Nauka i Edukacja Ekonomiczna | Webinarium i Raport PAB-WIB | Mamy kłopoty z tożsamością w cyfrowym świecie

Nauka i Edukacja Ekonomiczna | Webinarium i Raport PAB-WIB | Mamy kłopoty z tożsamością  w cyfrowym świecie
Fot. LuckyStep/stock.adobe.com
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Żeby korzystać z usług cyfrowych – prywatnych i publicznych – musimy posiadać cyfrową tożsamość. Co się powinno na nią składać? Jak mamy ją poświadczać? Gdzie powinny znajdować się potwierdzające ją dane i dokumenty? To kluczowe pytania dla sektora finansowego. Odpowiedzi na nie udzieliła grupa polskich naukowców.

Jacek Ramotowski

Tożsamość jest najważniejsza w łańcuchu zaufania. Jeśli ktoś chce zaatakować system finansowy, to celem jest najsłabsze ogniwo. (…) Najsłabsze jest to, kiedy osobie przychodzącej do instytucji otwiera się rachunek, udziela kredytu. Jak upewnić się, czy ta osoba w ogóle istnieje – mówił podczas seminarium Warszawskiego Instytutu Bankowości prof. dr hab. Mirosław Kutyłowski z Politechniki Wrocławskiej.

Pod jego kierunkiem, na zlecenie WIB, powstał raport „Problemy elektronicznego potwierdzania tożsamości”, który zaprezentowano podczas seminarium. Jego autorami są także dr Piotr Syga, dr Przemysław Kubiak, dr Anna Lauks-Dutka, dr Wojciech Wodo i dr Filip Zagórski z Politechniki Wrocławskiej oraz dr Sylwia Kotecka-Kral z Uniwersytetu Wrocławskiego i dr inż. Lucjan Hanzlik, profesor w CISPA Helmholtz Center for Information Security.

Klient – prawdziwy czy fałszywy?

Raport poddaje analizie obecny stan systemów potwierdzania tożsamości drogą cyfrową. Skupia się na zagrożeniach, na które rzadko zwracano uwagę, tworząc systemy oceny ryzyka związanego z przetwarzaniem danych. Analizuje też zagrożenia wynikające z regulacji prawnych. Koncentruje się w końcu na strategiach i rozwiązaniach postulowanych jako najbardziej skuteczne dla zapewnienia bezpieczeństwa.

Co to takiego ta cyfrowa tożsamość? – Według Europejskiego Instytutu Norm Telekomunikacyjnych, który zajmuje się opracowywaniem norm i standardów niezbędnych do stworzenia jednolitego rynku telekomunikacyjnego, jest to zestaw atrybutów, cech i informacji, które ją opisują – mówił Michał Tabor, członek komitetu technicznego ETSI. Atrybutów i cech tożsamości może być wiele.

Dla bezpieczeństwa usług finansowych kluczowe znaczenie ma to, czy osoba wchodząca w interakcję z instytucją nie posługuje się fałszywą albo też fikcyjną tożsamością. A – jak pokazują doświadczenia sektora finansowego – sfałszowanie lub wręcz wytworzenie fikcyjnej tożsamości jest jednym z najczęściej przeprowadzanych ataków służących wyłudzeniom. Drugą kluczowo ważną sprawą jest stwierdzenie, czy ktoś, kto wchodzi poprzez cyfrowe drzwi do banku, nie podszywa się pod inną istniejącą osobę, chcąc ją okraść.

W czasach, kiedy ludzie znali się nawzajem, było to o wiele prostsze. Rozwój technologiczny zmienił całkowicie procedury potwierdzania tożsamości. Wielu tradycyjnych rozwiązań papierowych nie da się bezpośrednio przenieść do świata cyfrowego, bo zmieniły się sposoby ich używania i kanały komunikacji. Z drugiej strony w ślad za budowaniem bezpieczeństwa świata cyfrowego podążają wyrafinowane techniki łamania zabezpieczeń.

Katalog luk

To powoduje, że stąpamy po kruchym lodzie – wskazują naukowcy w raporcie. Sektor finansowy nie powinien sobie na takie ekstrawagancje pozwalać. Szczególnie ważne dla banków jest uwzględnienie sytuacji nadzwyczajnych, mogących przesądzić o stabilności całego systemu. Dlatego autorzy raportu stworzyli katalog luk, zapraszających do ataku.

Głównym problem jest np. stosowanie rozwiązań kryptograficznych w oprogramowaniu. Implementacja bibliotek funkcji kryptograficznych nie zawsze jest udana. Naukowcy zalecają szczególnie zwracać uwagę, z jakich bibliotek się korzysta, czerpać z tych przebadanych, zweryfikowanych przez społeczność lub grupę ekspertów.

Dokument elektroniczny uwierzytelniony jest bardzo silną kryptografią. Ale tak naprawdę nie wiemy, jak długo algorytmy kryptograficzne będą działały. (…) Buńczuczne informacje na temat siły długości klucza czasami się sprawdzają, ale czasami nie – stwierdził w trakcie seminarium Mirosław Kutyłowski.

Następnym problemem ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Źródło: Miesięcznik Finansowy BANK