Akcia v piatok prebehla tak, že najprv dal veeľmi rýchly úvod Vrábel, potom bola prezentácia Nases+Globaltel, následne prezentácia DEÚS, potom cca. 30 min. dosť chaotická diskusia.
Nases má dokumenty ktoré som tu vyvesil vyššie, najmä “Dodatok č.8”, ktorý však nie je podpísaný. Fakt nechápem ako je možné, že sa mID automaticky ide obstarať dodatkom, najmä v stave keď je to evidentne nová vec ktorú doteraz ÚPVS nerobil a oficiálne sa Nases snaží vymaniť z vendor-lock stavu. Škoda že na stretnutí nebol bývalý riaditeľ Nases a GR sekcie informatizácie, k tomuto by bolo o čom s nimi hovoriť. Globaltel zrejme už nejakú časť riešenia (ktoré nie je zatiaľ oficiálne objednané) má naprogramovanú, z prezentácie nebolo jasné akú. Prezentovali prepojenie na viaceré iné komponenty na ÚPVS, taktika GT -všetko je v jednej neoddeliteľnej kope- je známa.
DEÚS deklaroval, že ich riešenie je už v produkčnej prevádzke, zrejme je to táto appka: https://play.google.com/store/apps/details?id=sk.mdeus.mid
Riešenie funguje iba so službami Dcom. Ak som správne pochopil, prepojenie na ÚPVS na niečom zamrzlo (nebolo vysvetlené na čom). Ešte niečo doriešujú s biometrickou registráciou (použije sa tá istá ako pri karanténovej appke od Innovatrics), následne začnú robiť publicitu. Som fakt zvedavý na reakciu MIRRI.
Na celej akcii nepadlo ani slovo o cenách/nákladoch, či už na vývoj, ani na prevádzku. Škoda.
Nemám chuť tu opisovať detaily prezentácií, najmä keď viem že všetky tri strany si to tu čítajú. Týmto všetkých pozdravujem a povzbudzujem ich k pokračovaniu diskusie tu, napr. môžu vyvesiť svoje prezentácie sami a vyzdvihnúť silné stránky svojho prístupu.
Za mňa toto nebolo o porovnávaní “dvoch možných riešení”. Čakal som update k tomu čo nám ÚPVII odprezentovalo v decembri a odpovede na otázky, ktoré tam padli - toto som nedostal. Nie je ani jasné zadanie, čo vlastne má mID robiť / čo chceme dosiahnuť.
Magický trik, ktorým sa z prístupu, “v DEÚS sa objedná a naprogramuje a následne postúpi do Nases” (tak to bolo v 2018 prezentované a uzatvorené zmluvy) stali “musia byť 2 štátne riešenia: DEÚS a Nases” (v 2019) nebol vysvetlený, a nie je mi ani jasné ako to vlastne teraz MIRRI chce. Detto ako sme sa k pohľadu v 2018 vlastne dostali.
V podstate obe org. zvolili podobný postup: autentifikácia je level “pokročilá” a autorizácia kliknutím - v autorizácii kliknutím pre preukázanie že autorizácia prebehla (napr. ak sa príslušný podklad zasiela medzi organizáciami) sa vyrobí (automaticky na pozadí) bližšie nešpecifikovaná doložka, ktorá sa spolu s dokumentami podpíše pečaťou úradu kde sa autorizácia vykonala a celé sa to vloží do asic kontajnera. Asap by sa k tomu mal prijať štandard, netreba na nič čakať, aj tak potrvá aspoň pol roka, kým to úrady budú vedieť spracovať.
Kucer stretnutie uzavrel s tým, že do konca augusta si MIRRI “spraví predstavu ako ďalej” a dovtedy máme čakať. Toto počúvam už pol roka, len termín sa posúva.
Za mňa celú spleť otázok ktorá sa “okolo mID” vždy točí treba rozdeliť na samostatné témy nasledovne:
1. Použiteľnosť webov a služieb z mobilných zariadení
- toto je v podstate téma “multikanálový prístup”
- sem patrí aj otázka či sa majú vyrábať appky, alebo responzívny dizajn
- rovnako sem patrí otázka “schránka na ÚPVS” a ako ju spraviť dobre použiteľnou - špeciálne k tejto téme by som dodal, že a) veľká časť problému sa vyrieši ak si používateľ sám môže nastaviť automatický redirect na svoju mailovú adresu b) spravme k schránke jednoducho použiteľné API c) schránka ako ústredný bod komunikácie s verejnou správou je presne ten anachronizmus papierového sveta ktorý chceme opustiť
- detto sem patrí otázka “ÚPVS na mobile” - kým pozeranie schránky na mobile zrejme každý považuje za dobrý nápad, prerábať “všetko” na mobilné zariadenia, napr. generické zobrazovanie/vypĺňanie formulárov považujem za dosť otázne a treba dobre zvážiť hodnotu za peniaze. Obzvlášť prerábať komponenty na prácu s el. formulármi, ktoré mi pripadajú snáď až úmyselne spravené tak zložito, aby to nikto okrem 1 dodávateľa nevedel. El. formulár je rovnaký prežitok z papierového sveta ako schránka.
2. Autentifikácia a autorizácia všeobecne
- otázka ktoré autentifikačné schémy majú byť podporované centrálne a za akých podmienok
- ako bolo na stretnutí povedané, dnes zrejme legislatíva skoro umožňuje, aby ktorákoľvek lokálna AA schéma bola prehlásená za centrálnu, viď. §21.6 z.305/2013 - príslovku “skoro” som dal, lebo v tom § vidím len použitie pre ÚPVS, nie pre ostatné prístupové miesta (ale rád si to nechám vysvetliť)
- asap vydať štandard pre preukazovanie autorizácie kliknutím
- téma “register autentifikačných certifikátov”, ktorý celý ja považujem za zbytočnú komplikáciu (v legislatíve) neslúžiaci už pôvodnému účelu
- téma “federačný hub”, ktorým už IAM ÚPVS de-facto, keďže je k nemu pripojených cca. 20 id. providerov (SK eID a alt.auth. a všetky eIDAS notifikované schémy)
- keď sme pri eIDAS, treba vyriešiť aby naša implementácia nebola iba Potemkinova dedina (teraz je), ale po prihlásení ne-SK schémou vedel občan aj reálne nejaké služby použiť
- SK úrovne autentifikácie (sú 4) prerobiť úplne na eIDAS úrovne (sú 3)
- oboznámil som sa s plánovanou “veľkou” legislatívnou zmenou v oblasti autorizácie, mám na ňu jasný názor a argumenty, ale počkám si keď sa k tým dokumentom dostanem oficiálne a bude (snáď) priestor na odbornú diskusiu
3. Ktoré služby je možné použiť s auth. SK úroveň 3 / eIDAS úroveň “pokročilá” + autorizácia kliknutím
- treba si uvedomiť, že podľa zákona už dnes musia všetky služby akceptovať túto úroveň (okrem prípadov vyžadujúcich osvedčený podpis a zopár špecialít)
- asap spraviť zoznam prioritných služieb kde ideme dosiahnuť zmenu, aby ich implementácia podporovala túto úroveň
- očakávam, že toto bude viesť MIRRI
- netreba na nič čakať, otázky “či má byť skôr mobilná autentifikácia alebo el. služba” sú pasé, viď. už dnes pripojené eIDAS schémy, z čoho sú minimálne 3 plne mobilné
4. OpenAPI
- API GW, prepojenie cez OAuth
- vytvorenie / dostupnosť API na služby
- jednoduchosť použitia OpenAPI
- pripojenie mID, resp. prepojenie IAM ÚPVS na OpenAPI komponenty
a konečne 5. “mobilné ID” ako nový centrálne podporovaný spôsob autentifikácie, po oddelení vyššie uvedených tém v úzkom definovanom zmysle.