Pułap braku zaufania

Cyfryzacja administracji publicznej jest tematem, który wzbudza kontrowersje. Wiele problemów wiąże się z Elektroniczną Platformą Usług Administracji Publicznej (ePUAP). Wśród sygnalizowanych zastrzeżeń, dotyczących platformy są braki dotyczące bezpieczeństwa informacji, adekwatnego zabezpieczenia profilu zaufanego czy nieprzeprowadzenia analizy ryzyka.

Dzięki profilowi zaufanemu ePUAP możliwe jest składanie dokumentów do organów administracji publicznej przy wykorzystaniu podpisu elektronicznego. Narzędzie to identyfikuje i opisuje osobę, która składa podpis – spełnia przy tym funkcje komercyjnego podpisu elektronicznego. Docelowo dzięki profilowi zaufanemu kontakt z administracją ma być prostszy i łatwiejszy. Jednakże, jak wskazuje autor koncepcji zaawansowanego podpisu elektronicznego w ramach ePUAP-u – Marcin Tabor, w realizacji projektu pominięte zostały mechanizmy zapewniające bezpieczeństwo informacji.

W artykule opublikowanym na portalu Computerworld Tabor podkreśla, że system profilu zaufanego pozostaje w zakresie bezpieczeństwa poza kontrolą administracji publicznej – jest to domena firmy komercyjnej. W ramach systemu ePUAP nie wdrożono w sposób dostateczny mechanizmów bezpieczeństwa, dodatkowo nie przeprowadzono też kompleksowego audytu całości systemu. "Nie używam profilu zaufanego ePUAP, nigdy go nie założyłem i odradzam jego stosowanie" – stwierdza Tabor. Taka deklaracja padająca z ust autora koncepcji brzmi alarmująco.

Wciąż nierozwiązanym problemem ePUAP-u jest kwestia uwierzytelnienia. W obecnym kształcie mechanizm profilu opiera się na haśle i skrzynce elektronicznej danego użytkownika. Wraz z rezygnacją przez władze z wykorzystania elektronicznego dowodu osobistego, profil zaufany stracił potencjalne narzędzie zapewniające bezpieczeństwo. Nie można bowiem oprzeć narodowego mechanizmu uwierzytelniania obywateli tylko na znajdujących się poza czyjąkolwiek kontrolą zabezpieczeniach skrzynek pocztowych użytkowników – podkreśla Tabor. Niestety to tej pory nie zostały zdefiniowane i wprowadzone bardziej wyrafinowane techniki uwierzytelniania.

Profil zaufany ma według planów rządu służyć do uniwersalnego określania tożsamości obywateli w komunikacji elektronicznej. Ma być m.in. wykorzystywany w szeroki sposób dla celów tworzonego Systemu Informacji Medycznej czy wypełnienia deklaracji podatkowych. Jednakże obecnie stosowane narzędzie bezpieczeństwa ePUAP-u mogą stanowić zagrożenia dla ochrony prywatności i innych praw użytkowników. Istniejące luki mogą doprowadzić do zmniejszenia zaufania dla usług elektronicznych, czego konsekwencją będzie brak akceptacji dla rozwoju cyfrowej administracji.

Kluczowym problemem, który należy rozwiązać jak najszybciej jest wprowadzenie brakujących mechanizmów zapewniających bezpieczeństwo informacji. Powinny one dotyczyć nie tylko urzędów, ale również wszystkich użytkowników korzystających z systemu. Należy koniecznie zastanowić się nad tym, kto i w jakim zakresie odpowiada za funkcjonowanie sytemu. Sytuacja gdy rząd nie posiada kontroli nad narzędziami bezpieczeństwa, a podmiot prywatny nie poczuwa się do obowiązku ich wprowadzenia, jest trudna do zaakceptowania i powinna ulec jak najszybszej zmianie.

Więcej na ten temat:

Computerworld: Nie używam profilu zaufanego na ePUAP