13 lutego 2017

Wirtualna tożsamość

Mirosław Przastek

Od czasu kiedy jest możliwość robienia zakupów przez Internet, składania dyspozycji przelewów lub zdalnego zdawania egzaminów, wiele się mówi o potwierdzaniu tożsamości, uwierzytelnianiu. Posługujemy się tymi terminami wtedy, gdy fizyczny kontakt obywatel – urzędnik, urzędnik
– urzędnik itd. zastępowany jest kontaktem elektronicznym, a dokładniej – cyfrowym. Kiedy kilkadziesiąt lat temu ktoś chciał wypłacić pieniądze ze swojego konta bankowego, wystarczyło, że wylegitymował się np. dowodem osobistym. Pracownik banku porównywał twarz klienta ze zdjęciem w dowodzie, weryfikował podpis na potwierdzeniu wypłaty i, jeśli nie wątpił, że ma do czynienia z właścicielem konta, wypłacał pieniądze.

Korzyściom z postępu technicznego towarzyszą zwykle nowe lub większe wymagania wobec użytkowników. Stosowany powszechnie na przełomie wieków XIX i XX aparat telefoniczny na korbę mogła obsłużyć osoba bez wykształcenia, która dzisiaj nie poradziłaby sobie ze wszystkimi funkcjami smartfona. Jeśli chcemy żyć szybciej i wygodniej, musimy znać współczesne rozwiązania techniczne i umieć z nich korzystać. Od lat mowa jest o elektronicznej dokumentacji medycznej. Trwają starania, aby skutecznie przenieść zapis na papierze do sfery elektronicznej, przy okazji dodając rozmaite udogodnienia, niemożliwe do wprowadzenia w działaniach tradycyjnych. Rozważmy kwestię podpisu pod dokumentem. Pomijając skrajne sytuacje, gdy np. wymagana jest ekspertyza, zwykle nie kwestionuje się autentyczności dokumentu, na którym obok pieczątki lekarza (pielęgniarki, farmaceuty, diagnosty itp.) znajduje się trudny do odczytania lub zgoła nieczytelny znak – osobisty podpis autora. Przyjmuje się, że ten znak umieścił właściciel pieczątki, autoryzując treść znajdującą się przed podpisem. A przecież dowolną treść na pieczątce można w prosty sposób złożyć lub konkretną pieczątkę sfałszować. Także wszelkie znaki w tekście dokumentu można wpisać. Czy wszystkie dokumenty poddaje się bieżącej weryfikacji? Na co dzień zakłada się autentyczność wpisu i podpisu. Przesłanką do takiego rutynowego podejścia może być np. fakt, że dokument należy do większego zbioru, znajduje się w zabezpieczonym pomieszczeniu lub przechowywany jest w taki sposób, aby osoby postronne nie miały do niego dostępu. Podobnie z pieczątką – wiadomo, że właściciel najczęściej odpowiednio jej strzeże. Dopiero w przypadku wątpliwości, sytuacji konfliktowej następuje weryfikacja utartego postępowania. Można wówczas analizować, czy ktoś oprócz właściciela miał dostęp do pieczątki, czy w całym dokumencie użyto identycznego tuszu, wykonać ekspertyzę grafologiczną, zbadać czyje linie papilarne znajdują się na dokumencie itp. Również weryfikacja tożsamości przedstawiciela urzędu w bezpośrednim kontakcie jest czysto teoretyczna. Gdy spotykamy w gmachu sądu osobę w todze, z właściwymi zawodowi atrybutami, zakładamy, że to sędzia. Bez sprawdzania jej legitymacji, zwrócimy się do niej „pani/panie sędzio”. W świecie cyfrowym zjawiska bywają bardziej skomplikowane, ale też mają inną naturę. Wykonując jakieś czynności na komputerze, który jest połączony z siecią, w szczególności z Internetem, musimy być odróżniani od innych użytkowników. Jeśli wysyłamy lub odbieramy pocztę elektroniczną, przeglądamy strony internetowe lub drukujemy na sieciowej drukarce, wszystkie te czynności są identyfikowane dzięki przypisanemu do każdego komputera numerowi, zwanemu adresem IP. Jednak nawet ten identyfikator komputera w sieci może być zamaskowany lub podrobiony. Ponadto wyróżnik komputera nie rozwiązuje kwestii zidentyfikowania użytkownika. Jest to szczególnie trudne, jeśli korzysta z niego kilka osób w różnym czasie. Nawet konieczność posługiwania się hasłami w przypadku niektórych czynności nie gwarantuje wiarygodności informacji o użytkowniku. W wielu sytuacjach tożsamość osoby korzystającej z komputera musi być potwierdzona. Gdy zakładamy konto na portalu czy w sklepie internetowym, najczęściej podczas rejestracji proponujemy nazwę, którą będziemy się tam posługiwać (tzw. login), oraz ustalamy znane tylko sobie hasło. Te dwa osobiste atrybuty pozwalają potem połączyć się z portalem komputerowym jako znana już systemowi osoba. Takie rozwiązanie ma ważną zaletę – jest szybkie i proste, ale ma oczywiście podstawową wadę – system w żaden sposób nie może zweryfikować tożsamości osoby, która konto stworzyła. Jeśli podam zmyślone dane osobowe, system ich nie sprawdzi, mogę więc podszyć się pod dowolną osobę. Aby w systemach komputerowych użytkownik funkcjonował jako fizyczna osoba o potwierdzonej, prawdziwej tożsamości, procedurę tworzenia konta należy rozszerzyć o jednorazowe uwiarygodnienie przez inną osobę lub instytucję. Gdy postanawiam zostać nowym klientem banku, mogę założyć konto w tradycyjnej placówce. Pracownik banku sprawdzi moją tożsamość z dowodem osobistym, ewentualnie z innymi dokumentami, i podpiszę umowę na prowadzenie rachunku. Następnie ustalany jest login (nazwa, identyfikator, którego będę używać do łączenia się z systemem bankowym przez Internet). Otrzymam wówczas hasło, które pozwoli mi połączyć się z rachunkiem bankowym po raz pierwszy. Wpisuję adres strony internetowej banku, podaję login oraz otrzymane z banku inicjacyjne hasło. Pierwszą czynnością, którą teraz wykonam, jest zmiana hasła na nowe – znane już tylko mnie. Hasło jest wprawdzie zapisywane w systemie komputerowym banku, ale w postaci zaszyfrowanej i administrator nie może go używać jako klient banku. W rezultacie tylko ja i system komputerowy banku znamy połączoną parę danych identyfikujących moją osobę – login i hasło. Loginy użytkowników muszą być oczywiście unikalne w danym systemie komputerowym. Hasło im jest dłuższe i bardziej skomplikowane, tym trudniejsze do odgadnięcia (złamania) przez osoby niepowołane. Systemy komputerowe wymagają od użytkownika hasła o minimalnej określonej długości, cechującego się różnorodnością (ma zawierać cyfry, litery duże i małe, znaki specjalne itd.). Często też systemy wymuszają zmianę hasła co pewien czas. Przedstawiony schemat postępowania został więc wykorzystany do wykreowania użytkownika systemu komputerowego z potwierdzoną tożsamością. Teraz za każdym razem, gdy chcemy wykonać przelew, łączymy się z systemem komputerowym banku, podajemy swój login i hasło. Następnie wydajemy konkretne zlecenie, które zwykle musi być dodatkowo potwierdzone kodem odpowiednim dla danej operacji, odczytanym ze specjalnej karty przysłanej wcześniej z banku lub otrzymanym SMS-em. System komputerowy banku ma pewność, że tylko ten, kto zna prawidłową kombinację login-hasło-kod jest osobą, która zawarła umowę z bankiem lub została przez właściciela rachunku obdarzona zaufaniem i ma upoważnienie do wydawania dyspozycji dotyczących konta. W służbie zdrowia działa system komputerowy obsługujący elektroniczną dokumentację medyczną. Nowo zatrudniony pracownik otrzymuje od służb informatycznych login, który stanie się jego identyfikatorem jako autora zapisów w systemie komputerowym placówki. Po utworzeniu swojego indywidualnego hasła użytkownik systemu będzie przy każdej czynności wykonywanej w systemie niejako podpisywał się pod nią. Specjalistyczne systemy komputerowe gromadzą nie tylko dokumenty o określonej treści, z określonymi atrybutami czasu (np. czasem utworzenia, czasem modyfikacji), ale także inne informacje dotyczące aktywności użytkownika (np. czas zalogowania się, wykonane czynności, zmiany w dokumentach). Można przyjąć, że tożsamość użytkowników lokalnego systemu komputerowego jest zweryfikowana na poziomie placówki. Jeśli zachowuje się określone procedury, a indywidualne hasła nie są nikomu udostępniane, można mieć pewność, że informacje uzyskiwane z systemu mają autentycznych, potwierdzonych autorów. Termin uwierzytelnienie według słownika oznacza, że przeprowadzony został proces potwierdzenia czyjejś tożsamości. Zwróćmy uwagę, że zawsze mamy do czynienia z procesem potwierdzenia tożsamości z udziałem innej, dodatkowej osoby – urzędnika lub administratora sieci komputerowej. Musi być osobą zaufaną, spełnia bowiem rolę taką jak notariusz potwierdzający swoim podpisem autentyczność dokumentu. Współcześnie istniejącą elektroniczną komunikację można sklasyfikować według zaangażowanych w nią stron. W nomenklaturze Komisji Europejskiej wyróżnia się m.in. komunikację B2B (business to business) oraz A2C (administration to citizen). Jednym ze sposobów wiarygodnej komunikacji internetowej jest skorzystanie z profilu zaufanego. Po dotychczasowych doświadczeniach korzystania z platformy usług administracji publicznej ePUAP Ministerstwo Cyfryzacji przeprowadziło poważne zmiany w funkcjonowaniu profilu zaufanego. Wydzielono go z platformy ePUAP i przeniesiono do nowego, ulepszonego systemu informatycznego eGO (więcej informacji znajdą Państwo na stronie nadzorowanej przez Ministerstwo Cyfryzacji: pz.gov.pl). Obywatele naszego kraju korzystają z profilu zaufanego bezpłatnie. Umożliwia wystarczająco wiarygodne zdalne wykonywanie wielu czynności w kontaktach z urzędami. Lista spraw, które można załatwić bez osobistego stawiennictwa w urzędzie, nie jest jeszcze imponująca (zależy od konkretnego urzędu), ale nie jest to usługa lokalna. Można więc złożyć pismo do urzędu odległego o setki kilometrów od miejsca zamieszkania o dowolnej godzinie w ciągu doby. Otrzymujemy wtedy tzw. UPO (urzędowe potwierdzenie odbioru), co jest równoważne z osobistym złożeniem pisma. Najwyższy w Polsce odsetek urzędowych spraw załatwionych elektronicznie zanotowano w warszawskim Wilanowie. Środowisko lekarzy i lekarzy dentystów będzie miało już wkrótce możliwość skorzystania z profilu zaufanego. 1 maja ma być uruchomiony System Monitorowania Kształcenia, projekt realizowany przez Centrum Systemów Informacyjnych Ochrony Zdrowia dla Ministerstwa Zdrowia. Jego celem jest cyfryzacja procesów towarzyszących kształceniu podyplomowemu. ■

oprac. kb

Forum dyskusyjne - napisz komentarz

Musisz się zalogować, aby móc dodać komentarz.

Archiwum