Vyšlo v Deníku Insider, 12.8.2014
Vytištěno z adresy: http://www.earchiv.cz/b14/b0812002.php3

Bude mít sociálka svou vlastní elektronickou identitu?

Česká správa sociálního zabezpečení (ČSSZ) spustila ještě v loňském roce svůj elektronický portál (ePortál), skrze který poskytuje on-line způsobem (tedy: po Internetu) řadu užitečných služeb jak občanům, tak i firmám, v rolích zaměstnanců, zaměstnavatelů i osob samostatně výdělečně činných. Využití tohoto ePortálu má ale jeden háček: k jeho užitečným službám se dostanou jen ti, kteří mají svou vlastní datovou schránku. Protože jinak, než "přes datovou schránku", se k ePortálu dnes nepřihlásíte.

Samotná Česká správa sociálního zabezpečení má se svým ePortálem ambiciózní plány, které minulý týden popsala novinářům. Chce dále rozšiřovat jeho funkce přidáváním nových služeb, ale hlavně by chtěla co nejvíce rozšířit okruh těch, kteří ePortál mohou využívat. Což po praktické stránce znamená zavést i další možnosti přihlašování k ePortálu.

Tím ale ČSSZ narazila na nepříjemný problém, který se týká celého českého eGovernmentu. Odborníci by hovořili o neexistující reálně použitelné elektronické identitě ve veřejném sektoru, dostatečně spolehlivé a dostupné pro širokou veřejnost. Nám zde ale postačí zjednodušené konstatování, že zájemci o využití různých on-line služeb (nejenom ePortálu, ale třeba i CzechPOINTu@home a dalších) zatím skutečně nemají jak k těmto službám přihlásit, než právě a jen "přes svou datovou schránku".

Proč je nutná elektronická identita?

Složité je to ale i z opačného pohledu: pokud tyto služby nevědí, kdo přesně po nich něco chce, a nemají jistotu, že je to skutečně on či ona (a ne někdo jiný, kdo jen vydává za někoho jiného), pak nemohou poskytovat takové služby, které se týkají jen konkrétních osob. Převedeno z veřejného sektoru do toho privátního: chtěli byste, aby vaše banka pustila po Internetu k vašemu účtu a k vašim penězům někoho úplně jiného? Nebo někoho, kdo se za vás jen vydává? Asi ne, že.

Jenže: banky, v rámci svých služeb internetbankingu, již mají celý problém s tzv. identifikací (zjištěním "kdo jste") a autentizací (ověřením, "že jste to skutečně vy") nějak vyřešen. Sice každá banka po svém, ale to právě u bank zase tolik nevadí. I proto, že banku si vybíráte sami a sami si volíte, u kolika z nich se stanete klientem.

To ve veřejné správě by řešení ve stylu "každý jinak" vadilo docela dost. Jen si zkuste představit, jak po vás každý veřejnoprávní orgán, se kterým nějak komunikujete po Internetu, požaduje své vlastní a specifické přihlašování. Minimálně tedy každý jiné jméno a heslo, někde ještě SMS kód či dokonce tzv. autentizační certifikát. Nebo ještě něco jiného. Nehledě již na náklady na udržování velkého počtu samostatných řešení, které by v konečném důsledku nesl daňový poplatník.

Ideálně by celá veřejná správa měla umožňovat stejný způsob přihlašování (identifikace a autentizace) k on-line službám všech svých orgánů. Jenže to by něco takového muselo existovat a reálně fungovat. Navíc dostatečně spolehlivě a důvěryhodně, aby se na to dalo spoléhat (podobně, jako u bank). A to zatím neexistuje. Proto ono konstatování o neexistenci reálně použitelné a široce dostupné elektronické identity

Stát sice má zavedenu určitou elektronickou identitu pro všechny své občany, a to v základních registrech (konkrétně v základním registru obyvatel). Ale tu nejde reálně využívat, protože na ni nejsou navázány další související služby, nutné pro její používání. Zjednodušeně řečeno: nemáte od ní potřebné přihlašovací údaje, které byste mohli někde využít. Ani nemáte kde o ně požádat, kde je zneplatnit (při jejich kompromitaci) a vyžádat si nové atd.

Místo toho se ve veřejné správě používá úplně jiná elektronická identita, a to "ta, kterou mají držitelé datových schránek". Kolem této identity je již vybudováno a zprovozněno (hlavně na CzechPOINTech) vše potřebné, včetně přidělování přihlašovacích údajů (jména a hesla) a jejich správy (zablokování a přidělení nových), i možnost "posílit" bezpečnost přihlašování o použití jednorázových SMS kódů, využití certifikátů či tzv. autentizačních kalkulaček. Proto je tato možnost dnes využívána i ePortálem ČSSZ. Její nevýhoda je ale zřejmá: vše je vázáno na přístup k datovým schránkám. Ke službám ePortálu se tak dostanou jen ti, kteří mají svou vlastní datovou schránku.

Počká ČSSZ na stát, nebo půjde vlastní cestou?

Jestliže nyní chce ČSSZ zpřístupnit služby ePortálu co nejširší veřejnosti, má dvě základní možnosti. Jednou je počkat, až stát (tedy: spíše ministerstvo vnitra) zprovozní takovou elektronickou identitu, která by se k danému účelu (přihlašování k ePortálu) dala reálně využít, a byla dostupná pro širokou veřejnost. Zatím spíše neoficiální signály naznačují, že by se tak mohlo stát rozšířením té identity, která je dnes spojena s datovými schránkami. A to takovým způsobem, že by již nebyla vázána na držení datové schránky. Jinými slovy: mohli byste získat potřebné přihlašovací údaje (a s nimi se přihlašovat třeba právě k ePortálu), ale nemuseli byste si kvůli tomu současně pořizovat vlastní datovou schránku. Jenže: zda bude toto řešení realizováno, a v jakém časovém horizontu, je zatím ve hvězdách.

Druhou principiální možnost, kterou ČSSZ má, je "jít svou cestou". Tedy využít toho, že "zná své klienty", a má vlastně již vybudovaný určitý systém jejich identifikace (v rámci kterého využívá "identifikátor klienta MPSV", zkratkou IK MPSV). Musela by ale tento vlastní systém identifikace rozšířit tak, aby z něj vznikla potřebná a reálně použitelná "elektronická identita": musela by vybudovat celý systém přidělování přihlašovacích údajů, jejich případného zneplatňování a vystavování. Ale stejně tak by musela vytvořit vše potřebné pro skutečné používání těchto přihlašovacích údajů. Tedy upravit všechny své služby, resp. odpovídající systémy.

Kromě toho by ČSSZ musela zvážit, jakou míru spolehlivosti a důvěryhodnosti identifikace (a autentizace) potřebuje, a zda vystačí s přihlašováním na úrovni jména (nejspíše rovnou onoho IK MPSV) a přiděleného hesla, nebo bude vyžadovat něco silnějšího, například nějaký jednorázový kód či autentizační certifikát. A i to pak sama implementovat.

Všechno je samozřejmě možné, a po technické i organizační stránce zvládnutelné. Jenže: něco to stojí, a nějakou dobu to zabere. A hlavně: má to cenu a je správné jít takto "svou cestou"? Nebo raději čekat, až někdo jiný "pohne kostrou"?

Na již zmiňovaném setkání s novináři minulý týden ČSSZ nechtěla naznačit, jaké řešení zvolí. Pouze řekla, že zvažuje různé varianty, mezi kterými si teprve vybere. Takže až následně se dozvíme, pro kterou se rozhodla.