Článok z hľadiska pôsobnosti Národného bezpečnostného úradu (NBÚ) a platného legislatívneho stavu obsahuje niekoľko tvrdení, ktoré je nutné uviesť na pravú mieru. Hneď v úvode autor stavia na roveň akciové spoločnosti a štát -- čo je dobré pre akciovky, musí byť dobré aj pre štát. Avšak štát nie je podnikateľský subjekt a "podnikateľské riziko" v činnosti jeho orgánov je neprípustné. Nie je celkom jasné, o akej "previerke bezpečnosti" hovorí, keďže k predmetu článku žiadna neexistuje.
Tvrdenia v článku vychádzajú z názoru o nepotrebnosti zaručeného elektronického podpisu (ZEP). Treba si však uvedomiť, že ekvivalentom v "papierovom" svete existujúceho "písomného právneho úkonu" (vlastnoručného podpisu) je v elektronickom svete jedine ZEP. Rovnako je vzťah medzi ZEP a vlastnoručným podpisom upravený i v legislatíve EÚ. Inak povedané -- ak príslušná legislatíva vyžaduje vlastnoručný podpis, potom jeho elektronická forma vyžaduje ZEP. A toto nepodlieha žiadnej diskusii!
Prečo nie je využitie ZEP širšie? Nuž jednoducho preto, že napĺňanie zámerov informatizácie spoločnosti nenapreduje tempom, ktoré sa očakávalo. Ale to nie je problém ZEP či NBÚ, to je problém absencie aplikácií. Tie sú už roky iba v podobe zámerov. Prevod agend do elektronickej formy a rozširovanie možností použiť ZEP nutne povedie k jeho rozširovaniu. V tomto prípade je to otázka na príslušné inštitúcie, pri ktorých je komunikácia viazaná na vlastnoručný podpis. Kameňom úrazu je schopnosť týchto inštitúcií ponúknuť možnosť komunikovať aj s pomocou ZEP. Problém teda nie je v akomsi tvrdošijnom postoji NBÚ, ktorý presadzuje ZEP, ale v zachovaní právnej ekvivalencie vlastnoručného podpisu v elektronickej forme.
Ďalší omyl je obsiahnutý v tvrdení, že "nikde na svete nie je elektronický podpis otázkou bezpečnosti". V americkom zákone Federal Information Security Management Act of 2002 informačná bezpečnosť znamená zabezpečenie integrity, dôvernosti, autenticity a dostupnosti informácií. Elektronický podpis má rovnaké bezpečnostné atribúty. Treba ešte niečo dodať?
Nie je ďalej pravdou, že ZEP nikde nespravuje bezpečnostná zložka štátu. Stačí sa pozrieť na organizáciu štátnej správy vo Francúzsku. V Nemecku certifikáciu produktov pre elektronický podpis vykonáva bezpečnostná autorita patriaca do rezortu ministerstva vnútra. Aktivity NATO smerujú v oblasti komunikácie aj k budovaniu infraštruktúry verejného kľúča (PKI). Každý štát si rieši organizáciu štátnej správy vzhľadom na jej efektívnosť a slovenské riešenie oblasti ZEP je veľmi racionálne a lacné, keďže využíva existujúcu infraštruktúru NBÚ.
Ďalšou nepresnosťou je prezentácia obsahu novely zákona o elektronickom podpise, ktorá obsahuje nie kozmetické, ale zásadné zmeny, ktoré článok nereflektuje. Jednou je vypustenie toľko kritizovanej povinnosti použiť ZEP v komunikácii so štátnou správou. Po prijatí tejto zmeny bude len na štátnom orgáne, aký spôsob komunikácie zvolí pri zachovaní potreby použiť ZEP v prípadoch, ak sa v papierovej forme vyžaduje vlastnoručný podpis.
Autor venuje značný priestor prezentácii bankových systémov. Áno, ich bezpečnosť je aj dôsledkom § 40 zákona o bankách, keďže banka je povinná raz ročne zabezpečiť overenie bezpečnosti informačného systému a písomne informovať o tom Národnú banku Slovenska. Avšak garancie súkromnej spoločnosti voči klientovi, ktorý vstupuje do vzťahu s ňou dobrovoľne, je neporovnateľný s garanciou štátu voči svojim občanom. A o to pri ZEP ide.
Ak teda budeme naďalej stáť v radoch do podateľní, kancelárií, úradov a nadávať, ako straší autor, potom to bude aj v dôsledku neznalosti, o čom ZEP vlastne je.
Autor je riaditeľ sekcie informačnej bezpečnosti a elektronického podpisu.