Pryzmat - Wiadomości PWr

​Rozwój technologii wprowadza nas w stan euforii. Nagle stwierdzamy, że coś przychodzi nam dużo łatwiej niż wcześniej. Ale zawsze wraz z rozwojem technologii rozwija się też coś, czego zwykły użytkownik nie dostrzega. Rozmowa z profesorem Mirosławem Kutyłowskim z Instytutu Matematyki i Informatyki Politechniki Wrocławskiej

Profesor Mirosław Kutyłowski we wrześniu będzie gospodarzem konferencji ESORICS - najważniejszego  forum europejskiego w zakresie badań nad bezpieczeństwem w systemach IT.


Katarzyna Górowicz-Maćkiewicz: Nasze życie ekonomiczne, społeczne, a nawet prywatne przenosimy dziś w wirtualny świat mediów elektronicznych. Upajamy się nowymi możliwościami, postępem i nie patrzymy na konsekwencje.
Prof. dr hab. Mirosław Kutyłowski: - Taki miesiąc miodowy ludzkość przeżywa przy okazji każdej nowej technologii. Tak było np. z pierwszymi samochodami. Człowiek zaczął się nagle szybciej przemieszczać z miejsca na miejsce. Ale po chwili okazało się, że wraz z szybkością pojawiły się zagrożenia, wypadki, ludzkie nieszczęścia. Wprowadzenie pewnych norm, zasad poruszania się, dróg z prawdziwego zdarzenia, wyposażenia samochodów w systemy bezpieczeństwa, nadało komunikacji zupełnie inny wymiar niż miał on na początku.
Z technologiami informacyjnymi jest tak samo?
Owszem, możemy dużo zyskać, ale i wiele stracić. Zmienia się nie tylko krajobraz ekonomiczny, ale i społeczny oraz gospodarczy. Wraz z rozwojem tej dziedziny życia kwitnie przecież szpiegostwo przemysłowe, podkradanie sobie nawzajem technologii.
Tam gdzie ludzie są uczciwi, to dalej zachowywać się będą uczciwie. Jednak margines istniał zawsze i istnieć będzie.
No właśnie. W Polsce był taki moment, że przestępczość zorganizowana zajmowała się kradzieżami samochodów, włamaniami, rozbojem. Teraz żyjemy w czasach, kiedy nie musimy na kogoś napadać fizycznie i wyrywać mu portfel. Dużo wygodniej dla przestępców jest włamać się na konto bankowe.
Czyli złodzieje weszli na inny, wyższy poziom?
Trochę tak. Może to dla mnie, czy dla pani jako potencjalnej ofiary przestępstwa, lepiej być okradzionym z danych osobowych, niż być ofiarą rozboju. W tym drugim przypadku narażone może być życie i zdrowie. Jednakże trzeba brać pod uwagę, że konsekwencje finansowe mogą obecnie być dużo większe.
Kradzież tożsamości?
Niestety, w wielu przypadkach jedyną weryfikacją tożsamości jest e-mail, okazany dowód osobisty czy znajomość kilku faktów. Ale dane o osobie można zebrać np. z portali społecznościowych, pochodzenie e-maila spreparować, a dowód osobisty podrobić.
Kiedyś było bezpieczniej?
Kiedyś ludzie, którzy robili z sobą interesy, funkcjonowali w małych społecznościach. Nierzetelność i nieuczciwość była natychmiast faktem powszechnie znanym, a „utrata twarzy” była zarazem śmiercią w biznesie. W takiej sytuacji uczciwość w biznesie była jedyną racjonalną strategią, a kodeks cywilny istniał tylko na wszelki wypadek.
Dziś, w dobie globalizacji, coraz częściej dokonujemy transakcji z nieznajomymi. Coraz częściej konsumenci padają ofiarą firm „krzaków”, tworzonych przy pomocy skradzionej tożsamości.
Staliśmy się gorszymi ludźmi?
Nie. Po prostu kontakty biznesowe odbywają się między nieznajomymi. Możliwość napotkania złodzieja w biznesie jest bardziej prawdopodobna niż kiedyś.
A tymczasem najdynamiczniej rozwijającym się sektorem jest dziś handel przez Internet.
Z jednej strony mamy sklepy w sieci z super ofertami, z drugiej strony - zobaczmy - jak łatwo otworzyć taki biznes, nawet na podstawie fałszywych danych. Wystarczy utworzyć stronę internetową, na której zaoferujemy dobry towar, w dobrej cenie. Dane nieuczciwego sprzedawcy mogą być zupełnie fałszywe, a namierzenie osoby fizycznej, stojącej za tą działalnością, bywa niemożliwe.
Ale chyba nie z uwagi na ochronę danych osobowych?
(śmiech) to zupełnie inna historia. Kluczowe dane firmy powinniśmy sprawdzić w Krajowym Rejestrze Sądowym – są one jawne, mimo zasad ochrony danych osobowych. Ale nawet gdy to sprawdzimy, jaką mamy pewność, że strona internetowa sklepu jest istotnie obsługiwana przez tę firmę? Inaczej byłoby, gdyby w KRS zapisany był nie tylko adres pocztowy, ale i adres elektroniczny, klucz publiczny niezbędny do weryfikacji autentyczności strony internetowej.
Co z zagrożeniem danych osobowych, które przecież musimy ujawnić naszym kontrahentom?
Pierwsze podejście Unii Europejskiej do ochrony danych osobowych było takie: “stworzymy obowiązki ochrony danych osobowych i przepisy karne za niedopełnienie tych obowiązków”.
To trochę tak, jakby budowniczym mostów powiedzieć: „jeżeli wasz most się zawali, to pójdziecie do więzienia”. Ale inżynier postępuje inaczej - najpierw należy wykonać projekt konstrukcyjny mostu, a dopiero potem go wybudować i użytkować.
Dziś Unia podchodzi już inaczej do ochrony danych. Podejście „privacy by design” zakłada, że systemy teleinformatyczne muszą być budowane w sposób dający pewne gwarancje bezpieczeństwa. Mechanizmy te nie są nigdy idealne, ale pracujemy w przeświadczeniu, że zrobiliśmy wszystko, co w danych okolicznościach ekonomicznych i przy danej wiedzy technologicznej można było zrobić.
Dziś przeciętny użytkownik karty bankowej wierzy, że jego pieniądze są bezpieczne. Mamy taki system zabezpieczeń, który na ogół strzeże nas nawet, kiedy pomylimy numer konta podczas przelewu.
Istotnie, stosuje się wiele zabezpieczeń. Są to np. cyfry kontrolne zapobiegające tzw. „czeskim błędom”. Pamiętajmy jednak, że obecnie prawo dotyczące „elektronicznych instrumentów płatniczych” przestało wyłączać naszą odpowiedzialność za transakcje przeprowadzane bez naszej autoryzacji - czyli wtedy, kiedy ktoś inny posługuje się naszą kartą. Wstąpiliśmy dziś na nowy, nieznany grunt, trzeba bardziej uważać.
A tymczasem wystarczy w Internecie raz wejść do sklepu z butami, aby potem na portalu społecznościowym być zasypywanym reklamami z obuwiem.
No właśnie. Wykorzystanie wielu bardzo wygodnych narzędzi elektronicznych stało się mechanizmem przekazywania informacji o nas samych do operatorów systemów. Aby sprofilować dziś działalność jakiejś firmy, nie trzeba wysyłać do niej szpiega, wystarczy na przykład śledzić wypływające z firmy maile.
Są państwa, które starają się wspierać technologie i szerzyć dobre praktyki, które chronią firmy i obywateli. Przykładowo, w Niemczech istnieje taka instytucja na szczeblu federalnym, która zajmuje się bezpieczeństwem w systemach informatycznych. Między innymi przedstawia rekomendacje i wzory postępowania dla przedsiębiorcy, które pomagają mu w utrzymaniu bezpieczeństwa informatycznego.
My na Politechnice Wrocławskiej pracujemy nad projektami z kryptologii, zajmujemy się konstrukcją protokołów kryptograficznych dla kart chipowych. Pracujemy nad różnymi zabezpieczeniami, po to, byśmy mogli w miarę bezpiecznie korzystać z osiągnięć technologii. Jednym z problemów są karty bezstykowe. Są trwalsze, ale komunikacja z kartą może być nawiązana bez naszej wiedzy i zgody. Np. w tramwaju ktoś może uruchomić czytnik udający terminal sprzedaży. Jeśli karta zażąda autoryzacji, np. poprzez podanie PINu, nasze pieniądze będą bezpieczne. Ale temu, kto się podszywa pod bankomat, może wcale nie chodzić o pieniądze, a o naszą tożsamość.
Dziś gra zatem nie idzie tylko o przysłowiową kasę, a coś więcej?
Przede wszystkim o informacje. Przekazujemy mnóstwo danych o sobie, m.in. przy pomocy telefonu komórkowego. Ja mam telefon, pani ma telefon, operator zatem wie, gdzie jesteśmy, że właśnie się spotykamy. Jeśli ktoś chce panią śledzić, wcale nie musi za panią chodzić. Takie dane muszą być bezpieczne.
A dane, które sobie złodziej ściągnął z karty “udając bankomat”?
Wykorzysta przy innej okazji. Pozna nasze ścieżki w ciągu dnia. O której wychodzimy z domu, o której wracamy. Jeśli ktoś chce okradać mieszkania, to takie dane mu się bardzo przydadzą. Organizacje przestępcze takie dane mogą zbierać hurtowo.
Jak?
Dziś dużo się mówi też o inteligentnych licznikach energii. Ale gdy są niewłaściwie zabezpieczone, pozwalają przestępcy śledzić zużycie energii na bieżąco na całym osiedlu. Ostatnio widziałem wyniki badań przeprowadzonych w USA na ten temat. Pokazywały, jak wiele i jak prostymi metodami można się dowiedzieć.
Strach się bać.
Żyjemy na krawędzi. Powinniśmy nieco więcej myśleć o bezpieczeństwie teleinformatycznym. Powinniśmy być „mądrzy przed szkodą”.
W ubiegłym roku MON powołał do życia Narodowe Centrum Kryptologii, którego zadaniem jest projektowanie, wdrażanie oraz ochrona narodowych technologii kryptologicznych. Efektem ma być zwiększenie bezpieczeństwa państwa, chronionego za pomocą własnych rozwiązań kryptologicznych. W grudniu “Rzeczpospolita” informowała też, że ruszają prace nad prototypami narzędzi kryptograficznych. Ma nad nimi pracować 120 naukowców z całego kraju. Wśród nich znaleźli się również naukowcy z Politechniki Wrocławskiej.
To przejaw rozsądku i rosnącej świadomości tych problemów w Polsce.
Wszystko dla naszego bezpieczeństwa?
Właśnie. Im więcej będzie w Polsce kompetencji, tym mniej zrobimy błędów, tym bardziej świadomie podejmujemy decyzje. Takiej strategicznej, również pod względem gospodarczym, wiedzy nikt nam nie poda na tacy. Sami sobie musimy ją wypracować.
Są dziedziny szczególnie ważne z punktu widzenia bezpieczeństwa narodowego.
Tak, błędy łatwo popełnić. Estonia wprowadziła system wyborczy za pomocą elektronicznych dowodów osobistych. Niby system jest nowoczesny, ale jest nieodporny na ataki na komputery wyborców. Wprowadzenie wirusa, który ujawnia się w momencie wyborów, nie jest wcale niewykonalne. Ludzie zaczynają głosować, ale tak naprawdę to wirus oddaje głos zabezpieczony i uwierzytelniony przez dowód osobisty. Tyle że głos oddany jest określony przez wirusa. W ten sposób można zdobyć władzę w państwie. I nagle okazuje się, że jest łatwiejsza metoda na podbicie sąsiedniego kraju  niż wysłanie czołgów – wystarczy wysłać wirusy komputerowe.
Ale my też idziemy w tym kierunku, w kierunku takiego systemu głosowania...
Idziemy, ale w innym kierunku. Metoda głosowania nie może się opierać na bezwzględnym zaufaniu do jakiegokolwiek komponentu systemu (w Estonii jest to PC wyborcy!). My mamy - jako informatycy z WPPT Politechniki Wrocławskiej - pewne doświadczenia z wyborami politycznymi m.in. w USA. Najbardziej dla nas spektakularne były jednak wybory w Platformie Obywatelskiej, które obsługiwaliśmy pod kątem kryptograficznym. Inaczej niż w Estonii wyborca i Komisja Wyborcza mogły weryfikować prawidłowość oddania głosu i obliczenia wyniku. I dlatego wynik obliczony w kilka minut przez odpowiednią procedurę kryptograficzną był sprawdzany dość długo za pomocą procedury, która gwarantowała wykrycie  nieprawidłowości mogących wpłynąć na wynik.
Nam, przeciętnym użytkownikom, pozostaje zatem zawierzyć umiejętnościom specjalistów i kibicować im w tworzeniu zabezpieczeń.
Wciąż bardzo dużo jest do zrobienia w obszarze technologii ochrony informacji. Ale to nie wszystko. Musimy wypracowywać odpowiednie metody proceduralne, edukować społeczeństwo. Rola tego sektora w informatyce powinna gwałtownie rosnąć. To też szansa dla naszego sektora IT. Może zdołamy jako społeczeństwo ją wykorzystać.
Rozmawiała Katarzyna Górowicz-Maćkiewicz