Proces zakładania i wykorzystywania konta użytkownika na portalu danych, który planuje utworzyć rząd, nie spełnia aktualnych wymagań cyberbezpieczeństwa i może posłużyć do przejęcia tożsamości użytkownika – ostrzega Konfederacja Lewiatan.
Rozporządzenie Rady Ministrów, które jest konsultowane, ma uregulować utworzenie gigantycznej bazy danych, łączącej informacje z prawie wszystkich możliwych rejestrów. Korzystanie z nowego portalu danych ma być łatwiejsze niż z działającego dzisiaj centralnego repozytorium informacji publicznej.
– Przy zakładaniu i wykorzystywaniu konta użytkownika portalu danych powinno stosować się metody bezpiecznego uwierzytelniania. Brak wieloskładnikowego uwierzytelnienia był przyczyną wielu problemów np. wycieków e-maili z poczty elektronicznej, a także podstawą do nakładania kar przez prezesa UODO. Proces bezpiecznego uwierzytelnienia użytkownika powinien być stosowany nie tylko przy zakładaniu, ale także dalszej eksploatacji konta – mówi dr Aleksandra Musielak, dyrektorka departamentu rynku cyfrowego Konfederacji Lewiatan.
Otwarte dane znajdujące się na portalu mogą być wykorzystywane dla różnych celów, w tym także związanych z prowadzeniem działalności gospodarczej, i mieć znaczenie prawne, a nawet istotne dla bezpieczeństwa państwa. Przykładem takich danych mogą być ogłaszane przez NBP kursy walut lub informacja o stopniach zasilania podawana przez Polskie Sieci Elektroenergetyczne. Wykorzystanie takich danych znajdujących się na portalu może mieć później znaczenie prawne, np. podczas rozliczeń lub ze względu na podejmowane decyzje i odpowiedzialność z tym związaną. Dlatego niezbędne jest bezpieczne uwierzytelnienie użytkownika, który w imieniu dostawcy będzie dokonywał czynności na danych. Jednak to nie jest wystarczające.
Wprowadzone powinny też być mechanizmy nakazujące np. wspólne działanie przynajmniej trzech użytkowników po stronie dostawcy tj. użytkownika dokonującego czynności na danych, użytkownika sprawdzającego prawidłowość tych czynności oraz użytkownika zatwierdzającego te czynności. Oczywiście dopuszczalne są inne mechanizmy weryfikacji, ale wymagają one, aby złamanie jednej tożsamości nie niosło za sobą dalszych konsekwencji – dodaje Aleksandra Musielak.
Konfederacja Lewiatan