Přineste si svoje ID a pustíme vás k datům

24. 3. 2014

Sdílet

 Autor: © ra2 studio - Fotolia.com
ID, identita, účet uživatele a další jsou v poslední době často zmiňované výrazy. Důvod je prostý. To, k čemu v minulosti stačil osobní průkaz, u nás občanský průkaz, v některých státech zase pas, už dnes nestačí.

(PR článek)

Pohybujeme se často ve virtuálním světě – ve světě elektronickém. Mnozí si připadají jako v Matrixu, nevědí, co se kolem nich děje, a jsou vlečeni během každodenních událostí. Naopak zasvěcení vědí přesně, o čem je v elektronickém světě řeč, bez ohledu na to, zda je to v oblasti sociálních sítí, byznysu nebo v e-governmentových systémech. A nepotřebují k tomu dokonce ani žádnou vědmu.

Jak jsem uvedl, v minulosti stačil k identifikaci osoby průkaz. Tento způsob identifikace se používá dodnes při prezenčním jednání. Identifikující strana má tu výhodu, že osoba je fyzicky přítomna, takže může využít ověření také podle fotografie. U dokladů s biometrickými údaji je na tom ještě lépe.

Úplně jiná situace je v elektronickém světě. Tedy tam, kde jsou aktéři jednání ve virtuálním prostředí, prostě na sebe „nevidí“. Často se jde o situaci, kdy je každý v jiném státě nebo dokonce v jiném časovém pásmu. V tu chvíli nelze využít výhody osobních průkazů, proces identifikace a autentizace uživatele je mnohem složitější.

Český e-government tuto výzvu – proces identifikace, autentizace a autorizace uživatele – zvládl. Dokonce díky Jednotnému identitnímu prostoru Czech POINT (JIP) zavedl nový standard – dvoufaktorovou autentizaci uživatelů. U takové autentizace uživatel používá kromě obvyklého faktoru – hesla, ještě další povinný autentizační faktor. V systému Czech POINT je tím druhým faktorem pro všechny uživatele z řad úředníků orgánů veřejné moci certifikát. V současné době je těchto uživatelů již více než 100 tisíc a uživatelé v JIP jsou ztotožňováni vůči registru obyvatel (ROB).

Autentizace uživatele úředníka je navíc poměrně jednoduchá – je znám, je „zaveden“ v personálním systému daného úřadu a jsou známy všechny jeho osobní údaje. Pak už jenom stačí, aby příslušný lokální administrátor vytvořil takovému uživateli účet v JIP a nastavil uživatelské role podle jeho oprávnění.

Co ale s občanem? Ten je při prvním přístupu do jakéhokoliv systému v podstatě anonymem. Až donedávna bylo pravidlem, pokud chtěl občan získat přístup do nějakého systému státní a veřejné správy, musel se dostavit na úřad, který daný systém provozoval, a identifikovat se svým osobním průkazem, aby mu mohl být založen jeho uživatelský účet. Nemusím popisovat, jak to bylo složité a především neefektivní. Protože co úřad, to jiný účet. (Ostatně podobně to bylo i s úředníky státní a veřejné správy a jejich přístupem k různým ISVS před vytvořením JIP.)

Jak vyřešit tenhle problém? Aby občan nemusel pokaždé na úřad, identifikovat se a nechat si založit další účet. Určitě si mnozí pomyslí: proč by nemohl v takovém případě použít některý se svých sociálních účtů? Třeba Facebook, Twitter nebo Google?

Určitě mohl, ale ne v případě komunikace s ISVS, které potřebují důvěryhodné ověření přistupujícího uživatele, důvěryhodnou identifikaci a autentizaci. Po pravdě řečeno, účet některé ze sociálních sítí je použitelný pouze do jisté míry bezpečnosti. Určitě stačí pro některé jednoduché úkony. Naopak pro podání vůči úřadu už nestačí. Zde je už potřeba vyšší stupeň důvěryhodnosti pro autentizaci uživatele, kterým sociální účet prostě není.

Co s tím? Každý orgán veřejné moci má přece zájem, aby elektronická komunikace uživatele s úřadem byla co nejefektivnější, co nejjednodušší. Aby zbytečně nevystavoval občana dalším neřešitelným problémům. V případě, že je vyžadováno důvěryhodné přihlášení, je nejjednodušší cestou použít uživatelský účet občana z Informačního systému datových schránek (ISDS). A proč? Prostě proto, že tento účet byl založen až po jeho identifikaci na kontaktním místě veřejné správy oprávněným úředníkem na základě jeho fyzické přítomnosti a osobního průkazu. Následně dokonce ztotožněním proti referenčním údajům v základních registrech.

To znamená, že kdo má datovou schránku fyzické osoby, má rovněž svoje ID, použitelné nejenom v e-gov. systémech. ID uživatele v adresáři ISDS lze samozřejmě kromě autentizace k vlastní datové schránce v ISDS použít i pro autentizaci k dalším ISVS. Systém datových schránek má vlastní autentizační rozhraní, které tak mohou použít úřady pro důvěryhodnou autentizaci občanů přistupujících k jejich IT systémům.

Pro uživatele s vlastním důvěryhodným ID z ISDS bylo zpřístupněno rozhraní CzechPOINT@home. Jak legislativa umožňuje, jsou zde postupně uvolňovány výpisy z různých ISVS. Držitel datové schránky už nemusí chodit na Czech POINT a žádat o vystavení výpisu, požadovaný výpis si vybere na Portále veřejné správy (PVS) v sekci CzechPOINT@home. Následně je mu výpis doručen do jeho datové schránky. V současné době je zde k dispozici již 14 různých agend.

Dalším, kdo využil autentizační rozhraní ISDS, je ČSSZ. Ta pro svůj ePortál ČSSZ užila již hotový způsob autentizace pomocí přihlašovacích údajů k datovým schránkám. Spuštění služby ePortálu se odrazilo i na statistikách počtu datových schránek fyzických osob, kde došlo ke skokovému nárůstu v průběhu jednoho měsíce. Ukazuje se, že mít datovou schránku je dobré nejenom pro garantovanou komunikaci se státem, že se vyplácí mít jeden důvěryhodný uživatelský účet.

Způsob využití důvěryhodného způsobu autentizace z jednoho centrálního autentizačního zdroje v jiných systémech je označován pojmem Bring Your Own ID (BYO-ID). No a vidíte, ani jsme si neuvědomili a BYO-ID již v České republice praktikujeme několik let v rámci e-gov. systémů. To, o čem jiní jenom píšou v manuálech a odborném tisku, my již aktivně praktikujeme. Bring Your Own ID = Přineste si vlastní identitu (účet) a použijte k autentizaci a autorizaci pro přístup do systému je cestou pro zajištění důvěryhodné autentizace uživatele v různých na sobě nezávislých systémech. Integrujícím prvkem je přece vždy uživatel, který přistupuje k systémům a aplikacím.

Věřím, že výše uvedené dva příklady použití jednoho uživatelského účtu z důvěryhodného autentizačního zdroje jsou skutečně prvními vzorovými příklady pro všechny OVM. Mají zde totiž nádherné případové studie, navíc obě poměrně významného rozsahu, na základě kterých mohou řešit přístup občanů k vlastním informačním systémům. Výsledkem by měla být klasická win-win situace. Občanovi bude stačit jeden uživatelský účet pro veškerou komunikaci se státní a veřejnou správou a úřady nebudou muset pokaždé řešit způsob důvěryhodné autentizace uživatelů.

Řekl bych, že stát si ani neuvědomuje, co vlastně již pro důvěryhodnou autentizaci občana má k dispozici. Stačí vybídnout občana: přineste si svoje ID z ISDS a my vás pustíme dovnitř k datům.

 

bitcoin školení listopad 24

Martin Řehořek, výkonný ředitel společnosti newps.cz

 

Autor článku