Social media

Podpis kwalifikowany anonimowy. „Kwestia ochrony danych jest kluczowa” [WYWIAD]

fot. Ewa Bielawska, dyrektor handlowa CenCert/ materiały prasowe
fot. Ewa Bielawska, dyrektor handlowa CenCert/ materiały prasowe

"Bezpieczeństwo informacji oraz danych jest sprawą kluczową w zmieniającej się stale sytuacji geopolitycznej. Różnego rodzaju kryzysy pokazują nam, że certyfikowane bezpieczeństwo przestało być opcją czy możliwością, a stało się koniecznością" - wskazuje Ewa Bielawska, dyrektor handlowa CenCert w rozmowie z CyberDefence24.pl. 

CyberDefence24.pl: Na rynku pojawia się coraz więcej rozwiązań, które mają zapewnić bezpieczeństwo danych, ich przechowywanie i przepływ. Czy widzi Pani zmianę myślenia o ich ochronie?
Ewa Bielawska, dyrektor handlowa CenCert: Kwestia ochrony danych jest kluczowa. Rzeczywistość, w której żyjemy niesie rewolucyjne zmiany w cyfrowym świecie. Ewaluacja diagnozowanych zagrożeń czy prognozowanych wyzwań wymusza na nas zmianę myślenia o ochronie danych. Myślenie o takich kwestiach jako kluczowych staje się powszechne. Widzimy wzrost świadomości i wzrost zainteresowania rozwiązaniami, które mogą nas wspierać w dbaniu o bezpieczeństwo informacji i danych. Ważne, by wiedza o możliwościach - jakie pewne rozwiązania dają – upowszechniła się.

Jednym z takich rozwiązań jest oferowany przez Was podpis kwalifikowany anonimowy. Czy możemy powiedzieć, na czym polega to rozwiązanie? Jaka jest różnica między standardowym, a kwalifikowanym podpisem anonimowym?
Może krótko powiem - aby było łatwiej sobie to wyobrazić - czym jest tradycyjny podpis elektroniczny. Rozwiązań służących do podpisywania dostępnych na rynku jest wiele. Natomiast jedynym podpisem elektronicznym, który w świetle przepisów prawa jest tożsamy z podpisem własnoręcznym jest kwalifikowany podpis elektroniczny. Wydać certyfikat do takiego podpisu może jedynie kwalifikowane centrum certyfikacji. Taki podpis elektroniczny zawiera w danych certyfikatu dane osobowe: imię, nazwisko, pesel osoby, która złożyła podpis. Dodatkowo możemy zawrzeć dane instytucji, której pracownikiem jest subskrybent. Dokument podpisany certyfikatem kwalifikowanym posiada informację, że został podpisany przez tę osobę danego dnia i o danej godzinie. Jednakże w procesie weryfikacji podpisu wszystkie te dane są widoczne wraz z numerem pesel. Certyfikaty anonimowe z kolei nie zawierają danych osobowych, więc podczas weryfikacji nie ma możliwości ich ujawnienia. Taki certyfikat może zawierać np. dane instytucji oraz unikatowy numer ID. Mimo, że ten podpis nie posiada danych osobowych, jest zgodny z przepisami eIDAS i tak samo jak jego tradycyjna wersja jest podpisem tożsamym z podpisem własnoręcznym.

W jaki sposób zapewnia bezpieczeństwo, czym się wyróżnia na rynku?
W gruncie rzeczy mamy tu do czynienia z pseudonimizacją danych osobowych. Polega ona na zmianie identyfikatorów, które są danymi osobowymi na takie, które nimi nie są, czyli imiona, nazwiska, zastępowane są liczbami. Dzięki takiemu przekształceniu nie można danych przypisać konkretnej i zidentyfikowanej osobie. Pozwala to na uniknięcie zagrożenia związanego z naruszeniem danych osobowych, ponieważ w certyfikacie ich nie ma. Jednak pseudonimizacja jest procesem odwracalnym – w razie konieczności – na użytek organów państwowych, na przykład Sądów, jesteśmy w stanie skorelować dane certyfikatu z powrotem z konkretną osobą. Jest to możliwe, ponieważ jako kwalifikowany podmiot świadczący usługi zaufania przechowujemy pełne dane osobowe, w sposób zgodny z przepisami i procedurami. Dane osobowe właściciela certyfikatu znane są tylko jemu oraz nam, jako podmiotowi który wydał certyfikat. Dla reszty świata są nieznane.

Kwestia istotna dla pracowników służb mundurowych

Z czego wynikała potrzeba stworzenia podpisu kwalifikowanego anonimowego? Kto jest adresatem tego rozwiązania?
Myślę, że wszyscy jesteśmy na tyle już świadomi zagrożeń związanych z naruszeniem danych osobowych, że zaczęliśmy czuć wręcz palącą potrzebę ochrony naszych danych i szukać narzędzi, które nam to umożliwią. Kwestia ochrony danych osobowych jest bardzo ważna dla pracowników służb mundurowych oraz instytucji państwowych. Instytucje nie chcą ujawniać danych swoich pracowników, a pamiętajmy, że złożony pod dokumentem podpis te dane ujawni. Również UODO podnosił kwestię ochrony danych osobowych, zawartych w certyfikatach kwalifikowanych. Certyfikaty „anonimowe” są naszą odpowiedzią na te potrzeby.
Pierwsza instytucja, która skorzystała z możliwości, jaką daje podpis anonimowy jest Komenda Stołeczna Policji w Warszawie. W chwili obecnej jesteśmy jedynym w Polsce kwalifikowanym podmiotem, które może zgodnie z przepisami eIDAS takie podpisy anonimowe wydawać.

Mówiła pani o tym, że prawdziwe dane zna tylko subskrybent. Co się z nimi dzieje pod względem zabezpieczenia technicznego np. serwerów?
Dane te są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przepisanie zidentyfikowanej osobie fizycznej. Subskrybent rzeczywiście podaje nam te dane podczas weryfikacji tożsamości, która jest wymagana przez przepisy eIDAS w procedurze wydania certyfikatu kwalifikowanego. My te dane mamy, zna je tylko subskrybent i tylko Centrum Certyfikacji.

Jakie są skutki prawne używania takiego podpisu kwalifikowanego, czym się różnią od skutków prawnych standardowego podpisu?
Jeśli chodzi o skutki prawne, są one analogiczne, jak w przypadku certyfikatów kwalifkowanych. To jest podpis tożsamy z podpisem własnoręcznym. W świetle prawa funkcjonuje dokładnie tak samo, jak podpis tradycyjny.

Jak pani sądzi, czy po ostatnim wycieku ze skrzynek mailowych polityków przyjdzie refleksja i pojawi się przekonanie, że powinno się korzystać z tego typu narzędzi?
Bezpieczeństwo informacji oraz danych jest sprawą kluczową w zmieniającej się stale sytuacji geopolitycznej. Różnego rodzaju kryzysy pokazują nam, że certyfikowane bezpieczeństwo przestało być opcją czy możliwością, a stało się koniecznością. Jako Centrum Certyfikacji Kluczy staramy się również wnieść wkład w minimalizowanie ryzyk i zagrożeń związanych z funkcjonowaniem w cyfrowym świecie, dlatego podjęliśmy się tego wyzwania – stworzenia pseudonimizowanych podpisów. Mam nadzieję, że to rozwiązanie się upowszechni, wesprze nas w dbaniu o nasze cyberbezpieczeństwo.

Proces, który wymaga czasu

Coraz więcej mówimy o bezpieczeństwie danych, cyberbezpieczeństwie jako działce gospodarki. Wciąż jednak istnieje wiele barier do wdrożenia innowacyjnych rozwiązań. Jakie by pani wymieniła?
Na dobrą sprawę Polska, podobnie jak również inne kraje ma zadanie przygotowania możliwości prawnych i organizacyjnych dla innowacyjnych rozwiązań. Technologicznie jesteśmy w dużej mierze przygotowani. To jest jednak proces, który wymaga czasu. Znaczących zagrożeń jednak nie widzę.

Pod kątem edukacji, dotarcia do odpowiedniej grupy, aby wykorzystanie tego typu rozwiązań było powszechne – w tym zakresie cokolwiek można zmienić?
Na pewno musimy się skupić na szerokiej edukacji użytkowników i to faktycznie może stanowić wyzwanie. Zagrożenia i cyberataki są coraz bardziej widoczne, nagłaśniane, państwo o nich mówią, informacje docierają do szerokiego grona odbiorców. Myślę więc, że ta świadomość rośnie. Ze swojej strony jako Centrum Certyfikacji staramy się edukować naszych klientów, tłumaczymy czym te dane są, jak o nie dbać, w jaki sposób korzystać z naszych rozwiązań. Na pewno długa droga przed nami, ale cel jest jasny czyli zapewnienie właściwego poziomu bezpieczeństwa cyberprzestrzeni i funkcjonujących w niej ludzi.

Na przestrzeni lat widzi pani zmianę w myśleniu i podejściu, w postrzeganiu, że coraz powszechniejsze stosowanie tego typu rozwiązań jest potrzebne?
Myślę, że na przestrzeni ostatnich lat zmieniło się bardzo dużo. Wiele zmieniła pandemia, która rozpoczęła się w ubiegłym roku. Wcześniej podpisy kwalifikowane były wykorzystywane dość często, natomiast fakt, że musieliśmy przenieść nasze biura i pracę do domu bardzo spopularyzowało to rozwiązanie. Nauczyliśmy się pracować zdalnie, tylko i wyłącznie na elektronicznych dokumentach. Dzięki usługom kwalifikowanym możemy zawierać zdalnie umowy, wysyłać sprawozdania finansowe, komunikować się z urzędami.
Dziękuję bardzo za rozmowę.

Wywiad powstał we współpracy z firmą Enigma Systemy Ochrony Informacji


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

Komentarze

    Czytaj także