În luna septembrie, la Cluj-Napoca, s-au eliberat primele cărți de identitate electronice din România. Pe scurt, ne apropiem tot mai mult de o CI cu cip. Dar este noua metodă mai sigură și îi poate ține pe hackerii departe de datele noastre? Ne putem apăra de ceea ce se cheamă identity hacking.
Ca să înțelegem ce este acest nou tip de card și cât de eficient și de sigur poate fi acesta, am pornit o discuție cu un specialist în domeniu, Adrian Crăciunescu, Country Manager – Digital Identity and Security Thales România.
Cadrul în care ne mișcăm
Uniunea Europeană a introdus o securitate mai strictă pentru cărțile electronice tocmai pentru a reduce frauda de identitate. Până în iunie 2019, certificările Common Criteria nu aveau o dată de expirare și erau valabile până la eliminarea treptată a produsului. Între timp, însă, Actul Cibernetic al UE și Acordul de recunoaștere a criteriilor comune și-au revizuit abordarea cu privire la evaluarea securității pe durata de viață a unui document.
Acum se aplică o perioadă de valabilitate administrativă de cinci ani. În practică, acest lucru înseamnă că este necesară o reevaluare a securității înainte de încheierea celor cinci ani, pentru a putea prelungi valabilitatea certificatului”Noile reguli au intrat în vigoare în august anul acesta și îmbunătățesc securitatea cărților de identitate prin introducerea unui cip contactless cu aceleași standarde de securitate folosite și pentru pașaportul biometric și prin armonizarea nivelului minim de elemente de securitate”, declară, pentru Capital, specialistul Adrian Crăciunescu.
Precauții europene
Bun, știm deja: cărțile de identitate electronice au fost introduse pentru a consolida securitatea, iar datele biometrice sunt protejate prin diferite mecanisme de securitate cunoscute din pașapoartele electronice. În momentul eliberării unei cărți de identitate electronice, documentul respectă cerințele de securitate de ultimă generație. ”În ultimii 25 de ani, certificarea Common Criteria a fost referința incontestabilă pentru securizarea software-ului încorporat într-un card eID”, spune Adrian Crăciunescu.
Această certificare este esențială pentru a oferi îndrumări despre ce evaluări de securitate cibernetică trebuie să aibă loc pentru toate documentele de identitate, atât la momentul emiterii, cât și pe durata de viață operațională. Evident, nivelul de securitate poate scădea pe măsură ce apar noi tipuri de atacuri, ca pentru orice produs IT.
”În acest context, guvernele se confruntă cu două mari provocări. Prima: cum să mențină un nivel de ultimă generație al securității cibernetice, timp de până la 15 ani. A doua: cum se poate face un upgrade pentru cărțile de identitate electronice deja emise cetățenilor”, ne spune Country Managerul DIS Thales, care mai precizează: ”Atunci când au în vedere întărirea securității documentelor de identitate, autoritățile din orice țară ar trebui să urmeze patru principii cheie: anticipează, rezistă, reacționează, restabilește. Acest lucru le va permite să obțină rezultatul dorit, adică să își protejeze cetățenii în pofida oricăror amenințări cibernetice”.
Folosind această metodă, guvernele se pot asigura că sunt prevenite cât mai multe atacuri posibile, făcând dificilă misiunea hackerilor. Pentru a ajunge la acest rezultat, guvernele au nevoie de o foaie de parcurs pe termen mediu și lung pentru software-ul utilizat, cu evaluarea regulată a securității și menținerea certificării pentru software-ul utilizat. ”În plus, cărțile de identitate electronice aflate deja în circulație trebuie să aibă caracteristici actualizabile, astfel încât cele mai recente actualizări de securitate să poată fi puse la dispoziție cetățenilor printr-o platformă de gestionare a ciclului de viață al documentelor”, mai spun Adrian Crăciunescu.
Ce soluții viabile propune Thales?
Cardurile eID, la fel ca orice alt produs IT, trebuie protejate încă de la proiectarea lor folosind principiul „securității cibernetice by design”.”Thales monitorizează îndeaproape și constant evoluția tehnologiei și amenințările cibernetice, pentru a se asigura că protocoalele de securitate aplicate documentelor sunt actualizate. Integrarea securității de la începutul ciclului de viață al unui produs este o necesitate în lupta împotriva activității de criminalitate cibernetică”, a mai declarat Crăciunescu.
De la introducerea lor în cardurile eID, platformele deschise reprezintă pentru Thales asigurarea că documentele electronice beneficiază de securitate perenă. Dacă o cheie sau un algoritm este expus, emitentul poate trece la un alt algoritm, poate schimba aplicația sau poate dezactiva serviciile defecte. ”Cu expertiză de bază în criptografie, software încorporat, personalizare card și biometrie, GrupulThales poate oferi un control complet asupra securității produselor și soluțiilor sale”, mai spune specialistul Thales.
Adrian Crăciuneascu spune și că soluția software încorporată Thales pentru cărțile de identitate electronice implementează un firewall între diferite aplicații, care protejează în cazul oricărui acces neautorizat. Practic, mecanismul de firewall Thales a atins cel mai înalt nivel de securitate posibil, unic în industrie.
Și după cardul cu cip, ce urmează?
Specialiștii spun că, pentru confort și rezistență suplimentară, documentul de identitate fizic poate fi completat cu un portofel de identificare digitală stocat într-un smartphone. Această soluție de identificare mobilă poate fi, de asemenea, o alternativă în cazul în care apare o problemă potențială și permite cetățenilor un acces fără probleme la servicii până când are loc actualizarea securității documentelor de identitate. Aceasta este și strategia propusă de Comisia Europeană.
Pe lângă reglementările UE privind documentele de identitate electronice, Uniunea Europeană a propus și un cadru pentru o identitate digitală la nivel european. Aceasta ar fi disponibilă pentru toți cetățenii UE, rezidenții și întreprinderile din UE. Cetățenii ar putea folosi un portofel de identitate digitală europeană, de pe telefonul lor, care le-ar oferi acces la servicii în orice regiune din Europa.
”Portofelul de identitate digital dezvoltat de Thales este un exemplu în acest sens, oferind cetățenilor control complet asupra datelor lor și libertatea de a decide exact ce informații să furnizeze, cui să le furnizeze și în ce moment. Este un produs sigur care include toate acreditările de identitate digitală ale proprietarului”, punctează Adrian Crăciunescu.
Ce zice UE
Reglementările Uniunii Europene au introdus utilizarea materialului din policarbonat și a cipului electronic pentru a consolida securitatea cărților de identitate fizice fără cip și a combate frauda de identitate. Pe lângă securitatea fizică oferită de corpul cardului din policarbonat și de caracteristicile elementelor minime de securitate, atat la suprafață cat și în interiorul documentului de identitate, există protecție suplimentară datorită introducerii cipului.
Sistemele de operare special concepute, bibliotecile cripto și mecanismele suplimentare protejează cipul împotriva acțiunilor de hacking. Acesta este deja prezent în cazul pașapoartelor electronice.