Podpis kwalifikowany jest bezpieczny !!! – odpowiedź na „rewelację” z G DATA

Programiści z G DATA rzekomo wykryli lukę w oprogramowaniu wykorzystywanym do składania podpisu kwalifikowanego m.in. firmy Unizeto Technologies SA, a po wprowadzeniu do komputera odpowiedniego kodu, istnieje możliwość podmiany podpisywanego dokumentu.

Informacja ta jest jawnym nadużyciem, i nie dość, że wprowadza w błąd, to wyrządza bezpośrednią szkodę naszej firmie – Unizeto Technologies SA. Sposób zredagowania informacji może świadczyć o absolutnej ignorancji osoby piszącej lub o świadomym wprowadzeniu opinii publicznej w błąd w celu osiągnięcia efektu marketingowego w procesie promowania i sprzedaży nowego produktu firmy G DATA. Z całą odpowiedzialnością stwierdzamy, że nasze oprogramowanie wraz z komponentem technicznym wypełnia wszystkie wymagania ustawy o podpisie elektronicznym (a także właściwych rozporządzeń) w zakresie niepublicznego bezpiecznego urządzenia do składania podpisu elektronicznego. Urządzenie takie przeznaczone jest do pracy w środowisku, co do którego użytkownik ma pewność, że jest wolne od wszelkiego rodzaju wirusów mogących pozbawić go kontroli nad procesem składania podpisu elektronicznego. Jest to wyraźnie napisane w „Deklaracji zgodności” wydanej dla naszego produktu jak i w instrukcji użytkownika jako szczególnie wyeksponowane ostrzeżenie. Użytkownik jest uprzedzony przed takimi próbami ingerencji osób postronnych, jak demonstruje to G DATA. Podobne przypadki dużo wcześniej przedstawialiśmy publicznie na różnych konferencjach (np. Enigma czy EFPE w Międzyzdrojach). „Atak”, o którym donosi G DATA potrafi przeprowadzić przeciętnie zdolny student informatyki, któremu udostępni się swoją stacje roboczą. Inna rzecz to metody przeciwdziałania takim atakom, a także skuteczne wykrywanie „wrogiego” oprogramowania pracującego na komputerze osoby podpisującej. Oprogramowanie podpisujące przeznaczone dla niepublicznego użycia nie jest oprogramowaniem antywirusowym, ani zabezpieczającym indywidualną stację przed wyrafinowanymi próbami oszustwa. Natomiast specjaliści z firmy G DATA wykonali po prostu specyficznego wirusa, który oszukuje użytkownika w procesie wizualizacji pliku do podpisu. Nie jest to w żadnym wypadku złamanie podpisu elektronicznego. Oczywiście opracowali od razu antidotum i zaoferowali je producentom oprogramowania (w tym także nam). Wyraziliśmy nawet wstępne zainteresowanie, ale zwróciliśmy uwagę, że tego typu oprogramowanie powinno być oferowane w osobnym pakiecie (np. jako uzupełnienie programu antywirusowego, którego G DATA jest producentem). Należy z całą mocą podkreślić, że proces składania podpisu na niezabezpieczonym komputerze jest narażony na wiele więcej niebezpieczeństw niż tylko to, na które wskazuje G DATA.

Wyeliminowanie tylko tego jednego zagrożenia w żadnym przypadku nie upoważniałoby odpowiedzialnego producenta oprogramowania podpisującego do stwierdzenia, że jego oprogramowanie jest tak „bezpieczne”, że zwalnia użytkownika z konieczności dbania o bezpieczeństwo środowiska, w którym oprogramowania używa. Gdyby specjaliści z firmy G DATA zapoznali się wnikliwie z zapisami ustawy o podpisie elektronicznym (wraz z dokumentami w niej powołanymi), to zrozumieliby, co to znaczy bezpieczny podpis elektroniczny i jaka jest różnica pomiędzy publicznym a niepublicznym bezpiecznym urządzeniem (System) do składania podpisu elektronicznego i jaka odpowiedzialność spada no dostawcę oprogramowania, a jaka na użytkownika.

Określenie „bezpieczny podpis” ( będące nieco niefortunnym odpowiednikiem angielskiego „advanced signature”) jest przez specjalistów z G DATA źle interpretowane i nie zrozumieli oni, że zgodnie z ustawą odnosi się ono przede wszystkim do aspektów technologicznych zapewniających „bezpieczeństwo prawne”. Chodzi tu o użycie odpowiednich algorytmów do tworzenia podpisu oraz zachowania właściwej jego struktury, aby mógł stanowić dowód niezaprzeczalności. Środowisko składania podpisu nie przesądza w żadnym razie o skuteczności prawnej („bezpieczeństwie prawnym”) podpisu. Natomiast „bezpieczne urządzenie” do składania podpisu ma przede wszystkim zapewnić wymogi technologiczne i prawne składania podpisu (odpowiednie komunikaty, ostrzeżenia, możliwość prezentacji) i oczywiście dodatkowo powinno być użyte „bezpiecznie”, tzn. w takim środowisku i z takimi zastrzeżeniami, które określił producent, aby ingerencja „wrogich sił” nie była możliwa.

Jeszcze raz stwierdzamy, że atak „wirusa G DATA” jest możliwy, ale tylko w przypadku stosowania oprogramowania niezgodnie z zaleceniami zawartymi w „Podręczniku użytkownika” dołączanego do produktów Unizeto Technologies SA.

Widocznie menadżerowie firmy G DATA uznali (i zresztą słusznie), że świadomość użytkowników systemów komputerowych w zakresie bezpieczeństwa jest tak niska, że należy ich postraszyć, aby zwiększyć ich czujność i świadomość oraz w rezultacie także sprzedaż swoich produktów. Szkoda tylko, że zrobili to kosztem dobrego imienia wymienianych w komunikacie firm, w sposób naruszający zasady uczciwej konkurencji.

Tym bardziej jest to dziwne, że G DATA Software Sp. z o.o. jako biznesowy partner Unizeto Technologies SA powinna znać nasze rozwiązania przeznaczone do publicznego stosowania, w tym również w Internecie, które są odporne na daleko bardziej wyrafinowane ataki, niż ten, o którym donosi ona na swojej stronie internetowej.

Szanowna Użytkowniczko/Szanowny Użytkowniku

Zgodnie z art. 13 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r (zwanego dalej „Rozporządzenie”) informuję, iż:

  • Administratorem Pani/Pana danych osobowych jest Asseco Data Systems S.A. z siedzibą w Gdyni, ul. Podolska 21, 81-321 Gdynia;
  • Kontakt do Inspektora ochrony danych w Asseco Data Systems S.A. można uzyskać pod adresem e – mail: IOD@assecods.pl, tel.+48 42 675 63 60.
  • Pani/Pana dane osobowe przetwarzane będą w celu:
    1. przygotowania odpowiedzi na zapytanie na podstawie art. 6 ust. 1 lit. b Rozporządzenia.
    2. przesyłania informacji marketingowych za pomocą środków komunikacji elektronicznej i programów automatyzujących na podstawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i w zw. z art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. prawa telekomunikacyjnego (zgoda alternatywna) na podstawie art. 6 ust. 1 lit. a Rozporządzenia.
  • Pani/Pana dane osobowe będą przechowywane przez okres niezbędny do przygotowania i przedstawienia odpowiedzi na zapytanie oraz do czasu cofnięcia przez Panią/Pana wyrażonej zgody na otrzymywanie informacji marketingowych.
  • Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia/zapomnienia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Realizację wszystkich powyższych praw można zrealizować poprzez wniosek złożony na stronie https://www.daneosobowe.assecods.pl
  • Ma Pani/Pan prawo wniesienia skargi do Regulatora, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy Rozporządzenia.
  • Podanie przez Pana/Panią danych osobowych jest niezbędne do realizacji wniosku z zapytaniem. Jest Pan/Pani zobowiązana do ich podania, a konsekwencją niepodania danych osobowych będzie brak możliwości uzyskania odpowiedzi na wysłane zapytanie.
  • Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach przetwarzania danych osobowych podanych przy utworzeniu Konta i uzupełnianiu danych w nim zawartych oraz danych dotyczących aktywności w Serwisach (zgodnie z Polityką prywatności serwisu internetowego Asseco Data Systems S.A. Polityka prywatności)
    i aktywności związanej z naszą komunikacją mailową z Panią/Panem, a efektem takiego przetwarzania będzie dopasowanie informacji marketingowych dotyczących naszych produktów i usług, które mogą Panią/Pana zainteresować.
Polityka prywatności
Wielkość czcionki