Elektronické zdravotné preukazy (Obstarávanie OPII)

V eHealth su logovane vsetky pristupy a pokusy o pristupy k vasej dokumentacii vratane vasich vlastnych pristupov.

Na to aby ste mohli vidiet svoje zaznamy, musite mat ZEP. A to je velky kamen urazu.
ZEP je z miliona eID iba na 50k kartickach. Ostatni nepoziadali o ZEP alebo ani nevedeli ze maju ziadat.
Obnova obcianskeho je vsak 10rokov a po 60 nepovinna takze mame milion ludi s eID bez toho aby ho realne mohli vyuzit. A preto pomoze ePP ktore si poistovna moze vydavat kazdy rok a cas obmeny je kratsi. Ak by sa podchytilo eID na zaciatku, bolo by ePP otaznejsie.

A v tom je predsa tragedia celeho OPISu - ze strategicke zamery (pretoze eID bol strategicky zamer, nie ePP) sa ohnu a potom sa nakupuju kadejake potemkinovske riesenia, ked uz je “jasne” ze ist strategickou cestou ma vela nevyhod a “nestiha sa to”.

O ZEP sa da kedykolvek poziadat dodatocne.
Treba prist na pracovisko policie a zadat si hesla.
Predpokladam, ze to iste bude treba robit aj v pripade ePP.
Dokonca zakazdym pri zmene poistovne.
Takze je praktickejsie dotiahnut vdaka eHealthu aj eID so ZEP.

Neviem, co bolo za tym, ze informaciu o troch certifikatoch na eID nedavali pri tvorbe eID obcanovi, alebo take velke mnozstvo ludi za zlaklo ZEPu.
To, ze si ma 900k obcanov prist na policiu prist nahrat ZEP mi pride ako nerealne v normalnom case. Otazna je tiez motivacia, preco by to robil. Najskor musi byt dostatocna ponuka a adekvatna bezpecnost aby to spravil.
Ako to budu robit poistovne netusim. Mozno ako banky ze jednou postou karta a druhou doporucenou postou pin.

1 Like

Podla teba to kvoli ePP nebude potrebovat?
Pokial je mi zname, tak ePP ma fungovat rovnako, ako eID so ZEP. Takze nielen PIN, ale aj PUK a BOK. Z hladiska bezpecnosti by si mal uzivatel zadavat tieto udaje sam, takze som tiez celkom zvedavy, ako to vymyslia.
Ale ovela radsej by som bol, keby to nemuseli vymyslat a zrusili cely ePP a radsej podporili eID.

ePP dostane ci chce alebo nechce, pretoze mu to poistovna posle. Ako sa dostane k ZEPu neviem, nestudoval som to dopodrobna. Ked ho bude mat, dostane sa k svojim zdravotnym zaznamom. Ci to bude dostatocna motivacia, aby si aktivoval ZEP sa uvidi.
Tiez by som bol rad, ak by bola iba jedna karta. Pri eID treba doriesit co s detmi do 15 rokov, co s dospelymi po 60tke a hlavne ako motivovat a to je jedno ci eID alebo ePP, aby si ludia aktivovali ZEP.
Moj osobny odhad je, ze to bude trva generacnu vymenu, pokial bude penetracia ZEP aspom 80%.

Zrušme teda eID, keď je neschopne manažované (“ľudia ani nevedeli že…”) a málo praktické (obnova 10 rokov, problém vek<15, vek>60), zaveďme naspäť občiansky ako plastovú kartičku s ochrannými prvkami - a na elektronické služby nech sa používa ePP. Ušetríme hory € a povinné poistenie ako základný nositeľ identitiy je predsa v zahraničí odskúšaná vec.
Ale nie, to bol zlý pokus o vtip.

Či to nie je vtip? Niekto reálne rozhodol, že eID “sa nedá reálne použiť”, tak poďme zaviesť nové kartičky?

Argumenty týkajúce sa mladých/starých ľudí sme sú diskutované už vyššie, a ZEP - veď s tým bude rovnaký problém na akejkoľvek kartičke. Čo vlastne bude robiť ePP bez funkčného ZEP?
Predpokladá sa že poisťovne ZEP vedia efektívne riešiť (čo mi pripadá ako wishfull thinking) a MV SR nie. Tak v prvom kroku zmeňme fungovanie MV. Ak to znie ako prílišná utópia aj na túto diskusiu, no tak umožnime poisťovniam vydať/obnoviť ZEP na eID. Treba si uvedomiť že ZEP je dnes na všetko, ak mi teda poisťovňa vybaví “nejaký ZEP”, načo mi bude “druhý ZEP” na inej kartičke? A ani ten ZEP na eID nie je “ZEP vydávaný ministerstvom vnútra”, pozrite sa lepšie, je to “ZEP vydávaný Disig a.s.”

Ja som za realne zmeny v eID a 1 kartu. ePP mi pride ako podvod na obcanoch z tejto diskusie aj inych diskusii ako subor dovodov ako vytvorit pre niekoho biznis.
Treba sa zamerat na efektivne riesenia. Je jednoduchsie vydat nove eID resp. vydat nariadenie o dohrani ZEP ako vydavat dalsie karty.

Prestudoval som si ePP, eID a Estonsko podrobnejsie a upresnim informacie.

Na to, aby sme sa dnes dostali k zaznamom na Elektronickej Zdravotnej Knizke Obcana, potrebujeme sifrovaci kluc X.509 na eID karte. Sifrovaci kluc na eID dostanete iba vtedy, ked poziadate na policii o ZEP a to pisomnym formularom, kedze sa jedna o osobne udaje. Dnes poziadalo z 1.3 miliona eID iba 50k obcanov o ZEP, tym padom ma iba 50k obcanov sifrovaci certifikat.

ePP nema mat ZEP, ale len sifrovaci certifikat. Na jeho vydanie nepozaduju podpisany formular, cize ani osobnu navstevu. Bude sa distribuovat postou tak ako ked sa distribuju bankomatove karty. Karta samostatne a PIN (BOK) samostatne. To znamena, ze ePP viete vyrolovat v priebehu mesiacov na vsetkych obcanov vcitane deti a dochodcov.

Vyrolovat aktualizaciu vsetkych vydanych eID sa da iba osobne na pracoviskach policie a nevidim sancu, ze k tomu donutime obcanov aby to spravili. Je podla mna velka skoda, ze sa spajal ZEP so sifrovacim certifikatom na eID a sposobil sa tento stav.

Estonci to spravili od podlahy pred rokmi, ked vsetkym vymenili postsovietske obcanaky za nove eID vratane sifrovacich certifikatov a ZEP a nikoho sa nepytali ci to chce alebo nie.
U nas by to znamenalo, opat nahnat 1.25Miliona ludi co maju eID bez ZEP a vsetkych co nemaju ziadne eID v priebehu roka aby si povymienali eID za eID so ZEP a sifrovacim certifikatom, ci sa im to paci alebo nie. Ci je to realne a niekto bude ochotny taku akciu spustit neviem posudit.

4 Likes

“Ja som za realne zmeny v eID a 1 kartu.”

Ja som tiez za 1 kartu… Nehovoriac o tom, ze cim viac karticiek, tym viac PINov a tym vacsia pravdepodobnost, ze ludia budu mat na tie PINy tahaky.
Navyse PIN k ePP moze mat aj viac ako 4 cisla a vzhladom na to, ze ePP obcan vyuzije par krat za rok, tak si to cislo bud vzdy doma pozrie predtym ako pojde k lekarovi alebo si ho zapise na papierik vedla karticky :slight_smile:
Cim viac kariet, tym viac adidas.

Velmi dobre podane zhodnotenie aktualneho stavu. Rovnako mam pocit, ze tuto zalezitost uz musime brat “as is” a mozno ako poucenie do buducnosti.
Ked sa pozrieme na druhu stranu mince, tak nanutenie eID so ZEP vsetkym obcanom sa mi zda drsne, nakolko si viem predstavit mnohych podvodnikov, ktori by to vedeli vyuzit - najmä u starych ludi cez “social engineering”, kedze ZEP je pravne ekvivalentny normalnemu podpisu.

Celkom zaujimave clanky na temu eID identity theft: https://www.ria.ee/riigiarhitektuur/blog/tag/eid/

A celkom zaujimave riesenie s vyuzitim biometrickej identifikacie v Nigerii - http://www.vanguardngr.com/2014/08/national-eid-card-scheme-address-identity-theft-criminal-vices/

Základná vec: nemyslím si že eHealth je úplne výnimočný svet oproti všetkým ostatným službám v tomto štáte a to ani z hľadiska dôvernosti údajov. Takže ten istý problém čo sa rieši teraz bude aktuálny aj pre iné služby (čo ja viem, odpis z registra trestov, kde sú aj zahladené veci). Čiže očakávam rovnaké, štandardné riešenie. Dnes zvolený štandard = eID.

Chce to serióznu analýzu, prečo by sa to nedalo spraviť s tým čo má eID dnes, resp. ak treba niečo dorobiť, ako to spraviť čo najľahšie.

Napr. v rámci autentifikácie, ktorú vedia robiť všetky eID (je to časť nezávislá od ZEP) sa vytvára online bezpečný kanál medzi kartou a auth. serverom. Dá sa v rámci tejto komunikácie spraviť iniciálny setup pre šifrované spojenie k službám eHealth? - Na to by stačilo upraviť eID klientskú aplikáciu, ktorá má auto-update.

Alebo ešte ináč - aká je autentifikácia eHealth serverov voči klientovi ich služieb? Ak je to obyčajné SSL/TLS, je vôbec nejaký bezpečnostný prínos nadštandardných mechanizmov (ďalšie šifrovanie cez špeciálny certifikát) na strane klienta? Tieto bezpečnostné veci sú chúlostivé na detaily a skrátka prilepenie “ďalšieho šifrovania” nemusí nič vyriešiť.

Aj keby to tak bolo, “rolovanie” nie je tá najdôležitejšia vec. Treba zvážiť aj prevádzkové náklady, ktoré zostanú navždy - kartičky, ich manažment, podpora klientov. Centrálna IT infraštruktúra, jej údržba, klientská IT infraštruktúra - čítačky, softvér, toho údržba na náklady klienta. Zvýšené nároky na držiteľa karty, napr. blokovanie/obnova/vydanie novej karty - o ďalšiu kartu viac, pamätanie ďalšieho PIN, nosenie ďalšej karty. Takéto veci by v serióznych CBA mali zavážiť.

Keď sa nájde správne riešenie, v prvom rade treba “zachrániť” tých zvyšných zopár miliónov ľudí čo ešte eID nemajú, aby na prvý krát dostali všetko čo treba. Druhá vec je, že či všetko s eID musia riešiť iba JP PZP, ja si myslím že absolútne nie. Ďalej, ZEP tu o chvíľu budú povinne musieť používať všetky právnické osoby (povinná aktivácia schránok), takže určité naháňanie tu bude aj tak.
Popri tom všetkom etapové nasadenie služieb eHealth.

1 Like

Vyrolovanie 1,25 milióna ZEPov na eID už “nič” nestojí, lebo je to zarátané v budgete eID. Pričom vyrolovanie ZEPov na eHealth bude stáť niekoľko miliónov.

Kto nebude mať eID, nech sa prihlasuje cez štandardné heslo. Tí čo budú mať eID sa budú prihlasovať cez eID. nepotrebujeme ePP. Je to totálna blbosť.

Deti sú zastúpené zákonným zástupcom, takže nepotrebujú mať samostatnú kartu a starým ľudom stačí stará karta poistenca. Starí ľudia ani len nebudú používať eHealth, lebo nevedia používať počítače. Viď Estónsko, kde starí ľudia nepoužívajú eGov.

Sifrovanie je komplikovanejsie ako SSL.

eID je samozrejme bez nakladov. Problem je v case rolloutu. Obmena obcianskeho je 10 rokov. A po 60 je nepovinna. ePP mas kazdy rok.
Riesenie vidim v spristupneni moznosti aktualizacie eID napriklad na poste. Samozrejme bude treba zasah do eID systému a dohodnut poplatky s postou.

Samotné fyzické kartičky nie sú jediným výdavkom projektu, ale tvoria iba cca 1/3 - aj to sú záhady projektu. Avšak ked už občania majú k dispozícii geret čo dokaze šifrovať (eid) a pre ehealth chceme iba EP a nie zep tak stačí urobiť online enroll apku, ktorá umožní

  1. Buď uložiť EP do eid ( ak ho ovčan už ma)
  2. Alebo ho enrolnut na iné smart card zariadenie (myslim ze certifikáciu zhody by zvládlo aj NBU), a kľudne nech si to rozchyta trh a predávaju prazdne smart karty na pošte ako telko prepaid (Easy) karty
  3. Alebo ho enrolnut do mobilnej apky
    vysledok:
    Žiadny další geret ked nechcem, alebo použijem ten čo mám, a šifrovanie z technologického pohladu zrovnateľné so ZEP.
1 Like

Zvláštne je, že oficiálna informácia je takáto:

Bude eID využiteľné v zdravotníctve?

eID je občiansky preukaz s elektronickým čipom, ktorý bude postupne 
nahradzovať klasický občiansky preukaz. Riešiteľom a gestorom zavádzania
 eID je Ministerstvo vnútra SR. eID má umožniť využívanie elektronických
 služieb verejnej správy (eGovernmentu) občanmi. Keďže aj eHealth je 
súčasťou eGovernmentu, bude využiteľný aj v eHealth, najmä pri bezpečnom
                                                     ^^^^^^^^^^^^^^^^^^^
 prístupe občana k svojej elektronickej zdravotnej knižke cez Národný 
 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
portál zdravia. 

Veď ono sa to ak som dobre pochopil nevylučuje. Vyššie je uvedené, že šifrovací kľúč je na eID karte vtedy, ak je tam zapnutá funkcia ZEP. Čo je základný problém - ak máme 1 mio kariet vydaných a z toho len 50k je aktivovaných aj so ZEP, tak to na jednu kartu nedostaneme. Čo ale riešiť vieme, je forma zabezpečenia. Nevidím dôvod, prečo by bolo nutné mať pre eHealth aktivovaný ZEP a nestačí len EP, ktorý je myslím vydávaný “by default” priamo s eID kartou. Veď u lekára ani nikde inde nevyžadujú notársky overený podpis. Ak sa vyrieši normálne logovanie do systému a zaznamenávanie všetkých prístupov vrátane možnosti kontroly, tak to vedia riešiť na jednej karte už dnes len cez EP.

IMHO:
ZEP ma rovnaku pravnu silu ako obycajny “rucny” podpis. Notarsky overeny podpis by to bol, ak by bol pri ukone vyzadovany notarsky podpis (ako nestranny svedok).

EP nestaci preto, lebo legislativa a pravidla definovane NBU. ZEPove certifikaty musia splnat nejake kriteria. Podrobnosti neviem (nezaoberam sa tym), ale ked pocuvam ludi, co s tym robia, tak mam dojem, ze to mame nastavene o dost prisnejsie ako vacsina krajin EU.

Pre eHealth bol rozsireny eID klient (applikacia a plugin), ktore rozsiruju jeho funkcnost o sifrovanie a desifrovanie zanamov v EZKO a o preukazovanie pritomnosti pacienta.

Preco by sme vlastne mali mat ambiciu nieco vyrolovat na obcanov?
Ak sa obcan slobodne rozhodne, ze chce vyuzivat nejaku sluzbu eGov, tak si vybavi eID. Umelo vyvolana hystéria o potrebe vyrolovania vela plastu a “donutenia obcanov” zavana nekalou hospodarskou sutazou.
Biz model ala - vymyslim si sluzbu z ktorej mi bude, kazdy obcan zo svojho zdravotneho poistenia prispievat na lestenie jachty je cista prasacina…