÚho podpisu je poměrně slo×itß věc, a je otßzkou na zvß×enÝ kdy se vyplatÝ. Kdy× pomineme cenu certifikßtu, nastupuje komplikovanost celÚ problematiky a doposud malß oblast vyu×itÝ. Kdo nekomunikuje se stßtnÝ sprßvou, nemß v podstatě přÝliÜ důvodů elektronick² podpis nasazovat. DalÜÝm omezenÝm je, ×e stßtnÝ sprßva prozatÝm ädůvěřujeô jen certifikßtům vydan²m PrvnÝ certifikačnÝ autoritou. Ta je zatÝm jedinou, kterß mß autorizaci a vydßvß takzvanÚ kvalifikovanÚ certifikßty. Pokud podepÝÜete svůj e-mail v komunikaci s ·řady jin²m certifikßtem, nebude vßm to nic platnÚ.

E-podpis v 5 krocích
* Vypracujte analýzu, s kým chcete komunikovat.
* Rozhodněte, jak² certifikßt k tomu budete potřebovat.
* Zjistěte, zda vßÜ e-mailov² klient podporuje pou×itÝ zvolenÚho certifikßtu.
* Zpracujte problematiku evidence a naklßdßnÝ s certifikßty.
* Připravte si směrnice pro přÝpad zničenÝ nebo zneu×itÝ certifikßtu.