Nauka i Edukacja Ekonomiczna | Webinarium i Raport PAB-WIB | Mamy kłopoty z tożsamością w cyfrowym świecie

Jacek Ramotowski

– Tożsamość jest najważniejsza w łańcuchu zaufania. Jeśli ktoś chce zaatakować system finansowy, to celem jest najsłabsze ogniwo. (…) Najsłabsze jest to, kiedy osobie przychodzącej do instytucji otwiera się rachunek, udziela kredytu. Jak upewnić się, czy ta osoba w ogóle istnieje – mówił podczas seminarium Warszawskiego Instytutu Bankowości prof. dr hab. Mirosław Kutyłowski z Politechniki Wrocławskiej.

Pod jego kierunkiem, na zlecenie WIB, powstał raport „Problemy elektronicznego potwierdzania tożsamości”, który zaprezentowano podczas seminarium. Jego autorami są także dr Piotr Syga, dr Przemysław Kubiak, dr Anna Lauks-Dutka, dr Wojciech Wodo i dr Filip Zagórski z Politechniki Wrocławskiej oraz dr Sylwia Kotecka-Kral z Uniwersytetu Wrocławskiego i dr inż. Lucjan Hanzlik, profesor w CISPA Helmholtz Center for Information Security.

Klient – prawdziwy czy fałszywy?

Raport poddaje analizie obecny stan systemów potwierdzania tożsamości drogą cyfrową. Skupia się na zagrożeniach, na które rzadko zwracano uwagę, tworząc systemy oceny ryzyka związanego z przetwarzaniem danych. Analizuje też zagrożenia wynikające z regulacji prawnych. Koncentruje się w końcu na strategiach i rozwiązaniach postulowanych jako najbardziej skuteczne dla zapewnienia bezpieczeństwa.

Co to takiego ta cyfrowa tożsamość? – Według Europejskiego Instytutu Norm Telekomunikacyjnych, który zajmuje się opracowywaniem norm i standardów niezbędnych do stworzenia jednolitego rynku telekomunikacyjnego, jest to zestaw atrybutów, cech i informacji, które ją opisują – mówił Michał Tabor, członek komitetu technicznego ETSI. Atrybutów i cech tożsamości może być wiele.

Dla bezpieczeństwa usług finansowych kluczowe znaczenie ma to, czy osoba wchodząca w interakcję z instytucją nie posługuje się fałszywą albo też fikcyjną tożsamością. A – jak pokazują doświadczenia sektora finansowego – sfałszowanie lub wręcz wytworzenie fikcyjnej tożsamości jest jednym z najczęściej przeprowadzanych ataków służących wyłudzeniom. Drugą kluczowo ważną sprawą jest stwierdzenie, czy ktoś, kto wchodzi poprzez cyfrowe drzwi do banku, nie podszywa się pod inną istniejącą osobę, chcąc ją okraść.

W czasach, kiedy ludzie znali się nawzajem, było to o wiele prostsze. Rozwój technologiczny zmienił całkowicie procedury potwierdzania tożsamości. Wielu tradycyjnych rozwiązań papierowych nie da się bezpośrednio przenieść do świata cyfrowego, bo zmieniły się sposoby ich używania i kanały komunikacji. Z drugiej strony w ślad za budowaniem bezpieczeństwa świata cyfrowego podążają wyrafinowane techniki łamania zabezpieczeń.

Katalog luk

To powoduje, że stąpamy po kruchym lodzie – wskazują naukowcy w raporcie. Sektor finansowy nie powinien sobie na takie ekstrawagancje pozwalać. Szczególnie ważne dla banków jest uwzględnienie sytuacji nadzwyczajnych, mogących przesądzić o stabilności całego systemu. Dlatego autorzy raportu stworzyli katalog luk, zapraszających do ataku.

Głównym problem jest np. stosowanie rozwiązań kryptograficznych w oprogramowaniu. Implementacja bibliotek funkcji kryptograficznych nie zawsze jest udana. Naukowcy zalecają szczególnie zwracać uwagę, z jakich bibliotek się korzysta, czerpać z tych przebadanych, zweryfikowanych przez społeczność lub grupę ekspertów.

– Dokument elektroniczny uwierzytelniony jest bardzo silną kryptografią. Ale tak naprawdę nie wiemy, jak długo algorytmy kryptograficzne będą działały. (…) Buńczuczne informacje na temat siły długości klucza czasami się sprawdzają, ale czasami nie – stwierdził w trakcie seminarium Mirosław Kutyłowski.

Następnym ...