w sprawie projektów rozporządzeń Ministra Cyfryzacji

OPINIA
Polskiej Izby Informatyki i Telekomunikacji [PIIT]
w sprawie projektów rozporządzeń Ministra Cyfryzacji:
•
Projekt rozporządzenia MINISTRA CYFRYZACJI w sprawie funkcjonowania profilu zaufanego
elektronicznej platformy usług administracji publicznej [1]
•
Projekt rozporządzenia MINISTRA CYFRYZACJI w sprawie zakresu i warunków korzystania
z elektronicznej platformy usług administracji publicznej [2]
•
Projekt rozporządzenia MINISTRA CYFRYZACJI w sprawie szczegółowych warunków
organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do
uwierzytelniania użytkowników [3].
Polska Izba Informatyki i Telekomunikacji z wielką uwagą śledzi proces wdrażania rozporządzenia
rozporządzenie parlamentu europejskiego i rady (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie
identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku
wewnętrznym oraz uchylające dyrektywę 1999/93/WE (zwane dalej eIDAS). Jako uczestnik tych
prac, Izba pragnie przedstawić opinię na temat wyżej wymienionych rozporządzeń.
1.
Izba zwraca uwagę, iż dotychczasowe badania bezpieczeństwa punktów
potwierdzających wskazują na braki tych punktów w zakresie zarządzania
bezpieczeństwem informacji oraz braki w przeszkoleniu urzędników odpowiedzialnych
za potwierdzanie profilu zaufanego. W szczególności należy zauważyć, że bardzo często
osoby odpowiedzialne za potwierdzenie profilu zaufanego nie dysponują
przeszkoleniem dotyczącym weryfikacji prawdziwości dokumentu tożsamości, a także
nie została wdrożona wewnętrzna procedura dokonania takiej weryfikacji. Brak
świadomości osób potwierdzających profile zaufane w zakresie weryfikacji tożsamości
może skutkować powstawaniem fałszywych profili zaufanych. W związku z powyższym
sugerujemy, by w rozporządzeniu w sprawie funkcjonowania profilu zaufanego
elektronicznej platformy usług administracji publicznej [1] znalazły się zapisy
zobowiązujące punkt potwierdzania profilu zaufanego do przeszkolenia osób
potwierdzających tożsamość w zakresie weryfikacji autentyczności dokumentu
tożsamości oraz wdrożenia w tym zakresie procedury stanowiskowej. Odpowiednie
zapisy w tym zakresie powinny zostać umieszczone w §14 i §15 rozporządzenia, lub
odpowiednia zmiana powinna zostać wpisana do §3 i §4 rozporządzenia w sprawie
szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać
system teleinformatyczny służący do uwierzytelniania użytkowników [3].
2.
Izba nie zgłasza uwag do projektu rozporządzenia w sprawie zakresu i warunków
korzystania z elektronicznej platformy usług administracji publicznej [2]. Przedmiotowe
rozporządzenie w bardzo przejrzysty sposób wprowadza mechanizm wykorzystania
w ePUAP środków identyfikacji elektronicznej, stosowanych do uwierzytelniania
w systemie teleinformatycznym podmiotu niepublicznego.
3.
Projekt rozporządzenia w sprawie szczegółowych warunków organizacyjnych
i technicznych, które powinien spełniać system teleinformatyczny służący do
©PIIT: Opinia do 3 projektów rozp. MC (profil zaufany, ePUAP, uwierzytelnianie) 2016.09.19 (PIIT/1346/16)
Strona 1 z 2
uwierzytelniania użytkowników [3] należy rozpatrywać w połączeniu
z rozporządzeniem w sprawie funkcjonowania profilu zaufanego elektronicznej
platformy usług administracji publicznej [1]. W tym zakresie uwaga wyrażona w punkcie
1 może wymagać uwzględnienia w niniejszym rozporządzeniu.
4.
Izba zauważa też mylne używanie pojęć uwierzytelnienie i autoryzacja w [1] oraz [3].
Przykładowo w [1] artykuł § 8. 3 powinien nosić brzmienie “Uwierzytelnienie jest
dokonywane przy użyciu:”.
5.
Odnośnie [1], w ocenie Izby użytkownik powinien mieć możliwość używania
jednocześnie wielu środków identyfikacji elektronicznej stosowanych
do
uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego. Co za tym
idzie w ocenie Izby użytkownik nie powinien przypisywać do profilu zaufanego tylko
jednej metody uwierzytelnienia § 8. 1.10. Co więcej w ocenie zmiana atrybutów
związanych z profilem zaufanym takich jak w § 11. 1.3 nie powinna powodować utraty
ważności profile zaufanego. Oznacza to, że użytkownik, który rozpoczął korzystanie z
profilu zaufanego przy użyciu środków identyfikacji np. banku A, będzie musiał
unieważnić swój profil zaufany, jeżeli będzie chciał skorzystać z środków identyfikacji
np. Banku B lub operatora, a co za tym idzie przejść ponowną procedurę weryfikacji.
Izba zwraca uwagę, iż w przedmiotowym projekcie odwołano się do systemów certyfikujących,
będących zakresem stosowania rozporządzenia eIDAS i nazywanych w tym rozporządzeniu
usługami zaufania polegającymi na wydawaniu certyfikatów. Należy wskazać, że eIDAS w Artykule
2 rozdzielił usługi podlegające eIDAS – w otwartych systemach oraz niepodlegające eIDAS
w systemach zamkniętych. Opiniowane rozporządzenie [3] wskazując te systemy certyfikujące
powinno oprzeć się na definicji usługi zaufania pochodzącej z eIDAS, nakazać tym systemom
spełnienie norm w zakresie usług zaufania w szczególności: ETSI EN 319 401 oraz ETSI EN 319 411,
natomiast stosowanie urządzeń i systemów spełniających wygasłe już standardy CEN CWA wynika
ze stosowania powyższych norm i sugerujemy usunięcie tych zapisów. Izba uważa, że systemy
certyfikujące powinny być wpisane przez Ministra Cyfryzacji do rejestru usług zaufania i spełniać
wymagania wynikające z Ustawy o usługach zaufania oraz eIDAS.
Proponujemy:
a.
W §2 ust. 1 wpisanie jednoznacznie, że jeżeli system certyfikujący jest realizowany przez
podmiot zewnętrzny w stosunku do podmiotu, który dokonuje autoryzacji, system certyfikujący jest
usługą zaufania zgodnie z ustawą o usługach zaufania wpisaną do rejestru przez Ministra Cyfryzacji;
b.
W §2 ust. 4 p. 2 zastąpienie wymaganiem spełnienia warunków organizacyjnych
i technicznych określonych w normach ETSI EN 319 401 i ETSI EN 319 411;
c.
W §2 ust. 4 p. 3 usunięcie wymagania stosowania CWA 14167-2,3,4 jako nieaktualnych i
zawartych pośrednio w wymaganiach określonych w ust. 4 punkt 2.
Opinię Sporządził Ekspert PIIT:
Michał Tabor
©PIIT: Opinia do 3 projektów rozp. MC (profil zaufany, ePUAP, uwierzytelnianie) 2016.09.19 (PIIT/1346/16)
Strona 2 z 2