Czas na e-dowód. Mamy się czego bać?
W związku z przyjęciem przez rząd projektu ustawy o e-dowodach warto zastanowić się, czy takie rozwiązanie będzie dla obywateli bezpieczne, a jeżeli nie, to jakich nowych zagrożeń możemy się spodziewać w związku z wdrożeniem tego typu technologii.
Czym jest e-dowód ?
Od marca 2019 r. ma się rozpocząć proces wydawania dowodów osobistych zawierających warstwę elektroniczną. Będą w niej zapisane m.in. takie informacje jak certyfikat podpisu osobistego, którym będzie zaawansowany podpis elektroniczny oraz certyfikat potwierdzenia obecności, który będziemy mogli wykorzystać jako elektroniczne potwierdzenie swojej obecności lub udziału w konkretnym procesie administracyjnym np. głosowaniu. Nadto dane zakodowane na warstwie elektronicznej będą pełnić funkcję profilu osobistego, co umożliwi nam szybkie uwierzytelnienie w systemie ePUAP.
Czy takie rozwiązanie jest bezpieczne ?
Warto wskazać, że ustawodawca przerzucił ryzyko korzystania z podpisu elektronicznego na osobę posługującą się dowodem osobistym oraz na dostawcę takiej usługi (art. 12a pkt 4 projektowanej ustawy o zmianie ustawy o dowodach osobistych oraz niektórych innych ustaw). W opinii ekspertów ds. cyberbezpieczeństwa, powyższe działanie ustawodawcy może spowodować wysokie ryzyko stosowania podpisu elektronicznego oraz możliwości jego niewłaściwego wykorzystania. Szczególnie, że projektowana ustawa zakłada równoważny skutek prawny podpisu własnoręcznego z podpisem osobistym (elektronicznym) w zakresie podpisywanych dokumentów związanych z działaniami podmiotów publicznych. Bez wątpienia jest to rzecz wymagająca doprecyzowania, a przede wszystkim zwiększenia świadomości osób mających w przyszłości posługiwać się tego typu dokumentem w kontekście ewentualnych zagrożeń ze strony cyberprzestępców.
Jednym z zagrożeń stosowania takich cyfrowych dowodów osobistych może być przełamanie zabezpieczeń informatycznych chroniących nasze dane oraz świadczących o naszej tożsamości, co miało nie tak dawno miejsce w Estonii. Władze tego kraju podjęły decyzję o zablokowaniu elektronicznych dowodów osobistych ponad połowie swoich obywateli po tym, jak odkryto luki uprawdopodobniające możliwość uzyskania nieuprawnionego dostępu do baz danych. Skutkowałoby to... kradzieżą tożsamości posiadacza e-dowodu. Udowodnienie że jest się sobą (co samo w sobie zakrawa już na paradoks) byłoby niemal niemożliwe. Wszystkie dane potrzebne do potwierdzenia tożsamości byłyby bowiem zapisane także w formie cyfrowej na e-dowodzie, więc kradzież tych danych faktycznie oznaczałaby kradzież tożsamości. Trzeba zwrócić uwagę, że stosowane w Estonii e-dowody są wykorzystywane do dużo większej ilości operacji np. pozwalają na zapis recept, a więc przechowuje się tam również informacje dotyczące zdrowia obywateli.
Kolejnym możliwym zagrożeniem związanym z korzystaniem z e-dowodów mogą być niewystarczające zabezpieczenia chipów przechowujących nasze dane osobowe. Z doniesień medialnych wynika, że w polskich e-dowodach nie zostanie wykorzystane rodzime rozwiązanie, co w znaczący sposób podniosłoby bezpieczeństwo przechowywanych danych. Wskazuje się, że chipy do e-dowodów będą dostarczać producenci z Niemiec i Holandii. Czy takie rozwiązanie gwarantuje bezpieczeństwo przechowywanych danych? Czy nie dojdzie do przekazania do innych krajów danych osobowych obywateli Polski, a może warstwa elektroniczna będzie kodowana na terytorium naszego kraju? Na odpowiedzi na te pytania musimy jeszcze chwilę poczekać.
Zagrożeniem, które wskazał w swoich uwagach Prezes Urzędu Ochrony Danych Osobowych, jest ujawnienie numeru PESEL w elektronicznej warstwie dowodu osobistego np. w certyfikacie podpisu osobistego. Wykorzystując e-dowód do podpisania dokumentu zostawimy na nim nie tylko nasz podpis, ale także nasz numer PESEL, a stracimy możliwość dysponowania takim dokumentem w przypadku jego przesłania lub udostępnienia innej osobie.
Jak bezpiecznie posługiwać się e-dowodem?
Przede wszystkim pod żadnym pozorem nie należy go nikomu przekazywać w zastaw ani nie tracić z pola widzenia. Zgodnie z obowiązującym prawem dowód osobisty należy OKAZAĆ uprawnionym do tego osobom, służbom i instytucjom. Nigdzie nie ma wzmianki o PRZEKAZANIU, ani tym bardziej POZOSTAWIENIU dowodu.
W razie zgubienia lub utraty e-dowodu, należy możliwie najszybciej zgłosić to na najbliższym posterunku policji lub urzędzie miasta, tak aby żadna osoba nieuprawniona nie mogła się nim posłużyć. W celu wykorzystania podpisu elektronicznego niezbędne będzie posłużenie się pinem autoryzującym nasze działanie, a ochrona tego kodu powinna przyświecać nam przy każdym jego użyciu, tak aby osoby postronne nie były w stanie go zobaczyć. Oczywiście nie powinniśmy zapisywać tego numeru na kartkach, ani przechowywać w pamięci telefonu. Praktyka pokazuje jednak, że numery PIN do kart płatniczych, choć powinny być tak samo chronione, często mamy zapisane właśnie na kartce w portfelu lub w pamięci telefonu. Należy mieć świadomość, że jest to ułatwianie pracy wszelkiego rodzaju złodziejom.
Źródło: niezalezna.pl, newsrm.tv
