Hlavní navigace

Budeme se k datovým schránkám přihlašovat pomocí obrázkového PINu?

Autor: ieDigital
Jiří Peterka

Dosavadní způsoby přihlašování k datovým schránkám mají buď nízkou úroveň zabezpečení, nebo jsou moc nákladné či složité. A tak vnitro chystá zcela novou možnost.

Doba čtení: 11 minut

Kolem datových schránek se toho v poslední době moc nedělo. Tedy pokud nepočítáme jejich provázání s Portálem občana, který byl spuštěn počátkem letošního července. Nyní se ale situace změnila a na obzoru je zcela nový způsob přihlašování k datovým schránkám.

První signály o chystaných změnách se objevily již v polovině roku, právě v souvislosti se spuštěním Portálu občana, vydáváním nových eOP a startem Národního bodu pro identifikaci a autentizaci. Popisovány byly v tomto článku zde na Lupě.

Cestu k některým změnám bylo nutné otevřít i po právní stránce a o to se postarala nedávná novela vyhlášky č. 194/2009 Sb. (o stanovení podrobností užívání a provozování informačního systému datových schránek). Jedna její část je již účinná (od 1. listopadu 2018), další nabude účinnosti k 1. březnu 2019.

Další upřesnění pak zaznělo na nedávném Mobile Internet Foru 2018 z úst zástupců MV ČR (viz též tato aktualita zde na Lupě).

Byl zde ovšem oznámen i určitý odklad zprovoznění nového způsobu přihlašování k datovým schránkám, a to kvůli chystaným změnám v jejich uživatelském rozhraní.

Pádnějším důvodem odkladu je ale spíše načasování novelizované vyhlášky č. 194/2009 Sb. Protože nový způsob přihlašování umožňuje až od 1. 3. 2019.

Proč nový způsob přihlašování?

Potřebu nového způsobu přihlašování k datovým schránkám vysvětluje ministerstvo vnitra v důvodové zprávě k návrhu novely výše zmiňované vyhlášky č. 194/2009 Sb. Zde uvádí, že drtivá většina uživatelů (konkrétně: 99,84 %) se k datovým schránkám přihlašuje tím nejméně bezpečným a spolehlivým způsobem, kterým je pouhé jméno a (statické, opakovaně použitelné) heslo. Podle nařízení eIDAS to odpovídá jen tzv. nízké úrovni záruky – což moc nekoresponduje s tím, jak závažné právní úkony je možné pomocí datových schránek dělat.

Další, již dnes dostupné možnosti přihlašování k datovým schránkám, sice již mají vyšší úroveň záruky (zřejmě: značnou), ale jsou používány zcela minimálně (dohromady na ně zbývá pouhých 0,16%). A vnitro je hodnotí jako příliš nákladné či komplikované:

Menší část uživatelů ISDS, která by o některém z rozšířených způsobů přihlašování mohla uvažovat, může být pravděpodobně odrazena buď náklady spojenými s vydáním či používáním prostředků (SMS, certifikát), nebo příliš složitým způsobem nastavení a používání (certifikát, OTP).

Komplikovanost přihlašování pak podle vnitra brání většímu využití jak datových schránek, tak i dalších služeb eGovernmentu:

Obecně lze konstatovat, že datové schránky, potažmo služby eGovernmentu, dosud nejsou občany příliš využívány. Jedním z důvodů může být například procedura přihlašování se do datové schránky, pro kterou si musí uživatel datové schránky pamatovat složité heslo, které pak mnohdy používá velmi zřídka.

A tak je navrhováno vydat se cestou toho, co prý si lidský mozek pamatuje lépe:

Nový způsob přihlášení do datové schránky by tedy měl být v praxi bezpečný, uživatelsky přívětivý a jednoduchý, aby jej mohlo využívat širší množství uživatelů datových schránek. Pro lidský mozek je nepochybně složitější zapamatovat si čísla nebo slova než obrázky. Ministerstvem vnitra byl proto jako optimální a nový způsob přihlášení do datové schránky vybrán koncept vycházející z výběru grafických symbolů pro zadání hesla namísto alfanumerických znaků. Hlavním záměrem je, aby uživateli datové schránky nevznikaly další finanční náklady na pořizování nových zařízení, ale využil se trend většího rozvoje chytrých telefonů a tabletů či jiných inteligentních zobrazovacích technologií.

Jinými slovy: návrh sází na použití obrázkového hesla, resp. tzv. obrázkového PINu (který je v další části důvodové zprávy skutečně zmiňován). Co konkrétně si ale pod tímto pojmem představit?

Nejspíše jde o řešení, které ukazuje následující video:

MEP, alias: mobilní elektronický prostředek

Konkrétním řešením má být tzv. mobilní elektronický prostředek (MEP) – a právě k jeho vyžití vyhláška otevírá cestu:

V návrhu vyhlášky se proto navrhuje zavést tzv. mobilní elektronický prostředek (dále jen „MEP“) jako elektronický prostředek pro autentizaci a identifikaci pouze v rámci ISDS, který by rozšířil současnou nabídku doplňkových autentizačních metod.

Definice „mobilního elektronického prostředku“ ve vyhlášce (v její verzi účinné od 1. 3. 2019) pak vypadá následovně:

Podmínkou pro úroveň záruky „značná“ je alespoň dvoufaktorová autentizace. A tak v praxi zřejmě půjde o předem autentizovanou (tj. jednu konkrétní, nikoli jakoukoli) kombinaci mobilu a aplikace od MV ČR (jako jeden faktor: „něco, co mám“), zatímco druhým faktorem bude něco z jiné kategorie faktorů: například onen obrázkový PIN jako „něco, co vím“. Případně otisk prstu či sken obličeje jako „něco, čím jsem“. Důvodová zpráva totiž nezmiňuje pouze obrázkový PIN, ale i tyto dvě „biometrické“ možnosti:  

Akt běžného přihlášení do datové schránky nebude vyžadovat zadání složitého hesla, ale například obrázkového PINu, případně potvrzení systémovým prostředkem podporovaným na dané platformě telefonu (otisk prstu, sken obličeje).

Představa je přitom taková, že při použití mobilního elektronického prostředku (MEPu) by už uživatel nezadával ani své uživatelské jméno, ani heslo:

kromě zadání faktoru typu „něco, co znám“, nebude muset uživatel datové schránky zadávat žádné přihlašovací údaje

To ale znamená, že MEP bude pevně svázán s jedním uživatelským účtem (s jednou rolí vůči jedné datové schránce). Prý ale bude možné mít na jednom mobilu nainstalovaných více instancí příslušné aplikace, pro více uživatelských účtů téže osoby.

Kam směřují datové schránky?

Nově navrhovaný způsob přihlašování k datovým schránkám má ale i další zajímavé souvislosti.

V červenci vyšel zde na Lupě zajímavý rozhovor s panem Romanem Vrbou z MV ČR, ve kterém byla načrtnuta určitá představa dalších vývoje datových schránek, a to v kontextu nově zaváděného nepřímého modelu elektronické identifikace (který jsem podrobněji popisoval v tomto článku). Tedy v prostředí s poskytovateli identit (alias IdP, Identity Provider), s poskytovateli služeb (alias SeP, Servie Provider) a mezi nimi s prostředníkem v podobě Národního bodu pro identifikaci a autentizaci (alias NIA).

Dovolím si tuto představu shrnout následovně:

  • celý Informační systém datových schránek (zjednodušeně jen: datové schránky) dosud plní dvě role současně – a mělo by dojít k jejich rozdělení
  • jednou rolí je samotná přeprava datových zpráv mezi datovými schránkami: tato role by měla být osamostatněna do podoby tzv. poskytovatele služeb (SeP, Service Provider). Tedy obdobně, jako je již dnes poskytovatelem služeb např. ePortál ČSSZ, Portál občana či eRecept
  • další rolí je poskytování identity, přesněji identitních (a autentizačních) služeb: konkrétní fyzické osoby mají přiděleny přihlašovací údaje a s jejich pomocí se mohou přihlašovat ke konkrétním poskytovaným službám. Původně to byly jen služby datových schránek (ve smyslu přepravy datových zpráv, resp. výše popsané první role), ale dnes už to jsou i další služby (skrze přihlášení k datovým schránkám se můžete přihlásit například k ePortálu ČSSZ či k Portálu občana). Nově by tato role měla být osamostatněna do podoby tzv. poskytovatele identitních služeb (IdP, Identity Provider), a tedy jako alternativa k ostatním IdP (fakticky jako alternativa k přihlašování pomocí nových eOP či pomocí prostředku „Jméno, heslo a SMS“).

Následující dva obrázky se snaží vystihnout tuto představu graficky.

Když už jsme se u nás vydali cestou popisovaného nepřímého modelu (podrobněji viz tento článek), přijde mi tato představa správná. Její výhodou je především univerzálnost: k poskytovaným službám se jako uživatelé můžete přihlásit kterýmkoli způsobem, který je pro vás dostupný a který splňuje požadovanou úroveň záruky (zjednodušeně: který je pro danou službu dostatečně bezpečný a spolehlivý). A poskytovatel konkrétní služby se nemusí neustále přizpůsobovat nově dostupným možnostem přihlašování (poskytovatelům identitních služeb), protože sám je využívá jen nepřímo, přes prostředníka (NIA).

Při uskutečnění této představy by tak mohlo být snadno naplněno to, s čím již dlouho (od listopadu 2011) počítá § 9 odst. 3 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů. Tedy s možností přihlašovat se k datovým schránkám i pomocí „elektronicky čitelných dokladů“.

S původními občanskými průkazy, vydávanými od roku 2012 do konce června letošního roku to nešlo, a to ani tehdy, kdy se jednalo o variantu s čipem. Důvod byl právní: ze zákona se „stará“ občanka nedala použít k elektronické identifikaci (ale jen k elektronickému podepisování).

S novými elektronickými občankami už je to naštěstí jinak a k přihlašování k datovým schránkám se využít dají. Konkrétní řešení, které bych předpokládal a které by mi přišlo logické, vychází z výše naznačeného dalšího vývoje datových schránek (v rozhovoru a panem Vrbou z MV ČR) – že „přepravní funkce“ datových schránek se osamostatní do podoby poskytované služby (SeP, Service Provider) a začlení do onoho nepřímého modelu. Tedy napojí na prostředníka (Národní bod pro identifikaci a autentizaci), díky čemuž se pro přihlašování k datovým schránkám bude moci využívat jakékoli přihlášení, které portál Národního bodu (NIA portál) nabízí a které splňuje požadovanou úroveň záruky. Tuto představu ilustruje následující obrázek. 

Stejně tak bych očekával, že když už bude stát připravovat nějakou novou variantu přihlašování, tak že půjde o přihlašování využitelné pro Národní bod (NIA), a tím pádem využitelně obecně pro všechny služby, poskytované na bázi námi zvoleného nepřímého modelu. Tedy ve smyslu následujícího obrázku.

Jenže tomu, co říká novelizovaná vyhláška – i tomu, co říká samotné ministerstvo vnitra – rozumím jinak, ve smyslu dalšího obrázku. Tedy s novým způsobem přihlašování pouze k datovým schránkám.

Pravdou je, že v důvodové zprávě k novele vyhlášky je alespoň následující věta, naznačující možný budoucí vývoj:

V další fázi se uvažuje zavést MEP nejen jako volitelný doplněk pro současné uživatele datových schránek, ale jako samostatný prostředek pro elektronickou identifikaci, který budou moci používat nejen uživatelé datových schránek, ale i ti, kteří datovou schránkou nedisponují.

Snad je to myšleno tak, že by se MEP měl použít nejenom pro uživatele, kteří datovou schránkou nedisponují, ale také pro přihlašování skrze NIA portál, a tedy k těm poskytovaným službám, které budou dostupné s úrovní záruky „značná“.

Ale hlavně: proč se nejde touto cestou již od začátku? Proč je to ponecháno až na nějakou další fázi, a navíc ještě v závislosti na výsledku úvah?

Zajímavá je v této souvislosti i následující pasáž z důvodové zprávy k novele vyhlášky č. 194/2009 Sb., která mluví o možnosti používat elektronické občanské průkazy – a také naznačuje určitou „dvojkolejnost“:

Ve veřejné sféře se sice v současné době realizuje možnost přihlášení prostřednictvím občanského průkazu se strojově čitelnými údaji a s kontaktním elektronickým čipem s využitím služby národního bodu pro identifikaci a autentizaci (tzv. NIA neboli národní identitní prostor), je však žádoucí občanům nabídnout i jinou alternativu, jelikož prozatím nelze s jistotou říci, že občanský průkaz se strojově čitelnými údaji a s kontaktním elektronickým čipem bude jako elektronický autentizační prostředek masivně rozšířen, a to i s ohledem na skutečnost, že používání tohoto typu občanského průkazu je podmíněno pořízením a připojením čtečky.

50 MB? Ano, ale jen pro někoho

Novela vyhlášky č. 194/2009 Sb. (o stanovení podrobností užívání a provozování informačního systému datových schránek), zmiňovaná v úvodu, přinesla ještě další změny, a to s účinností již k 1. listopadu.

Jednou z těchto změn je zvětšení maximálního objemu datových zpráv, přenášených mezi datovými schránkami – na 50 MB. Ovšem pozor, týká se to pouze malé skupiny „privilegovaných“ datových schránek. Konkrétně těch, které byly zřízeny po účinnosti novely (tj. po 31. říjnu) jako tzv. další datové schránky orgánů veřejné moci (podle § 6 odst. 2 zákona č. 300/2008 Sb.), obvykle „pro potřebu vnitřní organizační jednotky orgánu veřejné moci nebo výkonu konkrétní agendy nebo činnosti orgánu veřejné moci“.

Rozhodně tedy nejde o plošné zvýšení objemu všech datových zpráv, což důvodová zpráva vysvětluje následovně:

Parametry současné architektury ISDS momentálně neumožňují výraznější navýšení velikosti datové zprávy pro všechny datové schránky (téměř 900 tis. datových schránek), aniž by to neznamenalo významnější dopady na bezpečnost nebo by taková změna nepředstavovala výraznější finanční náklady přesahující finanční rámec stávajícího smluvního ujednání mezi správcem a provozovatelem ISDS. 

Pro ostatní datové schránky tak platí dosavadní objemový limit 20 MB.

Důležité také je, že ono zvýšení na 50 MB pro ony „další datové schránky“, nově zřizované pro OVM po 31. říjnu, je vlastně asymetrické: týká se jen přenosů do těchto schránek. Nikoli opačného směru (případných odpovědí).

Konkrétními příklady datových schránek, kterých by se toto zvýšení mohlo týkat, jsou další datové schránky Ministerstva vnitra (seznam). Jenže to by si je muselo vnitro nechat vytvořit znovu, protože vyhláška celkem jasně mluví jen o schránkách vytvořených po 31. říjnu 2018. Nikoli o již existujících datových schránkách.

Mezi oněmi dalšími datovými schránkami resortu vnitra, které již dnes existují, je i schránka s identifikátorem uur3q2i, zřízená pro zasílání dokumentů ke zveřejnění na Portále veřejné správy (pro tzv. automat na PVS). Tato konkrétní datová schránka je zajímavá tím, že již nejméně dva roky přijímá datové zprávy do velikosti 50 MB (aniž by na to původní znění vyhlášky pamatovalo). A nejspíše není jediná, soudě podle příloh Provozního řádu ISDS.

Mezery v heslech a CSV jako přípustný formát

Další změnou, kterou novela vyhlášky č. 194/2009 Sb. přinesla, je možnost používat mezery v heslech pro přihlašování do datových schránek. No, u hesel, která si uživatelé vytváří sami, to asi význam má, a umožňuje to používat lépe zapamatovatelná hesla. Ale snad se mezery nedostanou mezi automaticky generovaná hesla, která uživatelé dostávají na papíře pro potřeby prvního přihlášení.

Ještě další změnou je rozšíření přípustných formátů souborů, které lze vkládat do datových zpráv jako přílohy. Nově je mezi ně zařazen formát CSV, byť prezentovaný jako varianta čistě textového formátu.

Povšimněte si jedné zajímavé „drobnosti“: jak zákon (č. 300/2008 Sb., ve svém § 20 odst. 3), tak i samotná vyhláška č. 194/2009 Sb. i důvodová zpráva k novele vyhlášky – vše hovoří o výčtu „přípustných formátů datové zprávy, dodávané do datové schránky“.

Skutečnost je taková, že „datová zpráva, dodávaná do datové schránky“, má vždy jeden a ten samý formát, a to ZFO – zatímco onen výčet přípustných formátů (fakticky spíše přípon souborů) se týká až příloh těchto datových zpráv. Tedy souborů vkládaných do datové zprávy jako do určitého přepravního kontejneru – zatímco onen kontejner se nemění (má vždy stejný a pevně daný formát).

Jenže když zákon (§ 20 odst. 3 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů) nesprávně zmocňuje pouze k vydání vyhlášky, která stanovuje „přípustné formáty datové zprávy“, pak autorům vyhlášky asi nezbývá nic jiného než stejnou chybu opakovat i v samotné vyhlášce. Nebylo by ale načase opravit samotný zákon?  

Našli jste v článku chybu?