Globalne fundamenty nowego rynku cyfrowego, zagadnienia usług cyfrowych, najnowsze trendy w usługach zaufania, bezpieczeństwo ich zastosowania dla biznesu i życia codziennego, postęp transformacji cyfrowej – tym zajęli się uczestnicy największej międzynarodowej konferencji dotyczącej m.in. usług zaufania, organizowanej corocznie przez Asseco.

Trusted economy to gospodarka oparta na usługach zaufania. Czym są usługi zaufania dla współczesnej gospodarki i dzisiejszych interakcji na wszystkich szczeblach we wszystkich relacjach, gdzie w grę wchodzi wymiana wrażliwych informacji, przepływ pieniędzy i transmisja wiedzy? Odpowiedź jest prosta – bez nich te relacje nie mogłyby się rozwijać. Kwalifikowanych dostawców usług zaufania jest zaledwie kilku w polskim rejestrze (muszą spełniać wymogi określone w unijnym rozporządzeniu eIDAS w zakresie świadczenia usług zaufania i identyfikacji elektronicznej). A korzysta z tych usług wielomilionowa społeczność.

– Bezpieczne uwierzytelnienie jest absolutnie kluczowym elementem usług elektronicznych. Bez tego nie da się scyfryzować obiegu dokumentów, bo proces paperless w ogóle się nie rozpocznie – powiedział w czasie konferencji Janusz Cieszyński, sekretarz stanu w Kancelarii Prezesa Rady Ministrów, pełnomocnik Rządu do Spraw Cyberbezpieczeństwa.

Klimat dla cyfryzacji

Otwierając konferencję Andrzej Dopierała, prezes Asseco Data Systems i wiceprezes Asseco Poland, podkreślił, że transformacja cyfrowa bardzo ostatnio przyspieszyła, jest to proces ciągły, wchodzący w coraz więcej obszarów i relacji, a rozwiązania i wdrożenia, które jeszcze rok temu były bardzo innowacyjne, dzisiaj stały się mainstreamem. Każde nowe wdrożenie otwiera drogę do kolejnych projektów.

– W czasie dwóch lat pandemii zrobiliśmy w zakresie transformacji cyfrowej tyle, ile w normalnych, niepandemicznych warunkach zrobilibyśmy pewnie w siedem. Właśnie rozwiązania paperless rozpowszechniły się głównie w wyniku pandemii – zauważył Andrzej Dopierała.

Pandemia spowodowała także rozszerzenie wykorzystania podpisu elektronicznego na nowe działy firm. Znalazł on zastosowanie nie tylko, jak wcześniej, w finansach i księgowości, ale np. w kadrach. Obecnie używanie podpisu staje się już standardem.

Janusz Cieszyński, mówiąc przykładowo o łańcuchu dokumentacji bez papieru, zwrócił uwagę, że wystarczy jeden słaby element, by ten łańcuch pękł. Problem w administracji publicznej m.in. z cyfryzowaniem obiegu dokumentów polega na tym, że korzyści powinni widzieć zarówno pracownicy urzędów, obsługujący te narzędzia, jak i klienci, czyli obywatele. Wspomniał o rozwiązaniu mObywatel 2.0, stwierdzając, że to jest właśnie inicjatywa trusted economy, która zmienia interakcje z obywatelami jeszcze zanim produkt pojawił się na rynku.

– Wszystko jest dostępne online, każdy może patrzeć na naszą pracę i zachęcamy do konstruktywnego komentowania. Dzięki merytorycznym uwagom od firm, organizacji i indywidualnych obywateli to, co zrobimy, będzie lepsze i bardziej dopasowane do potrzeb klienta – podsumował.

Dyskusja w pierwszym dniu konferencji koncentrowała się wokół przykładów rozwiązań i wdrożeń, cyfrowego portfela tożsamości – jego zawartości i bezpieczeństwa, a także korelacji polskich rozwiązań ze standardami europejskimi. Skupiono się na podpisie elektronicznym. Dyskutowano o ewolucji cyfrowej tożsamości skupiając się na kwestii wiarygodnej identyfikacji. Sporo miejsca w dyskusji zajął temat rozwiązań paperless i komunikacji cyfrowej z uwierzytelnianiem. Wielokrotnie powracał również temat cyberbezpieczeństwa.

Luka paperless – raport o rynku

Andrzej Dopierała przedstawił wnioski z raportu Asseco pt. „Luka paperless i inne wyzwania na drodze do cyfryzacji dokumentów w biznesie”. Firma przeprowadziła wiosną 2022 r. badanie na próbie ponad 300 firm zatrudniających 100 lub więcej pracowników. Pytania dotyczyły wykorzystania trzech narzędzi cyfrowych: podpisu elektronicznego, platformy zarządzania dokumentami elektronicznymi oraz elektronicznej identyfikacji tożsamości.

Jak potwierdza raport, ekosystem paperless to obecnie nie opcja, lecz konieczność. Najczęściej wykorzystywane narzędzie to podpis elektroniczny – 75 proc. firm korzysta z podpisu elektronicznego (w tym 96 proc. z kwalifikowanego podpisu elektronicznego, który z mocy prawa jest równoważny z podpisem własnoręcznym). 16 proc. przedsiębiorców korzysta równocześnie z platformy zarządzania dokumentami elektronicznymi. Jedynie 3 proc. spółek używa elektronicznej identyfikacji tożsamości.

– Nazwaliśmy to „luką paperless” to znaczy, że z jednej strony mamy cyfryzację dokumentów, podpis elektroniczny stosowany na szeroką skalę, z drugiej brakuje wykorzystania dokumentów elektronicznych między działami i między firmami – wyjaśniał prezes Asseco Data Systems. Luka paperless jest więc z jednej strony potencjałem, a z drugiej wyzwaniem.

Zapytano także o bariery na drodze cyfryzacji. 61 proc. spółek potwierdziło, że brakuje specjalistów, którzy mogliby zajmować się cyfryzacją procesów w firmach i instytucjach.

– To nas nie zdziwiło, ponieważ cyfryzacja to obszar dość nowy, szybko nabierający tempa szczególnie w okresie pandemii – skomentował Andrzej Dopierała.

Brakuje około 50 tys. specjalistów, którzy mogliby zajmować się wyłącznie projektami transformacji cyfrowej – inżynierów, konsultantów, menedżerów projektów i architektów. Stoimy wobec pilnej potrzeby kształcenia coraz większej kadry, by zaspokoić obecne potrzeby.

Kolejna liczba z raportu, bodaj najważniejsza to 41 proc. Tylu respondentów wskazało brak znajomości branżowych przykładów cyfryzacji, które przyniosły realne korzyści. Owszem, uważają, że jest „fajna”, ale nie widzą wymiernych efektów wykorzystywania narzędzi cyfrowych. Nie są ich świadomi. Trzeci wniosek z raportu – podpis elektroniczny stał się standardem, 75 proc. organizacji go wykorzystuje. Rozwiązanie to jest przede wszystkim pozytywnie oceniane przez pracowników, klientów oraz partnerów biznesowych firm biorących udział w badaniu. Dostrzegły one również znaczne oszczędności w zakresie kosztów oraz czasu poświęconego na obieg dokumentów.

Rozmowy przy kominku

W czasie pierwszego fireside czatu mówiono o technologii podpisu biometrycznego opracowanej w rezultacie partnerstwa technologicznego: Samsung Electronics Polska, spółki Xtension i Asseco Data Systems.

Tomasz Ostaszewski, CEO w Xtension opowiedział jak do tego doszło.

– Kilka lat temu zainspirowaliśmy się technologią odręcznego podpisu wykonywanego na urządzeniach dotykowych. Chcieliśmy stworzyć coś podobnego, myśląc, że to może być dobre zakończenie procesów paperless, które trzeba zamknąć podpisem. Czegoś, co sprawdziłoby się w biurze obsługi klienta. Po pewnym czasie bezskutecznego szukania gotowych rozwiązań napisaliśmy oprogramowanie i wkrótce mieliśmy działający prototyp, który był w stanie ściągnąć biometrię z urządzenia, zaszyfrować i odpowiednio zbudować dokument. Chcieliśmy jednak uzyskać coś, co będzie spełniało wymagania podpisu zaawansowanego według eIDAS. Potrzebowaliśmy wsparcia dostawcy usług kwalifikowanych. Zaczęliśmy od Certum i już wiedzieliśmy, że dalej nie szukamy. Mogliśmy zintegrować nasze systemy z produktami Asseco. Nie sądziłem, że w tak dużej firmie jak Asseco można tak elastycznie współpracować – opowiadał.

– Mieliśmy więc dobry system, uzbrojony w usługi kwalifikowane najlepszej firmy w Polsce, ale nie mogliśmy go certyfikować, bo tego nie można zrobić na jakimkolwiek urządzeniu. Okazało się, że jedyne urządzenie spełniające nasze wymagania ma Samsung. Lepiej trafić nie mogliśmy. Jesteśmy dumni, że przy naszym logo mieszczą się znaki takich koncernów. A współpraca rozwija się na tyle dobrze, że postanowiliśmy nie ograniczać się do rozwiązania, które spełnia wymagania formy pisemnej, ale zrobimy międzynarodową certyfikacją cybersecurity – podsumował Tomasz Ostaszewski.

Tomasz Chomicki, dyrektor ds. rozwoju biznesu w Samsung Electronics Polska, opowiedział o drodze Samsunga do certyfikacji bezpieczeństwa, najpierw jednak wywołany do odpowiedzi, wyjaśnił co to jest certyfikacja cyberbezpieczeństwa.

– Certyfikacja cyberbezpieczeństwa to potwierdzenie i odniesienie się do pewnego rodzaju norm. Im bardziej normy są zinternalizowane, tym certyfikacja ma większą wartość. Certyfikacja jest procesem bardzo ważnym dla Samsung i od lat w nią inwestujemy. Udało się nam w ostatnich latach pozyskać wiele międzynarodowych certyfikatów – wyjaśnił.

– Dokładnie dwa dni temu otrzymaliśmy też certyfikację polską, nadaną przez Agencję Bezpieczeństwa Wewnętrznego – dodał.

Samsung ma duże znaczenia dla polskiej gospodarki. – Tutaj znajduje się nasze centrum badawczo-rozwojowe, dział produkcyjny i dział handlowy. Udowodniliśmy, że nasze rozwiązania są bezpieczne. Działamy w oparciu o pełny łańcuch dostaw i już na etapie produkcji tworzone są klucze kryptograficzne, a cały proces od początku do końca działa w oparciu o certyfikację. Dzięki temu nasze urządzenia są bezpieczne, a w naszych tabletach czy smartfonach działa również biometria – podsumował.

Podpis biometryczny nie jest zdefiniowany prawnie. Podobnie jak podpis odręczny. Jak wpisuje się w system prawny i jaka jest jego skuteczność prawna?

O tym m.in. mówił Artur Miękina, dyrektor sprzedaży projektów kluczowych w Asseco Data Systems

– Do kwestii definiowania podpisu biometrycznego można podejść tak, jak do podpisu odręcznego na papierze. W świetle prawa możemy go podważyć, gdyż nie mamy jego definicji, np. jako znaku graficznego. Ale czy ktoś zaprzecza, że ten znak na papierze to podpis? Nie. Mamy mentalnie zakodowane, że to, co piszemy na kartce, jest podpisem. Czy rozwiązanie, które proponujemy spełnia formę pisemną? Podeszliśmy do zagadnienia od strony prawnej i organizacyjnej. Staraliśmy się wykonać rodzaj matrycy: jakie podpis graficzny pozostawiony na kartce ma odzwierciedlenie w podpisie biometrycznym. Kluczowa jest sprawa jego funkcji. Szereg różnych funkcji, które są wymienione w literaturze przedmiotu, zaadresowaliśmy do tej naszej macierzy porównań i z niej wyszło nam, że biometria w połączeniu z technologią wszystkie te funkcje spełnia – wyjaśniał Artur Miękina.

Drugi fireside chat dotyczył wpływu komputerów kwantowych na współczesną kryptografię i usługi zaufania.

Robert Poznański, analityk w Asseco Data Systems, przypomniał, że komputery kwantowe dają możliwość obliczeń zaawansowanych i dzięki wielkim możliwościom obliczeniowym będą mogły rozmontowywać asymetryczną kryptografię.

– Nadal będzie to zajmować kilka lat, ale będą one w stanie złamać algorytmy, z których korzystamy w tej chwili. Oczywiście będziemy się bronić – klucze będą coraz dłuższe. Ale to nie wystarczy na długo. Opracowywane są środki zabezpieczenia tj. program algorytmów postkwantowych. Nowe algorytmy będą wystarczająco bezpieczne bo będą wykorzystywane algorytmy matematyczne, niezrozumiałe dla komputerów kwantowych. Druga odsłona zabezpieczeń to zwinne podejście cryptoagile – szyfrowanie polegające na przełączaniu się pomiędzy algorytmami w zależności od potrzeb – tłumaczył Robert Poznański.

Iain Beveridge, Senior Product & Solutions Marketing Manager w Entrust był bardziej powściągliwy jeśli chodzi o podejście do urządzeń kwantowych.

– Mówi się o kwantowych smartfonach, zegarkach – jednak to się nie stanie szybko. Komputery kwantowe są w stadium badań, odkrywamy dopiero ich możliwości. Będzie to połączenie klasycznego komputera z komputerem dostosowanym do zaawansowanych zadań. Myślę, że będą tutaj wykorzystywane możliwości chmury. Dzięki swojemu potencjałowi komputery kwantowe będą niezwykle przydatne w naukach ścisłych – tłumaczył.

eIDAS 2

Ważnym punktem tegorocznej konferencji była dyskusja poświęcona tożsamości elektronicznej , a u jej podstaw znalazły się zapisy zaproponowanej przez Komisje Europejską nowelizacji rozporządzenia eIDAS. Projekt eIDAS 2 wprowadza nowe rozwiązania, m.in. Europejski Portfel Cyfrowej Tożsamości, który ma zapewnić użytkownikom możliwość elektronicznej identyfikacji, a także uwierzytelniania online i offline. Z portfela będzie można korzystać w kontaktach z podmiotami prywatnymi, publicznymi, jak również dużymi platformami internetowymi. Portfele mogą również służyć potrzebom instytucjonalnym administracji publicznych, organizacji międzynarodowych oraz instytucji, organów i agencji Unii. Narzędzie to powinno realizować swoje funkcje transgranicznie.

Iain Beveridge z Entrust skomentował funkcję, jaką pełnią projektowane przepisy dotyczące tożsamości cyfrowej w UE.

– UE do 2030 r. planuje, aby ponad 80 proc. jej obywateli posiadało tożsamość elektroniczną. Każdy użytkownik będzie decydował, jakie informacje zgromadzi w portfelu tożsamości oraz komu będzie je udostępniał – mówił.

Volker Semmelmann, Senior Technical Consultant w Data Protection Solutions wyjaśniał zaś, że eIDAS 2 definiuje szerzej temat tożsamości cyfrowej.

– Jednym z kontrowersyjnych tematów jest sposób korzystania z kwalifikowanego podpisu – niektórzy uważają, że portfel stanie się uniwersalnym narzędziem do wykorzystywania podpisu w dowolnym środowisku biznesowym. Portfel tożsamości cyfrowej gromadzi atrybuty tożsamości i wspiera proces podpisywania, tym samym uzyskanie podpisu – wyjaśniał Volker Semmelmann.

Zgodnie z motywem przewodnim tegorocznego Trusted Economy Forum, zawartym w tytule „Proces, podpis, identyfikacja – podstawa jednolitej i zaufanej gospodarki światowej”, można wyciągnąć kilka istotnych wniosków z dyskusji. Przede wszystkim przyspieszenie cyfrowej transformacji i cyfryzacja kolejnych obszarów w biznesie, relacjach państwo-obywatel czy instytucje-obywatel, a także w usługach, to pole do dynamicznego rozwoju i spore wyzwanie dla podmiotów działających w dziedzinie cyfryzacji i usług zaufania. Sferą technologiczną, jak dotąd, z powodzeniem zajmują się twórcy rozwiązań informatycznych. Ale dla płynnego rozwoju tego obszaru potrzebne są także odpowiednie regulacje na poziomie krajowym i europejskim oraz wspierająca postawa instytucji państwa. Tym bardziej, że państwo także coraz szerzej korzysta z instrumentów informatycznych, budując własne rozwiązania (np. mObywatel) i zaplecze specjalistów, czyli ludzi mogących wdrażać rozwiązania cyfrowe.

Usługi zaufania, z których coraz szerzej będą korzystać strony komunikacji elektronicznej, bazującej na bezpiecznych rozwiązaniach, sprawią że wzrośnie zaufanie społeczne do szerokiej gamy usług świadczonych w świecie cyfrowym. Budowa zaufania społecznego i świadomości korzyści z cyfrowej identyfikacji, podpisu elektronicznego i procesów opartych na tych narzędziach to najpoważniejsze wyzwanie na dziś.