Firmy
Notowania

Bezpieczeństwo z sankcją prawną

Regulacje prawne są przyczyną największych opóźnień przy wprowadzaniu nowoczesnych technologii teleinformatycznych. Krótko mówiąc, prawo nie nadąża za technologią. W przypadku systemów bezpieczeństwa jest inaczej. Pilna potrzeba zapewnienia bezpieczeństwa wymiany informacji, a także znalezienia antidotum na działania hakerów, producentów wirusów i cyberterroryzm spowodowały przyspieszenie prac legislacyjnych. Nie tylko w USA, ale także i w Europie Zachodniej.

Publikacja: 28.03.2003 12:41

Tadeusz Rogowski

Europa Zachodnia jest tym rynkiem, na którym najlepiej widać przyspieszenie legislacji dotyczące przestępstw komputerowych. Jest ono związane z zagrożeniami dla komunikacji i prowadzenia działalności gospodarczej w sieciach rozległych. Skala tych zagrożeń powoduje, że szybko powstają nowe rozwiązania prawne, mogące stać się skutecznym narzędziem w ściganiu winnych ataków hakerskich, cyberterroryzmu i producentów wirusów. Tworzone są ramy dla systemów bezpieczeństwa. W działaniach legislacyjnych tego typu zaczyna przodować zwłaszcza Unia Europejska.

Cyberterroryści w międzynarodowej bazie

Na Międzynarodowej Konferencji o Cyberprzestępczości w Europie, którą Rada Europy zorganizowała w maju 2001 r. w Budapeszcie, prawnicy zażądali "ponadgranicznego dostępu do danych o cyberprzestępczości" oraz stworzenia międzynarodowej bazy danych o hakerach i cyberterrorystach. Uczestnicy konferencji podpisali międzynarodową Konwencję Rady Europy o zwalczaniu przestępstw w internecie i sieciach rozległych.

W trakcie obrad belgijski minister sprawiedliwości Marc Verwilghen stwierdził, że "nieskrępowany dostęp do danych powinien stać się regułą" w przypadku stwierdzonego przestępstwa w internecie. Nalegał także na jak najszersze rozpowszechnienie i ratyfikację konwencji, tak aby podpisały ją i ratyfikowały również państwa nie uczestniczące w konferencji, zwłaszcza azjatyckie, "co znacznie ułatwiłoby ściganie sprawców przestępstw komputerowych i coraz częściej pojawiających się wirtualnych terrorystów". Dla Komisji Europejskiej bowiem najważniejszym elementem w zwalczaniu przestępczości informatycznej jest współpraca międzynarodowa w ściganiu cyberprzestępstw. Konwencję, w efekcie, w końcu 2002 r. podpisało i ratyfikowało już 40 państw. Większość to co prawda państwa unijne i kandydaci do UE, w tym iPolska, ale jest też silna grupa 15 państw afrykańskich i azjatyckich. Dla ścigania hakerów ich obecność jest istotna - stamtąd pochodzą często "wrzuty" hakerskie do serwerów firmowych, a niewykluczone że część ich dzieje się z przyzwoleniem wyższych urzędników państwowych.

Celem Konwencji jest stworzenie jednolitych uregulowań prawnych dla przeciwdziałania przestępczości w cyberprzestrzeni, przez ustalenie katalogu przestępstw komputerowych, ustanowienie nowych procedur w zakresie wykrywania i ścigania przestępczości komputerowej i określenie zasad współpracy międzynarodowej. Dokument ten jest pierwszym na świecie instrumentem międzynarodowym dotyczącym zwalczania przestępczości, związanej z istnieniem globalnych i lokalnych sieci komputerowych.

Kryptografia i unijne regulacje

Software kryptograficzny w legislacji Unii Europejskiej podlega przepisom dotyczącym eksportu towarów "wrażliwych".

Regulacje te dotyczą przede wszystkim broni oraz tzw. "dualuse items" - towarów, które mogą mieć podwójne zastosowanie, czyli służyć także poza zastosowaniem cywilnym do celów militarnych. "Dual use items" mogą być tylko artykuły, produkty i usługi, które stworzone z myślą o zastosowaniu cywilnym, w przypadku zastosowania wojskowego wzmocnią znacznie potencjał militarny państwa, które je nabywa. I ten stan rzeczy muszą wykazać władze państwa należącego do Unii, hamujące sprzedaż, bowiem lista ograniczeń eksportowych jest - ze względu na promowanie eksportu - dość krótka.

Przyczyn ustalenia takiego sposobu kontroli jest kilka. Pierwszą jest chęć kontroli handlu artykułami "dual use items" wynikająca z konieczności zapewnienia bezpieczeństwa państwom Unii, oraz ze zobowiązań sojuszniczych wobec USA. Z drugiej strony nie jest konieczne ścisłe kontrolowanie całego handlu artykułami podwójnego przeznaczenia, skoro istnieją tzw. odbiorcy zaufani, którzy sami stosują ograniczenia zapobiegające "wyciekaniu" niebezpiecznych technologii podwójnego stosowania do państw trzecich.Obecnie z technologii kryptograficznych stałe miejsce na liście "dual use items", mają tylko technologie tzw. długiego klucza, czyli kryptografii asymetrycznej z kluczem 1024 bity i więcej. Wobec tego w Unii Europejskiej przyjęto w 1994 roku system kontroli eksportu artykułów podwójnego przeznaczenia, w tym softwaru kryptograficznego, zasadzający się na dwóch regulacjach Rady Europy: decyzji nr 94/942/CFSP i rozporządzenia Rady Europy nr 3381/94.

Opracowany na ich podstawie system kontroli eksportu technologii kryptograficznych oraz innych artykułów podwójnego przeznaczenia określa, że:

- istnieje corocznie lub "w odpowiednich momentach" aktualizowana lista towarów, produktów i technologii "dual use", wymagających licencjonowania,

- ograniczenia dotyczące towarów "wrażliwych" obowiązują poza Unią; na jej terenie przepływ towarów jest swobodny,

- rządom państw członkowskich pozostawia się jednak kontrolę nad eksportem niektórych artykułów uznawanych za "szczególnie wrażliwe", jednak decyzje te muszą być przekazywane odpowiednim organom Unii,

- licencje eksportowe wydane przez rządy jednego kraju uznawane są w każdym państwie Unii.

- nie istnieją restrykcje w stosunku do: Australii, Japonii, Kanady, Norwegii, Nowej Zelandii, Stanów Zjednoczonych, Szwajcarii.

13 grudnia 1999 roku została wydana Dyrektywa 1999/93/WE Parlamentu Europejskiego i Rady Europy regulująca obrót oraz eksport artykułów wrażliwych, w tym także oprogramowania kryptograficznego. Doprecyzowano w niej także pojęcia dotyczące infrastruktury PKI (Public Key Infrastructure) i podpisu elektronicznego.

Neutralność technologiczna

Dyrektywę wydano dlatego, że konieczne stało się opublikowanie aktu prawnego, który mógłby z jednej strony określić miejsce rozwiązań opartych na infrastrukturze PKI w systemie prawno-gospodarczym Unii (zwłaszcza dotyczy to podpisu elektronicznego), z drugiej zaś - stworzyć ramy prawne dla "wmontowania" w system obrotu gospodarczego rozwiązań elektronicznych potwierdzania tożsamości niezależnie od używanej technologii. Podejście to nie może przy tym naruszyć zasady kontraktów dwu-, i wielostronnych, czyli umów, na mocy których strony akceptują rozwiązania oparte na podpisie elektronicznym jako prawnie skuteczne.

W Dyrektywie zauważono, że jest mało możliwe, aby tylko jedna metoda - czy będzie nią infrastruktura PKI, czy też identyfikacja biometryczna - przeważyła jako jedyna akceptowana metoda potwierdzania tożsamości. Raczej w zależności od okoliczności używane będą różne sposoby uwierzytelniania i weryfikacji. Jednak prawne uściślenie metod używanych dla weryfikacji i autoryzacji transakcji może spowodować kolejne problemy. I tak wprowadzenie pojęcia podpisu elektronicznego oznacza konieczność prawnego uregulowania zastosowań infrastruktury PKI. Poza tym określenie podpisu elektronicznego jako metody weryfikacji i autoryzacji oraz infrastruktury PKI jako infrastruktury bezpieczeństwa, może spowodować, że w przypadku wynalezienia metod doskonalszych, w świetle prawa nadal trzeba będzie używać infrastruktury PKI jako jedynej metody uprawnionej. W takiej bowiem sytuacji gospodarki unijne zostałyby znacznie osłabione, nie nadążając za najnowszymi systemami handlu elektronicznego. Straty, jakie przyniosłoby takie działanie, byłyby długoterminowe itrudne do oszacowania. W dodatku nie jest przy tym powiedziane, że nowe, czyli wynalezione po PKI, metody identyfikacji wymagać będą równie dokładnych jak podpis elektroniczny uregulowań prawnych. W związku z tym wprowadzone zostaje pojęcie "neutralności technologicznej" - przepisy prawne nie przesądzają stosowanej technologii przy elektronicznej weryfikacji i autoryzacji transakcji.

Elektroniczne podpisy

Uregulowano także prawną problematykę posługiwania się podpisem elektronicznym. W art. 2 Definicji zawartych w Dyrektywie stwierdza się, że istnieje podpis elektroniczny i zaawansowany podpis elektroniczny. Ten pierwszy jest zbiorem danych w formie elektronicznej, dołączonych lub logicznie związanych z innymi danymi i ma służyć jako metoda uwierzytelniania. Ten drugi to zaawansowany podpis elektroniczny, który jest stworzony przy użyciu certyfikatu kwalifikowanego, a zatem posiada nieco więcej funkcji:

- połączony jest z podpisującym w sposób unikalny

- przeznaczony jest do identyfikacji osoby podpisującej

- jest generowany za pomocą środków pozostających w wyłącznej dyspozycji podpisującego

- jest powiązany z danymi w taki sposób, że pozwala to na wykrycie jakiejkolwiek zmiany w treści tychże danych po złożeniu podpisu.

Istnieje w tym punkcie wyraźne podobieństwo polskiej ustawy o podpisie elektronicznym do dyrektywy Unii, jeśli chodzi o wprowadzenie dwóch kategorii podpisu - "zwykłego" i zaawansowanego (kwalifikowanego). Poważnie jednak różni się sposób definiowania tych pojęć. Powiązanie "zwykłego" podpisu elektronicznego z osobą w prawie polskim spowodowało konieczność wprowadzenia nieznanych w unijnej Dyrektywie pojęć "zaświadczenia elektronicznego" oraz "poświadczenia elektronicznego".

Zaawansowany podpis elektroniczny, według Dyrektywy, oparty na kwalifikowanym certyfikacie i stworzony przez bezpieczne urządzenie generujące jest równoznaczny z podpisem odręcznym. Istnieją dwie interpretacje tego zapisu. Niemiecka mówi, że kwalifikowany podpis elektroniczny został stworzony w oparciu o kwalifikowany certyfikat i przez bezpieczne urządzenie, czyli urządzenie spełniające odpowiednie standardy potwierdzone certyfikatem. Zaś angielskie Ministerstwo Przemysłu i Handlu zaproponowało włączenie do Ustawy o Wspólnotach Europejskich zapisu stwierdzającego, że spełniony jest wymóg zastąpienia prawnego podpisu odręcznego przez elektroniczny, jeśli został użyty zaawansowany podpis elektroniczny, oparty na certyfikacie kwalifikowanym przy użyciu bezpiecznego urządzenia do składania podpisu, w stosunku do danych w formie elektronicznej.

Polska ustawa i jej problemy

W Polsce podstawowym dokumentem dotyczącym tworzenia infrastruktury bezpieczeństwa opartej na PKI jest ustawa o podpisie elektronicznym, którą podpisał (także przy pomocy własnego e-podpisu wydanego przez Centrum Certyfikacji Signet) prezydent Aleksander Kwaśniewski 11 października 2001 roku. Ustawa faktycznie weszła w życie po 9 miesiącach od daty jej ogłoszenia, czyli 16 sierpnia 2002 r.

Ustawa określiła, że certyfikaty dzielą się na zwykłe i kwalifikowane. Te ostatnie może wydawać tylko podmiot, który znajdzie się w rejestrze prowadzonym przez ministra właściwego do spraw gospodarki oraz uzyska zaświadczenie certyfikacyjne. Wpis do tego rejestru dokonywany jest po kontroli przez wyznaczonych przez ministra ekspertów. Wpisanie do rejestru oznacza, że dane Centrum Certyfikacji jest uprawnione do wydawania certyfikatów kwalifikowanych. Zaświadczenia certyfikacyjne, których skutkiem jest stworzenie swego rodzaju infrastruktury wszystkich firm działających na rynku PKI, wydaje zależna od NBP spółka Centrast.

Niestety, w ustawie i wydanych do niej rozporządzeniach wykonawczych znalazła się znaczna liczba błędów, zniekształcających rynek PKI w Polsce. W efekcie najważniejszym problemem prawnym z zakresu PKI jest obecnie zharmonizowanie tejże ustawy z Dyrektywą Parlamentu Europejskiego i Rady z 13.12.1999 r. w sprawie ramowych warunków Wspólnoty stosowania podpisu elektronicznego (99/93/WE). Oznacza to także konieczność dostosowania określonych w niej zasad budowania architektury i terminologii infrastruktury klucza publicznego do standardów międzynarodowych.

Obecnie istniejąca w Ustawie definicja, zawarta w art. 3 pkt 6, powoduje, że rygory mające zapewnić bezpieczeństwo, nie obejmują wszystkich elementów systemu, które mogą decydować o danych niezbędnych do złożenia podpisu elektronicznego. Dyrektywa dla przykładu mówi o urządzeniu do składania podpisu elektronicznego, jako o tym, które "implementuje klucze", czyli ma dostęp do tych kluczy, bo wiąże się to z jej funkcjami. Jednocześnie wyłączone są z definicji urządzenia do składania podpisu (te składniki systemu, które z generowaniem podpisu ani z danymi do tego procesu koniecznymi nie mają powiązania). To pozwala na elastyczność technologiczną i pełne zastosowanie zasady neutralności technologicznej - kierunku ewolucji systemów do końca przewidzieć nie można. W ustawie polskiej mamy za to "wszystkoizm" - definicja obejmuje także np. system operacyjny. Łatwo przewidzieć, jak mogą być drogie takie unikalne rozwiązania.

Wiąże się z tym pojęcie "bezpiecznego urządzenia do weryfikacji podpisu elektronicznego". W Dyrektywie wymieniane jest jedynie "bezpieczne urządzenie do składania podpisu elektronicznego", co wiąże się z rozdzieleniem sprzętu i oprogramowania w regulacji Rady.

Z kolei dziwolągiem nie występującym w żadnych regulacjach prawnych - ani europejskich, ani amerykańskich - jest obecne w polskiej ustawie pojęcie "zaświadczenia certyfikacyjnego". Pojęcie podpisu w Dyrektywie obejmuje bowiem także kategorię określaną w Polsce mianem zaświadczenia, co jest zrozumiałe - w sensie technologicznym te pojęcia są tożsame. Poza tym podmiot je wydający de facto prowadzi działalność certyfikacyjną, nie będąc jednocześnie odpowiedzialny za jej skutki.

Tak poważne błędy sprawiły, że Polska Izba Informatyki i Telekomunikacji, usiłując zapobiec ich wprowadzeniu do ustawy, jeszcze w trakcie procesu legislacyjnego, zaskarżyła do Trybunału Konstytucyjnego jeden z jej błędnie skonstruowanych przepisów. Przedmiotem skargi stała się niekonstytucyjność zapisu, stawiającego w pozycji uprzywilejowanej podmiot zależny od NBP w świadczeniu usług certyfikacyjnych, a więc Centrast SA. Podmiot ten zwolniony jest z konieczności uzyskania zezwoleń, które muszą posiadać wszyscy inni uczestnicy rynku. W taki sposób skonstruowany przepis narusza również konstytucyjną zasadę wolności działalności gospodarczej - zasadę równego traktowania podmiotów przez prawo.

Stało się tak na skutek ingerencji Senatu, co oznacza dodatkowo, że przepis ten naruszył przyjęty w konstytucji tryb ustawodawczy. Taka zmiana w ustawie, choćby nawet wystąpiła jako pojedynczy zapis, dokonała gruntownej zmiany koncepcji i zasad świadczenia usług certyfikacyjnych. I to zarówno w stosunku do kompromisowego projektu poselsko-rządowego, jak i w stosunku do uchwalonej przez Sejm ustawy.

Jak więc widać, ustawa o podpisie elektronicznym, mimo że tak potrzebna, wymaga jeszcze przepracowania. Wzorem może tu być rynek włoski, gdzie co prawda proces legislacyjny i związane z nim "ucieranie się" rozmaitych interesów trwało 2,5 roku, ale za to przyjęta ustawa spowodowała taki boom na rynku PKI, że Włochy są jednym z najbardziej zaawansowanych państw Unii Europejskiej we wprowadzania rozwiązań Infrastruktury Klucza Publicznego.

Szybko powstają nowe rozwiązania prawne, mogące stać się skutecznym narzędziem w ściganiu winnych ataków hakerskich, cyberterroryzmu i producentów wirusów. Tworzone są ramy dla systemów bezpieczeństwa. W działaniach legislacyjnych tego typu zaczyna przodować zwłaszcza Unia Europejska

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: PARKIET.COM

IT
Huuuge: „skupy akcji nie są priorytetem”. Mamy komentarz analityka
Technologie
Huuuge: „skupy akcji nie są priorytetem”. Mamy komentarz analityka
Zasadność ekonomiczna i techniczna inwestycji samorządów w OZE
Materiał Partnera
Zasadność ekonomiczna i techniczna inwestycji samorządów w OZE
Creotech dzieli biznes. Kwanty wejdą na giełdę
Technologie
Creotech dzieli biznes. Kwanty wejdą na giełdę
Ruszyła karuzela nazwisk kandydatów na nowego prezesa UKE
Technologie
Ruszyła karuzela nazwisk kandydatów na nowego prezesa UKE
Miliardy na cyberochronę
Technologie
Miliardy na cyberochronę
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Materiał Promocyjny
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Advertisement
Liudmila Climoc, prezeska Orange Polska.
Technologie
Co daje siłę walorom Orange Polska
Podmiot z Francji chce zainwestować w DataWalk. Akcje drożeją
Technologie
Podmiot z Francji chce zainwestować w DataWalk. Akcje drożeją
e-Wydanie