Prim Hírek

A hazánkban kialakult helyzet szerint a hitelesítésszolgáltatóknak kell gondoskodniuk arról is, hogy rendelkezésre álljanak azok az eszközök, amelyek segítségével kezelhető és használható a minősített elektronikus aláírás. Ez azt jelenti, hogy javarészt a szolgáltatóknak kell a szükséges aláírási termékek minősítését kezdeményezniük, esetenként a vonatkozó költségeket is megfizetniük. Ahogy Tóth Elemér fogalmaz: "Minket ér a megtiszteltetés, hogy elvégezhetjük ezt a feladatot, a minősített eszközöket az eljárás után bárki szabadon használhatja."

A minősített biztonsági fokozatú elektronikus aláírás már elérhető Magyarországon, sőt két szolgáltató is akad, amely ilyen tanúsítványt tud kiadni. Nem állnak viszont rendelkezésre a szolgáltatóktól független eszközök, így az ügyfél hiába viszi haza tanúsítványát egy jelenleg minősített eszközön - Schlumberger- vagy Oberthur-chipkártyán -, megfelelő kártyaszoftver (az egyik esetében egy CSP, a másikéban egy applet) híján ezt nem tudják kezelni. A minősített tanúsítványok így csak a merevlemezen, floppyn vagy más adathordozón tárolhatók, kimondhatóan nem megfelelő körülmények között. Ebben a helyzetben a szolgáltatók erkölcsi felelőssége és persze üzleti érdeke, hogy maguk kezdeményezzék különböző eszközök minősítését, így a MÁV Informatika Kft. is több ilyet adott be előminősítésre.

Ráadásul nemcsak a minősített tanúsítvány tárolására szolgáló eszközökkel vannak problémák, hiányzik az a minősített szoftver is, amelynek segítségével a minősített aláírást rá lehet tenni a különböző kártyákra, és amely képes ellenőrizni az egyes tanúsítványok valódiságát. Tóth Elemér szerint a Kopint-Datorg által kifejlesztett MultiSigno, amelyet már fokozott biztonságú szoftverként a Hungard Kft. minősített, igen figyelemreméltó eszköz. A MultiSigno abban az időben született meg, amikor a MÁV Informatika Kft. közös pilotprojekten dolgozott a Kopint-Datorggal, így Tóth Elemér saját tapasztalataira alapozva szögezi le, hogy a szoftver alkalmas lehet a minősített tanúsítványok kezelésére.

Felesleges lenne a minősített fokozat?

Az elektronikus aláírás jelenleg még gyerekcipőben jár Magyarországon, de igen gyorsan fejlődik. Várhatóan már ez év nyarán megoldódnak a fent említett problémák. Jelenleg öt olyan cég található hazánkban, amely fokozott biztonságú tanúsítványokat adhat ki, és ebből kettő olyan, amely minősített biztonsági fokozatú tanúsítványok kiadására is jogosult. A minősített tanúsítványok érvényesítése/felhasználása még várat magára. Tóth Elemér így fogalmaz: "A megtorpanás lényege az, hogy itt állunk mint minősített szolgáltató. Rettenetesen büszkék vagyunk, mert végrehajtottunk egy nagyon kemény projektet az elmúlt másfél évben, európai szintű szolgáltatásokat hoztunk létre, és most azokat szeretnénk eladni. Az ügyfelek viszont, akik vásárolhatnak ilyen szolgáltatást, még nem rendelkezhetnek olyan eszközzel, amellyel ezt igénybe tudnák venni. Ebben a helyzetben néhányan azt gondolják, most úgy kellene megváltoztatni a játékszabályokat, hogy amire eddig azt mondtuk, minősített aláírásra kötelezett, az a jövőben ne legyen az - ilyen például a számlakibocsátáshoz rendelt elektronikus aláírás."

Mivel éppen most csatlakozunk az EU-hoz, az elektronikus aláírás esetében is jó követni az európai ajánlásokat. Ezekben pedig a minősített szolgáltatások megtalálhatók. Hogy mi ennek az oka? Például Magyarországon, amikor egy hitelesítésszolgáltató fokozott biztonságú lesz, a HÍF nagyon kevés dolgot ellenőriz. Gyakorlatilag két dokumentumot vizsgál meg: a szolgáltatási szabályzatot és az általános szerződési feltételeket tartalmazó dokumentumokat. Ellenőrzi, hogy ezek az elvárásoknak és a magyar törvényeknek megfelelő tartalommal rendelkeznek-e, és utána feltételezi, hogy ami a dokumentumokban szerepel, azt a szolgáltató meg is valósítja, be is tartja. Ebben az esetben a HÍF munkatársai nem szállnak ki a helyszínre szemlézni, hanem az üzleti életre, a piacra bízzák annak eldöntését, hogy az adott szolgáltató megfelelő-e, vagy sem. A minősített szolgáltatók esetében viszont a HÍF nem kettő, hanem körülbelül húsz dokumentumot néz át - a munkaköri leírásoktól a biztonsági szabályzatig. Ilyenkor a HÍF munkatársai egy hatvannapos államigazgatási eljárás keretében azt is megvizsgálják, hogy a szolgáltatónál megtalálható hardveres-szoftveres környezet fizikailag megfelel-e az előírásoknak, valamint hogy az adott cég működési folyamatai kellőképpen lettek-e kialakítva, és a munkatársak eléggé felkészültek-e. A HÍF munkatársai és a velük együtt dolgozó független szakértők a minősítés során olyan helyekre nézhetnek be, mint például a bizalmi központ - ahová egyébként még az adott szolgáltató vezérigazgatója sem lép be -, és ellenőrizhetik a helyiségek felépítését, elrendezését, az ott dolgozó rendszerek működését. Fontos tudni, hogy míg a fokozott biztonságú szolgáltatáshoz elegendő néhány személyi számítógépet elhelyezni egy többé-kevésbé védett gépteremben, a minősített szolgáltatónál rendkívül védett informatikai központot (valóságos "betonbunkert") kell építeni, s például garantálni kell, hogy a rendszer és vele a szolgáltatás maximum évi nyolc órát álljon (abból is egyszerre legfeljebb hármat). Ezenkívül ha egy minősített szolgáltató megszegi kötelezettségeit, vagy nem teljesít a garantált színvonalon, akkor nemcsak a polgári pert latolgató ügyfelekkel, de a HÍF-fel is rögtön szembekerül. Ez pedig azt jelenti, hogy rövid úton megvonhatják a szolgáltatási engedélyét, "lehúzhatja a rolót", és minősített tanúsítványait köteles átadni egy másik minősített szolgáltatónak. Végül pedig tíz évig kell az egyes tanúsítványokhoz kapcsolódó teljes dokumentációt archiválnia, s az állam garantálja, hogy működése megfelel a fenti és más speciális feltételeknek.

A HÍF képes kvázi "extra igényes ügyfélként" megjelenni az adott szolgáltatónál, és megvizsgálni minden olyan tényezőt, amelynek a hitelesítésszolgáltatás szempontjából jelentősége van, ezenfelül olyan mélyen belenézhet az üzleti titkokba, mint senki más. A különbözőség meghatározásakor a fokozott biztonságúhoz képest a minősített szolgáltatót tehát úgy is fel lehet fogni, mint egy államilag garantált elektronikus közjegyzőt, aki segít az üzleti partnerek közötti fizikai távolság áthidalásában. A szolgáltató a közjegyzőhöz hasonlóan azonosítja az ügyfeleket, azzal a különbséggel, hogy rendelkezésére állnak a kiképzett munkatársak, valamint a technikai berendezések is, amelyek segítségével egyértelműen és hitelt érdemlően meg lehet állapítani az egyes okiratok - például a személyi igazolványok - valódiságát. Ez egy újabb érv a minősítés mellett.

Állami szerepvállalás

A hitelesítésszolgáltatás egyik legfontosabb eleme, hogy a piaci szereplők úgy tudnak egymással üzletet kötni, hogy a globális tranzakciók hitelességét végső soron az állam garantálja. Az úgynevezett nemzeti hitelesítőközpontok (CA-k) az Európai Hitelesítő Központon keresztül más országok CA-i felé igazolják a szolgáltatók által kiadott tanúsítványok megbízhatóságát. Ha a különböző tanúsítványok felülhitelesítése nem ilyen fastruktúrában van elrendezve, bonyolult kereszthitelesítések jönnek létre, ami rugalmatlanná és áttekinthetetlenné teszi a felhasználást - ami igen fontos kérdés a bizalmi rendszer működtetése során.

A jövő már jelen van

Tóth Elemér szerint a minősített szolgáltatások elterjedése helyrehozza az internet ama hibáját, hogy a hálón egymással kapcsolatba kerülő személyek, szervezetek nem azonosíthatók egyértelműen. A minősített szolgáltatások konkrét személyhez kötnek adatokat, ennek biztosítékát pedig az államilag regisztrált és ellenőrzött hitelesítésszolgáltatók adják. "Az ilyen rendszer kialakít egy kultúrkört, amelynek alapját képezi a nagy távolságokra is működő, megfelelő szinten garantált üzleti és személyes kommunikáció."

*

A rendszer-integrátor előnye

A fokozott biztonságú tanúsítványok használata jelentős lehet a cégek belső, a minősítetteké pedig például a külső beszállítókkal, partnerekkel való kommunikációjának biztonságosabbá tételében. A MÁV Informatika Kft. az egyik nagy hazai rendszerintegrátorként Microsoft-, SAP-, Lotus Notes és más vállalatirányítási, illetve integrált informatikai rendszerekhez magas színvonalon biztosít tanácsadást, rendszerintegrációt és alkalmazásfejlesztést. A MÁV Informatika Kft. hangsúlyozza, hogy az elektronikus aláírás megfelelő használatával erősíthető az informatikai biztonság, és hatékonyabbá tehető a cégek üzletmenete.