Petr Budiš
Je zcela zřejmé, že objem elektronické komunikace se stále zvětšuje a bude tomu tak i nadále. Směřujeme k tomu, že se stane běžnou a nativní součástí našich životů. Přispěla k tomu jistě i situace, která nastala v souvislosti s epidemií Covid-19 a jež přesunula řadu činností do digitálního prostředí. Jistě tak přispěla k rozvoji digitálních dovedností celé společnosti. Zároveň se potvrdilo, že vždy bude existovat množina lidí, pro které tato forma komunikace nebude z nejrůznějších důvodů akceptovatelná. Bylo by přínosné z této množiny vyjmout ty, které lze pro elektronickou komunikaci získat, a to ať už vhodnými a srozumitelnými návody, veřejně dostupnými semináři (např. pro seniory), umožněním přístupu k internetu a dalšími nástroji.
Je zřejmé, že otázky bezpečnosti elektronické komunikace rozhodně neztrácejí na významu. Musíme vždy vybalancovat uživatelskou přívětivost a přiměřenou, nikoliv paranoidní, míru bezpečnosti. Ovšem zase nic nového, dozvídáme se o tom téměř denně – hlavní slabinou elektronické komunikace je její uživatel. Phishing je v českém prostředí hrozbou, před kterou bezpečnostní experti varují dlouhodobě. Jedná se o kybernetický útok, při kterém se útočník pomocí technik sociálního inženýrství vydává za někoho jiného, ke komu máme důvěru, s cílem získat naše citlivá data a nejlépe i naše peníze.
Rád bych ocenil práci novinářů, kteří opakovaně informují o skutečných případech, které by měly být vážným varováním. Bohužel bude nutné v tomto trendu stále pokračovat, stále si mnoho lidí neosvojilo ani základní bezpečnostní zásady.
Co bychom uvítali my, je ustálené právní prostředí. Stále trvající odborné disputace o tom, zda je daným zákonem míněno to či ono, ke klidu uživatelů určitě nepřispívají.
Jaký potenciál představuje připravovaná legislativa EU eIDAS2?
Potenciál rozhodně představuje velký, teď jde o to, jak bude využit. Dobře víme, že nestačí pouze dát věcem právní rámec, uvést je do života je daleko náročnější. Připomeňme si, že stávající přeshraniční uznávání elektronické identity podle eIDAS1 žádný velký úspěch nezaznamenalo a elektronická identita se uplatnila především na vnitrostátních úrovních, pokud vůbec.
Projekt elektronické peněženky digitální identity podle eIDAS2, na kterém Evropské komisi zjevně velmi záleží, se zdá být uživatelsky výrazně přitažlivější, už jen tím, že je spojen s mobilním telefonem a že skutečně může usnadnit každodenní život tím, že co musí člověk prokazovat, to může prokázat údaji uloženými v této peněžence. Česká republika, resp. její politická reprezentace, k tomuto projektu přistupuje aktivně, takže můžeme doufat, v jeho úspěch i u nás. A třeba mít v peněžence také náš kvalifikovaný certifikát pro elektronický podpis nebo elektronické potvrzení atributů.
Peněženku si můžeme představit následovně – bude obsahovat základní osobní identifikační údaje a může obsahovat i další tzv. atributy (např. řidičský průkaz, diplom, licence, osvědčení, odborná kvalifikace nebo rodný list). Zahrnutí těchto atributů a řady dalších bude nepovinné a každý občan si bude moci zvolit, které atributy si do Peněženky nahraje a kdy a jak je použije. Pokud tedy bude dokládat jeden atribut, rozhodně tím nezpřístupní i ty ostatní. Sdílení osobních údajů a atributů by mělo být transparentní, sledovatelné a díky technickému řešení i primárně v souladu s nařízením GDPR.
Pro nás jako firmu je návrh eIDAS2 jednoznačně přínosem. Samozřejmě nejsou prozatím k dispozici technické normy, které stanoví konkrétní požadavky. Ale už teď je zřejmé, že právní úprava dohonila realitu, takže se právního rámce dočkají i služby, které jsou už poskytovány a jsou prozatím právně trochu „na vodě“, takže je vyloučené jejich přeshraniční uznávání v rámci EU. Jedná se především o různé služby, které jsou spojeny s možností jejich poskytováním na dálku – např. správa prostředku pro vytváření kvalifikovaných podpisů/pečetí.
Logicky se zvyšují nároky na bezpečnost, ovšem ty dopadnou především na poskytovatele předmětných služeb, nikoliv na jejich uživatele. Na poskytovatele se bude vztahovat směrnice NIS2, tj. směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii. Jsme za to rádi, protože bude stanoven jasný rámec opatření, která je nezbytné uplatnit.
Návrh eIDAS2 obsahuje také návrhy nových služeb, počkejme si, až o nich bude známo víc a také zda budou ve schváleném znění.
Co nového (služba/produkt) jste si připravili pro vaše klienty?
Samozřejmě reflektujeme požadavky uživatelů na co nejširší spektrum služeb poskytovaných na dálku. Přispěl k tomu už zmíněný Covid-19, kdy v době nouzového stavu vzrostl zájem o naše certifikáty, ale nebylo možné při jejich vydávání splnit požadavek na ověření totožnosti žadatele výhradně při osobním kontaktu. Vyzkoušeli jsme tedy jakousi dočasnou variantu, samozřejmě s posvěcením orgánu dohledu. Zájem byl obrovský a nyní už jsme schopni vydávat kvalifikované certifikáty on-line s využitím evropsky certifikované aplikace ZealID.
Intenzivně se připravujeme na získání statutu kvalifikované služby u našich produktů RemoteSeal a RemoteSign, tj. vzdálené pečetění a podepisování. Velmi zjednodušeně – podstatou těchto produktů a služeb, které jsou obchodně velmi úspěšné, je princip, že o bezpečný prostředek se nestará uživatel, ale my. A naopak ti, kteří chtějí mít tento prostředek ve své působnosti, se vždy mohou spolehnout, že jim poskytneme jen takové prostředky, které mají příslušné mezinárodně uznávané hodnocení – to se týká především čipových karet.
Nové příležitosti vidíme především ve vydávání kvalifikovaných elektronických potvrzení atributů, ovšem to bude možné až eIDAS2 projde celým legislativním procesem a budou k dispozici příslušné technické normy.
Podle našich dlouholetých zkušeností si uvedení eIDAS2 v život vyžádá naši intenzivní spolupráci s klienty, zde myslím především státní úřady, finanční instituce, telekomunikační společnosti a řadu dalších. Byť změny na jejich straně nebudou nijak zásadní, jde o to, abychom potenciál eIDAS2 využili co nejefektivněji.
***