Цифровата идентичност - в търсене на баланс между удобство и сигурност

Той описва и нормативната уредба, която регламентира добрите практики в сферата. "Отделните държави решават по различен начин проблемите с цифровата идентичност, въпреки че ЕС още когато създаваше регламента за доверителни услуги за електронна идентификация - eIDAS, се опита да направи унифицирана уредба в сферата. Този регламент засяга набор от услуги, които включват проверка на самоличността на физически лица и фирми онлайн и проверка на автентичността на електронните документи. И наистина успя по отношение на т.нар доверителни услуги - удостоверителни услуги като електронни подписи, електронни печати, електронно връчване. Там се постигна разбирателство и те се регулираха по еднакъв начин на цялата територия на ЕС", каза проф. Димитров.

"Концепцията за анонимност в интернет, според която всичко трябва да е свободно и нерегулирано, се оказа, че не може да обслужва обществените отношения, защото интернет се превърна в среда, в която хората не само общуват социално, но и влизат в отношения, регулирани от закона – електронни магазини, взаимодействие с администрацията", смята проф. д-р Георги Димитров, член на съвета на директорите на "Евротръст Технолъджис".

Законодателство и предизвикателства

Не така стоят нещата по отношение на електронната идентификация. В тази област дисбалансите в технологичното развитие на отделните държави членки се превръща в пречка за постигане на поставените цели. Някои от страните вече са изградили възможности за електронна идентификация, а други изостават значително. От Европейската комисия (ЕК) виждат решението във възможността всяка държава сама да избира и лицензира националните си схеми за сигурна цифрова идентичност, залагайки инструменти за контрол. Когато една държава обяви, че дадена схема за идентификация ще се ползва от публичните ѝ услуги, тя уведомява ЕК.

Останалите страни-членки правят своите проверки, свързани със спазването на изискванията, и въпросната схема се обявява за национална. Всяка държава може да има колкото пожелае схеми - частни или държави, а в момента, в който те станат национални, те придобиват международна тежест. По този начин гражданите на различните държави членки могат да се идентифицират с един и същ инструмент навсякъде на територията на ЕС.

"След като този модел поработи известно време, ЕК видя, че той не е много ефективен, защото някои държави в крайна сметка въобще не обявиха свои идентификационни схеми. Това доведе до огромен дисбаланс и неравнопоставеност в Европа - германският гражданин може да се идентифицира електронно навсякъде, докато българският - не", обяснява проф. Димитров.

Според него се задава много сериозна промяна. ЕК измени регламента и задължи всички държави да обявят свои схеми. "Самата концепция еволюира с въвеждането на изискване за използване на мобилни портфейли, в които се съхраняват всички лични данни и при нужда от физическа идентификация, това да може да става и офлайн, а не само по електронен път", допълва проф. Димитров.

Именно регулациите обаче могат да поставят "прът в колелата" на развитието на технологиите за отдалечена идентификация и цифрова самоличност, смята Мориц Андерс, съдружник в отдел "Киберсигурност и поверителност" в "PwC Германия", и дава пример: "В Германия, както и в много европейски страни, имаме сложни процеси за достъп до дигиталните идентичности. Винаги е било по-лесно да използваме профилите си във Facebook, Google или Amazon за плащания, за регистрации и вход в услуги. Хората като цяло не използват официалните дигитални самоличности, предлагани от държавите, които покриват стандарта eIDAS, предпочитайки по-несигурното, но и по-използваемото. Затова въпросът е как всичко това може да е удобно за потребителя. В противен случай просто няма как да получите търсения пазарен ефект. Важно е да спазваме регулациите и законите, но и всичко трябва да е оперативно съвместимо, така че иноваторите да могат да изграждат лесни за използване решения", допълва Андерс.

Регламентът за защита на личните данни (GDPR) също е част от предизвикателствата пред развитието на концепцията за цифрова идентичност на европейска територия. От една страна, трябва да се изгради съвременна система за идентификация, която е лесна и удобна за използване. От друга, тя трябва да съблюдава най-добрите практики при еднозначната интерпретация на лица в интернет и да спазва строги изисквания за неприкосновеност на личната информация.

"Неизменно, когато говорим за самоличност, трябва да имаме предвид GDPR. Двете теми вървят в синхрон. Доставчиците на услуги за удостоверяване на дигитална идентичност трябва да създадем механизми, които да защитят нашите данни в цифровото пространство, така че неизменно GDPR играе важна роля в този процес", категоричен е и Мартин Орешарски, директор "Удостоверителни услуги" в БОРИКА.

Типове системи и сигурност

"Неизменно, когато говорим за самоличност, трябва да имаме предвид GDPR. Двете теми вървят в синхрон. Доставчиците на услуги за удостоверяване на дигитална идентичност трябва да създадем механизми, които да защитят нашите данни в цифровото пространство, така че неизменно GDPR играе важна роля в този процес", категоричен е Мартин Орешарски, директор "Удостоверителни услуги" в БОРИКА.

Относно типовете системи за отдалечена електронна идентификация, Мартин Орешарски очертава два основни аспекта.

"От една страна, са познатите до момента инструменти за цифрова идентификация. Всички доставчици на електронни публични или частни услуги са реализирали някакво собствено решение. В това число влизат моделите ПИН и ПИК на различните държавни институции. Тези средства обаче позволяват да се идентифицирате единствено към определената институция, а за да ги придобиете, трябва поне веднъж да взаимодействате физически с нея. От друга страна, тези инструменти практически не предоставят идентификация, тъй като са средства за автентикация на вече създаден потребител. В тази група влиза и квалифицираният електронен подпис (КЕП), тъй като и той, както и останалите модели, не дава актуална информация за потребителя към момента, в който трябва да бъде идентифициран", обяснява Орешарски.

Според него има място за нови технологии и услуги за електронна идентификация. Те са базирани на мобилни платформи и облачни услуги и дават възможност на потребителя да се идентифицира пред самата услуга дистанционно, което пък му позволява да придобие средството и механизма за идентификация пред доставчика на конкретната електронна услуга.

Наред с възможностите, които дават услугите за електронно удостоверяване на идентичност, те повдигат и много въпроси, най-важният от които е сигурността на данните.

"Работейки в PwC като експерт по киберсигурност, мисля, че идентичността ще е един от най-важните активи, които киберпрестъпниците ще искат да завладеят. Не става дума само за използването на дигиталната идентичност за нови услуги, а и за нейната защита. Това е и нашата роля - да защитаваме гражданите, които използват личните си данни при достъп до официални услуги, но и да защитаваме компаниите, така че цифровите идентичности на служителите да не бъдат използвани срещу тях", смята Мориц Андерс от "PwC Германия".

Според него решението е в концепцията, наречена "Нулево доверие". "При нея не вярвате на нито една самоличност, която се появява в мрежата ви или използва вашите услуги, ако предлагате такива на крайни клиенти. Тогава можете да сте сигурен, че винаги идентифицирате точно самоличността на този, който иска достъп до вашата услуга, сървър или приложение. Така можете да се уверите, че именно това е човекът, който искате да е във вашата мрежа, или обратното - не го искате във вашата мрежа. Този подход се нарича още сигурност, фокусирана върху самоличността. При него първо се проверява самоличността, а след това давате какъвто и да е контекст на човека зад нея", допълва Андерс.

"Работейки в PwC като експерт по киберсигурност, мисля, че идентичността ще е един от най-важните активи, които киберпрестъпниците ще искат да завладеят. Така че, не става дума само използването на дигиталната идентичност за нови услуги, но и за нейната защита", предупреждава Мориц Андерс, съдружник в отдел "Киберсигурност и поверителност" в "PwC Германия".

Относно бъдещето на пазара на цифрова идентичност тримата експерти гледат в една посока - все по-забързаното ежедневие повишава стойността на електронните услуги, а това се превръща в катализатор за популярността на средствата за дистанционна идентификация.

"Няма друга алтернатива. Ако обществото чрез държавата трябва да защитава правата и интересите на отделния човек в определени обществени отношения, без електронна идентичност това не може да се случи. С пренасянето на обществените отношения в електронната среда именно цифровата идентичност е това, което дава сигурност и защита", обобщава проф. Георги Димитров.