dr Tomasz Grześ [wideo]

Niektórzy dostają SMS-y, że wygasa ważność ich profilu zaufanego. Dlaczego nie wolno ignorować tej wiadomości i jak przedłużyć ważność profilu zaufanego? O tym z doktorem Tomaszem Grzesiem z Wydziału Informatyki Politechniki Białostockiej rozmawia Renata Reda.

Renata Reda: Kto wysyła wiadomości, że z końcem października wygasa profil zaufany? 

dr Tomasz Grześ: Wiadomości wysyłane są przez instytucję rządową - ePUAP, która zajmuje się naszymi profilami zaufanymi. Z jednej strony muszę powiedzieć, że to dobrze, że my tak nie do końca wierzymy, że te SMS-y są takie dobre. Trochę ostrożności, takiego myślenia, że to może być niebezpieczne, nie zaszkodzi. 

Ale to wygląda jak oszustwo, nie ma polskich znaków... Mało wiarygodny jest ten SMS.

On został tak przygotowany. To nie jest działanie bezcelowe. Przykładem jest, chociażby link, który jest tam umieszczony, który wygląda na napisany niechlujnie, ze spacjami pomiędzy odstępami. W niektórych telefonach on się w ogóle nie pojawia jako link, nie da się w niego kliknąć. To jest właśnie po to, żeby przeczytać uważnie ten SMS i zrobić to, co jest tam napisane, ale samodzielnie. W przypadku rzeczy niebezpiecznych najgorszym doradcą jest pośpiech. Często dostajemy SMS albo mail, klikamy w link i co będzie, to będzie. 

Pan taki SMS otrzymał, ja nie. Kto go otrzymuje?

Otrzymują osoby, którym kończy się ważność profilu zaufanego. Profil zaufany nie jest na zawsze. Ten profil trzeba odnawiać, podobnie jak dowód osobisty. Musimy co pewien czas go odnawiać, bo traci swoją ważność. W przypadku profilu zaufanego jest to szczególnie ważne, bo każdy mechanizm bezpieczeństwa można złamać. Nie ma mechanizmów, których się nie da złamać. Kwestia jest tylko czasu. Profil zaufany ważny jest przez 3 lata. Jeżeli ktoś 3 lata temu go odnawiał, to teraz będzie musiał znowu to zrobić. Niektórzy zakładali profile zaufane bądź też przedłużali je w innym czasie i po 3 latach, czyli np. za miesiąc, za pół roku, za rok dostaną takiego SMS-a z powiadomieniem, że trzeba taki profil przedłużyć.

Co się stanie, jeśli nie potraktujemy poważnie takiego SMS-a? 

Stracimy możliwości załatwiania jakiejkolwiek sprawy poprzez internet. W tym momencie staniemy się całkowicie realnymi użytkownikami. Każdą sprawę będziemy musieli załatwić osobiście, pójść do urzędu, stać w kolejce i czekać na załatwienie. I to dotyczy wszystkich spraw. Nie będziemy mogli żadnego dokumentu podpisać zdalnie, używając profilu zaufanego. 

To jak przedłużyć ważność profilu zaufanego? 

Skorzystać z bankowości elektronicznej. Na stronach bankowości elektronicznej są do tego linki. Klikając, możemy odpowiednio taki profil przedłużyć. Instytucja banku jest instytucją zaufaną, mamy również możliwość potwierdzania tego, co my robimy, za pomocą różnych metod uwierzytelniających. Na przykład są to hasła czy kody wysyłane SMS-em na nasz numer telefonu. To potwierdza, że my wykonujemy daną czynność. Dzięki temu bank potwierdzi, że profil możemy przedłużyć i zostanie on przedłużony.

Poza bankiem, gdzie możemy założyć profil zaufany?

Należy zajrzeć na stronę ePUAP. Tam będą wszelkie odnośniki do wszystkich możliwości związanych z zakładaniem i z utrzymaniem takiego profilu zaufanego. 

Czy tylko sami, zdalnie, założymy taki profil? 

Żeby założyć profil, musimy zrobić to samodzielnie. Nie może nikt zrobić tego za nas. Możemy to zrobić zdalnie, bez wychodzenia z domu. 

Dlaczego warto mieć profil zaufany? 

Mając profil zaufany, możemy podpisać wszelkie dokumenty zdalnie, jeżeli będziemy załatwiali jakiekolwiek sprawy w urzędach. Oczywiście, jeżeli będzie taka możliwość, bo są też sprawy, których nie da się załatwić zdalnie z oczywistych względów. Będzie można załatwić sprawy związane nawet z niektórymi sprawami sądowymi, przy prowadzeniu działalności gospodarczej. Sprawy w ZUS-ie, chociażby składanie wniosków do ZUS-u i korespondencja z ZUS-em wymaga użycia skrzynki, do której wejść możemy, korzystając z profilu zaufanego. Podobnie Internetowe Konto Pacjenta, tutaj też profil zaufany jest bardzo ważny. 

Czasami dostajemy informację, żeby podpisać się podpisem kwalifikowanym lub profilem zaufanym. Jaka jest różnica między tym a tym? 

Profil zaufany to jest taka możliwość potwierdzania naszej tożsamości poprzez instytucje uwierzytelniające. Natomiast podpis kwalifikowany to już jest całe narzędzie, wymaga posiadania odpowiednich narzędzi sprzętowych i programowych, odpowiednich tzw. tokenów. To nie jest najczęściej zakładane przez osoby prywatne. 

Komu potrzebny jest taki podpis kwalifikowany? 

To jest dla instytucji, takich jak urzędy czy uczelnie, czy też firmy, kiedy potrzebujemy zachować większy poziom bezpieczeństwa. 

Jak często zdarzają się takiego rodzaju oszustwa, że link jest aktywny? Dlaczego tak ważne jest, żeby być czujnym?

Takich prób oszustwa, jakbym chciał policzyć u siebie, u mnie w skrzynce, są setki w ciągu miesiąca. Nie mówię o SMS-ach, ale też o e-mailach.

Nigdy nie zadrżała panu ręka, nie chciał pan czegoś tam uaktywnić?

Przyznam szczerze, że kilka razy już byłem tak przekonany, bo te wiadomości są przygotowywane na podstawie istniejących, wysyłanych przez prawdziwe instytucje SMS-y czy też e-maile. Szczegóły są tak niewielkie, że oko ludzkie może tego nie wyłapać tak szybko, a faktycznie czasami ręka drży. Ja zdaję sobie sprawę z tego, że jeżeli ja potrzebuję czegoś, to ja jestem stroną inicjującą, a nie osoba wysyłająca SMS. Trzeba pamiętać o tym, że taka prosta zmiana myślenia z osoby pasywnej, czyli ja dostałem SMS, klikam link, na osobę aktywną, czyli ja dostałem SMS, nie wiem, co to za informacja, więc sprawdzam w internecie, znajduję na stronach numer telefonu, dzwonię i dowiaduje się, że to jest prawda. Najważniejsze to nie dać przejść do strony pasywnej, czyli ja będę klikać, bo tak mi każą. Tu bardzo łatwo jest się nabrać, zwłaszcza że człowiek chyba z natury jest trochę chciwy i chciałby dostać coś za darmo. 

| red: sk