Trusted Information Consulting Sp. z o.o. INTEGRATOR BEZPIECZEŃSTWA



Podobne dokumenty
Akty wykonawcze do ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne w zakresie elektronicznej platformy epuap

Prawne i techniczne aspekty uznawania dokumentów elektronicznych z perspektywy skrzynki.

1. Rozporządzenie określa zakres i warunki korzystania z elektronicznej platformy usług administracji publicznej, zwanej dalej "epuap", w tym:

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej

ZARZADZENIE NR 84/08 BURMISTRZA OZIMKA z dnia 30 grudnia 2008 roku

Przewodnik użytkownika

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B

Warszawa, dnia 6 października 2016 r. Poz. 1626

ADMINISTRACJA ELEKTRONICZNA. Autor: Jacek Janowski

ZETO Koszalin Sp. z o.o.

Usługi weryfikacji. podpisów elektronicznych. Tomasz Litarowicz XV Forum Teleinformatyki września 2009 r.

Bezpieczeństwo korespondencji elektronicznej

Regulamin. świadczenia usług certyfikacyjnych przez Powiatowe Centrum Certyfikacji. Wprowadzenie

Rys Rejestracja certyfikatu kwalifikowanego w programie Płatnik

POLITYKA BEZPIECZEŃSTWA INFORMACJI

IDENTYFIKATOR. NUMER REGON lub KSIĘGA REJESTROWA. 1.Rodzaj szpitala : szpital kliniczny szpital resortowy wojewódzki szpital specjalistyczny

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Nowe aspekty bezpieczeństwa transakcji elektronicznych. Michał Tabor, CISSP, Ekspert PIIT

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

Komunikacja elektroniczna z podmiotami pełniącymi zadania publiczne

Wykorzystanie komunikacji elektronicznej w postępowaniu administracyjnym. Perspektywa urzędu administracji publicznej. Urszula Kalinowska

Regulamin korzystania z Systemu Wrota Podlasia

Nowe aspekty bezpieczen stwa transakcji elektronicznych. Michał Tabor, CISSP, Ekspert PIIT

Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII

Zarządzenie wewnętrzne Nr OR Wójta Gminy Dubicze Cerkiewne z dnia 17 sierpnia 2015r.

Stanisław Jarosz Warszawa, 4 września 2008 r.

KORZYSTANIE Z CERTYFIKATU KWALIFIKOWANEGO W PROGRAMIE PŁATNIK

e-deklaracje

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Małopolska wobec epuap

Instrukcja aktywacji karty certyfikat kwalifikowany. wersja 5.3 UNIZETO TECHNOLOGIES SA

Prawa obywatela w Internecie

projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

Elektroniczny obrót gospodarczy i jego bezpieczeństwo Wykład nr 7. Dr Sylwia Kotecka-Kral CBKE WPAiE UWr

Podpis elektroniczny. ale nie od strony X.509 schematu dla certyfikatów kluczy publicznych służącego do budowania hierarchicznej struktury PKI

Informacja o zasadach świadczenia usług zaufania w systemie DOCert Wersja 1.0

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

REGULAMIN. 1 Postanowienia ogólne

epuap kwiecień 2014r. Izba Skarbowa w Poznaniu ElektronicznaPlatforma UsługAdministracji Publicznej pl. Cyryla Ratajskiego Poznań

PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA

Profil Zaufany epuap (PZ) Nowa metoda uwierzytelniania użytkowników systemów teleinformatycznych administracji publicznej

Projekt ustawy o zmianie ustawy o ochronie danych osobowych (druk 488)

Promotor: dr inż. Krzysztof Różanowski

Zarząd Geodezji, Kartografii i Katastru Miejskiego we Wrocławiu

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds.

Brak wspólnego profilu i formatu podpisu dokumentu

Bezpieczeństwo procesów biznesowych w oparciu o identyfikację elektroniczną i usługi zaufania. Michał Tabor, CISSP, Ekspert PIIT

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Projekt epuap obecny stan realizacji i plany na przyszłość

Procedura Zarządzania Profilami Zaufanymi epuap w Urzędzie Miasta w Kudowie-Zdroju

Wszczęcie postępowania i doręczenia w ramach Elektronicznego Biura Podawczego Marcin Uliasz

ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 30 lipca 2010 r.

Informatyzacja Województwa Świętokrzyskiego Portal e-urząd. Kielce r.

ZARZĄDZENIE NR 838/2009 PREZYDENTA MIASTA KRAKOWA Z DNIA 21 kwietnia 2009 r.

Podpis podmiotu a e-faktura w świetle projektu nowelizacji ustawy o podpisie.

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Standard Elektronicznej Skrzynki Podawczej. Wersja 1.0

Regulamin świadczenia usług certyfikacyjnych przez Centrum Certyfikacji Województwa Podlaskiego. Postanowienia ogólne

UNIZETO TECHNOLOGIES SA. Instrukcja realizacji odnowienia przy wykorzystaniu waŝnego certyfikatu kwalifikowanego. wersja 1.4

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Poznań, dnia 13 czerwca 2013 r. Poz UCHWAŁA NR LXIII/400/2013 RADY MIEJSKIEJ W JAROCINIE. z dnia 11 czerwca 2013 r.

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

NajwyŜsza Izba Kontroli Delegatura w Katowicach

Nowa odsłona wyodrębnienie i kierunki jego rozwoju Międzyzdroje

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Usprawnianie administracji przy pomocy informatyzacji. Upraszczanie procedur administracyjnych - rola epuap, pl.id, działania MSWiA.

elektroniczna Platforma Usług Administracji Publicznej - załatw sprawy administracyjne drogą elektroniczną.

Instrukcja realizacji odnowienia przy wykorzystaniu waŝnego certyfikatu kwalifikowanego

Zmiany w ustawie prawo zamówień publicznych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

3. W jaki sposób można złożyć wniosek w CEIDG? Osoba fizyczna może złożyć wniosek do CEIDG zarówno on-line przez Internet, jak i w

Regulamin stosowania kwalifikowanego podpisu elektronicznego w Starostwie Powiatowym w Rawiczu

elektroniczna Platforma Usług Administracji publicznej Instrukcja użytkowania oraz złożenia wniosku o Profil zaufany

Instrukcja realizacji odnowienia przy wykorzystaniu waŝnego certyfikatu kwalifikowanego

Zastosowania e-podpisu

POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia r.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

POLITYKA E-BEZPIECZEŃSTWA

w kontaktach z Zakładem Ubezpieczeń Społecznych

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 30 grudnia 2010 r.

Wszyscy Wykonawcy. DOA-ZP-III Łódź, dnia r.

Uzasadnienie. W 2 określono warunki korzystania z portalu. Warunkiem korzystania z portalu jest:

Regulamin usług bankowości internetowej e-bank dla Posiadaczy rachunków bankowych w Banku Spółdzielczym w Piasecznie

Bezpiecze ństwo systemów komputerowych.

Informatyka prawnicza Program 2009 Podpis elektroniczny Zagadnienia prawne i techniczne

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Systemy administracji publicznej epuap. Robert Sternicki Szczyrk, r.

Prawa obywatela w Internecie

PolGuard Consulting Sp.z o.o. 1

Szanowni Państwo,

Na środowisko teleinformatyczne zbudowane w ramach Projektu składać się będzie sprzęt komputerowy oraz oprogramowanie.

Procedura zarządzania profilami zaufanymi epuap w Urzędzie Miasta w Kudowie-Zdroju

REGULAMIN. stosowania kwalifikowanego podpisu elektronicznego na Uniwersytecie Kardynała Stefana Wyszyńskiego w Warszawie

Polityka Ochrony Praw Konsumentów w E-Telbank Sp. z o.o.

POSTANOWIENIE z dnia 24 stycznia 2011 r. Przewodniczący:

I. 1) NAZWA I ADRES: Gmina Miasto Rzeszowa, Rynek 1, Rzeszów, woj. podkarpackie, tel , faks

Regulamin świadczenia usług Platformy e-usług Publicznych - SEKAP, działającej pod adresem elektronicznym

Transkrypt:

Trusted Information Consulting Sp. z o.o. INTEGRATOR BEZPIECZEŃSTWA 02-672 Warszawa, ul. Domaniewska 41 Artykuł opublikowany w Computerworld 23 stycznia 2007 (NR 4/751) Michał Tabor Uczciwość i problem techniczny Od ponad roku obowiązuje rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym (Dz.U.05.200.1651). W tym samym czasie trwa dyskusja czy wpisany w rozporządzeniu wymóg zastosowania HSM spełniającego wymagania normy FIPS 140-2 Level 3 nie ogranicza informatyzacji urzędów. W dyskusji prowadzonej pomiędzy twórcami rozporządzenia, podmiotami świadczącymi usługi certyfikacyjne, dostawcami sprzętu i urzędnikami podstawowym pojawiającym się argumentem jest koszt urządzenia HSM, brakuje natomiast merytorycznej analizy czym jest elektroniczna skrzynka podawcza, jaką pełni rolę w procedurze administracyjnej i jaki jest wymagany poziom bezpieczeństwa. Przekazanie dokumentu lub wniesienie podania do urzędu ma zasadnicze znaczenie w procedurze administracyjnej, a termin jego dokonania wpływa na skuteczność prawną i sposób działania urzędu. Od daty, a czasem takŝe godziny biegną terminy związane z załatwieniem sprawy, które mogą takŝe mieć wpływ na waŝność wykonanych czynności prawnych. Wprowadzenie odpowiednich mechanizmów umoŝliwiających pewne i automatyczne przekazanie dokumentów do podmiotu publicznego oraz niezaprzeczalne potwierdzenie ich wniesienia jest jednym z najwaŝniejszych zadań elektronizacji podmiotów publicznych. Niezaprzeczalność (ang. non-repudiation) - brak moŝliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jedną z uczestniczących w tej wymianie stron. W szczególności niezaprzeczalność podpisu elektronicznego jest zagwarantowana w artykule 6 ustęp 3 ustawy o podpisie elektronicznym: Art. 6. 1. Bezpieczny podpis elektroniczny weryfikowany przy pomocy waŝnego kwalifikowanego certyfikatu stanowi dowód tego, Ŝe został on złoŝony przez osobę określoną w tym certyfikacie jako składającą podpis elektroniczny. 2. Przepis ust. 1 nie odnosi się do certyfikatu po upływie terminu jego waŝności lub od dnia jego uniewaŝnienia oraz w okresie jego zawieszenia, chyba Ŝe zostanie udowodnione, Ŝe podpis został złoŝony przed upływem terminu waŝności certyfikatu lub przed jego uniewaŝnieniem albo zawieszeniem. 3. Nie moŝna powoływać się, Ŝe podpis elektroniczny weryfikowany przy pomocy waŝnego kwalifikowanego certyfikatu nie został złoŝony za pomocą bezpiecznych urządzeń i danych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny. Usługa niezaprzeczalności Zgodnie z Polską Normą PN-ISO/IEC 13888-1 usługa, której celem jest wystawienie, gromadzenie, obsługiwanie, udostępnianie oraz sprawdzanie poświadczenia, związanego z deklarowanym zdarzeniem lub działaniem tak, aby moŝliwe było rozstrzyganie wszelkich sporów dotyczących wystąpienia lub nie wystąpienia deklarowanego zdarzenia lub działania. Definiuje się następujące usługi niezaprzeczalności: niezaprzeczalność pochodzenia, niezaprzeczalność dostarczenia, niezaprzeczalność przedłoŝenia oraz niezaprzeczalność przesłania.

Strona 2 z 6 Niezaprzeczalność wynikająca ze złoŝenia podpisu elektronicznego pod dokumentem powoduje, Ŝe Ŝadna ze stron nie będzie mogła podwaŝyć wiarygodności i waŝności podpisu opierając się jedynie na fakcie, Ŝe posiada on formę elektroniczną. Niezaprzeczalność jest podstawowym atrybutem bezpieczeństwa podpisu elektronicznego wykorzystywanym w komunikacji dwustronnej, podpisywaniu umów oraz potwierdzaniu zdarzeń. Systemy teleinformatyczne wdraŝane w administracji państwowej i samorządowej mają za zadanie nie tylko usprawnić działanie urzędów, ale takŝe wyeliminować zjawiska niepoŝądane takie jak korupcja urzędników. Typowym zjawiskiem korupcyjnym występującym w Polskiej administracji jest antydatowanie terminu otrzymania dokumentów niŝ rzeczywisty oraz moŝliwość podmiany wcześniej przekazanych dokumentów i zastąpienie ich nowymi. W świecie papierowym urzędnik posiadający pieczęć WPŁYNĘŁO DNIA moŝe taką operację wykonać w dowolnym momencie, w komunikacji przez Pocztę Polską taka moŝliwość została ograniczona ze względu na wprowadzenie numerowanych oznaczeń listu poleconego, a zastosowanie banderoli z numerem wcześniejszym moŝe zostać łatwo wykryte. Oczekiwania społeczne związane z elektronicznym dostępem do urzędu oraz konieczność wprowadzenia adekwatnych uregulowań zmniejszających moŝliwość działania nieuczciwych urzędników wymagają wprowadzenia nowoczesnych rozwiązań. W szczególności dotyczy to całodobowego udostępnienia e-urzędów przez Internet, w sposób nie nakładających dodatkowych obciąŝeń na samego obywatela. Warunki, które powinien spełniać elektroniczny urząd przyjmujący dokumenty: działać 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku; zabezpieczać integralność przekazywanych dokumentów; zapewniać niezaprzeczalność oznaczenia czasu przyjęcia dokumentu; zapewniać wydanie niezaprzeczalnego potwierdzenia przyjęcia dokumentu niezwłocznie po jego przekazaniu do systemu teleinformatycznego urzędu; zapewniać moŝliwość udowodnienia, Ŝe dokument został dostarczony (a więc takŝe podpisany) w okresie waŝności certyfikatu; uniemoŝliwiać wydanie nieautoryzowanego potwierdzenia odbioru. WaŜnym aspektem elektronicznej skrzynki podawczej jest jej ciągłość działania, bezobsługowość i automatyczne realizowanie procesu przyjęcia dokumentu. PoniewaŜ przyjęcie pisma do urzędu musi zostać potwierdzone praktycznie w momencie wnoszenia, nie jest moŝliwe wykorzystanie do realizacji tego zadania urzędnika posługującego się bezpiecznym podpisem, który jest weryfikowany kwalifikowanym certyfikatem. NaleŜy takŝe zwrócić uwagę, Ŝe aktualnie obowiązująca ustawa o podpisie elektronicznym (Dz.U.01.130.1450 z późn.zm.) przypisuje podpis elektroniczny do osoby fizycznej co uniemoŝliwia zastosowanie tego rodzaju podpisu do automatycznego sygnowania potwierdzenia odbioru. W praktyce oznacza to, Ŝe ustawa o podpisie elektronicznym nie moŝe mieć zastosowania dla elektronicznej skrzynki podawczej, a wydane przez skrzynkę podpisy nie będą miały poziomu bezpieczeństwa gwarantowanego artykułem 6 ustęp 3 ustawy. PowyŜsze argumenty wskazują na konieczność niezwłocznej nowelizacji ustawy o podpisie elektronicznym oraz do czasu wprowadzenia zmian, utrzymanie przepisów

Strona 3 z 6 wykonawczych umoŝliwiających realizację potwierdzeń w sposób automatyczny z pominięciem przepisów ustawy. Wymienione w punktach powyŝej warunki dotyczą zapewnienia odpowiedniego poziomu bezpieczeństwa rozumianego jako dostępność skrzynki, integralność przekazywanych i wytwarzanych przez nie dokumentów oraz poufność kluczy podpisujących. W praktyce, zapewnienie odpowiedniego modelu bezpieczeństwa realizuje się z wykorzystaniem zaufanej trzeciej strony systemu zewnętrznego spełniającego zaawansowane warunki bezpieczeństwa zarówno w zakresie technologicznym jak i organizacyjnym. Takie podejście daje zarówno podmiotom publicznym jak i podmiotom prywatnym moŝliwość zaufania, Ŝe wydawane przez trzecią stronę potwierdzenia gwarantują odpowiedni model bezpieczeństwa. Pojawiające się w dyskusji interpretacje prawne oraz niechęć urzędów do korzystania z usług outsourcingowych wymagają zbudowania skrzynek podawczych wewnątrz poszczególnych urzędów administracji publicznej., Aby spełniać swoją rolę skrzynki powstające w urzędach powinny zapewnić odpowiedni poziom bezpieczeństwa, a takŝe powinny być zbudowane w taki sposób, aby w postępowaniach dowodowych nie moŝna było podwaŝyć generowanych przez nie poświadczeń. Dlatego zbudowanie i zarządzanie skrzynką podawczą powinno podlegać ścisłym restrykcjom, aby uniemoŝliwić naduŝycia. NajwaŜniejsze dla zapewnienia bezpieczeństwa jest: zastosowanie urządzenia, zabezpieczającego klucze do podpisu w sposób uniemoŝliwiający ich wykorzystanie poza urządzeniem; zastosowanie rozwiązania technicznego uniemoŝliwiającego uŝycie kluczy poza bezpiecznym środowiskiem dla przykładu wykorzystanie urządzenia poza środowiskiem skrzynki podawczej; zapewnienie wiarygodnego źródła czasu dla oznaczenia czasu w potwierdzeniach; wprowadzenie regulacji organizacyjnych i wymuszenie komisyjnej kontroli procesów uruchamiania i modyfikacji środowiska skrzynki podawczej; zapewnienie audytu i rozliczalności wszystkich zdarzeń w systemie; zabezpieczenie sieciowe i fizyczne urządzeń. W tym miejscu konieczne jest przedstawienie podstawowych zagroŝeń wynikających z zastosowania rozwiązań o niewystarczającym poziomie bezpieczeństwa. Takim zagroŝeniem jest moŝliwość pozyskania danych słuŝących do składania podpisu elektronicznego i wykorzystania ich do wystawienia poświadczeń niezgodnie z prawem. Warto tu zwrócić uwagę, Ŝe samo zastosowanie komponentu technicznego do przechowywania kluczy uniemoŝliwia zwielokrotnienie kopii kluczy, ale nie chroni kluczy przed ich wypoŝyczeniem. Przykładowy sposób ataku, na system wykorzystujący do generacji poświadczeń kartę kryptograficzną prezentuje rysunek 1.

Strona 4 z 6 Rysunek 1. Urzędnik posiadający dostęp do systemu Elektronicznej Skrzynki Podawczej wywołuje sztuczną awarię systemu np. wyłączenie zasilania, lub odłączenie przewodów czytnika kart kryptograficznych. Komponent techniczny (karta kryptograficzna) zostaje tymczasowo umieszczona w stacji, która dokonuje podpisania dokumentów. Po zwrocie karty system jest przywracany do działania. Atak przeprowadzony w powyŝszy sposób jest niewykrywalny ze względu na to, Ŝe wykonuje go osoba mająca dostęp do systemu i posiadająca moŝliwość jego uruchomienia. Zastosowana w takim środowisku karta kryptograficzna mimo posiadanej certyfikacji bezpieczeństwa kluczy sama jest chroniona jedynie pinem, którego zapamiętanie nie stanowi większego problemu. Karta kryptograficzna jest urządzeniem personalnym przewidzianym do uŝytkowania przez indywidualną osobę, która jest jedynym posiadaczem indywidualnego numeru identyfikującego PIN (ang, Personal Identyfication Number). Zastosowanie modułu kryptograficznego, którego bezpieczeństwo jest oparte o role administratorów, czyli podział obowiązków i sekretów, uniemoŝliwi wykorzystanie modułu poza bezpiecznym środowiskiem. Dla przykładu celowe jest takie rozdysponowanie sekretów (haseł i kluczy dostępowych) pomiędzy obsługę systemu, aby uruchomienie modułu było moŝliwie tylko przy udziale przynajmniej trzech z ośmiu osób posiadających uprawnienia do tej operacji. Bezpieczeństwo modułów kryptograficznych spełniających wymagania bezpieczeństwa sekretów i podziału na role ocenia się zgodnie ze standardami FIPS 140-2 poziom 3 i CEN-CWA 14167-2. W świetle opisanych w niniejszym artykule wymagań bezpieczeństwa, wprowadzone w rozporządzeniu wymagania dotyczące zastosowania modułu HSM o odpowiednim poziomie bezpieczeństwa i umieszczenia systemu w pomieszczeniu chronionym wydaje się niezbędnym minimum. Przytoczony przykład wykorzystania karty poza bezpiecznym środowiskiem jednoznacznie wskazuje na nieadekwatność zastosowania karty kryptograficznej do realizacji zadania skrzynki podawczej.

Strona 5 z 6 PoniŜsza tabela przedstawia podstawowe róŝnice pomiędzy zastosowaniem karty i HSM w tym środowisku: Wymaganie Realizacja podpisu zgodnie ze standardem PKCS#11 Karta kryptograficzna FIPS 140-2 Moduł HSM FIPS 140-2 Level 3 Spełnia wymagania FIPS 140-2 Level 3 w odpowiednim środowisku z zastosowaniem autoryzowanej aplikacji Rozliczalność NIE Role uŝytkowników NIE MoŜliwość wprowadzenia komisyjnego zarządzania Trudność wyniesienia poza bezpieczne środowisko NIE ŁATWO TRUDNIEJ Szybkość Kilkadziesiąt operacji na minutę Kilka tysięcy operacji na sekundę Istnieje niebezpieczeństwo, Ŝe w procesie dowodowym podwaŝeniu nie będzie podlegał sam podpis złoŝony pod potwierdzeniem odbioru, ale moŝliwość jego złoŝenia poza środowiskiem, tym bardziej, Ŝe brak uregulowań organizacyjnych i technicznych w podmiocie publicznym moŝe umoŝliwiać podpisanie poza bezpiecznym środowiskiem. Dodatkowym waŝnym aspektem jest niewystarczające określenie przepisów karnych dla nieuprawnionego wykorzystania kluczy prywatnych elektronicznej skrzynki podawczej, poniewaŝ całość rozwiązania i składane podpisy nie podlegają ustawie o podpisie elektronicznym. Istotnym zabezpieczeniem dla procesu przyjmowania dokumentów przez Elektroniczną Skrzynkę Podawczą jest dołączenie do potwierdzenia odbioru oznaczenia czasem realizowanego przez zaufaną trzecią stronę. Nie wydaje się dla tego procesu konieczne znakowanie czasem realizowane przez kwalifikowany podmiot świadczący usługi certyfikacyjne, jednak oznaczenie czasem pochodzące od niezaleŝnego podmiotu uniemoŝliwia sfałszowanie czasu wydania poświadczenia oraz zabezpiecza takŝe informacje umoŝliwiające weryfikację waŝności podpisu elektronicznego pod przyjmowanym dokumentem elektronicznym. Alternatywnym rozwiązaniem mogłoby być rozszerzenie funkcji HSM tak, by uŝywany przy konstruowaniu poświadczenia odbioru czas pochodził z wewnętrznego zegara, którego nie moŝe modyfikować administrator systemu i który jest ustawiany lub kalibrowany przez zewnętrzne źródło czasu urzędowego.

Strona 6 z 6 Przyjmowanie dokumentów przez podmioty publiczne powinno być realizowane w sposób bezpieczny dla osoby składającej dokument oraz uniemoŝliwiający nieuprawnione działanie ze strony urzędnika. W interesie zarówno podmiotów rządowych jak i samorządowych jest wykorzystywanie środków zapewniających odpowiedni poziom bezpieczeństwa komunikacji, poniewaŝ ewentualne naduŝycia mogą skutkować obciąŝeniem skarbu państwa. WaŜnym krokiem naprzód jest budowa przez Ministerstwo Spraw Wewnętrznych i Administracji systemu Elektronicznej Platformy Usług Administracji Publicznej (epuap), który będzie systemem pośredniczącym w komunikacji pomiędzy firmą i obywatelem a administracją. W ramach tego systemu będą świadczone usługi Elektronicznej Skrzynki Podawczej zarówno w procedurze wnoszenia pism jak i doręczeń. Autorem niniejszego artykułu jest Michał Tabor - Absolwent wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego. Ekspert w zakresie systemów PKI, elektronicznej administracji oraz bezpieczeństwa systemów teleinformatycznych. Dyrektor operacyjny Trusted Information Consulting, firmy świadczącej usługi z zakresu zarządzania bezpieczeństwem informacji, podpisu elektronicznego oraz Infrastruktury Klucza Publicznego (PKI). Kontakt: Trusted Information Consulting Sp. z o.o. ul. Domaniewska 41, Budynek Galaxy 02-672 Warszawa www.ticons.pl ticons@ticons.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres