“securitate cibernetică – starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a resurselor şi serviciilor publice sau private, din spaţiul cibernetic.” (Hotărârea Nr.271 din 15.05.2013 pentru aprobarea Strategiei de securitate cibernetică a României şi a Planului de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică, MONITORUL OFICIAL NR. 296 din 23 mai 2013)
Scopul avizului îl constituie verificarea îndeplinirii de către sistemul informatic al emitentului și de către soluția software, prin intermediul cărora este oferit instrumentul de plată cu acces la distanță, a unor cerințe minime de securitate, referitoare la:
a) confidențialitatea și integritatea comunicațiilor;
b) confidențialitatea și nonrepudierea tranzacțiilor;(Ordinul MCTI nr. 389 din 27 iunie 2007 privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking)
Trebuie sa existe un plan de securitate al sistemului informatic, cuprinzând masurile tehnice si organizatorice care sa asigure urmatoarele cerinte minimale:
a) confidentialitatea si integritatea comunicatiilor;
b) confidentialitatea si nonrepudierea tranzactiilor;(OMEF nr. 3512/2008 privind documentele financiar-contabile.)
Cei mai mulţi cunosc semnificaţia tehnică a elementelor din triada C-I-A şi a nonrepudierii. Pentru non-repudiere nu ştiu să existe nici o definiţie în vreun text de act normativ din România. Este oarecum firesc: legislaţia nu are cum să reflecte instantaneu implicaţiile schimbărilor induse de tehnologie. Totuşi, au trecut ceva ani şi, mai mult decît atît, se cere să se confirme că această cerinţă este respectată.
Legea nr. 455 din 18 iulie 2001 privind semnatura electronica nu defineşte non repudierea deşi la Art. 5 precizează că:
Inscrisul in forma electronica, caruia i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv si generata cu ajutorul unui dispozitiv securizat de creare a semnaturii electronice, este asimilat, in ceea ce priveste conditiile si efectele sale, cu inscrisul sub semnatura privata.
iar semnatura electronica extinsa reprezinta:
acea semnatura electronica care indeplineste cumulativ urmatoarele conditii:
a) este legata in mod unic de semnatar;
b) asigura identificarea semnatarului;
c) este creata prin mijloace controlate exclusiv de semnatar;
d) este legata de datele in forma electronica, la care se raporteaza in asa fel incat orice modificare ulterioara a acestora este identificabila;
5. semnatar reprezinta o persoana care detine un dispozitiv de creare a semnaturii electronice si care actioneaza fie in nume propriu, fie ca reprezentant al unui tert;
Spre deosebire de semnătura olografă este oarecum incorect să se afirme că semnătura electronică este “legată în mod unic de semnatar”. Dacă semnătura mea stă “în capul şi în mîna mea” nu acelaşi lucru se poate afirma despre semnătura electronică. Nu îmi este clar la ce se referă “unicitatea”. Remarc totodată şi lipsa unei definiţii pentru „tranzacţii”.
Definiţii conform Glosarului de termeni ISACA:
Authentication
1. The act of verifying identity, i.e., user, system.
Scope Notes: Risk: Can also refer to the verification of the correctness of a piece of data.2. The act of verifying the identity of a user, the user’s eligibility to access computerized information.
Scope Notes: Assurance: Authentication is designed to protect against fraudulent logon activity. It can also refer to the verification of the correctness of a piece of data.Integrity
Guarding against improper information modification or destruction, and includes ensuring information non-repudiation and authenticity.
Nonrepudiation
The assurance that a party cannot later deny originating data; provision of proof of the integrity and origin of the data and that can be verified by a third party.
Scope Notes: A digital signature can provide non-repudiation
Există diferenţe între asigurarea non repudierii tehnice şi a celei legale?
Conform ISO/IEC 13888-1:2004 IT security techniques – Non-repudiation – Part 1: General trebuie respectate următoarele principii:
• Creation of evidence for the participation of an entity in a transaction
• Collection of evidence
• Preservation of evidence for a time period in which they can be requested if needed
• Availability of evidence for a third party
• Verification of evidence authenticity should be possible
Conform ISO/lEC 10181-4 Information technology – Open Systems Interconnection – Security frameworks for open systems: Non-repudiation framework :
In an OSI environment (see CCITT Rec. X.800 and IS0 7498-2) the Non-repudiation service has two forms:
– Non-repudiation with proof of origin which is used to counter false denial by a sender that the data or its contents has been sent
– Non-repudiation with proof of delivery which is used to counter false denial by a recipient that the data or its contents (i.e. the information that the data represents) has been received.
Mergem şi la RFC 4949
non-repudiation service 1. (I) A security service that provide protection against false denial of involvement in an association (especially a communication association that transfers data). (See: repudiation, time stamp.)
„Technical non-repudiation”: Refers to the assurance a relying party has that if a public key is used to validate a digital signature, then that signature had to have been made by the corresponding private signature key. [SP32]
– „Legal non-repudiation”: Refers to how well possession or control of the private signature key can be established.
Autoritatea de Certificare efectuează o autentificare pentru a verifica identitatea proprietarului şi utilizatorului legitim al semnăturii electronice extinsă. Cealaltă parte implicată în tranzacția electronică se bazează pe autoritatea de certificare și are încredere că verificarea autenticităţii a fost efectuată cu succes. Identitatea reală a semnatarului nu este însă verificată! Cum se poate depăşi această limită? Doar prin biometrie, cred.
Non-repudierea tehnică nu este absolută!
Bibliografie:
Liability and Computer Security: Nine Principles – Ross J Anderson
ADRIAN B. MUNTEANU 