Firmy
Notowania

Informacja kluczem do sukcesu

W dzisiejszej rzeczywistości gospodarczej informacja stanowi o przewadze konkurencyjnej przedsiębiorstwa. Posiadanie danych o planach konkurentów pozwala na odpowiednio wczesne przygotowanie strategii i osiągnięcie sukcesu handlowego. Kluczowym czynnikiem powodzenia rynkowego każdej firmy jest więc prawidłowe gromadzenie, przetwarzanie i zarządzanie informacją. Nierozerwalnie z tymi procesami wiąże się bezpieczeństwo zasobów informacyjnych organizacji.

Publikacja: 25.06.2004 13:43

Dariusz Lewicki

Nie należy bowiem zapominać, że obok szeregu korzyści płynących z posiadania informacji, mogą pojawić się także niebezpieczne konsekwencje w przypadku nieprawidłowego zarządzania danymi. Niejednokrotnie są one niewspółmiernie większe od osiąganych korzyści.

Źle zarządzane dane mogą spowodować zapychanie kanałów komunikacyjnych firmy, generowanie zbędnych kosztów oraz spowalnianie procesów decyzyjnych. Innym niebezpiecznym skutkiem niedrożnych i nieprawidłowo zabezpieczonych kanałów informacyjnych jest utrata tajemnic handlowych przedsiębiorstwa, a co za tym idzie zaprzepaszczenie kwot wydatkowanych na rozwój nowych produktów, technologii, czy strategii gospodarczych.

Od wielu lat wiodące metody ochrony informacji wykorzystują zaawansowane techniki kryptograficzne bardzo dobrze ustandaryzowane i upowszechnione przez szerokie ich stosowanie w popularnych systemach operacyjnych i aplikacjach biurowych. Poza stosowaniem technik szyfrowania danych dla zapewnienia poufności informacji, coraz szerzej stosuje się mechanizm podpisu cyfrowego, który obecnie jest jedną z najbardziej uznanych technik bezpieczeństwa, stosowanych przy wymianie dokumentów i komunikatów. Podpis cyfrowy jest najpopularniejszą i najszerzej stosowaną odmianą pojęcia podpisu elektronicznego, bazującą na technologii kryptografii asymetrycznej, zwanej również kryptografią klucza publicznego. Od dwóch lat obowiązuje w Polsce ustawa o podpisie elektronicznym, która zrównuje z mocy prawa kwalifikowany podpis elektroniczny z podpisem odręcznym. Warto zauważyć, że e-podpis występuje w praktycznych zastosowaniach znacznie częściej w swojej mniej wymagającej formie, czyli tzn. podpisie niekwalifikowanym.

Stosowanie e-podpisu do realizacji wielu różnych usług ochrony informacji jest jedną z najbezpieczniejszych a zarazem najbardziej uniwersalnych metod osiągania takich celów biznesowych jak identyfikacja źródła wiadomości lub transakcji, bardzo pewne potwierdzenie tożsamości strony komunikujących się w dzisiejszym wirtualnym świecie, zapewnienie możliwości wykrycia najdrobniejszych prób manipulacji treścią dokumentów i przekazu elektronicznego. Jednak najważniejszą cechą podpisu elektronicznego, niemożliwą do pełnej realizacji z użyciem innych ciągle popularnych technik (tokenów haseł jednorazowych, "zdrapek", itp.), jest to iż złożenia podpisu a tym samym autorstwa dokumentu czy transakcji nie można się wyprzeć. Jest to tzw. usługa niezaprzeczalności.

Funkcjonowanie podpisu elektronicznego w jego dzisiejszej formie wymaga pewnych założeń organizacyjnych, czyli zdefiniowania wyróżnionych stron komunikacji, punktów zaufania, zasad odpowiedzialności oraz wspólnych standardów technicznych i formatów danych - czyli istnienia Infrastruktury Klucza Publicznego - PKI. Zależnie od konkretnych celów i potrzeb biznesowych, struktury takie wdraża się w ramach poszczególnych organizacji lub ich grup albo korzysta się z zewnętrznych dostawców różnych usług certyfikacyjnych w modelu outsourcingu.

Na świecie zastosowanie technologii PKI, szczególnie w biznesie, staje się coraz bardziej powszechne. Także w Polsce e-podpis będzie zdobywał coraz więcej zwolenników i to zarówno w swojej bardziej wymagającej postaci ("podpis kwalifikowany") jak i tej znacznie szerszej co do możliwości zastosowań postaci, czyli "zwykłego podpisu cyfrowego".

Stosowanie podpisu elektronicznego w przypadku używania go przez osoby indywidualne wiąże się z używaniem innej bardzo obecnie popularnej technologii jaką są karty elektroniczne zwane często "smart cards" ze względu na znaczny poziom "inteligencji" jak na tak małe i poręczne urządzenia. Zaawansowane, kryptograficzne karty elektroniczne stosowane do generowania e-podpisu są specjalizowanymi, miniaturowymi mikrokomputerami z własną, silnie strzeżoną pamięcią przechowującą różne sekrety właściciela (klucze kryptograficzne, hasła, tajne dane, itp.). Mnogość możliwości zastosowań kart elektronicznych zarówno w systemach e-podpisu jak i poza nimi powoduje naturalne dążenie do maksymalizacji wykorzystania zainwestowanych w ich wdrożenie środków przez stosowanie kart w wielu różnych aplikacjach i wg bardzo różnych schematów działania. Jedne aplikacje wykorzystują karty jako osobisty "sejf" na tajne hasła, wyręczając właściciela z trudnego zadania zapamiętywania wielu skomplikowanych haseł dostępu do różnych zasobów IT. Inne aplikacje wykorzystują zdolności generowania podpisu cyfrowego czy szyfrowania informacji jakie posiadają nowoczesne karty elektroniczne. W komunikacji pomiędzy inteligentną kartą elektroniczną a aplikacjami w środowisku komputera PC pośredniczy typowy już dzisiaj czytnik kart elektronicznych, który dla szczególnie wymagających zastosowań powinien być wyposażony w tzw. PINPad umożliwiający bezpieczne podawanie kodów PIN chroniących dostęp do sekretów przechowywanych na karcie elektronicznej.

Mnogość zastosowań kart elektronicznych stanowi jednak również pewien problem

w ich praktycznym używaniu, gdyż pojawia się konieczność używania wielu kart do obsługi wielu różnych potrzeb w poszczególnych aplikacjach. Jest to uciążliwe nie tylko z powodów ekonomicznych (koszt wielu kart) ale również ze względu na trudność pogodzenia niejednokrotnie sprzecznych interesów poszczególnych aplikacji. Jednym z typowych konfliktów praktycznego stosowania wielu kart dla różnych celów jest powszechnie spotykana sytuacja użycia karty elektronicznej do logowania do zasobów lokalnych lub sieciowych komputera PC i oczekiwanie iż wyciągnięcie karty zablokuje bezpiecznie otwarte aplikacje użytkownika do czasu ponownego włożenia osobistej karty i podania kodu PIN. Zadanie to kłuci się w oczywisty sposób z użyciem drugiej karty o innych cechach np. dla realizacji podpisu elektronicznego w ramach jednej z aplikacji - wymiana kart w czytniku jest niemożliwa ze względu na blokowanie dostępu do komputera po wyjęciu kart służącej do autoryzowania dostępu do tego komputera. Problem ten jest typowy w przypadku konieczności złożenia bezpiecznego podpisu ("podpisu kwalifikowanego"), który musi być w myśl polskiego i europejskiego prawa składany z użyciem specjalnej karty stanowiącej tzw. komponent techniczny spełniający szereg złożonych wymagań technicznych. Przykładem konfliktowej sytuacji jest użycie typowej karty elektronicznej do pracy w ramach aplikacji wykorzystujących model PKI (np. przeglądarki internetowej w trybie bezpiecznym SSL) oraz złożenie podpisu kwalifikowanego w ramach transakcji realizowanej w tym samym bezpiecznym połączeniu (np. zlecenie przelewu bankowego) - wymiana kart spowoduje najczęściej zerwanie połączenia bezpiecznego z serwerami banku.

Rozwiązaniem takich i podobnych problemów jest karta wieloaplikacyjna o skomplikowanej strukturze nie tylko zdolna technicznie do obsługi wielu odmienny aplikacji w środowisku komputera PC, ale spełniająca jednocześnie rygorystyczne wymagania certyfikacyjne stawiane komponentowi technicznemu służącemu do składania podpisu kwalifikowanego.

Najbardziej znanym na polskim rynku dostawcą tego typu technologii e-security, specjalizującym się w praktycznych zastosowaniach systemów kryptograficznych bazujących na kartach elektronicznych jest krakowska spółka CryptoTech.

CryptoTech tworzy, integruje, wdraża i wspiera rozwój zaawansowanych rozwiązań dla potrzeb różnych usług zaufanej trzeciej strony oraz klientów tych usług pracujących według modelu PKI. Od października ubiegłego roku firma oferuje nową wersję pakietu CryptoCard Suite. W skład pakietu wchodzi kryptograficzna karta CryptoCard multiSIGN oraz oprogramowanie do zarządzania i integracji karty z typowymi aplikacjami w środowisku Windows. Nowa wersja posiada m.in. nową technologię TrustedPath pozwalającą na wykorzystywanie wybranych typów czytników kart elektronicznych wyposażonych w PINPAD do bezpiecznego wprowadzania kodu PIN użytkownika. Technologia TrustedPath uniemożliwia podsłuchanie kodu PIN przez jakiekolwiek oprogramowanie typu "koń trojański" pracujące na stacji roboczej z systemem Windows, zabezpieczając kod PIN przed ujawnieniem. Wszystkie operacje na kodach PIN i PUK wykonywane są na oddzielnej klawiaturze czytnika kart elektronicznych. CryptoTech oferuje czytniki kart z PINPAD certyfikowane do ITSEC E3 HIGH. Karta CryptoCard multiSIGN jest certyfikowana do ITSEC E3 HIGH wraz z dedykowana aplikacją do obsługi podpisu kwalifikowanego a układ elektroniczny jest certyfikowany do ITSEC E4 HIGH. Spełnia ona wymagania Ustawy o podpisie elektronicznym stawiane dla komponentu technicznego bezpiecznego urządzania do składania "kwalifikowanego podpisu elektronicznego".

Cechą szczególną rozwiązania jest połączenie w ramach jednej karty funkcji komponentu technicznego do składania podpisu kwalifikowanego oraz funkcjonalności wcześniejszej karty CryptoCard PKI, przeznaczonej do zastosowania w typowych aplikacjach PKI, takich jak bezpieczna poczta elektroniczna, silne uwierzytelnianie w dostępie do aplikacji webowych czy logowanie do domeny Windows2000/2003 zgodnie z protokołem Kerberos/PKI. Poszczególne aplikacje karty są od siebie całkowicie izolowane a dostęp do różnych kluczy kryptograficznych chroniony jest odrębnymi kodami PIN (do 4 kodów PIN). Karta wraz z oprogramowaniem middleware umożliwia również bezpieczne przechowywanie na karcie dowolnych haseł i sekretów użytkownika potrzebnych do użycia w aplikacjach nie pracujących w modelu PKI. Szersze wsparcie wykorzystania tego mechanizmu wymaga dodatkowych aplikacji typu SingleSignOn, które znajdują się w ofercie CryptoTech oraz są budowane dla realizacji specyficznych potrzeb klientów.

Karta posiada 32kB pamięci EEPROM i realizuje wewnętrznie algorytmy RSA, DES, 3DES i SHA-1. Produkt ten dzięki udostępnieniu otwartych interfejsów PKCS#11 i MS CryptoAPI jest łatwy w integracji z dowolnymi aplikacjami, w szczególności może stanowić składnik bezpiecznego urządzenia do składania podpisu elektronicznego oferowanego przez CryptoTech i firmy trzecie.

Do klientów spółki CyproTech należy wiele firm z różnych sektorów gospodarczych takich, jak: trzy z czterech akredytowanych wystawców certyfikatów kwalifikowanych (, Krajowa Izba Rozliczeniowa, Polska Wytwórnia Papierów Wartościowych, TP Internet), Narodowy Bank Polski i wiele innych banków komercyjnych, straż graniczna, policja, firmy integracyjne (Bazy i Systemy Bankowe, COMP, Enigma, Prokom, Ster-Projekt i inne) oraz wiele innych organizacji i przedsiębiorstw.

CyproTech Sp. z o.o.

Artykuł sponsorowany

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: PARKIET.COM

IT
Huuuge: „skupy akcji nie są priorytetem”. Mamy komentarz analityka
Technologie
Huuuge: „skupy akcji nie są priorytetem”. Mamy komentarz analityka
Zasadność ekonomiczna i techniczna inwestycji samorządów w OZE
Materiał Partnera
Zasadność ekonomiczna i techniczna inwestycji samorządów w OZE
Creotech dzieli biznes. Kwanty wejdą na giełdę
Technologie
Creotech dzieli biznes. Kwanty wejdą na giełdę
Ruszyła karuzela nazwisk kandydatów na nowego prezesa UKE
Technologie
Ruszyła karuzela nazwisk kandydatów na nowego prezesa UKE
Miliardy na cyberochronę
Technologie
Miliardy na cyberochronę
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Materiał Promocyjny
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Advertisement
Liudmila Climoc, prezeska Orange Polska.
Technologie
Co daje siłę walorom Orange Polska
Podmiot z Francji chce zainwestować w DataWalk. Akcje drożeją
Technologie
Podmiot z Francji chce zainwestować w DataWalk. Akcje drożeją
e-Wydanie