כיום מתבססים עסקים רבים על טפסים דיגיטליים שעל גביהם נעשות החתמות של עובדים, לקוחות וספקים. מטבע הדברים, חלק מהמסמכים האלה מכילים פרטים רגישים, למשל טפסים של העובדים הכוללים את פרטיהם האישיים, את תנאי ההעסקה שלהם, מספרי חשבונות בבנק וכדומה. מאחר שטפסים אלו חתומים בחתימה דיגיטלית עולה השאלה האם ניתן לזייף אותה והאם היא בכלל מתאימה למסמכים רגישים. בשורות הבאות נביא את התשובות לשאלה זו.
כמה מילים על חתימה דיגיטלית
רבים נוטים לחשוב כי חתימה דיגיטלית וחתימה אלקטרונית הן אותו הדבר, אך זוהי טעות נפוצה.
חתימה אלקטרונית היא בסך הכל מידע או סימן שמוצמד למסר אלקטרוני כמו הלוגו של החברה או חתימתו של עובד או לקוח. יחד עם זאת, הסימן בפני עצמו אינו נותן רמת אבטחה כלשהי וברור שניתן לזייפו די בקלות. מצד שני, החתימה כפי שמספקת מערכת איזידוק הינה חתימה דיגיטלית. גם היא יכולה לשאת כמובן את חתימת העובד, לוגו החברה או כל מידע אחר, אך בנוסף היא מצרפת אוטומטית וללא מגע יד אדם קובץ מוצפן אל המסמך. בדרך זו היא עומדת בתנאים הנדרשים על פי חוק מחתימה דיגיטלית "מאובטחת", כלומר שתהיה חתימה ייחודית לבעל אמצעי החתימה ושתאפשר את זיהויו.
כמו כן, יש לוודא שהפקתה נעשתה בעזרת אמצעי חתימה שנמצא בשליטה בלעדית של בעל האמצעי, ושאפשר לזהות אם בוצעו במסמך שינויים אחרי שנחתם.
האם ניתן לזייף את החתימה הדיגיטלית?
כאמור, כל עוד מדובר בחתימה אלקטרונית ללא קובץ מוצפן, הרי שלא נדרשים ידע או כישורים מיוחדים על מנת להוסיף סימנים כאלו ואחרים המזייפים את זהות החותם ומשנים את הפרטים. זוהי בדיוק הסיבה לדרישת חוק ותקנות החתימה האלקטרונית, בנוסף לדרישות הרשויות כגון מס הכנסה, שהחתימה תהיה "מאובטחת".
יחד עם זאת, ראוי לציין כי כבר היו מקרים בהם האקרים ומומחי פישיניג הצליחו לזייף חתימות דיגיטליות מאובטחות. מדובר למשל בחשבוניות שהנפיקו לכאורה ספקים ובנוכלים המזדהים בשם חברות ומנפיקים חשבוניות במקומם ללקוחות, דבר הפוגע באופן קשה בתדמית החברה וכמובן גם בפרטיות הלקוחות. יש לציין כי הסיבה המרכזית למקרים אלו הייתה חוסר וידוא של הגורם החותם על המסמך. כלומר, המסמך עצמו לא שונה לאחר שנחתם אלא מראש מולא ונחתם על ידי הנוכל.
למעשה, עקב הדרישה לוידוא הזהות שאינה תמיד אפשרית בפעולות עסקיות מסוימות, קיימות מספר מגבלות על חתימה דיגיטלית מאובטחת. למשל, ניתן להשתמש בחשבוניות הנושאות חתימה כזו רק מול כרטיסי אשראי של לקוחות עם שובר ערוך לפקודת הנישום, בצ'קים משורטטים על שם הלקוח לפקודת הנישום בלבד ועם הכיתוב "לא סחיר", ובהעברות בנקאיות ישירות. בפעולות עסקיות שלא מאפשרות את וידוא החותם נדרשת חתימה דיגיטלית "מאושרת" עם הצפנה א-סימטרית. בהצפנה הזו יש לשני הצדדים מפתח פרטי ולגורם נוסף (חברה מאשרת) יש מפתח ציבורי שמצפין את המידע, כלומר מסתייעים בצד ג' ומשלמים על שירותיו.
אז האם החתימה הדיגיטלית מתאימה למסמכים רגישים בתיקי עובדים?
התשובה חיובית. הפרטים הרגישים שבתיקי העובדים גלויים רק לעיניהם של גורמים בעלי הרשאה, מוצפנים ומאובטחים, ולא ניתן לשנותם בלי הרשאות. יחד עם זאת, כמובן שחשוב לעבוד עם מערכת כמו איזידוק הפועלת על שרתים ברמת אבטחה גבוהה ביותר, ובתוך כך להקפיד על אבטחת המידע על פי הנהלים המקובלים בארגון – למשל לוודא כי הטופס נשלח אל הנייד או המייל של העובד, ולא בטעות לאדם אחר. מעבר לכך, חשוב להבין כי העבודה עם טפסים מקוונים וחתימה דיגיטלית בכל מקרה מעלה את רמת האבטחה של המסמכים הרגישים של העובדים, בהשוואה להתנהלות עם מסמכים פיזיים שיכולים ללכת לאיבוד, להיגנב, להיות מתויקים באופן שגוי ולהגיע לידיים לא נכונות.