eIDAS: zamiast loginów i haseł centralny system pod kontrolą rządu
Ministerstwo Cyfryzacji przedstawiło projekt nowelizacji ustawy ousługach zaufania oraz identyfikacji elektronicznej, który oznaczakoniec dla dzisiejszej zdecentralizowanej tożsamości internautów wSieci. Docelowo może on doprowadzić do sytuacji zbliżonej do tej,z jaką dziesięć lat temu zapoznała się Korea Południowa –stworzono tam centralny system tożsamości, uniemożliwiający wpraktyce anonimowe korzystanie z Internetu.
Unijne rozporządzenieeIDAS (Electronic IDentification Authentication Signature –elektroniczna identyfikacja, uwierzytelnienie, podpis) zakładastworzenie przez państwa członkowskie scentralizowanych systemówzarządzania tożsamością internautów, i to nie tylko na potrzebyadministracji publicznej. Do Rządowego Centrum Legislacji trafiłwłaśnie przygotowany przez Ministerstwo Cyfryzacji projekt ustawy,która ma zaimplementować eIDAS w naszym prawie krajowym.
Wprowadza on zmiany w ustawie z dnia 5 września 2016 r. ousługach zaufania oraz identyfikacji elektronicznej. Najważniejszeto zastąpienie pojęcia „Identyfikacji elektronicznej” przez„publiczny schemat identyfikacji elektronicznej” oraz dodaniecałego rozdziału poświęconego nadzorowi nad takim publicznymsystemem identyfikacji elektronicznej.
Stanowiące o ich cyfrowej tożsamości dane internautów niemiałyby więc już trafiać do rozproszonych systemów, lecz byćprzechowywane w tzw. węźle krajowym. Już za najdalej półtoraroku miałby on zastąpić dziesiątki loginów i haseł, dziśwykorzystywanych do uwierzytelniania się w usługach internetowych.
Ministerstwo Cyfryzacji uzasadnia projekt nowelizacji zagrożeniamidla bezpieczeństwa informatycznego, jakie wiążą się z obecnymstanem rzeczy. Obywatele korzystający z przeróżnych usług online,o przeróżnych politykach bezpieczeństwa, zakładają odrębnekonta, z różnymi loginami i hasłami – a że nie mogą ichzapamiętać, stosują słabe hasła.
Publiczny schemat identyfikacji elektronicznej dotyczy oczywiścieprzede wszystkim usług administracji publicznej, ale nie jestzamknięty na usługi świadczone przez podmioty prywatne, wręczprzeciwnie. Mają być one zachęcane do jego wdrożenia –zwolniłoby to je z konieczności zarządzania własnymi systemamiuwierzytelniania, zarazem dając użytkownikom dostęp do łatwego ibezpiecznego systemu, pozwalającego jednoznacznie zidentyfikowaćich w Internecie.
Wszystko to brzmi pięknie. Trudno negować potrzebęustrukturyzowanych, interoperacyjnych usług tożsamości, jakichstworzenie zakłada eIDAS. Jak jednak celnie zauważaStephan Engberg, ekspert od prywatności i założyciel Open BusinessInnovation, fałszywe jest przekonanie, że na zarządzanietożsamością i bezpieczeństwo taki system identyfikacji wpłyniekorzystnie. Jego zdaniem implementacje eIDAS w obecnej formieprowadzić mogą tylko do gromadzenia coraz większej ilości danychosobowych, kontrolowanych przez nieefektywne podmioty sektorapublicznego, co jedynie zwiększy atrakcyjność cyberataków izdestabilizuje rynek. Identyfikacja niszczy wręcz zaufanie, tworzyryzyko, zamiast je minimalizować.
