Nové občanské průkazy příloha
časopisu
DSM
Praha, 2009
ALUCID
®
Anonymous Liberal User Centric IDentity původní patentovaná technologie pro řízení přístupu k elektronickým zdrojům
PEIG
®
Personal Electronic Identity Gadget elektronická identita v rukou uživatele
www.alucid.eu
JEDnoDUChost bEzPEčnost
Obsah
DSM
o b s a h Speciální příloha časopisu DSM: Nové občanské průkazy Články na stranách přílohy prošly odbornou oponenturou redakční rady DSM.
ID karty a biometrie
Jakub Balada
Článek se zabývá možnostmi využití biometrie v elektronických občanských průkazech. Popisuje jednotlivé typy biometrické identifikace s příklady jejich nasazení. Současně mapuje vydávání elektronických občanských průkazů v evropských zemích s detailnějším popisem standardu European Citizen Card.
Specifikace eID karet
Občanské průkazy jinak?
Jiří Dohnal
Poslanecká sněmovna PČR zpracovala v rámci procesu zavádění základních registrů i změnu zákona o občanských průkazech. Návrh neobsahuje technologii bezkontaktních čipů, jak jsou použity u cestovních dokladů, ale kontaktní a především tzv. 2D čárový kód. Článek polemizuje s vhodností tohoto návrhu.
Bezvýznamový identifikátor – nástroj Veľkého Brata?
9
strana
14
strana
16
Michal Ševčík
V článku je priblížená problematika tvorby a zavedenia univerzálneho bezvýznamového identifikátora pre fyzické osoby. V prvej časti sú zadefinované základné pojmy a vlastnosti, ktoré by mal takýto identifikátor spĺňať. Druhá časť sa potom venuje konkrétnym modelom pre univerzálne identifikátory, ktoré boli aplikované alebo sú pripravované v niektorých krajinách Európy.
Libor Neumann
Článek analyzuje na systémové úrovni bezpečnostní parametry elektronické autentizace, která je novu funkčností připravovaného občanského průkazu z pohledu bezpečnosti občana, veřejné správy a pohledu ochrany soukromí.
Občanské průkazy a moderní technologie
strana
Niels Nørup Pedersen, Ľudmila Hostová, Petr Čoban
Článek uvádí stručný přehled dosavadního vývoje a hlavním principům strategie eGovernmentu v Dánsku. Popisuje dánskou cestu při přípravě a propagaci digitálních podpisů pro komunikaci občanů a podnikatelských subjektů vůči orgánům veřejné správy. Dánské veřejné digitální certifikáty (tzv. OCES) jsou založené na PKI a vydává je soukromá společnost, nicméně veškeré výdaje pro občany jsou hrazeny ze státního rozpočtu. Připravované nové certifikáty OCES II by od konce letošního roku měly navíc nabídnout společné řešení pro veřejný a soukromý sektor. Článek vyvozuje některé závěry a doporučení pro Českou republiku.
Bezpečnost elektronické autentizace
6
Marek Kumpošt
V článku jsou popsány specifikace pro elektronické občanské průkazy (eID cards), které by v budoucnu měly být jednotným a celoevropsky uznávaným identifikačním dokladem. Dále je vysvětlen koncept elektronického občanského průkazu – jaké informace budou na kartě uloženy, jakým způsobem budou chráněny a jak bude možné udržovat kontrolu nad tím, kdo má k informacím přístup. Čtenáři budou rovněž seznámeni s nejrelevantnějšími hrozbami spolu s návrhy na jejich eliminaci. Popis je zaměřen především na otázky ochrany soukromí držitelů průkazu a technickou stránku tohoto projektu.
Digitální podpisy v Dánsku
strana
Karel Neuwirt
Článek komentuje legislativní přípravu k používání nových občanských průkazů na bázi čipové technologie, zejména s ohledem na současné technické možnosti. Autor vyslovuje některé obavy plynoucí z nedokonalého legislativního rámce a možné důsledky pro používání moderních technologií pro identifikaci občanů v ČR.
strana
20
strana
24
strana
28
Příloha DSM 2009
3
Redakce DSM děkuje za spolupráci partnerům této přílohy a dlouhodobým obchodním partnerům:
Síla informací spojená k výkonu
Aplikace a řešení pro veřejnou a státní správu
» PODPORA ADMIN . PROCESŮ » NÁRODNÍ REGISTRY A EVIDENCE » SPRÁVA A ŘÍZENÍ DOKUMENTŮ Důvěryhodný elektronický archiv Digitalizace Portály a integrační platforma Spisová služba E-Spis (včetně Datových schránek) Workflow systémy
Konzultační a analytické služby Systémová integrace Bezpečnost Infrastruktura www.i.cz |
[email protected]
4
Příloha DSM 2009
Nové občanské průkazy – Příloha časopisu DSM Vydává TATE International, s.r.o. Adresa redakce: DSM – data security management, TATE International, s.r.o., Hořejší nábřeží 21, 150 00 Praha 5, tel.: 257 920 319-20, fax: 257 313 695 e-mail:
[email protected], web: www.dsm.tate.cz Registrováno MK ČR E 7803, ISSN 1211-8737. Podávání novinových zásilek povoleno Českou poštou, s.p., ŘPP Praha, č.j. 6295/97 ze dne 24. 9. 1997. Všechna práva vyhrazena. Žádná část časopisu DSM® nesmí být reprodukována, zařazena do rešeršního systému nebo šířena jakýmkoliv způsobem, včetně elektronického, mechanického, fotografického či jiného záznamu bez předchozího písemného svolení vydavatele. Vydavatel nenese žádnou odpovědnost za případné škody vzniklé použitím produktů, metod nebo myšlenek popisovaných v časopise DSM®. © Copyright TATE International, s.r.o. Tato příloha vyšla v roce 2009.
Úvodník
DSM
Racionální pohled na eOP
Zpočátku váhavě, ale dnes výrazně razantněji přechází Evropa na elektronické občanské průkazy (eOP). My se máme nové podoby občanek dočkat příštího roku v červenci; tedy pokud vše proběhne tak, jak by mělo. Novela zákona o občanských průkazech je součástí doprovodného zákona k zákonu o základních registrech. Do textu návrhu zákona předloženého jako sněmovní tisk 714/0 se v době psaní tohoto textu zapracovávaly pozměňovací návrhy přijaté ve 3. čtení. Až návrh dorazí do senátu, lze od senátorů očekávat návrhy dalších úprav. Již obsahová stránka eOP se stala předmětem parlamentního boje. Parlament schválil průkazy, které by měly obsahovat jméno, příjmení, pohlaví, státní občanství, datum, místo a okres narození, rodné číslo, bydliště, rodinný stav, fotografii a podpis držitele, číslo průkazu, dobu platnosti, datum vydání a označení úřadu, který průkaz vydal. Praktickým problémem je uvádění údajů, při jejichž změně je třeba průkazky vyměňovat (tj. rodinný stav a trvalé bydliště) a které jsou přitom vedeny i v registrech veřejné zprávy. Na druhé straně se ne každý ověřovatel k těmto registrům dostane. Zatímco informace o občanech by měly být na průkazech v rozsahu nezbytně nutném, nabídka služeb na bázi těchto informací by měla být v rozsahu nejvýše možném. Pokud totiž nebudou nové
služby, půjde o starou občanku v novém balení. Jsou ale již vytvořeny technické předpoklady či infrastruktura pro zabezpečování těchto služeb? Předpokládají se rovněž dvě varianty průkazů: ta lacinější má používat tzv. 2D-kódy (dvojdimenzionální). Původně byly vyvinuty pro průmyslové aplikace, kde byl požadavek uložit velké množství dat na malém prostoru, v současnosti je k dispozici cca 20 různých 2-D symbolik. Dražší varianta (správní poplatek má činit 500 Kč navíc) má v sobě obsahovat elektronický kontaktní čip. Jde o aktivní prvek, který může spolu s chráněným soukromým klíčem obsahovat přidělený certifikát. Otázkou je, proč musí být čip kontaktní. Česká veřejnost samotné čipy jen vítá, petice proti čipové totalitě u nás patří spíše do oblasti kuriozit. Doklady prokazující naši identitu používáme celý život, ať již jde o rodný list či pas či sekundární doklady jako je řidičský průkaz či platební karta. Žádný z nich však nevyvolal takovou polemiku jako nové občanky. Například Úřad pro ochranu osobních údajů se spolu s Ministerstvem vnitra ČR pustily do boje proti umístění rodných čísel na kartu. Řešením se jeví použít místo něj bezvýznamový identifikátor fyzických osob (BIFO), který kromě své identifikační informace nenese žádnou další informaci o určeném objektu.
BIFO může zahrnovat nejen numerické, ale i abecední znaky: není problém zabezpečit jednoznačnou transformaci z rodného čísla na BIFO a pro sekundární použití generovat nezávislé deriváty či rozdělit BIFO na národní a EU část. Že si zde kryptologové přijdou na své, je nabíledni. Doufám, že se vyhneme kontroverzím, které v USA vyvolal REAL ID Act – 19 států okamžitě přijalo rezoluci či zákon odmítající jeho zamýšlenou podobu a plánovaný termín zavedení projektu musel být posunut z roku 2008 na rok 2017. Pokud se ale na celou záležitost podíváme racionálně, nebylo by od věci poskytnout v době krize zakázku alespoň pro pár v Čechách působících firem; nejde přitom jen o výrobce karet, čipů či softwaru, ale například i komponent sítí, k jejichž výrazně větší zátěži by měly autentizační procesy přispět. Největší příležitost ale vidím pro výrobce aplikací, bez nichž je občanka s čipem zbytečnou investicí. Doufejme také, že se doba používání nového občanského průkazu přiblíží známé červené knížečce, vydávané od roku 1953 a platné do roku 2005, tedy neuvěřitelných 52 let. Zavádění elektronických pasů jsme v DSM věnovali řadu článků – oblasti bezpečnosti eOP jsme se dosud nevěnovali; snad touto přílohou svůj dluh splníme.
Příloha DSM 2009
5
Nové občanské průkazy
ID karty a biometrie Evropské státy plošně zavádějí ID karty, které zpravidla obsahují biometrické údaje žadatele a poslední dobou stále častěji čip s těmito údaji uloženými v elektronické podobě. Jaké jsou možnosti těchto technologií a jsou obavy ohledně zabezpečení či zneužitelnosti dat namístě? Elektronické občanské průkazy (ID karty) zvolna, ale vytrvale zaplavují Evropu a o jejich nasazení se již delší dobu uvažuje i u nás. Představa elektronických voleb nebo například značné zpříjemnění práce se systémy e-Governmentu typu Czech Point jsou velkými lákadly pro obohacení občanských průkazů o čip, kterým začaly být vybavovány cestovní pasy již před léty. Elektronické občanské průkazy napomohou zvýšení bezpečnosti. Padělatel současných dokladů si musí poradit s papírovou (často zalaminovanou) nebo plastickou kartou, fotografií, atd. U PKI čipových karet je jeho situace nesrovnatelně obtížnější. V případě zcizení ID karty nebude stačit pouze kamufláž, ale navíc musí mít znalost PINu, případně znát biometrické prvky okradeného.
Uplatnění biometrických prvků Nejprve je dobré se zamyslet nad tím, co se od nastávajících ID karet očekává. Jejich hlavní úlohou je bezesporu identifikace vlastníka, čili prokázání jeho totožnosti. A zde je první místo pro využití biometrie, spolehlivé porovnání údajů na čipu ID karty s reálnými daty kontrolované osoby. S ohledem na použitelnost a dostatečnou spolehlivost se v současné době jeví jako nejpraktičtěj-
6
Příloha DSM 2009
ší tvar a charakteristické body obličeje a dále otisky prstů. Kromě identifikace držitele přinášejí ID karty oproti stávajícím občanským průkazům i další možnosti využití. Již byly zmíněny elektronické volby nebo obecně komunikace občana se státem, kdy lze využít kryptografická data uložená na čipu, pomocí kterých se vlastník autentizuje vůči informačním systémům státní správy. Naopak držitel může být vůči kartě autentizován tak, že se porovná například otisk prstu sejmutý na čtečce s údaji uloženými na čipu.
ID karty v Evropě Některé evropské státy již ID karty zavedly. Například Itálie začala vydávat ID karty již v roce 2001, masové nasazení přišlo o rok později. Dále následovalo Estonsko (2002), Finsko (2003), Švédsko (2005) a další země. Estonsko se v roce 2005 stalo první zemí, která umožnila svým občanům volit pomocí Internetu v komunálních volbách s celostátním rozsahem.
Itálie, Španělsko a Německo) dohodly na společném postupu při zavádění ID karet, v rámci kterého začal vznikat standard ECC – European Citizen Card [1].
European Citizen Card standard Tento standard, vycházející z ISO 24727, obsahuje jednak specifikaci čipové karty včetně základní sady příkazů a datových struktur a současně specifikaci middleware, který zabezpečuje kompatibilitu jednotlivých implementací. Zde jsou některé vlastnosti ID karet podle ECC standardu:
V roce 2005 se v ID kartách poprvé částečně objevila biometrie. Například v Belgii se na čip ukládal obraz obličeje, ale zatím nebyl využit pro identifikaci.
formát podle ISO 7810 (velikost bankovní karty); povinné pouze kontaktní rozhraní, bezkontaktní je volitelné; možnost USB rozhraní vyhovující ISO 7816-12; povinná implementace elektronického podpisu; podporovány jak Java karty, tak karty souborově orientované; volitelná biometrie v rámci ICAO standardu; podpora Match-on-card (přímá biometrická identifikace, viz dále) podle ISO SC37.
V témže roce se také některé velké evropské státy (Francie, Velká Británie,
Middleware skrývá specifické detaily a technologii jednotlivých implementací
Nové občanské průkazy
DSM
před externím světem. Obsahuje otevřené rozhraní (API) právě pro ty aplikace, které s ID kartou pracují a rozhraní pro kartu samotnou. S využitím biometrie si ECC standard poradil jednoduše – volitelně doporučuje implementovat aplikaci dle standardu ICAO 9303 [2], známého z cestovních pasů. Na první pohled se může tento krok jevit podivně, ovšem není tomu tak – biometrické prvky plní u pasů stejnou identifikační roli jako u ID karet. Navíc je tento systém již úspěšně nasazen a praxí otestován. Jak známo, v ČR se biometrické pasy, tzv. ePasy, vydávají od září 2006 a letos v dubnu se systém na jejich vydávání rozšířil o aplikaci pro snímání otisků prstů. Český cestovní pas je zabezpečen proti zneužití, kopírování a falšování nejmodernější technologií EAC (Extended Access Control), která je do budoucna závazná pro většinu zemí Evropy. Na obr. 1 je znázorněn příklad souborové struktury ID karty podle standardu ECC. Vidět zde můžeme aplikaci standardu ICAO 9303 s potřebnými datovými soubory pro uložení biometrických údajů a práci s nimi. Dále se zde nachází eID aplikace pro uložení jednotlivých údajů o vlastníkovi ID karty. Mezi ně patří všechny údaje, které se nyní nalézají na stávajícím občanském průkazu; tyto se ukládají do souborů EF.1 až EF.15. Následuje aplikace pro elektronický podpis, obsahující potřebné privátní klíče a certifikáty a případně další aplikace. Se zaváděním ID karet podle standardu ECC jsou momentálně nejdále ve Špa-
Obr. 1: Příklad souborové struktury ID karty podle ECC.
nělsku, kde zvolili duální karty. V Německu se zatím vydávání těchto karet plánuje. Pro zajímavost stojí za zmínku okolnost, že Španělsko, Německo, Francie i Velká Británie zvolily aplikaci dle standardu ICAO 9303 jako povinnou část svých ID karet.
Nepřímá biometrická identifikace Standard ICAO 9303 používá tzv. nepřímou biometrickou identifikaci, při které probíhá verifikace v externí aplikaci a je tedy potřeba za tímto účelem překopírovat datové objekty s biometrickými údaji mimo čip. To přináší řadu problémů, hlavně hrozbu ilegální duplikace či odcizení datové struktury s biometrickými údaji.
že veřejná část klíče je součástí datové struktury uložené v čipu a je elektronicky podepsána vydavatelem dokladu. 2. Autentizaci terminálu vůči čipu protokolem Terminal Authentication. Princip spočívá v tom, že jen terminály vybavené certifikátem odpovídajícího veřejného klíče mají přístup k biometrickým datům v dokladu.
Přímá biometrická identifikace
Pro evropské země byla hrozba takovéhoto zcizení struktury s biometrickými prvky velkým problémem, a právě proto tyto přišly se standardem Extended Access Control (EAC [3]), který doplňuje standard ICAO 9303. Standard EAC řeší:
V rámci ID karet lze rovněž použít přímou biometrickou identifikaci. V tomto případě jsou biometrické údaje uloženy v čipu způsobem, který znemožňuje jejich export a mohou být použity pouze interně, tj. operacemi samotného čipu. Princip je podobný jako u privátních klíčů uložených na čipu – také bez možnosti exportu. Čip poté dokáže porovnat uložené údaje se vzorkem zaslaným z čtečky a pouze vrací výsledek této verifikace.
1. Autentizaci čipu vůči terminálu (čtečce) protokolem Terminal Authentication, který je postaven na bázi Diffieho-Hellmanova algoritmu s tím,
Tento systém je použit například ve španělských ID kartách díky systému Siemens Smart Matcher (obr. 2), který je jedním z příkladů přímé biometrické
Příloha DSM 2009
7
Nové občanské průkazy
triviální. Potom by byla znemožněna základní identifikace na základě vlastnictví řidičského průkazu a policisté by se při kontrole neobešli bez čtečky.
Závěr Zavedení ID karet v České republice je pouze otázkou času, potřebné úpravy právních předpisů procházejí schvalovacím procesem v rámci úprav zákonů o základních registrech. Výhody karet jsou nesporné, přitom článek je věnován jen těm nejvýznamnějším. Obr. 2: Siemens Smart Matcher.
identifikace. Nahrazuje funkci PUKu, tzn. je využit po zablokování karty, způsobeném opakovaným špatným zadáváním PINu. Poté může vlastník ID karty odblokovat čip a nastavit novou hodnotu PINu po úspěšném ověření otisku prstu. Do budoucna se počítá s využitím tohoto systému i k přihlášení na kartu.
Další možnosti využití ID karty Kromě identifikace vlastníka se nabízí využití ID karty při autentizaci do různých systémů, ať už e-Governmentu (Czech Point, elektronické datové schránky, portály státní a veřejné správy), či soukromé sféry. Vše záleží na tom, co dovolí zákon. Usnadnila by se například i kontrola věku u automatů P o u ž i t á [ 1 ] [ 2 ] [ 3 ]
8
na alkohol či tabák, případně u hracích automatů. Zaznívaly také názory na sloučení ID karty s řidičským průkazem, případně ještě navíc s kartou zdravotního pojištěnce. Vidina jediné čipové karty pro všechny účely je sice lákavá, ale je třeba včas promyslet takovéto řešení do detailu. Po technické stránce by toto pravděpodobně nebylo problémem, například zmíněný standard ECC obsahuje také sadu různých aplikací. Ovšem je nutné vzít v úvahu různé životní cykly daných typů karet a případné odvolávání platnosti některých údajů. Pokud by například měl být občanovi odebrán řidičský průkaz na půl roku, pak zrušení (případné zablokování) aplikace na kartě nepředstavuje velký problém, ovšem zrušení údajů vytištěných na kartě již nebude
Využití biometrie je otázkou k diskuzi, jak je ale vidět na příkladech z Evropy, novější implementace s ní již počítají jako se standardem. Stejně jako si díky větší ochraně proti zneužití našla místo na cestovních pasech, najde si v budoucnu jistě místo i na ID kartách. Jakub Balada
[email protected]
Mgr. Jakub Balada Autor je absolventem MFF Univerzity Karlovy a PhD studentem VŠE. Ve společnosti Siemens IT Solutions and Services patří do skupiny IT bezpečnosti, kde se v současné době věnuje oblastem správy identit a přístupových oprávnění a PKI čipových karet.
l i t e r a t u r a
CEN: TC 224/WG 15 – European Citizen Card. Part 1-4, Technical Specification. ICAO, Machine Readable Travel Documents – Part 1: Machine Readable Passport. Specifications for electronically enabled passports with biometric identification capabilities, ICAO Doc 9303, 2006. Advanced Security Mechanisms for Machine Readable Travel Documents – Extended Access Control. TR-03110, Germany Fed. Office for Information Security, 2007.
Příloha DSM 2009
Nové občanské průkazy
DSM
Specifikace eID karet Partnerství veřejného a soukromého sektoru Ochrana osobních dat ve specifikaci EU projektu elektronických identifikátorů. Budou naše osobní data lépe chráněna než doposud? Co nového nám přinese elektronický identifikační doklad?
Každý v praxi používaný identifikační doklad obsahuje osobní informace o svém držiteli. Při používání identifikačního dokladu hrozí reálné riziko úniku a následně i možné zneužití získaných informací. Zejména v posledních letech se setkáváme s tím, že lidé si daleko pečlivěji hlídají, komu a za jakým účelem poskytují své osobní informace. Důvody pro toto uvažování jsou různé – počínaje zasíláním nežádoucí reklamy až např. po uvědomění si možného rizika a materiální ztráty při zneužití osobních informací. Spolu s tímto uvažováním lze také častěji narazit na případy, kdy lidé používají tzv. princip minimalizace dat. To znamená, že pokud je potřeba poskytnout určité soukromé informace, učiní tak pouze v minimálním požadovaném rozsahu. Můžeme si to představit např. jako formu webového formuláře, prostřednictvím kterého se registrujeme jako zákazník obchodu. Formulář požaduje vyplnění jména a kontaktní informace, např. telefonní číslo a elektronickou adresu. Tyto údaje jsou nezbytné pro úspěšné dokončení registračního procesu. Dále jsou zde ale volitelná pole typu adresa pro dodání zboží, fakturační adresa a podobné. Pokud aplikujeme princip minimalizace dat, znamená to, že poskytneme pouze nezbytně potřebné údaje a nic víc. Není těžké představit si situaci, že zákazník nako-
nec změní rozhodnutí a přes předchozí registraci si nevybere žádné zboží. Na jeho adresu pak může obchodník začít pravidelně zasílat aktuální nabídky obchodu nebo jiné propagační materiály. Pro členské státy Evropské unie platí direktiva pro zpracování osobních dat (Directive 95/46/EC, 1995). V krátkosti řečeno, cílem této direktivy je poskytnutí prostředí, ve kterém je osoba schopná kontrolovat jak shromažďování, tak zpracování svých osobních dat – dat s přímou vazbou na svoji osobu. Direktiva mimo jiné obsahuje následující body: sběr dat musí být svázán s konkrétním, explicitním a legitimním záměrem; sběr dat musí být odpovídající, relevantní a přiměřený ve vztahu se záměrem; sběr dat musí být přesný a pokud je to nutné, časově aktuální; subjekt, od kterého jsou data získána, musí jasně souhlasit se zpracováním dat; další zpracování dat nad rámec určeného záměru není dovoleno. Pokud si uvědomíme, kolik dat o sobě dáváme (mnohdy nevědomky) něko-
mu k dispozici, je téměř nemožné jakkoliv efektivně kontrolovat jejich sběr a zpracování. Jako příklad můžeme uvést mobilní telefony. Nosíme je po většinu dne u sebe a pokud nevlastníme „anonymní“ předplacenou kartu, zná operátor naše jméno... Pro operátora není těžké polohu telefonu určit a přitom uživatel o takovém sledování ani nemusí být informován. Pokud by operátor cíleně zjišťoval a uchovával geografickou polohu konkrétního mobilního telefonu, tak se na toto zpracování dat již bude vztahovat výše zmíněná direktiva EU. Výjimku zde bude zřejmě znamenat např. nařízené policejní sledování. Prostředí, ve kterém existuje jednotný systém identifikátorů osob, na jednu stranu výrazně usnadňuje veškeré administrativní procesy jak z pohledu vlády, tak z pohledu občanů; na druhou stranu je ale nezbytně nutné, aby v něm existoval kvalitní subsystém pro řízení použití identifikátorů. Jednotné identifikátory totiž také usnadňují vzájemné propojení různých profilů, což může v důsledku představovat reálnou hrozbu narušení soukromí osob. Ani výše prostředků vynaložených na zabezpečení systému identifikátorů před hrozbami nemusí občany přesvědčit o tom, že k narušení jejich soukromí nemůže dojít.
Příloha DSM 2009
9
Nové občanské průkazy
Do kontextu předchozích informací dejme nyní návrh specifikace celoevropského identifikačního dokladu, který bude obsahovat osobní informace uložené v čipu (podobně, jak tomu je např. u cestovních pasů s biometrickými daty) a některé z nich budou i v tištěné podobě přímo na dokladu (typicky jméno držitele dokladu). Ve zbývající části článku si představíme koncept navrhovaného identifikačního dokladu, poukážeme na možná bezpečnostní rizika spolu s návrhy, jak jim předcházet. Naším hlavním zájmem s ohledem na možná rizika je právě oblast ochrany soukromí a osobních informací. Pokusíme se také alespoň stručně přiblížit postoj jednotlivých členských států, které uvažují o implementaci elektronického identifikačního průkazu. Následující text vychází částečně z dokumentů ENISA (European Network and Information Security Agency) [4,8].
Projekt evropského elektronického identifikačního průkazu – eID cards Cílem evropského projektu elektronického identifikačního průkazu (eID cards)1 je vytvoření prostředí s jediným identifikátorem pro každého občana některého z členských států EU. Účelem tohoto textu je přiblížit čtenáři nejzajímavější témata projektu a poskytnout více či méně ucelený přehled specifikací, hrozeb a navrhovaných protiopatření. Státy, které v současné době uvažují o implementaci eID karet a které se podílejí na specifikaci jsou Rakousko, Belgie, Estonsko, Finsko, Německo, Francie, Maďarsko, Lotyšsko, Lucembursko, Malta, Itálie, Holandsko, Polsko, Rumunsko, Portugalsko, Slovensko, Slo1
http://www.project-eid.org/
10
Příloha DSM 2009
vinsko, Španělsko, Švédsko, Velká Británie, Lichtenštejnsko a Island. Bulharsko, Kypr, Česká republika, Dánsko, Řecko, Irsko, Litva a Norsko se zatím na pracech vedoucích k technické specifikaci projektu eID karet nepodílejí. Zásadní technickou oblastí pro projekt eID karet je implementace prvků pro ochranu soukromí lidí. Prvkem pro ochranu soukromí obecně rozumíme mechanizmus, který z pohledu držitele eID zvyšuje kontrolu nad tím, jaká data a komu byla poskytnuta. Tato formulace zahrnuje např. prozrazení dat útočníkovi nebo dostupnost dat pro toho, kdo má ke kartě jakýkoliv přístup (např. vlastník kartu ztratí nebo mu je zcizena). Dále zde můžeme zahrnout např. identifikaci vlastníka karty provedenou pomocí metody postupného propojování akcí, které jsou spojené s používáním eID. V případě projektu eID karet byly prvky pro ochranu soukromí vyvinuty, testovány a implementovány na úrovni států, které se do projektu zapojily. Výsledkem takového postupu je ale neexistence jednotné strategie na úrovni EU s ohledem na to, jaké (a jak) bezpečnostní prvky pro ochranu soukromí implementovat. Důsledkem tohoto stavu mohou pro budoucnost být určitá omezení při přenosu (a používání) eID karet mezi jednotlivými státy. Prvky na ochranu soukromí aplikované v jednom státě EU nemusí splňovat požadavky jiného státu EU. Jednotnost prvků pro ochranu soukromí je proto důležitým technickým aspektem a také přispěje k vytvoření důvěry uživatelů eID karet. Uživatelé mohou být velmi citliví na skutečnost, že některý ze států využívající eID
karty vystaví data většímu riziku než tomu je v ostatních zemích.
Specifikace eID karty V této části se blíže podíváme na navrhovanou specifikaci eID karet. Data uložená na kartě budou podle specifikací rozdělena do třech základních kategorií. Rozlišujeme primární data – osobní informace o držiteli karty, identifikátory (UID), adresa trvalého pobytu. Ve specifikacích se počítá i s fotografií držitele karty, případně otiskem jeho prstu. Doplňková data mohou obsahovat data specifická pro různé aplikace na kartě. Poslední kategorií jsou pak řekněme „servisní“ data typu čítač chybných pokusů o zadání PINu, časové známky apod. Specifikace různých států EU se liší v tom, která data by měla být modifikovatelná a která nikoliv. Například Holandsko [2] nedovoluje modifikaci ani jedné kategorie dat, zatímco třeba Rakousko [1] povoluje změny ve všech popisovaných kategoriích. Specifikace např. obsahují i možnost obnovy soukromých klíčů na kartě pomocí počítače připojeného na Internet. Specifikace dále upřesňují způsob, jakým by mohlo být řešeno ukládání a přenos citlivých dat z eID karty. Zde není primárním cílem návrh zabezpečení dat na úrovni šifrování, ale přenos dat takovým způsobem, aby bylo minimalizováno riziko spojování informací dohromady s cílem získat citlivá data o konkrétní osobě (anglicky označováno jako linkability). Navržený způsob přenosu dat je za pomoci pseudonymů, a to vždy po trojicích pseudonymatribut-hodnota (např. mm123 jméno Marek). Specifikace stanovují, že takováto data považujeme za osobní pouze v případě, že použitý pseudonym
Nové občanské průkazy
je spojitelný s dalšími výskyty použití tohoto pseudonymu a že hodnota atributu je dále jednoznačně spojitelná s konkrétní osobou. Například trojice (mm123 poloha 49,23456, 16,56789) není považována za osobní data do doby, než máme k dispozici např. trojici (mm123 rodné číslo 123456/7890). Určitá míra spojitelnosti pseudonymů může být vyžadována v aplikacích, kde je identita držitele karty průběžně ověřována, nicméně špatně navržený systém pro správu pseudonymů může ve svém důsledku vést k nekontrolovatelnému úniku citlivých informací. Další oblastí specifikací eID karet je řízení přístupu k datům uloženým na čipu. Jedním ze základních požadavků na ochranu soukromí je možnost do značné míry kontrolovat komu, kdy a za jakým účelem poskytujeme svá osobní data. V případě použití eID karty ale člověk nemusí vždy vidět, jaká data úředník za přepážkou z karty získal a zda to jsou pouze ty informace, které mu chtěl či měl poskytnout. Pro potřeby řízení přístupu k datům na kartě jsou ve specifikaci navrženy celkem tři přístupy. První spočívá v prostém zadání PINu, který při úspěšném ověření poskytne přístup k povoleným informacím/souborům (např. přístup k soukromému klíči pro vytvoření digitálního podpisu). Druhým způsobem řízení přístupu k datům na kartě je prokázání znalosti příslušného symetrického klíče. Tento klíč musí čtečka sama nebo počítač, ke kterému je tato připojena, znát. Klíč se pak typicky vygeneruje na základě sériového čísla karty (podobně, jako tomu je v současnosti např. u cestovních pasů s biometrickými údaji). Posledním navrženým způsobem je využití asymetrické kryptografie, kdy server prokazuje znalost
privátního klíče a karta ověřuje pomocí certifikátu příslušného veřejného klíče. Ze všech navržených principů převládá ve specifikacích první varianta, tedy zadávání přístupového PINu. Výše popsané principy přístupu k datům byly na úrovni „jak“ zajistit přístup k datům. Specifikace přirozeně rozlišují i situace „kdo“ má k datům přístup. Na této úrovni je přístup k datům rozdělen do několika kategorií. Skim – Každý má možnost danou informaci získat na vzdálenost několika metrů. Útočníkovi stačí např. projít kolem osoby, která má v kapse eID kartu a pomocí svého čtecího zařízení získá otevřenou podobu dané informace. Žádná z uvažovaných specifikací s touto možností přístupu k datům nepočítá. User – K informacím má přístup držitel karty po zadání správného PINu. Gov – K informacím má přístup vláda, případně další subjekty, které znají příslušný tajný klíč. Any – Kdokoliv, kdo má kartu v přímém držení, má možnost danou informaci získat (např. číslo karty, UID občana, jméno). Již jsme se zmínili o kategorii dat na kartě, které využívají různé aplikace. Specifikace eID karet počítají v současné době se třemi „aplikacemi“, které budou na kartě dostupné. První aplikace bude pro potřeby využití eID karty jako cestovního dokladu. Karta bude obsahovat aplikaci podle specifikace ICAO/MRTD (International Civil Aviation Organization/Machine Readable Travel Documents) [7]. Dále
DSM
bude karta obsahovat aplikaci pro tvorbu elektronických podpisů a podepisování dokumentů. Procedura podepsání dokumentu bude taková, že uživatel po zadání PINu získá podepsaný dokument a privátní/podpisový klíč nebude nikdy možné z karty získat. Poslední aplikací, kterou bude karta obsahovat, je aplikace pro autentizaci (prostřednictvím sítě Internet) ke službám eBusiness a eGovernment. Při výčtu možných hrozeb použití eID karet bude v další části textu zmíněna možnost odposlouchávání komunikace mezi kartou a čtečkou. Úspěšnost útoku zde do značné míry závisí na zvoleném rozhraní (interface), které bude pro komunikaci karta-čtečka využito. Dle specifikací se uvažuje buď o bezkontaktních kartách (Německo, Holandsko) nebo o kontaktních kartách (Rakousko, Belgie, Estonsko, Finsko, Itálie, Portugalsko). Specifikace Velké Británie a Švédska obsahuje jak bezkontaktní, tak kontaktní technologii.
Hrozby a protiopatření s ohledem na soukromí uživatelů Hlavní ochraňovanou hodnotou eID karet jsou osobní údaje o držiteli a obecně anonymita lidí. Narušením nebo únikem těchto informací může dojít k ohrožení člověka např. na hmotném majetku, finančních prostředcích nebo i dobré pověsti. V následující části si představíme seznam hrozeb, které je potřeba při návrhu specifikací eID karet zvažovat. V důsledku zranitelností v systému eID karet mohou nastat některé z následujících hrozeb; jako hrozbu vnímáme
Příloha DSM 2009
11
Nové občanské průkazy
situaci, která vede k narušení soukromí a citlivých informací o držitelích eID karet:
Různé kryptoanalytické útoky cílené přímo na kryptografické algoritmy použité pro šifrování dat na kartě.
Neautorizovaná změna dat na kartě v důsledku nedostatečné kontroly zápisových práv. Výsledkem může být úspěšná změna dat, která není při kontrole odhalena a karta včetně informací je považována za korektní.
Sledování geografické pozice je možné v případě, že útočník zná umístění čteček (případně je sám rozmístí) a dokáže detekovat, kdo a kdy danou čtečku použije.
Odposlouchávání komunikace (eavesdropping) je technicky realizovatelné zejména v případě použití bezkontaktní technologie [5]. V případě kontaktních karet je odposlouchávání potenciálně realizovatelné skrze nestíněné čtečky a datové linky. Útoky typu man-in-the-middle jsou podobné jako odposlouchávání, ale v tomto případě je útočník „vložen“ mezi kartu a server. Údaje z karty pak neputují přímo k serveru, ale jsou zasílány útočníkovi a teprve ten je předává dále, s možností jejich modifikace (totéž se děje opačným směrem). Ztráta nebo zcizení karty a z toho vyplývající dopad na skutečného držitele. Fyzický útok na čip v kartě a snaha o získání či modifikaci uložených dat. Typickým cílem takového útoku mohou být privátní klíče uložené v čipu karty, které se používají pro vytváření elektronických podpisů. Útoky postranními kanály (sidechannel attacks) využívají informace získané z tzv. postranních kanálů s cílem získat citlivá data uložená na kartě. Typickým postranním kanálem je např. průběh změn spotřeby elektrické energie čipu při vykonávání určité operace.
12
Příloha DSM 2009
Profilování držitele karty plynoucí z toho, jak uživatel kartu používá (typy autentizace, utracené peníze, navštívená místa a podobně). Předchozí výčet obsahuje nejzásadnější hrozby, které buď přímo či nepřímo ohrožují držitele karet (a jejich soukromí) nebo data uložená na kartě. V následujícím výčtu si představíme návrhy opatření pro minimalizaci uvedených hrozeb. Seznam protiopatření si neklade za cíl popsat relevantní technické a implementační aspekty. Spíše by měl posloužit jako výčet obecných konceptů, které přispějí ke zvýšení ochrany soukromí a citlivých informací uložených na eID kartách.
vyžadována i autentizace čtečky, v tomto případě čtečka prokazuje svojí důvěryhodnost jak vůči kartě, tak vůči jejímu majiteli. Schéma použitých identifikátorů respektuje požadavky na ochranu soukromí. Obecně lze rozlišit dva příklady použití identifikátorů – identifikátor občana a identifikátor jeho identifikační karty. Toto si můžeme snadno představit např. jako jeho rodné číslo a číslo klasického občanského průkazu. Číslo občanského průkazu (stejně tak i eID karty) se v případě, že je vydána karta nová, změní. Použití těchto identifikátorů musí být takové, aby se zabránilo možným negativním dopadům na soukromí občanů. Čím snadnější je spojitelnost (linkability) identifikátorů a transakcí, tím vyšší je hrozba narušení soukromí.
Šifrování dat na kartě pomocí tajného šifrovacího klíče. Data mohou být z karty přečtena libovolnou čtečkou, ale pro dešifrování je nutná znalost příslušného dešifrovacího klíče. Šifrování dat na kartě explicitně nevyžaduje žádná z aktuálně dostupných specifikací jednotlivých zemí, které se podílejí na návrhu eID karet.
Použití různých identifikátorů v různých aplikacích. Hlavní výhodou tohoto přístupu je zabránění spojování databází, které původně sloužily ke zcela rozdílným účelům. Použitím „aplikačně-specifických“ identifikátorů se vyhneme hrozbě profilování. Zde by mohlo najít využití řešení „privacy-enhanced PKI tokens“ implementované např. v produktu U-Prove [3,6]. Poskytované kryptografické nástroje umožní zabránit spojitelnosti odlišných identifikátorů (pseudonymů) jedné osoby u různých služeb i v případě, že tyto služby později začnou sdílet své databáze.
Řízení přístupu k datům na kartě. Data na kartě budou nešifrována, ale přístup k nim získá pouze ten, kdo se vůči kartě úspěšně autentizuje. Autentizace je typicky založena na znalosti PINu nebo důkazu znalosti privátního klíče. Může být
Poskytnutí pouze požadovaných informací pro stanovený účel. Jednoduchý princip, kdy v situaci, kdy je požadováno např. jméno a příjmení poskytneme tuto informaci a už nikoliv např. adresu trvalého bydliště.
Nové občanské průkazy
Verifikační režim poskytování informací z karty. Tzv. verifikační režim spočívá v tom, že při žádosti o informaci neposkytneme přímo požadovanou informaci, ale pouze odpověď typu ano/ne. Jednoduchým příkladem může být dotaz, zda je osoba starší 18 let. Karta podle data narození jejího držitele odpoví ano nebo ne, neposkytne ale žadateli celé datum narození. Implementace tohoto přístupu vyžaduje dotazovací schéma, které bude součástí karty. Vzhledem k aplikacím, ve kterých se eID karta bude používat a složitosti implementace tohoto schématu, zřejmě postačí schopnost karty poskytnout pouze požadovaná data a např. informaci, že držitel karty je starší 18 let. Také si lze představit (v případě implementace dotazovacího schématu) situaci, kdy sérií legitimních dotazů zjistíme přesnou hodnotu dotazovaného atributu. Šifrování komunikace mezi kartou, zprostředkovatelem a cílovým serverem. V okamžiku, kdy data opustí kartu, hrozí nebezpečí odposlouchávání jak na straně karta-zprostředkovatel, tak zprostředkovatel-cílový server. Z důvodu ochrany držitele karty je proto vhodné implementovat šifrování mezi jednotlivými body.
P o u ž i t á [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [7] [ 8 ]
Jako ideální je pak end-to-end šifrování mezi kartou a cílovým serverem. Tímto způsobem eliminujeme riziko kompromitovaného zprostředkovatele (např. počítače držitele karty). Šifrovaná komunikace je požadována ve všech specifikacích zemí, které se podílejí na návrhu eID karet. Použití dat získaných z biometrik namísto ukládání např. původního digitálního obrazu. Data získaná z biometriky (např. otisku prstu) jsou informací, která umožní provést srovnání a verifikaci s živým vzorkem, ale sama o sobě neposkytuje žádnou informaci o původním vzorku. Tento princip je vhodný zejména z toho důvodu, že se minimalizuje riziko zneužití biometrických dat získaných z karty (ve srovnání se situací, kdy by na kartě byl uložen například kompletní obrázek s otiskem prstu).
DSM
k těmto datům a možným rizikům. V dalších fázích projektu se dá očekávat snaha o sjednocení specifikací s cílem identifikovat nejvhodnější varianty pro budoucí realizaci celého projektu. Existence elektronického identifikačního dokladu s sebou jistě přináší řadu výhod z pohledu zjednodušení a zrychlení komunikace, ale na druhou stranu je potřeba zamyslet se a uvědomit si reálné hrozby a dopady na soukromí lidí. V článku jsou dále uvedeny hlavní hrozby z pohledu uživatelů elektronických identifikačních karet a rovněž je nastíněna řada protiopatření, které jsou navrhovány v dostupných specifikacích. Na článku úzce spolupracoval Vašek Matyáš,
[email protected]. Marek Kumpošt
[email protected]
Shrnutí
RNDr. Marek Kumpošt, Ph.D.
Cílem tohoto článku bylo rámcově seznámit čtenáře s existujícími specifikacemi EU projektu eID karet jakožto budoucího systému elektronických identifikačních průkazů. V článku jsou přiblíženy návrhy specifikací jak z pohledu dat, která budou na kartě uložena, tak zejména z pohledu přístupu
Vystudoval Fakultu informatiky Masarykovy univerzity, kde v současné době dále působí. Zabývá se obecně bezpečností v IT a mezi jeho hlavní oblasti zájmu patří otázky modelování chování uživatelů a ochrana soukromí.
l i t e r a t u r a
Austria: The Austrian eID Card „Burgerkarte“, http://www.buergerkarte.at/. The Netherlands, Parliamentary documents. TK 2005-2006 25763 No. 30, http://www.overheid.nl/op/. Credentica: U-Prove SDK, http://www.credentica.com/u-prove_sdk.html ENISA Position Paper: Privacy Features of European eID Card Specification, February 2009, http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_privacy_features_eID.pdf. GARCIA F. D., KONING GANS G., MUIJRERS R., ROSSUM P., VERDULT R., SCHREUR R. W., and JACOBS, B. 2008. Dismantling MIFARE Classic. In Proceedings of the 13th European Symposium on Research in Computer Security: Computer Security (Málaga, Spain, October 06–08, 2008). S. Jajodia and J. Lopez, Eds. Lecture Notes In Computer Science, vol. 5283. Springer-Verlag, Berlin, Heidelberg, 97–114. IBM Zurich: Idemix – Pseudonymity for E-Transactions, http://www.zurich.ibm.com/security/idemix. ICAO: Machine Readable Documents. Doc 9303 and Technical Reports, Machine Readable Travel Documents, http://mrtd.icao.int/. NAUMANN I. and HOGBEN G. Privacy Features of European eID Card Specifications. Elsevier Network Security Newsletter, August 2008, http://www.enisa.europa.eu/doc/pdf/publications/privacy_features_of_eid_cards.pdf.
Příloha DSM 2009
13
Nové občanské průkazy
Občanské průkazy jinak? Dočkáme se opravdu elektronických občanských průkazů nebo to počká až na naše vnuky? Naši zákonodárci navrhují zase jenom kartičku. V právě projednávaném zákoně1 o změnách jiných zákonů vyvolaných přijetím zákona o základních registrech je v části 73 navržena změna zákona o občanských průkazech. Problematika sice vyvolala diskusi, ale do návrhu zákona se připomínky podstatným způsobem nepromítly. I já se několika poznámkami připojuji k této polemice. Autoři návrhu uvádějí, že změna zákona o občanských průkazech je vyvolaná zavedením základních registrů. Podle mého soudu to není úplně pravda, základní registry by mohly fungovat i s identifikací obyvatel dle současných dokladů. Lze ale přivítat, že je využita příležitost ke kvalitativní změně i v oblasti identifikace občanů. Byla ovšem zvolena ta nejlepší cesta? Co navrhovaná změna obsahuje nejpodstatnějšího? Zavádí se nové typy občanských průkazů, a to: a) občanský průkaz se strojově čitelnými údaji a s kontaktním elektronickým čipem; b) občanský průkaz se strojově čitelnými údaji; c) občanský průkaz bez strojově čitelných údajů. První, co čtenáře návrhu zákona udiví, že se zavádí více typů téhož dokladu, což by v praxi mohlo znamenat komplikace. Ale není tomu tak, průkazy ad a) a b) totiž obsahují stejné údaje, dokonce stejným způsobem uložené. Průkaz ad a) 1
má pouze navíc úložiště dat na kontaktním čipu, jehož využití bude definovat až nový předpis. Asi nejtypičtějším využitím čipu bude uložení osobního certifikátu; tento typ dokladu ale bude vydáván za příplatek. Průkazy ad c) mají plnit úlohu dočasných dokladů, podobně jako stávající potvrzení o ztrátě průkazu. Pro uložení strojově čitelných údajů je navrhována strojově čitelná zóna, jakou známe ze stávajících průkazů. Pro záznam agendového identifikátoru a čísla občanského průkazu bude použit tzv. 2D kód (dvourozměrný čárový kód). Je to sice možné řešení, ale má několik nedostatků. Tato technologie je už poměrně zastaralá, na úřadech není běžně používaná a bude se proto pro ni muset vybudovat patřičná infrastruktura. Na pobočkách stejných úřadů je už ale zaváděna technologie bezkontaktních radiofrekvenčních čipů, a to pro cestovní doklady. Ta umožňuje, aby doklad obsahoval podepsaná data o podobě držitele a nyní i o jeho otisku prstu, přičemž tato biometrická data zaručují daleko vyšší míru zajištění bezpečné identifikace. Budeme tedy mít pro ověřování totožnosti dvě paralelní technologie – jednu starší a jednu modernější, i když dražší? Ze zneužití bezkontaktní technologie už dnes z pohledu ochrany osobních údajů obavu mít nemusíme. Existují mechanismy, které data na bezkontaktním čipu ochrání. Navíc zmíněný 2D kód lze dnes už poměrně úspěšně kopírovat či dekódovat. Dosti velká polemika proběhla i na téma, zda má být součástí občanského průkazu
Zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o základním registru obyvatel, zákona o základním registru osob, zákona o základním registru územní identifikace, adres a nemovitostí a zákona o základním registru práv a povinností.
14
Příloha DSM 2009
agendový identifikátor fyzické osoby (AIFO) nebo zdrojový identifikátor fyzické osoby (ZIFO), jako je tomu např. v Rakousku. Pokud čtenáři jsou pojmy ZIFO a AIFO známy, nechť klidně přeskočí na další odstavec. Zákon o základních registrech zavádí povinnost, aby každá agenda veřejné správy používala pro označení téhož jedince jiný identifikátor. Bude tak znemožněno prohlížení údajů o člověku v různých agendách na základě znalosti identifikátoru z jedné evidence. Technické řešení předpokládá, že každý obyvatel bude mít přiřazen jedinečný základní identifikátor fyzické osoby. Ten ale nebude veřejný, nebojím se říci, že bude velmi utajený. Spolu s kódem agendy se stane parametrem pro generování agendového identifikátoru fyzické osoby konkrétní agendy. Současně bude nutné, aby informační systém základních registrů uměl z AIFO jedné agendy zjistit AIFO téhož občana v jiné agendě. Tento algoritmus bude, jak stanoví zákon o základních registrech, přísně střežen. Zavedení AIFO bylo motivováno snahou přestat používat k identifikaci rodné číslo. Paradoxní je, že jeden z posledních pozměňovacích návrhů poslanců jej opět zavedl do seznamu údajů na občanském průkazu. Jsem opravdu velmi napjatý, jak tato kauza dopadne. Vždyť filosofie základních registrů předpokládá postupné ukončení používání rodných čísel. Návrh zákona o občanských průkazech předpokládá uložení AIFO na občanském průkazu. Nemyslím, že, jak je někdy oponenty uváděno, bude v tomto případě docházet k většímu počtu transakcí. Jsem přesvědčen, že z pohledu bezpečnosti informačních systémů veřejné
DSM
I nzerce
Nové občanské průkazy
Sunray_175x120.indd 1
správy naopak bude výhodnější, když na občanském průkazu nebude ZIFO, ale AIFO agendy občanských průkazů. Eventuelní dekódování tohoto AIFO neumožní další zneužití, pokud nebude prolomen algoritmus převodu AIFO mezi jednotlivými agendami informačního systému veřejné správy. Kromě technologických připomínek je dobré se zamyslet i nad praktickým použitím nových občanských průkazů. Zdá se, jakoby autoři návrhu zákona předpokládali, že občan se identifikuje pouze oproti veřejné správě. Tam by to mohlo fungovat (alespoň jak věřím) bezproblémově. Občan nabídne terminálu občanský průkaz, zadá bezpečnostní ochranný kód (BOK) a úředníkovi se zobrazí ze systému základních registrů veškeré potřebné údaje. Pokud bude mít agenda příslušné oprávnění, zobrazí se k občanovi i další údaje z návazných informačních systémů veřejné správy. Jak ale bude občan používat k identifikaci průkaz vůči soukromým subjektům? Budou
jméno, příjmení, datum a místo narození, podobenka a podpis stačit? Oproti stávající praxi chybí adresa. Typicky pošta používá k identifikaci příjemce zásilky jméno a adresu. Další oblasti jen letmo, banka potřebuje adresu pro zasílání dokumentů, dopravní podnik pro vymáhání pohledávek. Nezvýší se případy podvodů zneužití identity? A to už nemluvím o tom, že je zavedena nově tzv. „zasílací adresa“, která se však ani do základního registru obyvatel nevešla. Ale to je diskuse na jiné téma. Do úvah o praktickém používání elektronických občanských průkazů přidejme ještě jeden aspekt. Pokračující elektronizace nabízí i komunikaci s veřejnou správou bez osobní účasti občana. Typickým případem jsou datové schránky, ale je uznáváno i elektronické podání opatřené zaručeným elektronickým podpisem. Takové podání zpracovává úředník, a ten v tu chvíli nebude mít k dispozici AIFO z evidence občanských průkazů, které by terminál přečetl z elektronického občanského průkazu a které by informační systém základních registrů převedl na AIFO
30.7.2009 13:21:21
konkrétní agendy. Autoři programových úprav, vyvolaných systémem základních registrů, nesmí ani na tuto záludnost zapomenout a vyřešit ji. Systém elektronických občanských průkazů je připravován na řadu let. Nové průkazy nebudou vyměněny najednou, systém základních registrů bude stejně muset řešit i přechodné období, kdy budou vedle sebe existovat stávající a elektronické občanské průkazy. Proto se přimlouvám, aby zákon o elektronických občanských průkazech byl podroben širší analýze a pak teprve uveden do definitivní podoby. Jiří Dohnal
[email protected]
Ing. Jiří Dohnal Působil 25 let v PVT a.s. na různých odborných a řídících funkcích, v současné době je manažerem realizace odboru veřejná správa v ICZ, a.s.
Příloha DSM 2009
15
Nové občanské průkazy
Digitální podpisy v Dánsku Partnerství veřejného a soukromého sektoru Dánská vláda nabídne ještě letos svým občanům dárek, který snad nelze odmítnout: bezplatné certifikáty ke společnému digitálnímu podpisu pro soukromý a veřejný sektor založené na PKI. Po dlouholetém jednání s bankovními institucemi se dospělo ke kompromisnímu řešení, od kterého se očekává snadná obsluha, vysoká mobilita (certifikáty budou nově uloženy na centrálním serveru), zvýšení bezpečnosti přístupu k internetovému bankovnictví a celková stimulace poptávky po elektronických službách. Na rozdíl od jiných evropských zemí budou dánští občané místo komplikovaných čipových karet nosit v peněžence jednoduchou kartičku s kódy.
16
Zatímco země jako Rakousko, Estonsko, Finsko či Španělsko zavedly nebo mají v úmyslu zavést elektronický občanský průkaz (tzn. identifikační kartu s ochranným čipem nebo i bez něj), Dánsko zvolilo alternativní cestu. Oficiální občanský průkaz v této zemi neexistuje a v krátkodobém horizontu se ani o jeho implementaci neuvažuje. Dánská vláda nechala vypracovat odhad nákladů na zavedení čipových karet, který ukázal, že jejich výše (asi 13 milionů EUR) by vyžadovala příliš vysoké investice nejen ze strany veřejné správy, ale také ze strany samotných občanů a požadovaný efekt by se nejspíš nedostavil. Místo toho se rozhodla investovat do propagace veřejného a pro občany bezplatného softwarového řešení digitálních podpisů založených na PKI (public key infrastructure).
datových schránek a k dlouhodobému tlaku na modernizaci orgánů veřejné správy. Celý proces charakterizuje úzká součinnost centrální správy, regionální a místní samosprávy a partnerství se soukromým sektorem. S cílem lépe koordinovat jednotlivé iniciativy byla ustanovena instituce zvaná Digital Task Force, která sdružuje zástupce z různých resortů, místních i regionálních úřadů a zajišťuje spolupráci mezi zainteresovanými stranami při implementaci jednotlivých projektů.
Zároveň bylo jasné, že nestačí pouze nabídnout digitální podpisy, ale je důležité zajistit dostatečně širokou škálu služeb, pro které by mohly být použity. I proto například dochází k neustálému vývoji integrovaných portálů pro občany a firmy, k rozšiřování palety elektronických transakcí, k různým řešením
Koncept eDay
Příloha DSM 2009
Strategie eGovernmentu v Dánsku je založena na několika pilířích, které například zahrnují legislativní kroky (odbourávání překážek eGovernmentu), architekturu, vývoj občanských portálů, datové schránky, ERM systémy ve veřejných institucích apod.
Formálním závazkem, jak docílit efektivnější naplňování strategie eGovernmentu, bylo rozhodnutí dánské vlády stanovit konkrétní termín, do kterého určitý objem komunikace s veřejnou správou a navzájem mezi jednotlivými úřady musí
probíhat elektronickou cestou. Prvním termínem eDay bylo 1. září 2003; úřady byly vyzvány, aby napříště alespoň 75 % dokumentů a zpráv zasílaných mezi sebou uskutečňovaly elektronicky. Od této doby již mohl každý úřad požadovat odpověď z jiného úřadu ve formě emailové zprávy. Pravidlo se ovšem netýkalo dokumentů obsahujících citlivé soukromé údaje o občanech. Vzhledem k tomu, že se koncept osvědčil, byl o dva roky později na 1. února 2005 ohlášen eDay 2. Od tohoto data mají občané, firmy a úřady zaručené právo zasílat dokumenty vůči orgánům veřejné moci elektronickou cestou, a to i v případě citlivých dokumentů. Bezpečnost zajišťují digitální podpisy s certifikáty OCES, založených na PKI, které jsou pro občany vydávané zdarma. Právě těmto digitálním podpisům je věnován tento článek.
Digitální podpisy v Dánsku Zákonem z roku 2000 o digitálních podpisech Dánsko de facto transponovalo evropskou směrnici 1999/93/
Nové občanské průkazy
EC [11] o zásadách pro využívání digitálních podpisů. Dánský zákon ovšem upravuje pouze používání digitálních podpisů s kvalifikovanými certifikáty, při vydávání kterých je podle evropské směrnice nutná osobní přítomnost žadatele. Po přijetí zákona byl navíc počet služeb podporujících použití digitálního podpisu poměrně omezený, a tak po digitálních podpisech byla zpočátku mnohem nižší poptávka, než se původně očekávalo. Zároveň však autentizace prostřednictvím PIN kódů, kterou do té doby využívalo mnoho úřadů pro přístup k elektronickým službám, neposkytovala dostatečnou míru zabezpečení. V roce 2001 se proto dánská vláda v rámci slibu postupné modernizace veřejné správy rozhodla pro kompromisní, pragmatické řešení, které by bylo pro občany přístupnější. Nechala vypracovat pokyny pro vydávání tzv. certifikátů OCES (dánsky Offentlige Certifikater til Elektronisk Service, veřejné certifikáty pro elektronické služby založené na PKI a otevřených standardech). Jedná se o softwarové řešení, které lze stáhnout pomocí Internetu do osobního počítače (autentizace se provádí použitím softwaru Entrust TruePass), bez potřeby prokazovat svoji totožnost osobně. Podle zákona o digitálním podpisu se tudíž nejedná o „kvalifikované“ certifikáty, neboť ty pro ověřování identity fyzickou přítomnost jedince vyžadují. V roce 2002 byla vypsána veřejná zakázka v hodnotě 6,7 milionů EUR, kterou vyhrála společnost TDC (Tele-Danmark Communications), dánský telekomunikační gigant. Od roku 2003 začala
občanům, firmám a orgánům veřejné správy vydávat certifikáty OCES. Proces vydávání certifikátu zahrnuje dva kroky: nejdříve certifikační autorita ověří osobní číslo (dánsky CPR nummer) žadatele o certifikát v registru občanů a v pozitivním případě mu zašle poštou do vlastních rukou PIN kód k certifikátu. Od zavedení certifikátů OCES byl spíše kladen důraz na stimulaci poptávky po digitálních podpisech v soukromém i veřejném sektoru a o něco menší důraz na samotné technologie. Vůbec první aplikací, kde bylo možné použít digitální podpis OCES, bylo elektronické daňové přiznání, které je dnes v Dánsku plně zautomatizované a více než 90 % potřebných údajů si mezi sebou jednotlivé orgány předávají tak, že je občan nemusí poskytovat vůbec. V dubnu 2009 vláda registrovala již 1,3 milionů vlastníků certifikátů pro vytváření digitálního podpisu.
Projekt OCES Záměrem projektu OCES je vytvořit otevřenou, škálovatelnou a transparentní bezpečnostní infrastrukturu založenou na PKI, která by byla kontrolovaná státem a provozována soukromými certifikačními autoritami. Za konkrétní cíl si dánská vláda stanovila poskytnout společné bezpečné řešení pro kontakt se všemi orgány veřejné správy. Podpis je založen na instalaci softwaru s povinným heslem. V rámci komunikační kampaně projektu byly vytvořeny internetové stránky, které občany informují o všech důležitých aspektech používání digitálních podpisů (http:// www.digitalsignatur.dk).
DSM
Certifikáty k podpisům se vydávají ve čtyřech verzích: osobní certifikáty (POCES), založené na osobním čísle jedince v centrálním registru osob; certifikáty zaměstnanců (MOCES), založené na čísle zaměstnance a identifikačním čísle společnosti; firemní certifikáty (VOCES), založené na identifikačním čísle společnosti; funkční certifikáty (FOCES), založené na identifikačním čísle společnosti a ID daného zařízení. Certifikáty OCES jsou založeny na standardu X.509, využití algoritmu RSA a hašovacích funkcí MD5 nebo SHA-1. Podepsáním dokumentu tímto certifikátem se zaručuje jednak autenticita podepsaného, ale také prostřednictvím šifrování i důvěrnost, nezpochybnitelné autorství a celistvost zaslané komunikace.
Nový společný digitální podpis (OCES II) Cílovou skupinou certifikátů OCES měly být také soukromé společnosti, které by je využívaly ve svém internetovém bankovnictví, nicméně řešení poskytovaná bankami měla mezi firemními klienty nadále větší podporu než digitální podpisy OCES. Po několika letech vyjednávání se však nakonec dospělo ke společné shodě mezi bankovním sektorem a veřejnou správou. V roce 2008 podepsalo dánské Ministerstvo pro vědu, technologie a inovace se společností DanID pětiletou smlou-
Příloha DSM 2009
17
Nové občanské průkazy
vu o nové generaci digitálních podpisů s certifikátem OCES II, které budou společné pro veřejný a soukromý sektor. Pro občany budou certifikáty nadále zdarma, firmy budou mít bezplatně nárok na tři zaměstnanecké digitální certifikáty. V oběhu by měly být koncem roku 2009. Certifikáty OCES I sice bude možné i nadále používat, maximálně však do listopadu 2011. V roce 2009 převzala odpovědnost za vydávání certifikátů od TDC společnost DanID, kterou vlastní PBS (Payment Business Service), zabývající se vývojem společných řešení infrastruktury pro banky a zpracováním platebních operací. Od 6. ledna 2009 si mohou občané objednávat certifikáty pro digitální podpisy z internetových stránek DanID (https://danid.dk). Velkým rozdílem oproti dosavadní verzi certifikátů je jejich mobilita. Nově budou certifikáty uloženy na centrálním serveru, tudíž dostupné z jakéhokoliv počítače bez nutnosti instalace softwaru. (Jedinou podmínkou je instalace Java appletu při prvním použití daného počítače.) Princip je založen na kombinaci „toho, co uživatel zná“ (tj. uživatelské jméno a heslo) s „tím, co má“ (OTP – one-time password, tj. jednorázové čtyřmístné heslo zvolené ze seznamu hesel na jednoduché plastové kartičce o rozměru kreditní karty). Pro vstup do internetového bankovnictví se jedná o posílenou bezpečnost, neboť k dosavadnímu uživatelskému jménu a heslu se připojuje jednorázové heslo. Dalším velkým rozdílem první a druhé generace certifikátů OCES je způsob ověřování totožnosti uživatele. Zatím co OCES I byl založen na osobním čísle jednotlivce a na zasílání kódu na místo bydliště, verifikace pro certifikáty OCES II se přibližuje evropské směrnici o digitálním podpisu tím, že opět zavádí
18
Příloha DSM 2009
ověřování identity na základě fyzické přítomnosti žadatele. Díky spolupráci s bankami však bude možné ověřit totožnost stejným způsobem jako pro účely internetového bankovnictví. Technické provedení ve formě plastové kartičky pro jednorázové heslo nebylo zvoleno náhodně, i když se na první pohled může zdát, že se jedná o staromódní řešení. Ve skutečnosti se po dlouhých diskusích dospělo ke kompromisu, opět pragmatickému, kde roli sehrály faktory jako nízké náklady, snadná obsluha a jednoduchá distribuce. Kartičku s kódy je možné vzít kamkoliv s sebou a představuje velice jednoduché řešení také pro ty, kteří nevlastní mobilní telefon. Karty budou zasílány občanům poštou, a to na adresu, která je uvedena v základních registrech. Nejběžnější alternativa (kódy zasílané prostřednictvím SMS zprávy), nakonec nebyla zvolena z několika důvodů: prostřednictvím SMS zprávy totiž nelze stoprocentně zaručit, že: Certifikační autorita (DanID) bude mít vždy k dispozici aktualizovaný seznam telefonních čísel;
jako alternativa k OTP kartě vyloučeny. Nové digitální podpisy by měly být po testovací fázi rutinně nasazeny od konce roku 2009. Očekává se, že kromě stávajících držitelů certifikátů bude řešení využívat také většina uživatelů internetového bankovnictví, což představuje téměř tři miliony dánských občanů. Vzhledem k tomu, že drtivá většina vlastníků certifikátů OCES má současně přístup k internetovému bankovnictví, bude pro ně nové řešení pravděpodobně uživatelsky mnohem pohodlnější.
Závěr Dánský kontext je v mnoha směrech poměrně specifický, nicméně je možné řadu projektů eGovernmentu srovnávat s projekty v České republice, například datové schránky, centrální registry, občanské portály apod. Jedná se o malou zemi s vysokou mírou penetrace Internetu a integrace informačních systémů ve veřejném sektoru. Zároveň je však vysoký rozsah pravomocí svěřen regionálním a místním úřadům, které využívají více než polovinu státního rozpočtu.
služba bude také přístupná těžce zrakově postiženým osobám.
Projekty v oblasti eGovermentu mají v Dánsku již dlouhodobě vysokou prioritu a do diskusí o jejich implementaci se zapojují nejen centrální a místní správa, ale také partneři ze soukromého sektoru. Klíčovým faktorem je orientace na potřeby jednotlivých občanů a soukromých společností, na snižování veřejných výdajů a zefektivňování veřejné správy.
Nicméně, při přípravě nového společného řešení se uvažuje i o používání různých elektronických zařízení pro ty uživatele, kteří by o ně projevili zájem. Mobilní telefony či různé tokeny nejsou
Hlavními důvody, proč v průběhu pěti let došlo k vysokému rozšíření digitálních podpisů, je především jejich uživatelská přístupnost, jednoduchá instalace certifikátů a obsluha a v neposlední řadě
SMS zpráva bude skutečně doručena do několika sekund (zejména u občanů žijících v zahraničí); zaručení této služby by bylo pravděpodobně mnohem dražší než používání kartičky s kódy;
DSM
Nové občanské průkazy
také rapidní rozšíření palety elektronických služeb, podporujících digitální podpisy. Studie o digitálním podpisu v Dánsku J. Charlotte a T. Nikolase [2] uvádí mezi hlavní důvody: zavedení jednotných standardů pro vydávání certifikátů; jednoduché a rychlé uvedení na trh a využitelnost podpisů; rozumný kompromis mezi úrovní bezpečnosti a cenou; partnerství veřejného a soukromého sektoru; obchodní model; veřejná správa jako hlavní hnací síla projektu. Pro Českou republiku lze z dánských zkušeností s používáním digitálních podpisů vyvodit dále několik obecných závěrů a doporučení: V první řade je nutné počítat s dostatečně dlouhou dobou na zavedení otevřené infrastruktury pro digitální podpisy – už jen proto, aby si jednotliví aktéři, zejména
úředníci a občané, na nové technické řešení zvykli (a to nejen technicky zdatní, ale i starší obyvatelstvo, zdravotně postižení apod.). Důležitým faktorem pro úspěšnou implementaci digitálního podpisu je také dostatečně široká škála elektronických služeb, podporujících digitální podpis. Klíčovým momentem v Dánsku bylo rovněž zapojení soukromého sektoru, konkrétně bankovnictví, jakožto partnera. Dále je třeba vyřešit otázku interoperability a zaručit, aby jednoduchost a snadná obsluha řešení nebyla na úkor bezpečnosti a celkové důvěry vůči digitálnímu podpisu, a to nejen ze strany odborníků, ale i samotných občanů. V neposlední řadě se nesmí zapomenout na hlavní důvod, proč se digitální podpisy v zemi zavádějí: jaký přínos budou mít pro jednotlivé uživatele? Niels Nørup Pedersen
[email protected] Ľudmila Hostová
[email protected] Petr Čoban
[email protected]
Niels Nørup Pedersen Působí jako Associated Partner ve společnosti Devoteam Dánsko. Specializuje se na projekty v oblastech Risk&Security Management a IT Governance.
Mgr. Ľudmila Hostová Absolvovala tlumočnictví na FF UK v Praze. Podílí se na mezinárodních srovnávacích studiích v oblasti eGovernmentu a je odpovědná za interní komunikaci s dalšími pobočkami společnosti Devoteam.
Ing. Petr Čoban Absolvovent ČVUT v Praze, obor telekomunikace a IT. Ve společnosti Devoteam se specializuje na mezinárodní projekty v oblasti digitalizace kulturního dědictví (eCulture) a elektronizace veřejné správy (eGovernment) pro veřejné instituce.
R e f e r e n c e [ 1 ] Modinis-IDM (2006): National profile for eGovernment IDM initiatives in Denmark: https://www.cosic.esat.kuleuven.be/modinis-idm/twiki/bin/view.cgi/Main/DanishProfile. [ 2 ] Jacoby Charlotte, Triantafyllidis Nikolas (2008): eID/Authentication/Digital signatures in Denmark, http://www.forumstandaardisatie.nl/fileadmin/OVOS/08.07.08_-_eID_authentication__Nikolas_Triantafyllidis__Charlotte_Jacoby_.pdf . [ 3 ] European Commission (2007): European eGovernment 2005-2007: Taking stock of good practice and progress towards implementation of the i2010 eGovernment Action Plan, http://www.epractice.eu/files/download/awards/ResearchReport2007.pdf. [ 4 ] Digital Signatur, http://www.digitalsignatur.dk. [ 5 ] DanID, https://danid.dk/export/sites/dk.danid.oc/da/. [ 6 ] Nielsen Thomas, Den Digitale Taskforce (2005): eGovernment in Denmark: Strategy, set-up and results, http://www.statskontoret.se/upload/3575/eforum0501nilelsen.pdf. [ 7 ] UN E-Government Survey: From E-Government to Connected Governance, http://unpan1.un.org/intradoc/groups/public/documents/UN/UNPAN028607.pdf. [ 8 ] Insead & World Economic Forum (2009): The Global Information Technology Report 2008–2009, Mobility in a Networked World, http://www.weforum.org/pdf/gitr/2009/gitr09fullreport.pdf. [ 9 ] IDABC (2007): Preliminary Study on Mutual Recognition of eSignatures for eGovernment applications, ttp://ec.europa.eu/idabc/servlets/Doc?id=29078. [ 10 ] Danish National IT and Telecom Agency: Certificate Policy for OCES personal certificates (Public Certificates for Electronic Services) (2005), ttps://www.signatursekretariatet.dk/pdf/ca/Final%20Etsi%20OCES-CP%203.0%20personal%20certificates_eng.pdf.
Příloha DSM 2009
19
Nové občanské průkazy
Bezvýznamový identifikátor – nástroj Veľkého Brata? Prichádza doba eGorvenmentu a elektronickej identity občanov. V tejto súvislosti sa v niektorých krajinách viac a v iných menej diskutuje najmä o otázke, ako vyriešiť identifikáciu občana vo virtuálnom svete a spôsob určenia jeho identity. Je bezvýznamový identifikátor riešením? Čo to vlastne je bezvýznamový identifikátor? Nejde len o nástroj Veľkého Brata, ktorý nás všetkých sleduje? Dá sa takýto identifikátor uviesť do života tak, aby slúžil občanom? Je vôbec potrebný?
Identifikácia a identita Identifikácia je proces, v rámci ktorého je rozpoznaná entita z reálneho sveta a je stanovená jej identita. Identita sa môže v abstraktnom svete informačných systémov chápať ako množina údajov (atribútov) o entite, ktorá ju jednoznačne odlišuje od ostatných, podobných entít [1]. Napriek predpokladom použitým pri návrhu mnohých informačných systémov entita nemá len jednu identitu, ale vždy ich existuje niekoľko, napríklad ľudia môžu byť známi pod rôznymi menami, či už v rodine, v práci, v športovom tíme, medzi priateľmi, spolužiakmi a podobne. Takže identita entity sa skladá z čiastočných identít, z ktorých každá reprezentuje entitu v špecifickom kontexte alebo roli. Čiastočná identita predstavuje podmnožinu atribútov úplnej identity, pričom úplná identita predstavuje zjednotenie všetkých atribútov všetkých čiastočných identít entity. Čiastočná identita nemusí dostatočne identifikovať entitu a môže tak umožňovať určitú mieru anonymity [6]. Pseudonym možno chápať ako identifikátor pre čiastočnú identitu.
20
Příloha DSM 2009
Digitálna identita predstavuje priradenie všetkých atribútov entite (zaznamenateľných v informačnom systéme), ktoré sú okamžite funkčne dostupné pomocou technických prostriedkov. Identifikátor čiastočnej digitálnej entity môže tvoriť len jeden špeciálne navrhnutý kód (napríklad emailová adresa, ktorá odlišuje entitu v rámci distribučného listu), alebo môže byť vyskladaný z viacerých údajov, ako napríklad krstné meno, priezvisko, dátum narodenia, adresa trvalého pobytu. Identifikátor potom zabezpečuje väzbu medzi skutočnou entitou a jej obrazom vo virtuálnom svete (napríklad v informačnom systéme registra obyvateľov). Na identifikáciu osôb je možné použiť rôzne techniky, medzi najznámejšie môžeme zaradiť:
biometria (predstavuje široké spektrum techník) – aká osoba je, čím je, ako vyzerá, ako niečo robí. Voľba vhodnej techniky vôbec nie je jednoduchá otázka. Správny výber závisí od účelu, pre ktorý sa identifikácia vykonáva. Okrem toho je však potrebné brať do úvahy predovšetkým otázku ľudských práv a ochrany osobných údajov, ale aj pomer nákladov a výnosov, organizačné požiadavky a rovnako treba zvážiť dôsledky legislatívne, etické a sociálno-politické. Správne posúdenie každého hľadiska je veľmi dôležité. Na Slovensku bude nový spôsob identifikácie potrebné premietnuť do množstva zákonov, v ktorých sa ako identifikátor v súčasnosti uvádza rodné číslo. Ide približne o 180 zákonov, vrátane zákona o ochrane osobných údajov [2].
mená – ako osobu volajú iní ľudia;
Identifikátor
kódy – ako je osoba označená inštitúciou, štátom alebo organizáciou;
Identifikátor, pridelený každej osobe evidovanej v registri, by mal spĺňať určité vlastnosti:
vedomosti – čo osoba pozná; tokeny – čo osoba vlastní;
jedno-jednoznačnosť (osoba má pridelený práve jeden identifikátor
Nové občanské průkazy
a každý identifikátor je priradený práve jednej osobe v rámci danej množiny osôb, napríklad obyvateľov daného štátu); trvalosť v čase; nerecyklovateľnosť (v minulosti použitý identifikátor nie je nikdy opätovne pridelený); žiaden sémantický význam; neverejnosť. Vlastností by sa asi dalo vymenovať viac, ale vyššie uvedené považujem za najdôležitejšie. Možno by ešte identifikátor mal obsahovať kontrolný kód (podobne ako rodné číslo v súčasnosti), ktorý by umožnil kontrolovať chyby pri manuálnom zadávaní identifikátora. Predísť vzniku chýb je možné aj tak, že identifikátor bude uložený len na elektronickom nosiči (napríklad na čipe eID karty) a nikdy sa nebude zadávať manuálne. Pri niektorých uvedených atribútoch by som sa rád pristavil. Trvalosť v čase znamená nielen to, že by sa identifikátor nemal v čase meniť , ale takisto, že spôsob použitý na jeho vytvorenie je možné kedykoľvek zopakovať s rovnakým výsledkom. Bezvýznamovosť je požiadavka, ktorá priamo vyplýva z europskej legislatívy [3]. Článok 6 tejto smernice hovorí, že „osobné údaje musia byť adekvátne, relevantné a nie neprimerané vo vzťahu k účelom, pre ktoré sú zhromažďované a/alebo ďalej spracované“. Pokiaľ ako
identifikátor použijem rodné číslo (tak ako je definované v Čechách alebo na Slovensku), tak zverejňujem tiež dátum narodenia a pohlavie osoby, čo je v rozpore so smernicou. Zaujímalo by ma, či v tomto zmysle nie je pravidlo o prechyľovaní ženských priezvisk v slovenskom, českom ale aj ďalších nielen slovanských jazykoch, de facto porušením vyššie spomínanej európskej smernice. Neverejnosť je podľa môjho názoru veľmi dôležitým atribútom, na ktorý sa častokrát zabúda. Pritom ide o jeden zo základných predpokladov ako uchrániť hromadne uchovávané údaje pred rôznymi formami zneužitia, napríklad pred neoprávneným prepájaním rôznych databáz. Zbytočné je vytvárať sektorové identifikátory, pokiaľ budú verejne známe alebo ľahko zistiteľné, respektíve pokiaľ ich bude možné spätne previazať na „univerzálny“ identifikátor, z ktorého sa budú dať odvodiť identifikátory pre ďalšie sektory. Na pridelenie identifikátora, ktorý by spĺňal vyššie uvedené vlastnosti, je možné použiť dva spôsoby. Prvou možnosťou je vytvoriť register, v ktorom budeme osobám takéto identifikátory priraďovať. Alebo zadefinujeme a budeme používať algoritmus, ktorý bude takéto identifikátory generovať, pričom musí garantovať jedno-jednoznačnosť s veľmi vysokou pravdepodobnosťou. Pri druhom spôsobe môžeme naraziť na problém s utajením algoritmu a teda aj neverejnosťou identifikátorov, čo sa dá riešiť napríklad pomocou zavedenia tajného kľúča v rámci algoritmu. V praxi preberajú na seba rolu takýchto
DSM
registrov najčastejšie matriky, respektíve registre obyvateľov, v niektorých krajinách sú to sociálne poisťovne (najznámejším príkladom je SSA Social Security Agency v Spojených štátoch amerických) alebo daňové úrady (príkladom môže byť Nový Zéland, ale aj ďalšie anglofónne krajiny ako Austrália a Veľká Británia).
Rodné číslo nestačí? V súčasnosti sa používa na Slovensku, ale aj vo väčšine európskych krajín (s výnimkou napríklad anglofónnych krajín a Nemecka) identifikátor založený na dátume narodenia. Ide o prirodzenú historickú voľbu, keďže potrebujeme evidovať všetky osoby už od ich narodenia. Do tohto modelu však bolo potrebné rozumným spôsobom dostať aj migrantov, čo sa riešilo napríklad nejakou špeciálnou úpravou dátumu narodenia (vo Švédsku) alebo použitím určitej špeciálnej série (v Nórsku alebo štátoch bývalej Juhoslávie). Rodné číslo nie je bezvýznamové. Ako už bolo uvedené, rodné číslo v sebe obsahuje aj ďalšie osobné údaje, takže odporuje európskej legislatíve [3]. Avšak ani odstránenie týchto osobných údajov z rodného čísla rozhodne nepostačuje na to, aby sme získali bezvýznamový identifikátor. Používanie rodného čísla na Slovensku ako univerzálneho identifikátora fyzickej osoby sa potýka s viacerými problémami: chybovosť – v systéme existujú duplicitné rodné čísla, sémantika niektorých rodných čísiel nezodpovedá skutočnosti (nesprávny dátum narodenia);
Příloha DSM 2009
21
Nové občanské průkazy
porušenie nerecyklovateľnosti – bez zmeny súčasného spôsobu generovania rodných čísiel nebude možné v budúcnosti prideľovať ďalšie jednojednoznačné rodné čísla;
je možné dosiahnuť bez zavedenia univerzálneho a prípadne aj sektorových identifikátorov pre fyzické osoby ako náhrady za doteraz používané rodné číslo.
nie je neverejné – rodné číslo nespĺňa atribút, ktorý by mal identifikátor spĺňať, a tým je neverejnosť, čo vzhľadom na jeho súčasné široké použitie na identifikáciu fyzických osôb v informačných systémoch štátnej a verejnej správy, ale aj komerčných inštitúcii, predstavuje vážne riziko.
V týchto systémoch je uložené množstvo citlivých osobných údajov. Elektronická komunikácia medzi štátnymi a verejnými inštitúciami musí prebiehať bezpečne a musí dodržiavať princípy ochrany osobných údajov občanov. Nesprávne zvolený model identifikátorov, respektíve zachovania ich neverejnosti nemusí riziko, ktoré vzniklo dlhodobým používaním rodného čísla ako univerzálneho identifikátora, odstrániť.
Dá sa predpokladať existencia podobných problémov aj v iných krajinách, ktoré používajú obdobný univerzálny identifikátor. Napriek tomu viaceré krajiny, predovšetkým škandinávske, aj naďalej používajú svoje univerzálne identifikátory fyzických osôb založené na rodnom čísle.
Čo na to Veľký Brat? Prečo je však vôbec nutné hovoriť o potrebe univerzálneho identifikátora fyzických osôb? Aké výhody to občanovi prinesie? Jeden z dôvodov úzko súvisí s budovaním eGovernmentu. Túto snahu je asi možné z pohľadu občana označiť za pozitívnu, cieľom je zjednodušiť komunikáciu občanov so štátnymi a verejnými inštitúciami a zlepšiť ich služby, zoštíhliť a zjednodušiť spôsob ich poskytovania. Na druhej strane budovanie eGovernmentu so sebou prináša elektronizáciu a centralizáciu spracovania údajov a vzájomnú výmenu údajov medzi týmito inštitúciami. To však nie
22
Příloha DSM 2009
Naopak, môže toto riziko ešte zvýšiť. Ak sa napríklad bude univerzálny identifikátor uvádzať na certifikáte pre ZEP (zaručený elektronický podpis) a/alebo autentizačnom certifikáte tak, ako sa uvádza v [2]. Takže každý podpis, ktorý občan urobí, a tiež každá autentizácia pomocou eID (elektronickej identifikačnej karty) zanechajú stopu obsahujúcu univerzálny identifikátor. Takto už o krátky čas môže byť identifikátor rozšírenejší ako rodné čísla. Previazanie certifikátov na identitu jeho držiteľa možno zabezpečiť inými mechanizmami (napríklad na základe údajov z eID po úspešnej autentizácii alebo overením voči registru certifikátov). Okrem toho používanie autentizačného certifikátu (a pomocou neho vytvoreného elektronického podpisu v rámci „challenge-response“ protokolu) je v rozpore s požiadavkami na ochranu
osobných údajov vyplývajúcich z európskej legislatívy [3]. Podpisovaný reťazec (challenge) môže obsahovať údaje o dátume, čase a mieste. Elektronický podpis tak vytvorí neodmietnuteľný dôkaz o tom, že daná osoba sa v určitom čase vyskytovala na určitom mieste, respektíve využívala danú službu a podobne. Tento prístup kritizujú dokumenty ENISA [4]. Rozdiel (medzi vytvorením elektronického podpisu v rámci challenge-response protokolu a autentizáciou) sa dá prirovnať k záznamu v knihe návštev a navyše pred svedkami, ktorý obsahuje presný dátum a čas návštevy oproti preukázaniu sa dokladom totožnosti.
Bezvýznamový identifikátor v Rakúsku V Rakúsku implementovali model založený na troch typoch identifikátorov [5]. V registri obyvateľov (ZMR-Zahl – Zahl des Zentralen Melderegisters) je každému občanovi priradený jedno-jednoznačný identifikátor. Tento identifikátor nie je v registri obyvateľov uložený, ale je možné ho opätovne vygenerovať. Na základe tohto identifikátora je vygenerovaný zdrojový identifikátor (sPIN – source personal identification number), ktorý je uložený v čipe v zašifrovanej podobe len na karte občana (citizen card). Na identifikačné účely sa však priamo nepoužije ani tento identifikátor, ale až z neho odvodené sektorové identifikátory. Tie sú vygenerované priamo na karte občana pomocou sPIN a identifikátora príslušného sektora pomocou „nereverzibilného“ šifrovacieho algoritmu. Sektorový identifikátor nie je možné
Nové občanské průkazy
použiť na vygenerovanie iného sektorového identifikátora, ani na spätné odvodenie sPIN. V prípade komunikácie sektorov medzi sebou používajú identifikátor iného sektora v šifrovanej podobe, ktorú vie pomocou svojho tajného kľúča dešifrovať len príslušný sektor. Takto zašifrovaný sektorový identifikátor vie poskytnúť register sPIN. Týmto je zabezpečené, že na identifikáciu občanov sa používajú len sektorové identifikátory, pričom nie je možné, aby sa údaje o občanoch evidované rôznymi sektormi dali jednoduchým spôsob prepojiť. Na certifikáte pre ZEP je uvedené len meno a priezvisko (prípadne na výslovnú žiadosť občana aj jeho dátum narodenia a emailová adresa), ale nie je tam uvedený žiaden identifikátor, ktorého neverejnosť alebo použitie len v rámci daného sektora by sa týmto narušili. Najvážnejší poznatok z implementácie opísaného modelu sa týka definície sektora, respektíve počtu sektorov. Ten je potrebné voliť rozumne, aby nebol počet sektorov príliš veľký, pretože s počtom sektorov priamo úmerne rastie cena celého systému, najmä z poP o u ž i t á [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ]
hľadu jeho administratívy a prevádzky. Príkladom môžu byť malé obce, kde úradníci aj tak riešia väčšinu obecnej agendy, takže poznajú údaje o občanovi za všetky agendy. Preto je potrebné zvážiť, či aj malé obce budú používať sektorový identifikátor na evidenciu vlastnej agendy. Podobné princípy sa majú implementovať aj v pripravovanom nemeckom modeli, kde budú sektorové identifikátory (pseudonymy) generované na eID karte obdobným spôsobom ako v rakúskom modeli.
Záver V súčasnosti používané rodné číslo nevyhovuje pre účely univerzálnej identifikácie fyzických osôb v centralizovaných informačných systémoch štátnych, verejných a komerčných inštitúcii. Treba ho nahradiť univerzálnym identifikátorom, respektíve sústavou identifikátorov, ktoré vytvoria lepšie predpoklady pre ochranu citlivých osobných údajov o fyzických osobách. Významnou, no nie najdôležitejšou, vlastnosťou takéhoto identifikátora by mala byť bezvýznamovosť. Dôležitejšou vlastnosťou je však neverejnosť, ako napríklad v rakúskom modeli.
DSM
Aj vzhľadom na budúcu požiadavku na interoperabilitu univerzálnych identifikátorov medzi krajinami, bolo by rozumné pre krajinu ako je Slovensko, ktorá ešte len pripravuje svoj model univerzálneho identifikátora fyzických osôb, zvoliť niektorý z existujúcich modelov. Úsilie by sa malo sústrediť na prípravu legislatívy, migrácie údajov, implementácie zmien do informačných systémov a na poučenie sa z chýb, ktoré museli riešiť krajiny, ktoré už prešli jeho implementáciou. Michal Ševčík
[email protected]
Ing. Michal Ševčík Absolvent Fakulty elektrotechniky a informatiky STU v Bratislave. V súčasnosti sa podieľa ako solution architekt spoločnosti HewlettPackard Slovakia, s.r.o., na dvoch významných projektoch pre Ministerstvo vnútra SR – implementáciu Národného schengenského a vízového systému a rozšírení Národného personalizačného centra o personalizáciu sekundárnej biometrie do cestovných dokladov.
l i t e r a t u r a
Roger Clarke‘s Web-Site. http://www.rogerclarke.com/. Čiastková štúdia uskutočniteľnosti projektov prioritnej osi 1 Elektronizácia verejnej správy a rozvoj elektronických služieb OPIS Identifikátor fyzických osôb. November 2008, http://www.informatizacia.sk/narodny-projekt--is-identifikatora-fyzickych-osob/5695s Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov. Privacy Features of European eID Card Specifications. ENISA Position Paper, Version: 1.0.1, Date: 2009-01-27. Rakúska eID karta, „Bürgerkarte“. http://www.buergerkarte.at/. PFITZMANN A., HANSEN M. Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management – A Consolidated Proposal for Terminology. v0.31, Feb. 15, 2008. http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf.
Příloha DSM 2009
23
Nové občanské průkazy
Bezpečnost elektronické autentizace Připravovaný nový občanský průkaz podle návrhu zákona [1], který je právě projednáván, přináší řadu změn. Podívejme se na dopady jedné významné systémové změny z pohledu bezpečnosti a tou je nově zaváděná funkčnost elektronické autentizace. Nový občanský průkaz přináší systémovou změnu a tou je rozšíření účelu použití. Kromě klasické fyzické identifikace má sloužit také k „elektronické identifikaci držitele občanského průkazu při komunikaci s informačními systémy veřejné správy“ (viz §2 [1]).
Identifikátory
Potřeba autentizace („elektronická identifikace držitele občanského průkazu při komunikaci s informačními systémy veřejné správy“ = ověřená identifikace uživatele při vzdálené elektronické komunikaci) je neoddiskutovatelná. Na evropské úrovni je tato oblast označována jako jedna z klíčových oblastí (key enabler) rozvoje e-governmentu [2]. Bez úspěšného vyřešení uživatelsky přijatelné a dostatečně bezpečné autentizace nejsou on-line služby e-governmentu reálné a nemají praktický užitek.
Identifikační prostor je oblast, kde je konkrétní identifikátor používán, a ve které je zaručena jeho jednoznačnost. Čím je tento prostor větší, čím je používání jednoho identifikátoru více rozšířeno, tím horší jsou bezpečnostní parametry. Komplikuje se správa unikátnosti a roste riziko duplicity. Rostou šance útočníka na přístup k takovému identifikátoru a rostou dopady zneužití, tedy se zvyšuje i atraktivnost identifikátoru pro útočníka a narůstají hrozby pro občana i veřejnou správu.
Pojem bezpečnost používaný v textu článku zahrnuje bezpečnost občanů a také bezpečnost veřejné správy. Je užíván v širším významu a patří do něj i ochrana soukromí a problematika zneužití identity.
Doba platnosti je bezpečnostním prvkem. Známe jej z časově omezené platnosti dokladů i elektronických certifikátů. Čím je doba platnosti delší, tím jsou bezpečnostní rizika vyšší, rostou šance na zneužití, roste atraktivnost identifikátoru pro útočníka a následky zneužití pro občana i veřejnou správu.
Při autentizaci hrají velmi významnou úlohu identifikátory a tajemství (secret), neboli informace sloužící k ověření identity. Dříve, než se budeme zabývat novým občanským průkazem, podívejme se na tyto základní systémové prvky autentizace obecněji.
24
Příloha DSM 2009
Základními parametry identifikátoru z hlediska bezpečnosti jsou identifikační prostor (oblast použití) a doba platnosti. Jednoznačnost je zahrnuta už v pojmu identifikační prostor.
Z bezpečnostního hlediska je nejhorším řešením trvalá platnost univerzálně používaného identifikátoru. Ta navíc systémově zamezuje nápravě zneužití identity, likviduje možnosti prevence
zneužití změnou identifikátoru a zvyšuje cenu identifikátoru pro útočníka na maximum. Duplicitní identifikátory v témže identifikačním prostoru nic neřeší, jen komplikují situaci a zvyšují šance útočníkům na úspěch. Naopak více různých identifikátorů v různých identifikačních prostorech bez vzájemné vazby mezi identifikátory šance útočníka zhoršují, snižují pro něj cenu každého identifikátoru a omezují hrozby zneužití identifikátorů. Pokud identifikátor v sobě zahrnuje ještě další informaci (např. věk a pohlaví), negativní dopady na bezpečnost se zvyšují. Jde zejména o ochranu soukromí, protože tyto další informace nelze dostatečně chránit.
Tajemství Kvalita autentizace je limitována kvalitou tajemství. Bez tajemství nelze ve světě informačních technologií provést autentizaci, tedy ověřit věrohodnost identity. Podstatné je, aby tajemství bylo dostupné jen tomu, kdo má svoji identitu prokázat. Nikomu jinému nesmí být tato informace dostupná. Důležité je, aby pravděpodobnost toho, že někdo jiný takové tajemství „uhádne“, byla mizivá, a to i když použije výkonnou výpočetní techniku.
Nové občanské průkazy
Je velmi důležité si uvědomit, kde všude se tajemství vyskytuje, kdo k němu má či může mít přístup a jak obtížné je takové tajemství uhádnout. Proto moderní autentizační technologie s vysokou bezpečností nikdy nepřenášejí (ani nekopírují) tajemství. Privátní klíč bývá uložen v elektronickém čipu čipové karty a nikdy se z něj nemá nechat přečíst. Proto se používají kryptografické metody k prokázání dostupnosti tajemství (např. metody asymetrické kryptografie či důkazu s nulovou znalostí – zero knowledge proof) a neověřuje se přímo tajemství samo. Proto moderní technologie pracují s tak velkými tajemstvími, které si prakticky žádný člověk nemůže zapamatovat, natož aby si je mohl zapamatovat průměrný občan na řadu let. Prostor, ve kterém může být tajemství použito, je z pohledu bezpečnosti také velmi významný, je podstatný rozdíl v bezpečnostních dopadech lokálního a globálního použití tajemství téže kvality. Například použití PIN při autentizaci k čipové kartě v bankomatu má zcela jiné bezpečnostní parametry než použití stejně kvalitního PIN při autentizaci k bankovní aplikaci prostřednictvím Internetu. Důležitým parametrem je i doba platnosti tajemství. Čím déle je tajemství platné, tím je větší šance, že se někomu podaří tajemství zjistit a zneužít. Proto i tak veliká tajemství, která používají elektronický podpis a další aplikace PKI (Public Key Infrastructure), mají omezenou platnost na dobu měsíců. I z tohoto důvodu se používají tajemství určená jen k jednomu použití (tj. one-time password).
Prokazatelná unikátní dostupnost tajemství je důležitá i právně. Právní souvislosti jsou při komunikaci s veřejnou správou velmi důležité a mají významné bezpečnostní dopady. Těžko lze očekávat nenapadnutelnost právního úkonu učiněného s pomocí tajemství, které zná nebo může znát celá řada lidí.
Nový občanský průkaz Nový občanský průkaz tak, jak je popsán v [1], používá jako identifikátor číslo dokladu. Je to identifikátor s identifikačním prostorem občanských průkazů vydaných Českou republikou a s omezenou platností shodnou s platností občanského průkazu. To je řešení, které systémově navazuje na systém agendových identifikátorů zavedených v [3]. Ukončení používání rodného čísla a nahrazení identifikátorem s omezeným identifikačním prostorem a omezenou časovou platností, který neobsahuje další informace (tzv. bezvýznamový identifikátor) včetně stanovení postupu mimořádného zrušení platnosti je z bezpečnostního hlediska správné, moderní řešení. Kromě toho [1] zavádí nově tzv. 2D kód. Jeho použití je z bezpečnostního hlediska kontraproduktivní. Uvedení druhého identifikátoru v témže identifikačním prostoru nemá žádný přínos pro zvýšení kvality identifikace či autentizace. Navíc zveřejnění agendového identifikátoru ohrožuje bezpečnost systému agendových identifikátorů, které jsou určeny pro interní použití v informačních systémech veřejné správy. K tomu přibývají technologické vlastnosti 2D kódu. Nelze očekávat, že by významná část
DSM
občanů byla vybavena speciální čtečkou 2D kódu. Pokud je cílem umožnit široké použití, není možné na 2D kód spoléhat. Kromě toho technologie 2D kódu umožňuje optické vzdálené čtení. Vzdálenost, na kterou je možné vzdáleně přečíst 2D kód, mnohonásobně převyšuje vzdálenost čtení běžných bezkontaktních čipových karet. Bezpečnostní parametry ochrany údajů nového občanského průkazu jsou tedy horší než u průkazů současných a jsou také horší než v případě použití bezkontaktních karet. To jsou další šance nabízené útočníkům. K čemu má tento technologický prvek sloužit, není z textu zákona ani z důvodové zprávy jasné. Znalost samotného identifikátoru není pro autentizaci významným bezpečnostním rizikem, pokud je ovšem použito kvalitní tajemství. Znalost identifikátoru je bezpečnostním rizikem ochrany soukromí, zvyšuje rizika zneužití identity a zneužití analýzy souvislostí z velkého množství dat (data mining). Návrh zákona [1] zavádí nový pojem „bezpečnostní osobní kód“ (BOK). Tento pojem lze chápat jako autentizační tajemství. BOK je 4 až 10 místné číslo zvolené občanem při převzetí občanského průkazu (§8a). Lze očekávat, že většina občanů zvolí nejjednodušší BOK, tedy 4 místné číslo. Také lze očekávat, že velké množství občanů zvolí BOK stejný jako jiné tajemství, které v praxi používá proto, aby si BOK lépe zapamatovali. Zákonu [1] lze rozumět tak, že obě formy nového občanského průkazu (bez čipu i s čipem) mají být používány
Příloha DSM 2009
25
Nové občanské průkazy
k autentizaci (§2). Elektronický čip vestavěný do nového občanského průkazu nebude do autentizace nijak zapojen, může sloužit k záznamu dalších informací, které nejsou zákonem blíže určeny. To je z technologického hlediska překvapivé řešení. Z toho vyplývá, že nemůže docházet k jakémukoli uložení nebo zpracování tajemství prostředky občanského průkazu a že tajemství musí být uloženo a zpracováno jinak. Tedy tajemství bude v otevřené podobě předáváno jiným nespecifikovaným systémům. V důsledku toho se jedná o jednofaktorovou autentizaci, protože ve skutečnosti autentizace není nijak vázána na předmět, na občanský průkaz. A to má významné negativní bezpečnostní dopady. Použité tajemství je pro zamýšlené použití velmi slabé a má velmi dlouhou dobu platnosti. Navíc je uloženo na neznámém počtu míst a to jak v informačních systémech veřejné správy, tak v jiných systémech. V prvním proto, že to ukládá zákon (evidence občanských průkazů, viz §17 v [1]), v druhém proto, že občané by jinak BOK zapomněli. Proto k němu má nebo může mít přístup celá řada dalších osob. Kromě přímých útoků hrubou silou na tak jednoduché tajemství se útočníkům nabízí dnes běžně známé sociální útoky (např. phishing, pharming) nebo nepřímé metody (získání tajemství z jiných systémů). Podle hrubého statistického odhadu by jednoduchý útok hrubou silou na 10 milionů účtů v informačních systémech veřejné správy, chráněných tajemstvím velikosti čtyřmístného dekadického čísla, přinesl při využití tří pokusů povolených zákonem BOK ke zhruba 3 tisícům účtů. Pokud by využil statistik oblíbenosti PIN, má šanci na ještě lepší výsledek.
26
Příloha DSM 2009
Pro ilustraci porovnejme, jak daleko je BOK od tajemství reálně používaných při silné autentizaci. Uvědomme si například, že privátní klíč o velikosti 1024 bitů užívaný pro elektronický podpis nebo pro autentizaci pomocí PKI, který bývá platný zhruba jeden rok, je ekvivalentní dekadickému číslu s 301 číslicí. Občanský průkaz má typicky platnost 10 let a měl by i za 10 let bezpečně fungovat. Jaké jsou bezpečnostněprávní souvislosti BOK? Statisticky vychází, že stejný BOK bude mít asi tisíc občanů ČR (pokud použijí čtyř číslic). BOK je však podle zákona uložen i jinde a proto může být kompromitován další osobou nezávisle na vůli a jednání občana. Proto bude platnost právního úkonu, kde je vůle a identita prokazována pouze znalostí BOK, snadno zpochybnitelná.
Elektronická identita v e-governmentu Problematika elektronické identity v egovernmentu není vůbec jednoduchá. Buď jsou problémy v nedostatečné síle autentizace, nebo v uživatelském pohodlí a přílišných nárocích na uživatele, případně v ochraně soukromí či nežádoucích vedlejších efektech [4]. Uveďme příklad. V řadě zemí se již používají elektronické občanské průkazy, které mají formu čipových karet (kontaktních nebo bezkontaktních). Ty umožňují využít silnou autentizaci založenou na infrastruktuře veřejného klíče (PKI). To je z hlediska odolnosti útoků na autentizaci velmi silná technologie a útočníci mají velmi malé šance. Takové řešení má řadu problémů, jedním z nich je cena. Čipová karta je i dnes dražší než plastová kartička bez čipu. Přestože rozdíl v ceně jedné karty není
veliký, při miliónech občanských průkazů je každá koruna rozdílu významná. Druhým je problém ochrany soukromí [5]. Řešení dává šance útočníkům z celého světa. Každý certifikát vydaný s ověřením identity obsahuje celoživotně platný univerzální identifikátor (minimálně jméno a příjmení, někdy i další státem vydaný trvale platný číselný identifikátor jako je rodné číslo nebo jiný národní identifikátor). Certifikát je při každé transakci přenášen bez ochrany proti neoprávněnému čtení a může být během zlomku vteřiny zkopírován kýmkoli z celého světa. To že certifikát má omezenou platnost nebo že obsahuje i jiné identifikátory, které nemají trvalou platnost, je irelevantní, to útočníkovi nijak nepřekáží. Tedy systematické dlouhodobé používání autentizačních certifikátů (ale i časté používání elektronického podpisu) přináší trvale rostoucí hrozbu zneužití bez reálně dostupného opravného prostředku. Použití biometrické informace jako tajemství při autentizaci k elektronickým službám má také svá významná úskalí. Biometrie může mít své místo při ověření fyzické identity, případně jako součást lokální vícefaktorové autentizace. Použití biometrických informací v globálním prostoru elektronické komunikace ze systémového hlediska musí dříve či později selhat Je jen otázkou času, kdy dojde ke kompromitaci jakékoli informace, tedy i biometrické informace. Z podstaty věci neexistují v případě biometrie metody nápravy. Nelze totiž očekávat, že až se někomu podaří kompromitovat informace obsahující biometriku otisků prstů, bude možno občanům otisky prstů vyměnit. Zřejmě proto s použitím certifikátů s ověřenou totožností ani s použitím biometrických informací zákon [1] nepočítá a tyto nenapravitelné škody neriskuje.
Nové občanské průkazy
Situace v oblasti autentizace v e-governmentu není opravdu jednoduchá. To je důvod opakování řady projektů organizovaných EU nebo existence evropského pilotního projektu velkého rozsahu STORK [6] a dalších (např. [7] a [8]). Jak tedy zajistit bezpečnost pro občany i pro veřejnou správu a neohrozit soukromí?
Doporučení Nový občanský průkaz s redukovaným obsahem je pro účely fyzické identifikace občanů významný krok kupředu. Varianta bez čipu by se však neměla v žádném případě používat jako autentizační prostředek. Takové řešení nemůže být přijatelně bezpečné a nemůže vést k úspěchu. Nový občanský průkaz by neměl obsahovat žádné duplicitní identifikátory ani různé podoby téhož identifikátoru čitelné různými technologiemi. Ochrana proti vzdálenému čtení údajů z občanského průkazu by měla být minimálně na úrovni dnes běžné a neměly by se otevírat další šance útočníkům a zneužití. Pokud by si občan přál mít veřejnou správou uznávaný prostředek autentizace v občanském průkazu, tak jedině na občanském průkazu s čipem, tedy elektronikou. Tato elektronika by měla obsahovat kvalitní prostředek elektronické autentizace, který zaručí P o u ž i t á [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ]
vysokou bezpečnost občana i veřejné správy tím, že: 1. umožní použití odlišného identifikátoru či identifikátorů používaných při autentizaci nežli je identifikátor sloužící k fyzické identifikaci, a to s jinou, významně kratší dobou platnosti; 2. umožní silnou autentizaci; univerzálně použitelný autentizační prostředek musí mít bezpečnostní úroveň odpovídající tomu nejnáročnějšímu použití; 3. nebude pracovat s žádnými osobními údaji, které nebudou chráněny před neoprávněným přístupem, tedy všechny osobní údaje, se kterými případně bude pracovat, budou chráněny účinným řízením přístupu a budou umožňovat přístup jen oprávněným osobám; 4. nedá k dispozici prostředky, dovolující zneužití autentizace k neoprávněnému propojování osobních údajů; 5. umožní aktivaci a deaktivaci své funkce občanem, autentizační nástroj v demokratickém státě má sloužit občanům k elektronické komunikaci a nemůže být prostředkem elektronického sledování občanů. Uvedené požadavky jsou náročné, ale splnitelné (viz např. [5] a [8]). Bezpeč-
DSM
nost a ochrana soukromí za to stojí. Poznamenejme, že to neznamená, že elektronický občanský průkaz musí mít formu kartičky. Užitečnější a bezpečnější může být jiná, modernější forma. Kromě možnosti používat elektronický občanský průkaz jako autentizační prostředek by měla veřejná správa umožnit použití i jiných autentizačních prostředků, pokud tyto vyhoví svými bezpečnostními parametry. Například místo občanského průkazu lze použít čipovou kartu, kterou používají občané pro elektronické bankovnictví, nebo mobilní telefon s příslušným vybavením. Ušetří to peníze z veřejných rozpočtů a zjednoduší život občanům. Libor Neumann
[email protected]
Ing. Libor Neumann, CSc. Senior konsultant ANECT a.s. V posledních více jak 10 letech pracoval na řadě projektů nasazení ICT ve veřejné správě. Dlouhodobě se zabývá oblastí spolupráce mezi subjekty veřejné správy, interoperabilitou, autentizací a řízením přístupu k datovým zdrojům v prostředí e-governmentu.
l i t e r a t u r a
Sněmovní tisk 714, část sedmdesátá třetí „Změna zákona o občanských průkazech“. European Comission, i2010 – A European Information Society for growth and employment. 2005, [online]. http://ec.europa.eu/information_society/eeurope/i2010/docs/launch/com_229_i2010_310505_en.pdf . Zákon 111/2009 Sb. ze dne 26. března 2009 o základních registrech. NEUMANN L. An Analysis of E-identity Organisational and Technological Solutions within a Single European Information Space, e-Challenges e-2007, The Hague, Netherlands, 2007, s. 1326–1333. NEUMANN L. Anonymous, Liberal and User-Centric Electronic Identity Supports Citizen Privacy Protection in e-Government. 8th European Conference on e-Government, EPFL, Lausenne, Switzerland, 2008, s. 427–434. STORK – Secure Identity Across Borders Linked. http://www.eid-stork.eu/. PRIME – Privacy and Identity Management for Europe. https://www.prime-project.eu/. MCKENZIE R., CROMPTON M., WALLIS C. Use Cases for Identity Management in E-Government. IEEE Govt, March–April 2008. NEUMANN, L. Anonymous, Liberal, and User-Centric Electronic Identity – A New, Systematic Design of eID Infrastructure. Collaboration and Knowledge Economy – Issues, Applications, Case Studies, Proceedings of eChallenges e-2008, Stockholm, 22-24 October 2008, s. 1626–1633.
Příloha DSM 2009
27
Nové občanské průkazy
Občanské průkazy a moderní technologie Jak by měl vypadat nový občanský průkaz? Měl by obsahovat kontaktní nebo bezkontaktní čip? Jaká jsou zde bezpečnostní rizika? A co ochrana osobních údajů?
V souvislosti s přijetím zákona o základních registrech bude novelizován zákon o občanských průkazech. Změna zákona přináší naději, že se občané ČR konečně dočkají moderního identifikačního dokladu, který bude odpovídat nejen jejich potřebám, ale i trendu moderních technologií. Zákon sice umožní použít technologii čipových karet, avšak není technologicky neutrální, neboť ve druhém paragrafu návrhu zákona se uvádí, že „občanovi se vydává občanský průkaz se strojově čitelnými údaji a s kontaktním elektronickým čipem“. Nový občanský průkaz je součástí návrhu na změnu zákona o občanských průkazech v souvislosti s přijetím zákona o základních registrech, který je projednávám Parlamentem ČR a jehož konečná podoba a obsah se tedy může změnit.
Kontaktní či bezkontaktní čip? Od samého počátku, kdy byl oznámen záměr použít pro nové občanské průkazy čipovou technologii, byly vedeny diskuse, zda volba kontaktního čipu je správná a zda nevytvoří určité bariéry při dalším používání identifikačních technologií. Od vydávání elektronického občanského průkazu se očekává výrazné zkvalitnění procesu prokazování totožnosti občana v nejrůznějších oblastech jeho styku s veřejným i soukromým sektorem. Z návrhu novely zákona je patrná určitá opatrnost,
28
Příloha DSM 2009
rezervovanost či nedůvěra vůči jiným technickým řešením pro identifikaci občana. Není zcela zřejmé, proč navrhovatel zákona uzavřel cestu jiným technologiím tím, že v textu je přímo použit termín „kontaktní čip“. Navrhovatel se zřejmě rozhodl jít vlastní cestou v oblasti elektronické identifikace občanů bez ohledu nejen na evropské zkušenosti, řešení či standardy, ale také bez koordinace s dalšími orgány veřejné moci při vydávání identifikačních dokladů. Tyto obavy vyvstanou ve světle nově vydávaných cestovních dokladů nebo záměru Všeobecné zdravotní pojišťovny vydávat v krátké budoucnosti elektronický průkaz pojištěnce. Při potřebě či nutnosti identifikace občana je i nadále prosazováno použití občanského průkazu v podobě karty, vydané ministerstvem vnitra, což je podle mého názoru velmi krátkozraké, podíváme-li se na věc z pohledu současného stavu i budoucího rozvoje informačních technologií. Navrhované řešení fixuje v mnoha ohledech současný stav a možnost použití elektronického čipu je vlastně komplikací. Pro využívání kontaktního čipu v občanském průkazu jednak nejsou vytvořeny aplikace a není také vytvořena technická infrastruktura. Hlavním argumentem proč byla zvolena tato technologie je, že jde o technologii ověřenou v aplikacích některých států EU a o technologii bezpečnou. Taková argumentace je poněkud zavádějící.
Bezpečnostní rizika Připomeňme jen, že kontaktní čipy v identifikačních průkazech nejsou žádnou novinkou, používají se řadu let (např. v Estonsku byl přijat příslušný zákon již v roce 2000). Od té doby však moderní technologie urazily velký kus cesty ve svém vývoji. Co bylo moderní před 10 lety, je dnes zastaralé. Bezpečnost čipových technologií prošla velkým vývojem, což samozřejmě platí i o bezkontaktních čipech. Jsou opravdu obavy o bezpečnost bezkontaktních čipových občanských průkazů namístě? Je v současné době vhodným řešením technologie kontaktních čipů, které však již zřejmě nečeká téměř žádný dramatický rozvoj a které zanedlouho nebudou vyhovovat potřebám moderní společnosti? Tradiční kontaktní čipová technologie je postupně vytlačována bezkontaktními čipy (známými pod zkratkou RFID), které umožňují vyšší přenosovou rychlost při čtení dat, avšak vyžadují vyšší zabezpečení dat. Radiofrekvenční technologie umožňuje číst a zapisovat informace na určitou vzdálenost. Nesprávně se všechny čipy zahrnují pod pojem RFID čip, čímž vzniká řada nejasností, omylů a chyb při posuzování bezpečnosti této technologie. Původní RFID čipy jsou používány zejména v průmyslových aplikacích; vzdálenost pro čtení a přenos informací je až několik desítek me-
Nové občanské průkazy
trů. V aplikacích pro identifikaci osob se však používají mnohem bezpečnější radiofrekvenční čipové karty (RF-enabled smart cards), které jsou však pouze jednou z nezbytných komponent celkové bezpečnosti aplikace (dalšími jsou čtecí zařízení, softwarová ochrana či design celého aplikačního systému). Informace jsou u těchto karet přenášeny na vzdálenost menší než 10 cm a jsou chráněny různými metodami před neoprávněným odposlechem či jiným útokem. Rozdíl mezi RFID a radiofrekvenční čipovou kartou je asi jako rozdíl mezi analogovým a digitálním televizním signálem. Oba signály jsou přenášeny vzduchem, avšak digitální signál je mnohem pokročilejší a dokonalejší. Stejně tak je RF-čipová technologie mnohem modernější a bezpečnější, dovoluje bezpečné ukládání a přenos informací. Tato technologie byla zvolena více než 40 státy světa pro použití v biometrických cestovních pasech. Současná doba je charakteristická rychlým rozvojem technologií pro bezkontaktní komunikaci. Velký důraz je kladen nejen na přenosovou rychlost, ale také na bezpečnost informací. Bezkontaktní přenos dat je upraven řadou mezinárodních standardů, např. ISO (ISO/IEC 14443 a ISO/IEC 7816), ICAO, CEN a dalšími. Technologie bezkontaktních čipů poskytuje zcela nové obzory pro identifikaci jedince a pro poskytování služeb občanům. Obavy z použití bezkontaktních čipů na bázi RFID jsou nepřiměřené. Vzpomeňme si, jaké argumenty v obavách o bezpečnost byly používány proti RFID čipům v cestovních pasech. Na veřejnosti kolovaly zaručené zprávy o snadném klonování, skrytém čtení dat z čipů, vytváření databází s údaji o držitelích pasů atd. Cestovní doklady s čipem RFID jsou využívány celosvětově a obavy tohoto typu se nepotvrdily. Jistě, zkušenosti s biometrickými pasy nejsou velké, leccos se ještě může přihodit. Pokud se však budeme bavit o bezpečnosti nových občanských průkazů, pak je nutno
ji posuzovat z různých pohledů, nikoliv jen pohledem použitého čipu. K celkové bezpečnosti „systému občanských průkazů“ nepochybně přispívá skutečnost, že v případě použití bezkontaktního čipu nemusí tento průkaz opustit ruce jeho držitele. Jedním z bezpečnostních rizik např. platební karty je totiž právě okolnost, že bývá předávána do rukou cizí osobě. V rozporu s deklarovanou bezpečností je naopak skutečnost, že agendový identifikátor (nový identifikátor občana zavedený zákonem o základních registrech) pro přístup do agendy občanských průkazů bude na novém občanském průkazu zaznamenán ve dvourozměrném čárovém kódu, který ovšem nemá žádné ochranné prvky. Tato část celkového systému občanských průkazů je tedy jednou z nejméně bezpečných.
Elektronický občanský průkaz a ochrana osobních údajů V současné chvíli není zřejmé, jaké osobní údaje o držiteli budou v občanském průkazu uvedeny. Původní návrh, aby v něm bylo uvedeno pouze jméno, příjmení a datum narození, byl napaden některými poslanci, kteří požadují, aby v něm bylo také pohlaví, státní občanství, místo a okres narození, rodné číslo, trvalé bydliště a rodinný stav. Výrazná redukce osobních údajů uvedených v průkaze by mohla mít za následek nárůst krádeží identity a s tím souvisejících podvodů, neboť soukromoprávní subjekty nebudou mít možnost ověřit adresu pobytu (ani doručovací adresu) v základních registrech či zjistit ji přímo z občanského průkazu. Nový občanský průkaz neřeší jeden z hlavních všeobecných problémů identifikačního dokladu – jeho bezesporné „provázání“ na oprávněného držitele. Vždyť trestná činnost páchána pomocí zcizených identifikačních dokladů využívá především tento nedostatek jednoznačné vazby dokladu a jeho oprávněného držitele. Omezení
DSM
nebo prevenci kriminality v souvislosti s tzv. krádeží identity tak nový model občanského průkazu zřejmě nepřinese. Za problematickou věc považuji také skutečnost, že pro elektronickou identifikaci bude muset občan používat výhradně elektronický občanský průkaz v podobě karty s osobními údaji vydané Ministerstvem vnitra. Tento stav je z hlediska rozvoje a používání moderních technologií nevýhodný a zastaralý, zákon však nepřipouští žádnou alternativu. Jsem přesvědčen, že ve velmi krátké době bude možné ke spolehlivé elektronické identifikaci používat i jiné elektronické identifikační doklady (tzv. nosiče elektronické identity, např. dnes již fungující elektronický cestovní pas nebo v budoucnu elektronický řidičský průkaz, průkaz pojištěnce, bankovní kartu či dokonce mobilní telefon). V meziresortním připomínkovém řízení Úřad pro ochranu osobních údajů uplatňoval (neúspěšně) požadavek, aby vlastnění občanského průkazu ve formě karty nebylo všeobecnou zákonnou povinností. Takový návrh byl zárodkem moderního řešení, kdy občan by měl povinnost spolehlivě prokazovat svou totožnost, avšak způsob jakým by to učinil, by byl ponechán na něm. Elektronické identifikační údaje by tak bylo možné uložit na jakýkoliv technický nosič, který by vyhovoval stanoveným technickým a bezpečnostním parametrům. Podle předpovědi asociace výrobců čipových technologií Eurosmart uvolňuje bezkontaktní technologie aplikační a inovační bariéry kontaktních technologií a v roce 2020 budou stávající i nové aplikace vycházet z bezkontaktní komunikace a přenosů informací. Bezkontaktní technologie sníží čekací doby, zvýší rychlost transakcí a sníží ceny za správu technické infrastruktury. Bezkontaktní technologie přinese také větší pohodlí uživatelům. Identifikační průkazy s bezkontaktní čipovou technologií zavedlo Švédsko a Nizozemsko; další státy připravují projekty,
Příloha DSM 2009
29
Nové občanské průkazy
jak tuto technologii využít ve prospěch občanů. Je zřejmé, že RFID čipů není nutno se bát. Problematice bezpečnosti a ochrany osobních údajů při jejich použití je věnováno velké úsilí expertů a nejsou důvody tuto technologii při řešení identifikačních dokladů zatracovat. V dokumentu Evropské komise „Identifikace na základě rádiové frekvence (RFID) v Evropě – kroky k rámci politiky“ se píše, že „RFID se považuje za odrazový můstek k nové etapě rozvoje informační společnosti“. Lze jen doufat, že tomu tak bude i v České republice. Z řady výzkumných i aplikačních projektů lze již dnes říci, že v krátké budoucnosti budou, kromě dnes známých čipů, používány také technologie NFC (Near Field Communication) a zřejmě také produkty na bázi nanotechnologie. Jako příklad lze uvést, že v nedávné době byl zahájen zkušební provoz plateb v městské dopravě v Plzni, založený na technologii NFC v mobilním telefonu. Při volbě vhodné technologie pro nové elektronické občanské průkazy je nutné vzít v úvahu současné znalosti o cestách, kterými se moderní technologie ubírají. Je nutno si uvědomit, že dnes zvolenou technologii nebude možné v budoucnu snadno změnit. K ní totiž bude po několik let budována velmi drahá technická infrastruktura (čtecí zařízení, přenosové cesty, software, apod.), která bude muset sloužit relativně velmi dlouhou dobu, aby se náklady do ní vložené vrátily. Při volbě technologie budoucího elektronického občanského průkazu musí být jedním z kritérií předpoklad rozvoje a modernizace zvolené technologie na mnoho let dopředu. Technické řešení nových občanských průkazů nelze vyzkoušet jen „nanečisto“. P o u ž i t á [ 1 ] [ 2 ] [ 3 ] [ 4 ]
30
Veškeré problémy s celoplošnou aplikací je nutno zvážit předem. Domnívám se však, že přílišná opatrnost a bezpečnostní obavy vedou k řešení zastaralému, které bude moderní informační společnosti brzy vadit a překážet, avšak bude velmi těžké a hlavně hodně drahé je změnit. Jestliže navrhovatelé nových občanských průkazů mají nedůvěru k novým technologiím, bylo by lépe s řešením ještě chvíli posečkat, až se obavy rozptýlí. Bohužel, k vytvoření atmosféry obav a strachu přispívají „protičipové“ aktivity různých spolků a sdružení, které trvale předkládají katastrofické scénáře vytváření trvalého sledování občanů při používání nových technologií. Ukázalo se, že tyto scénáře vyrábí stejná skupina odpůrců čipových technologií, která připravila ukázku možného „klonování“ čipů, přičemž ovšem porušuje elementární pravidla vědeckých pokusů. Jejich demonstrace rizik je čistě účelová a nezohledňuje skutečný stav bezpečnostních opatření při použití RFID čipů, např. v cestovních pasech. Společnost Smart Card Alliance uvádí, že ukázky použité ve videosekvencích jsou u nových cestovních pasů absolutně neaplikovatelné a poukazuje na řadu nesmyslů použitých v demonstracích. K atmosféře nedůvěry však také přispívá zkostnatělá a nemoderní interpretace a aplikace předpisů pro ochranu osobních dat. Ochrana soukromí a osobních údajů nemůže být brzdou pokroku, je nutno nastavit pravidla tak, aby nové technologie a soukromí jednotlivců mohly koexistovat. Právní systém ochrany osobních údajů nemůže být brzdou pokroku a moderních technologií, může stanovit pouze režimy, aby použitím moderních technologií nedocházelo k narušování soukromí
jednotlivců. Evropský inspektor pro ochranu dat Peter Hustinx často uvádí, že legislativa a moderní technologie jsou v oboustranné interakci – nové technologie ovlivňují legislativu a legislativa ovlivňuje technologie a říká: „Tento přístup mimo jiné vychází z přesvědčení, že zatímco nejsou potřeba žádné nové zásady ochrany údajů, je třeba konkrétnějších pravidel pro řešení vzniklých otázek týkajících se ochrany údajů prostřednictvím nových technologií, jako je Internet, identifikace na základě radiové frekvence, atd... “. Vzpomeňme si, jaké obavy přinesly první mobilní telefony s vestavěným fotoaparátem. Scénáře všeobecného „špiclování“ a fotografování každého každým se prostě nenaplnily a dnes si snad málokdo koupí mobilní telefon bez fotoaparátu. Tak tomu nepochybně bude v dohledné době i u aplikací bezkontaktních čipů. Lze si jen přát, aby řešení nového občanského průkazu nevytvořilo archaický projekt, který Českou republiku vytěsní na periferii moderní evropské informační společnosti. Karel Neuwirt
[email protected]
RNDr. Karel Neuwirt Vystudoval matematiku na Přírodovědecké fakultě UP v Olomouci. V letech 2000–05 byl předsedou Úřadu pro ochranu osobních údajů. Nyní pracuje jako nezávislý konzultant. V roce 2007 byl zvolen komisařem pro ochranu dat Rady Evropy. Zabývá se především ochranou osobních údajů ve vztu k používání moderních technologií.
l i t e r a t u r a
Identifikace na základě rádiové frekvence (RFID) v Evropě – kroky k rámci politiky. KOM(2007)96 v konečném znění, Brusel, 15.3.2007. Stanovisko Evropského inspektora ochrany údajů ke zprávě Komise o radiofrekvenční identifikaci (RFID) v Evropě: kroky k rámci politiky COM(2007)96. Brusel, 2007. Viviane Reding: RFID: why we need a European policy. Proslov na konferenci EU RFID 2006. Brusel, 16.10.2006. Statement on passport security. Smart Card Alliance. 2007. (http://www.smartcardalliance.org/pages/publications-epassport-security-statement).
Příloha DSM 2009
COMPAREX
Je pro Vás toto téma aktuální? • zastoupení spoleãnosti ve 25 zemích Evropy, Afriky a Asie
Pak s námi mÛÏete poãítat! ˇ Re‰ení pro datová centra od Comparexu. Technologie od nejvût‰ích svûtov˘ch dodavatelÛ IT.
• více neÏ 30 let zku‰eností v oblasti IT • více neÏ 80 z „TOP 100“ spoleãností v âeské republice jsou zákazníky Comparexu
COMPAREX CZ s. r. o. Dûdinská 29/893 161 00 Praha 6 tel.: 224 318 781 fax: 224 322 292
[email protected] www.comparex.cz
Úvahy o chytřejší planetě. Kapitola 2.
Lepší diagnóza pro chytřejší planetu Problémy se zdravotnictvím jsou známé a dobře zmapované. A také milionkrát prodiskutované. O jedné věci se ale nemluví. Mnoho potíží vzniklo jen proto, že „systém“ zdravotnictví není systémem v pravém slova smyslu. Rostoucí náklady, omezený přístup k péči, spousta chyb, nedostatečné pokrytí, neefektivní léčba či zdlouhavý vývoj léků… Většinu z toho by bylo možné zlepšit, kdybychom uměli propojit diagnostiku, farmaceutický výzkum, lékaře, pojišťovny, zaměstnavatele, obce a konečně i to nejdůležitější – pacienta. Protože dnes toto propojení neexistuje. Leccos se zbytečně opakuje, naopak na jiné věci se zapomíná. Chybí přístup ke zdrojům informací, které mohou zachránit lidské životy. Inteligentnější systém zdravotnictví začíná u lepšího propojení, přesnějších dat a rychlejší analýzy. To znamená, že každý člověk by měl vlastnit zdravotní kartu a mít přístup k síťově propojenému týmu, jenž mu poskytne chytrou péči. Odklonem od papírových karet se sníží chybovost a zvýší efektivita. Což zase znamená aplikaci pokročilých analytických postupů na ohromná množství dat s cílem zkvalitnit výstupy. Chytřejší zdravotnictví je vybaveno vhodnými nástroji, které pomáhají automaticky zachycovat přesné informace. Společná iniciativa společností IBM, Google Health a Continua Health Alliance umožňuje lidem ukládat, sledovat i získávat osobní zdravotní informace. Implanet, francouzský výrobce ortopedických pomůcek, využívá radiofrekvenční identifikaci (RFID) ke sledování implantátů od výrobce až do pacientova těla. Tutéž technologii využívá Masarykův onkologický ústav v Brně při přípravě cytostatik, aby snížil riziko záměny léčiv. Chytřejší zdravotnictví je propojeno a zajištěno z několika stran, takže lékaři, pacienti a pojišťovny mohou snadno
sdílet informace. Těch bývá opravdu mnoho. Servicio Extremeño de Salud, veřejná zdravotnická služba ve Španělsku, umožnila pacientům a lékařům sdílet aktualizované záznamy napříč nemocnicemi a ordinacemi. Umožňuje to rychlejší a přesnější léčbu. Chytřejší zdravotnictví je inteligentní. Používá pokročilé analytické postupy ke zlepšení výzkumu, diagnostiky a léčby. Fakultní nemocnice v Motole proto zavedla „chytrou“ technologii pro rychlou a bezpečnou správu velkého objemu dat. Systém umožňuje nepřetržitý přístup k údajům nezbytným pro léčbu a eliminuje riziko jejich ztráty. Jednalo se o první nasazení technologie Grid Medical Archive Solution (GMAS) v Evropě. GMAS zajišťuje bezpečnou správu dat, která denně generují lékařské přístroje jako jsou magnetická rezonance, rentgen či počítačová tomografie. Data se pohybují v rozmezí od několika megabajtů po desítky gigabajtů z jednoho vyšetření. A konečně: k chytřejší zdravotní péči patří i analytické postupy vedoucí ke zlepšení výzkumu, diagnostiky a léčby. IBM pomáhá předním světovým univerzitám vytvářet celosvětovou síť zdravotnických údajů, která slouží lékařům. Tyto databáze v současnosti obsahují miliony digitálních snímků. Chytřejší zdravotnické systémy přesahují rámec jednotlivých pacientů a nemocí. Nápady z jedné oblasti mohou být využity v celém systému, stále efektivnějším a lépe propojeném. To by mělo vést ke snížení nákladů, zlepšení péče i zdravotního stavu jednotlivců či celých komunit. Pak už budeme mít skutečný systém – systém zaměřený na pacienta. Budujme chytřejší planetu. Připojte se k nám a nahlédněte, co si myslí ostatní, na ibm.com/planeta/cz/healthcare
IBM, logo IBM, ibm.com a ikona planety („planet icon“) jsou ochranné známky nebo registrované ochranné známky společnosti International Business Machines Corporation v USA a dalších zemích. Aktuální seznam ochranných známek IBM k dispozici na internetu na www.ibm.com/legal/copytrade.shtml, v sekci „Copyright and trademark information“.