Objavljeno: 25.10.2016 | Avtor: Domen Savič | Monitor November 2016

eIDAS - Kdo je kdo v spletu

Eden največjih izzivov svetovnega spleta je dokazovanje istovetnosti uporabnika. Spletna identiteta je velikokrat izmišljena, občasno projekcija videnja samopodobe, dostikrat skrita pod plašč anonimnosti, ki posamezniku dovoljuje svobodnejše izražanje. Po drugi strani je zagotavljanje istovetnosti uporabnika v spletu zelo zahtevno opravilo, saj je možnosti potvarjanja identitet zelo veliko.

popularizacijo uporabe spleta in spletnih storitev v vseh sferah našega življenja je identiteta posameznika postala ključni člen verige. Finančne transakcije in drugi vidiki poslovnega življenja, podpisovanje dokumentov in pogodb ter medpodjetno poslovanje in vedno bolj aktualna meddržavna mobilnost posameznikov so področja, ki zahtevajo najvišjo stopnjo preverljivosti identitete posameznikov, na drugi strani pa se spoprijemajo z izzivom usklajevanja različnih nacionalnih okolij držav, ki so vpete v poslovanje prek interneta.

Shem zagotavljanja istovetnosti je po svetu kar nekaj, razlikujejo pa se po področju veljavnosti, algoritmih podpisovanja dokumentov in zahtevnosti postopkov avtentikacije uporabnika. Prav razdrobljenost različnih shem je bila razlog, da se je Evropska komisija odločila na tem področju napraviti red in tako spodbuditi elektronsko poslovanje ter povečati zaupanje v take procese.

Z elektronskim podpisovanjem in zagotavljanjem enotne identitete uporabnikov v spletu se v Evropski uniji ukvarjajo že vsaj petnajst let, do zdaj pa so bili zakonodajni predlogi do deležnikov zelo prijazni in neobvezujoči, saj so na tem področju med posameznimi članicami Evropske unije velike razlike.

Tako je, na primer, v Estoniji državljanom za zagotavljanje istovetnosti na voljo elektronska osebna izkaznica, na katero so vezane zbirke podatkov in s katero se lahko nato njeni državljani identificirajo v poslovnih postopkih, pri pridobivanju dokumentov, volitvah prek interneta in drugih digitalnih postopkih.

Na drugi strani mavrice je Velika Britanija (zdaj že skoraj nekdanja članica Evropske unije), ki enotnega identifikacijskega dokumenta za svoje državljane ne pozna. Tako se morajo Britanci zanašati na sistem obveznega zdravstvenega zavarovanja, vozniškega dovoljenja in potnega lista, noben od teh dokumentov pa ni popolnoma nadomestljiv z enotno matično številko občana, kot jo poznamo v Sloveniji.

eIDAS, poizkus poenotenja

Uredba eIDAS naj bi to področje poenotila. Na Ministrstvu za javno upravo pojasnjujejo, da uredba združuje dve področji. »eIDAS ureja področje čezmejne avtentikacije, drugi del pa storitve zaupanja,« pojasnjuje mag. Aleš Pelan z Ministrstva za javno upravo, ki dodaja, da je eIDAS tehnološko nevtralen in posamezni državi članici prepušča izbiro identifikacijskih sredstev, s katerimi bo sodelovala v shemi zaupanja.

V direktivi so definirane tri ravni zaupanja, na katere bodo uvrščena identifikacijska sredstva, s katerimi bo v shemi sodelovala posamezna država. Razlike med ravnmi pomenijo razlike v številu storitev, ki jih nato posamezniki z določenim identifikacijskim sredstvom lahko opravljajo.

»Estonija bo v shemo zagotovo prijavila svojo elektronsko osebno izkaznico,« ocenjuje mag. Pelan, »države, kot je Velika Britanija, bodo zelo verjetno razvile uporabniška imena in gesla, saj nimajo drugih poenotenih identifikacijskih sredstev.« Na drugi strani se bosta lahko država in zasebni sektor registrirala za uporabo shem, do katerih bodo lahko po elektronski poti dostopali tuji in domači državljani.

»Direktivo eIDAS Evropska komisija uvaja ravno zaradi velikih razlik med interpretacijami zakonodaje posameznih članic in razmeroma neuspešne direktive o e-podpisu iz leta 1999, ki je skušala urediti področje čezmejnih transakcij in poslovanja med članicami EU,« pojasnjuje Marjan Antončič iz podjetja OSI sistemske integracije d.o.o., ki v Sloveniji razvija informacijske storitve, in dodaja, da je ključna značilnost eIDAS direktive ravno v tem, da od članic zahteva enakovredno obravnavo svojih in tujih državljanov pri izvajanju in uporabi storitev lokalne e-uprave. Poleg e-uprave je interes za izenačenje pravil igre za domače in tuje uporabnike pri e-poslovanju tudi pri zasebnih podjetjih, predvsem pri bankah in podjetjih, ki ponujajo bančne storitve.

V Sloveniji se poleg identifikacije uporabnika z digitalnim potrdilom načrtuje tudi prijava s pametnimi telefoni in enkratnimi gesli, ki bodo poslana prek kratkih sporočil SMS. »Cilj je, da se z uporabniškega vidika uporabo e-storitev poenostavi in približa širokemu krogu uporabnikov,« dodaja dr. Alenka Žužek Nemec z Ministrstva za javno upravo in pojasnjuje, da so se za pametne telefone odločili po analizi smeri razvoja e-storitev.

Ministrstvo se na drugi strani ukvarja tudi z razvojem centralnih rešitev za ponudnike storitev, predvsem v javnem sektorju. »V produkciji je centralni sistem za avtentikacijo ponudnikov, pripravljamo tudi sistem za elektronsko podpisovanje, s katerim bomo olajšali dodajanje novih ponudnikov storitev v shemo zaupanja,« še pojasnjuje Nemčeva.

Kako je v praksi

eIDAS predvideva tri stopnje ravni zanesljivosti shem elektronske identifikacije, kamor se bodo uvrščala sredstva elektronske identifikacije. Najnižja stopnja je predvidena za omejeno zaupanje v identiteto imetnika, uporaba sredstev srednje ravni znatno zmanjša nevarnost zlorabe ali spreminjanja identitete uporabnika, visoka raven zanesljivosti pa označuje sredstva elektronske identifikacije, kjer teh nevarnosti praktično ni.

Hkrati direktiva poenostavlja pravila meddržavnega e-podpisovanja dokumentov in sklepanja poslov prek spleta. Doslej je bila namreč pobuda še vedno bolj prepuščena lokalnim zakonodajalcem, ki so z direktivo eIDAS dobili jasnejša pravila glede e-poslovanja in e-podpisovanja. Tako lahko zdaj katerokoli sodišče oziroma organ javne uprave v katerikoli članici Evropske unije prepozna veljavnost e-podpisa posameznika ali podjetja druge članice, kar predstavlja velik korak naprej pri ugotavljanju veljavnosti e-dokumentov.

Analitiki ocenjujejo, da bo z uvedbo eIDAS najbolj pridobil ravno finančni sektor in banke, kjer bosta lahko posameznik ali podjetje po uvodni potrditvi identitete vse storitve opravljala prek spleta. Doslej je bilo namreč elektronsko podpisovanje praviloma omejeno na enostavne digitalne podpise brez metapodatkov, s katerim so stranke lahko izkazovale istovetnost oziroma preverljivost. Zdaj bo direktiva eIDAS področje e-podpisov izenačila s pravnim statusom klasičnih podpisov dokumentov in varen način preverjanja identitete podpisnika dokumentov.

To bo zmanjšalo število prevar, pospešilo podpisovanje pogodb na daljavo, izboljšalo učinkovitost pri sklepanju poslov in poenostavilo upravne postopke.

Država mora odigrati ključno vlogo

»Z vidika izvajanja uredbe eIDAS je naša država ravno še pravočasno sprejela izvedbeno uredbo in izpolnila ključne obveznosti do Evropske komisije. Ob tem moramo izrecno pohvaliti požrtvovalnost uradnic in uradnikov na Direktoratu za informacijsko družbo, ki so junija 2016 izvajali vse te dejavnosti,« pojasnjuje Primož Zupan, vodja Halcom Studia, in nadaljuje, da je »zdaj na potezi predvsem Slovenska akreditacija, da izpolni z izvedbo uredbe predpisani rok 31.03.2017. Gre za res skrajni rok, ki bo še omogočal, da ponudniki storitev, z državno upravo in Halcomom vred, uspešno izvedejo presojo skladnosti do konca prehodnega obdobja 30.06.2017.«

Vsaka zamuda na tem področju bi namreč po Zupanovih besedah povzročila, da bomo morali presojo opravljati pred organi v drugih državah članicah, to pa bo zmanjšalo konkurenčnost in povzročilo precejšnje dodatne stroške. Hkrati mora slovenska vlada poskrbeti še za zakonodajni okvir, s katerim bo uredila področje elektronskega poslovanja. Zupan tukaj vidi nekaj težav, saj sprejemanje poteka dokaj počasi, kar »bo še dodatno otežilo že tako zelo napete roke za tehnološko izvedbo in integracijo.«

Na Ministrstvu za javno upravo pravijo, da so na eIDAS dobro pripravljeni. »Pri glavnih sistemih javne uprave ne pričakujemo večjih težav,« pojasnjuje mag. Pelan. »Z vsemi deležniki smo v kontaktu, zavedanje o pomembnosti implementacije je visoko, državni portal eUprava je že priklopljen na enotni gradnik, prav tako v kratkem pričakujemo priklop portala eVem,« nadaljuje Žužek Nemec, ki dodaja, da se pogovarjajo tudi z Nacionalnim inštitutom za javno zdravje in Finančno upravo Republike Slovenije ter drugimi institucijami. Druga zgodba so manjši sistemi oziroma občine, do katerih država nima neposrednega dostopa, oziroma je komunikacija težja, dodaja mag. Aleš Pelan, ki kljub temu meni, da zamude ne bodo kritične.

Večji izziv bo prijava sredstev identifikacije uporabnikov, opozarja mag. Pelan. Uredba eIDAS namreč že več kot leto dni omogoča notifikacijo shem in čeprav so nekatere članice Evropske unije na začetku tega obdobja pohitele z napovedmi prijav, so se naknadno premislili. »Tako trenutno nimamo niti ene države, ki bi že izvedla prijavo sheme zaupanja,« še dodaja.

Halcom opaža podobne trende. »Trenutno večjih težav pri podpori novih korenskih potrdil še ni moč zaznati, namreč do konca prehodnega obdobja (30.06.2017) lahko ponudniki storitev zaupanja še izdajajo potrdila s starimi korenskimi potrdili. Ključnega pomena bo vpeljava novih storitev, ki pa bo v veliki meri odvisna od hitrosti Slovenske akreditacije na eni strani ter pripravljenosti in zmožnosti hitrega vključevanja novih storitev v sisteme državne uprave na drugi,« ocenjuje Primož Zupan in nadaljuje, da »četudi eIDAS predvideva podpisovanje in potrdila v oblaku, žal tehnična stran uporabe le-teh ni dovolj standardizirana (vmesniki, zahtevki za podpis ipd.). Po vsej verjetnosti bo zaradi tega prišlo do uporabe različnih tehničnih standardov ponudnikov storitev zaupanja, to pa lahko pripelje do težav in zamud pri uvedbi omenjenih storitev v sisteme državne uprave.«

Uredbo eIDAS tako lahko razumemo kot korak k boljšemu e-poslovnemu okolju, ki skuša reševati izzive identitete, verodostojnosti in preverljivosti identitet fizičnih in pravnih oseb v e-poslovnem okolju. A tako kot vedno bo tudi tu vse odvisno od dejanske implementacije in poenotenega delovanja institucij na trgu Evropske unije. Glede na trenutno stanje bo to velik izziv za vse vpletene.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji