Trosku relevantne k mid a eid:
Rovno dosla pozvanka aj na dalsi tyzden potom:
Vážení kolegovia,
dobrý deň.
Ako ďalší krok nadväzujúci na stretnutie PS Lepšie služby plánovanej na dňa 23.9.2021. na tému NFC a aplikovaná technológia v čipoch na OP, si Vás dovoľujeme pozvať na Deň 2 k tejto téme s názvom Využiteľnosť a aktuálny stav eID.
AGENDA: Využiteľnosť a aktuálny stav eID
ZODPOVEDNÝ ZA PREZENTÁCIU: zástupcovia MVSR odprezentujú aktuálny stav a vývoj eID pre rôzne skupiny občanov ako potenciál pre využívanie služieb eGOV
Aktuálne štatistiky používania eID, aktuálne skupiny užívateľov na základe parametrov OPE
Štatistiky aktuálne najpoužívanejších prípadov použitia eID
Problémy aktuálneho riešenia a ako ich nová technológia NFC vyrieši
Prezentácia aktuálnych procesov zabezpečenia potrebných OP pre rôzne skupiny občanov /napr. mám BOK a nemám KEP, mám neplatný certifikát KEP, nemám BOK, mám BOK a KEP a chcem NFC/ a prezentácia TO-BE stavu procesov pri vydávaní OP s NFC (onboarding občana, prihlásenie, podpisovanie)
Využiteľnosť pre rôzne skupiny občanov: občania EU, slovenský občania v zahraničí, občania bez zariadení s NFC technológiou
Predpokladaný vývoj aktívneho počtu užívateľov eID, vplyv NFC na počet užívateľov eID, výdaj OP bez fotky a ich konverzia na plnohodnotné OP
Aktuálna báza používateľov s platným KEP certifikátom, plán aktualizácie certifikátov, aktuálne problémy. Detail - UPVS
OČAKÁVANÝ VÝSLEDOK: po ukončení prezentácie budeme môcť identifikovať budúci potenciál, aktuálne spôsoby použitia, ich nedostatky a vyhodnotiť budúce kroky pre lepšie služby pre občana.
Stretnutie sa uskutoční online prostredníctvom platformy Teams.
Je mozne preposlat tu teamsovu pozvanku?
Chces sa zúčastniť? Môžem si ťa ako člen skupiny prizvať, asi nebude nikto protestovať.
Hej, tie body su zaujimave, ak budem moct, rad by som sa zucastnil.
Takze skupina dnes zasadla, z MV sa nikto nedostavil lebo “nahle ochoreli”. Samozrejme ziadne materialy vopred sa neposlali. Vypoculi sme si teda dost priamu prezentaciu MIRRI (p. Kramar) o tom ako MV musi zacat normalne komunikovat a spolupracovat.
Pre mna je uplne zarazajuce, ze tam neposlalo MV ziadnu nahradu ani materialy ani nic. Cele sa to teda presuva o tyzden.
Tu je oficialny zapis a prezentacia.
Otvorenie Pracovnej skupiny
Prezentujúci za MIRRI: Andrej Kramár – poverený riadením Sekcie informačných technológií verejnej správy:
Predstavenie plánu obsahu PS Lepšie služby, ktorá bola zvolaná z dôvodu viacerých otázok k téme, rozbehnutých aktivít implementácie NFC v OP v iných PS a oddeleniach MIRRI.
Vysvetlenie okolností neprítomnosti zástupcov MVSR, ktorí mali prezentovať avizovanú tému.
Prezentácia vstupov za stranu MIRRI (prezentácia v prílohe).
Deklarácia MIRRI, že bude realizovať podobné prezentácie ďalších rozbehnutých aktivít/projektov MIRRI vrátane prototypov riešení na ďalších stretnutiach PS.
Bola overovaná prítomnosť zástupcov MVSR, ktorá sa nepotvrdila.
Bolo predstavená požiadavka zo strany Slovensko digital (J. Suchal) o zaslanie podkladov/prezentácie MVSR na nasledujúce zasadnutie PS vopred, pokiaľ budú k dispozícii.
Bolo potvrdené ďalšie stretnutie k tejto istej téme opakovane budúci týždeň 30.9.2021 (namiesto pôvodne plánovaného Dňa 2 – „Využiteľnosť a aktuálny stav eID“, ktorý sa týmto presúva na 7.10.2021), kde sa zúčastnia a odprezentujú vstupy zástupcovia MVSR.
PS_LEPSIE SLUZBY_den_1_compressed.pdf (425.9 KB)
Bol som na tomto stretnutí PS. Správanie MVSR je neuveriteľné. Oficiálny dôvod prečo včera neprišli, a nie sú ani žiadne podklady, ak som správne pochopil, je “práceneschopnosť p. Rejdoviana” ktorá začala v stredu.
Toto je úroveň doslova ako na základnej škole.
Prezentácia p.Kramára, kde 20 minút odôvodňoval, prečo NFC eID nie je interná vec MVSR, ale MIRRI chce vedieť detaily čo/ako/kedy/prečo má byť spravené je prejavom katastrofálneho stavu riadenia eGov. Dúfam že to bude (ďalší) rukolapný podnet pre vedenie MIRRI podstatne sa zamerať na jeho riešenie.
Inak neviem, či toto už niekto zachytil. EÚ v zmysle nariadenia EÚ č. 2019/881 (Cybersecurity Act) zavádza novú certifikačnú schému pre certifikáciu bezpečnosti produktov, akými sú aj čipy elektronických dokladov ako eID, založenú na Common Criteria, tzv EUCC.
EUCC nahradí aktuálnu schému, tzv SOG-IS MRA, na základe ktorej si dnes štáty vzájomne uznávajú certifikáty vydané na certifikované produkty.
Problémom SOG-IS MRA je, že úroveň bezpečnosti produktu sa potvrdzuje iba k dátumu certifikácie, SOG-IS MRA nedáva žiadne garancie, že produkt zostane bezpečný aj po certifikácii, keďže nevyžaduje následný monitoring a údržbu bezpečnosti zariadenia.
Vzhľadom na progresívny vývoj technológií a tým aj možností kyberútočníkov, ktorý disponujú čoraz silnejšími nástrojmi, je digitálny svet neustále vystavovaný novým a čoraz sofistikovanejším hrozbám a je nutné na ne reagovať.
Nová schéma EUCC zavádza povinnosť monitorovania ako aj údržby úrovne bezpečnosti certifikovaných produktov (aj tých nachádzajúcich sa už v používaní) prostredníctvom ich patchovania.
Ak pri objavení zraniteľnosti, alebo pri predlžovaní certifikátu produktu/zariadenia, nie je možné vykonať údržbu, ktorá by zabezpečila uvedenie úrovne bezpečnosti zariadenia na úroveň, akú malo v čase inciálnej certifikácie, produkt/zariadenie stráca certifikáciu.
Verím, že nové eID tieto požiadavky zohľadnia - nerád by som si o.p. opäť menil predčasne.
Nový právny základ pre vzájomné uznávanie bezpečnostnej certifikácie produktov má tvoriť práve EUCC. Certifikačnú schému EUCC vytvorila ENISA v súlade s vyššie spomenutým nariadením EÚ č. 2019/881.
Platiť by mala začať na prelome rokov 2021/2022
For the legal implementation of the candidate EUCC scheme prepared by ENISA, the European Commission will adopt an implementing act presumably end of 2021/beginning of 2022, viď aj Cybersecurity Act: Candidate EUCC scheme - European Accreditation (european-accreditation.org)
Uvádzam k tomu aj niekoľko referencií:
ENISA, Crossing a bridge: the first EU cybersecurity certification scheme is availed to the Commission
ENISA, Cybersecurity Certification: Candidate EUCC Scheme, V1.1.1
EUROSMART, The new paradigm of security certification of chip-based identity documents Guidance in the context of the Cybersecurity Act
European Accreditation, Cybersecurity Act: Candidate EUCC scheme
Niekolko pripomenok, inak k dobre napisaname “blogu”:
Troska velky optimizmus, ze mID vyriesi problem nepouzivania alebo slabeho pouzivania sluzieb eGOV (ano obciansky je dajme tomu prezitok na prihlasovanie spolu s citackou), ale mID len minimalne zyvsi (ak vobec) pouzivanie, hklavny problem nie je podpisovanie ci prihalsovanie (aj ked je blbe na dnesny svet), ale je to problem sluzieb, ktore ludia nepotrebuju a nechcu pouzivat. Kym stat neposkytne nieco o co je zaujem a nebude obcana “buzerovat” a vynucovat si “sluzby”, tak obcan nebude mat zaujem o stat a jeho sluzby. Je to tak, ze pouzivaju sa sluzby len ktore si zakon vynucuje a vcelku obcanovi nic k jeho zivotu neprinasaju (vo velkej vacsine) Takze podpis ci prihlasovanie nic nezachrani a nic nevyriesi (ani niovy sat slovensko IT. Problem je zakopany inde, ze stat je otravny a neico si vynucuje a my resp. politici nechu riesit problem a to k comu ma sluzit stat, ale idu riesit “pozlatko” na ktore sa vyhodia peniaze a problem ostane. proste a obcamn su v protiklade, stat nevytvara prijatelske a prijatlene prostredie pre podnikatelova obcanov a nuti ich k pouzivaniei sluzieb a ani sa ich neopytal (ale budeme sa bavit o UX Designe) ako si predstavuju moderny a dakjme tomu digitalny stat (akurat niektori informatici si vykladaju ako by mal vyzerat, problem je, ze je informaticky pohlad, ale nie pohlad beznych obcanov, ktorym to ale naozaj neprinasa nic, co by stalko za to aby to chcel pouzivat)
teda problem je politicky /politika ma ovedat ako ma vyzerat moderne fungovanie statu, nielen, ze to bude elektronicke) a nikto ho nechce riesit, pretoze aj keby si to uvedomili (co skor nie aspon u vacsiny), tak sa tym nechu zaoberat, pretoze to by muslei zacat viziou a k jej naplneniu je strasny dlha cesta a politici rozmyslaju len vo volebnych cykloch (co znamena po mne potopa).
To uz je len taka perlicka co je tam spomenute, ze 3 centra “moci” z jedneho kosiara (“koalicie”! nei su schopne spolupracovat (a je jendo aka koalicia na Slovensku bude), proste statu chyba vizia, myslienka a vobec smerovanie kde chcem ist a ako a z toho vysledok je blba naladu ludi a celkova atmosfera (a informatici sa budu hrat na svojom piesocku, vymyslat ako dalej s IT a aj poi dalsich rokoch sa cudovat preco sa vuzivaju tak slabo a preco len tiue ktore su “donutene” zakonom, tak oiim nanutime dalsie a stav bude este horsi.
To nie je problem informatikov. Informatici tiez kricia, ze to je zle. Je to businessovy problem - stat nevie organizovat svoje procesy, a navyse sa nestara o nazor svojich zakaznikov. Keby takto fungovala firma, tak do roka skrachuje…
To nie je problém, podpisovanie/prihlasovanie je základný predpoklad pre používanie služieb. Ak má občan BFU stráviť pol dňa laborovanim čo/kde/ako nastaviť, aby sa prihlasil, kvôli službe, ktorú potrebuje raz za uhorský rok, tak to radšej vybaví osobne.
Možno tie služby aj potrebujú aj chcú používať ale biznis procesy (zákony/vyhlášky/nariadenia) im to neumožňujú.
Krásny príklad mi rozprávala sestra ( mestská úradníčka ). Prišla im požiadavka elektronicky a mali nariadenie komunikovať plne elektronicky. Keďže podklady neboli úplne, tak si s tým dotyčným vymenili niekoľko mailov a keď boli skorá na konci celého procesu spracovania ( čo trvalo asi mesiac ), tak došli ku tomu, že je potrebný fyzicky podpis. Ten pán musel tak či tak prísť osobne na mestský úrad, akurát stratil mesiac času …
Ak bude biznis proces bez použitia IT služieb trvať kratšie ako rovnaký proces s použitím tých služieb, tak to ľudia používať nebudú.
Upratať zákony/vyhlášky/nariadenia ktoré tu vznikali 100 rokov od prvej republiky je beh na dlhú trať. Nehovoriac o tom, že informatizácia na Slovensku sa začala robiť štýlom “urobiť z papiera jeho elektronický ekvivalent pričom zachovávame všetky byrokratické postupy”
Iste, toto ani nebola pointa. Urcite sa vsak zhodneme, ze bezneho frantu uzivatela je totalny blocker nainstalovat a pouzivat citacku/karticku lebo na to jedno podanie rocne sa mu to proste neoplati.
Inak slovensko v mobile na to ide naozaj dobre, maju vytipovane naozaj masove scenare (PN, …), ktore chcu dostat do mobilu a zjednodusit ich proces podavania.
Mozeme vsak naopak aj spravit krasne optimalizovane procesy na podavanie PN, ale ak z milionov ludi co maju OP s cipom drviva vacsina ani netusi, ze tam existuje nejaky BOK, tak tu sluzbu elektronicky nepouziju aj keby hned chceli. Druha moznost je celu tutu autentifikacnu/autorizacnu schemu objist a povedat, ze to budeme posielat mailom
Ak urobia PN a rozumne, tak ju budu pouzivat aj cez BOK (vacsinou firmy, lekari) aj cez mobil (zvacsinou zamestnanci), ved sa urobi presna statistiky, ale hlavne zvysenei bude zabezpecene tym,. ze to bude dobre urobena sluzba, procesne zvladnuta (to, ze to bude v mobile tiez prispeje k pouzivaniu,a le minoritne, akurat ludia si bduu mysliet, ze je to preto dobre lebo je to v mobile) Drzim im palce
Som velmi zvedavy, aky zoznam permissions bude takato ID aplikacia vyzadovat. Stavim sa, ze budu chciet polohu.
To je to co hovorime, ze treba nepozerat iba zo strany uradnika po schranku, ale pozerat sa aj na druhu stranu za schranku ake su potreby tam.
Inak tu by sa dala krasne pouzit funkcionalita schranky, kedy predvyplneny uradny dokument by uradnik posunul do schranky obcana a ten by mu ho tam podpisal. Neviem ci sa to da ale urcite by to mohlo niekomu pomoct.
Inak mozno by bolo dobre aby aj uradnici mohli podavat navrhy, lebo urcite tieto a podobne zadrhely vedia pomenovat a navrhnut zlepsenie.
Takto myslím fungovali korona dotácie na nájomné, že MH SR to sprístupnilo na podpis v schránke, ale nemal som s tým hands on skúsenosť.
To bolo niekolko rokov dozadu. Integracia mestskeho informacneho systemu so schrankami prakticky ziadne. Boli radi, ze si precitali aspon tie spravy co prisli.
Preco iba uradnici ( a este na nizkych urovniach riadenia ) ? Kludne by to mohlo byt dostupne pre vsetkych obcanov, pripadne s hlasovanim o priorite danych poziadaviek.
V sucasnom stave mam obcas dojem, ze prioritu maju tie poziadavky, ktore si nejaky uradnicky “samo-sato” vymysli a najviac krici. On primarne riesi vlastny problem, ( ktory vsak prezentuje ako problem/poziadavku obcanov ).