Електронна идентичност и електронна идентификация – „кокошката и яйцето на електронното управление“
„Дигитална демокрация“ (“Digital Democracy”) е поредица на Български център за нестопанско право, в която чрез онлайн материали и семинари говорим за човешките и гражданските ни права в дигиталната среда. Ще търсим отговори на актуални въпроси заедно с участието на граждански организации и активисти, младежи, правозащитници, професионалисти в IT сектора, журналисти, институции.
- За да сте част от дискусията онлайн – включете се в пространството „Дигитално участие“ в платформата и приложение Slack
- За да получавате известия за нови материали и събития – присъединете се към общността „Дигитално участие“ във Viber, като напишете ДИГИТАЛНО УЧАСТИЕ в полето за търсене и изберете опцията Join.
Технологичните постижения ни дават възможност да се възползваме от разнообразни дигитални услуги – наем на кола или жилище, покупка на храна, банкиране и много други. За да ползваме тези услуги, често ни се налага да създадем своя дигитална идентичност (Facebook или Google профил или друга регистрация) и да се идентифицираме посредством парола, електронен подпис, биометрични данни или по друг начин. Много държави, включително и България, обаче сериозно изостават в изграждането на ефективно електронно управление именно защото не са успели да предоставят на гражданите и пребиваващите в страната електронна идентичност и надеждни и лесно достъпни средства за електронна идентификация.
Какво е електронна идентичност и електронна идентификация?
Електронна идентичност по същество представлява информация за едно лице, съхранявана онлайн, с която лицето може да се идентифицира еднозначно. Съгласно Закона за електронната идентификация:
"Електронна идентичност" ("е-идентичност") е съвкупност от характеристики, записани в електронна форма, въз основа на които може да се направи еднозначно разграничаване на едно лице от други лица във виртуалната среда с цел осигуряване на достъп до информационни системи или осигуряване на възможност за извършване на електронни изявления.
"Електронна идентификация" е процес на използване на данни в електронна форма за идентификация на лица, които данни представляват по уникален начин дадено физическо лице. За да се счита за сигурно едно средство за електронна идентификация, то трябва да се основава на двуфакторна автентикация, т.е. да има фактор „притежание“ и фактор „знание.“
- Пример за двуфакторна автентикация е КЕП (квалифициран електронен подпис) – фактор „притежание“ при него е физическото устройство, което съдържа подписа (карта или USB Stick), а фактор „знание“ е ПИН кодът, който следва да се въведе, за да се използва КЕП.
- Пример за еднофакторна автентикация е ПИК на НАП, при който електронната идентификация се осъществява само чрез потребителско име и парола, т.е. само въз основа фактор „знание.“
Примерът на Естония
Естония е държавата, която изгражда една от първите и най–широко разпространени системи за електронна идентичност. В резултат на това днес гражданите на Естония могат по електронен път да гласуват, да проверяват медицинската си информация, да учредят юридическо лице, да подписват документи, както и да изпращат криптирана информация до конкретно лице. Естонците имат достъп до над 2,500 публични услуги в електронна среда, което спестява време и пари както на гражданите, така и на държавата. По изчисления на естонското правителство електронното управление спестява на страната 2% от БВП на година.
Ключово за успеха на Естония е създаването на електронна идентичност на гражданите по инициатива на държавата и предоставяне на лесен и достъпен начин за електронна идентификация. В Естония публичните електронни услуги са достъпни чрез националната лична карта. Същата лична карта, с която естонците се идентифицират физически, се ползва за идентифициране в електронна среда посредством информацията, съдържаща се в чип, вграден в нея. Картата също може да се ползва и за подписване на електронни документи и за електронно гласуване. Според статистиката такава карта притежават 98 % от естонците, а 67 % от тях се ползват от нея редовно. Освен задължителната лична карта, при желание, естонците могат да ползват и Mobile –ID, което е система, позволяваща чрез издаване на специална SIM карта да се замести функционалността на личната карта със смарт телефон (така не е необходимо да се използва специално устройство за поставяне на личната карта подобно на четец за КЕП).
Успешната естонска система се основава на следните принципи:
- Сигурност: цифровата идентификацията винаги следва модела двуфакторна автентикация. Така личната карта се съчетава с парола, а при някои особено важни операции като гласуване се използват и биометрични данни (пръстов отпечатък или лицево разпознаване). Същевременно националната информационна архитектура е изградена на основата на принципите за информационна устойчивост и надеждност на информацията. Информационната устойчивост е осигурена чрез създаване на информационно посолство в Люксембург. Така е гарантирано, че дори при атака срещу информационните системи на страната, ключови функционалности ще продължат да бъдат използваеми. Надеждността на информацията е осигурена чрез технологията “block chain,” която не позволява „скрита“ промяна на данните.
- Техническа съвместимост: признатите методи за електронната идентификация като лична карта и Mobile –ID са достатъчни при използване на различни платформи. Това означава, че с една и съща автентикация следва да са достъпни услуги, предоставяни от различни органи. Този принцип е ключов за постигане на широко използване на електронните услуги.
- Защита на личните данни: електронната идентификация следва да се използва за подобряване на защитата на личните данни. Това се постига, като в процеса на идентификация се предоставя само минимално необходимата информация (например: електронната идентичност потвърждава, че лицето е пълнолетно, вместо то ръчно да предоставя датата на раждане) за ползване на съответната услуга. Това е от особена важност при използване на националната електронна идентичност за достъп до частни услуги.
Положението в България
В България съществува правна рамка за изграждане на национална система за електронна идентичност още от 2016 г., когато са приети Законът за електронната идентификация и правилникът за прилагането му. В края на 2016 г. въз основа на новоприетия закон започва и процедура по изграждане на национална схема за електронна идентификация, въз основа на която лицата, навършили 14 годишна възраст, да могат да си издават Електронна идентичност (е-ID). За разлика от естонския модел обаче, проектът за български е-ID предвижда те да представляват отделна карта, а не да са инкорпорирани в задължителните лични карти, както и не става ясно дали ще могат да се ползват за електронен подпис и за криптиран трансфер на информация. Отвъд тези проблеми обаче най – същественото е, че проектът не е реализиран и до днес (повече за причините вижте тук).
В следствие на това в България се ползват разнородни и в голямата си част несъвместими помежду си и неотговарящи на стандартите за сигурност методи за електронна идентификация. Такива са:
- КЕП – вероятно най-разпространеният метод за идентификация в момента. Той отговаря на стандарта за двуфакторна автентикация, но е платен. Адекватна електронна идентификация на национално ниво трябва да е безплатна или да е включена в цената на задължителна административна услуга като издаване на лична карта. Показателно за неефективността на платената електронна идентификация е намалената цена на КЕП с цел предоставяне на по-лесен достъп до електронен сертификат след ваксинация срещу COVID-19 (нещо, което нямаше да се налага, ако вече имахме изградена централизирана система за идентификация)
- ПИК на НАП; ПИК на НОИ и УКД на НЗОК – тези методи не отговарят на стандарта за двуфакторна автентикация и ползването им е ограничено само до услугите, предлагани от съответните администрации.
- Потребителско име и парола – някои администрации предлагат услуги след идентификация по този метод, като това е най-ниско защитеният вариант.
В обобщение, в момента електронната идентификация е сведена до ad hoc методи, които не са съвместими с принципите, по които се води Естония:
- Сигурност – предоставят се методи за идентификация, които не отговарят на модела на двуфакторна автентикация. Липсва и ясна и лесно достъпна информация какви мерки за сигурност са взети по отношение на националната информационна архитектура. Това в съчетание с пробиви в сигурността (като случая със НАП от 2019 г.) сериозно вреди на доверието, което следва да се създаде у гражданите.
- Техническа съвместимост – регистрация и издаване на персонални кодове от различни администрации е времеемко за гражданите и администрацията, а и скъпо, т.к. се плаща за разработване на различни системи, които впоследствие ще трябва да се модифицират, за да могат да се ползват при въвеждане на централизирана национална идентификация. Дори и по отношение на относително широко признатия, но платен КЕП има неясноти (вижте, например, случая на непризнаване на КЕП от ЦИК).
От 2016 г. има известни подобрения на нормативната база. Така през 2017 г. в Правилника за прилагане на Закона за електронната идентичност са въведени изисквания за носителите на електронна идентичност, които дават възможност за предоставяне на полезни функционалности, подобни на тези в Естония:
Чл. 15. (1) (Изм. – ДВ, бр. 5 от 2017 г.Сравнение с предишната редакция, в сила от 1.03.2017 г.) Персонализирането на удостоверенията за електронна идентичност се извършва върху устройства, които отговарят на изискванията за ниво на осигуреност "високо" според Регламент (ЕС) № 910/2014.
(2) Електронният носител трябва да поддържа стандартни криптографски операции – подписване и криптиране, както и необходимост от потвърждение на операциите с ПИН код или друго средство, предоставящо съответното ниво на защита.
(3) В случай на възможност за безконтактен достъп електронният носител трябва да предотвратява злонамерени опити за узнаване и/или използване на ПИН кода чрез неоторизирани безконтактни сесии.
(4) Електронният носител може да поддържа и друга функционалност извън необходимата за извършване на електронна идентификация.
В Закона за българските лични документи е предвидено, че личната карта може да служи и като носител на удостоверение за електронна идентичност (освен ако лицето не заяви изричен отказ за това). Това означава, че при издаване на лична карта ще се издава и удостоверение за електронна идентичност, което ще се инкорпорира в картата. Тази възможност е предвидена още през 2016 г., но след няколко отлагания на влизането й в сила се очаква това да стане на 2.08.2021 г.
Осъществяване на вече бавената пет години национална схема за електронна идентификация е предвидено и в Плана за възстановяване и устойчивост като за краен срок на въвеждане на схемата е 2023 г. при предвидена инвестиция от близо 200 млн. лв. Съгласно Плана електронната идентификация следва да е част от личните документи, като не се предвижда издаване на отделни карти. Планът обаче е твърде лаконичен и не засяга изисквания за сигурност или възможности за модели на идентификация, подобни на естонската Mobile ID.
Явно България сериозно изостава с въвеждането на електронна идентичност и съответно в създаването на ефективно електронно управление. В крайна сметка сме се лишили от поне 5 години за натрупване на опит и усъвършенстване на системата, подобряване на сигурността и изграждане на доверие у гражданите. Тази липса на възможност да се ползваме от широк кръг публични електронни услуги стана още по-осезаема по време на епидемичната обстановка, свързана с COVID-19. Същевременно, въпроси като въвеждане на електронно гласуване изглеждат все така далечни при положение, че дори и да се изпълни Планът за възстановяване и устойчивост и до 2023 г. имаме работеща схема за електронна идентификация, ще са ни нужни още поне няколко години докато тя стане широко използвана, изгради се доверие в нея и се усъвършенства до степен, позволяваща да се използва за упражняване правото на глас.
Автор: Захари Янков, Български център за нестопанско право
Източници
- Хронология на липсващата електронна идентификация, Божидар Божанов, https://blog.bozho.net/blog/3627
- Unlocking Digital Governance, Toomas Ilves https://www.gmfus.org/sites/default/files/Tech2021%20Report%20Final.pdf
- E – Estonia https://e-estonia.com/solutions/e-identity/smart-id
- https://psc.egov.bg/psc-electronic-identification
Поредицата материали и онлайн семинари „Дигитална Демокрация“ (“Digital Democracy”) реализираме с подкрепата на Фондация „Америка за България“. Изявленията и мненията, изразени в поредицата, принадлежат единствено на Български център за нестопанско право и участващите, автори и говорители и не отразяват непременно вижданията на Фондация Америка за България или нейните партньори.