Identity v e-governmentu

16. 12. 2019Sněmovna schválila novelu zákona o bankách, která umožní přibližně 5,5 milionům občanů ČR využívajících dnes internetové bankovnictví přístup ke službám e-governmentu. Zákon byl schválen v široké shodě napříč politickým spektrem (pro hlasovalo 175 ze 178 přítomných poslanců).

Už více než 10 let fungují v Česku datové schránky, které byly první reálným (a dlouhou dobu také jediným viditelným) počinem českých úřadů v oblasti e-governmentu. Identifikace uživatele přihlášením do systému datových schránek byla tak až do začátku vydávání elektronických občanek jediným možným identitním prostředkem pro komunikaci se státem.

Přihlašování přes datové schránky však nebylo vyhovující ze dvou hlavních důvodů:

  1. Špatná pověst datových schránek způsobila, že 10 let je aktivních jen asi 300 tis. schránek fyzických osob (3 % populace)
  2. Přihlášení do datové schránky dlouhou dobu fungovalo pouze jednofaktorově na základě uživatelského jména a hesla, což je pro takovou službu bezpečnostně nedostatečné.

Tyto problémy má od 1. 7. 2018 řešit plošné vydávání e-občanek. Ty v kombinaci se speciální čtečkou karet poskytují vyšší úroveň zabezpečení. Ale právě nutnost pořizovat hardware spolu s požadavkem na zadání až 5 bezpečnostních kódů vede k tomu, že většina lidí svou e-občanku ani neaktivuje, natož aby ji aktivně využívala. E-občanky tak v podstatě kopírují osud datových schránek.

Na druhou stranu existuje v soukromém sektoru důvěryhodná služba, která vyžaduje velkou úroveň zabezpečení identity, a přesto je masově využívána. Tou službou je internetové bankovnictví (využíváno 82 % lidí v Česku). Zapojení bank a pojišťoven do poskytování identit pro služby e-governmentu tak může umožnit přístup pro velkou část populace bez nutnosti velkých investic ze strany státu. Ostatně zkušenosti s tou cestou mají i v jiných státech - např. Dánsku, Švédsku, Kanadě, Indii či Spojených arabských emirátech.

Evropská jednotná identita - eIDAS

Potřeba harmonizovat elektronickou identitu napříč Evropskou unií vedla v roce 2014 k vytvoření nařízení eIDAS, které vytvořilo standardy pro elektronické podpisy, kvalifikované digitální certifikáty, elektronické pečeti, časová razítka a další způsoby ověření autentizačních mechanismů. Ideou je zajištění interoperability a transparentnosti identitních prostředků napříč státy. Do budoucna tedy bude moci například portugalský občan využít služby e-governmentu v ČR.

NIA

V Česku je jedním ze základních kamenů e-governmentu tzv. Národní identitní bod NIA na portálu eidentita.cz. Ta je národním poskytovatelem identity pro služby českého e-governmentu. NIA je napojena na ostatní evropské státy prostřednictvím eIDAS uzlu provozovaným společností CZ.NIC. Díky tomu je možné českou identitu používat i pro digitální služby v jiných státech EU.

V současnosti se lze přihlásit do NIA přes tyto identitní prostředky:

  • Elektronickou občanku - nutná čtečka a speciální software
  • Jméno, heslo doplněné o ověřovací SMS

Jedná se o single sign-on řešení - tedy nezáleží na prostředku, kterým je uživatel přihlášen do NIA, a přihlášení je platné na všech portálech připojených na tento systém (Portál občana, portál zdravotní pojišťovny, ePortál ČSSZ, systém datových schránek,..).

Jedna identita tedy slouží k přihlášení do více systémů, přičemž mezi nimi nedochází k přenosu či synchronizaci citlivých údajů - portál pouze dostává od NIA informaci, že jste to právě vy, kdo na portál přichází.

Schéma NIA (s možností soukromoprávních identitních prostředků)

Soukromoprávní NIA - SoNIA

Současné dva identitní prostředky NIA jsou veřejnoprávní a zajišťované státem. EIDAS i NIA však počítá i s identitními prostředky soukromoprávních provozovatelů. V současné době o certifikaci usiluje mojeID provozovatele CZ.NIC. Nově přijatý zákon (ST 554) umožní zapojení i bank a pojišťoven podobně jako např. v Dánsku či Estonsku.

Tyto zákonem silně regulované instituce dosud neměly poskytování identitních služeb jako předmět své činnosti povolené. Je však správným krokem jim to umožnit - jsou důvěryhodné a ze zákona mají povinnost své klienty ověřovat. Použití bankovních identit jako dalšího prostředku přihlášení do NIA je tedy logické a umožní skokové navýšení počtu osob, které budou mít přístup ke službám e-governmentu - elektronické bankovnictví používá v Česku 5,5 mil. osob. V praxi se tak přihlášení pomocí bankovní identity stane dalším alternativním identitním prostředkem pro přihlášení k NIA. Přihlášení přes bankovní identitu by mělo být funkční v první polovině roku 2021, aby bylo již použitelné pro online část Sčítání lidu, domů a bytů 2021, která proběhne na jaře 2021.

Banky (respektive Česká bankovní asociace) navíc chystají projekt Bankovní identity propojit nejen se státní NIA, ale i se soukromoprávními poskytovateli služeb (odtud název SOukromoprávní NIA). Přes bankovní přihlášení tak bude možný např. i přístup k portálům dodavatele energií, mobilního operátora nebo pojišťovny.

Aby byla možná identifikace uživatele, umožňuje nově zákon bankám přistupovat v omezené míře k Základním registrům a čerpat z nich informace. Zmocnění se vztahuje na základní informace o osobách, v praxi jsou to stejné údaje, které jsou k nalezení na občanském průkazu.

Schéma NIA a SoNIA

Úrovně záruky

Nařízení eIDAS předpokládá pro identitní prostředky 3 úrovně záruky (Level of Assurance - LoA): nízká, značná a vysoká. Každý prostředek je pak dle bezpečnosti zařazen do jedné z nich:

  • Nízká úroveň - nedochází k zaručenému ověření totožnosti - zvolím si uživatelské jméno a heslo a svojí identitu pouze deklaruji
  • Značná úroveň - přihlášení přes jméno, heslo a další faktor (např. SMS). Dochází k zaručenému ověření totožnosti (na Czech POINTu při podání žádosti), přihlášení doplněno o další faktor.
  • Vysoká úroveň - elektronické občanky - autentizace je prováděna navíc přes fyzický identitní prostředek na bezpečném zařízení (na kontaktním čipu eOP, který mám u sebe), při jehož vydání byla zaručeně ověřena totožnost a jsou vyžadovány přístupové údaje k jeho použití (IOK, DOK)

Záleží na soukromoprávních poskytovatelích, na jakou úroveň certifikují své identitní služby. Většina bankovních řešení by měla být schopná dosáhnout úrovně značná. V současné době není v rámci českého e-governmentu rozdíl mezi značnou a vysokou úrovní, avšak v budoucnu může být poskytování některých služeb omezeno jen na vysokou úroveň.

Zdroje: