Nemyslím si, že by sme boli v bode 0, ak si dnes v tatrabanke viem obmedziť kartové operácie cez internet na 0,- EUR tak ich banka jednoducho nezrealizuje. V prípade, že potrebujem realizovať platiť cez internet tak si zapnem platby cez internet, resp si nastavím limit.
A rovnako nie je zlé, ak si viem nastaviť další faktor autorizácie, token, SMS.
Otázkou je, čo so sprísneným úkonmi napr. Prevod Nehnuteľností.
Ak vies vypnut/zapnut platby cez internet cez internetbanking, tak to nie je ziadna velka ochrana, v pripade, ze mas napr. kompromitovany pocitac/mobil. Motivovany utocnik ti pred vybielenim uctu zmeni nastavenie. Preto je podla mna lepsie ist cestou viacerych faktorov.
Je jednoduchšie kompromitovať milión elektronických rozhodnutí, ktoré sú uložené na jednom mieste alebo milión rozhodnutí v listinnej podobe, ktoré sú rozložené po celom Slovensku?
Napriek tomu všetci chcú elektronické rozhodnutia.
Rovnako ako NBÚSR123 budú zabezpečené agendové systémy a kompromitácia sa začne riešiť až keď to bude neúnosné. Dnes ti budú všetci tvrdiť, že je všetko OK.
Určite nastavovanie limitov a jednotlivých úkonov musí byť realizované cez sprísnenú validáciu užívateľa. Internet banking Tatrabanky heslo a token, cez mobil sí limity nenastavíš.
Napadlo mi, že rovnako by sa mohlol riešiť aj spôsob komunikácie so štátom. V edesku vy si si povolil mobilne zariadenie a aplikáciu cez ktorú by si komunikoval so štátom a OVM by túto komunikáciu akceptoval ako vlastniručne podpísanú. Išlo by hlavne o menejsorisné úkony.
Inak česká judikatúra akceptovala podnaian realizované cez dátové schránky, ako podania ktoré, nie je potrebné dopĺňať.
Viete niekto, ci su by design spravene nejake disaster recovery plany na vyssej urovni ako datovej? Mam na mysli situaciu, keby napr. cieleny utok sposobil velky rozvrat dat, napr. by utocnici “cez noc” pomenili vlastnictvo polovice nehnutelnosti alebo srociek. Naprava standardnou cestou cez konania na katastri a sudoch by trvala roky.
Som moc paranoidny? IMHO nie som, vid spravy o tom ako sa postupne europske krajiny zacinaju branit ruskym informacnym utokom, podozrenia z ovplyvnenia volieb v USA, a pod. Vytazenie verejnej spravy napravou nejakeho chaosu moze byt napr. pouzite ako diverzna akcia pred inym utokom, informacnym alebo vojenskym.
Ci sa uvidi, ked k takemu niecomu dojde?
Nebudeš vedieť, že k tomu došlo. Musel by to byť veľmi masívny útok, ktorý by bol povšimnutiahodný. Tie “drobné” si nikto ani len nevšimne.
NBÚ sa nechválilo, že do ich systémov prenikli nepovolené osoby. Banky sa nechvália, že majú občas problémy s elektronickými ale aj neelektronickými transakciami. A samozrejme zodpovednosť sa bude prenášať na užívateľa. Podobne ako Janota prenášal zodpovednosť za nepodarený systém na sudcov, úradníkov a podobne.
Trocha upresnenie čo Jano písal ku 1.12., aj keď niektoré veci tu už odzneli, ale radšej nech je to tu ucelene:
Ako všetci už vedia riešila sa “mobilná aplikácia na autentifikáciu”.
Úvaha: Pridajme k tomu autorizáciu. Nekreslime hneď obrazovky, najprv definujme požiadavky, čo presne to má pokrývať.
MP (mobilná platforma) = mobilný telefón, tablet, kde používateľ robí bežné činnosti, napr. web, mail, appky atď. a bežne ho nosí so sebou (toto je dôležité pre bezpečnostné úvahy)
Za nás návrh:
eIDAS iba predpisuje povinne akceptované identifikačné/autentifikačné schémy.
V rámci nášho eGov si samozrejme bez problémov môžeme definovať ďalšie vlastné, alebo u nás uznávané.
“Nemal by byť problém” - v tom verím aj ja, ale zatiaľ som teda žiadne rozhdanie pre eIDAS autentifikáciu v praxi nevidel, rád sa s ním zoznámim, aj s jeho použitím na mobilných platformách.
V zákone o eGov §32.1 je v pohode aj dnes možnosť robiť autorizáciu ináč ako KEP, pozri časť vety za “to neplatí, ak”. Volá sa to “uznané spôsoby autorizácie” a upresniť to má vyhláška MV, viď. §59.3.g.
A samozrejme zákon sa dá upraviť, najbližšia novela bude začiatkom 2017 (narýchlo posúvanie schránok nerátam).
Ešte k tomu “mať možnosť limitovať prístup cez kanály”.
Toto je zatiaľ iba koncept, treba samozrejme premyslieť ako by to fungovalo a nevyhnutne zvážiť aj náklady.
Zopár otázok:
Dobry vecer pan Illek,
preletel som si Vas mail, ale je to na dlhsiu response.
Mozno sa k tomu dostanem zajtra vecer, mozno v stredu. Ak sa nebudem
ozyvat, PLS urgujte ma… kludne…
V zasade je to, co vravite, v poriadku. Len zalezi na odberateloch,
uceloch… Aby to cele malo zmysel.
Na ukazku Vam mozem ukazat nas fail projekt e-ID.sk, ktory bol urcely
pre e-sluzby pre obyvatelov miest a obci, kedze statny eGov nie a nie
urobit nieco pouzitelne. Napr. pre e-POBox.sk. Popis architektory a
sluzieb prikladam.
Pozdravujem a prajem vela chuti do prace v tejto oblasti
am
GovIS-eGov-brozurka.pdf (539 KB)
Návrh tém na workshop 8.12.2016
- E2E cesta klienta pri realizácií eGov služby pre identifikáciou bielych miest
- Modul povolení k el. službám
- Dokument SP Multikanálový prístup, vysvetlenie štruktúry, ďalšie kroky
Ako jeden zo spôsobov autorizácie si viem predstaviť aj SMS s OTP (použiteľné aj pre eGov služby na desktope), takže:
Štátom poskytované spôsoby autorizácie: 1 a 2
Môže byť? 
par veci:
je niekde aktualny dokument, ktory sa da pozriet? mimochodom, prave na taketo cinnosti (standardizacia a participativna tvorba dokumentov) si stat zaplatil wiki.finance.gov.sk, na taketo ucely by to bolo idealne
co vlasnte znamena “E2E cesta klienta pri realizácií eGov služby pre identifikáciou bielych miest”?
Lepsie sluzby by sa mohli tvorit aj principom zdola a to tym sposobom, ze by sa na vybrane (najpouzivanejsie) interakcie VS s obcanom/podnikatelom vytvorili iba obycajne formulare na slovensko.sk, bez nejakej podpory backendu. Spracovavali by to uradnici rucne, myslim ze tak nejak to asi funguje aj na JKM https://www.slovensko.sk/Services/Ives/ZrFormulars/Info.aspx?tradeName=ZROHLAS_FO
V zasade rovnaky proces, ako teraz spracovavaju podania papierove, akurat im to pride cez UVPS.
Pridanou hodnotou by vsak bolo, ze by bolo mozne presne sledovat frekvencie a casy spracovania podani a z toho vybrat agendy, ktore sa oplati elektronizovat.
Treba zmapovat ake formulare este treba zelektronizovat (avsak nie celoplosne, iba to co sa najviac vyuziva) a existuje si myslim ze sa urcite daju zoptimalizovat
Mobilne aplikacie su podla mna krok vedla, neviem si na to predstavit use case. Appky vyuzivam, ked pouzivam nieco vyslovene casto, alebo to potrebujem offline. Statne veci chcem vyuzivat co najmenej a iba online. Navyse su to pomerne zlozite veci.
Moj nazor je, ze treba urobit jeden kanal poriadne: API + responzivny web, ktory to iste verejne API vyuziva
Dokument bude na verejne pripomienkovanie 14.12. na interne zajtra.
Ja to chapem ako celu cestu pouzivatela pri ZS. Od prihlasenia az po vybavenie/zaplatenie/podpisanie.
Ako? Z metadat zo schranok?
O tomto bola zatial prudka zhora, aj ked to na uvod nevyzeralo. Treba si to ustrazit vo vyslednom dokumente.
Nerozumiem, ved od prvej verzie vravime ze FE je client side a konzumuje tie iste microservices ako ine kanaly, ci ?
Tym som myslel prvotnu diskusiu o nativnych aplikaciach.
Velky suhlas. Toto je podla mna zaklad, a takto to malo fungovat uz roky.
ved prvotna diskusia bola o tom ci ich robit alebo nerobit a hladala sa k tomu argumentacia…
IMHO, toto je implementacny detail.
Privlastok “viacfaktorova” je podla mna v tomto pripade nedostatocny, pretoze sa zvycajne pouziva pre nasledovne autentizacne faktory:
Uz samotne prihlasenie s eID je teda viacfatkorova autentizacia, pretoze pri nom pouzijes kartu (vlastnictvo) a pouzijes aj znalost (BOK). Privlastok “multikanalova” je podla mna ovela lepsi.
Pamatam si jedneho konkretneho clena PS, ktory odborne argumenty moc nepouzival. Ale nakoniec to dobre dopadlo, takze to nechajme tak.