Embed Size (px)
Citation preview
UNIVERZA V MARIBORU EKONOMSKO – POSLOVNA FAKULTETA
DIPLOMSKO DELO
ZAGOTAVLJANJE VARNOSTI V RAČUNOVODSTVU V RAZMERAH ELEKTRONSKEGA POSLOVANJA NA
PRIMERU JAVNE UPRAVE
Študentka: Hozjan Liljana Naslov: Velika Polana 43, 9225 Velika Polana Številka indeksa: 81561380 Izredni študij Program: visokošolski strokovni Študijska smer: računovodstvo Mentor: doc. dr. Andreja LUTAR-SKERBINJEK
Velika Polana, september, 2007
PREDGOVOR V diplomski nalogi smo raziskovali varnost podatkov v računovodstvu v razmerah elektronskega poslovanja na primeru javne uprave. Slovenska uprava je na dobri poti k ponujanju varnih e-storitev svojim strankam kot tudi uveljavljanju e-poslovanja znotraj uprave. Ko sem pisala diplomsko nalogo, sem podrobneje spoznala marsikaj, kar mi je bilo prej manj znano. Verjamem, da mi bo znanje, pridobljeno med pisanjem naloge prišlo prav. Večina organizacij deluje elektronsko, zato je še toliko bolj pomembno zagotoviti varnost. Nevarnost zlorab v elektronskem svetu se širi veliko hitreje kot v fizičnem svetu. Proti nevarnostim se borimo na različne načine. Poleg varnega informacijsko komunikacijskega omrežja-HKOM, ki je varovano in zaščiteno s profesionalno programsko in strojno opremo priznanih svetovnih proizvajalcev imamo tudi več tehnologij, s katerimi se dosega varno delovanje e-uprave. Uporabniki morajo zaupati v te tehnologije, ki storitve podpirajo, kajti brez zaupanja uporabniki teh storitev ne bodo uporabljali. Dobre pravne podlage, ustrezna varna infrastruktura, povezani organi v upravi in dobra varnostna politika so pogoj varnega poslovanja v upravi. Še več dela na tem področju pa čaka upravo v prihodnosti. Na področju računovodstva sta pomembna predvsem Zakon o elektronskem poslovanju in elektronskem podpisu ter Slovenski računovodski standardi. Najprej smo opredelili uvodne pojme in na kratko prikazali razvoj skozi razvojna obdobja. Elektronsko poslovanje postaja vse bolj pomembno in je nujno za poslovanje na katerem koli področju. To jasno vidimo skozi razvojna obdobja. Nekoč so se vse računovodske funkcije izvajale ročno. Danes pa si tega več ne moremo predstavljati, vse skupaj je hitrejše, učinkovitejše, napak in prevar je manj. Nato smo podrobneje prikazali zakonodajo na področju računovodstva pri elektronskem poslovanju. Prikazali smo pa tudi tehnične mehanizme, ki pripomorejo k večji varnosti. Varnost v sistemu je pomembno zagotoviti, ker ima lahko to v nasprotnem primeru katastrofalne posledice. Na razpolago pa je kar nekaj tehnologij, ki pripomorejo k večji varnosti. Le-te smo podrobneje opredelili. Prikazali smo pa tudi zaščito in zaupnost podatkov, varstvo osebnih in tajnih podatkov in zlorabe pri tem. V praktičnem delu pa smo na kratko predstavili varnost v računovodskem servisu, da smo dobili okvirno predstavo o tem, kako to izgleda v praksi.
2
KAZALO 1 UVOD ........................................................................................................................... 4
1.1 Opredelitev področja in opis problema ................................................................. 4 1.2 Namen, cilji in osnovne trditve ............................................................................. 4 1.3 Predpostavke in omejitve raziskave ...................................................................... 5 1.4 Uporabljene raziskovalne metode ......................................................................... 5
2 ELEKTRONSKO POSLOVANJE V JAVNI UPRAVI .......................................... 7 2.1 Posebnosti javnega sektorja................................................................................... 7 2.2 Značilnosti elektronskega poslovanja v javni upravi ............................................ 9 2.3 Ugotovitve drugega poglavja .............................................................................. 11
3 UPORABA DOLOČIL ZAKONA O ELEKTRONSKEM POSLOVANJU V RAČUNOVODSTVU ........................................................................................................ 12 4 ZAHTEVE GLEDE VARNOSTI ELEKTRONSKEGA POSLOVANJA V RAČUNOVODSTVU ........................................................................................................ 18
4.1 Varnost v elektronskem svetu1 ............................................................................ 18 4.2 Stanje v e-upravi Slovenije.................................................................................. 20 4.3 Ugotovitve četrtega poglavja............................................................................... 22
5 TEHNOLOGIJE ZA VARNE IN NADZOROVANE TRANSAKCIJE.............. 23 5.1 Kriptografija ( šifriranje in dešifriranje).............................................................. 23
5.1.1 Simetrično šifriranje .................................................................................... 23 5.1.2 Asimetrično šifriranje (šifriranje z javnim ključem) ................................... 23 5.1.3 Digitalni podpis ........................................................................................... 24
5.2 Digitalno potrdilo ................................................................................................ 24 5.3 Pametna kartica ................................................................................................... 26 5.4 Prepoznavanje obraza .......................................................................................... 26 5.5 Požarni zid ........................................................................................................... 26 5.6 Ugotovitve petega poglavja ................................................................................. 27
6 VAROVANJE IN ZAŠČITA PODATKOV............................................................ 28 6.1 Zaščita in zaupnost podatkov .............................................................................. 28
6.1.1 Varstvo osebnih in tajnih podatkov2............................................................ 29 6.2 Ugotovitve šestega poglavja................................................................................ 31
7 E- POSLOVANJE RAČUNOVODSKEGA SERVISA Z JAVNO UPRAVO..... 32 7.1 Mehanizmi za varnost podatkov:......................................................................... 32 7.2 E-storitve med računovodskim servisom in upravo ............................................ 33 7.3 Ugotovitve sedmega poglavja ............................................................................. 35
8 SKLEPNE UGOTOVITVE...................................................................................... 36 9 POVZETEK V SLOVENSKEM IN ANGLEŠKEM JEZIKU IN KLJUČNE BESEDE ………………………………………………………………………………………..37 10 LITERATURA ...................................................................................................... 39 11 VIRI ........................................................................................................................ 41
3
1 UVOD 1.1 Opredelitev področja in opis problema Elektronsko poslovanje javne uprave pomeni, da lahko fizične in pravne osebe urejajo obveznosti in koristijo storitve javne uprave elektronsko, pa tudi samo poslovanje med deli uprave poteka elektronsko. Pravne in fizične osebe lahko elektronsko opravijo tudi nekatere obveznosti do uprave, to so oddaja davčne napovedi, sprememba stalnega prebivališča in napoved davka iz dejavnosti. Temeljno področje raziskovanja v diplomski nalogi bo varnost elektronskih podatkov. Elektronsko poslovanje v javni upravi poteka tako interno, torej znotraj organov, kot tudi med organi in hkrati z zunanjimi subjekti, ki so lahko končni uporabniki oz. državljani in podjetja v privatnem sektorju. V takem primeru se, razen v primerih uporabe izoliranega varnega intraneta ali varnega omrežja med organizacijami, kakršno je v slovenski upravi omrežje HKOM (Hitro komunikacijsko omrežje), srečujemo tudi z omrežjem, ki ni varno in je vsem poznano kot Internet. Da se lahko zavarujemo pred morebitnimi tveganji, je potrebno takšna tveganja opredeliti, analizirati in kontrolirati, prav tako pa prevzeti ukrepe za zmanjševanje tveganj, da se izognemo nepotrebnim izgubam. 1.2 Namen, cilji in osnovne trditve Namen te diplomske naloge je raziskati problem, ki je v današnjem času in družbi zelo aktualen. Z raziskavo želimo proučiti zagotavljanje varnosti pri elektronskem poslovanju, saj večina institucij v naši družbi posluje elektronsko, zato je pomen varnosti še toliko večji. Cilji Na začetku bomo proučili elektronsko poslovanje v javni upravi ter prikazali razvoj e- uprave. Raziskali bomo Zakon o elektronskem poslovanju v računovodstvu; predvsem novosti in spremembe na tem področju. Proučili bomo varnost elektronskega poslovanja v računovodstvu, in sicer tehnično in pravno zaščito podatkov. Nadalje pa bomo proučili varnost v e-upravi in pomen digitalnih potrdil. Raziskali bomo, katere tehnologije so potrebne za varne in nadzorovane transakcije.
4
Nato pa bomo raziskali zaščito in zaupnost podatkov, varstvo osebnih in tajnih podatkov in zlorabe pri tem. Na koncu pa bomo raziskali mehanizme, ki jih uporablja računovodski servis za vzdrževanje varnosti ter najpogostejše e-storitve med javno upravo in računovodskim servisom. Osnovne trditve Z uporabo elektronskih podpisov in drugih tehnologij je mogoče doseči varno delovanje e- uprave. Zakonodaja zadovoljivo opredeljuje varovanje podatkov v e-upravi. 1.3 Predpostavke in omejitve raziskave Predpostavke Predpostavljamo, da se veljavna zakonodaja s proučevanega področja v času raziskave ne bo spremenila. Predpostavljamo, da razpolagamo z najnovejšimi podatki, saj je to področje, ki se zelo hitro spreminja in viri hitro zastarajo. Predpostavljamo, da bo z ustreznimi tehnologijami varnost v računovodstvu vse večja. Omejitve Omejili se bomo na področje varovanja podatkov pri elektronskem poslovanju. V praktičnem delu pa na računovodski servis. Večinoma smo uporabljali klasične vire, kajti na spletnih straneh je omejen dostop do podatkov. Omejili se bomo na literaturo s slovenskega in angleškega področja. 1.4 Uporabljene raziskovalne metode Diplomska naloga bo poslovna raziskava, saj bomo raziskovali varnost podatkov v javni upravi. Raziskava bo dinamična, saj bo proučevala proces nastajanja in širjenja problema.
5
V drugem poglavju smo uporabili metodo klasifikacije (Opredelitev pojma elektronsko poslovanje), in zgodovinsko metodo (Elektronsko poslovanje v javni upravi). V tretjem poglavju je uporabljena metoda klasifikacije. V četrtem poglavju uporabljamo metodo klasifikacije ter komparativno metodo. V petem in šestem poglavju pa uporabljamo metodo deskripcije. In v zadnjem poglavju uporabljamo komparativno metodo in metodo klasifikacije.
6
2 ELEKTRONSKO POSLOVANJE V JAVNI UPRAVI Temeljni cilj nepridobitnih organizacij je zagotavljanje čim širše ravni zadovoljenosti potreb različnih interesnih skupin z zagotavljanjem stvari in predvsem storitev oziroma učinkovita in uspešna raba prvin za doseganje želenih učinkov. Med cilji nepridobitnih organizacij je izpostavljen tudi cilj enakosti, še posebej v povezavi z delovanjem javne uprave (Young 1994, 12). Javna uprava in e-uprava naj bi zagotavljali učinkovito, dostopno, kakovostno, enostavno, zanesljivo, odprto in pregledno delovanje javne uprave. Projekti e-uprave na Ministrstvu za javno upravo sledijo naštetim usmeritvam, za uspeh pa je potrebna ustrezna podpora vodstva, prevzemanje osebne odgovornosti, jasno definirani cilji in koristi, ki jih projekti prinašajo. Hkrati pa je potrebno motivirati udeležene, da spoznajo svojo vlogo v projektih kot priložnost in ne kot obveznost. Zaradi novih tehnologij, spremenjenega načina dela je potrebno veliko energije usmeriti v izobraževanje uslužbencev, da pa se rešitve uporabljajo, je potrebno podpreti promocijo. Kljub temu, da tehnološke rešitve omogočajo popolno informatizacijo postopkov, vsi postopki zaradi zakonodaje zaenkrat ne morejo biti opravljeni po elektronski poti. Za njihovo prenovo je potrebno spremeniti zakonodajo, kar za projekte e-uprave predstavlja veliko časovno omejitev (Batagelj 2006, 124). Razvoj e-uprave je prišel do točke, ko ga brez temeljite prenove procesov ne bo mogoče nadaljevati. Pozornost delovanja uprave se mora od izvajanja zakonov preusmeriti k izvajanju procesov in njihovim končnim rezultatom - storitvam. Cilj prenove pa je učinkovitejša, kakovostnejša, preglednejša in odgovornejša javna uprava s profesionalnimi, nepolitičnimi, usposobljenimi in motiviranimi javnimi uslužbenci. Prenova procesov temelji na jasni viziji in dolgoročnih ciljih. Je kompleksen proces, ki zahteva trdno vodenje, uporabo specializiranih znanj, metodologij in odločenost stalno izboljševati procese (Kunstelj 2004, 161). 2.1 Posebnosti javnega sektorja Številni avtorji ugotavljajo, da koncept, ki je bil razvit za privatni sektor, v javni upravi ni neposredno uporaben in da ga je treba prilagoditi njenim posebnostim. V nadaljevanju so zato te posebnosti in njihov vpliv na uporabo v javni upravi podrobneje predstavljene (Kunstelj 2004, 148-150). Kompleksnost Prenova v upravi se ne more nanašati le na en upravni organ ali institucijo, temveč na upravo kot celoto. Preoblikovanje togih hierarhičnih struktur, ki so značilne za današnjo upravo, v bolj dinamične mrežne strukture, organizirane na osnovi procesov, je ena izmed razvojnih usmeritev e-uprave. Vendar je tako organiziranost, predvsem zaradi zakonskih omejitev, različnih interesov, kompleksnosti uprave in tudi inercije miselnosti, ki se je skozi desetletja močno zakoreninila, v upravi mnogo težje uresničiti kot pa v privatnem sektorju. Zato bo njeno reorganiziranje, v primerjavi s privatnim sektorjem, tudi veliko bolj
7
evolutivne narave. To je pomembno tudi z vidika stabilnosti uprave, ki je ključnega pomena za delovanje države in celotne družbe. Odvisnost od zakonodaje V podjetjih so procesi običajno zasnovani na podlagi notranjih organizacijskih predpisov, ki se lahko, ob podpori vodstva, spremenijo praktično kadarkoli. Delovanje uprave pa je veliko bolj strogo določeno z različnimi zakoni in drugimi pravnimi predpisi. Za nameček so ti predpisi mnogokrat precej zastareli, ohlapni in dvoumni. Pri prenavljanju procesov v upravi smo zato veliko bolj omejeni, saj nam predpisi ne dovoljujejo sprememb izven njihovih okvirov. Če se omejimo na obstoječe predpise, običajno sploh ne moremo doseči kakšnih bistvenih izboljšav. Po drugi strani pa je njihovo spreminjanje in prilagajanje zapleteno in zamudno, poleg tega pa odvisno še od trenutne politične volje. Odsotnost konkurence Čeprav se odsotnost konkurence v javni upravi počasi nadomešča z uvedbo spremljanja učinkovitosti in uspešnosti in medsebojnega primerjanja posameznih organizacij javne uprave, v splošnem tak spodbujevalni mehanizem v upravi še vedno manjka ali pa je zelo šibak. Pomanjkanje spodbud za večjo učinkovitost in uspešnost se kaže v splošnem odporu spremembam, ki so naravna posledica prenove procesov. Poleg tega imajo javne organizacije monopolen položaj pri nudenju obveznih storitev občanom in podjetjem. Ti določene zadeve z državo enostavno ne morejo opraviti in pri tem nimajo druge izbire. Posledice se kažejo v manjši potrebi po zadovoljevanju njihovih potreb in splošni nezainteresiranosti za spremembe. Koeksistenca ciljev Načeloma naj bi bil prvi cilj vsake organizacije zadovoljiti potrebe strank. To zahteva tudi koncept prenove poslovnih procesov. A za kakšno ceno? Logično je, da morajo imeti podjetja od tega korist. Cilj vsakega podjetja je torej imeti čim večji dobiček ob upoštevanju potreb strank, saj bi jim le-te v nasprotnem primeru ušle h konkurenci. Nasprotno so organizacije javnega sektorja nedobičkonosne in imajo stranke oz. uporabnike zagotovljene. Vendar mora uprava izpolnjevati še druge zahteve, ki jih privatni sektor ne pozna. Na primer zaščita pravic občanov, zagotavljanje njihove pravne in socialne varnosti, vzdrževanje ravnotežja med prizadetimi subjekti, skladnost s pravnimi predpisi in upoštevanje drugih načel demokratične družbe. Upoštevati je treba tudi, da javne storitve ne povečajo samo osebnih koristi in pravic uporabnikov, kot je značilno za privatni sektor, temveč vključujejo tudi aktivnosti z naslova obveznosti in dolžnosti občanov do države (plačevanje davkov, kazni, obvezni osebni dokumenti ipd.). Poleg tega je javni sektor veliko bolj odvisen od čvrste infrastrukture, ki zagotavlja kontinuiteto v poslovanju, varnost in zanesljivost poslovanja. V upravi je torej potrebno upoštevati več dejavnikov, ki so si pogosto tudi nasprotujoči.
8
Birokratski odnosi V upravi so tudi veliko bolj zakoreninjeni tradicionalni birokratski načini dela in razmišljanja. Pogosto se zaposleni čezmerno oklepajo predpisov, obstoječih navad in precedensov. Zaradi omejenega načina razmišljanja so zato zaposleni v upravi pogosto manj inovativni, težje jih je prepričati v pravilnost sprememb in se trdovratno upirajo spremembam. Poleg tega imajo vodje posameznih organov pogosto premalo pristojnosti, da bi lahko sprejeli kakršnekoli odločitve glede sprememb v procesih, ki se izvajajo v njihovem organu. Odvisni so od odločitev samega vrha uprave, ta pa se že krepko meša s politiko. Vpliv politike Managerji v upravi nimajo take svobode pri svojem delu kot managerji v podjetjih, ker so bolj podvrženi politični kontroli. Politiki se pogosto ne zadovoljijo samo z oblikovanjem politik, temveč želijo sodelovati tudi pri njihovem uresničevanju. Ker pa imajo najvišji managerji bolj politično vlogo in se bolj izpostavljajo javnosti, se pogosto premalo prizadevno in s premalo časa posvečajo projektu prenove. Zaradi pogostih menjav položajev, bodisi zaradi volilnih izidov ali političnih imenovanj, pa je opredelitev in predvsem obstojnost dolgoročnih ciljev veliko bolj vprašljiva. Sistem financiranja Organizacije javne uprave se financirajo iz proračuna, ki ne temelji na njihovi učinkovitosti in uspešnosti, za razliko od podjetij, kjer je njihov obstoj odvisen od njihove poslovne uspešnosti (dobička). Zato javni uslužbenci ne čutijo potrebe po spremembah, ki bi vodile k večji učinkovitosti in uspešnosti. Tak način financiranja posledično vpliva tudi na načine merjenja poslovanja javnih organizacij. Ugotovimo lahko, da omenjene posebnosti javnega sektorja ne zahtevajo bistvenih sprememb uporabe koncepta prenove poslovnih procesov v javnem sektorju, vendar pa moramo zaradi njih pri prenovi upoštevati celo vrsto dodatnih dejavnikov (predvsem človeških, socialnih in političnih), zaradi česar je njegova uporaba bolj zahtevna in tvegana. Izrednega pomena je, da se vsi udeleženi subjekti vseh teh razlik in možnih nevarnosti zavedajo, da so dobro seznanjeni s samim konceptom prenove poslovnih procesov in cilji, ki se želijo s prenovo doseči. 2.2 Značilnosti elektronskega poslovanja v javni upravi Od začetka sedemdesetih let smo priča bolj ali manj intenzivnemu tehnološkemu posodabljanju javne uprave v vseh razvitejših državah. Fenomen e-uprave, ki se pojavi koncem devetdesetih let dvajsetega stoletja kot neposredna posledica nastanka in razvoja interneta, pomeni v tem pogledu prelom v odnosih med upravno stroko in tehnološkimi spremembami. Hitro je postalo jasno, da prinaša razvoj e-uprave sam po sebi pravzaprav temeljito reformo delovanja uprave navznoter in navzven. Številne rešitve, metode dela in prakse, ki so se v upravi razvijale in uporabljale desetletja in temeljile prvenstveno na
9
papirju, kot temeljnem delovnem, komunikacijskem in arhivskem mediju, so čez noč zastarele ali pa postale povsem odveč. Elektronsko poslovanje, e-dokumenti in internet narekujejo povsem nov tok razvoja upravnega poslovanja, nove tehnološke in z njimi neločljivo povezane organizacijske, procesne in normativne rešitve. Velik del teh rešitev je šele v nastajanju (Vintar 2004, 3). Če pogledamo tabelo 1, v kateri skušamo poenostavljeno pokazati modernizacijo delovanja uprave v zadnjih približno tridesetih letih, vidimo, da se v prvem razvojnem obdobju, ki smo ga najpogosteje poimenovali obdobje avtomatizacije (trajalo je približno dvajset let), uprava kot sistem v vsem tem času v organizacijskem smislu ni bistveno spremenila niti na mikro, kaj šele na makro ravni. Upravni postopki so ostajali praktično nespremenjeni, le tehnologija za izvedbo posameznih aktivnosti se je spremenila, rutinsko delo, prej pretežno ročno izvajano, se je avtomatiziralo. Drugo obdobje, ki se je začelo okrog leta devetdeset prejšnjega stoletja, poimenovano informatizacija, je predvsem razširilo področje uporabe informacijske tehnologije. Iz obdelave pretežno formatiziranih numeričnih podatkov se je le-ta razširila na obravnavo poljubnih informacij, besedil, poslovne grafike, oblikovanja dokumentov ter vse bolj tudi na področje zahtevnejših analiz podatkov ter podporo odločanju. Vendar tudi to obdobje ni prineslo vidnejših organizacijskih sprememb v delovanju uprave in še posebno v izvajanju poslovnih procesov v upravi. TABELA 1: NEKATERE TIPIČNE ZNAČILNOSTI PROCESOV AVTOMATIZACIJE, INFORMATIZACIJE ORGANIZACIJ IN E-UPRAVE
ZNAČILNOSTI PRISTOPA AVTOMATIZCIJA INFORMATIZACIJA E – UPRAVA
Način uvajanja od spodaj navzgor od zgoraj navzdol od zgoraj navzdol (za celotno upravo) Vpliv na organizacijo Majhen;
predvsem na operativno raven
velik; spremembe v organizacijski kulturi organizacije
velik; spremembe v managementu, organizacijski kulturi in temeljnih organizacijskih predpostavkah
Potrebna tehnologija Samostojni računalniki, lokalne mreže
lokalne in globalne mreže, internet, intranet
internet, infrastruktura javnih ključev, tehnologija za celovito upravljanje z e- dokumenti
Ponudniki sprememb nižji in srednji management
Vrhovni management Politika
Odgovornost za izvedbo nižji in srednji management
Vrhovni management vrhovni management
Obseg sprememb v poslovnih procesih
majhen: predvsem v načinu izvajanja, ročna opravila se nadomešča z avtomatiziranimi
Velik: možna je popolna prenova poslovnih procesov
radikalen: nujna je prenova ter integracija procesov
Baze podatkov delne po poslovnih funkcijah
Integrirane po upravnih resorjih
integrirane v okviru celotne uprave
Vpliv na management Delen Velik Radikalen Spremembe v normativni ureditvi
niso nujne Koristne, včasih celo pogoj za uspeh projektov informatizacije
nujne in pogoj za uspešen razvoj
Vir: Vintar, (2004, 4); Začetek obdobja razvoja e-uprave slučajno sovpada s prelomom stoletja in tisočletja in to sovpadanje nam na simbolični ravni tudi ponazarja, da ne gre več za nadgradnjo starega, pač pa za začetek nečesa v bistvu povsem novega v delovanju uprave (Vintar 2004, 4).
10
Elektronsko poslovanje državne in tudi javne uprave postaja vse bolj pomembno tako na evropski celini kot tudi drugod po svetu. Slovenija si zaradi vse večje vpetosti našega gospodarstva v svetovno blagovno menjavo ter vstopa naše države v Evropsko unijo ne sme privoščiti zaostajanja (Silič, Dobnikar in Perenič 1999, 80). Z razvojem potrebne infrastrukture in drugih potrebnih temeljev se je posledično razvijala in širila tudi vsebinska opredelitev pojma elektronsko poslovanje. Avtorji so se na začetku osredotočali le na elektronsko trgovanje (e-commerce), ki zajema vse postopke kupovanja, prodajanja ali izmenjave blaga, storitev in informacij z uporabo računalniških omrežij (Turban in King 2003, 3). 2.3 Ugotovitve drugega poglavja Javna uprava se mora prilagajati modernim tokovom, njene procese je treba prenoviti, saj brez prenove ni mogoče doseči ciljev in razvoja uprave. Javna uprava ima številne posebnosti, ki so specifične samo za ta sektor in sicer: kompleksnost, odvisnost od zakonodaje, odsotnost konkurence, koeksistenca ciljev, birokratski odnosi, vpliv politike in sistem financiranja. Razvoj e-uprave pa prinaša temeljito reformo delovanja uprave. Pri razvoju uprave imamo tri razvojna obdobja (avtomatizacija, informatizacija in e-uprava), skozi katera lahko zasledimo velike spremembe v delovanju uprave.
11
3 UPORABA DOLOČIL ZAKONA O ELEKTRONSKEM POSLOVANJU V RAČUNOVODSTVU
Nekoč so se vse računovodske operacije izvajale ročno, kar pa je zahtevalo ogromno dela in težavno pripravo računovodskih poročil. Pri tem je bil posledično večji tudi pojav napak. Sčasoma so se razvili različni načini mehanske obdelave podatkov, ki so olajšali delo. Z razvojem računalniške tehnologije se na tržišču pojavlja vedno zmogljivejša računalniška in programska oprema, ki omogoča hitrejše in učinkovitejše zbiranje, obdelovanje, shranjevanje ter pošiljanje podatkov in informacij za podporo odločitvam in kontroli v podjetju. Razvoj računalniške tehnologije v veliki meri pozitivno vpliva na organiziranost dela v računovodstvu (Novak 2005, 23). V Kodeksu računovodskih načel je računovodstvo definirano kot posebna celota delov informacijskih dejavnosti, znotraj katerih se zbirajo, urejajo, obdelujejo, prikazujejo in shranjujejo podatki ter prikazujejo in shranjujejo informacije o preteklih ter prihodnjih pojavih. Računovodstvo se od drugih informacijskih dejavnosti loči po tem, da spremlja vse poslovne dogodke, ki kakorkoli vplivajo na sredstva, obveznosti do njihovih virov, stroške, odhodke, prihodke in poslovni izid. Omeniti pa velja tudi pravilo pri računalniškem obravnavanju podatkov v računovodstvu: vsi oddelki računovodskega spremljanja poslovanja podjetja oz. organizacije morajo biti mrežno povezani. To je pomembno zato, da tudi znotraj računovodskega informacijskega sistema uveljavimo pravilo enkratnega vnosa podatkov za vse namene. Če torej en oddelek računovodstva dobi podatke o poslovnem dogodku, jih vnese v računalniški pomnilnik, kar nato zadošča za vse namene uporabe. Tudi »izdelki« enega računovodskega oddelka, namenjeni drugemu oddelku tega istega računovodskega sistema, morajo biti tja preneseni le elektronsko prek ustrezne mreže - torej brez vnovičnega vnašanja v računalnik. Z dobro zamislijo takšnega notranjega komuniciranja v računovodski službi dosežemo zelo veliko hitrost, ažurnost pri izdelovanju potrebnih računovodskih poročil in odpravimo nepotrebna podvajanja tako pri vnašanjih istovrstnih podatkov za različne namene, posredno pa s tem zmanjšamo tudi stroške priprav takšnih in drugačnih računovodskih informacij (Koželj 1999, 64). 13. junija 2000 je bil sprejet Zakon o elektronskem poslovanju in elektronskem podpisu, ki ureja razmerja med uporabniki elektronskega prenosa podatkov, odgovornosti posameznih uporabnikov in varovanje podatkov s pomočjo elektronskega podpisa. Možnost prevar se je močno zmanjšala, saj je elektronski podpis zanesljivo varovalo, ki onemogoča poneverjanje listin nepooblaščenim osebam (Lutar-Skerbinjek 2003, 50-51). Slovenija je relativno hitro sprejela Zakon o elektronskem poslovanju in elektronskem podpisu. Ta je vizionarsko zastavil potek prostega pretoka storitev in informacij, ne samo na ozemlju Slovenije, ampak tudi držav evropske skupnosti in širše (Klasinc 2001, I-67). Elektronsko poslovanje v ožjem pomenu zajema samo elektronsko izmenjavo podatkov in le ta del opredeljuje Zakon o elektronskem poslovanju in elektronskem podpisu. Elektronsko poslovanje v širšem pomenu pa zajema celotno poslovanje s pomočjo računalniških mrež. Zakon o elektronskem poslovanju in elektronskem podpisu ureja elektronsko poslovanje, ki zajema poslovanje v elektronski obliki na daljavo z uporabo informacijske in komunikacijske tehnologije in uporabo elektronskega podpisa v pravnem
12
prometu, kar vključuje tudi elektronsko poslovanje v sodnih, upravnih in drugih podobnih postopkih, če zakon ne določa drugače (Lutar-Skerbinjek 2003, 50-54). Bistvo zakona ter njegov vpliv na slovenski pravni red še najlažje spoznamo skozi njegova načela, ki so pomembna za uporabo zakona (Silič, Perenič 2000, 162-164): Načelo nediskriminacije elektronskega podpisa Zakon zagotavlja elektronski obliki in elektronskemu podpisu enake možnosti kot dosedanji papirnati obliki. Elektronski podpis, ki zadošča enakim varnostnim zahtevam kot lastnoročni podpis, je s tem izenačen. Načelo nediskriminacije prepoveduje sodnim in drugim organom, da bi zavrnili veljavnost oziroma dokazno vrednost zgolj zaradi elektronske oblike. To načelo zato elektronski obliki zagotavlja uporabno vrednost v vseh postopkih ter so zato podatki shranjeni v elektronski obliki vir za nadzor oziroma revidiranje poslovanja pravnih oseb. Tako shranjeni podatki so v skladu s pogoji, ki jih določa zakon, enakovredni podatkom shranjenim na papirju. Tudi Slovenski računovodski standardi dovoljujejo oblikovanje, posredovanje in hranjenje listin, poslovnih knjig in poročil v elektronski obliki. Načelo odprtosti oziroma tehnološke nevtralnosti Pričakovati je, da se bo razvilo veliko število različnih sredstev za preverjanje pristnosti in celovitosti podatkov, zato mora biti zakon dovolj širok oziroma tehnično nevtralen, da bo širokemu spektru elektronskih podpisov zagotavljal ustrezne pravne učinke. Čeprav trenutno tako v svetu kot tudi v Sloveniji prevladujejo tehnološke rešitve, ki temeljijo na uporabi digitalnih podpisov oziroma kriptografski tehnologiji javnega in zasebnega ključa, je zakon dovolj splošen in tehnološko nevtralen, da bodo njegova pravila uporabna tudi za druga sredstva, ki bi se lahko uporabila pri preverjanju pristnosti. Načelo odprtosti v računovodstvu nudi uporabniku več svobode pri izbiri tehnologije, vendar mora paziti da je le-ta varna. Načelo pogodbene svobode strank To načelo omogoča strankam, da se dogovorijo in svoja razmerja uredijo drugače. Tako zakon izrecno določa, da ne velja za zaprte sisteme, v katerih stranke s pogodbo vnaprej uredijo vse bistvene značilnosti delovanja sistema. Pogodbene stranke tako pri elektronskem poslovanju v zaprtih sistemih niso vezane zgolj na v zakonu predvidene rešitve. Pogodbena svoboda strank pa seveda ni popolna. Zakon namreč včasih prisilno (kogentno) določa prvine razmerja pogodbenih strank. Prisilnost posamezne določbe je razvidna iz načina izražanja zakonodajalca. Pri takšnih določbah zasledimo jasen namen zakonodajalca, da zaradi varovanja javnega interesa ali posebnega varstva ene pogodbene stranke omeji pogodbeno svobodo strank. To načelo je prav tako pomembno v računovodstvu, dogovarjanje in iskanje skupnih rešitev dodatno motivira udeležene, seveda če zakon ne določa drugače.
13
Načelo dvojnega pristopa Zakon ureja pravna vprašanja s pomočjo dvojnega pristopa. Namen zakona je spodbuditi široko ponudbo storitev elektronskega poslovanja, oziroma s tem povezanih storitev overjanja. Zakon ne želi na noben način ovirati hitrega tehnološkega razvoja, zato dopušča uporabo raznovrstnih ter različno zanesljivih tehnologij in postopkov ter tudi za delovanje overiteljev ne predvideva posebnega predhodnega dovoljenja, temveč le obvestilo inšpekcijskemu organu o začetku poslovanja. Na tržišču zato lahko svoje storitve ponujajo različni overitelji, ki ne zagotavljajo vsi enake stopnje varnosti. To omogoča uporabniku, da sam izbere stopnjo varnosti, ki jo potrebuje za različna področja svojega poslovanja (višjo za finančne transakcije, manjšo za prijateljsko dopisovanje). Hkrati s tem obveznim nadzorom pa zakon predvideva tudi prostovoljni nadzor – akreditacijo. Akreditacijska shema temelji na splošnih zahtevah do overiteljev, ki se jim ti podredijo prostovoljno. Njihov cilj bo višja stopnja varnosti. Te sheme ponujajo overiteljem primeren okvir za nadaljnji razvoj do stopnje zaupanja, varnosti in kvalitete, ki jo zahteva trg. Čim več e-storitev v računovodstvu je vsekakor ugodno za podjetje. Omogoča racionalizacjo dela in poslovanja, poslovanje je enostavno, hitro in pregledno. Vsekakor pa je na področju, kot je računovodstvo, treba zagotoviti najvišjo stopnjo varnosti. Načelo varstva osebnih podatkov in načelo varstva potrošnikov Zakon o elektronskem poslovanju in elektronskem podpisu sledi veljavni slovenski in evropski zakonodaji glede visokega standarda varovanja osebnih podatkov, saj so ti ravno pri elektronskem poslovanju še bolj izpostavljeni morebitnim zlorabam. Zakon zato restriktivno predpisuje zbiranje in posredovanje osebnih podatkov, potrebnih za delovanje overiteljev. Varstvo zasebnosti omogoča tudi določba, da je mogoče elektronsko poslovati z uporabo psevdonima. Zakon sledi načelu varstva potrošnika in predpisuje overiteljem različne obveznosti, med katerimi je potrebno posebej izpostaviti tudi obveznosti glede seznanjanja uporabnika s pravnimi in tehničnimi vidiki ter posledicami elektronskega poslovanja. V računovodstvu je še posebej pomembno zagotoviti varstvo osebnih podatkov, saj so ti tu še posebej izpostavljeni. Načelo varstva potrošnikov se v računovodstvu nanaša na vsakega uporabnika, in mu pomaga pri zapletenosti elektronskega poslovanja. Načelo mednarodnega priznavanja Medsebojno mednarodno priznavanje elektronskega poslovanja, oziroma ožje elektronskih podpisov in potrdil, je pomembno zaradi same narave elektronskega poslovanja, ki med seboj povezuje ljudi ne glede na njihovo krajevno oddaljenost. Zakon zato omogoča enostavno medsebojno priznavanje elektronskih podpisov znotraj Evropske unije ter širše priznavanje ob pogojih vzajemnosti oziroma podobnosti tovrstne zakonodaje. To načelo v računovodstvu bistveno skrajša čas potreben za poslovanje. Za računovodje je pomemben predvsem čas prejema dokumenta. Zakon o elektronskem poslovanju in elektronskem podpisu pravi, da »če ni drugače dogovorjeno, se šteje za čas prejema elektronskega sporočila tisti čas, ko elektronsko sporočilo vstopi v prejemnikov informacijski sistem«. Če to prenesemo na dokumente, se šteje za čas prejetja dokumenta
14
čas, ko je dokument vstopil v prejemnikov informacijski sistem, torej čas, ki je zapisan ob elektronski pošti (Lutar-Skerbinjek 2003, 52-53). V 12. členu Zakon o elektronskem poslovanju pravi: »Kadar zakon ali drug predpis določa, da se določeni dokumenti, zapisi ali podatki hranijo, se lahko hranijo tudi v elektronski obliki: • če so podatki, vsebovani v elektronskem dokumentu ali zapisu, dosegljivi in primerni
za kasnejšo uporabo in • če so podatki shranjeni v obliki, v kateri so bili oblikovani, poslani ali prejeti, ali v
kakšni drugi obliki, ki verodostojno predstavlja oblikovane, poslane ali prejete podatke in
• če je iz shranjenega elektronskega sporočila mogoče ugotoviti, od kod izvira, komu je bilo poslano ter čas in kraj njegovega pošiljanja ali prejema in
• če uporabljena tehnologija in postopki v zadostni meri onemogočajo spremembo ali izbris podatkov, ki ju ne bi bilo mogoče enostavno ugotoviti, oziroma obstaja zanesljivo jamstvo glede nespremenljivosti sporočila (prav tam, 53)«.
Država je z Zakonom o elektronskem poslovanju in elektronskem podpisu dosegla vrsto ciljev, med katerimi naj omenimo samo najpomembnejše: • spodbujati hiter tehnološki razvoj elektronskega poslovanja, • odstraniti normativne ovire za elektronsko poslovanje, • izenačiti zanesljive elektronske oblike s klasično papirno obliko in • izenačiti varne ter zanesljive elektronske podpise z lastnoročnim podpisom. Zakon je namreč vzpostavil jasna in predvidljiva pravila za izmenjavo elektronskih sporočil ter pravila za uporabo elektronskega podpisa in za delovanje overiteljev elektronskega podpisa. Zakon pa zagotavlja tudi, da je slovenska pravna ureditev elektronskega poslovanja in elektronskega podpisa usklajena s podobno tujo, predvsem evropsko in mednarodno ureditvijo, ter tako zagotavlja mednarodno priznavanje elektronskih podpisov. V celoti je zakon usklajen z določili Modelnega zakona Komisije OZN za mednarodno gospodarsko pravo (UNCITRAL) o elektronskem poslovanju ter z določili primerne evropske zakonodaje, prevzel pa je tudi vse določbe ustrezne evropske direktive. Zakon tako daje slovenskemu gospodarstvu in državni upravi pomembno konkurenčno prednost. Ob sprejemu zakona se je namreč Slovenija s sodobno pravno ureditvijo tega področja uvrstila med prvih deset evropskih držav, ki so skladno z novimi pravili Evropske unije uredile elektronsko poslovanje in tudi z ustrezno zakonodajo odprle pot v novo, tehnološko podprto tisočletje (Colnar 2006, 95). Slovenski računovodski standardi, ki so veljali do 1.1.2002, so zahtevali hranjenje računovodskih listin in poslovnih knjig v papirni obliki, prenovljeni Slovenski računovodski standardi, ki so začeli veljati 1.1.2002, pa dovoljujejo oblikovanje in hranjenje računovodskih listin in poslovnih knjig tudi v elektronski obliki in s tem upoštevajo določila Zakona o elektronskem poslovanju in elektronskem podpisu, ki je začel veljati leta 2000. Sedaj so standardi že drugič prenovljeni z začetkom veljave 1.1.2006 in tudi prenovljeni standardi dovoljujejo oblikovanje in hranjenje računovodskih listin in poslovnih knjig v elektronski obliki.
15
Knjigovodske listine obravnava SRS 21, ki natančneje obdeluje njihovo opredeljevanje, nastajanje in prenašanje, kontroliranje in sestavljanje nalogov za knjiženje ter hrambo knjigovodskih listin. Ta standard določa tudi pogoje, ki jih je treba izpolnjevati pri računalniškem sestavljanju knjigovodskih listin. Povezan je s Slovenskim računovodskim standardom 22, ki obravnava poslovne knjige, in s predpisi, ki urejajo elektronsko poslovanje v Sloveniji (Lutar-Skerbinjek 2003, 55). SRS 21.1. v opredelitvi knjigovodskih listin enači papirne listine z elektronskimi zapisi, pomembno je le, da knjigovodske listine verodostojno in pošteno izkazujejo poslovne dogodke. Za vsako knjigovodsko listino sestavljeno v podjetju, je treba imenovati fizično osebo odgovorno za njeno resničnost in verodostojnost. Ta oseba knjigovodsko listino podpiše ter tako potrdi, da je prikaz poslovnega dogodka pravilen in se sme uporabiti pri knjigovodskem obravnavanju podatkov. Če je knjigovodska listina sestavljena računalniško, se lahko namesto z lastnoročnim podpisom potrdi z elektronskim podpisom. Ta zagotavlja poleg prepoznavanja podpisnika tudi neokrnjenost navedb, saj vsaka najmanjša sprememba po podpisu razveljavi podpis. Standard še dodaja, da morajo biti računalniški programi, ki se uporabljajo pri sestavljanju knjigovodskih listin, pred začetkom uporabe preizkušeni in potrjeni, vendar pa ne določa, kdo in na kakšen način naj jih preizkusi in potrdi. Za verodostojne knjigovodske listine se štejejo tudi po telekomunikacijskih poteh oziroma pri računalniškem izmenjavanju podatkov dobljena sporočila, sestavljena iz knjigovodskih podatkov. Oseba, ki pošilja knjigovodske podatke oziroma jih vnaša v računalnik odgovarja da so poslani oziroma v računalnik vneseni podatki verodostojni, kar potrdi z elektronskim podpisom (Lutar-Skerbinjek 2003, 56). Glede hrambe knjigovodskih listin SRS 21 določa, da se knjigovodske listine hranijo v izvirniku na papirju ali na nosilcih podatkov, kar pomeni v elektronski obliki. SRS določajo, da sta temeljni poslovni knjigi dve - dnevnik knjiženja in glavna knjiga, pomožne poslovne knjige pa so analitične evidence in druge pomožne knjige, vse pa se lahko vodi na papirju ali v preverjenem računalniškem programu. Pri tem pa standardi izrecno določajo, da je treba knjigovodske listine, nastale na podlagi računalniškega obravnavanja podatkov hraniti na nosilcih podatkov in v obliki, ki omogoča ponovno predstavitev v prvotni nespremenjeni obliki. V tem primeru pa je potrebno hraniti tudi zbirko listin o ustreznih računalniških programih, ki omogoča kasnejše preverjanje (prav tam, 56). Na podlagi pravilno sestavljenih knjigovodskih listin knjižimo podatke v poslovne knjige. Natančno je opredeljevanje poslovnih knjig, urejanje kontov v njih, vpisovanje podatkov in hramba poslovnih knjig opredeljena v SRS 22. Ta standard pravi, da se v računalnik vnašajo knjigovodski podatki o poslovnih dogodkih po časovnem zaporedju in shranjujejo v datotekah. V takšnih okoliščinah se lahko dnevnik glavne knjige združuje z dnevnikom razčlenjevalnih razvidov oziroma analitičnih evidenc, če so vpisi enkratni. Pri računalniškem vodenju glavne knjige se uporabljajo preverjeni računalniški programi. Knjigovodski podatki, vneseni v računalniški dnevnik, se samodejno uvrščajo v ustrezne konte v datotekah. Podatki se vnašajo v glavno knjigo na enem ali več mestih, na katerih nastajajo poslovni dogodki. Računalniško vodena glavna knjiga mora kadarkoli omogočati kontroliranje knjiženja, pa tudi prikaz katerega koli konta ali celotne glavne knjige na zaslonu oziroma odtis na papirju. Tudi pomožne poslovne knjige se lahko vodijo računalniško. Standard opredeljuje, da vsak začetni vnos v računalniško vodene pomožne
16
poslovne knjige mora biti podprt z verodostojno knjigovodsko listino, čeprav je ta zgolj v elektronski obliki, nato pa se podatki obravnavajo samodejno, brez ročnega poseganja. Podatki se lahko vnašajo v pomožno poslovno knjigo z enega ali več krajev, vnašajo pa se hkrati v analitične evidence in na konte glavne knjige. Računalniško vodene pomožne poslovne knjige morajo kadarkoli omogočati kontroliranje knjiženja in sprotno usklajevanje s ustreznimi konti glavne knjige, pa tudi prikaz kateregakoli konta in/ali celotne pomožne knjige na zaslonu oziroma odtis na papirju (Lutar-Skerbinjek 2003, 57). Glede hranjenja poslovnih knjig standardi pravijo, da se pisni odtisi glavne knjige in dnevnika praviloma hranijo trajno, vendar pa lahko podjetje ob upoštevanju ustreznih predpisov samo določi, po kolikšnem času od dneva sprejetja in potrditve računovodskih izkazov bo hranilo poslovne knjige na elektronskem nosilcu, izvirne knjige pa uničilo (prav tam, 58).
17
4 ZAHTEVE GLEDE VARNOSTI ELEKTRONSKEGA POSLOVANJA V RAČUNOVODSTVU
Ob prehodu v informacijsko družbo se vedno več poslovanja odvija elektronsko, tako v privatnem, kot v javnem sektorju in njunem medsebojnem poslovanju. Elektronsko poslovanje v javni upravi poteka tako interno, torej znotraj organov, kot tudi med organi in hkrati z zunanjimi subjekti, ki so lahko končni uporabniki oziroma državljani in podjetja v privatnem sektorju. Elektronski svet in nevarnosti v njem prav nič ne zaostajajo za fizičnim. Samo v Nemčiji je bilo leta 2002 na področju elektronskega poslovanja 57.000 kriminalnih primerov. Poleg tega pa se zaradi hitrosti poslovanja in predvsem prenosa podatkov nevarnost v elektronskem svetu širi veliko hitreje kot v fizičnem svetu. In nenazadnje, stroški, ki nastanejo kot posledica določene realizirane nevarnosti, so pogosto vrtoglavi (Dečman 2004, 221). Za sodobno poslovanje je potrebna informacijsko komunikacijska infrastruktura, ki jo je slovenska uprava in drugi državni organi razvijala v zadnjem desetletju. Posebej pomembno je Hitro Komunikacijsko Omrežje - ali skrajšano HKOM. Gre za prostrano omrežje, ki je zasnovano za prenos podatkov med posameznimi zaključenimi celotami - državnimi organi in drugimi organi javne uprave ter med posameznimi končnimi uporabniki in centralnim sistemom aplikativnih in podatkovnih strežnikov in storitev. Omrežje HKOM je zasebno omrežje zaprtega tipa, zaščiteno in varovano s profesionalno programsko in strojno opremo priznanih svetovnih proizvajalcev (Ministrstvo za javno upravo 2007). Nedavna analiza je pokazala, da lahko pričakujemo, da bodo evropska podjetja v naslednjih štirih letih zaradi nezaželene pošte izgubila 85 bilijonov Evrov. Zato se proti nevarnostim borimo na različne načine in eden od teh je tudi uporaba infrastrukture javnih ključev, digitalnih podpisov ali šifriranja podatkov (Dečman 2004, 221). 4.1 Varnost v elektronskem svetu1 E-uprava, kot nova oblika uprave in upravljanja, se vsakodnevno srečuje z novimi izzivi. Večina držav že izvaja različne strategije in akcijske načrte, politiki obljubljajo boljše življenje v novi družbi. Uporabniki ob poslušanju in spoznavanju pričakujejo veliko. Če bodo storitve, ki jih ponuja e-uprava, zadovoljile njihove potrebe, jih bodo tudi uporabljali. Sicer bo ves trud zaman. Zatorej je vse odvisno od uporabnikov. Storitve morajo biti učinkovite, hitre, preproste za uporabo in varne. Uporabniki morajo zaupati v mehanizme, ki storitve podpirajo. Zato mora e-uprava skrbno preučiti in uporabiti najbolj napredne, a hkrati zanesljive varnostne tehnologije, da si pridobi zaupanje uporabnikov in uspe kot ponudnik e-storitev. 1
Danes je doseganje varnosti v računalniških okoljih še bolj zahtevno kot v preteklosti, saj so: • računalniki med seboj bolj povezani in s tem bolj ranljivi,
1 Povzeto po Dečmanu (2004, 222-224).
18
• vedno več ljudi je računalniško pismenih, tudi takih s slabimi nameni, • dostop do tehnologije za uničevanje varnostnih pregrad je enostaven, • vedno več informacij se pretaka po omrežjih in vse je težko ustrezno zaščiti, • podatki so veliko vredni in s tem bolj mamljivi za nepridiprave. • i Varnostna strategija e-uprave lahko temelji na znanem diagramu zagotavljanja varnosti. Z zavedanjem o obstoječih nevarnostih je mogoče zaznati nevarnost, ko se le-ta pojavi. S takojšnjim reagiranjem lahko zmanjšamo učinek in izgube. Z reševanjem problema nevarnost odpravimo in s preprečitvijo onemogočimo ponovno kritično situacijo. In kako se varnosti še lahko lotimo. Eden od korakov je osveščanje in izobraževanje. V primeru e-uprave to ni samo osveščanje zaposlenih v upravi, torej tudi vseh tistih, ki z upravo sodelujejo, torej državljanov in privatnega sektorja. Poleg osveščanja je potrebno zagotoviti zaupanje v e-storitve uprave, kajti brez zaupanja uporabniki teh storitev ne bodo uporabljali. Če je e-uprava varna in ji uporabniki zaupajo to vsekakor pozitivno vpliva na računovodstvo. Hitreje komuniciramo prek e-uprave. Možnost napak, tako tipkarskih, kot računskih (vgrajene kontrole) je manj. Vse skupaj je bolj pregledno. Vpogled v računovodske informacije imamo praktično 24 ur. Za doseganje varnosti uporabljamo pravne okvire. O večini smo že govorili. To so Zakon o elektronskem poslovanju in elektronskem podpisu, Zakon o varstvu osebnih podatkov ter Zakon o varstvu in zaščiti intelektualne lastnine. Vsi vplivajo na računovodstvo. Zakon o elektronskem poslovanju in elektronskem podpisu vpliva tako, da je računovodstvo bolj učinkovito in produktivno in z manj stroški. Zakon o varstvu osebnih podatkov zagotavlja visoko stopnjo varovanja podatkov pri elektronskem poslovanju v računovodstvu slovenskih pravnih oseb z javno upravo in drugimi udeleženci, ter upošteva določila, ki jih vsebuje Zakon o varovanju osebnih podatkov. Zakon o varstvu in zaščiti intelektualne lastnine se nanaša na zaščito računovodskih programov. Pravna pravila so bistvena in prispevajo k temu, da udeleženi subjekti elektronskemu poslovanju zaupajo in se nanj zanesejo. Zato je nujno zagotoviti pravno varnost najširše uporabe elektronskega poslovanja v domačem in mednarodnem gospodarstvu. Poleg teh pravil pa k večji varnosti prispevajo tudi tehnični mehanizmi za varovanje podatkov. Zaščita preprečuje neregistriranim uporabnikom dostop do virov sistema (programov, podatkov), preprečuje notranjim uporabnikom izvajanje nelegalnih posegov v sistem ter preprečuje izvajanje raznih sumljivih storitev, ki bi lahko kakorkoli škodovale sistemu (na primer virusi). Mehanizmi, ki omogočajo vzdrževanje varnosti so: • Overitev: Brez poprejšnje overitve (preko registracije, prijave) uporabnik ne more
dostopiti do virov sistema. Uporabnik se lahko prijavi z uporabniškim imenom ter geslom, digitalnim potrdilom, šiframi PIN, z žetoni, pametnimi karticami in podobnimi načini.
• Avtorizacija: (preverjanje upravičenosti dostopa): Registriranim uporabnikom se dodeli nivo dostopa, določi se, do katerih objektov in virov smejo dostopati in do katerih ne. Avtorizacija se omogoči s kontrolo dostopa do določenega vira na podlagi seznamov pooblaščenih ali pa tudi s filtriranjem in šifriranjem podatkov.
19
• Spremljanje, sledenje in nadzor uporabnikov: Omogoča spremljati kdo ob določenem času dostopa do sistema in kaj počne ter omogoča odkrivati nedovoljene posege v sistem. Izvaja se na nivoju operacijskega sistema z orodji za spremljanje in z dnevniki transakcij.
• Varovanje omrežja in preprečevanje vdorov z odkrivanjem vdorov in poskusov vdora: Izvaja se z uvedbo požarnega zidu, z dnevniki, poročili in alarmiranjem ob nevarnostih vdora. • Zaščita proti virusom s protivirusnimi programi: Omogoča odkrivanje, odstranjevanje
virusov, pregledovanje in filtriranje vsebine, ki prihaja v sistem iz svetovnega spleta ter dobro odzivnost in podporo uporabnikom (nadgradnjo z novimi profili virusov).
• Administracija in vzdrževanje nivoja zaščite: Vzdrževanje varnostnih kopij podatkov omogoča možnost restavriranja na stanje pred izpadom ali pojavom napak v sistemu.
• Šifriranje podatkov na nivoju aplikacije: Omogoča zašito vsebine spletnih strani ter zaščito in šifriranje sporočil ob prenosu skozi medij. Sporočila se šifrirajo z uporabo javnih in zasebnih ključev (Guček, 2005, 6-7).
4.2 Stanje v e-upravi Slovenije Slovenska javna uprava je eden večjih zaključenih sistemov v okviru infrastrukture javnih ključev, ki je že začel uvajati elektronsko poslovanje na podlagi infrastrukture javnih ključev in pripadajoče zakonodaje, ki je v Sloveniji v veljavi. Slovenska državna uprava je nedavno začela ponujati prve storitve, ki temeljijo na infrastrukturi javnih ključev, in državljanom, delavcem v javni upravi, privatnim organizacijam in drugim omogočila pridobitev digitalnih potrdil in njihovo uporabo. Danes lahko državljani oddajo vlogo za pridobitev digitalnega potrdila že na vsaki upravni enoti.ii
Storitve, ki so na voljo v slovenski e-upravi zahtevajo uporabo kvalificiranega digitalnega potrdila. Pomembno je, da je v skladu z zakonom overitelj vpisan v Register overiteljev digitalnih potrdil. Zaenkrat so to le štirje overitelji in sicer: • Overitelj na Centru Vlade za informatiko, ki izdaja kvalificirana digitalna potrdila za
fizične (brezplačno) in pravne osebe preko overitelja SIGEN-CA in za institucije v upravi preko overitelja SIGOV-CA;
• Služba HALCOM-CA pri podjetju Halcom informatika d.o.o., ki izdaja spletna digitalna potrdila za pravne osebe in njihove pooblaščene zaposlene in fizične osebe, registrirane za opravljanje dejavnosti;
• NLB-CA pri Novi ljubljanski banki d.d., ki izdaja spletna digitalna potrdila za fizične osebe ter zaposlene pravne in fizične osebe, registrirane za opravljanje dejavnosti;
• POŠTA-CA pri Pošti Slovenije d.o.o., ki izdaja digitalna potrdila tako fizičnim in pravnim osebam kot tudi strežniškim sistemom.
Po zadnjih podatkih Centra vlade za informatiko je bilo s strani njihovega overitelja izdanih okoli 3000 digitalnih potrdil za zaposlene v upravi (SIGOV-CA) in okoli 21000 digitalnih potrdil za uporabnike (SIGEN–CA), to je državljane ali pravne osebe. Evropska unija je v septembru 2003 objavila poročilo, v katerem navaja, da je bilo v Sloveniji izdanih 90000 kvalificiranih digitalnih potrdil, s katerimi je mogoče poslovati z e-upravo
20
in še dodatnih 20000 na podlagi pogodb za privatni sektor in elektronsko bančništvo. Glede na objavljene podatke iz ostalih držav evropske unije je Slovenija po številu izdanih potrdil, ki omogočajo poslovanje z e-upravo, med prvimi v Evropi (Dečman 2004, 228-229). Slovenska uprava je na dobri poti k ponujanju varnih e-storitev svojim strankam kot tudi uveljavljanju e-poslovanja znotraj uprave. Dobre pravne podlage, ustrezna varna infrastruktura, povezani organi v upravi in dobra varnostna politika so pogoj varnega poslovanja v upravi. Še več dela na tem področju pa jo čaka v prihodnosti, saj so potrebna dodatna usklajevanja različnih pravnih aktov, izobraževanje tako zaposlenih kot uporabnikov na področju varnosti, povezava prav vseh organov javne uprave in modernizacija različnih podatkovnih baz, registrov in aplikacij s pomočjo najmodernejših varnostnih standardov in tehnologij (Dečman 2004, 234). Davčna uprava ima poskrbljeno za varnost po najvišjih merilih elektronskega poslovanja. Po njej bi se morali zgledovati tudi ostali organi javne uprave. Občinski sistemi so najmanj varni. Na računalnikih zaposlenih večina občin nima instaliranih operacijskih sistemov, na katerih je mogoče zaščititi dostop do računalnikov z uporabniškim imenom in geslom. Na računalnikih zaposlenih so nameščeni operacijski sistemi MS DOS, MS Windows 95, MS Windows 98 ali MS Windows 2000 ME. Precej podatkov si referenti v občinski upravi izmenjujejo kar po telefonu, v pisni obliki ali z elektronskim komuniciranjem po elektronski pošti brez uporabe digitalnega podpisovanja dokumentov. Referenti v določenih primerih kršijo pravilnik o varovanju osebnih podatkov in izdajo podatke nepooblaščenim osebam, saj ni v elektronskih evidencah nobenega ugotavljanja, kdo je določene podatke pregledoval in kakšen je bil namen pregledovanja. Na občinah uporabljajo več programskih rešitev, do katerih dostopajo s pomočjo uporabniškega imena in gesla. Gesla kar zalepijo na monitor svojega računalnika. Večina občin tudi ne uporablja notranjih navideznih omrežij, ki bi zaščitila dostope do strežnikov tistim, ki niso v pravem omrežju. Večina občin nima požarnega zidu, ki bi jih varoval pred nepooblaščenimi dostopi iz drugih omrežij ali iz Interneta. Večina občin nima uvedene ustrezne protivirusne zaščite. Nekatere občine nimajo skupnega datotečnega strežnika za shranjevanje skupnih podatkov in datotek, pač pa ima vsak zaposleni svoje podatke in datoteke na svojem strežniku, zato je varovanje oteženo, saj si zaposleni podatke izmenjujejo tako, da omogočijo dostop do podatkov v svojih mapah sodelavcem prek računalniškega omrežja, ali si izmenjujejo datoteke kar prek disket. Prav tako nimajo izdelanih evidenc o namestitvah strojne, sistemske in aplikacijske programske opreme. Skupni občinski strežniki in računalniki zaposlenih so zelo slabo zaščiteni pred vdori, ker sistemski administratorji ne nameščajo zadnjih varnostnih dodatkov, ki jih ponuja proizvajalec sistemske programske opreme. Varnostna politika občin je slaba, potrebno je izdelati ustrezna priporočila za boljšo varnost (Ministrstvo za informacijsko družbo 2007). Stanje e- uprave ob koncu 2005 Dogajal se je kontinuiran napredek. Po stopnji uvedenosti e-storitev uprave smo bili v zgornji polovici evropskih držav, še v združbi petnajsterice, presegli smo 70%. Vendar se je vseskozi, kljub precejšnjim pozitivnim premikom in rezultatom ugotavljalo, da e-uprava le nima nekega jasnega koncepta, da se ne razvija vedno tistih storitev, ki so dejansko najpotrebnejše, da so problemi pri stopnji uporabe že izdelanih in objavljenih e-storitev na
21
portalu e-uprava. V ta namen je bil, v drugi polovici leta 2004, vzpostavljen še projekt Merjenje zadovoljstva strank e-uprave, ki naj bi objektivno in konkretno zagotovil povratne informacije razvijalcem e-uprave, kaj si stranke dejansko želijo, in opozoril na nekatere probleme, pasti ter ponudil tudi mednarodne primerjave. In kje smo bili ob koncu leta 2005? Če pogledamo konkretno stopnjo uvedbe e-storitev naše uprave, ugotovimo relativni padec, sploh v primerjavi z drugimi evropskimi državami. Stranke naše e-uprave v letu 2005, z izjemo končanja projekta, ki se je začel že prej: e-Vem (enotna vstopna točka za registracijo in poslovanje podjetnika posameznika), in ponudbe dvanajstih obrazcev za komuniciranje z občinami, niso dobile nobene nove e-storitve. Strokovno gledano bi bilo treba pripraviti in sprejeti tudi novo strategijo e-poslovanja slovenske uprave (kam gremo?) in akcijski načrt (s čim bomo strategijo uresničili?), ki bi predstavljala glavne temelje letnim načrtom informatizacije slovenske uprave. Hkrati bi bilo treba začeti s konkretno prenovo poslovanja upravnih organov (in seveda slovenske uprave kot celote) kot neizpodbitno potrebne osnove za razvoj naše e-uprave. Le na ta način bi razvili in vzpostavili vse dejansko potrebne in s strani strank pričakovane e-storitve, tudi tiste z najvišjo stopnjo 4 ali celo 5, ki jih praktično nimamo in ki strankam v bistvu prihranijo največ. V ozadju pa se ves čas nekako le ne moremo znebiti občutka, da je slovenska e-uprava do sedaj ponujala predvsem tiste e-storitve, za katere ni bila potrebna neka globlja in celovitejša prenova poslovanja, pa tudi informacijske rešitve so bile enostavnejše (Colnar 2006, 175-176). 4.3 Ugotovitve četrtega poglavja Zagotoviti varnost je zelo pomembno, čeprav je zahtevno, saj s tem pridobimo zaupanje in uspemo kot ponudnik e-storitev. Na razpolago so različne e-storitve svojim uporabnikom. Da so pa storitve res varne morajo imeti overitelje, ti pa so vpisani v Register overiteljev digitalnih potrdil. Pri elektronskem poslovanju v računovodstvu ločimo tehnično varovanje podatkov (različni mehanizmi, ki omogočajo vzdrževanje varnosti) in pravno zaščito, ki jo vzpostavljajo zakonodajni organi. Vsi organi v e-upravi nimajo enako varnih storitev, najslabše varovani podatki so v občinah. Vse več je izdanih potrdil, zaupanje in uporabniki naraščajo. A vseeno ob koncu leta 2005 imamo relativni padec e-storitev v primerjavi z drugimi evropskimi državami, zato bi bilo potrebno sprejeti novo strategijo slovenske uprave in akcijski načrt, s katerim bomo strategijo uresničili.
22
5 TEHNOLOGIJE ZA VARNE IN NADZOROVANE TRANSAKCIJE 5.1 Kriptografija ( šifriranje in dešifriranje) Šifriranje je pretvorba podatkov v obliko, ki je nepooblaščena oseba ne more razumeti. Dešifriranje je obratni proces, ki pretvori šifrirane podatke v original, ki je razumljiv vsakomur. Moderna kriptografija, ki se uporablja danes, temelji na sodobnih tehnologijah in metodah, ki omogočajo: varen prenos podatkov, overjanje (dokazovanje istovetnosti osebe, ki je poslala sporočilo), celovitost (zagotavljanje, da sporočilo ni bilo spremenjeno), nadzor nad dostopom in nezatajljivost (preprečevanje tajenja poslanega sporočila). Uporaba kriptografije nam seveda ne zagotovi popolne varnosti. Varnost je zadostna v tem smislu, da so časovne potrebe za razbijanje kode večje od tistih, ki jih ima na voljo napadalec, pa tudi korist je mnogokrat manjša od stroškov zlorabe. Tehnologija ki jo uporabljamo danes, nam zagotavlja kakovostno varovanje podatkov s kombinacijo simetričnih, asimetričnih in zgostitvenih algoritmov (Štebe 2003, 655). 5.1.1 Simetrično šifriranje Prvi način varnega prenosa podatkov omogoča uporaba simetričnega šifriranja, ki temelji na uporabi dveh identičnih ključev. Varnost je zagotovljena le tedaj, ko vsak svoj ključ posedujeta le pošiljatelj in prejemnik sporočila. V primeru tretjega ključa bi navidez varno sporočilo lahko prestregla še ena oseba in z njim prebrala skrito sporočilo. Šibka točka simetričnega šifriranja pa ni le skrbno varovanje skrivnega ključa. Ker se morata za skupni ključ dogovoriti obe strani (pošiljatelj, prejemnik), se z večanjem števila uporabnikov zveča tudi število ključev. Tako pride do kopičenja ključev, ki lahko znatno obremeni pomnilnik, če je le-ta vezan na majhno porabo prostora (Štebe 2003, 656). 5.1.2 Asimetrično šifriranje (šifriranje z javnim ključem) Pri simetričnem šifriranju smo uporabili isti ključ tako za šifriranje kot tudi za dešifriranje sporočil. Pri asimetričnem šifriranju pa uporabljamo dva ključa, zasebnega ter javnega. Javni ključi so objavljeni v javnem imeniku, do katerega imajo dostop vsi, s katerimi želimo vzpostaviti šifrirano sejo. Posamezen javni ključ pa je jamčen z digitalnim potrdilom osebe ali institucije, ki ji zaupamo. Zasebni ključ je samo eden in zanj odgovarja njegov lastnik. Ideja asimetričnega šifriranja je preprosta. Posameznik ima dva ključa: z enim podatke šifrira, z drugim pa jih dešifrira. Ni možno, da bi z istim ključem storili oboje. Ta mehanizem omogoča, da se en ključ javno objavi, drugega pa se shrani v tajnosti. Na ta način lahko različni ljudje z enim javnim ključem šifrirajo različna sporočila, dešifrira pa jih lahko samo lastnik pripadajočega zasebnega ključa.
23
Prednost asimetričnih algoritmov pred simetričnimi je relativna enostavnost izmenjave oziroma dostopnost do javnih ključev, saj so ti dostopni ostalim uporabnikom. Vendar pa so asimetrični algoritmi računsko precej bolj zahtevni in zato počasnejši kot simetrični algoritmi. Zato se sodobni kriptirni sistemi poslužujejo tako simetričnih kot asimetričnih algoritmov: z asimetričnim algoritmom se opravi overjanje in izmenjava simetričnega ključa, šifriranje podatkov pa poteka s simetričnim algoritmom (Štebe 2003, 656-657). 5.1.3 Digitalni podpis Digitalni podpis je elektronski podpis, ki ga lahko uporabimo pri overitvi identitete pošiljatelja sporočila ali podpisnika dokumenta in zagotavlja, da originalna vsebina sporočila ni bila spremenjena. Pod pojmom digitalni podpis najpogosteje razumemo povzetek dokumenta z zgostitvenim algoritmom (hash), šifriran z avtorjevim zasebnim ključem po asimetričnem algoritmu (Štebe 2003, 657). Digitalni podpis nekega elektronskega dokumenta je narejen tako, da se najprej po posebnem postopku naredi » seštevek« dokumenta, to število pa je potem zašifrirano z zasebnim ključem podpisnika. Ker svoj zasebni ključ pozna izključno samo podpisnik (lastnik digitalnega potrdila) je to jamstvo, da je podpis res njegov. Tako lahko danes s pomočjo digitalnega podpisa zagotovimo tajnost, celovitost in verodostojnost (Dečman 2004, 225). Prednost digitalnega podpisa v primerjavi z lastnoročnim podpisom je v tem, da zagotavlja neokrnjenost podpisanega dokumenta. Najmanjša sprememba dokumenta, pa naj bo le dodana vejica v tekstu, povzroči, da podpis ni več veljaven. Digitalni podpis se od elektronskega razlikuje po tem, da je izdelan s pomočjo asimetrične kriptografije. Kdor podpis preverja, uporabi javno objavljeni javni ključ in ugotovi ali je dokument še vedno v obliki, kakršno je podpisnik podpisal. Težava nastane, ko mora prejemnik sporočila ugotoviti, ali za preverjanje uporabljeni javni ključ res pripada podpisniku. Rešitev je v digitalnem potrdilu, ki vsebuje javni ključ, njegovo verodostojnost pa potrdi zaupanja vredna tretja oseba (prav tam, 225). Elektronski podpis je v e-poslovanju nadomestek lastnoročnega podpisa in je namenjen preverjanju pristnosti podatkov ter identifikaciji podpisnika. Elektronski podpis je splošni izraz za vse vrste elektronsko narejenih podpisov (Turban in King 1998, 311-313). 5.2 Digitalno potrdilo Ena najbolj razširjenih tehnologij za zagotavljanje varnostnih funkcij je tako danes infrastruktura javnih ključev – IJK, ki temelji na asimetrični kriptografiji in digitalnih potrdilih. Namen digitalnih potrdil je v splošnem naslednji: • uporabniki šifrirajo podatke, • varno pošiljanje e-pošte,
24
• varno spletno komuniciranje in • digitalno podpisovanje, ki predstavlja sodobno alternativo klasičnemu podpisu
(Dobnikar, Žužek 2000, II-24). Rešitve za varnost in zasebnost pri elektronskem poslovanju in komuniciranju, ki jih nudijo digitalna potrdila: • zaupnost, ki je zagotovljena s šifriranjem podatkov, • avtentikacijo pošiljatelja, zagotovljeno z digitalnim podpisom, • nezatajljivost lastništva poslane informacije oz. pošiljatelja in • celovitost sporočila, kar pomeni, da samo del sporočila ni bil spremenjen ali drugače
popravljen brez vednosti pošiljatelja (prav tam, II-24). Šifriranje podatkov zagotavlja zaupnost in nadzor nad dostopom, digitalni podpis na nedvoumno identiteto, nezatajljivost lastništva in neokrnjenost podatkov v elektronski obliki. Digitalno potrdilo je tako identifikacijski dokument digitalnega sveta, tako kot je npr. osebna izkaznica identifikacijski dokument analognega sveta (Dečman 2004, 225). V okviru overitelja na Centru vlade za informatiko (CVI) delujeta dva (kvalificirana) izdajatelja digitalnih potrdil: SIGOV-CA in SIGEN-CA. Prvi izdaja digitalna potrdila uporabnikom v državni oz. javni upravi, drugi pa je namenjen izdajanju digitalnih potrdil fizičnim osebam in poslovnim subjektom. Vladni overitelj SIGOV-CA overja kvalificirana digitalna potrdila, za katera veljata najvišja stopnja varovanja in načelo tajnega kodiranja, in deluje v skladu z Zakonom o elektronskem poslovanju in elektronskem podpisu ter s politiko delovanja overitelja. Overitelj oz. izdajatelj digitalnih potrdil predstavlja organizacijo, ki ji imetniki digitalnih potrdil zaupajo in ga pooblaščajo, da upravlja z njihovimi digitalnimi potrdili (Kričelj 2002, 37-38). Digitalna potrdila SIGOV- CA so namenjena: • za upravljanje s podatki javne uprave, • za dostop in izmenjavo podatkov, s katerimi upravlja javna uprava, • za varno elektronsko komuniciranje med imetniki kvalificiranih digitalnih potrdil
overitelja na ministrstvu za javno upravo in • za storitve oz. aplikacije, za katere se zahteva uporaba digitalnih potrdil overitelja na
ministrstvu za javno upravo (Ministrstvo za javno upravo 2007). Fizičnim osebam je bilo do tedaj izdanih približno 3000 potrdil, poslovnim subjektom in javni upravi pa skupaj približno še enkrat toliko. Oba izdajatelja sta mednarodno registrirana in medsebojno priznana ter tehnološko in zakonsko enakopravna. Overitelj prejema zahteve za izdajo digitalnih potrdil, izvaja ustrezno identifikacjo bodočih imetnikov, izdaja digitalna potrdila in skrbi za register izdanih potrdil, saj so informacije o izdanih potrdilih javnega značaja. Overitelj prav tako skrbi za preklic digitalnih potrdil in informacije o preklicih osvežuje v registru preklicanih potrdil, ki je prav tako javnega značaja. Overitelj, ki izdaja kvalificirana potrdila, zanesljivo ugotovi ter preveri identiteto in druge pomembne lastnosti osebe, ki naroča izdajo potrdila. Takšno identifikacijo lahko izvajajo overitelji, v njihovem imenu pa tudi pooblaščene prijavne službe. Število storitev se neprestano povečuje. Zanimivo je omeniti tudi podatke, ki se navezujejo na zahtevke za
25
preklic digitalnih potrdil. Le teh je v Sloveniji bilo že kar nekaj, vendar je šlo v večini primerov za samo izgubo digitalnega potrdila (pozabljeno geslo, težave z računalnikom) (Certifikatna agencija 2007). 5.3 Pametna kartica Pametne kartice so trenutno najvarnejša tehnologija za shranjevanje kvalificiranih digitalnih potrdil. Pametna kartica je »mali računalnik«, zasnovan na kriptografskih vezjih. Zasebni ključ je varno shranjen na kartici in je nikoli ne zapusti - tudi ko podpisujemo ali dešifriramo podatke, saj šifriranje in digitalno podpisovanje poteka v mikroprocesorju na sami kartici. Dostop za uporabo pametne kartice je zaščiten z geslom (PIN koda), ki uporabniku ne omogoča dostopa do zasebnega ključa ampak zgolj do digitalnega podpisovanja (Certifikatna agencija 2007). 5.4 Prepoznavanje obraza Je ena najboljših in najbolj zanesljivih tehnologij za registracijo osebe. Najnovejše tehnologije že razlikujejo obraz od trenutnega videza osebe - oseba lahko nosi očala ali pa zamenja pričesko, program pa napake ne javi (CVI 2001, 69). 5.5 Požarni zid Uporablja se kot vmesnik za komunikacijo: 1. iz zunanjega sveta navznoter v naš sistem. Omogoča zaščito zasebnega omrežja in
podatkov pred uporabniki drugih omrežij, blokiranje določenih zunanjih dostopov oziroma domen, filtriranje vsebine, ki jo uporabniki zahtevajo in odločanje o tem, ali jo posredovati naprej ali ne.
2. iz našega sistema navzven v zunanji svet. Omogoča filtriranje podatkov, anonimnost uporabnikov za zunanji svet, omogočanje varnega dostopa do zunanjih virov (interneta), presoja, do česa smejo uporabniki dostopati in do česa ne.
Požarni zid poleg naštetega postavlja mejo med ravnmi spletnega strežnika. Tako so javne spletne strani organizacije izza, intranetni strežniki in intranetno računalništvo pa znotraj požarnega zidu. Požarni zidovi omogočajo vodenje dnevnikov in kreiranje sporočil ter avtomatsko alarmiranje ob nevarnostih ter imajo grafični vmesnik za upravljanje. Bistvena funkcija požarnega zidu je preprečevanje komunikacije z določenimi naslovniki in preprečevanje določenega tipa prometa. Glede na način pregledovanja in omejevanja prometa ločimo več vrst požarnih zidov (CVI 2001, 69).
26
5.6 Ugotovitve petega poglavja Za zagotovitev omenjenih varnostnih storitev so na voljo različne tehnologije. Njihova izbira je odvisna od zahtevanih varnostnih storitev, stopnje zaščite in oblike sistema. Kriptografija nam omogoča kakovostno varovanje podatkov s kombinacijo simetričnih, asimetričnih in zgostitvenih algoritmov. Digitalna potrdila omogočajo šifriranje in digitalno podpisovanje. Dva kvalificirana izdajatelja na Centru vlade za informatiko sta SIGOV-CA in SIGEN-CA. Vladni overitelj je SIGOV-CA. Za potrdila od tega izdajatelja velja najvišja stopnja varovanja in načelo tajnega kodiranja, predstavlja pa organizacijo, ki ji imetniki digitalnih potrdil zaupajo in ga pooblaščajo, da upravlja z njihovimi digitalnimi potrdili. Pametna kartica je trenutno najvarnejša tehnologija za shranjevanje kvalificiranih digitalnih potrdil. Poznamo pa še prepoznavanje obraza in požarni zid. Največ se uporabljajo digitalna potrdila in asimetrično šifriranje. To je že kar uveljavljen način za doseganje varnosti. V prihodnje bo pa še bolj pridobival na pomenu.
27
6 VAROVANJE IN ZAŠČITA PODATKOV V prihodnosti bo področje varovanja in zaščite nedvomno eno izmed najbolj aktualnih in zanimivih, pri čemer ne smemo pozabiti tudi veliko zahtevnost tega področja, saj bo potrebno vložiti velike napore za obvladovanje celotnega sistema varovanja in zaščite. Pomembno vlogo pri zagotavljanju varnosti in zaščite v javni upravi ima Center Vlade RS za informatiko, v okviru katerega deluje Služba za varovanje in zaščito. S svojim delovanjem si na tem področju prizadeva vzpostaviti politiko varovanja in zaščite ter z njenim izvajanjem in spremljanjem zagotoviti varno izvajanje storitev in uporabo virov informacijske infrastrukture državne in javne uprave vključno s informacijskim sistemom Centra Vlade RS za informatiko (CVI 2001, 53). 6.1 Zaščita in zaupnost podatkov Zaščita preprečuje dostop do virov sistema (programi, podatki) neregistriranim uporabnikom, notranjim uporabnikom izvajanje nelegalnih posegov v sistem ter preprečuje izvajanje raznih sumljivih storitev, ki bi lahko kakorkoli škodovale sistemu (npr. virusi). Zaupni podatki so zasebna last, ki je namenjena uporabi le določenemu krogu ljudi. Ustrezna zaščita sistema nam omogoča ohraniti podatke zaupne. Varnost in zanesljivost sta v omrežju slovenske uprave ključnega pomena. Treba se je zavedati, da je le 20% zlorab izvedenih od zunaj, za 80% pa so odgovorni interni uporabniki sistema. Varnost sistema in zaupnost podatkov lahko ogrozijo zlonamerni programi, katerih osnovni namen je, da povzročajo škodo. Vdori v sisteme so tudi pogost vzrok rušenja integritete sistema, zgodijo pa se na podlagi različnih motivov. Najpogostejši motivi so vandalizem, radovednost, vohunstvo, denarna dobrobit, slava in ponos ter razkrivanje dejstev ter skrunjenje sistemov. Varnost sistema lahko ogrozijo tudi posegi s strani internih uporabnikov zaradi osebnega nezadovoljstva ali npr. pridobitniških motivov (CVI 2001, 54-55). Posledice ob nelegalnih posegih v sistem so lahko pogubne za organizacijo ali za sistem sam. V sistemu lahko pride do nezanesljivega delovanja, slabše odzivnosti ali modificiranih oz. izgubljenih podatkov. Organizacija lahko ob nelegalnem posegu izgubi zaupnost podatkov, njene stranke oz. uporabniki postanejo nezaupljivi, tako pa izgubi ugled in denar. V svetu obstajajo različne oblike boja proti korupciji. Korupcijo kot kriminalno dejanje kaznujejo po kazenskem zakonu. To je ena možnost, vendar ni zadostna. Ponekod so ustanovili posebne vladne urade za boj proti korupciji, ki imajo preventivno funkcijo, saj z različnimi akcijami v javni upravi poskušajo vplivati na ustreznejše ravnanje javnih uslužbencev. Tretji pristop pa je globalen, in pomeni oblikovanje etične infrastrukture, ki vključuje nadzorne in prevencijske mehanizme. Pomembna oblika boja proti korupciji je ustrezno ravnanje s človeškimi viri. Dobro vodenje, urejen pravni status javnih uslužbencev, ustrezne delovne razmere in sistem plač, ki je primerljiv z zasebnim sektorjem, čvrst nadzor, vse to v povezavi z etičnimi načeli zmanjšuje možnosti korupcije v javni upravi (Brejc 2002, 81). Čeprav je uvedba zaščite nujna, prinaša nekaj nevšečnosti. Z uvedbo zaščite imamo višje stroške, uporaba je zahtevnejša, predvsem pa se zmanjša zmogljivost in fleksibilnost
28
sistema, pri čemer se poslabša tudi njegova odzivnost. Ob uvajanju zaščite je potrebno vedeti, da popolna zaščita ne obstaja in je ni mogoče doseči (kar je mogoče zakleniti, je možno tudi odkleniti) (CVI 2001, 54-55). 6.1.1 Varstvo osebnih in tajnih podatkov2 Varstvo osebnih podatkov se v literaturi označuje tudi s pojmom informacijska zasebnost, torej kot del človekove zasebnosti. Zakonska ureditev varstva osebnih podatkov Namen Zakona o varstvu osebnih podatkov je preprečiti nezakonite in prekomerne posege v zasebnost posameznika pri zbiranju, obdelovanju in uporabi osebnih podatkov. Kot osebni podatek opredeljuje vsak podatek, ki kaže na lastnosti, stanja ali razmerja posameznika ne glede na obliko, v kateri je izražen. Uporablja se za vse zbirke osebnih podatkov ne glede na to, kdo je njihov upravljalec: pravna ali fizična oseba oz. civilnopravna ali javnopravna oseba. Pravice posameznika, ki mu jih daje Zakon o varstvu osebnih podatkov, se lahko tudi omeji, vendar le izjemoma, če tako določi zakon, zlasti za potrebe nacionalne varnosti obrambe, javne varnosti, preprečevanja in odkrivanja kaznivih dejanj ali varstva pravic drugih. Nadzorstvo nad izvajanjem Zakona o varstvu osebnih podatkov in drugih zakonov, kolikor se nanašajo na zbiranje osebnih podatkov, opravlja inšpektorat za varstvo osebnih podatkov, ki deluje v sestavi Ministrstva za pravosodje. Kot neodvisno institucijo za varstvo osebnih podatkov Zakon o varstvu osebnih podatkov določa Varuha človekovih pravic. Ta lahko svetuje v zadevah, k se nanašajo na obdelavo osebnih podatkov in sodeluje v postopkih sprejemanja predpisov, ki urejajo varstvo osebnih podatkov, obravnava in preiskuje pobude in predloge glede varstva osebnih podatkov, spremlja delo inšpektorata in predlaga ukrepe za izvajanje nadzorstva in pregleduje uresničevanje določb Zakona o varstvu osebnih podatkov. O svojih ugotovitvah enkrat letno poroča Državnemu zboru. Poročilo vsebuje tudi njegove predloge in priporočila za izboljšanje stanja na področju varstva osebnih podatkov. Vključitev v Evropsko unijo zahteva od Slovenije, da zakonodajo na področju varstva osebnih podatkov v celoti uskladi z Direktivo 95/ 46/ ES. Najpomembnejša novost v predlaganem zakonu pa je zapolnitev pravnih praznin glede videonadzora in uporabe biometričnih ukrepov. Videonadzor naj bi bil dopusten tako v javnem kot tudi v zasebnem sektorju, vendar le, kadar je to potrebno za varnost ljudi ali premoženja, zaradi ugotavljanja vstopa ali izstopa v ali iz službenih oz. poslovnih prostorov ali kadar zaradi narave dela obstaja možnost ogrožanja zaposlenih. Podobno pa naj bi veljalo za biometrične ukrepe, kadar bodo uporabljeni v zasebnem sektorju. Njihovo uporabo v javnem sektorju pa bo dopustno določiti le z zakonom.
2 Povzeto po Berčiču in Čebulju (2004, 248-254).
29
Varstvo tajnih podatkov Če je namen varstva osebnih podatkov zagotoviti posameznikovo zasebnost z vidika zbiranja in uporabe podatkov o njem, je namen varstva tajnih podatkov zavarovati v prvi vrsti državo, da določene podatke o njej oz. v zvezi z njenim delovanjem ohrani tajne. To pomeni, da dopusti seznanjenost z njimi samo določenemu, vnaprej opredeljenemu krogu oseb. Za razliko od osebnega podatka, ki je podatek, ki kaže na lastnosti in stanja določenega ali določljivega posameznika, je tajni podatek dejstvo z delovnega področja državnega organa, ki se nanaša na javno varnost, obrambo, zunanje zadeve ali obveščevalno in varnostno dejavnost države, ki ga je treba zaradi razlogov določenih v zakonu zavarovati pred nepoklicanimi osebami in je zato v skladu s pravili, ki jih določa zakon, določeno in označeno kot tajno. Zakonska ureditev Zakonsko ureditev tajnih podatkov in njihovega varovanja ne narekujejo samo notranje potrebe države, temveč tudi zahteve NATA in Evropske unije, katerih članica je Slovenija. Zakon o tajnih podatkih dopušča, da se nek podatek določi kot tajen samo, če je takšen, da bi z njegovim razkritjem lahko nastale škodljive posledice za varnost države ali za njene politične ali gospodarske koristi, nanaša se pa na javno varnost, obrambo, zunanje zadeve, obveščevalno in varnostno dejavnost državnih organov, sisteme, naprave, projekte in načrte, pomembne za javno varnost, obrambo, zunanje zadeve ter obveščevalno in varnostno dejavnost državnih organov ter znanstvene, raziskovalne, tehnološke, gospodarske in finančne zadeve, pomembne za prej naštete funkcije. Glede na stopnjo oz. obseg možnih škodljivih posledic se podatki lahko razvrstijo v štiri stopnje tajnosti: • strogo tajno (če bi bili z razkritjem ogroženi vitalni interesi države), • tajno (če bi razkritje hudo škodovalo varnosti ali interesom države), • zaupno (če bi razkritje lahko škodovalo varnosti in interesom države) in • interno (če bi razkritje lahko škodovalo delovanju ali izvajanju nalog organa). Pravico dostopa do tajnih podatkov imajo lahko samo tiste osebe, ki imajo dovoljenje in se morajo s temi podatki seznaniti zaradi opravljanja funkcije ali delovnih nalog. Dostop imajo le do tistih podatkov, za katere je tako določeno v dovoljenju. Tajnost podatka lahko določi samo pooblaščena oseba (predstojnik organa, pooblaščeni funkcionarji organa in pooblaščene osebe v organu). Podatek, ki se določi kot tajen, mora biti označen s stopnjo tajnosti, z načinom prenehanja tajnosti, s podatki o pooblaščeni osebi in s podatki o organu, kjer se podatek nahaja. Tajnost podatka preneha na določen datum, z nastopom določenega dogodka, s potekom določenega časa ali s preklicem tajnosti.
30
6.2 Ugotovitve šestega poglavja Za obvladovanje celotnega sistema varovanja in zaščite bo potrebno vložiti veliko naporov. Posledice ob nelegalnih posegih v sistem so lahko pogubne za organizacijo ali za sam sistem. Namen Zakona o varstvu osebnih podatkov je preprečiti nezakonite in prekomerne posege v zasebnost posameznika pri zbiranju, obdelovanju in uporabi osebnih podatkov. Namen varstva tajnih podatkov pa je zavarovati v prvi vrsti državo, da določene podatke o njej oziroma v zvezi z njenim delovanjem ohrani tajne. Z naglim razvojem informacijske tehnologije se je razmahnil tudi računalniški kriminal, proti kateremu se borimo na več načinov.
31
7 E- POSLOVANJE RAČUNOVODSKEGA SERVISA Z JAVNO UPRAVO V izbranem računovodskem servisu poslujejo prek elektronskega poslovanja v največji možni meri. Popolnoma zaupajo varnosti in to poslovanje je za njih velika prednost. Imajo približno petdeset strank in za njih opravljajo računovodske storitve. Prednosti elektronskega poslovanja v primerjavi s papirnim poslovanjem so: • hitrejše in preprostejše izpolnjevanje obrazca (z vgrajeno pomočjo in orodji za sprotno
preverjanje), • možnost oddaje dokumenta 24 ur na dan, 7 dni v tednu, brez stroškov za poštnino, • vpogled v želen dokument kadar koli, • prihranek pri papirju (obrazci, fotokopije, kuverte, potrdila…), • prihranek pri arhiviranju oddanih dokumentov, • prenos podatkov neposredno iz računovodskega sistema v izbrani sistem prek spletnih
storitev, • ni možnosti tipkarskih napak, ki nastanejo pri prenosu podatkov s papirnih obrazcev v
informacijski sistem. Vsekakor pa je nujno zagotoviti varnost poslovanja. Uporabljajo več mehanizmov za varnost podatkov. Pomembna pri tem sta tudi ustrezna strojna oprema ter programska oprema. 7.1 Mehanizmi za varnost podatkov: Digitalno potrdilo: Digitalna potrdila morajo imeti ustrezne overitelje. V izbranem računovodskem servisu so se odločili za overitelja Halcom-ca. Uporabljajo vsa navedena digitalna potrdila navedenega overitelja. V okviru tega overitelja ločimo: • Napredna kvalificirana digitalna potrdila za pravne osebe: Ta potrdila so vstopnica v
e-poslovanje z večino bank v Sloveniji, v e-poslovanje z bankami v tujini in v različne portale javne uprave (eDavki, DURS, AJPES, INTRASTAT, Zavod RS za zaposlovanje…).
• Kvalificirana strežniška potrdila za pravne osebe: To potrdilo služi za certificiranje javnih ključev uporabnikov in organizacij, ki imajo veljaven spletni naslov.
• Standardno kvalificirano digitalno potrdilo za fizične osebe: To potrdilo omogoča hitro in preprosto elektronsko opravljanje bančnih storitev in oddajo napovedi za odmero dohodnine na portalu DURS.
• Napredno kvalificirano digitalno potrdilo za fizične osebe: To potrdilo omogoča najvišjo stopnjo zaščite pri elektronskem opravljanju bančnih storitev, seveda pa tudi oddajo napovedi za odmero dohodnine na portalu DURS.
32
Na overiteljevi spletni strani za prevzem digitalnega potrdila je potrebno vnesti obe gesli, prejeti po navadni in elektronski pošti. Sledi prevzem digitalnega potrdila. Digitalna potrdila shranijo na računalnik ali na prenosljiv medij. Antivirusni programi: V izbranem računovodskem servisu so naloženi eno leto, a medtem se ves čas ažurirajo. Ti programi sami preverjajo datoteke. Računalniški virus je posebna vrsta programa, ki se širi s kopiranjem samega sebe v skrivni obliki. Virus lahko povzroči nezaželene stranske učinke v računalnikih, v katerih se je aktiviral. Okužba se širi od računalnika do računalnika in od organizacije do organizacije na veliko načinov. Virusi se lahko širijo pri zagonu računalnika z okuženega medija, pri zagonu okuženega programa, odpiranju okužene datoteke, preko disket ali drugih prenosnih medijev, namenjenih za izmenjavo podatkov, preko priponk elektronskemu sporočilu… Požarni zid: Strežniki so zavarovani z požarnimi zidovi, ti pa preprečujejo nepooblaščene vdore v sistem in vpoglede v datoteke. Uporabljajo Windows XP, v njih pa je vgrajen požarni zid internetne povezave. Ni na voljo kot samostojen izdelek in v drugih različicah operacijskega sistema Windows ali drugih operacijskih sistemih. Prednosti le-tega so: je programska oprema, vgrajena v operacijski sistem Windows XP, ni ga treba nameščati. Pomanjkljivosti so pa da ga ne moremo uporabiti z več računalniki in da je na voljo samo za Windows XP. Pametna kartica: Uporabljajo kartico Halcom. Za pridobitev le-te se vloži vloga, v njej se vpišejo osebni podatki vlagatelja. Na razpolago je tri leta, nato pa je potrebno postopek ponoviti. 7.2 E-storitve med računovodskim servisom in upravo Vsi mehanizmi so pomembni in se uporabljajo v kombinaciji drug z drugim. Pri poslovanju z javno upravo pa velja najvišja stopnja varnosti in zaščite. Z e-upravo imamo na razpolago številne storitve. Zelo pomembna je storitev eDavki. eDavki davčnim zavezancem ponujajo udobno, preprosto in varno poslovanje z DURS-om po elektronski poti. Le-ti so se v zadnjih letih izkazali kot zanesljiv spletni servis. Število davčnih dokumentov se z vsakim mesecem povečuje. Pred vstopom je potrebno prijaviti digitalno potrdilo. S tem pridemo na stran e- davkov. Podjetje podeli svojemu računovodskemu servisu pooblastilo za pripravo (ne pa tudi za podpisovanje) DDV obračuna. Ko je dokument pripravljen, ga zakoniti zastopnik podjetja pregleda, podpiše in vloži. Vnesti je potrebno podatke o pooblastitelju in podatke o pooblaščencu. To pooblastilo običajno traja do preklica. Najpogostejše storitve prek eDavkov so: • Dohodnina: napoved za odmero dohodnine, napoved za odmero akontacije dohodnine
od dobička iz kapitala od odsvojitve vrednostnih papirjev ter drugih deležev v kapitalu. • Obrazci DDV: obračun DDV, zahtevek za izdajo identifikacijske številke za DDV
(domači in tujci), vloga za pridobitev statusa izvoznika…
33
• Ostale vloge: vloga za preverjanje podatkov o davčnih zavezancih, vloga za preverjanje identifikacijskih številk v EU.
• Obrazci PODO: tu so različni obračuni davčnih odtegljajev. • Davek od dobička pravnih oseb, davek od dohodkov iz dejavnosti. Za varnost je v eDavkih poskrbljeno po najvišjih merilih elektronskega poslovanja. DURS se zaveda občutljivosti elektronskega poslovanja. Zanesljiva politika varovanja zasebnosti davčnega zavezanca in njegovih podatkov je zato ena od temeljnih načel tudi pri elektronskem poslovanju. Ob prejetju strežnik izpolnjeni obrazec preveri in ponudi uporabniku v podpis. S tem je odpravljena možnost, da bi bili zaradi morebitnih tehničnih napak v eDavke vloženi nepopolni dokumenti. Ko uporabnik prek eDavkov vloži izpolnjeni obrazec, ga elektronsko podpiše. Postopek podpisovanja vključuje prepisovanje grafično popačene slikovne kode, ki preprečuje vdor avtomatskim trojanskim konjem. Vsi obrazci se ob podpisu žigosajo s časovnim žigom SIGOV CA TSA. Tako je onemogočeno ponarejanje časa oddaje dokumenta. Ko je dokument vložen se dobi digitalna povratnica, ki jo davčni zavezanec shrani ter jo lahko natisne. Enakovredna je pisnemu potrdilu. Elektronsko podpisovanje v spletnih storitvah in namenskih programih – AJPES To je agencija RS za javnopravne evidence in storitve. Tukaj se prav tako uporabljajo kvalificirana digitalna potrdila overiteljev digitalnih potrdil. Storitve prek Ajpesa so: • Oddaja letnih poročil: V skladu s predpisi morajo za zagotovitev javnosti podatkov in
za državno statistiko vsi poslovni subjekti v državi svoja letna poročila oziroma določene podatke iz letnih poročil predložiti AJPESU. AJPES je bil vpeljan v letu 2003.
• Statistika finančnih računov: Poročanje podatkov za namene statistike finančnih računov je predpisala Banka Slovenije s Sklepom o poročanju podatkov za namene statistike finančnih računov. Podatke morajo sporočati vsi rezidenti RS, razen gospodinjstev in neprofitnih izvajalcev storitev gospodinjstvom. Podatke o transakcijah in stanjih je treba konec leta predložiti AJPES v elektronski obliki.
• Plače v zasebnem sektorju: Prav tako jih je treba predložiti. Kvalificirano digitalno potrdilo lahko uporabimo za podpis letnega poročila le, če smo predhodno posredovali pristojni izpostavi AJPES izpolnjeni obrazec »obvestilo o uporabi kvalificiranih digitalnih potrdil za podpisovanje letnih poročil«. E- poslovanje z Banko Slovenije Pri Banki Slovenije pa je potrebna pridobitev kodirnega ključa za izmenjavo podatkov z banko v elektronski obliki. Podatki za pridobitev kodirnega ključa se pošljejo v elektronski obliki in tudi na papirju z žigom in podpisom. Banka Slovenije nato potrdi kodirni ključ. Poročila Banki Slovenije: • evidenca računa v tujini in poročilo o računih v tujini in kontokorentih, • poročilo o kratkoročnih terjatvah in obveznostih iz poslovanja za nerezidente,
34
• poročanje o naložbah, • poročilo o prejetih in danih kreditih ter depozitih z nerezidenti. 7.3 Ugotovitve sedmega poglavja Računovodski servis za svoje stranke opravlja številne storitve. Te morajo biti varne, kar dosegamo z različnimi mehanizmi. Le-ti so med seboj povezani. Svoje dokumente je potrebno obvezno zavarovati. Izbrani računovodski servis zaupa varnosti e-uprave in prek nje opravlja vse možne storitve. V e-upravi vidi številne prednosti za svoje poslovanje. Upajo, da se bo razvilo še več podobnih e-storitev, ki jih bodo lahko uporabljali in tako poenostavili svoje elektronsko poslovanje.
35
8 SKLEPNE UGOTOVITVE Skozi razvojna obdobja vidimo, da elektronsko poslovanje javne uprave postaja vse bolj pomembno. Zaposleni v javni upravi se vedno bolj zavedajo pomembnosti elektronskega poslovanja in elektronskega podpisa ter pomembnosti segmenta varnosti. Za sodobno poslovanje je potrebna informacijsko komunikacijska infrastruktura. Posebej pomembno je Hitro komunikacijsko omrežje-HKOM. Prav tako pomembni so pravni okviri ter tehnični mehanizmi za večjo varnost. Pravni okviri imajo tudi pomemben vpliv na računovodstvo. Računovodstva brez elektronskega poslovanja si ne moremo predstavljati. Danes ko se vse računovodske funkcije izvajajo računalniško je hitrejše in učinkovitejše zbiranje, obdelovanje, shranjevanje ter pošiljanje podatkov in informacij za podporo odločitvam in kontroli v podjetju. V uvodu zastavljeno trditev, da je z uporabo elektronskih podpisov in drugih tehnologij mogoče doseči varno delovanje e-uprave, smo potrdili. Ugotovili smo, da imamo za zagotovitev varnosti na razpolago številne tehnologije, katero pa bomo izbrali je odvisno od stopnje zaščite, oblike sistema in od zahtevanih varnostnih storitev. Pri nas se največ uporabljajo digitalna potrdila in asimetrično šifriranje. Vsaka izmed tehnologij ima svoje prednosti. Tehnologija, ki jo uporabljamo v okviru kriptografije nam zagotavlja kakovostno varovanje podatkov s kombinacijo simetričnih, asimetričnih in zgostitvenih algoritmov. Prav tako pomembno vlogo pri doseganju varnosti pa imajo še uporaba pametne kartice, požarni zid ter prepoznavanje obraza. Požarni zidovi preprečujejo nepooblaščene vdore v sistem in vpoglede v datoteke. Pametna kartica je trenutno najvarnejša tehnologija za shranjevanje kvalificiranih digitalnih potrdil. Prav tako smo potrdili drugo zastavljeno trditev, da zakonodaja zadovoljivo opredeljuje varovanje podatkov v e-upravi. V prihodnosti bo še treba marsikaj narediti na tem področju, le tako bodo uporabniki e-upravi zaupali in tako bodo e-storitve podobne sodobnim storitvam e-uprave v razvitih državah v svetu. Potrebno bo usklajevati različne pravne akte, izobraževati o varnosti zaposlene kot tudi uporabnike, uvesti bo treba najmodernejše standarde in tehnologije. Zakon o elektronskem poslovanju in elektronskem podpisu ter Slovenski računovodski standardi so veliko prispevali k razvitosti elektronskega poslovanja v računovodstvu. Poleg teh pa imamo še drugo zakonsko podlago, ki je prav tako pomembna. Varnost e-storitev ni vzpostavljena enako na vseh področjih javne uprave. Najslabše je vzpostavljena v občinah, drugje pa je doseganje le-te zadovoljivo. Zaupanje in uporabniki naraščajo. Uporaba elektronskega poslovanja oz. e-storitev uprave prinaša številne prednosti za njih. E-uprava ponuja vse več storitev svojim uporabnikom. To pa ima pozitiven vpliv tako na uporabnike kot tudi na upravo.
36
9 POVZETEK V SLOVENSKEM IN ANGLEŠKEM JEZIKU IN KLJUČNE BESEDE
POVZETEK Procese v javni upravi je treba prenoviti. Javna uprava in e-uprava naj bi zagotavljala učinkovito, kakovostno, dostopno, enostavno, zanesljivo, odprto in pregledno delovanje javne uprave. Javna uprava ima številne posebnosti, skozi katere vidimo bistvene razlike v primerjavi s privatnim sektorjem. V okviru računovodstva smo izpostavili Zakon o elektronskem poslovanju in elektronskem podpisu. Bistvo zakona spoznamo skozi načela, ki so pomembna za uporabo zakona. Prav tako pomembni so Slovenski računovodski standardi (SRS). SRS 21 ureja knjigovodske listine, SRS 22 pa poslovne knjige. Pri elektronskem poslovanju v računovodstvu ločimo tehnično varovanje podatkov (mehanizmi, ki omogočajo varnost) in pravno zaščito, ki jo vzpostavljajo zakonodajni organi. E-uprava svojim uporabnikom ponuja številne storitve. Da so storitve res varne morajo imeti overitelje, ti pa morajo biti vpisani v Register overiteljev digitalnih potrdil. Za zagotovitev varnosti pa so na voljo različne tehnologije. Njihova izbira je odvisna od zahtevanih varnostnih storitev, stopnje zaščite in oblike sistema. Na področju varnosti in zaščite smo izpostavili zakonsko podlago za osebne in tajne podatke. V praktičnem delu smo pa na kratko prikazali katere varnostne tehnologije ima računovodski servis pri doseganju varnosti. Uporabljajo vse e-storitve in zaupajo e-upravi. KLJUČNE BESEDE: elektronsko poslovanje, javna uprava, e-uprava, računovodstvo, Zakon o elektronskem poslovanju in elektronskem podpisu, Slovenski računovodski standardi, varnost podatkov, tehnologije za varnost poslovanja. ABSTRACT It is necessary to modernize processes in public administration. Public administration and e-administration should provide effective, qualitative, easy of access, simple, reliable, open and clear public administration. Public administration has numerous specialities through which essential differences in comparison to private sector can be seen.
37
The Act of Electronic Operations and Electronic Signature has been exposed in the range of accountancy. The essence of the Act is recognized through its principles which are important for its usage. The Slovenian Accounting Standards (SRS) are important as well. SRS 21 manages bookkeping documents, SRS 22 manages business books. At electronic operations in the accountancy field we distinguish technical safeguard of information (the mechanisms for making safety possible) and lawful protection made by legislative body. E-administration offers its users numerous services. The services are considered safe if they have verifiers who have to be registered in the Register of Verifiers of Digital Certificates. Different technologies are available to give an assurance of safety. Their choice depends upon demanded safety measures, degrees of protection and formation of system. In the safety and protection field we exposed lawful basis for personal and confidential data. In the practical part we represented briefly which safety technologies has the accountancy service at reaching safety. They use all available e-services and trust e-administration. KEY WORDS: electronic operations, public administration, e-administration, accountancy, The Act of Electronic Operations and Electronic Signature, The Slovenian Accounting Standards, data safety measures, technologies for safety of operations.
38
10 LITERATURA 1 Bategelj, Teja. 2006. Projekti e-uprave na Ministrstvu za javno upravo. V Dnevi slovenske informatike 2006. Slovensko društvo INFORMATIKA. 124. 2 Berčič, Boštjan in Čebulj, Janez. 2004. Pravni vidiki e-uprave. V E-uprava: izbrane razvojne strategije. Ljubljana: Fakulteta za upravo. 248-254. 3 Brejc, Miha. 2002. Ljudje in organizacija v javni upravi.Ljubljana: Visoka upravna šola. 81. 4 Colnar, Marko. 2006. Kako do prenove slovenske uprave. GV založba. 95-97, 175-176. 5 Dečman, Mitja. 2004. Nekateri vidiki zagotavljanja varnosti e-poslovanja v upravi. V E-uprava: Izbrane razvojne strategije. Ljubljana: Fakulteta za upravo. 221-234. 6 Dobnikar, Aleš in Žužek, Alenka. 2000. Digitalna potrdila kot pogoj za elektronsko poslovanje. V Sistemi za upravljanje z dokumenti. Media. doc. II-24. 7 Guček, Alja. 2005. Elektronsko poslovanje javne uprave in storitev e dohodnina: magistrsko delo. Ljubljana: ekonomska fakulteta. 6-7. 8 Klasinc Pavel, Peter. 2001. Zakon o elektronskem poslovanju in podpisu. V Sistemi za upravljanje z dokumenti. Media. doc. I-67. 9 Koželj, Stanko. 1999. Možnosti uvajanja elektronskega poslovanja v računovodstvu. V O računovodstvu, reviziji, davščinah in financah (Zbornik referatov 14. posvetovanja Društva računovodij, finančnikov in revizorjev Maribor). 60. 10 Kričelj Dušan. 2002. E-uprava na dlani. Založba Pasadena. 29-38. 11 Kunstelj, Mateja. 2004. Kratek pregled razvoja e-uprave. V E-uprava: Izbrane razvojne strategije. Ljubljana: Fakulteta za upravo. 12 Kunstelj, Mateja. 2004. Prenova procesov v e-upravi. V E-uprava: Izbrane razvojne strategije. Ljubljana: Fakulteta za upravo. 148-161 13 Lutar-Skerbinjek, Andreja. 2003. Uporaba določil zakona o elektronskem poslovanju v računovodstvu. V O računovodstvu, reviziji, davščinah in financah. (Zbornik referatov 18. posvetovanja Društva računovodij, finančnikov in revizorjev Maribor). 50-58. 14 Novak, Nataša. 2005. Računovodstvo v pogojih popolnega elektronskega poslovanja: diplomsko delo. Maribor: Ekonomsko-poslovna fakulteta. 23. 15 Silič, Marin, Dobnikar, Aleš in Gorazd, Perenič. 1999.Vloga CVI pri uvajanju elektronskega poslovanja v javno upravo. Zbornik. V Elektronsko poslovanje in statistika. 80.
39
16 Silič, Marin in Gorazd, Perenič. 2000. Problematika elektronskega poslovanja in revizor. Revizorjev zbornik referatov 6. 162-164. 17 Štebe, Rok. 2003. Kriptografija, digitalna potrdila in njihova uporaba v praksi. Zbornik posvetovanja. V Slovenska informatika za tretje tisočletje: v družbi najrazvitejših. 655-657. 18 Turban, Efraim in King, David. 2003. Introduction to e-commerce. Upper Saddle River(N.J): Prentice Hall. 3. 311. 19 Vintar, Mirko. 2004. E-uprava: Pogled pod lupo. V E-uprava: Izbrane razvojne strategije. Ljubljana: Fakulteta za upravo. 3-4. 20 Young, H. Peyton. 1994. Equity-in theory and practise. Princeton: Princeton university press. 12.
40
11 VIRI 1 Spletna stran Certifikatne agencije. 2006. Overitelj in prijavne službe [online]. Dostopno na: [http://www.halcom-ca.si/?section=19], [29. 1. 2007]. 2 Spletna stran Centra vlade za informatiko. 2001. E-poslovanje v javni upravi RS za obdobje od 2001- 2004 [online]. Dostopno na: [http://www.e-uprava.gov.si/eud/e-uprava/SEP-dv.pdf 3 Spletna stran Ministrstva za informacijsko družbo. Varnost [online]. Dostopno na: [http://www.mid.gov.si/mid/mid.nsf/], [27.3.2007]. 4 Spletna stran Ministrstva za javno upravo. Predstavitev sigov-ca [online]. Dostopno na: [http://www.sigov-ca.gov.si/predstavitev-SIGOV-CA.php], [29. 1. 2007]. .
41
Naročanje izpiskov iz matičnih knjig je bila prva e- storitev, ki je slovenskim državljanom omogočila uporabo digitalnih potrdil pri naročanju izpiskov iz rojstne matičen knjige, poročne matične knjige in knjige umrlih. Nekaj časa je veljala predvsem za politično potezo, vendar je pomenila prvi korak v smeri uveljavljenja varnih storitev e- uprave. Enostavna storitev je omogočila vzpostavitev infrastrukture javnih ključev, začetek delovanja overitelja in izdajanje digitalnih potrdil. V takem testnem okolju so v upravi pridobili ustrezne izkušnje za omogočanje drugih varnih storitev, ki so jih nato vpeljevali v poslovanje e- uprave. Na tak način so bile onemogočene večje napake, ki bi se lahko pripetile ob hitri vpeljavi večjega števila varnih e- storitev. Tako bi namreč uporabniki izgubili zaupanje v varnost že na začetku in ves trud bi bil zaman. Naročanje izpiskov je bilo v začetku brezplačno. Plačevanje upravnih taks je v večini uprav ena najvišjih stopenj razvitosti e- storitve. Tudi po že omenjenem modelu merjenja elektronskih storitev javne uprave v okviru projekta eEurope je plačevanje ocenjeno kot del pete, najvišje stopnje e- storitve. Zaradi zahtevnosti izvedbe, predvsem s stališča varnosti, je bila ta storitev po elektronski poti na začetku brezplačna, kljub temu, da je bila taksa obvezna za isto storitev, opravljeno po klasični, papirnati poti. Danes je plačevanje že urejeno in zaradi tega se je povečalo število upravnih vlog, ki jih je mogoče oddati preko elektronskega portala e- uprave oz. pod-portala elektronskih upravnih zadev. V okviru vlog za izdajo potrdila o podatkih iz uradne evidence je mogoče oddati vlogo za 18 različnih potrdil. Poleg tega pa je mogoče pridobiti vloge za 26 različnih upravnih postopkov in plačati takso po elektronski poti. Možnost plačila je omejena na določene tipe kreditnih kartic in plačevanje preko sistema Moneta, to je plačevanje preko mobilnega telefona.
42
Ena bolj odmevnih storitev je seveda e- dohodnina, ki je bila prvič uvedena leta 2004. Oddalo jo je skoraj 17000 davčnih zavezancev, ki so pri lahko uporabili poleg digitalnega potrdila overitelja SIGEN-CA tudi potrdila registriranih overiteljev POSTA-CA, HALCOM, NLB-CA. Na elektronski način je bilo tako oddanih 1,45 % vseh napovedi za odmero dohodnine. Sicer je bil delež pod pričakovanji (pričakovanih 25000 oddaj) vendar se porast pričakuje v prihodnjem letu. Ta storitev je med drugim tudi ena od dvajsetih storitev, ki določajo indeks razvitosti e- storitev javne uprave v posameznih državah EU. Slovenija se je tako z e- dohodnino izenačila z večino držav EU, ki imajo to storitev na tako visoki stopnji že nekaj časa. Prvi pomemben korak naprej v okviru varnih e- storitev ter povezovanju in dostopnosti podatkovnih baz javne uprave je bila storitev vpogled v lastne podatke v Centralnem registru prebivalstva (CRP). CRP je osrednja podatkovna baza z najosnovnejšimi podatki o prebivalstvu Slovenije. Vodi in vzdržuje se na podlagi Zakona o centralnem registru prebivalstva in podzakonskih aktov. Upravlja ga Ministrstvo za notranje zadeve. V CRP se podatki na enem mestu zbirajo iz ustreznih podatkovnih virov, obdelujejo in shranjujejo v podatkovni bazi ter z enega mesta posredujejo najrazličnejšim uporabnikom, ki imajo pravno podlago za pridobivanje podatkov. V pogojih papirnega poslovanja upravljavec CRP pri uporabi podatkov veliko pozornost posveča varstvu in zavarovanju osebnih podatkov, v pogojih e- poslovanja pa je ta vidik še toliko bolj pomemben. Poleg storitev, ki jih CRP omogoča uporabnikom s pooblaščenim dostopom, tj. zaposlenim v upravi, ki imajo ustrezno digitalno potrdilo (ažuriranje podatkov, statistične analize, razni izpisi), pa je za državljane na voljo e- storitev Vpogled v lastne osebne podatke – CRP (VLOP), ki je omogočena na podlagi identifikacije z digitalnim potrdilom, vsak državljan tako lahko preveri svoje podatke, ki so vpisani v CRP. 5.2 Varne storitve v e – upravi3
Na eni od nedavnih konferenc na temo e – uprave je bilo podanih nekaj tez glede omenjenega razvoja. Ena od tez govori, da je ponujanje storitev uspešno le, če imajo uporabniki storitev (državljani, zasebni sektor ali zaposleni v upravi) zaupanje pri izvajanju transakcij in zaupajo e-upravi.
43
2
Storitve, ki so na voljo v slovenski e – upravi in zahtevajo uporabo kvalificiranega digitalnega potrdila v okviru poslovanja C2G in B2G, omogočajo poleg uporabe digitalnih potrdil overitelja na Centru vlade za informatiko tudi uporabo digitalnih potrdil različnih drugih overiteljev. Pomembno je, da je v skladu z zakonom overitelj vpisan v Register overiteljev digitalnih potrdil. Zaenkrat so to le štirje overitelji in sicer: Overitelj na Centru Vlade za informatiko, ki izdaja kvalificirana digitalna potrdila za fizične (brezplačno) in pravne osebe preko overitelja SIGEN-CA in za institucije v upravi preko overitelja SIGOV-CA; Služba HALCOM-CA pri podjetju Halcom informatika d.o.o., ki izdaja spletna digitalna potrdila za pravne osebe in njihove pooblaščene zaposlene in fizične osebe, registrirane za opravljanje dejavnosti; NLB-CA pri Novi ljubljanski banki d.d., ki izdaja spletna digitalna potrdila za fizične osebe ter zaposlene pravne in fizične osebe, registrirane za opravljane dejavnosti; POŠTA-CA pri Pošti Slovenije d.o.o., ki izdaja digitalna potrdila tako fizičnim in pravnim osebam kot tudi strežniškim sistemom. Za poslovanje z upravo tako obstaja že vrsta storitev tako za pravne kot za fizične osebe, ki pri tem potrebujejo kvalificirano digitalno potrdilo. Te storitve so: elektronske upravne zadeve- oddaja vlog, personalizacija portala e – uprava, aplikacija e- storitve, e- davki, naročanje izpiskov iz matičnih knjig, vpogled v lastne osebne podatke, elektronske storitve notarjev. Zaščita in zaupnost podatkov Zbiranje in uporaba podatkov za potrebe državne in javne uprave je v Sloveniji pravno in tehnološko razmeroma dobro rešeno. Zato ima precejšnje zasluge tudi center vlade za informatiko. Zelo problematična pa je sistemska ureditev dostopa do podatkov javnega sektorja. V skladu z EU smernicami je potrebno paziti že pri sami definiciji, kaj so to podatki javnega sektorja: administrativni podatki (potrebni za delovanje posameznih institucij državne in javne uprave) ne- administrativni podatki (podatki o okolici do katerih je uprava prišla med izvajanjem svojih primarnih funkcij).
3 Povzeto po Dečmanu (2004, 231-234).
44
Druga pomembna vsebinska delitev podatkov pa je delitev na podatke, ki so bistvenega pomena za demokratičnost sistema (zakoni, sodna praksa, podatki parlamenta in podobno) in na podatke, ki nimajo tega značaja. Pomembno je tudi vedeti, kateri podatki imajo tržno vrednost in kateri so zanimivi za državljane (CVI 2001,35). Zaščita informacijskega sistema Prostori, v katerih se informacijsko ali telekomunikacijsko obravnavajo osebni in tajni podatki, morajo biti varovani z organizacijskimi ter fizičnimi in tehničnimi ukrepi in mehanskimi, ki morajo nepooblaščenim onemogočiti dostop do podatkov. Opremo, ki je v ministrstvu sistematizirana za informacijsko in telekomunikacijsko obravnavanje, hrambo in prenos podatkov, je dovoljeno uporabljati le za izvajanje delovnih nalog ministrstva. Zunanji sodelavci lahko inštalirajo ali vzdržujejo strojno opremo ministrstva le na poziv ter pod nadzorom pristojnega delavca ministrstva. Uporaba programske opreme in dostop do osebnih in tajnih podatkov mora biti varovana z gesli z avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel mora omogočati naknadno ugotavljanje, kateri uporabnik je v določenem času z določene točke obravnaval osebne ali tajne podatke, in sicer za obdobje, za katero se posamezni podatki hranijo. Gesla morajo biti varna, redno se morajo spreminjati, ne smejo biti posredovana drugim in ne smejo biti zapisana (Šturm 2005, 17).
45
46
47
48
49
50
51
VARNOSTNE STORITVE Varnostne zahteve v elektronskem poslovanju označimo z naslednjimi pojmi, imenovanimi varnostne storitve: Overjanje – vsak mora imeti možnost preveriti identiteto subjektov, s katerimi komunicira, in izvor podatkov; Zaupnost – določene informacije ne smejo biti razkrite nepooblaščenim subjektom; Neokrnjenost – podatki morajo biti zaščiteni pred nepooblaščenim spreminjanjem; če je do spremembe prišlo po naključju, jo morajo biti sposobni enostavno odkriti; Nadzor dostopa – preprečevanje nepooblaščene uporabe določenih sredstev: uporabe oseb, ki za to niso pooblaščene, ali uporabe sredstev v namene, za katere niso predvidena; Preprečevanje zanikanja – preprečevanje možnosti zanikanja subjektov, sodelujočih v določeni aktivnosti elektronskega poslovanja, da so v tej aktivnosti dejansko sodelovali; Razpoložljivost – storitve elektronskega poslovanja morajo biti stalno na voljo;
52
