Marie Dorušková, Lenka Kmeťová eIDAS Laboratoř IS a procesního modelování Marie Dorušková, Lenka Kmeťová
nařízení Evropské komise, které upravuje záležitosti bezpečné elektronické komunikace. reguluje dvě hlavní oblasti elektronickou identifikaci elektronický podpis. platí od 1. července 2016 nařízení se překládá ve smyslu „služeb vytvářejících důvěru“, a nikoli ve smyslu „důvěryhodných služeb“. Proč??? snahou o vybudování tzv. jednotného digitálního trhu umožnit vzájemné uznávání eID prostředku (elektronické občanky). Zákon o elektronickém podpisu (227/2000 Sb.) zrušen zákonem o službách vytvářejících důvěru pro elektronické transakce. CO JE eIDAS? nařízení nemá (a ani by reálně nemohlo mít) ambice „pokrývat“ úplně všechny služby, které by měly fungovat důvěryhodným způsobem. Což by měly být snad úplně všechny elektronické služby, včetně nejrůznějších spisových služeb, internetbankingů, rejstříků a podobných věcí. Místo toho se nařízení eIDAS soustřeďuje jen na takové služby, které produkují „něco“, z čeho je důvěra odvozována, či na čem je zakládána naše důvěra v něco jiného. Názorným příkladem mohou být právě certifikáty a elektronické podpisy: z nich odvozujeme, zda a kým je nějaký dokument podepsán, a na tom pak stavíme svou důvěru v samotný dokument a jeho obsah. Ostatně, i v anglickém originále se nařízení týká „trust services“ (doslova: služby důvěry, služby produkující důvěru, služby vytvářející důvěru apod.), a nikoli „trusted services“ (důvěryhodné služby). Za to, že u nás bylo nařízení přeloženo věcně správně (i když jazykově asi „složitěji“), vděčíme skutečnosti, že naše ministerstvo vnitra se včas poradilo s odbornou komunitou, jak anglický název správně přeložit. Na Slovensku to nejspíše neudělali, a tak mají nařízení „o dôveryhodných službách“. Jakpak asi budou říkat těm službám, které nespadají pod toto nařízení? Budou říkat, že „nejde o důvěryhodné služby“, nebo budou rovnou říkat, že jde o „nedůvěryhodné služby“? Velmi zjednodušeně řečeno, aby se např. Estonec, který má v České republice firmu, mohl se svojí elektronickou občankou přihlásit do datové schránky.
CO SE ZMĚNILO? Zavedení elektronické pečeti Kvalifikovaný elektronický podpis - Uznáván přeshraničně Zaručený elektronický podpis založený na kvalif. certifikátu - Jako vlastnoruční podpis Zavedení tzv. kvalifikovaného elektronického podpisu, pro který je třeba vlastnit jednak tzv. kvalifikovaný certifikát pro elektronický podpis (certifikát vydaný některou z kvalifikovaných certifikačních autorit), ale nově též podpis vytvářet prostřednictvím tzv. bezpečného prostředku, jako je např. vybraná čipová karta či USB token CO SE ZMĚNILO? Dříve používaný termín elektronická značka je nyní elektronická pečeť. Náhradou za kvalifikovaný systémový certifikát se tak stane certifikát pro elektronickou pečeť. Současné kvalifikované časové razítko se pak stane elektronickým časovým razítkem a termín kvalifikované časové razítko bude používán pro nadřazený, druhý typ razítka.
VÝHODY Standardizace Zajištění kompatibility Přeshraniční uznávání Dostatečná bezpečnost elektronických služeb Důsledky: nárůst online služeb, efektivní a pohodlná komunikace VÝHODY
PROBLÉMY Nezavádí digitální kontinuitu Revokace certifikátu zneplatnění nabývá účinku okamžitě po zveřejnění že okamžikem, ke kterému byl certifikát revokován, je přímo okamžik zveřejnění informace o jeho revokaci. že okamžikem, ke kterému byl certifikát revokován, je okamžik, o kterém rozhodla autorita (poskytovatel služby vytvářející důvěru). Ale že celý akt revokace (předčasného zneplatnění) zůstává neúčinný, dokud nedojde ke zveřejnění PROBLÉMY a zjišťování stavu revokace explicitně nezmiňuje: udržování elektronických dokumentů a jejich podpisů (značek, pečetí) v takovém stavu, aby se s nimi dalo pracovat. Tedy včetně možnosti ověřit platnost podpisů, a následně se spoléhat na obsah podepsaných dokumentů.
CERTIQ Webová aplikace kontroluje, zda předložený certifikát je kvalifikovaný či je používán pro účely vydávání kvalifikovaných elektronických časových razítek kvalifikovaným poskytovatelem služeb vytvářejících důvěru usazeným v některém členském státu EU nebo státu Evropského hospodářského prostoru. CERTIQ
Poskytovatelé v zahraničí a ČR ČR – 3 poskytovatelé Elektrotechnický zkušební ústav, tayllorcox.com Nejvíce – Itálie, Španělsko, Francie, Německo 0 poskytovatelů – Kypr Akreditace - Český institut pro akreditaci
porušení oznamovací povinnosti (do 24 hod porušení oznamovací povinnosti (do 24 hod. vyrozumět orgán dohledu o každém narušení bezpečnosti, nebo ztrátě integrity) hrozí pokuta až ve výši 1 mil. Kč. eIDAS nově pod sankcí až 2 mil. Kč zavedena poměrně obecná povinnost spočívající v přijetí vhodných technických a organizačních opatření k řízení rizik ohrožujících bezpečnost. ZAJÍMAVOSTI
https://www.lupa.cz/clanky/eidas-a-elektronicke-podpisy-pujde- jeste-overovat-jejich-platnost/ https://www.eidas.cz/ https://www.systemonline.cz/it-security/fenomen-jmenem- eidas.htm http://www.mvcr.cz/clanek/metodicky-seminar-dopady-narizeni- eidas-po-1-7-2016.aspx Zdroje
Děkujeme za pozornost : ))