Pri e-izmenjavi poslovnih dokumentov sta pošiljatelj in prejemnik povezava preko namenskih komunikacijskih protokolov, na primer AS4, AS2, OFTP, FTPS, z že vgrajenimi varnostnimi mehanizmi, ki zagotavljajo zaupnost in celovitost podatkov ter verodostojnost pošiljatelja in prejemnika.
Uporabo e-pošte se za e-izmenjavo poslovnih dokumentov odsvetuje, saj ta ne zagotavlja ustrezne varnosti, zanesljivosti dostave, identifikacije pošiljatelja ter sledljivosti dostave elektronskih dokumentov.
Da v procesu e-izmenjave poslovnih dokumentov ne pride do razkritja poslovnih skrivnosti in drugih informacij, se uporablja šifriranje, ki zagotavlja zaupnost podatkov. Šifriranje se lahko izvaja na komunikacijski poti oziroma kanalu ali na samem dokumentu. Za šifriranje na komunikacijskem kanalu se običajno uporablja Transport Layer Security (SSL). Zaradi znanih ranljivosti v protokolu HTTPS je priporočljiva uporaba TLS 1.2 ali višjega. Pri zagotavljanju zaupnosti podatkov na ravni dokumenta pošiljatelj dokument šifrira z javnim ključem prejemnika, tako da lahko sporočilo dešifrira le prejemnik, ki ima ustrezen zasebni ključ. Protokoli za e-izmenjavo imajo že vgrajeno kontrolo celovitosti, tako da na strani prejemnika preverijo ali je prejeti dokument identičen dokumentu, ki je bil poslan s strani pošiljatelja. Če se ugotovi, da je prišlo do kakršnekoli spremembe, se dokument zavrže kot neveljaven in obvesti pošiljatelja.
Zagotavljanje verodostojnosti je ključnega pomena, da prejemnik zaupa prejetemu dokumentu in verjame, da ga je zares poslal navedeni pošiljatelj.
Na ta način so pri e-izmenjavi onemogočene zlorabe z vrivanjem v poslovno komunikacijo, kjer lahko na primer spletni kriminalci s spremembo TRR v dokumentu preusmerijo izplačilo denarja na svoje lažne bančne račune. Zagotavljanje verodostojnosti je ključnega pomena, da prejemnik zaupa prejetemu dokumentu in verjame, da ga je zares poslal navedeni pošiljatelj.
Ker protokoli e-izmenjave omogočajo verodostojnost pošiljatelja in dokumenta, je možnost širjenja zlonamerne programske kode (virusi, črvi, trojanskimi konji …) zelo majhna. Se pa vseeno priporoča, da prejemnik vsak prejeti dokument takoj po prejetju preveri z ustreznim protivirusnim programom. Ker se to izvede še pred obdelavo dokumenta, se zlonamerna koda tudi ne more aktivirati in je varno odstranjena.
Ponudnik skrbi za zagotavljanje verodostojnosti vseh povezanih organizacij.
Kadar si pošiljatelj oziroma prejemnik izmenjuje dokumente z večjim številom partnerjev, je težko vzdrževati vse varnostne zahteve in mehanizme za vsakega partnerja posebej. To namreč med drugim zahteva, da se mora organizacija pred začetkom izmenjave dogovoriti glede varnostnih zahtev z vsakim partnerjem posebej, kar zahteva veliko napora. To problematiko rešujejo ponudniki e-izmenjave, ki postanejo skupna točka med pošiljateljem in prejemnikom. Na ta način vsak sodelujoči vzpostavi varno povezavo zgolj s ponudnikom e-izmenjave, ponudnik pa bo zagotavljal varno in zanesljivo povezavo do vseh preostalih partnerjev. V tem primeru tudi ponudnik skrbi za zagotavljanje verodostojnosti vseh povezanih organizacij.
E-izmenjava odpravlja še eno pomembno tveganje, in sicer ne sledljivost procesa in dokumenta. Sledljivost je zelo pomembna, saj gre pri e-izmenjavi za med organizacijski proces, ki ga ima organizacija le delno v svojem nadzoru. E-izmenjava vključuje povratna sporočila, ki pošiljatelja obveščajo o statusu dokumenta (npr. prejet, obdelan, potrjen, zavrnjen ...) in omogočajo sledljivost v realnem času.
Avtor: dr. Rok Bojanc, vodja področja ePoslovanje v podjetju ZZI, koordinator Nacionalnega foruma za e-račun in predstavnik Slovenije v Evropskem forumu za eRačun (LinkedIn)
