Bezpečná autentizace uživatelů ISDS v rámci digitalizace státu
Digitalizace jako podstatný ukazatel modernizace státu je dnes jedním z nejčastěji skloňovaných výrazů. Jejím klíčovým parametrem je pak bezpečnost a autentizace uživatelů. Zejména pak ve spojitosti s datovými schránkami a způsobem přihlašování do nich stále často narážíme na neopodstatněnou otázku, zda ta která platforma umožňuje přihlášení pomocí přístupových údajů.
Otázka přihlašování do datové schránky u odborníků na bezpečnost dat vyvolává smíšené pocity mimo jiné i proto, že počet držitelů nějakého prostředku elektronické identifikace napojeného na kvalifikovaný systém provozovaný v souladu s požadavky zákona č. 250/2017 Sb. o elektronické identifikaci je oproti vlastníkům datové schránky fyzické osoby násobně vyšší.
Zatímco počet datových schránek fyzických osob překonal hranici osmi set tisíc až koncem září roku 2023, již v březnu bylo dle dostupných údajů vydáno přes dvanáct milionů prostředků elektronické identifikace. Tedy patnáctkrát více.
"Řada obyvatel ČR tak disponuje dvěma a více prostředky pro elektronickou identifikaci, naopak počet těch, kteří žádný takový prostředek nemají, stále klesá. Přesto stále přetrvává dávno překonaná představa, že jediným správným nástrojem pro deklaraci identity klienta služby nabízené na internetu jsou právě přístupové údaje do datové schránky klienta, tedy v podstatě jméno a heslo. A to žel nezřídka i u poskytovatelů služeb z oblasti veřejné správy, kteří tento přežitý, bezpečnostně i legislativně neodůvodnitelný požadavek stále propisují do funkčních specifikací k veřejným zakázkám," říká Vít Cvrček, Senior konzultant odboru metodiky archivní a spisové služby společnosti GORDIC.
Častým argumentem konzervativců je odkaz na úvodní stránku státního Portálu občana, kde se stále využití přihlašovacích údajů k datové schránce nabízí.
Klient, který se tímto způsobem přihlásí, toho však na portálu příliš nevyřídí, protože rozhodná většina zde publikovaných služeb je dostupná až po skutečném prokázání digitální identity, tedy s využitím elektronické identifikace v souladu s ustanovením § 2 zákona č. 250/2017 Sb. o elektronické identifikaci.
Prostředek pro elektronickou identifikaci má pak stejným zákonem předepsánu tzv. úroveň důvěry na úroveň ZNAČNÁ - ta je pak Prováděcím nařízením 2015/15023 Komise (EU) k nařízení eIDAS ve vztahu k vydávaným prostředkům jasně definována.
Definice úrovně důvěry:
- Prostředek pro elektronickou identifikaci je navržen tak, aby bylo možné předpokládat, že se používá pouze pod kontrolou nebo v rámci vlastnictví osob, které patří
- Prostředek pro elektronickou identifikaci využívá alespoň dvou faktorů autentizace z odlišných kategorií
Nic z toho pochopitelně ony adorované přihlašovací údaje nesplňují. Jméno a heslo je klasický jednofaktor, samotný Informační systém datových schránek navíc i nadále uživateli umožňuje v nastavení vypnout změnu hesla po devadesáti dnech. Tedy ideální podmínky pro kompromitaci přístupových údajů, zejména jsou-li uloženy ve správci hesel internetového prohlížeče.
Je proto dobře, že na uživatele Informačního systému datových schránek (ISDS), kteří se do systému přihlašují na adrese mojedatovaschranka.cz, čeká po úspěšném přihlášení upozornění, že by bylo vhodné začít používat některý z prostředků elektronické identifikace.
Ještě lepší by však samozřejmě bylo původní formu přihlášení do datové schránky konečně vyřadit, a to i pro přístup k agendovým informačním systémům. Času na přechod řešení v souladu se zákonem č. 250/2017 Sb. již měli jejich provozovatelé dost.
Nebudou-li nastavená pravidla kontrolována a vynucována, se změnou k lepšímu počítat nemůžeme. Zlaté pravidlo - když to funguje, tak se do toho nevrtá - je bohužel hluboce vryto do mysli značné části provozovatelů informačních systémů a na ně napojených portálů.
Stačí se rozhlédnout po internetu a velmi záhy najdeme stránky, které dosud existenci Identity občana nezaznamenaly či ji v lepším případě jen přidaly k osvědčeným řešením přístupu - a nejde zdaleka jen o malé obce.
Článek GORDIC spol. s r. o. ze dne úterý 16. ledna 2024
Další články od GORDIC spol. s r. o.
Audit kybernetické bezpečnosti s aplikací CSA
Digitalizace agend a řízení oběhu dokumentů VŠPJ
Organizace a úřady stále častěji používají ePodpis a ePečeť
Bezpečná autentizace uživatelů ISDS v rámci digitalizace státu
CSA aplikace pomáhá s řešením požadavků ZoKB, ISO 27000 a NIS2
Elektronický systém spisové služby pro školy
Nová řešení a služby kybernetické ochrany reagují na směrnici NIS2
Osobní kybernetická hygiena pomáhá čelit bezpečnostním hrozbám
Pomůžeme se zavedením směrnice NIS2
Praktické využití blockchainu při ověřování pravosti dokumentů
O2 IT Services vstupuje do partnerského programu GORDIC
Nepozorný zaměstnanec jako riziko kybernetického útoku
Chytré zodolnění v podmínkách českých organizací - zapojte se do výzkumu
Integrace portfolia produktů BBM do platformy pro veřejnou správu GINIS
Management často podceňuje kyberzpečnost firemního IT
Digitální služby veřejné správy musí být snadno dosažitelné a uživatelsky přívětivé
GORDIC pomáhá se zajištěním chodu služeb veřejné správy
Platforma GINIS se otevírá širokému okruhu vývojářů
Jaromír Řezáč získal ocenění Řád Vavřínu za modernizaci veřejné správy
Koncept chytrých měst a regionů s podporou spolupráce GORDIC a České spořitelny
GORDIC Partner Program pomáhá rozvoji projektů informačních systémů pro veřejnou správu
Žádosti o kotlíkové dotace v Karlovarském kraji bez front
Bezpečná, spolehlivá a efektivní řešení informačních systémů na platformě Microsoft Azure
GORDIC je vítězem soutěže Ocenění českých lídrů pro Kraj Vysočina
Průzkum o chování českých uživatelů internetu
Agendu a finance Prahy 1 pomáhá řídit informační systém GINIS
Smlouvy elektronicky od A po Z - vítězný projekt v egovernment soutěži
Koncept Smart Cities je krokem k trvale udržitelnému rozvoji měst
Vím, kam klikám - nový projekt pro bezpečnost dětí na internetu
