Technologie szyfrowania danych nie zapewniają ich całkowitego bezpieczeństwa. Ostatnio w TV hakerzy na wizji złamali zabezpieczenia niemieckiego dowodu elektronicznego. W Polsce GIODO interweniował w sprawie warszawskiej karty miejskiej.
Zgodnie z ustawą o dowodach osobistych 1 lipca 2011 roku rozpocznie się w Polsce wydawanie elektronicznych dowodów osobistych. Korzystanie z nich przyniesie wiele udogodnień, ale może także narazić posiadaczy na zagrożenia w sferze prywatności i ochrony danych osobowych.
Nowe dowody będą wykorzystywać technologię RFID (z ang. Radio Frequency Identification) – identyfikację z użyciem fal radiowych. Nowy dowód osobisty ma zawierać podpis elektroniczny jego posiadacza, umożliwiać dostęp do rejestrów publicznych, a w przyszłości być może zastępować prawo jazdy poprzez możliwość umieszczenia na nim informacji o uprawnieniach do kierowania pojazdami. Rozważana była także możliwość umieszczenia w nim informacji o chorobach czy grupie krwi.
Zastosowanie technologii RFID w dowodach osobistych umożliwi odczytywanie danych zapisanych w warstwie elektronicznej dowodu na odległość, za pomocą fal radiowych. Możliwe jest więc uzyskanie dostępu do danych zapisanych w czipie elektronicznego dowodu osobistego bez wiedzy i zgody właściciela dokumentu. Wystarczy mieć dostęp do odpowiednich urządzeń. Czipy RFID reagują na fale radiowe wysyłane przez czytniki – wykorzystując moc uzyskaną dzięki zbliżeniu do czytnika, czip aktywuje się i udziela odpowiedzi odbiornikowi, udostępniając żądane dane. Niektóre czipy RFID mają własne źródło zasilania, są one znacznie droższe od ich pasywnych odpowiedników, przez co nie znajdują zastosowania w dokumentach elektronicznych.

Brak bezpieczeństwa

Aktualnie używane technologie szyfrowania danych nie zapewniają ich całkowitego bezpieczeństwa. Obecnie stosowane zabezpieczenia czipów RFID – nawet te w paszportach elektronicznych – są stosunkowo słabe i łatwe do złamania, co udowodniły rozmaite eksperymenty. Ostatnio w niemieckiej telewizji wyemitowano program, w którym hakerzy na wizji złamali zabezpieczenia niemieckiego dowodu elektronicznego.

Nieuprawniony dostęp

Zgodnie z polską ustawą dostęp do danych zapisanych w warstwie elektronicznej polskiego dowodu osobistego ma następować na żądanie uprawnionych organów lub w sposób zapewniający kontrolę obywatela nad dostępem do danych zapisanych w warstwie elektronicznej dowodu osobistego. Praktyka pokazuje jednak, że już dziś osoba dysponująca odpowiednimi, stosunkowo niedrogimi urządzeniami bez problemu uzyska dostęp do zawartości czipa RFID. Biorąc pod uwagę, iż zgodnie z ustawą dowód osobisty będzie umożliwiał uwierzytelnienie jego posiadacza w systemach teleinformatycznych podmiotów publicznych oraz przy dostępie do rejestrów publicznych, wraz z wprowadzeniem elektronicznych dowodów tożsamości może w Polsce wzrosnąć liczba tzw. kradzieży tożsamości.

Poważne konsekwencje

Uzyskanie dostępu do danych zapisanych w warstwie elektronicznej dowodu, zwłaszcza do podpisu elektronicznego posiadacza, przez osoby nieupoważnione może umożliwić oszustom podszywanie się pod właściciela dowodu choćby w kontaktach z urzędami. Zgodnie z ustawą opatrzenie podpisem elektronicznym dokumentu w postaci elektronicznej będzie wywoływać dla podmiotu publicznego skutek prawny równoznaczny ze złożeniem podpisu pod dokumentem w postaci papierowej. Kradzież podpisu elektronicznego może więc nieść ze sobą poważne konsekwencje.
Inną kwestią, której posiadacze elektronicznych dowodów osobistych powinni być świadomi, jest ilość danych, jakie można uzyskać poprzez monitorowanie aktywności czipów RFID. Jedną z ciekawszych spraw dotyczących RFID w Polsce było postępowanie administracyjne w sprawie przetwarzania danych osobowych użytkowników warszawskiej karty miejskiej przez Zarząd Transportu Miejskiego w Warszawie.

Decyzja GIODO

W swej decyzji generalny inspektor ochrony danych osobowych nakazał zaprzestanie pozyskiwania oraz usunięcie przetwarzanych w systemie ZTM numerów spersonalizowanych kart miejskich pozyskanych w trakcie dokonywania ich kolejnych skasowań. GIODO zakazał ZTM zbierania informacji dotyczących środków transportu, z których korzystają posiadacze imiennych kart miejskich. Poprzez monitorowanie kasowań warszawskiej karty miejskiej można uzyskać wiele informacji o jej użytkowniku, m.in. o jego nawykach, ulubionych miejscach czy też okolicy zamieszkania. Kasowniki oraz bramki wejściowe do metra to właśnie nic innego jak urządzenie wyposażone w czytnik RFID umożliwiający odczytanie zawartości karty. GIODO uznał dane pozyskiwane z użyciem karty za dane geolokacyjne, umożliwiające lokalizację konkretnej osoby.
Ważne!
Po wprowadzeniu nowych dowodów osobistych będzie możliwy dostęp do danych zapisanych w czipie elektronicznego dowodu osobistego bez wiedzy i zgody właściciela dokumentu