Materia"y z seminarium informacyjnego
 PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA
Warszawa, 9 kwietnia 2003 r.
SPIS TREÂCI
Wst´p: O podpisie...
prof. dr hab. Jerzy Bralczyk, Wydzia" Nauk Politycznych i Dziennikarstwa,
Uniwersytet Warszawski
Sesja I: Co to jest podpis elektroniczny?
Franciszek Wo"owski, Polska Wytwórnia Papierów WartoĘciowych S.A.
Sesja II: Prawne aspekty podpisu elektronicznego w Polsce
dr Wojciech Kocot, Wydzia" Prawa i Administracji, Uniwersytet Warszawski
Sesja III: Podpis elektroniczny  zagroŻenia i zabezpieczenia
Andrzej Machnacz, Komenda G"ówna Policji, Polskie Biuro Interpolu
Sesja IV: Funkcjonowanie podpisu elektronicznego w e-biznesie
Co to jest e-biznes
Nikolay Kirov, WyÅ»sza Szko"a Przedsi´biorczoĘci i ZarzÄ…dzania im. Leona KoÄ™miÅ‚
skiego
Zastosowanie podpisu elektronicznego w dzia"alnoĘci gospodarczej
Mariusz Paw"owski, Ernst&Young
Sesja V: Funkcjonowanie podpisu elektronicznego w administracji
dr Józef Adamus, Departament ds. Informatyzacji Resortu, Ministerstwo Finansów
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
O PODPISIE...
Podpis jest czymĘ poĘrednim mi´dzy zapisem s"owa a zostawieniem znaku.
S"owa zapisujÄ… tylko ludzie, znaki zostawiajÄ… cz´sto zwierz´ta. W tym sensie
podpis jest czymĘ niŻszym, bo charakterystycznym nie tylko dla cz"owieka.
Z drugiej strony podpis jest czymĘ bardzo waŻnym: uwiarygodnieniem, po-
Ęwiadczeniem, wzi´ciem odpowiedzialnoĘci.
Podpis jest, z jednej strony, stawiany automatycznie bez ĘwiadomoĘci liter,
które si´ na niego sk"adajÄ…, przypomina obraz czy logo; móg" byç zastÄ…piony
krzyÅ»ykiem. Z drugiej strony stawianie podpisu jest (czy bywa) skutkiem g"´-
bokiego namys"u. Ma"o rzeczy robimy tak automatycznie i ma"o rzeczy bywa
tak przemyĘlanych jak w"aĘnie podpis.
prof. dr hab. Jerzy Bralczyk
Specjalista z zakresu j´zykoznawstwa, j´zyka mediów, polityki i reklamy. Pracownik na-
ukowy Wydzia"u Nauk Politycznych i Dziennikarstwa Uniwersytetu Warszawskiego
oraz Szko"y WyÅ»szej Psychologii Spo"ecznej. Cz"onek Polskiego Towarzystwa J´zyko-
znawczego; Rady J´zyka i Komitetu J´zykoznawstwa Polskiej Akademii Nauk.
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
SESJA I
CO TO JEST
PODPIS ELEKTRONICZNY?
Franciszek Wo"owski
Sigillum  Polskie Centrum Certyfikacji Elektronicznej PWPW S.A.
Spis treĘci
1. Informacja o autorze
2. Streszczenie wystÄ…pienia
3. Materia"y informacyjne z prezentacji
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Franciszek Wo"owski
Absolwent Politechniki ÂlÄ…skiej (1968) oraz Studium Podyplomowego Ekonometrii i Pro-
gramowania Matematycznego WSE w Katowicach. Od 1970 roku zajmuje si´ systema-
mi informatycznymi, najpierw w zastosowaniach przemys"owych (Indukta  Bielsko-
Bia"a) a nast´pnie  ogólnobiznesowych (ZETO Bia"ystok i ZETO Lublin). Po dwuletnim
okresie nauczania na wyÅ»szej uczelni w Tunezji przez kolejne 10 lat zajmowa" si´ sys-
temami bankowymi, przy czym przez wi´kszoĘç tego czasu koncentrowa" si´ na pro-
blemach zarządzania bezpieczeł
stwem zasobów informacyjnych. Jest inicjatorem i jed-
nym z wykonawców jednego z pierwszych urz´dów certyfikacji  CA PKI (w banku Pe-
kao S.A.). Od dwóch lat zajmuje si´ komercyjnymi CA (Certification Authority) najpierw
w charakterze eksperta w Centrast S.A., a obecnie jako Kierownik Polskiego Centrum
Certyfikacji Elektronicznej Sigillum PWPW S.A.
2
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
CO TO JEST PODPIS ELEKTRONICZNY?
Podstawy kryptografii
MoÅ»liwoĘç sk"adania podpisu elektronicznego zosta"a stworzona przez kryptografi´ klu-
cza publicznego. Kryptografia to nauka, która oferuje róŻnego rodzaju metody/systemy
szyfrowania, które przez wiele wieków w"aĘciwie dawa"y moÅ»liwoĘç uzyskania jedynie
poufnoĘci czyli zapobiega"y moÅ»liwoĘci zapoznania si´ z treĘciÄ… wiadomoĘci przez oso-
b´, dla której wiadomoĘç ta nie zosta"a przeznaczona. Te systemy kryptograficzne na-
zywa si´ systemami symetrycznymi, gdyÅ» zarówno do szyfrowania, jak i deszyfrowania
uÅ»ywa si´ tego samego klucza tzn. takiego samego wyrazu/zdania (ciÄ…gu znaków). Mi-
mo swojej skutecznoĘci zasi´g tych metod jest ograniczony, poniewaÅ» kaÅ»de dwie stro-
ny, które chcÄ… wymieniaç si´ informacjami w sposób poufny, muszÄ… wymieç si´ wspól-
nym kluczem, na dodatek w sposób bardzo sekretny.
Kryptografia klucza publicznego zupe"nie zmieni"a podejĘcie do szyfrowania. UÅ»ywa si´ tu
dwu kluczy jednoczeĘnie, a ich szczególna zasada g"osi, Å»e jeĘli wiadomoĘç zostanie za-
szyfrowana przy uÅ»yciu jednego z tych kluczy  rozszyfrowanie moÅ»e nastÄ…piç tylko przy
pomocy drugiego klucza z tej samej pary. Jeden z tych kluczy nazwano kluczem publicz-
nym, gdyÅ» udost´pnia si´ go osobom, z którymi chce si´ wymieniaç informacje, a drugi
to klucz prywatny, gdyÅ» pod Å»adnym pozorem nie moÅ»na go udost´pniaç i trzeba zapew-
niç mu ochron´ na miar´ wartoĘci/waÅ»noĘci transakcji, do jakich chcemy go stosowaç.
Us"ugi kryptograficzne a podpis elektroniczny
Takie podejĘcie umoŻliwia uzyskanie nie tylko poufnoĘci, ale równieŻ integralnoĘci czy-
li zapewnienia, Å»e wys"ana wiadomoĘç dotrze do adresata w postaci niezmienionej;
wiarygodnoĘci czyli zapewnienia, Å»e wiadomoĘç zasta"a wys"ana przez osob´, która si´
podpisa"a pod tą wiadomoĘcią oraz niezaprzeczalnoĘci, czyli Że osoba, która wys"a-
"a/otrzyma"a wiadomoĘç, nie moÅ»e zaprzeczyç dokonaniu tej czynnoĘci.
Wymienione powyŻej cztery rodzaje zabezpieczeł
nazywa si´ us"ugami kryptograficznymi.
PoufnoĘç uzyskuje si´ w ten sposób, Å»e nadawca szyfruje wiadomoĘç kluczem publicz-
nym adresata, a ten rozszyfrowuje jÄ… swoim kluczem prywatnym.
3
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Pozosta"e us"ugi uzyskuje si´ stosujÄ…c podpis elektroniczny. Podpis elektroniczny to za-
szyfrowana wiadomoĘç  lub cz´Ä˜ciej jej skrót  kluczem prywatnym.
Tym razem szyfrowanie dokonywane jest przy pomocy klucza prywatnego  a wi´c kaÅ»-
dy, kto posiada klucz publiczny stanowiÄ…cy par´ z tym kluczem prywatnym, moÅ»e do-
konaç rozszyfrowania wiadomoĘci.
Weryfikacja podpisu elektronicznego i integralnoĘci polega na porównaniu dwu skró-
tów: skrótu uzyskanego z rozszyfrowania podpisu kluczem publicznym sk"adającego
podpis i skrótu uzyskanego z operacji skracania dokonanej na otrzymanym tekĘcie wia-
domoĘci. JeĘli te skróty są identyczne  oznacza to, Że podpis z"oŻy"a osoba, do której
naleŻy klucz publiczny uŻyty do rozszyfrowania skrótu. Oznacza to równieŻ, Że otrzy-
mana wiadomoĘç nie zosta"a nawet w najmniejszym stopniu zmieniona. JeĘli skróty nie
sÄ… identyczne  oznacza to, Å»e albo wiadomoĘç zosta"a podpisana przez innÄ… osob´, al-
bo w trakcie przesy"ania zosta"a zmieniona.
W ten sposób uÅ»ycie pary kluczy znakomicie zabezpiecza wymian´ informacji.
Znacznik Czasu
WaÅ»ne dokumenty powinny mieç do"Ä…czonÄ… do nich dat´. Najlepiej, aby by"a to data
pewna w rozumieniu kodeksu cywilnego. TakÄ… dat´ moÅ»na uzyskaç przez zastosowanie
znacznika czasu tworzonego przez po"ączenie skrótu dokumentu z czasem (z dok"ad-
noĘcią do jednej sekundy) uzyskanym z wiarygodnego ęród"a czasu i poĘwiadczenie te-
go zestawu informacji przez ZaufanÄ… TrzeciÄ… Stron´.
Certyfikat, Centra Certyfikacji, PKI
Pojawia si´ jednak problem zaufania do osoby, która przekazuje nam klucz publiczny,
zw"aszcza gdy odbywa si´ to zdalnie i do tego jest to osoba nieznana nam osobiĘcie. Czy-
li: jak stwierdziç, Å»e nasz partner korespondencyjny jest tym, za kogo si´ podaje? Aby móc
jednoznacznie stwierdziç toÅ»samoĘç osoby, która udost´pnia nam swój klucz publiczny
s"uŻący do zabezpieczania wymiany informacji, musi zaistnieç trzecia strona, która b´dzie
cieszyç si´ zaufaniem  najlepiej powszechnym, a przynajmniej zaufaniem stron, które
majÄ… zamiar zabezpieczaç proces wymiany informacji stosujÄ…c klucze publiczne. Trzecia
strona weryfikuje toÅ»samoĘç osób i sk"ada swój podpis elektroniczny jako poĘwiadczenie
pozytywnej weryfikacji. Zaufana Trzecia Strona zwana jest centrum certyfikacji.
4
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Podmioty ĘwiadczÄ…ce us"ugi certyfikacyjne na terenie kraju tworzÄ… zwykle struktur´
hierarchicznÄ…. Aby móc stosowaç podpis elektroniczny i korzystaç z us"ug z nim zwiÄ…-
zanych naleÅ»y uzyskaç certyfikat. W tym celu trzeba udaç si´ do punktu/urz´du reje-
stracji (ang. Registration Authority RA) czyli jednej z placówek Centrum Certyfikacji
(np. Sigillum PCCE), którego certyfikat chcemy uzyskaç. W tym punkcie uzgadniamy
zakres us"ugi i rodzaj certyfikatu w zaleŻnoĘci od tego, do czego zamierzamy go uŻy-
waç. Na podstawie przedstawionych dokumentów weryfikowana jest nasza toÅ»samoĘç
i generowana jest para kluczy. Klucz publiczny i nasze niezb´dne dane identyfikacyjne
stanowiÄ… podstaw´ wystawienia wniosku o wydanie certyfikatu. Wniosek ten w´druje
do Centrum Certyfikacji (ang. Certification Authority  CA) wykorzystujÄ…c odpowied-
nie zabezpieczenia, sprawdzana jest jego poprawnoĘç i wystawiany jest certyfikat, któ-
ry wraz z danymi osobowymi znajdzie si´ na karcie elektronicznej. Karta taka jest per-
sonalizowana (poprzez umieszczenie nazwiska i identyfikatora) i dostarczana uŻytkow-
nikowi (sposób personalizacji i dostarczenia karty moÅ»e byç róŻny w zaleÅ»noĘci od
technologii stosowanej przez CA). Od tego czasu moÅ»na uÅ»ywaç certyfikatu do celów
okreĘlonych w dokumencie zwanym polityką certyfikacji np. do zabezpieczenia trans-
akcji elektronicznych.
5
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
SESJA II
PRAWNE ASPEKTY PODPISU ELEKTRONICZNEGO
W POLSCE
DOKUMENT PODPISANY ZA POMOCŃ PODPISU ELEKTRONICZNEGO,
A FORMA CZYNNOÂCI PRAWNEJ
dr Wojciech Kocot
Uniwersytet Warszawski, Wydzia" Prawa i Adminstracji
Spis treĘci
1. Informacja o autorze
2. Streszczenie wystÄ…pienia
3. Materia"y informacyjne z prezentacji
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Wojciech Kocot
Wojciech Kocot jest doktorem nauk prawnych, adiunktem na Wydziale Prawa i Admini-
stracji Uniwersytetu Warszawskiego w Instytucie Prawa Cywilnego, w Katedrze Prawa
Cywilnego Porównawczego. Jest takŻe radcą prawnym.
W latach 1999-2002 dr Kocot jako konsultant bra" udzia" w pracach zespo"ów proble-
mowych Komisji Kodyfikacyjnej d/s Reformy Prawa Cywilnego dzia"ajÄ…cej przy Mini-
strze SprawiedliwoĘci. Zespo"y te zajmowa"y si´ zagadnieniami zawierania umów oraz
prawnych aspektów komunikacji elektronicznej. Wspó"autor pierwszej wersji projektu
ustawy o podpisie elektronicznym tworzonej pod auspicjami Komisji Kodyfikacyjnej.
Uczestnik i prelegent podczas wielu seminariów i wyk"adów panelowych na temat za-
gadnieł
obrotu elektronicznego, e-podpisu oraz Internetu. Autor kilkudziesi´ciu publi-
kacji z zakresu prawa cywilnego, prawa cywilnego porównawczego i prawa handlowego,
dotyczących w szczególnoĘci problematyki obrotu elektronicznego.
2
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
DOKUMENT PODPISANY ZA POMOCŃ PODPISU ELEKTRONICZNEGO,
A FORMA CZYNNOÂCI PRAWNEJ
Ustawa z dn. 18 wrzeĘnia 2001 r. o podpisie elektronicznym (Dz.U. nr 130, poz. 1450)
okreĘla warunki i skutki prawne stosowania podpisu elektronicznego ( e-podpisu ), po-
zwala uznaç czynnoĘç prawnÄ… dokonanÄ… w formie elektronicznej za spe"niajÄ…cÄ… wymóg
formy pisemnej oraz u"atwia rozstrzyganie problemów natury dowodowej.
Podpis elektroniczny ma spe"niaç te same funkcje, które spe"nia podpis w"asnor´czny
(tzn. identyfikowaç sk"adajÄ…cego i zapewniaç integralnoĘç treĘci dokumentu).
PowaŻne wątpliwoĘci budzi zw"aszcza sposób okreĘlania pochodzenia i identyfikacji au-
tora sk"adanego oĘwiadczenia, jego autentycznoĘci, gwarancji niezmiennoĘci pierwot-
nej treĘci oraz zapewnienia integralnoĘci dokumentu sporządzanego elektronicznie.
Aby oĘwiadczenie woli z"oŻone na noĘniku elektronicznym by"o skuteczne, druga stro-
na (odbiorca) musi przede wszystkim mieç pewnoĘç, od kogo ono pochodzi (tzw. indy-
widualizacja oĘwiadczenia).
Wszystkie powyŻsze zadania są zrealizowane, gdy do dokumentu elektronicznego
do"Ä…czony zostanie, logicznie z nim powiÄ…zany, podpis elektroniczny.
Zasada swobody sk"adania oĘwiadczeł
woli w postaci elektronicznej
Ustawa z dn. 18 wrzeĘnia 2001 r. wprowadza szerokÄ… swobod´ sk"adania oĘwiadczeÅ‚

woli w postaci elektronicznej i wyboru metody identyfikacji sk"adajÄ…cego podpis oraz
rodzaju podpisu elektronicznego. Nasze prawo pozwala na sk"adanie oĘwiadczeł
woli
w postaci elektronicznej bez wzgl´du na rodzaj podpisu elektronicznego, którym pos"u-
guje si´ uÅ»ytkownik sieci.
Stosownie do art. 8 Ustawy nie moÅ»na odmówiç waÅ»noĘci i skutecznoĘci podpisowi elek-
tronicznemu tylko na tej podstawie, Że istnieje w postaci elektronicznej, lub Że nie ma
cech podpisu bezpiecznego tj. nie ma kwalifikowanego certyfikatu, lub nie zosta" z"oŻony
za pomocą bezpiecznego urządzenia s"uŻącego do sk"adania podpisu elektronicznego.
Wzmocnieniem zasady wyraŻonej w art. 8 Ustawy jest nowelizacja art. 60 k.c. Stosow-
3
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
nie do nowego brzmienia tego przepisu wola osoby dokonującej czynnoĘci prawnej mo-
Å»e byç wyraÅ»ona przez kaÅ»de zachowanie si´ tej osoby, które ujawnia jej wol´ w sposób
dostateczny, w tym równieŻ przez ujawnienie tej woli w postaci elektronicznej.
Skutki prawne pos"ugiwania si´ podpisem elektronicznym
A. Zwyk"y podpis elektroniczny  art. 3 pkt 1 Ustawy
W uj´ciu naszego prawa podpis elektroniczny pozbawiony szczególnych kwalifikacji
bezpieczeł
stwa staje si´ jednym ze sposobów sk"adania oĘwiadczeÅ‚
woli na noĘnikach
elektronicznych. Mimo to zachowuje cechy podpisu, poniewaÅ» spe"nia jego podstawo-
wÄ… funkcj´  identyfikuje podpisujÄ…cego.
Tym samym przyj´to, Å»e z"oÅ»enie podpisu elektronicznego pozwala zawsze ustaliç toÅ»-
samoĘç tego, kto sk"ada oĘwiadczenie bez wzgl´du na to, czy dane elektroniczne zosta-
"y naleŻycie zabezpieczone i czy są prawdziwe.
B. Kwalifikowany podpis elektroniczny  art. 3 pkt 2 Ustawy
Tradycyjna forma pisemna zwyk"a a oĘwiadczenie z"oŻone w postaci elektronicznej
Ustawa wprowadza postaç elektronicznÄ… zwyk"ej formy pisemnej. Ustawodawca nie
zdecydowa" si´ stworzyç nowej, funkcjonujÄ…cej obok pisemnej, a w zwiÄ…zku z tym au-
tonomicznej formy elektronicznej. Przes"anki pozwalajÄ…ce uznaç dokument elektronicz-
ny za sporzÄ…dzony w zwyk"ej formie pisemnej spe"nia jedynie kwalifikowany typ podpi-
su elektronicznego.
Stosownie do art. 5 ust. 2 Ustawy i art. 78 ż 2 k.c. dane w postaci elektronicznej opatrzone
bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy kwalifikowanego cer-
tyfikatu sÄ… równowaÅ»ne pod wzgl´dem skutków prawnych dokumentom opatrzonym pod-
pisami w"asnor´cznymi. Dodatkowym wymaganiem dla zachowania prawnej skutecznoĘci
podpisu elektronicznego jest koniecznoĘç jego z"oÅ»enia w okresie waÅ»noĘci certyfikatu.
4
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Kwestia rygoru, pod którym zastrzega si´ w ustawie bÄ…dÄ™ umowie form´ pisemnÄ…, jest
prawnie oboj´tna. Zarówno forma pisemna z podpisem w"asnor´cznym jak i z bezpiecz-
nym podpisem elektronicznym zachowuje rygor zastrzeŻony dla czynnoĘci prawnej.
Ustawa dopuszcza moÅ»liwoĘç sporzÄ…dzania czynnoĘci prawnych w postaci elektronicz-
nej ze skutkami formy pisemnej z urz´dowym poĘwiadczeniem daty (data pewna). Sto-
sownie do art. 7 ust. 1 Ustawy podpis elektroniczny moÅ»e byç znakowany czasem.
Konkluzja
Forma pisemna zwyk"a istnieje w dwóch postaciach: dotychczasowej tj. z podpisem w"a-
snor´cznym (potocznie zwanÄ… postaciÄ…  papierowÄ… ) oraz elektronicznej tj. z bezpiecz-
nym podpisem elektronicznym weryfikowanym przy pomocy waŻnego kwalifikowanego
certyfikatu. Postaç elektroniczna formy pisemnej powinna byç coraz szerzej wykorzysty-
wana w praktyce organów w"adzy publicznej i z uwagi na korzyĘci, jakie p"yną z faktu
pos"ugiwania si´ niÄ…, winna zastÄ…piç dokumenty z podpisami w"asnor´cznymi.
Zgodnie z art. 58 ust. 2 Ustawy w terminie 4 lat od dnia jej wejĘcia w Życie (tj. do dn.
16.08.2006 r.) organy w"adzy publicznej umoŻliwią odbiorcom us"ug certyfikacyjnych
wnoszenie podał
i wniosków oraz innych czynnoĘci w postaci elektronicznej w przy-
padkach, gdy przepisy prawa wymagają sk"adania ich w okreĘlonej formie lub wed"ug
okreĘlonego wzoru.
5
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
SESJA III
PODPIS ELEKTRONICZNY  ZAGROÚENIA I ZABEZPIECZENIA
Andrzej Machnacz
Komenda G"ówna Policji, Polskie Biuro Interpolu
Spis treĘci
1. Informacja o autorze
2. Streszczenie wystÄ…pienia
3. Materia"y informacyjne z prezentacji
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Andrzej Machnacz
Andrzej Machnacz to absolwent Politechniki Poznał
skiej, kierunku Informatyka o spe-
cjalnoĘci Rozproszone Systemy Komputerowe. Od 1996 r. jest pracownikiem Krajowego
Biura Interpolu Komendy G"ównej Policji odpowiedzialnym za niezawodnoĘç oraz bez-
pieczeł
stwo systemów teleinformatycznych. Odbywa" kilkakrotnie staŻ w zakresie za-
rządzania technologią informacji oraz bezpieczeł
stwa systemów informatycznych w Se-
kretariacie Generalnym Interpolu. Uczestnik wielu szkoleł
i konferencji, krajowych i za-
granicznych, związanych z technicznymi metodami zabezpieczania systemów teleinfor-
matycznych, a takÅ»e metodologiÄ… zwalczania przest´pczoĘci komputerowej. Autor licz-
nych publikacji dotyczÄ…cych systemów operacyjnych oraz przest´pczoĘci komputerowej.
Prelegent na licznych konferencjach i seminariach organizowanych w kraju i za granicÄ…,
poĘwi´conych zagadnieniom bezpieczeÅ‚
stwa IT. Konsultant oraz wyk"adowca specjali-
stycznych kursów dotyczących bezpieczeł
stwa systemów informatycznych, w tym szko-
leł
z zakresu bezpieczeł
stwa systemów informatycznych dla administratorów syste-
mów i inspektorów bezpieczeł
stwa teleinformatycznego. W ramach studiów doktoranc-
kich na Politechnice Warszawskiej prowadzi zaj´cia laboratoryjne z systemów operacyj-
nych. Od 2000 r. wspó"pracuje z Centrum Zaufania i Certyfikacji CENTRAST S.A. w za-
kresie bezpieczeł
stwa budowy i eksploatacji systemu obs"ugujÄ…cego nadrz´dny urzÄ…d
w hierarchicznej strukturze Infrastruktury Klucza Publicznego (Root CA w Polsce).
2
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
PODPIS ELEKTRONICZNY  ZAGROÚENIA I ZABEZPIECZENIA
Dynamiczny rozwój infrastruktury systemów komputerowych znacznie wp"yną" na
efektywnoĘç niemal kaÅ»dej dziedziny ludzkiej dzia"alnoĘci. Wraz z rozwojem informa-
tyzacji pojawi"y si´ jednak nieuchronnie nowe problemy zwiÄ…zane z niew"aĘciwym za-
stosowaniem osiÄ…gni´ç elektronicznego przetwarzania danych. W ostatnim czasie reje-
struje si´ olbrzymie zainteresowanie grup przest´pczych wykorzystywaniem infrastruk-
tury sieciowej jako nowego instrumentu nielegalnej dzia"alnoĘci. Nie ulega wątpliwoĘci,
Że brak ograniczeł
terytorialnych jest jednym z podstawowych u"atwieł
dla wszelkiego
rodzaju naduÅ»yç dokonywanych przy wykorzystaniu systemów informatycznych.
Z analiz przeprowadzonych przez specjalnÄ… grup´ powo"anÄ… przez Interpol, w sk"ad
której wchodzÄ… najlepsi specjaliĘci z kilkunastu krajów z zakresu przest´pczoĘci kom-
puterowej, jednoznacznie wynika, Å»e grupy przest´pcze prowadzÄ… zakrojone na szero-
kÄ… skal´ rozpoznanie warunków ekonomicznych, prawnych i spo"ecznych na obsza-
rach, w których zamierzajÄ… d"ugofalowo inwestowaç Ęrodki pochodzÄ…ce z nielegalnej
dzia"alnoĘci. Dzia"ania te moÅ»na porównywaç do analizy marketingowej prowadzonej
przez producentów w celach handlowych. Dla dokonania obiektywnej oceny przest´p-
cy opracowują swoiste wykazy zagadnieł
wymagających bliŻszego zbadania, co pozwa-
la im na dokonanie szybkiej oceny moŻliwoĘci wykorzystania systemów informatycz-
nych do prowadzenia dzia"alnoĘci przest´pczej na okreĘlonych obszarach.
OceniajÄ…c metody dzia"ania oraz kierunki rozwoju przest´pczoĘci moÅ»na stwierdziç, Å»e
organizacje przest´pcze wykazujÄ… zainteresowanie polskim systemem finansowym pod
kÄ…tem jego wykorzystania do nielegalnych operacji finansowych.
Poza zorganizowanymi grupami przest´pczymi, interesujÄ…cymi si´ systemami kompu-
terowymi jako nowym instrumentem do nielegalnej dzia"alnoĘci, mamy do czynienia
takÅ»e z pojedynczymi przest´pcami tzw. crackerami, którzy wykorzystujÄ… swoje umie-
j´tnoĘci np. do zabawy lub do potwierdzenia swojej wiedzy. Tego rodzaju przest´pcy
3
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
najcz´Ä˜ciej tworzÄ… ĘciĘle powiÄ…zane grupy na skal´ mi´dzynarodowÄ…. Relacja pomi´dzy
cz"onkami takich grup ogranicza si´ najcz´Ä˜ciej do wymiany wszelkich informacji na te-
mat nowych metod "amania zabezpieczeł
, odkrytych s"abych punktów ogólnie znane-
go i wykorzystywanego oprogramowania, a takŻe wielu innych informacji u"atwiających
penetrowanie systemów bez koniecznoĘci posiadania specjalnych uprawnieł
. Warto za-
znaczyç, Å»e na Ęwiecie nie jest znany taÅ‚
szy i bardziej wydajny system wymiany infor-
macji, od tego, którym dysponują hackerzy.
WĘród zorganizowanych grup przest´pczych sta"o si´ juÅ» regu"Ä… poszukiwanie i korum-
powanie tego rodzaju wspólników, którzy uzyskujÄ… dost´p do systemu poprzez przeni-
kanie do struktury organizacji.
Ciekawie przedstawia si´ procentowy wp"yw poszczególnych czynników (ataki zewn´trzne,
programy z"oĘliwe, bezpieczeł
stwo fizyczne itd.) na bezpieczeł
stwo systemów komputero-
wych.  B"´dy cz"owieka stanowiÄ… tutaj najwi´ksze zagroÅ»enie (ok. 50%) dla prawid"owego
funkcjonowania systemu. Do grupy tej zalicza si´ b"´dy implementacyjne wykorzystywa-
nych aplikacji, s"abo wyszkolony personel zarówno zarządzający poszczególnymi dzia"ami
firmy, jak i najwaŻniejszym dzia"em z punktu widzenia bezpieczeł
stwa  dzia"em IT. Kolej-
nÄ…, stosunkowo istotnÄ… grup´ zagroÅ»eÅ‚
stanowi  bezpieczeł
stwo fizyczne
(ok. 20%), czyli wszystkie aspekty zwiÄ…zane z dost´pem do pomieszczeÅ‚
, gdzie znajdujÄ… si´
urzÄ…dzenia do przetwarzania danych (komputery, terminale, urzÄ…dzenia sieciowe, kopie za-
pasowe, okablowanie strukturalne itp.). W ostatnim czasie zauwaŻono takŻe s"abe punkty
systemu komputerowego pochodzące od strony  nieuczciwych pracowników
(ok. 10%), którzy najcz´Ä˜ciej sÄ… podsuwani lub przekupywani przez tzw. nieuczciwÄ… konku-
rencj´, a takÅ»e grupy przest´pcze majÄ…ce na celu przej´cie (lub przejmowanie) i póęniejsze
wykorzystanie istotnych informacji danej firmy. Podobny wp"yw na bezpieczeł
stwo majÄ…
grupy pracowników zaliczanych do tzw.  niezadowolonych pracowników (ok. 9%). Z"e wa-
runki pracy, brak perspektyw czy teŻ ogólne niezadowolenie wp"ywa negatywnie na posta-
w´ pracownika. MoÅ»e sk"oniç go to do umyĘlnego przekazania poufnej informacji lub u"a-
twienia dost´pu do niej nieuprawnionej osobie. Wbrew oczekiwaniom najmniejszÄ… grup´
zagroŻeł
stanowią programy z"oĘliwe (ok. 6%) oraz ataki na systemy komputerowe  od ze-
wnÄ…trz (ok. 5%). Pomimo to w wi´kszoĘci korporacji poĘwi´ca si´ im najwi´cej uwagi oraz
4
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Ęrodków finansowych ca"kowicie lub cz´Ä˜ciowo lekcewaŻąc pozosta"e czynniki. Warto jed-
nak zaznaczyç, Å»e w stosunku do ubieg"ych lat, liczba odnotowanych naruszeÅ‚
integralno-
Ęci systemów, dokonanych przy uŻyciu programów z"oĘliwych i/ lub ataków komputero-
wych, wzros"a. NiewÄ…tpliwie elementy te b´dÄ… coraz cz´Ä˜ciej g"ównÄ… przyczynÄ… ataków,
chociaŻby z uwagi na ciąg"y wzrost liczby pod"ączonych uŻytkowników do sieci Internet.
Metody w"amał
do systemów komputerowych przybierajÄ… róŻne formy. Najcz´Ä˜ciej
spotykaną jest tzw.  w"amanie od wewnątrz dokonywane przez samych pracowników
lub przy udziale skorumpowanych urz´dników uprawnionych do legalnego dost´pu do
systemu. Inną, stosunkowo odmienną, formą w"amał
jest tzw.  w"amanie od zewnÄ…trz
dokonywane przez przest´pców cz´sto nie posiadajÄ…cych Å»adnych zwiÄ…zków z danÄ… in-
stytucjÄ…. Druga z form nielegalnego dost´pu do systemu wymaga najcz´Ä˜ciej specjali-
stycznej wiedzy zarówno z zakresu sieci komputerowych, systemów operacyjnych, czy
teŻ systemów baz danych, jak równieŻ znajomoĘci struktury samej organizacji pozosta-
jącej w zainteresowaniu w"amywacza. Na kaŻdym z poziomów bezpieczeł
stwa cz´sto
pomijane jest najs"absze ogniwo, które stanowi  cz"owiek .
Zorganizowane grupy przest´pcze sÄ… zainteresowane okreĘlonymi informacjami (danymi)
naleŻącymi do róŻnych pot´Å»nych korporacji. W zwiÄ…zku z tym, Å»e informacje te najcz´Ä˜ciej
przechowywane sÄ… w postaci elektronicznej (dokumenty, bazy danych) wynajmujÄ… oni w"a-
mywaczy (hackerów), którzy uzyskują dla nich istotne dane. Realizacja zadania przebiega
w róŻny sposób. Począwszy od uzyskania takich danych najprostszymi rodzajami ataków od
zewnÄ…trz (poprzez sieç, o ile docelowy system ma po"Ä…czenie ze  Ęwiatem zewn´trznym ),
askoł
czywszy na zatrudnieniu w"amywacza w firmie pozostajÄ…cej w zainteresowaniu prze-
st´pców (tzw. atak od Ęrodka). Warto zaznaczyç, Å»e grupy przest´pcze do swoich dzia"aÅ‚

cz´sto wykorzystujÄ…  starych pracowników firmy (zdarza si´, Å»e sÄ… to administratorzy sys-
temów komputerowych), którzy kierujÄ…c si´ ch´ciÄ… np. "atwego zarobku lub zwyk"Ä… z"oĘciÄ…
(nie awansowali lub nie dostali obiecanej/ zapracowanej podwyŻki) przekazują w niepowo-
"ane r´ce waÅ»ne dane korporacji. Cz´sto zdarza si´, Å»e g"ównym zadaniem skorumpowane-
go uŻytkownika jest wprowadzenie do systemu specjalnie przygotowanego oprogramowa-
nia (konia trojał
skiego, bomby logicznej itp.) pozwalajÄ…cego przest´pcom osiÄ…gnÄ…ç zamie-
rzony cel. Z regu"y prowadzi to oczywiĘcie do  wykradni´cia informacji.
5
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
W zaleŻnoĘci od grupy specjalistów z zakresu bezpieczeł
stwa spotyka si´ róŻny podzia"
ataków na systemy komputerowe. Jednak ogólnie rzecz ujmując ataki te moŻna podzie-
liç przede wszystkim wed"ug obszaru zainteresowaÅ‚
potencjalnych przest´pców oraz
wed"ug wystąpienia okreĘlonego zdarzenia przyczynowo-skutkowego.
W przypadku podzia"u na obszar zainteresował
mamy do czynienia z atakami na:
" systemy wojskowe, które przechowują informacje o po"oŻeniu satelitów, roz-
mieszczeniu wojsk oraz broni, prowadzonych badaniach nad nowymi rodzajami
broni, systemach "Ä…cznoĘci itp. Najwi´cej w"amaÅ‚
tego rodzaju odnotowano
w czasie trwania Zimnej Wojny. G"ównymi sprawcami, prowokatorami byli z re-
gu"y agenci innych wywiadów.
" systemy przedsi´biorstw, które przechowujÄ… informacje istotne z punktu widze-
nia dzia"alnoĘci firmy, np. informacje o rezerwacjach, o klientach, o wykorzysty-
wanych technologiach itp. G"ównymi sprawcami, prowokatorami byli i nadal są
najcz´Ä˜ciej pracownicy (lub byli pracownicy), którzy wspó"pracujÄ… z konkuren-
cjÄ… i / lub teÅ» pa"ajÄ… ch´ciÄ… zemsty za niskie wynagrodzenie itp.
" systemy bankowo-finansowe, które przechowują informacje o transakcjach finan-
sowych. G"ównymi sprawcami, prowokatorami byli i nadal sÄ… najcz´Ä˜ciej pracow-
nicy (lub byli pracownicy), którzy majÄ… dost´p do stosowanej technologii infor-
matycznej instytucji.
" oraz wiele innych, których nie sposób wymieniç, a które majÄ… najcz´Ä˜ciej jakiĘ
związek z korzyĘciami majątkowymi.
W przypadku podzia"u ataków wed"ug zdarzenia przyczynowo-skutkowego mamy do
czynienia z atakami dokonywanymi przy uŻyciu technik informatycznych, których ce-
lem jest uzyskanie dost´pu do informacji (np. odczyt poufnych danych), zmiana okre-
Ęlonej informacji, czy teŻ odmowa us"ugi (Denial of Service lub Connection Killing).
Internet jest szczególnie  otwarty dla wszelkiego rodzaju aktywnoĘci i dlatego teŻ sta"
si´ równieÅ» relatywnie prosty do przechwytywania i dost´pu do informacji migrujÄ…cych
poprzez jego "Ä…cza. Obecnie istnieje wiele dost´pnych narz´dzi i metod pozwalajÄ…cych
zabezpieczyç informacje przed intruzami i osobami nieuprawnionymi do ich odczytu.
6
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Stosowanie technik zabezpieczających, poza pozytywnymi aspektami, ma takŻe nega-
tywne odzwierciedlenie w przypadku wykorzystywania np. szyfrowania przez poten-
cjalnych przest´pców. Wprowadza to dodatkowy  orzech do zgryzienia  czasami nie
do przejĘcia  dla organów Ęcigania. Pomimo to stosowanie kryptografii jest, jak na ra-
zie, jedynÄ… moÅ»liwoĘciÄ… pozwalajÄ…cÄ… zapewniç wzgl´dne bezpieczeÅ‚
stwo przesy"anych
i przechowywanych informacji oraz danych.
7
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
SESJA IV
FUNKCJONOWANE PODPISU
ELEKTRONICZNEGO W E-BIZNESIE
CO TO JEST E-BIZNES?
Nikolay Kirov
WyÅ»sza Szko"a Przedsi´biorczoĘci i ZarzÄ…dzania im. Leona KoÄ™miÅ‚
skiego
Spis treĘci
1. Informacja o autorze
2. Streszczenie wystÄ…pienia
3. Materia"y informacyjne z prezentacji
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Nikolay Kirov
Absolwent Wydzia"u ZarzÄ…dzania Uniwersytetu Warszawskiego. Od 1996 roku wyk"a-
dowca w WyÅ»szej Szkole Przedsi´biorczoĘci i ZarzÄ…dzania im. Leona KoÄ™miÅ‚
skiego.
W 2002 roku, w ramach programu Komisji Europejskiej ENLARGE, prowadzi" szkolenia
z e-biznesu dla ma"ych i Ęrednich przedsi´biorstw. Program realizowany by" w krajach
prowadzÄ…cych negocjacje akcesyjne: w Polsce, S"owenii, na Cyprze, w Bu"garii i Rumu-
nii. Uczestnik konferencji  Stan i perspektywy rozwoju teorii i praktyki zarzÄ…dzania na
progu XXI wieku . Do najwaŻniejszych publikacji Nikolay Kirova naleŻą: Wprowadzenie
procesu zarzÄ…dzania wiedzÄ… w ma"ej firmie: powody, wprowadzenie, problemy, [w:] Stan
i perspektywy rozwoju teorii i praktyki zarzÄ…dzania na progu XXI wieku, Wydawnictwo
Akademii Ekonomicznej im. Oskara Langego we Wroc"awiu, 2002; Pud"o Sp. z o.o. [w:]
ZarzÄ…dzanie Strategiczne: materia"y dydaktyczne, WSPiZ, 2002; Negocjacje bez negocja-
cji, Master of Business Administration nr 3, 2002; Zarzucanie kotwicy: Wp"yw oferty
wst´pnej na wynik negocjacji, Master of Business Administration, nr 6, 2001.
2
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
CO TO JEST E-BIZNES?
Nie ma jednej, jedynej definicji. Autorzy najbardziej rozpowszechnionej klasyfikacji mo-
deli e-biznesowych Peter Weill i Michel Vitale przyj´li definicj´ roboczÄ…, wed"ug której
e-biznes to marketing, zakup, sprzedaÅ», dostarczanie oraz p"atnoĘç za produkty, us"ugi
i informacj´ mi´dzy firmami a ich klientami, dostawcami, konkurentami, sojusznikami
oraz komplementariuszami.
E-biznes odróŻnia si´ od tradycyjnego biznesu trzema charakterystycznymi cechami:
" jest nap´dzany przez branÅ»´ IT;
" uzaleŻniony od wykszta"conych, samodzielnych i zmotywowanych pracowników;
" zorganizowany wokó" elektronicznych i organizacyjnych sieci.
Badania prowadzone przez konsorcjum ENLARGE w 2002 r. w dziedzinie e-biznesu po-
kazujÄ…, Å»e moÅ»na wyróŻniç kilka czynników odpowiadajÄ…cych za skuteczne wdroÅ»enie
strategii e-biznesowej:
- telekomunikacja,
- infrastruktura internetowa,
- otoczenie biznesowe,
- sieci organizacyjne,
- rozwiÄ…zania prawne.
Najbardziej liczy si´ jednak taka interakcja pomi´dzy nimi, która tworzy wartoĘç
dla klienta koł
cowego.
Z badał
przeprowadzonych wĘród menedÅ»erów Europy Ârodkowej i Wschodniej wyni-
ka, Å»e rynek w Polsce juÅ» dojrzewa do e-biznesu. PoniewaÅ» jednak nadal plasuje si´ da-
leko za takimi krajami jak S"owenia, Rumunia czy Cypr, niezb´dnÄ… sÄ… bardziej stanow-
cze dzia"ania w zakresie promowania e-biznesu. Wi´kszoĘç menedÅ»erów uwaÅ»a, Å»e
sektor bankowy jest nieprzygotowany do obs"ugi transakcji elektronicznych.
3
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Dwa najbardziej interesujÄ…ce modele prowadzenia e-biznesu, to:
" poĘrednik;
" dostawca z pe"nym zakresem us"ug.
W pierwszym przypadku zap"ata za towar odbywa si´ najcz´Ä˜ciej poprzez wyspecjali-
zowane podmioty (PayPal, BidPay, a w Polsce  PayU), które gwarantują obu stronom
bezpiecznÄ… realizacj´ transakcji.
Ale jak zabezpieczyç si´ w bezpoĘrednich kontaktach handlowych w modelu dostawcy
z pe"nym zakresem us"ug? OdpowiedÄ™ jest oczywista. Partner musi byç pewien, Å»e to
my jesteĘmy po drugiej stronie! Aby uzyskaç takÄ… pewnoĘç niezb´dny jest podpis elek-
troniczny.
4
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
FUNKCJONOWANIE PODPISU ELEKTRONICZNEGO
W E-BIZNESIE
ZASTOSOWANIE PODPISU ELEKTRONICZNEGO
W DZIA¸ALNOÂCI GOSPODARCZEJ
Mariusz Paw"owski
Ernst & Young
Spis treĘci
1. Informacja o autorze
2. Streszczenie wystÄ…pienia
3. Materia"y informacyjne z prezentacji
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Mariusz Paw"owski
Mariusz Paw"owski ukoł
czy" studia na Politechnice Gdał
skiej w 1997 roku. Obecnie
pracuje jako menadŻer w dziale Technology and Security Risk Services (TSRS) w war-
szawskim biurze firmy Ernst & Young.
W ramach dzia"u TSRS jest odpowiedzialny za tworzenie i zarzÄ…dzenie centrum kompe-
tencyjnym, eBiznes, PKI i Network Security. Mariusz Paw"owski specjalizuje si´ w audy-
cie bezpieczeł
stwa systemów informatycznych, oraz opracowywaniu rozwiązał
pod-
noszących poziom bezpieczeł
stwa systemów informatycznych oraz umoŻliwiających
budowanie efektywnych i skutecznych systemów zarządzania bezpieczeł
stwem.
Mariusz Paw"owski zdoby" szerokie doĘwiadczenie i wiedz´ z zakresu zarzÄ…dzania bez-
pieczeł
stwem w ramach licznych projektów dla wielu firm z róŻnych branŻ, m.in. tele-
komunikacji, finansów i bankowoĘci, przemys"u, mediów i rozrywki.
Mariusz Paw"owski jest cz"onkiem mi´dzynarodowego stowarzyszenia ISACA (Informa-
tion Systems Audit and Control Association) i otrzyma" tytu" Certyfikowanego Audytora
Systemów Informatycznych (CISA). Posiada równieŻ tytu" CISSP (Certified Information
Systems Security Professional).
2
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
ZASTOSOWANIE PODPISU ELEKTRONICZNEGO W DZIA¸ALNOÂCI
GOSPODARCZEJ
Zaufanie podstawÄ… biznesu
PodstawÄ… prowadzenie biznesu jest zawieranie transakcji. Zawarcie transakcji jest z re-
gu"y wieł
czone podpisem potwierdzajÄ…cym przyj´cie przez obie strony warunków
transakcji. Podpis jest równieÅ» bardzo waÅ»nym elementem zaufania mi´dzy stronami,
które jest podstawą budowania relacji. Stosunek zaufania dotyczy obu stron  zarówno
kupujÄ…cego, jak i sprzedajÄ…cego.
Zastosowanie PKI w zabezpieczaniu transakcji elektronicznych
Internet rozrós" si´ do olbrzymich rozmiarów. Obecnie kaÅ»dy, kto posiada dost´p do kom-
putera, moÅ»e z "atwoĘciÄ… po"Ä…czyç si´ z Internetem. Internet staje si´ coraz bardziej po-
pularnym medium s"uŻącym do realizacji transakcji elektronicznych. Realizacja transakcji
elektronicznych przez Internet wiÄ…Å»e si´ z koniecznoĘciÄ… wyeliminowania zagroÅ»eÅ‚
wyni-
kających z dwóch podstawowych cech Internetu: anonimowoĘci oraz braku poufnoĘci.
W Ęwiecie wirtualnym nikt nie pyta nas o to, kim jesteĘmy. W"aĘciwie w Internecie mo-
Å»emy byç kimkolwiek chcemy. Podstawowymi zagroÅ»eniami w tym zakresie sÄ…: podszy-
wanie si´ i próba realizacji nieautoryzowanych transakcji. W Internecie znaleÄ™ç moÅ»na
wiele interesujÄ…cych informacji. MoÅ»na teÅ» przez Internet przes"aç dowolne dane. Na-
leÅ»y jednak pami´taç o zagroÅ»eniach z tym zwiÄ…zanych. Dane te w kaÅ»dej chwili mogÄ…
byç przechwycone, zmodyfikowane lub pods"uchane przez kogoĘ niepowo"anego.
Jak zapewniç bezpieczeÅ‚
stwo transakcji realizowanych w Internecie? Jednym z rozwiÄ…-
zał
, które pozwala minimalizowaç ryzyka zwiÄ…zane z przesy"aniem informacji przez In-
ternet, jest PKI. RozwiÄ…zanie to wyróŻnia si´ nast´pujÄ…cymi cechami, dzi´ki którym
moÅ»na minimalizowaç ryzyka wynikajÄ…ce z opisanych zagroÅ»eÅ‚
:
" autentykacja  czyli potwierdzenie toŻsamoĘci drugiej strony,
" szyfrowanie  czyli zabezpieczenie informacji tak, aby mog"a byç odczytana
tylko przez osob´, do której jest kierowana,
3
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
" integralnoĘç  czyli moÅ»liwoĘç stwierdzenia, czy informacja nie zosta"a znie-
kszta"cona w czasie przesy"ania,
" niezaprzeczalnoĘç  czyli moÅ»liwoĘç jednoznacznego potwierdzenia strony
wysy"ajÄ…cej informacj´.
Identyfikacja i autentykacja
Jednym z kluczowych elementów w realizacji transakcji biznesowych jest identyfikacja i au-
tentykacja stron transakcji. Historycznie podpisywanie umów odbywa"o si´ w ramach bez-
poĘredniego kontaktu dwóch stron. Ten bezpoĘredni kontakt, jak równieŻ róŻne rodzaje
umów (np. umowy notarialne) pozwala"y na budowanie relacji zaufania w kontaktach biz-
nesowych. JednakÅ»e wraz z przeniesieniem ci´Å»aru z transakcji zawieranych w sposób tra-
dycyjny (na papierze) w kierunku transakcji zawieranych za pomocą mediów elektronicz-
nych zmianie ulec muszÄ… sposoby budowania zaufania. RealizujÄ…c transakcj´ w Internecie
musimy byç pewni, Å»e druga strona, która z"oÅ»y"a podpis, jest rzeczywiĘcie tÄ…, za którÄ… si´
podaje. Do potwierdzenia toÅ»samoĘci stron s"uÅ»y certyfikat, jakim pos"uguje si´ ona w rze-
czywistoĘci wirtualnej. Certyfikat moÅ»na porównaç do dowodu osobistego, którym na co
dzieł
pos"ugujemy si´ w realnym Ęwiecie. Podobnie jak w przypadku dowodów osobistych
wymagane jest, aby certyfikat zosta" wydany przez zaufanÄ… organizacj´. W wirtualnym
Ęwiecie takÄ… rol´ pe"ni centrum certyfikacji (CC) zwane zaufanÄ… stronÄ… trzeciÄ….
Poziom pewnoĘci dotyczący toŻsamoĘci drugiej strony zaleŻy od sposobów prowadze-
nia dzia"alnoĘci przez CC, a przede wszystkim od procedur dotyczących potwierdzania
toÅ»samoĘci osób ubiegajÄ…cych si´ o certyfikat.
Szyfrowanie
Wi´kszoĘç informacji wysy"anych w dziĘ formie elektronicznej jest podatna na zagroÅ»e-
nia polegajÄ…ce na jej przechwyceniu, zmianie i pods"uchaniu. Dane przesy"ane przez
sieci zewn´trzne (np. Internet) lub przechowywane w sieciach wewn´trznych (np. LAN)
muszÄ… byç odpowiednio zabezpieczone przed tymi zagroÅ»eniami.
Sposobem zabezpieczenia danych przed tego typu zagroŻeniami jest szyfrowanie. Szy-
frowanie jest kryptograficznym mechanizmem zapewniajÄ…cym, Å»e dane b´dÄ… mog"y zo-
staç odczytane jedynie przez osob´ posiadajÄ…cÄ… odpowiedni element (klucz), za pomo-
cÄ… którego b´dzie ona mog"a odszyfrowaç t´ informacj´. Zwykle z powodów wydajno-
4
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Ęciowych szyfrowanie realizowane jest za pomocą technik symetrycznych. Bardzo waŻ-
nÄ… kwestiÄ… jest stworzenie odpowiedniego systemu dystrybucji kluczy symetrycznych
s"uŻących do szyfrowania. PKI jest rozwiązaniem umoŻliwiającym bezpieczną i efektyw-
nÄ… wymian´ kluczy symetrycznych.
IntegralnoĘç
Nie mniej waŻnym aspektem w zakresie realizacji transakcji elektronicznych jest ich in-
tegralnoĘç. IntegralnoĘç jest to w"aĘciwoĘç danych polegajÄ…ca na tym, Å»e dane nie zo-
sta"y wczeĘniej zmienione lub zniszczone w nieautoryzowany sposób. Na przyk"ad je-
Å»eli zamawiamy 100 jednostek produktu po cenie 50 PLN  systemy muszÄ… zapewniç,
Że informacja ta nie zostanie zniekszta"cona na 200 jednostek po 75 PLN. Podpis elek-
troniczny umoŻliwia wykrycie takiego zniekszta"cenie danych.
NiezaprzeczalnoĘç
Obie cechy: autentykacja i integralnoĘç stanowiÄ… w po"Ä…czeniu kolejnÄ… waÅ»nÄ… cech´ PKI,
a mianowicie niezaprzeczalnoĘç. NiezaprzeczalnoĘç jest to brak moÅ»liwoĘci wyparcia si´
udzia"u w realizacji czynnoĘci przez stron´, np. wys"ania, podpisania dokumentu lub
transakcji. Jest to szczególnie istotne w przypadku realizacji transakcji, gdy jedna ze stron
moÅ»e próbowaç odmówiç zap"acenia rachunku wypierajÄ…c si´ faktu zamówienia towaru.
WykorzystujÄ…c podpis elektroniczny dostawca moÅ»e wygenerowaç niezbity dowód, Å»e
fakt zamówienia towaru mia" miejsce i Å»e zosta" wykonany przez t´ w"aĘnie osob´.
JednÄ… z waÅ»nych zasad PKI jest to, Å»e klucz prywatny musi byç w posiadaniu tylko jego
w"aĘciciela. Dlatego w celu uzyskania niezaprzeczlnoĘci transakcji niezb´dnym elemen-
tem jest zapewnienie, Å»e klucz ten jest przypisany do osoby, z którÄ… chcemy wykonaç
transakcj´, a nie do innej, podszywajÄ…cej si´ pod niÄ…. W tym celu niezb´dnym elemen-
tem jest zastosowanie odpowiednich procesów i procedur zapewniających prawid"o-
woĘç tego przypisania.
Single Sign-On
G"ównym problemem dotyczÄ…cym hase" dost´pu do systemów informatycznych, z jakim
na co dzieł
spotykajÄ… si´ pracownicy dzia"ów IT jest to, Å»e uÅ»ytkownicy cz´sto je zapomi-
nają. Szczególnie w przypadku, gdy firma korzysta z wielu róŻnych aplikacji. W takich
5
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
przypadkach uÅ»ytkownicy, starajÄ…c si´ u"atwiç sobie Å»ycie, korzystajÄ… ze s"abych hase",
które "atwo jest zapami´taç lub przechowujÄ… has"a w sposób umoÅ»liwiajÄ…cy nieautoryzo-
wany dost´p do nich. W przypadku, gdy uÅ»ytkownik zapomni has"a, pracownicy dzia"ów
IT (Help Desk) muszÄ… poĘwi´caç czas na przywrócenie dost´pu do systemu uÅ»ytkowni-
kowi. Czas poĘwi´cany na takie dzia"ania moÅ»e stanowiç istotnÄ… cz´Ä˜ç czasu pracy Help
Desku pociągając za sobą wyŻsze koszty administracji systemami informatycznymi.
W odpowiedzi na potrzeby firm borykajÄ…cych si´ z problemami wieloaplikacyjnej infra-
struktury informatycznej i problemów z has"ami uŻytkowników zosta"a opracowana
technologia Single Sign-On (SSO). Celem SSO jest wdroŻenie rozwiązał
ograniczajÄ…-
cych koszty administracji systemów informatycznych, zapewniających bezpieczniejszą
administracj´ systemami i u"atwiajÄ…cych korzystanie z nich przez uÅ»ytkowników. SSO
jest procesem autentykacji uŻytkowników, który wymaga od uŻytkownika tylko jednego
logowania w celu uzyskania dost´pu do systemów informatycznych. Proces SSO reali-
zowany w czasie sesji inicjacyjnej, autentykuje uÅ»ytkownika i autoryzuje jego dost´p do
wszystkich aplikacji, do których przyznane zosta"y mu uprawnienia zgodnie z polityką
obowiÄ…zujÄ…cÄ… w firmie. SSO eliminuje koniecznoĘç kolejnych logowaÅ‚
do pozosta"ych
aplikacji, z których chce skorzystaç uÅ»ytkownik.
Technologia SSO moÅ»e byç w efektywny sposób wspierana przez rozwiÄ…zanie PKI wykorzy-
stujące klucze jako element uwierzytelniający uŻytkowników w systemach informatycznych.
Elektroniczna wymiana dokumentów
Zamiast wchodziç na stron´ internetowÄ… firmy, wype"niaç formularz na ekranie monitora,
drukowaç go, podpisywaç r´cznie i nast´pnie wysy"aç pocztÄ… lub faxem, moÅ»na to wszyst-
ko zrealizowaç znacznie szybciej i sprawniej poprzez automatyzacj´ tego procesu i zasto-
sowanie podpisu elektronicznego. Rozwiązania takie nabierają szczególnego znaczenia
w przypadku branŻ, w których przetwarzane są duŻe iloĘci dokumentów, np. prawnej, fi-
nansowej czy ubezpieczeniowej. Usprawnienie procesu obiegu dokumentów pozwala na
znaczne ograniczenie kosztów papieru, drukowania, wysy"ania i przetwarzania.
WdroŻenie podpisu elektronicznego umoŻliwia przeniesienie procesu przetwarzania
dokumentów z formy papierowej na elektroniczną. Takie rozwiązanie umoŻliwia ogra-
niczenie wyŻej wymienionych kosztów i jednoczeĘnie zapewnia bezpieczeł
stwo prze-
twarzanych dokumentów.
6
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
SESJA V
FUNKCJONOWANIE PODPISU ELEKTRONICZNEGO
W ADMINISTRACJI
dr Józef Adamus
Departament ds. Informatyzacji Resortu w Ministerstwie Finansów
Spis treĘci
1. Informacja o autorze
2. Streszczenie wystÄ…pienia
3. Materia"y informacyjne z prezentacji
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
dr Józef Adamus
Dr Józef Adamus ukoł
czy" studia matematyczne na Uniwersytecie Jagielloł
skim
w Krakowie. Stopieł
doktora nauk technicznych uzyska" w Instytucie Badał
Systemo-
wych PAN. DoĘwiadczenie dydaktyczne zdoby" jako pracownik naukowo-dydaktycz-
ny w WSOWChem w Krakowie. W trakcie pracy naukowej w Instytucie Obróbki Skra-
waniem w Krakowie realizowa" projekty informatyczne z zakresu metrologii. Jest
autorem wdroŻonego w administracji podatkowej modu"u rachunkowoĘci podatko-
wej POLTAX2B. Obecnie dr Józef Adamus jako Dyrektor Departamentu ds. Informa-
tyzacji Resortu w Ministerstwie Finansów nadzoruje budow´, wdraÅ»anie, rozwój
i eksploatacj´ systemów informatycznych wykorzystywanych w tym resorcie
(m.in. POLTAX).
2
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
FUNKCJONOWANIE PODPISU ELEKTRONICZNEGO
W ADMINISTRACJI
Kluczowym czynnikiem usprawniania obs"ugi podatników od początku 2004 roku po-
winna byç moÅ»liwoĘç sk"adania drogÄ… elektronicznÄ… formularzy podatkowych, np. za
poĘrednictwem Internetu. Ustawa Ordynacja Podatkowa nak"ada ten obowiązek od
dnia 1.01.2004 r., natomiast Ustawa o podpisie elektronicznym wprowadza realizacj´
tej moŻliwoĘci po 4 latach od wejĘcia Ustawy w Życie, tj. od dnia 15.08.2006 r.
Szacuje si´, Å»e rozwiÄ…zania te powinny znacznie zmniejszyç pracoch"onnoĘç obs"ugi podat-
ników w urz´dach skarbowych, a takÅ»e istotnie poprawiç jakoĘç pozyskiwanych danych.
NiezaleÅ»nie od tego naleÅ»y mocno podkreĘliç znaczne udogodnienia wynikajÄ…ce z systemu
elektronicznych podpowiedzi oraz bieŻącej aktualizacji formularzy podatkowych, automa-
tycznie dostosowywanych do wymogów s"uŻb administracji podatkowej i podatników.
Wprowadzenie w resorcie finansów  e-us"ug publicznych wpisuje si´ równieÅ» w opra-
cowywanÄ… przez KBN strategi´ informatyzacji RP zapisanÄ… w dokumencie  Wrota
Polski . Operacja implantacji systemu obs"ugi elektronicznych dokumentów podatko-
wych jest skomplikowanym przedsi´wzi´ciem. Wobec powyÅ»szego Komitet SterujÄ…cy
InformatyzacjÄ… Resortu MF w dniu 30 lipca 2002 roku podjÄ…" decyzj´ o wdroÅ»eniu pilo-
taŻowego projektu przesy"ania deklaracji podatkowych podpisanych elektronicznie.
PlanujÄ…c pilotaÅ», Ministerstwo Finansów postanowi"o skorzystaç z oferty PWPW S.A. kieru-
jÄ…c si´ wysokim poziomem zaufania publicznego oraz wyjÄ…tkowÄ… jakoĘciÄ… procedur bezpie-
czeł
stwa stosowanych w tej instytucji. PWPW S.A. podj´"o si´ sfinansowania projektu.
PilotaŻ zakoł
czy" si´ w dniu 27 lutego 2003 r. Komitet SterujÄ…cy pozytywnie oceni" sys-
tem e-PODATKI. Wyniki trzymiesi´cznych testów przeprowadzonych z udzia"em podat-
ników wskazujÄ… na poprawnoĘç rozwiÄ…zania zaproponowanego przez PWPW S.A. i uza-
sadniajÄ… moÅ»liwoĘç jego wdroÅ»enia w skali ca"ego kraju.
Na podstawie wniosków z pilotaÅ»u wyodr´bniono obszary wymagajÄ…ce podj´cia dzia-
"ał
w ramach systemu e-podatki:
Obszar legislacyjny  znowelizowanie kilkunastu aktów prawnych (ustawy i rozpo-
rządzenia). NajwaŻniejszym zadaniem jest opracowanie wzorów elektronicznych
formularzy podatkowych.
3
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
Obs"uga formularzy podatkowych od strony podatnika  w dwóch wariantach:
" wype"nianie internetowego formularza podatkowego z wykorzystaniem me-
tod wst´pnej walidacji i podpowiedzi (on-line),
" wype"nienie formularza podatkowego w formacie XML, z wykorzystaniem
w"asnej aplikacji ksi´gowej.
Obs"uga przesy"ania podpisanych dokumentów elektronicznych  us"uga przetesto-
wana przez PWPW S.A.
Obs"uga podpisanego dokumentu elektronicznego w systemie POLTAX  w ra-
mach pilotaÅ»u przetestowano zbudowanÄ… przez PWPW S.A. aplikacj´, która mo-
g"aby zastÄ…piç wys"uÅ»ony modu" ewidencji dokumentów w systemie POLTAX. Apli-
kacja ta zosta"a wysoko oceniona przez pracowników urz´du skarbowego.
Przesy"anie podpisanych elektronicznie deklaracji podatkowych do urz´du skarbowego
nie jest jedyną moŻliwoĘcią wykorzystania podpisu elektronicznego w administracji.
Podpis ten b´dzie w najbliÅ»szych latach wykorzystywany szerzej. Do najwaÅ»niejszych
obszarów jego zastosowania naleŻą:
- rozszerzenie zakresu przyjmowanych dokumentów podpisanych elektronicznie
Po pierwszym okresie sk"adania deklaracji podatkowych zakres sk"adanych
tÄ… drogÄ… dokumentów b´dzie ulega" rozszerzaniu. Wymagaç to b´dzie przy-
stosowywania kolejnych systemów do obs"ugi podpisu elektronicznego;
- korespondencja z podatnikiem
Nie tylko podatnik moÅ»e przesy"aç podpisane elektronicznie dokumenty.
RównieÅ» urzÄ…d, na wniosek podatnika, moÅ»e przesy"aç do niego dokumen-
ty i korespondencj´ podpisanÄ… elektronicznie. Wymaga to uzupe"nienia da-
nych adresowych podatników o adres e-mail i wyposaŻenia pracowników
aparatu skarbowego w karty z podpisem elektronicznym.
- informacja o stanie rozliczeł
z fiskusem
Podpis elektroniczny moÅ»e byç traktowany jako klucz identyfikacyjny. Na
jego podstawie uÅ»ytkownik b´dzie móg" w przysz"oĘci uzyskaç wglÄ…d
w stan swoich rozliczeł
z urz´dem skarbowym.
4
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.
System podatkowy nie jest jedynym systemem w aparacie skarbowym, w którym pod-
pis elektroniczny b´dzie szeroko wykorzystywany. Kolejnym duÅ»ym obszarem wykorzy-
stania podpisu sÄ… systemy celne. Od stycznia 2004 roku wszystkie deklaracje SAD b´-
dÄ… mog"y byç sk"adane jako dokumenty z podpisem elektronicznym, stopniowo elimi-
nujÄ…c postaç papierowÄ….
5
Materia"y z seminarium informacyjnego  PODPIS ELEKTRONICZNY - NOWA JAKOÂå - NOWA US¸UGA , Warszawa, 9 kwietnia 2003 r.