Komisja Europejska proponuje zmiany w regulacjach dotyczących cyfrowej tożsamości eIDAS. Zdaniem Mozilli, modyfikacja Artykułu 45.2 może doprowadzić do zmniejszenia bezpieczeństwa obywateli krajów UE – choć w teorii miała je wzmacniać.
Czy lepsze może być wrogiem dobrego? Stare przysłowie uczy, że tak – i podobnie uważa Mozilla, która w opublikowanym 8 maja raporcie ocenia, iż proponowana wersja Artykułu 54.2 eIDAS, czyli unijnego prawa tożsamości cyfrowej, może prowadzić do zmniejszenia poziomu cyberbezpieczeństwa w krajach członkowskich. Oczywiście, celem nowelizacji przepisów w zamyśle regulatorów – jak chcemy wierzyć – nie było właśnie takie działanie, jednak, jak to się często okazuje, tam, gdzie prawo krzyżuje się z kwestiami technologicznymi, zazwyczaj brakuje doświadczenia po tej ostatniej wymienionej stronie.
Nieumyślne ryzyko, nieprzewidziane zagrożenia
W opinii Mozilli, zmiany, które proponuje w eIDAS Komisja Europejska, mogą doprowadzić do zmniejszenia bezpieczeństwa w internecie i przełożyć się np. na wzrost częstotliwości kradzieży tożsamości, oszustw typu phishing, czy nadużyć finansowych. Ostatecznie, nowelizacja eIDAS może również otworzyć drogę do inwigilacji dysydentów politycznych czy opozycji – czytamy w raporcie.
Artykuł 45.2 w nowej wersji ma zobowiązywać przeglądarki internetowe do wsparcia kwalifikowanych certyfikatów uwierzytelniających QWACs, które w opinii Mozilli i ekspertów zaangażowanych w raporcie cechuje słabsze bezpieczeństwo, niż to, które oferują obecnie stosowane rozwiązania.
Pzeglądarki mają być także zobowiązane do automatycznej akceptacji certyfikatów wydawanych przez krajowe organy – Urzędy Certyfikujące (Certificate Authorities) albo Kwalifikowanych Zaufanych Dostawców Usług (QTSP). Mozilla wskazuje, że pozwala to na praktyczne obejście mechanizmów bezpieczeństwa obecnie wbudowanych w narzędzia do przeglądania internetu, wypracowane w toku wieloletnich prac i ulepszeń tych produktów.
Przykład prosto z Rosji
Mozilla jako przykład podaje sprawę Sberbanku – największego banku w Rosji, która od 9 lat prowadzi wojnę z Ukrainą, od lutego 2022 r. na pełną skalę – jako instytucji, która nakazuje użytkownikom „instalowanie certyfikatów” opracowanych przez rosyjskie ministerstwo rozwoju cyfrowego.
Obecnie nie ma dowodów na wykorzystanie certyfikatów przeciwko obywatelom, ale w kontekście kraju autorytarnego, jakim jest Federacja Rosyjska, doniesienia takie mogą budzić uzasadnione obawy wśród czytelników.
Wydawane przez resort Putina certyfikaty mogą być wykorzystywane do inwigilacji, szczególnie, gdy będą powszechnie instalowane. Właśnie dlatego, jak wskazuje Mozilla, potrzebna jest odporność wbudowana w przeglądarki, która będzie standardem branżowym, a nie państwowym.
Jaki los eIDAS?
Artykuł 45.2 będzie niebawem przedmiotem dyskusji na forum unijnym. Obecnie regulacja eIDAS jest w fazie trilogu. Czy instytucje UE dadzą się przekonać lobbingowi organizacji zajmujących się bezpieczeństwem w sieci i dostarczaniem produktów takich, jak przeglądarki internetowe i zmienią swoje spojrzenie na kwestię standardów? Zobaczymy. Mozilla prowadzi w tym zakresie kampanię #SecurityRiskAhead, która ma uświadomić zagrożenie i zwiększyć presję na Brukselę. Z treściami z nią związanymi można zapoznać się na stronie: www.securityriskahead.eu.
/na podstawie raportu EI Studios dla Mozilli, który można pobrać tutaj/