Nie używam profilu zaufanego na ePUAP

Zaniechania, jakich dopuszczono się w trakcie wdrażania profilu zaufanego, powodują, że korzystanie z tego rozwiązania nie jest bezpieczne - twierdzi autor jego koncepcji.

Tradycją jest, że konstruktor, który zaprojektował most, staje pod nim w trakcie testów obciążeniowych, by pokazać, że konstrukcja jest bezpieczna. Jestem autorem rozwiązania profilu zaufanego, ale, niestety, nie miałem możliwości nadzorować jego wdrożenia w systemie Elektronicznej Platformy Usług Administracji Państwowej (ePUAP), a z pierwotnej koncepcji zrealizowano tylko część. Przede wszystkim nie wdrożono mechanizmów bezpieczeństwa. Rozwiązanie nie ma również właściciela biznesowego, co powoduje, że nikt kwestii bezpieczeństwa nie kontroluje. Wobec tego muszę z przykrością stwierdzić, że nie używam profilu zaufanego ePUAP, nigdy go nie założyłem i odradzam jego stosowanie.

Podpis z wielu elementów

Na początku 2009 r. wykorzystanie bezpiecznego podpisu elektronicznego, weryfikowanego kwalifikowanym certyfikatem, ograniczało się do spraw określonych wymogami prawa, czyli składania deklaracji podatkowych od przedsiębiorców i wymiany dokumentów z ZUS. Dowód osobisty z warstwą elektroniczną spodziewany był dopiero za 2 lata. Poszukiwano więc mechanizmu, który pozwoliłby rozwijać się usługom elektronicznym w trakcie oczekiwania na to zaawansowane i tanie narzędzie.

Wszyscy byli wówczas pod wrażeniem sukcesu, jakim stała się możliwość złożenia deklaracji podatkowych bez konieczności posiadania certyfikatu kwalifikowanego (pomysł także mojego autorstwa). Poproszono mnie o przedstawienie koncepcji rozwiązania, które umożliwiałoby posługiwanie się mechanizmami współdzielenia tożsamości obywatela. Warunkiem było, aby mechanizm nie wymagał zbyt dużych nakładów po stronie gmin i urzędów zobowiązanych do przyjmowania podpisanych dokumentów.

Przedstawiłem koncepcję zaawansowanego podpisu elektronicznego realizowanego przez ePUAP w imieniu zarejestrowanego użytkownika. Pomysł ten zakładał realizację wielu elementów, a w szczególności:

1. Modernizację mechanizmów zarządzania tożsamością w systemie ePUAP.

2. Ustalenie mechanizmów bezpieczeństwa rozwiązania, w szczególności objęcie systemem zarządzania bezpieczeństwem informacji zgodnie z normą ISO 27001.

3. Ustalenie mechanizmów zakładania profilu zaufanego ePUAP.

4. Uruchomienie profilu zaufanego osoby fizycznej oraz ujęcie tego mechanizmu w porządku prawnym.

5. Uruchomienie profilu zaufanego dla podmiotów niebędących osobami fizycznymi, określenie tego mechanizmu w porządku prawnym w taki sposób, aby nie naruszało to teorii organów odnoszącej się do zdolność do czynności prawnych.

6. Zastosowanie zaawansowanych mechanizmów zabezpieczeń profilu zaufanego, w tym z wykorzystaniem elektronicznego dowodu osobistego pl.ID.

7. Umożliwienie potwierdzania danych rejestrowych w procesie składania podpisu potwierdzonego profilem zaufanym.

8. Umożliwienie świadczenia usług innych niż administracji publicznej, w szczególności umożliwienie korzystania z profilu zaufanego przez usługodawców internetowych i banki.

9. Określenie roli profilu zaufanego w momencie wdrożenia elektronicznego dowodu tożsamości i jego migracja do mechanizmów procesowego zarządzania dostępem do danych.

Z powyższej listy pomysłów i elementów rozwiązania MSWiA zdecydowało się wdrożyć jedynie punkty 3 i 4. Decyzję na temat pozostałych odłożono do czasu wdrożenia nowego dowodu.

Zabrakło zabezpieczeń

Profil zaufany ePUAP jest dzisiaj jedynym ogólnopolskim i darmowym mechanizmem uwierzytelniania w procesach dokumentowych. Warto więc wskazać główne mankamenty tego rozwiązania. Całość profilu zaufanego jest zaszyta w systemie w całości kontrolowanym i utrzymywanym przez zewnętrzną firmę - pozostającą w zakresie bezpieczeństwa poza kontrolą administracji publicznej. O ile mi wiadomo, nigdy nie przeprowadzono kompletnego audytu rozwiązania, a Centrum Projektów Informatycznych nie ma realnej kontroli nad działaniem systemu. Brak mechanizmów bezpieczeństwa w sferze organizacyjnej skutkuje brakiem zobowiązań firmy utrzymującej profil zaufany.

Profil zaufany jest obecnie mechanizmem opartym tylko na haśle i kontroli nad podpisami przez skrzynkę elektroniczną użytkownika. Atak na profil zaufany ogranicza się do przejęcia kontroli nad skrzynką poczty elektronicznej użytkownika, co umożliwia całkowite przejęcie wykorzystania profilu zaufanego przez atakującego. W założeniach proces złożenia podpisu potwierdzonego profilem zaufanym miał wykorzystywać różne techniki uwierzytelnienia użytkowników. Jednym z głównych mechanizmów pozwalających na bezpieczne korzystanie z zaawansowanych funkcji profilu zaufanego miał być elektroniczny dowód osobisty. Nie można bowiem oprzeć narodowego mechanizmu uwierzytelniania obywateli tylko na znajdujących się poza czyjąkolwiek kontrolą zabezpieczeniach skrzynek pocztowych użytkowników. Rosnące ryzyko nieuprawnionego wykorzystania wymaga zastosowania bardziej zaawansowanych mechanizmów, opartych na karcie, tokenie, biometrii lub hasłach jednorazowych.

Dopóki profil zaufany jest mechanizmem potwierdzania autentyczności pism, gdzie ryzyko jest niewielkie, dopóty możemy używać go w obecnej postaci. Jeżeli natomiast - jak wskazuje rząd w swoich oficjalnych komunikatach - ma być podstawą określania tożsamości obywatela w sieci, to ryzyko zaczyna być poważne. Zarówno dla samego użytkownika, jak i usług świadczonych przez internet.

Brak zarządzania bezpieczeństwem informacji, analizy ryzyka i adekwatnych zabezpieczeń profilu zaufanego może doprowadzić do poważnego naruszenia zaufania wobec mechanizmów usług elektronicznych, a co za tym idzie, do kompromitacji obecnej i przyszłej cyfryzacji państwa. Przy wykorzystaniu profilu w obecnym kształcie nie można dać dostępu do danych rejestrowych, medycznych czy wypełnionych deklaracji podatkowych, ponieważ zagrożenia z tytułu naruszenia profilu zaufanego mają poważne konsekwencje, w szczególności w kategoriach utraty prywatności lub naruszenia dóbr materialnych.

Potrzebne szersze zastosowanie

Przeciętny obywatel ma niewielkie potrzeby związane z komunikowaniem się z urzędem. Dla większości społeczeństwa ograniczają się one do jednej lub dwóch spraw rocznie. Mechanizm, który ma tak ograniczone zastosowanie, nie może być oparty na haśle dostępowym, ponieważ użytkownicy nie będą go pamiętać. Należy albo zmienić narzędzie, albo zwiększyć zakres jego wykorzystania. Konieczne jest dostarczenie mechanizmu, który będzie bardziej uniwersalny - stanie się narzędziem potwierdzającym tożsamość w różnych sytuacjach, zarówno na gruncie komunikacji z urzędem, jak i podmiotami prywatnymi, np. bankami. Aby to osiągnąć, należy zapewnić gwarancje bezpieczeństwa - nie tylko dla urzędów, ale dla wszystkich, którzy zechcą wykorzystać profil zaufany do akceptacji transakcji.

Elektroniczny dowód osobisty pl.ID miał dawać mechanizmy uwierzytelniania dla obywateli, przedsiębiorców i samej administracji. Niezrozumiałe jest zatem dla mnie, dlaczego zrezygnowano z pl.ID - mechanizmu, który mógł doprowadzić do tego, że usługi skupiałyby się wokół jednej tożsamości, tej, dostarczonej przez dowód osobisty. Wtedy doszłoby do naturalnej integracji rejestrów. Minister Administracji i Cyfryzacji powtarza błędną tezę, że do wydania dowodu osobistego potrzebna jest integracja rejestrów. To integracja rejestrów miała być osiągnięta przez wdrożenie jednego mechanizmu zarządzania tożsamością, a integracja bez takiego mechanizmu nie wiadomo jak miałaby być osiągnięta. Niezrozumiałe jest także, dlaczego wskazuje się profil zaufany jako zastępnik dowodu osobistego w procesach uwierzytelniania, mimo że profil zaufany nie jest do tego gotowy.

Skoro już klamka zapadła i rząd podjął decyzję, że profil zaufany ma być głównym narzędziem w kontaktach z e-administracją, to jako autor rozwiązania apeluję, aby skorzystać z wiedzy ekspertów dla dostosowania go do tych poważnych wyzwań i wymogów. Wykorzystajmy najlepsze doświadczenia rzeczywistych liderów Unii Europejskiej w zakresie elektronicznej tożsamości i przebudujmy mechanizm profilu zaufanego w taki sposób, aby był on rzeczywiście bezpieczny dla wszystkich możliwych zastosowań. Z jednej strony należy zapewnić niezależność dostawców usług dla ePUAP, a z drugiej nie obawiać się tego, że forma współpracy publiczno-prywatnej w zakresie dostarczania tego typu usług umożliwia gwarantowanie odpowiedniego poziomu bezpieczeństwa podmiotów komercyjnych.

Pracując nad Państwem 2.0, Minister Administracji i Cyfryzacji powinien założyć, że wiele ważnych kompetencji w tym zakresie jest na zewnątrz rządu, a każde rozwiązanie wymaga publicznej konsultacji i dyskusji.

Michał Tabor, absolwent Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego; posiadacz certyfikatu CISSP; ekspert z zakresu podpisu elektronicznego, elektronicznej administracji oraz bezpieczeństwa systemów teleinformatycznych. W latach 2002-2006 kierownik Centrum Certyfikacji Signet TP Internet; był odpowiedzialny za przygotowanie centrum do świadczenia kwalifikowanych usług certyfikacyjnych i certyfikację WebTrust. Autor specjalistycznych publikacji z zakresu dokumentu elektronicznego i podpisu elektronicznego.

Architekt mechanizmów uwierzytelniania użytkowników systemów administracji publicznej w ePUAP, autor technicznego rozwiązania uwierzytelniania deklaracji PIT przyjmowanych bez konieczności opatrywania ich bezpiecznym podpisem elektronicznym, pomysłodawca mechanizmów podpisu potwierdzonego profilem zaufanym. Twórca koncepcji PKI 2.0 - modelu usługowego dla podpisu elektronicznego.

Obecnie pracuje jako dyrektor operacyjny w Trusted Information Consulting.


TOP 200