Zapewnić minimum bezpieczeństwa

Z Robertem Koślą, zastępcą dyrektora Biura Bezpieczeństwa Łączności i Informatyki Urzędu Ochrony Państwa, współautorem części definicyjnej i technicznej rządowego projektu ustawy o podpisie elektronicznym, rozmawia Rafał Jakubowski.

Z Robertem Koślą, zastępcą dyrektora Biura Bezpieczeństwa Łączności i Informatyki Urzędu Ochrony Państwa, współautorem części definicyjnej i technicznej rządowego projektu ustawy o podpisie elektronicznym, rozmawia Rafał Jakubowski.

Przedstawiciele środowiska informatycznego i naukowego wskazują na liczne niedociągnięcia projektu rządowego. Twierdzą np. że jest on zbyt restrykcyjny. Czy zgadza się Pan z tą opinią?

Wielu przedstawicieli tych środowisk wskazuje na niedociągnięcia w obu projektach ustawy o podpisie elektronicznym - rządowym i poselskim. Akcentowane są również zawarte w nich dobre rozwiązania. Oba projekty dają szansę na znalezienie "złotego środka" między podejściem liberalnym a restrykcyjnym, które przypisywane jest przez niektórych projektowi rządowemu.

Ministerstwo Spraw Wewnętrznych i Administracji nie chce odstąpić od akredytacji podmiotów świadczących usługi certyfikacyjne w obrocie międzybankowym, świadczenia usług na rzecz administracji i ochrony informacji niejawnych. Dlaczego?

Poddanie się akredytacji powinno być sygnałem dla potencjalnych klientów, że dany podmiot daje gwarancję wysokiego poziomu i jakości usług certyfikacyjnych. W tym sensie akredytacja ma podobne znaczenie jak np. wdrożenie systemu kontroli jakości ISO 9000. Procedura oceny będzie prowadzona przez Krajowy Urząd Akredytacji. Akredytacja powinna jednak być dobrowolna dla wszystkich podmiotów świadczących usługi certyfikacyjne.

Z kolei w przypadku podmiotów funkcjonujących w ramach jednostek organizacyjnych podległych np. Ministerstwu Obrony Narodowej, mimo że podmioty te będą świadczyły usługi związane z certyfikatami kwalifikowanymi, nie powinny one podlegać akredytacji prowadzonej przez Krajowy Urząd Akredytacji, a co za tym idzie - jego nadzorowi i kontroli. Odpowiedzialność za funkcjonowanie tych podmiotów powinni ponosić kierownicy jednostek organizacyjnych, w których świadczą one usługi certyfikacyjne. Na razie żaden z obu projektów nie przewiduje istnienia "wewnętrznych", np. państwowych podmiotów świadczących nieodpłatnie usługi certyfikacyjne.

Które wobec tego podmioty i w jakim zakresie powinny podlegać kontroli?

Kontrola państwa nad firmami świadczącymi usługi certyfikacyjne powinna obejmować głównie działalność bezpośrednio związaną z funkcjonowaniem gospodarki, finansów państwa i ochroną tajemnic prawnie chronionych, czyli dziedzin, w których niezbędne jest wykorzystywanie certyfikatów kwalifikowanych.

Celem kontroli nie powinno być bieżące monitorowanie funkcjonowania podmiotów świadczących usługi certyfikacyjne, a jedynie sprawdzanie, czy są one w stanie zapewnić właściwy poziom i jakość usług. Zadanie to nie tyle wynika z chęci kontrolowania wszystkiego i wszystkich, ile z troski o sprawne, a przede wszystkim ciągłe funkcjonowanie infrastruktury, umożliwiającej korzystanie z podpisów elektronicznych. W nieodległej przeszłości mieliśmy wiele przykładów nadużyć i nieprawidłowości w świadczeniu np. usług bankowych. Takim przykładem była Bezpieczna Kasa Oszczędności. Za każdym razem poszkodowani zadawali pytania o nadzór i kontrolę ze strony organów administracji rządowej.

Oczywiście nadzór i kontrola nie powinny ograniczać swobody funkcjonowania podmiotów świadczących usługi certyfikacyjne. Dlatego też kontrolna rola Krajowego Urzędu Akredytacji powinna dotyczyć zapewnienia najwyższej jakości usług certyfikacyjnych, wykorzystywanych w newralgicznych dla funkcjonowania państwa obszarach, takich jak obronność i bezpieczeństwo wewnętrzne, obrót międzybankowy oraz administracja publiczna.

Jakie dostrzega Pan największe wady projektu poselskiego?

Moim zdaniem najbardziej odczuwalną wadą projektu poselskiego jest brak neutralności technologicznej. Rolę podpisu elektronicznego ograniczono do podpisu cyfrowego. Świadczy o tym stosowanie pojęć, takich jak klucz prywatny, klucz publiczny czy para asymetrycznych kluczy kryptograficznych. Prawodawstwo innych krajów stosuje najczęściej neutralne technologicznie pojęcie podpisu elektronicznego, wiążąc je jedynie z "danymi w postaci elektronicznej służącymi do potwierdzenia tożsamości osoby składającej podpis". Wiem jednak, że ten mankament został przez autorów projektu poselskiego zauważony i podczas prac w komisji sejmowej zostaną zgłoszone odpowiednie poprawki.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200