logo GORDIC spol. s r. o.

Bezpečná autentizace uživatelů ISDS v rámci digitalizace státu

Digitalizace jako podstatný ukazatel modernizace státu je dnes jedním z nejčastěji skloňovaných výrazů. Jejím klíčovým parametrem je pak bezpečnost a autentizace uživatelů. Zejména pak ve spojitosti s datovými schránkami a způsobem přihlašování do nich stále často narážíme na neopodstatněnou otázku, zda ta která platforma umožňuje přihlášení pomocí přístupových údajů.

Otázka přihlašování do datové schránky u odborníků na bezpečnost dat vyvolává smíšené pocity mimo jiné i proto, že počet držitelů nějakého prostředku elektronické identifikace napojeného na kvalifikovaný systém provozovaný v souladu s požadavky zákona č. 250/2017 Sb. o elektronické identifikaci je oproti vlastníkům datové schránky fyzické osoby násobně vyšší.

Zatímco počet datových schránek fyzických osob překonal hranici osmi set tisíc až koncem září roku 2023, již v březnu bylo dle dostupných údajů vydáno přes dvanáct milionů prostředků elektronické identifikace. Tedy patnáctkrát více.

"Řada obyvatel ČR tak disponuje dvěma a více prostředky pro elektronickou identifikaci, naopak počet těch, kteří žádný takový prostředek nemají, stále klesá. Přesto stále přetrvává dávno překonaná představa, že jediným správným nástrojem pro deklaraci identity klienta služby nabízené na internetu jsou právě přístupové údaje do datové schránky klienta, tedy v podstatě jméno a heslo. A to žel nezřídka i u poskytovatelů služeb z oblasti veřejné správy, kteří tento přežitý, bezpečnostně i legislativně neodůvodnitelný požadavek stále propisují do funkčních specifikací k veřejným zakázkám," říká Vít Cvrček, Senior konzultant odboru metodiky archivní a spisové služby společnosti GORDIC.

Častým argumentem konzervativců je odkaz na úvodní stránku státního Portálu občana, kde se stále využití přihlašovacích údajů k datové schránce nabízí.

Klient, který se tímto způsobem přihlásí, toho však na portálu příliš nevyřídí, protože rozhodná většina zde publikovaných služeb je dostupná až po skutečném prokázání digitální identity, tedy s využitím elektronické identifikace v souladu s ustanovením § 2 zákona č. 250/2017 Sb. o elektronické identifikaci.

Prostředek pro elektronickou identifikaci má pak stejným zákonem předepsánu tzv. úroveň důvěry na úroveň ZNAČNÁ - ta je pak Prováděcím nařízením 2015/15023 Komise (EU) k nařízení eIDAS ve vztahu k vydávaným prostředkům jasně definována.

Definice úrovně důvěry:

Nic z toho pochopitelně ony adorované přihlašovací údaje nesplňují. Jméno a heslo je klasický jednofaktor, samotný Informační systém datových schránek navíc i nadále uživateli umožňuje v nastavení vypnout změnu hesla po devadesáti dnech. Tedy ideální podmínky pro kompromitaci přístupových údajů, zejména jsou-li uloženy ve správci hesel internetového prohlížeče.

Je proto dobře, že na uživatele Informačního systému datových schránek (ISDS), kteří se do systému přihlašují na adrese mojedatovaschranka.cz, čeká po úspěšném přihlášení upozornění, že by bylo vhodné začít používat některý z prostředků elektronické identifikace.

Ještě lepší by však samozřejmě bylo původní formu přihlášení do datové schránky konečně vyřadit, a to i pro přístup k agendovým informačním systémům. Času na přechod řešení v souladu se zákonem č. 250/2017 Sb. již měli jejich provozovatelé dost.

Nebudou-li nastavená pravidla kontrolována a vynucována, se změnou k lepšímu počítat nemůžeme. Zlaté pravidlo - když to funguje, tak se do toho nevrtá - je bohužel hluboce vryto do mysli značné části provozovatelů informačních systémů a na ně napojených portálů.

Stačí se rozhlédnout po internetu a velmi záhy najdeme stránky, které dosud existenci Identity občana nezaznamenaly či ji v lepším případě jen přidaly k osvědčeným řešením přístupu - a nejde zdaleka jen o malé obce.

Další články k tématům - autentizace - datové schránky - digitalizace - eGovernment - eIDAS - ISDS - zákon - Vít Cvrček

Článek GORDIC spol. s r. o. ze dne úterý 16. ledna 2024

Další články od GORDIC spol. s r. o.

Certifikovaný komerční GORDIC cloud s bezpečnostní úrovní BÚ 3

Roadshow pro školy 2024 - největší česká konference o technologiích ve vzdělávání

Signalizace rizik u podepisovaných elektronických dokumentů

GORDIC je strategickým partnerem Vysoké školy polytechnické Jihlava

Audit kybernetické bezpečnosti s aplikací CSA

Digitalizace agend a řízení oběhu dokumentů VŠPJ

Organizace a úřady stále častěji používají ePodpis a ePečeť

Bezpečná autentizace uživatelů ISDS v rámci digitalizace státu

CSA aplikace pomáhá s řešením požadavků ZoKB, ISO 27000 a NIS2

Elektronický systém spisové služby pro školy

Nová řešení a služby kybernetické ochrany reagují na směrnici NIS2

Osobní kybernetická hygiena pomáhá čelit bezpečnostním hrozbám

Infrastruktura jako kód

Nové sídlo GORDIC Praha

Pomůžeme se zavedením směrnice NIS2

Praktické využití blockchainu při ověřování pravosti dokumentů

O2 IT Services vstupuje do partnerského programu GORDIC

Nepozorný zaměstnanec jako riziko kybernetického útoku

Chytré zodolnění v podmínkách českých organizací - zapojte se do výzkumu

Integrace portfolia produktů BBM do platformy pro veřejnou správu GINIS

Management často podceňuje kyberzpečnost firemního IT

Digitální služby veřejné správy musí být snadno dosažitelné a uživatelsky přívětivé

GORDIC pomáhá se zajištěním chodu služeb veřejné správy

Platforma GINIS se otevírá širokému okruhu vývojářů

Jaromír Řezáč získal ocenění Řád Vavřínu za modernizaci veřejné správy

Koncept chytrých měst a regionů s podporou spolupráce GORDIC a České spořitelny

GORDIC Partner Program pomáhá rozvoji projektů informačních systémů pro veřejnou správu

Žádosti o kotlíkové dotace v Karlovarském kraji bez front

Bezpečná, spolehlivá a efektivní řešení informačních systémů na platformě Microsoft Azure

GORDIC je vítězem soutěže Ocenění českých lídrů pro Kraj Vysočina

Průzkum o chování českých uživatelů internetu

Agendu a finance Prahy 1 pomáhá řídit informační systém GINIS

Smlouvy elektronicky od A po Z - vítězný projekt v egovernment soutěži

Koncept Smart Cities je krokem k trvale udržitelnému rozvoji měst

Vím, kam klikám - nový projekt pro bezpečnost dětí na internetu

Jednoduché prověření podnikatele ve veřejných rejstřících

Transparentní úřad a jeho otevřená data