28 stycznia 2016 roku na Politechnice Wrocławskiej rozpoczął się cykl spotkań w ramach IATI Cybersecurity Academy. Pierwsze poświęcone było problematyce tzw. Rozporządzenia eIDAS. Profesor Kutyłowski wygłosił na tym spotkaniu wykład inauguracyjny.
Panie Profesorze, odbyło się pierwsze spotkanie w ramach IATI Cybersecurity Academy. Czym ma się zajmować Akademia Cyberbezpieczeństwa IATI?
Chcemy się regularnie spotykać w gronie naukowo-przemysłowym. Każda ze stron ma tu nieco inne źródła informacji, inne doświadczenia i inny sposób działania. Chcemy uruchomić przepływ informacji – zresztą dwustronnej. Nic tak nie polepsza jakości badań naukowych i kształcenia inżynierów jak kontakt z rzeczywistością. A ta w obszarze bezpieczeństwa zmienia się bardzo szybko. Z drugiej strony, jest bardzo wiele przykładów nietrafionych inwestycji przemysłowych w obszarze bezpieczeństwa. To naprawdę pole minowe. Na tyle na ile to możliwe, chcemy pomóc przeżyć na tym polu naszym partnerom.
Pierwsze spotkanie poświęcone było problematyce tzw. Rozporządzenia eIDAS. Czego ono dotyczy?
Rozporządzenie eIDAS to europejski akt prawny mający na celu uporządkowanie rynku usług uwierzytelniania i identyfikacji. Głębszym i tak naprawdę głównym celem jest zwiększenie bezpieczeństwa w obrocie elektronicznym w Europie. Oprócz usankcjonowania usług tak bardzo potrzebnych jak pieczęć elektroniczna, regulacja wprowadza między innymi obowiązek informowania o incydentach bezpieczeństwa organy odpowiedzialne za bezpieczeństwo i potencjalnych poszkodowanych. To duża zmiana, dotychczas takie zagrożenia były częstokroć przemilczane w obawie o reputację zaatakowanej instytucji.
Dlaczego jest ono ważne dla Polski?
Cyberprzestępczość nie zatrzymuje się na granicach Polski. Niestety na całym świecie można zaobserwować wzrost skali cyberataków. Szczególnie bolesne z perspektywy pojedynczej osoby są w tym przypadku ataki polegające na kradzieży tożsamości. Z dnia na dzień możemy się przekonać, że mamy do spłacenia wysoki kredyt – kredyt, którego nigdy nie zaciągaliśmy. W tej sytuacji dążenia do uporządkowania metod uwierzytelniania i podniesienia ich na poziom zapewniający choćby minimalne bezpieczeństwo jest tak ważne. Niestety, bardzo mało zdajemy sobie z tego sprawę.
Dla jakich grup społecznych Rozporządzenia eIDAS będzie miało największe znaczenie?
Jest chyba tylko jedna grupa społeczna, której eIDAS nie będzie dotyczył – mianowicie grupy osób wykluczonych cyfrowo. Jednak i tu eIDAS stawia sobie ambitne cele: przeciwdziałanie wykluczeniom powstałym przez stosowanie rozwiązań technicznie dyskryminujących w obrocie transgranicznym. Czy się to uda w sposób zaprojektowany w Rozporządzeniu – osobiście wątpię, ale to inna historia.
Największym sukcesem moim zdaniem jest przełamanie oporu konserwatystów i dopuszczenie pieczęci elektronicznej jako swojego rodzaju ekwiwalentu podpisu elektronicznego osoby prawnej. Dzięki temu łatwiej będzie rozpoznać fałszywe dokumenty. Co więcej – narzędzia weryfikacji będą w zasięgu ręki „zwykłego Kowalskiego”.
Rozporządzenia eIDAS częściowo już obowiązuje, a w pełnym zakresie wchodzi w życie 1 lipca. Czy jesteśmy na to przygotowani?
Nic nie wskazuje, byśmy byli przygotowani. Regulacja wymaga dostosowania prawa krajowego – przestanie obowiązywać ustawa o podpisie elektronicznym (zresztą na szczęście, bo była wyłącznie czynnikiem hamującym rozwój rynku). Z drugiej strony polskie prawo obfituje w odwołania do „bezpiecznego podpisu elektronicznego weryfikowanego ważnym kwalifikowanym certyfikatem”. Te przepisy przestaną działać. Ma to istotne znaczenie, choćby ze względu na nałożony kiedyś obowiązek stosowania takiego podpisu w komunikacji płatników z ZUS.
Istotniejsze jest jednak to, że w Polsce poziom stosowanej technologii uwierzytelniania w kontaktach obywatel-podmioty publiczne jest katastrofalny. Dotyczy to zarówno poziomu bezpieczeństwa obywateli i bezpieczeństwa publicznego. Mechanizmy takie jak login i hasło powinny dawno przejść do lamusa. EPUAP mógł być pierwszym krokiem i protezą systemu uwierzytelniania. Jednak nie spełnia on nawet poziomu „niski” według kategoryzacji eIDAS. Jesteśmy po prostu coraz bardziej zacofani i coraz bardziej pozbawieni ochrony tożsamości w obrocie elektronicznym.
Jak członkowie IATI mogą się włączyć w prace związane z wejściem rozporządzenia i w jakich dziedzinach otwiera się pole do popisu?
Ponieważ Regulacja eIDAS zmienia i ujednolica wymagania na rynku europejskim, zresetowaniu ulega rynek technologii uwierzytelniania i identyfikacji elektronicznej. Warto zauważyć, że wiele postulowanych przez eIDAS produktów nie ma swoich odpowiedników w obecnej ofercie. Wchodząc z odpowiednimi produktami mamy dziś niepowtarzalną szansę konkurować z firmami posiadającymi obecnie duży udział na rynku. Uważam, że potencjał intelektualny i doświadczenie polskich informatyków stanowi tu dobre rokowanie. Nie zmarnujmy tej szansy…
Jeden z najbardziej fascynujących i trudnych obszarów działania, to techniki ochrony prywatności w uwierzytelnianiu i identyfikacji. Okazuje się, że w obszarze tym można naprawdę uczynić wiele – dużo więcej niż się spodziewaliśmy kilka czy kilkanaście lat temu.