Cyfrowa tożsamość

23-02-2017, 12:06

Ostatnia dekada upłynęła na dynamicznym rozwoju usług świadczonych zdalnie i przenoszeniu różnych transakcji do świata wirtualnego, do Internetu. Tradycyjny model polegający na bezpośrednich kontaktach personalnych dostawcy i odbiorcy usługi, wymianie papierowych dokumentów, jest wypierany przez usługi realizowane drogą elektroniczną w czasie rzeczywistym („on-line”). Wiele czynności wymaga obustronnej interakcji stron, co z kolei wymusza zastosowanie odpowiednich metod i technik zapewniających między innymi skuteczność, niezaprzeczalność, rozliczalność i wiarygodność transakcji.

Jednym z najistotniejszych elementów, jeśli nie najważniejszym, każdej zdalnej transakcji elektronicznej jest właściwe zidentyfikowanie stron oraz ich uwierzytelnienie, w sposób adekwatny (czyli z właściwym poziomem pewności) do realizowanej usługi. Pierwszym kamieniem milowym było opracowanie i wprowadzenie, także do obiegu prawnego, uniwersalnej metody identyfikacji w świecie elektronicznym – podpisu elektronicznego, w oparciu o technologie infrastruktury klucza publicznego (PKI), w szczególności tak zwanego podpisu kwalifikowanego, mającego szczególną moc prawną (równoważną z podpisem odręcznym). Siłą tego rozwiązania jest jego uniwersalizm – możliwość stosowania powszechnie przez obywateli, do wszelkich usług elektronicznych (także komercyjnych) i na obszarze całej Unii Europejskiej, podobnie jak w świecie fizycznym korzysta się z dowodów tożsamości wydanych przez państwo. Idea napotkała trudności w praktycznej realizacji, niemniej, przynajmniej w teorii, dała możliwość ograniczenia modelu silosowego oraz wprowadzenia standaryzacji w zakresie identyfikacji i uwierzytelnienia elektronicznego. Z kolei wdrożenie elektronicznych dokumentów tożsamości (dokumentów z mikroprocesorem) wydatnie wsparło rozpowszechnienie idei w większości krajów, gdzie się na ten krok zdecydowano – uzyskano bowiem efekt powszechności i łatwej dostępności elektronicznych środków identyfikacji.

 

Cyfrowa tożsamość jest dość podobna do realnej. Zgodnie z definicją, zawiera zestaw danych, które w sposób jednoznaczny identyfikują podmiot posługujący się taką tożsamością. Zawiera dane i podpis wystawcy tejże tożsamości, co odgrywa rolę uwiarygodnienia informacji przez trzecią stronę. Tożsamość cyfrowa także potrzebuje metod jej wystawiania, dystrybucji oraz zestawu funkcji pozwalających na unieważnienie i weryfikację jej prawdziwości. Zadania te są jednak utrudnione, w szczególności jeżeli chodzi o weryfikację, ze względu na brak fizycznej obecności podmiotu posługującego się daną tożsamością, co eliminuje podstawową metodę oceny wiarygodności. Dodatkowe problemy pojawią się, gdy zamiast jednego scentralizowanego rejestru konieczna jest obsługa instytucji, które mogą mieć jednostki mobilne, oczekujące sposobu dostępu i przetwarzania danych związanych z tożsamością cyfrową, jednocześnie niemające możliwości utrzymania ciągłego połączenia ze scentralizowaną bazą informacji.

 

Przeważnie organizacje, firmy czy instytucje państwowe są  podmiotami o stałej strukturze, które posiadają stały kontakt z innymi podmiotami przez łącza szerokopasmowe. Wskazać można także takie, które mają mobilne jednostki np. instytucje związane z obronnością (systemy wojskowe), czy ambasady, konsulaty oraz delegatury, które choć nie są obiektami ruchomymi, z różnych względów mogą nie być w stanie nawiązać łączności z centralą – możliwe jest wtedy traktowanie ich jak jednostki mobilne. Niemożliwym staje się wtedy dostęp do zasobów, a to wpływa na brak możliwości potwierdzenia tożsamości cyfrowej. 

 

Bez względu na sposób ujęcia problemu tożsamości cyfrowej, pojęcie elektronicznej tożsamości zawsze występuje w kontekście podobnych procesów biznesowych. W każdym z formalnych standardów uwierzytelnienia można wyróżnić trzy podstawowe procesy: 

  • proces rejestracji, czyli pozyskania i weryfikacji atrybutów tożsamości fizycznej, konstytuujących tożsamość elektroniczną w sposób wiążący ją możliwie jednoznacznie i wiarygodnie z tożsamością fizyczną; 
  • proces zarządzania danymi uwierzytelniającymi, zawierający m.in. proces wydania danych uwierzytelniających (po raz pierwszy), odnowienia, unieważnienia, zawieszenia; 
  • proces uwierzytelnienia.

 

Warto zwrócić uwagę, że realizacja każdego z wymienionych procesów nie ma charakteru w pełni deterministycznego, tj. w wyniku realizacji danego procesu uzyskujemy rezultat, który jedynie z zadanym prawdopodobieństwem (z pewnym poziomem wiarygodności) odzwierciedla faktyczny związek pomiędzy tożsamością fizyczną i elektroniczną. Na łączny poziom wiarygodności procesu uwierzytelnienia wpływają wszystkie wymienione procesy, rozwiązania techniczne lub organizacyjne, związane z realizacją dowolnego z nich i obniżające jego wiarygodność.

 

W obecnym stanie prawnym i faktycznym jedyną powszechnie uznaną i uregulowaną usługą zaufania w kraju jest działalność urzędów certyfikacji (ang. certification authority, CA) potwierdzających tożsamość posiadaczy podpisu elektronicznego. W polskiej rzeczywistości prawnej skala realizacji tej usługi jest ograniczona w stosunku do zakresu wynikającego z dyrektywy 1999/93/EC. Implementując postanowienia dyrektywy w prawie krajowym ustawodawca zdecydował się przenieść jedynie koncepcje kwalifikowanego podpisu elektronicznego i jego dostawcy, rezygnując z implementacji zaawansowanego podpisu elektronicznego.

 

Jak wskazuje dyrektor zarządzający usługami Accenture Technology w Polsce Jacek Borek „Accenture Technology spodziewa się, że już w ciągu kilkunastu miesięcy pojawią się w Polsce rozwiązania weryfikujące tożsamość dzięki posiadaniu konta w banku czy abonamentu u operatora telekomunikacyjnego, jako alternatywy dla podpisu cyfrowego”.

 

Identyfikacja i uwierzytelnianie użytkownika w bankowości mobilnej na przestrzeni ostatnich kilku lat bardzo mocno ewoluowało wraz z samym rozwojem tego kanału. Od czasów kiedy, podobnie jak w bankowości internetowej, klienci musieli podawać za każdym razem swój login i hasło do momentu w którym większość z badanych przez nas aplikacji zapamiętuje login klienta a ten musi jedynie wprowadzić swoje hasło bądź hasło mobilne. Taka zmiana przyszła w konsekwencji wprowadzenia procesów „zaufania” urządzeń mobilnych czyli de facto nadrzędnego uwierzytelnienia danej aplikacji na danym smartfonie.

 

Ważką kwestią jest możliwość wykorzystania bankowych narzędzi uwierzytelniających i autoryzacji do usług zaufania – eID znacząco zmienia regulacje i sam rynek podpisów elektronicznych co powoduje, że zasadne jest pytanie o powstanie tzw. bankowych podpisów cyfrowych, które mogłyby być wykorzystane w pozafinansowych usługach komercyjnych i publicznych. Adam Marciniak, dyrektor pionu rozwoju i utrzymania aplikacji w PKO Banku Polskim wskazuje: Chyba najprościej będzie porównać ideę eID z działającymi obecnie systemami płatności za internetowe zakupy. Gdy chcemy dokonać płatności, nie musimy wchodzić do banku, szykować przelewu, "przeklejać" numeru konta sklepu internetowego itd. Z kontekstu sklepu przechodzimy w kontekst banku, zatwierdzamy operację i wracamy do sklepu. W przypadku eID schemat może wyglądać podobnie, ale zamiast zlecać przelew będziemy w ten sposób potwierdzać tożsamość. Dzięki temu będziemy mogli realizować określone usługi w instytucjach, w których nigdy nie byliśmy zarejestrowani i nie zostawialiśmy tam swoich danych”

 

Tak będzie wyglądać proces w przypadku banków. Jednak w ramach programu „Paperless, cashless Poland”, realizowanego przez Ministerstwa Cyfryzacji i Ministerstwo Rozwoju, jest mowa o federacyjnym modelu tożsamości. Założeniem tego modelu będzie współpraca także z innymi podmiotami, które mogą identyfikować klienta, np. z telekomami. Ich zweryfikowani klienci też mogliby potwierdzać dyspozycje np. poprzez sms czy mobile connect.

 

Jednym z identyfikatorów obywatela może być np. jego zestaw mechanizmów wykorzystywanych do obsługi konta bankowego. W federacyjnym modelu tożsamości dostawcą tożsamości będą banki, firmy telekomunikacyjne, poczta itp. Obywatel będzie mógł z niej skorzystać w cyfrowym świecie, np. logując się do e-usług w typowy dla banków sposób, czyli przez login i hasło. Tożsamość to nie jest tylko ciąg cyfr, bo w zależności od poziomu usługi oznacza ona adekwatny poziom uwierzytelnienia i bezpieczeństwa. Dla przykładu – umowę na kupno samochodu będzie można już zawrzeć z poziomu tożsamości bankowej. Z kolei wniosek o zasiłek przez wykorzystanie danych od dostawcy internetu lub telekomu. Chodzi o szybkie osiągnięcie powszechnego, wysokiego poziomu usług z zachowaniem reguł bezpieczeństwa.

 

Ministerstwo Cyfryzacji: „Działania państwa w obszarze Cyfrowej Tożsamości nastawione są na synergię z komercyjnymi systemami elektronicznej identyfikacji i wzajemnego wykorzystania potencjału i innowacyjności, nie zamkną drogi dla tworzenia komercyjnych rozwiązań w tym zakresie. Federacyjny model identyfikacji obywateli realizowany przez węzeł krajowy może objąć również narzędzia samorządowe oraz biznesowe.” Całkowity czas realizacji Cyfrowej Tożsamości przewidziano do końca II kwartału 2017 roku.

 

Harmonogram działań w obszarze Cyfrowej Tożsamości

Harmonogram działań w obszarze Cyfrowej TożsamościŹródło: Program „Od papierowej do cyfrowej Polski” – najważniejsze informacje i aktualny status prac Styczeń 2017.

 

W ramach wdrażania Cyfrowej tożsamości pierwszym projektem było wykorzystanie kanału bankowości elektronicznej do składania wniosku o 500+.  Do realizacji programu przyłączyło się 18 banków: Bank Pocztowy SA, PKO Bank Polski SA, mBank SA, ING Bank Śląski SA, Bank Zachodni WBK SA, Getin Noble Bank, Deutsche Bank Polska, Bank Millennium SA, Raiffeisen Bank Polska SA, Bank Pekao SA, Bank BPH SA, Alior Bank SA, FM Bank PBP SA, Bank SMART, Credit Agricole Bank Polska SA, Spółdzielcza Grupa Bankowa, Bank Ochrony Środowiska, Bank Polskiej Spółdzielczości SA, Bank Handlowy w Warszawie SA. Do połowy stycznia 2017 roku 20% wniosków o świadczenie rodzice złożyli przez Internet. Ta forma cieszyła się największą popularnością w województwie mazowieckim (27%), dolnośląskim i śląskim (po 24%) i pomorskim (22%).

 

Sukces wykorzystania kanału bankowości elektronicznej do składania wniosku o 500+, czy logowanie do PUE ZUS za pomocą uwierzytelnień bankowych świadczą o dużych perspektywach na przyszłość tego kierunku w obszarze Cyfrowej Tożsamości. Wydaje się bowiem, że w federacyjnym modelu tożsamości wykorzystanie banków czy telkomów jako kanału dostępu – uwiarygodnienia dla innych usług podmiotów trzecich możliwe jest dla wielu obszarów np. do  rejestrów państwowych czy usług zdrowotnych.

 

Autor: dr Łukasz Kryśkiewicz, pracownik Ministerstwa Cyfryzacji

 

Źródła:

  1. 50 największych banków w Polsce 2016: Droga do cyfrowego obywatela, BANK 2016/06
  2. Accenture: Weryfikacja tożsamości wg konta w banku pojawi się zaraz w Polsce, https://www.pb.pl/accenture-weryfikacja-tozsamosci-wg-konta-w-banku-pojawi-sie-zaraz-w-polsce-820966
  3. Bezpieczeństwo bankowości elektronicznej, Raport specjalny 01/2016, OBSERWATORIUM.BIZ, http://www.obserwatorium.biz/images/posts/raports/5_PL.pdf
  4. Do ZUS zalogujemy się loginem i hasłem z banku, http://www.bankier.pl/wiadomosc/Do-ZUS-zalogujemy-sie-loginem-i-haslem-z-banku-7375350.html
  5. https://mc.gov.pl/projekty/eid-identyfikacja-w-uslugach-online/opis-projektu
  6. https://www.mpips.gov.pl/aktualnosci-wszystkie/rodzina-500-plus/
  7. Identyfikacja i uwierzytelnienie w usługach elektronicznych, Przewodnik Forum Technologii Bankowych przy Związku Banków Polskich. Warszawa 2013.
  8. Program „Od papierowej do cyfrowej Polski” – najważniejsze informacje i aktualny status prac Styczeń 2017.

Warto przeczytać:

    Tematy pokrewne:  

    tag PKItag cyfrowa tożsamość
      
    znajdź w serwisie


    RSS - Wywiad
    Wywiad  
    RSS - Interwencje
    RSS - Porady
    Porady  
    RSS - Listy
    Listy