Ak podnikáte, manažujete svoj tím v práci a z času na čas súkromne využívate služby štátu na vybavenie neodkladných povinností, určite viete, že mobilita vám v tom výrazne pomáha. Situáciu veľmi uľahčuje, ak mnohé procesy môžete vykonávať z ľubovoľného miesta a v akomkoľvek čase. Jednoducho – online alebo mobilne. Aké sú aktuálne novinky v tejto oblasti, prezrádza v rozhovore Peter Handzuš, Solution Architect zo spoločnosti DXC Technology.
Od vydania prvého elektronického občianskeho preukazu s čipom (tzv. eID karty), už uplynulo viac ako šesť rokov. Počas nich bolo občanom Slovenska distribuovaných už viac ako 2,5 milióna kusov. V čom vidíte prínos pre nich?
eID karta prináša možnosť jednoznačnej identifikácie jednotlivca, viacfaktorového prihlásenia, ponúka bezpečný prístup k službám a zároveň umožňuje nespochybniteľne vyjadriť vôľu kvalifikovaným elektronickým podpisom. V súčasnosti je uvedené číslo oveľa vyššie. Aktuálne je vydaných 3,4 milióna kusov eID karty, z nich 1,7 milióna kusov má nastavený bezpečnostný osobný kód (BOK) a je aktivovaných pre elektronickú komunikáciu.
Prínos eID karty, teda bezpečného úložiska elektronickej identity občanov, je najmä pri preukazovaní totožnosti pri ich elektronickom aj osobnom styku s úradmi i inštitúciami, v rôznych oblastiach verejného aj súkromného života. Majú slúžiť širokospektrálne – ako autentifikačný prostriedok k elektronickým službám štátu, pri komunikácii s verejnou správou (eGovernment, eHealth) alebo komerčnými poskytovateľmi služieb (Banky, eShopy, Telekomunikácie, Utilitné spoločnosti atd), a to bezpečným a dôveryhodným spôsobom. Na autentifikáciu osoby v eGovernmente sa môže použiť len občiansky preukaz s elektronickým čipom (eID) a spomínaný BOK. Pre firemnú sféru eID karty zase prinášajú napríklad možnosť overiť si identitu potenciálneho klienta vzdialeným spôsobom.
Keď hovoríme o komerčnom využití eID karty, kde vnímate vhodný potenciál využitia?
Potenciál vnímam v prvom rade vo finančnom sektore, ktorý patrí medzi pomerne prísne regulované oblasti. Poskytovania platobných služieb sa pred rokom dočkali finálneho regulatívneho technického štandardu pre silnú autentifikáciu zákazníka, vyžadovanú smernicou PSD2. Tá definovala požiadavky na silnú autentifikáciu klienta a komplexné pravidlá pre prístup k bankovému účtu z pohľadu tretích strán.
Elektronický občiansky preukaz by mohol byť užitočný pri všetkých bežných situáciách, napríklad pri otváraní prvého účtu v banke, prihlasovaní sa do internet bankingu, pri registrácii do e-shopov, pri vstupe do interných firemných aplikácií, pri podpisovaní zmlúv s telekomunikačnými operátormi alebo s utilitnými spoločnosťami a podobne. Prakticky je užitočný pre kohokoľvek, kto narába s dôveryhodným preukázaním totožnosti klientov pri prístupe k elektronickým službám. Je len otázkou času, kedy sa eID karta využije vo veľkom meradle aj v komerčnej sfére.
Je to v tomto prípade otázka najbližších mesiacov, alebo niekoľkých rokov?
Legislatíva už bola zmenená vlani (15. marca 2018). Preukázanie sa klienta a overenie jeho identifikácie s použitím úradného autentifikátora možno považovať od uvedeného dátumu za overenie identifikácie za jeho fyzickej prítomnosti. Z pohľadu bezpečnosti je nový spôsob identifikácie považovaný za minimálne rovnako bezpečný a absolútne dôveryhodný ako identifikácia klienta na pobočke.
Navyše od 1. marca tohto roka môžu overovať identitu svojich klientov na diaľku za použitia eID karty už aj všetky komerčné firmy, prípadne môžu spustiť viacfaktorové prihlasovanie k svojim službám, ak o to požiadajú rezort vnútra. Platí princíp, že komerčný poskytovateľ služieb autentifikuje držiteľa eID priamo – prostredníctvom vlastného terminálového certifikátu získaného na konkrétny účel s konkrétnym rozsahom údajov, nie prostredníctvom tretích strán.
Na Slovensku tiež pozorujeme rapídny nárast počtu autentifikácií eID kartou v súvislosti s presadzovaním opatrení v kontexte eGovernmentu. Ktoré faktory na to najviac vplývajú?
Za jeden z dôležitých faktorov možno považovať 18. október roka 2016, kedy sa novelizoval zákon o občianskych preukazoch, ktorý zaviedol povinnosť zadať pri žiadosti o elektronický preukaz aj bezpečnostný osobný kód (BOK). Miera aktivovaných e-preukazov odvtedy rapídne začala rásť.
Keď si dnes idete vybaviť nový občiansky preukaz, nemali by ste opustiť pracovisko polície bez toho, aby ste si neaktivovali BOK. To je základný predpoklad na identifikáciu a autentifikáciu v elektronickom priestore. Ďalej štát prijal rozhodnutie, že eID karta bude slúžiť nielen na povinnú elektronickú komunikáciu živnostníkov či podnikateľov – právnických osôb so štátom, ale aj ako prístupový prostriedok do ďalších systémov, napríklad eZdravie(elektronické zdravotníctvo). Avšak až akceptácia komerčným sektorom môže mať rozhodujúci dosah na kladné vnímanie faktickej hodnoty eID karty a mieru aktívneho využívania jej potenciálu.
Dnes je však miera používania pri prístupe k elektronickým službám štátnej správy pomerne málo frekventovaná. Čomu to pripisujete?
Elektronické služby štátnej správy využijete ako občan možno v priemere dva- až trikrát za rok. Pokiaľ by však eID karta bola využívaná v komerčnom priestore na dennej báze v rámci autorizácie obchodných transakcií či ďalších každodenných služieb, miera jej využitia v spoločnosti by bola oveľa vyššia. V súčasnosti pozorujeme rapídny nárast využívania elektronického občianskeho preukazu, mesačne je to viac ako 800-tisíc autentifikácií. Pre porovnanie, v rokoch 2014 – 2016 to bolo v priemere okolo 30 max. 60 tisíc autentifikácií mesačne, čiže odvtedy je nárast viac ako desaťnásobný. Keďže doteraz sa štát orientoval najmä na elektronickú komunikáciu s podnikateľskými subjektmi, je možné, že v ďalšom období bude preferovať aj komunikáciu s občanmi ako jednotlivcami – fyzickými osobami takouto formou.
Banky patria medzi najčastejších poskytovateľov elektronických služieb, ktoré musia overovať identifikáciu osôb. Do akej miery túto možnosť využívajú a v čom máme rezervy v tomto smere?
Bankám využívanie eID kariet dáva možnosť, ako reflektovať na požiadavky smernice o platobných službách na vnútornom trhu (PSD2), ale aj ďalších smerníc a nariadení, prijímaných na európskej úrovni. Napríklad nariadenie GDPR (General Data Protection Regulation) o ochrane osobných údajov fyzických osôb zaviedlo povinnosť firiem preukazovať, že s údajmi nakladajú s maximálnou opatrnosťou.
Je tam oveľa vyššia kontrola osobných údajov a požadovaného rozsahu nevyhnutného pre poskytnutie služieb. To napomáha zachovaniu princípu minimalizácie a transparentnosti v súlade s GDPR. Tiež štvrtá smernica o ochrane pred legalizáciou príjmov z trestnej činnosti a pred financovaním terorizmu (AMLD4). Tá práve hovorí o dôveryhodnom overovaní identity. V návrhu už piatej smernice sa spomínajú pre tento účel priamo aj národné identifikačné schémy ako je napríklad naša eID karta.
Iniciatíva jednotného digitálneho trhu Európskej únie (EÚ) si uvedomuje dôležitosť identifikačných schém v elektronickom priestore. Základ predstavuje nariadenie eIDAS – čo reálne prináša pre náš tuzemský trh?
Pre našincov je to veľmi dobrá správa, pretože toto nariadenie myslí aj na to, akým spôsobom by mohol slovenský občan použiť eID kartu v zahraničí. Inak povedané, od 29. septembra minulého roka majú členské štáty EÚ povinnosť uznávať prostriedky elektronickej identifikácie vydané v inom členskom štáte a sprístupniť im online služby poskytované subjektom verejného sektora. Jednotlivé štáty aktuálne prechádzajú notifikačným procesom.
Pokiaľ napríklad ako Slovák pracujete v Nemecku (ste občanom EÚ) a potrebujete vybaviť na ich úrade nejakú službu, budete mať možnosť prihlásiť sa úradom slovenskou eID kartou. Tento proces je úplne identický, ako keby ste sa prihlasovali v tuzemsku slovenskou eID kartou na portál slovensko.sk. eIDAS stanovuje aj rámec pre dôveryhodné služby a elektronické podpisy. Kvalifikovaný elektronický podpis je akceptovaný v celej EÚ bez výnimky a je právne rovnocenný s vlastnoručným podpisom.
Vyzerá to celkom jednoducho – je už aj na Slovensku tento proces notifikovaný?
Slovenská eID karta týmto procesom momentálne prebieha – štát začal notifikačný proces, o čom bola informovaná aj Európska komisia. Po jeho ukončení budú môcť slovenskí občania plnohodnotne využívať eID kartu v zahraničí a otvoria sa im dvere pre konzumáciu elektronických služieb aj mimo Slovenska. Všetky krajiny EÚ sú povinné po úspešnom notifikačnom procese takúto možnosť ponúknuť na svojom portáli pre elektronické služby verejnej správy.
Náš bežný život ovplyvňujú v nemalej miere aj mobilné zariadenia. Aké sú aktuálne trendy a možnosti zavedenia mobilnej elektronickej identity?
Riešení je vo svete mnoho, postupne prichádza nová éra mGovernmentu. Poskytovanie služieb je stále viac orientované na mobilné technológie, ako sú smartfóny či tablety. Trend mobility generuje potenciál pre značnú akceleráciu miery využívania komerčných a verejných e-služieb dostupných pohodlne z ľubovoľného miesta v ľubovoľnom čase. Je absolútne prirodzené, že eID karty, či už na Slovensku, alebo aj v iných krajinách EÚ, sa snažia reflektovať na tento trend a posúvajú sa z kartového sveta do mobilných telefónov. To umožňuje oveľa vyššiu flexibilitu pri samotnej práci a identifikácii s mobilom.
Je v súčasnosti možné pristupovať cez eID karty k službám bezpečne aj z mobilu?
Aktuálne trendy ukazujú, že mobilné zariadenia majú potenciál v budúcnosti nahradiť v plnom rozsahu nielen súčasné eID karty, ale aj ostatné typy dokladov. Tradičná forma eID karty (plastová karta) je však v súčasnosti napriek jej výhodám nekompatibilná s mobilnými zariadeniami. Potrebovali by ste na to čítačku, čo nie je úplne komfortný užívateľský spôsob. Trendy v zahraničí ukazujú, že dominantné sú viaceré prúdy, s rôznymi názormi na danú oblasť. Jeden chce úplne nahradiť plastový doklad a používať ho aj na štandardné „fyzické“ preukazovanie, druhý sa sústreďuje primárne na použitie výhradne v elektronickom svete. My, v DXC Technology, máme praktické skúsenosti s vývojom oboch odlišných riešení na Slovensku.
O aké inovatívne prístupy konkrétne ide z vašej strany?
Bolo zaujímavé vytvárať platformu plnohodnotného presunu rôznych dokladov z kartového sveta do mobilu. Prvý koncept, ktorý sa nám podarilo demonštrovať, bol MultiPass, druhý, mobilné eID (MeID), bol zamernaný práve na štandardné elektronické funkcie. Multipass kombinuje výhody konvenčnej eID karty a mobilných zariadení s ich štandardnými komponentmi. Občan môže disponovať viacerými MultiPassmi, prípadne môže používať jeden MultiPass na viacerých zariadeniach. Potrebuje iba nainštalovať natívnu aplikáciu pre prácu s microSD kartou obsahujúcou bezpečnostné čipy. Mobilné eID na rozdiel od MultiPassu uplatňujú klasický prístup. Umožňujú dôveryhodne, bezpečne a spoľahlivo identifikovať a dvojfaktorovo autentifikovať občana v elektronickom prostredí pomocou mobilného zariadenia bez dodatočných hardvérových komponentov, kedykoľvek a z akejkoľvek lokality.
Predpokladáte, že mobilné zariadenia majú v sebe potenciál v plnom rozsahu nahradiť súčasné eID karty, alebo aj niektoré iné typy dokladov? V zahraničí už niektoré fungujú...
Mobilné doklady sú v zahraničí na vzostupe, mnohé projekty sú v pilotnej fáze, napriek tomu, že podmienky na prechod z fyzických na elektronické doklady v mobile z mnohých dôvodov nie sú ideálne. Vzhľadom na súčasné podmienky a odborné diskusie na tému mobilnej eID karty na Slovensku predpokladáme výber klasického prístupu, podobne ako v mnohých členských krajinách EÚ. Je tam množstvo otáznikov, ktoré treba vyriešiť.
Zatiaľ sa štát prioritne venuje oblasti efektívneho zjednodušenia prístupu k službám – a vízia v zmysle plnohodnotnej náhrady dokladov mobilom možno príde v ďalšej vlne. Avšak konkrétny výber technického riešenia a realizácie pre verejný sektor bude závisieť od jeho požiadaviek, najmä od požadovanej úrovne bezpečnosti, spôsobu autorizácie a ambície zohľadniť aj potreby komerčného sektora. V prípade úplnej náhrady dokladov záleží tiež na tom, ako sa k tejto téme postavia výrobcovia telefónov. Dosiahnutie tohto cieľa v budúcnosti predstavuje výzvu pre všetkých.
V poslednej dobe sa často skloňuje blockchain, ktorý býva interpretovaný ako akýsi technologický a bezpečnostne výnimočný všeliek. Ako vnímate jeho uplatnenie v praxi?
Blockchain je určite inovatívna technológia, ktorá nachádza svoje uplatnenie tým, že adresuje konkrétne potreby, výzvy alebo priamo nedostatky v určitých oblastiach, no je stále experimentálna, nevyzretá a neoverená dlhodobou aplikáciou v praxi. Navyše GDPR a blockchain sú v príkrom rozpore, keďže jeho vlastnosťou je odolnosť voči pozmeňovaniu údajov. Neviem si predstaviť praktickú realizáciu práva na „zabudnutie“ v kontexte nemeniteľnosti blokov údajov. Diskutuje sa aj o tom, či je blockchain relevantnou technológiou pre elektronickú identitu.
Vidíte teda budúcnosť z pohľadu mobilných eID na Slovensku optimisticky?
Áno, predpokladáme, že prichádza správny čas pre evolúciu súčasných eID na mobilné eID, ktoré výrazným spôsobom zvýšia komfort používateľa a mieru využívania elektronických služieb či už občanmi alebo podnikateľmi pre svoje obchodné ambície. Aktuálne formujúce sa trendy ukazujú, že mobilné zariadenia majú potenciál v budúcnosti nahradiť v plnom rozsahu nielen súčasné eID karty, ale aj ostatné typy dokladov, ktoré tak budeme mať vždy poruke a budú akceptované ako v elektronickom, tak aj fyzickom svete v medzinárodnom rozsahu.
Autor: redakcia Zisk manažment
Profil manažéra:
Peter Handzuš, solution architect spoločnosti DXC Technology, participoval na implementáciách projektov „Elektronické služby pre osvedčenie o evidencii vozidla“ a „Elektronickej identifikačnej karty“.Od roku 2015 sa zmeriava na vývoj inovatívnych a progresívnych riešení v oblasti elektronickej identifikácie a autentifikácie, najmä mobilných riešení a využitie potenciálu už zavedenej eID karty aj v komerčnom sektore. Zaujíma sa o súvisiace témy ako bezpečná autentifikácia zákazníka (PSD2), ochrana osobných údajov (GDPR), dôveryhodné služby (eIDAS) a ochrana pred legalizáciou príjmov z trestnej činnosti (AML). Je tiež držiteľom certifikátu ArchiMate 3.0 a aktívne sa venuje návrhu Enterprise Architektúry.
