Jednu z nejvýznamnějších novinek, kterou eIDAS přináší, představuje vzájemné uznávání elektronické identifikace (eID). Zatímco u elektronických podpisů vychází Nařízení především z dnes již neplatné Směrnice č. 99/93/ES (byť jak psal Jiří Peterka, změn je zde i díky naší vnitrostátní úpravě více než dost), regulace eID představuje značné rozšíření oblasti regulace, byť ani zde Komise nestavěla na „zelené louce“ a navázala na výsledky především tzv. rozsáhlých pilotních projektů (LSP), zejm. projektu STORK 2.0 a e-SENS.
O tom, že eID představuje podstatnou část tohoto nařízení, svědčí i zkratka eIDAS, jejíž první tři písmena odkazují právě na eID. Elektronické identifikaci je pak v eIDAS věnováno osm článků (čl. 6 – 13) a hned čtyři prováděcí nařízení z osmi (č. 2015/296; č. 2015/1501; č. 2015/1502 a č. 2015/1984).
Elektronická identifikace zároveň nepředstavuje tzv. službu vytvářející důvěru, což je i jedním z důvodů, proč se jí náš návrh zákona o službách vytvářejících důvěru pro elektronické transakce (viz Sněmovní tisk č. 763) ani související změnový zákon (tzv. „tlusťoch“) nevěnuje a ustanovení eIDAS zabývající se elektronickou identifikací budou obsažena ve speciálním zákoně o elektronické identifikaci, jehož první podobu by Ministerstvo vnitra ČR mělo předložit do konce letošního roku. Změny se dočká rovněž zákon č. 328/1999 Sb., o občanských průkazech, který např. zruší současný 500 Kč poplatek za čip a umožní širší využití občanského průkazu.
Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.
Vzájemné uznávání eID
Hlavní myšlenkou eIDAS v oblasti elektronické identifikace je v souladu se snahou o vybudování tzv. jednotného digitálního trhu umožnit vzájemné uznávání eID prostředku (typicky, ale ovšem nejen elektronické občanky). Velmi zjednodušeně řečeno, aby se např. Estonec, který má v České republice firmu, mohl se svojí elektronickou občankou přihlásit do datové schránky.
K dosažení tohoto stavu, který by měl nastat od 29. 9. 2018 (tedy přibližně za 2 roky), je však poměrně dlouhá cesta, která má podobně jako i u jiných oblastí eIDASu, mnoho kliček a některé věci nejsou tak přímočaré, jak se na první pohled může zdát.
Hned první věc, na kterou je třeba upozornit a která zároveň ukazuje, jak je třeba být při interpretaci eIDAS obezřetný, je skutečnost, že ono vzájemné uznávání se vztahuje na oznámené systémy elektronické identifikace. Pro výklad je (z mého pohledu bohužel) klíčové slovíčko „oznámené“, kdy po mnoha rozhovorech s lidmi z Evropské komise i ostatních států jsem dospěl k závěru, že eIDAS nestanoví povinnost oznámení národního systému, případně oznámení „prázdného schématu“, o čemž se hovořilo rovněž v rámci diskuzí o dlouhodobé udržitelnosti výstupů projektu STORK 2.0.
Při určování, ke kterým službám je nutné přihlašování cizích občanů umožnit, je dle eIDAS (čl. 6, odst. 1) jednak nutné, aby takovýto přístup existoval již na národní úrovni a zároveň, aby příslušný subjekt vyžadoval min. značnou nebo vysokou úroveň záruky, tj. především dvoufaktorovou autentizaci, jak píši dále.
Pokud se podle vnitrostátního práva nebo správní praxe pro přístup ke službě poskytované on-line subjektem veřejného sektoru v určitém členském státě vyžaduje elektronická identifikace s použitím prostředku pro elektronickou identifikaci a autentizace, je pro účely přeshraniční autentizace pro danou on-line službu uznán v tomto členském státě prostředek pro elektronickou identifikaci vydaný v jiném členském státě.
Příslušný subjekt veřejného sektoru používá v souvislosti s přístupem k dané on-line službě značnou nebo vysokou úroveň záruky.
Povinnost vzájemného uznávání eID se tak vztahuje na poměrně úzký okruh služeb e-Governmentu. eIDAS tedy nestanoví členským státům povinnost vydání elektronických dokladů, ani soukromému sektoru (např. e-shopům či bankám), aby umožnily přihlášení např. i zmíněnému Estonci. eIDAS však tuto možnost doporučuje (viz. recitál 17), neboť zkušenosti ze zemí jako je Estonsko, Lucembursko či Švédsko ukázaly, že úspěšný eID prostředek musí být občany využíván nejlépe každodenně, ne pouze v těch pár případech, kdy se hlásí k některé ze služeb e-Governmentu (často jen jednou za rok, když odesílají daňové přiznání).
Členské státy by měly podporovat soukromý sektor, aby pro účely identifikace, je-li u on-line služeb nebo elektronických transakcí zapotřebí, dobrovolně používal prostředky pro elektronickou identifikaci v rámci oznámeného systému.
Další diskutabilní věcí v rámci eIDAS je ono zářijové datum v roce 2018. Po poskládání všech střípků a částí eIDAS totiž vyplyne, že cesta k onomu vzájemnému uznávání eID trvá minimálně 18, spíše však 20 měsíců.
Podle čl. 7, písm. g) má oznamující členský stát povinnost minimálně 6 měsíců před oznámením národního systému eID Evropské komisi poskytnout popis svého eID systému ostatním členským státům. Evropská komise má pak (viz čl. 9, odst. 3) povinnost do dvou měsíců od oznámení zveřejnit daný systém v Úředním věstníku (obdoba naší Sbírky zákonů). Teprve od zveřejnění v Úředním věstníku mají členské státy (dalších) 12 měsíců na to, aby zahájily vzájemné uznávání, tj. např. upravily informační systém datových schránek tak, aby se do něj mohl svoji elektronickou občankou přihlásit již zmíněný Estonec podnikající v ČR.
Národní systém eID (zejm. dle prováděcího nařízení č. 2015/1984) se pak skládá jednak z minimálně jednoho eID prostředku (tj. např. elektronické občanky, mobilního eID či nástroje soukromého sektoru, např. banky či obdoby mojeID) a jednak tzv. národního uzlu, dříve označovaného též jako PEPS.
Systém eID = eID prostředek + uzel
Některé členské státy si výše uvedenou časovou náročnost velmi dobře uvědomují a např. Slovensko plánuje učinit první krok k uznání jejich elektronických občanských průkazů na začátku příštího roku. Do té doby je možná předběhne Estonsko, které však svůj časový rámec zatím nechce veřejně komunikovat.
Zároveň si však dovolím predikovat, že bude hned několik států, které celým procesem do 29. 9. 2018 projít nestihnou. Vzhledem k tomu, že povinnost vzájemného uznávání se vztahuje jen na oznámené systémy, členským státům v tomto ohledu nehrozí sankce či řízení o porušení smluv. Občané daných členských států však nebudou moci využít své elektronické občanky (či jiné nástroje) naplno a je možné, že se začnou využívat jiné nástroje, např. estonské občanky vydávané v projektu e-Residency, kterému se budu věnovat v dalším díle tohoto seriálu. S trochou fantazie tak lze hovořit o jistém typu konkurence mezi jednotlivými národními nástroji, která ve finále může ovlivnit rovněž umístění dané země v celoevropském srovnání e-Governmentu a tzv. DESI.
Svatba či prodej domu jen osobně
Podobně, jako je tomu u vzájemného uznávání kvalifikovaných elektronických podpisů (tj. těch založených nejen na kvalifikovaném certifikátu, ale rovněž vytvořených prostřednictvím tzv. bezpečného prostředku), je i vzájemné uznávání eID prostředků založeno na principu vzájemné důvěry mezi členskými státy a nastavení společných minimálních požadavků, které jsou specifikovány v prováděcím nařízení č. 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 eIDAS.
Základní myšlenkou je, že ne ke všem elektronickým službám je třeba využívat to nejsilnější ověření, a pro některé služby nepracující s citlivými osobními údaji je naopak výhodnější (čti: zejména rychlejší a uživatelsky přívětivější) využít slabší ověření.
Zároveň ani to nejsilnější ověření nemusí být dost dobré pro všechny služby a myslím si, že je dobře, že i v elektronicky vyspělém Estonsku existují služby, které bez fyzické přítomnosti nevyřešíte – konkrétně např. svatbu či prodej nemovitosti.
Další oblastí, kde ani nejvyšší stupeň důvěry dle eIDAS nemusí být dostačující, představují služby spadající pod zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (zkráceně zákon proti praní špinavých peněz), který např. při otevření účtu vyžaduje provedení první identifikace za fyzické přítomnosti dané osoby. S využitím eIDAS identifikace zatím příliš nepočítá ani nová evropská Směrnice o platebních službách (PSD2).
Základem je důvěra
V rámci jednotlivých úrovní záruky čl. 8 eIDAS definuje tři následující úrovně záruky (důvěry) a to:
- nízká úroveň označuje prostředek, který nabízí omezenou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je snížit riziko zneužití nebo změny totožnosti;
- značná úroveň označuje prostředek, který nabízí značnou míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je značně snížit riziko zneužití nebo změny totožnosti;
- vysoká úroveň označuje prostředek, který nabízí vyšší míru spolehlivosti u deklarované nebo uváděné totožnosti určité osoby než prostředek pro elektronickou identifikaci se značnou úrovní záruky a je charakterizován pomocí souvisejících technických specifikací, norem a postupů, včetně technických kontrol, jejichž účelem je předejít zneužití nebo změně totožnosti.
Konkrétní požadavky na nízkou, značnou nebo vysokou úroveň záruky pak definuje zmíněné prováděcí nařízení č. 2015/1502, které v příloze č. 1 stanoví celkem 16 kritérií zohledňujících důvěryhodnost poskytnutých atributů a autentizačního prostředku. Výslednou úroveň daného prostředku pak určuje jeho nejslabší článek.
Tato kritéria se snaží respektovat technologickou neutralitu a rozhodně se neomezují pouze na elektronické občanské průkazy, ale naopak reflektují trendy jako je mobilní eID, které např. v Rakousku má několikanásobně více uživatelů než čipové občanky.
Vzhledem k tomu, že u celkem šesti kritérií jsou požadavky na nízkou, značnou či vysokou úroveň shodné a z těch zbývajících se jen v některých případech jedná o samostatné definice (kritéria) pro fyzické a právnické osoby, pro mnoho prostředků bude nejkritičtější kritérium „Vlastnosti prostředku eID“ (2.2.1.), které stanoví:
- pro nízkou úroveň záruky požadavek na minimálně jednofaktorovou autentizaci;
- pro značnou úroveň záruky využití min. dvou nezávislých faktorů autentizace;
- a pro vysokou úroveň záruky využití takového prostředku, který chrání proti vyhotovení duplikátů a neoprávněné manipulaci, tj. např. eID karet či tokenů.
Na tomto kritériu je zároveň vidět, že výslednou úroveň důvěry daného prostředku může ovlivnit koncový uživatel, který si zvolí způsob přihlašování. Příkladem může být služba mojeID, která standardně pracuje pouze s uživatelským jménem a heslem (tj. dle eIDAS by se jednalo o prostředek s nízkou úrovní záruky), pokud se ale uživatel rozhodne zvolit bezpečnější formu přihlašování, např. prostřednictvím OTP, jedná se již o značnou úroveň. Rovněž v souvislosti s požadavky na značnou úroveň záruky implementovalo mojeID v prvním čtvrtletí letošního roku zjednodušení dvoufaktorové autentizace. Podobné nastavení bezpečnějšího přihlašování nabízejí rovněž datové schránky. Ze statistik mojeID (podrobněji viz slide č. 14) však můžeme vidět, že mojeIDautentikátor má nainstalováno něco málo přes 600 uživatelů a většina tak stále dává přednost jen přihlášení přes uživatelské jméno a heslo.
Další rozdíly v požadavcích na nízkou, značnou a vysokou úroveň důvěry spočívají ve vydání, doručení a aktivaci daného prostředku (kritérium 2.2.2.), kdy pro:
- u nízké úrovně lze předpokládat, že prostředek dostane pouze určená osoba;
- u značné úrovně lze předpokládat, že prostředek byl předán pouze do vlastnictví osoby, které patří, a
- u vysoké úrovně je již nutné ověřit, že prostředek byl předán pouze do vlastnictví osoby, které patří.
S ohledem na skutečnost, že u dvoufaktorové autentizace se dá stále pracovat s uživatelským jménem a heslem a zároveň např. jednorázovou SMS či OTP (one-time-password), bude jistě zajímavé sledovat hodnocení zmíněného předpokladu, stejně jako rozdílu mezi obdržením (dostane) a předáním, kdy zároveň může nastat otázka, zda při zaslání hesla v obálce na adresu trvalého bydliště stačí pro naplnění předpokladu předání doporučený dopis nebo je třeba využít dopis do vlastních rukou, u něhož odesílatel výslovně zvolil možnost „do vlastních rukou výhradně jen adresáta", neboť u „běžné“ zásilky do vlastních rukou podmínky České pošty umožňují i dodání zmocněnci adresáta.
Za zajímavé pak považuji ještě kritérium „Ověření totožnosti“ (2.1.2.), kdy u:
- nízké úrovně lze předpokládat, že osoba vlastní důkaz totožnosti a tento důkaz je pravý;
- značné úrovně bylo ověřeno, že daná osoba příslušný důkaz vlastní a minimalizováno riziko nepravosti;
- vysoké úrovně bylo provedeno ověření na základě důkazu totožnosti opatřeného fotografií.
V rámci tohoto kritéria může někomu připadat úsměvné, že doklad totožnosti opatřený fotografií je vyžadován až u vysoké úrovně, zatímco u předchozích stačí jakýkoliv doklad (prováděcí nařízení nehovoří o tom, že se bezprostředně musí jednat o občanský průkaz) i bez fotografie.
Důležité je, že žádné z kritérií prováděcího nařízení nestanoví povinnost ověřování (např. příjmení či adresy) při každém přihlášení a i u vysoké úrovně se požadavky zaměřují jen na eliminování předložení neplatného dokladu (viz níže), avšak již neřeší situaci, kdy se daná osoba přestěhovala či změnila své příjmení.
U vysoké úrovně záruky byly podniknuty kroky s cílem minimalizovat riziko, že totožnost právnické osoby není deklarovanou totožností, přičemž bylo zohledněno například riziko ztráty, odcizení, zrušení dokladů nebo pozastavení či vypršení jejich platnosti.
Podobně jako u kvalifikovaných certifikátů a elektronického podpisu, eIDAS i v oblasti eID pracuje s principem, podle něhož je v případě sporu ověřována totožnost konkrétní osoby až zpětně prostřednictvím dotazu příslušného státního orgánu – u elektronických podpisů u příslušné certifikační autority, u eID u daného IdP (identity provider).
Jak propojit jednotlivé země?
Při propojování jednotlivých zemí vychází (stejně, jako u úrovní záruky) hlavní principy eIDAS z projektu STORK a STORK 2.0. Už v roce 2008, kdy začínal projekt STORK, se přitom ukázalo, že jednotlivé národní systémy a jejich legislativa jsou natolik odlišné, že řešení jednotné či společné občanky nejsou pro členské státy přijatelné a cesta vede přes propojení skrze národní brány (ve STORKu nazývané jako Pan European Proxy Services – PEPS. Z technického pohledu se PEPS od eIDAS node odlišuje především použitým SAML profilem, což stálo i za důvodem, proč byl v rámci projektu e-SENS vyvinut tzv. eIDASconnector, jenž byl v první polovině letošního roku úspěšně pilotně otestován mezi Německem a Nizozemí). Tato myšlenka je obsažena rovněž v prováděcím nařízení 2015/1502 (např. recitál 2), které upravuje požadavky na tyto uzly.
Ústřední roli při propojení systémů elektronické identifikace členských států hrají uzly. Jejich přínos, včetně funkcí a součástí „uzlu eIDAS“.
Tyto brány jsou prostřednictvím SAML 2.0 vzájemně propojeny systémem „každý s každým“. Úkolem jednotlivých provozovatelů PEPS je pak zajistit napojení těchto bran na národní eID prostředky, přičemž eIDAS podporuje využití více typů prostředků (i od různých vydavatelů – identity providerů) tak, aby uživatel měl možnost volby. Zároveň je možné na tyto uzly napojit základní či další registry (tzv. attribute providers).
Díky zapojení CZ.NIC do projektu STORK 2.0 si validovaní uživatelé mojeID mohou prakticky vyzkoušet, jak bude fungovat přeshraniční přihlašování na portálu ECAS (EuropeanCommissionAuthenticationService) Evropské komise. Zatím toto přihlášení, kterému jsem se na konci loňského roku věnoval na blogu CZ.NIC, využívají především čeští úředníci, kteří potřebují mít přístup k dokumentům pro jednání v Bruselu či Lucemburku.
Podle požadavků prováděcího nařízení to však zatím vypadá spíše na opravdu základní (minimální) set údajů.
Jak můžeme vidět, eIDAS nepracuje např. s telefonním číslem a e-mailem, kdy tyto atributy velmi často nejsou ani součástí základních registrů. Pokud si odmyslíme praktickou využitelnost údajů neobsahujících telefon či e-mail např. u e-shopu, tento omezený set může dělat problémy i při ztotožnění konkrétních uživatelů, kdy i mnoho systémů Evropské komise jako jednoznačný identifikátor využívá právě e-mailovou adresu.
Jedinečný identifikátor je pak vytvářen výhradně pro potřeby přeshraniční autentizace a nejedná se tak rozhodně o rodné číslo či uživatelské jméno do mojeID.
Příklad přeshraničního identifikátoru při přihlášení k ECAS přes mojeID
Co se týče provozovatele národních uzlů, jako jeden z mála požadavků stanoví prováděcí nařízení bezpečnostní požadavky vyplývající z ISO/IEC 27001 a (zde již neurčitě) povinnost instalace kritických bezpečnostních aktualizací (čl. 10).
Provozovatelé uzlů provádějících autentizaci musí certifikací nebo rovnocennými metodami posuzování či dodržováním vnitrostátních právních předpisů prokázat, že s ohledem na uzly účastnící se rámce interoperability uzel splňuje požadavky normy ISO/IEC 27001.
Provozovatelé uzlů provádějí bez zbytečného odkladu kritické bezpečnostní aktualizace.
Zajímavá otázka může nastat ohledně možného počtu uzlů v každé zemi. Byť by se to mohlo zdát logické, eIDAS nestanoví, že v každé zemi musí být právě jeden uzel a naopak Evropská komise v rámci financování prostřednictvím fondu Connecting Europe Facility připustila, že národních uzlů může být více. Česká republika je toho ostatně jako jediná země v EU příkladem.
Z praktického hlediska je však nutné si uvědomit, že více uzlů dává smysl pouze v případě tzv. sektorových uzlů (tj. např. specifického uzlu pro e-Health či daňové otázky), neboť každý národní uzel může odkazovat jen na jeden národní uzel v každé zemi. Při 28 členských zemích se tak jedná o celkem 378 vazeb (propojení), které se s případnými sektorovými uzly zvyšují.
Další možné vazby pak do celého systému může přinést vlastní architektura jednotlivých uzlů, kdy pod obecným pojmem „eIDAS uzel“ je třeba vnímat jeho dvě součásti – vlastní uzel (eIDAS-Service, v rámci STORKu označovaný jako C-PEPS), který zajišťuje propojení s jednotlivými poskytovateli identit (IdP), a tzv. eIDAS-Connector (S-PEPS), který zajišťuje propojení na lokální poskytovatele služeb (SP). A právě těchto eIDAS-Connectorů (pozor, nejedná se o totéž, co eIDASconnector vyvinutý v rámci e-SENS) může v jednom státě existovat více, např. dle oblastí (e-Health pro zdravotnická zařízení).
ČLÁNKY DO MAILU