Opțiuni imediate pentru un sistem viabil de identitate electronică
Suspendare relațiilor cu publicul, distanțarea socială – toate se bazează pe trecerea la o interacțiune electronică, securizată, accesibilă unei cât mai mari părți din populație. Totul este posibil numai în baza unor soluții de identitate electronică ”populare” și sigure, voi trece deci în revistă în continuareopțiunile, termenele și măsurile necesare pentru a înrola minim 1 milion de cetățeni în următoarele 3 luni.
Pentru a seta parametrii argumentației în termeni accesibili voi defini identitatea ca fiind un cumul de caracteristici care definesc unic o persoană, autentificarea ca fiind procedeul tehnic de dovedire a identității iar gradul de încredere (trust) ca fiind măsura importanței acțiunilor bazate pe o identitate electronică considerate cu un risc acceptabil. Cadrul legal specific se bazează pe regulamentul eIDAS întrucât parlamentul României nu a reușit, în ultimii 2 ani, să adopte măcar unul dintre cele 4 proiecte de lege relevante, începând desigur cu cel al Cărții Electronice de Identitate.
Ca principii fundamentale merită subliniat faptul că o identitate apare fie printr-un act (administrativ – emiterea cărții de identitate sau religios – taina botezului în vechime) fie prin asumare și utilizarea constantă a unei identități (cazul UK unde nu există acte de identitate). Identificarea cu un grad ridicat de încredere impune astăzi utilizarea a doi factori din trei (ceva ce ști, ceva ce ai, ceva ce-ți este caracteristic).
O identitate este universală, naturală, nelimitată la un scop iar materializarea ei tehnică impune același caracter universal, standardizat, utilizabil în orice scop sau sistem.
Revenind la situația prezentă, astăzi avem doar cele aproximativ 300.000 de certificate calificate a căror număr este greu de crescut atât din cauza prețului cât mai ales al necesității identificării la ghișeu în vederea emiterii.
Un număr mai mare de identități electronice – 560,000 – avem în platforma de plăți electronice ghiseul.ro . Aceasta este dezvoltată de Asociația pentru Plăți Electronice (APERO) și operată de Autoritatea pentru Digitalizarea României (ADR). Identitățile prelucrate au ca sursă mai multe canale de înrolare, cele mai multe fiind bazate pe un card bancar. Autentificare în ghișeul este simplă (1 factor), nu există un mecanism standardizat de reutilizare a identității în alte platforme.
Acțiuni necesare:
- creșterea gradului de încredere a identității prin trecerea la 2 factori (cardul bancar și codul de plată primit prin SMS)
- creșterea gradului de încredere a autentificării prin trecerea la 2 factori (parola și link confirmare pe email)
- implementarea unui mecanism de interoperabilitate a identității precum OAuth
- publicarea unor documente obligatorii (politică de securitate, informare GDPR)
Fiecare dintre acestea necesită o dezvoltare/donație din partea APERO. Întrucât sunt mecanisme standardizate integrarea lor poate fi făcută în cele 3 luni asumate ca obiectiv al acestui articol.
Un număr de 1.100.000 de identități există în zona Ministerului Finanțelor Publice (MFP) în cadrul Spațiului Privat Virtual (SPV). Acestea sunt astăzi exploatabile într-un sistem OAuth bazat pe echipamente hardware de capacitate ridicată.
Acțiuni necesare:
- publicarea unor documente obligatorii (politică de securitate, informare GDPR)
Aproximativ 2.000.000 de identități electronice există în mediul bancar, aferente aplicațiilor de internet banking.
Acțiuni necesare:
- implementarea unui mecanism de interoperabilitate a identității precum OAuth de către fiecare bancă participantă
- desprăfuirea cadrului legal, existent încă din anul 2008, care permite unei bănci sau companii telecom să devină furnizor de identitate, alinierea acestuia la eIDAS
deși efortul tehnic poate părea substanțial băncile ar trebui să fi fost pregătite de directiva PSD2. O bună parte dintre ale s-ar putea încadra în cele 3 luni asumate.
Aproximativ 4.000.000 de identități există sub forma pașapoartelor electronice, cu avantajul semnificativ al distribuirii și în diaspora. Acestea pot fi înrolate și utilizate prin intermediul unei aplicații inovative similare celei lansate de guvernul francez la finalul anului 2019. Practic cip-ul pașaportului este citit de telefon prin NFC (primul factor), se compară un selfie live cu imaginea titularului (al doilea factor) și se emite un token OAuth. Cum pașapoartele UE sunt standardizate aplicația franceză ar putea funcționa cu pașapoartele românești fără modificări substanțiale.
Acțiuni necesare:
- contactarea guvernului Franței pentru consiliere
- obținerea aplicației fie gratuit pe linie guvernamentală fie achiziționarea sa de la compania Thales în limita celor 3.5 milioane euro plătite de guvernul francez.
este probabil varianta cu cel mai mic preț/identitate și un termen scurt de implementare fără riscuri de amânare.
Citeste intreg articolul si comenteaza pe contributors.ro