V e-identiteto bo treba zaupati tako kot v podpis

Mogoče ni več daleč čas, ko tudi dokumentov za osebno identifikacijo ne bomo več nosili v denarnici, saj bo naša »osebna izkaznica« obstajala samo kot elektronski zapis v nekem dobro varovanem računalniškem strežniku. Pogovarjali smo se z Markom Pustom, direktorjem podjetja sistemske integracije OSI.

Gre za praktične izzive na področju elektronske identitete, s katerimi se ukvarja tudi podjetje sistemske integracije OSI. Družba s 16 sodelavci ima bogate izkušnje z razvojem programske opreme na področju varnostnih rešitev, šifrirnih sistemov in podobnega. Njihove rešitve že danes uporabljajo pri biometričnih potnih listih, davčnih blagajnah, tahografih, ki jih uporabljajo avtomobilski prevozniki, zdravstvenih izkaznicah in podobnem.

Kaj je v vaših očeh inovativna tehnologija, kako se kaže v vaši dejavnosti?

Inovativno je nekaj, kar rešuje določene probleme z nekega drugega vidika. Rešuje probleme, za katere trg morda niti ne ve, da jih ima. Pri tem pa je vedno treba paziti na tri stvari.

Katere?

Najprej, da obstajajo potrebe po rešitvi problema, nato pa v povezavi s tem zmožnosti, tudi tehnološke, da se tak problem reši. Konkretno v našem podjetju bi to pomenilo, da imamo določeno znanje in izkušnje, kako pristopimo k stvari. Če je to izpolnjeno, se mi zdi, da lahko nekaj inovativnega narediš.

Je običajno prva neka inovativna ideja, ki jo razvijate in želite z njo uspeti na trgu, ali pa pride k vam potencialna stranka s problemom?

No, lahko pojasnim na podlagi konkretne izkušnje. Kolega, ki dolgo deluje ne tem področju, je že pred petimi, šestimi leti oblikoval idejo. Gre za koncept elektronske identitete. V realnem svetu vsakdo, ki se rodi, dobi neko osebno izkaznico, s katero se lahko predstavlja v odnosih z drugimi ljudmi, institucijami in mu vsi verjamejo, da je to res on. Na spletu pa nimamo nič takega. Prideš v banko, dobiš neko identiteto, neki ključek, enkratno geslo, ki ga lahko uporabljaš samo v tej banki. Ko se prijaviš v spletno storitev ali na družabno omrežje, dobiš neko identifikacijo. Stopnja zaupanja je majhna. Ideja je, da če bi nekdo imel splošno, zaupanja vredno elektronsko identiteto, bi z njo lahko opravljal veliko stvari, ne da bi imel kup uporabniških imen in gesel. Za ponudnike storitev je to veliko lažje – zanesli bi se na to »osebno izkaznico«, saj bi zaupali, da je preverjena. Mi smo razvili en tak sistem. Da pa zaživi in se lahko začne uporabljati, je potrebno še marsikaj. Ena od teh stvari je ustrezna sprememba zakonodaje, na evropski in nacionalni ravni. Ta koncept se je že delno uveljavil v državni upravi, zdaj pa ga uporablja vse več podjetij. Ni še v veliki uporabi, se pa premika v pravo smer. Pred leti, ko smo se začeli o tem pogovarjati …

… je bilo še precej futuristično?

Ja, nihče še ni poslušal tega, zdaj pa z zanimanjem poslušajo in sprašujejo, kako to vključiti v razvoj novih aplikacij in podobno.

To novo rešitev torej že tržite?

Da, eno je naša storitev elektronske identitete REKONO, drugo pa storitev digitalnega podpisa SUBSCRIBO, ki jo tržimo skupaj s Pošto Slovenije. Ena od teh komponent se bo uporabljala tudi v državni upravi, za e-vlado. To je podobna rešitev, le da vključeno v njihov sistem, recono in subscriba pa sta za trg.

Koliko kot podjetje, ki deluje v tehnološkem svetu, spremljati, kako se z inovativnostjo ukvarjajo druge dejavnosti?

Zelo malo, če sem iskren. Naše podjetje obstaja osem let in je v tem času predvsem raslo. Ko sem prišel jaz, nas je bilo pet, zdaj pa nas je 16. Inovativne ideje »pridejo na plan« na internih sestankih, nimamo treh procesov posebej formaliziranih.

Vendar pa vaš razvoj temelji na lastnem znanju, lastni bazi idej in sposobnosti?

Ja, tako je.

Ali ni tako, da bi naročnik že imel neki cilj, kaj želi doseči, pa potem vas najame, da mu to poskušate razviti?

Ne, šlo je predvsem za to, da smo mi pripravili koncept. Je pa seveda tudi res, da se je rešitev razvijala nekako hkrati z regulativo, ki se pripravlja. To ni bila neka premočrtna pot, ampak nekoliko ovinkasta. Razvoj pa seveda upošteva tudi želje in potrebe, ki jih ima konkreten naročnik.

Kako pa poskušate sodelovati v zakonodajnih postopkih, vplivati na regulativo, ki je za vas tako pomembna?

To je zanimivo vprašanje. Na področju elektronske identitete je v Sloveniji kar nekaj deležnikov – ministrstvo za javno upravo, zdravstveni sistem in identitete, ki jih imamo v tem sistemu. Potem pa so še različni ponudniki oziroma gospodarstvo. Mi smo tu prevzeli pobudo, ustanovili smo Združenje EIDES. To naj bi vse deležnike povezalo in poskušalo določiti smernice pri pospeševanju uporabe elektronskih identitet. Kar zadeva EIDAS, direktivo EU, ki ureja elektronsko identifikacijo, smo ravno v prehodnem obdobju, ko uredba o uveljavljanju evropske regulative velja, hkrati pa velja tudi še stari zakon o elektronskem poslovanju, ki pa ga bo s 1. julijem 2017 nadomestil nov zakon. Cilj združenja je prispevati k celovitemu razvoju družbe ob čim širši uporabi rešitev in sistemov elektronskih identitet, elektronskih identifikacijskih sredstev in elektronskih storitev zaupanja.

Cilj pa je tudi, da bi elektronska identiteta služila kot dokument, ki ga lahko uporabljamo v vsem svojem elektronskem poslovanju?

Uporabljamo, tako. Da bi to bila elektronska identiteta, s katero bi lahko prišel na katerokoli banko, kjer do zdaj nisi bil komitent, da ne bi bilo treba tja osebno in bi dosegel tako stopnjo zaupanja, kot da si tam osebno. Ena od stvari v ozadju je tudi elektronski podpis, ki v bistvu že lahko nadomešča lastnoročni podpis.

Kako pa na uvajanje takih rešitev vplivajo razkritja o krajah podatkov iz sistemov, ki naj bi bili načelno varni, kot je, na primer, ravnokar spet priznal Yahoo?

Ta vpliv je gotovo velik. Pri nečem novem je javnost vedno strah pred neznanim, da jim bo nekdo nekaj vzel. Res gre za tako občutljive podatke, da je treba biti posebno pozoren na varnost. Elektronska identiteta je visoko regulirano področje, preden steče storitev v praksi, bo potrebna akreditacija zunanjega organa, ki bo vse pregledal z varnostnega in regulatornega stališča. Upoštevati je treba najvišje standarde varnosti.

Pa je skrbnik takega sistema tisti, ki izdela programsko opremo?

Bolj ne kot da. Ko govorimo o sistemu, kot je, na primer, SUBSCRIBO, mora potekati v visoko reguliranem okolju. V Sloveniji imamo pooblaščene overitelje digitalnih potrdil, ki so, recimo, Pošta Slovenije, NLB, ministrstvo za javno upravo. Storitve, povezane z elektronsko identiteto, mora izvajati eden od takih. To je nujno, saj zunaj visoko reguliranega okolja stopnja zaupanja ne more biti taka, kot je, na primer, lastnoročni podpis.