vineri, 28 octombrie 2022

Ne îndreptăm spre eID-uri furnizate de industrie ? (eIDAS #62)

L-am provocat astăzi pe dl. Floarea, de la Certsign, să ne spună în cadrul conferinței DNSC opinia sa despre următorul scenariu, nu chiar S.F.

Deși astăzi nu avem legal identitate digitală în România, cum nu avem nici vreo Autoritate Națională Competentă desemnată pe acest subiect, totuși să facem un experiment imaginar și să ne închipuim o Românie care trece brusc de la „nimic” la un ecosistem compus din Cartea Electronică de Identitate de la MAI, platforma tehnică PSCID a ADR și o schemă națională notificată la care aderă companii private pentru a emite identități electronice.

L-am întrebat cum vede acest scenariu, dacă există stres, provocări, contraindicații.

Este probabil necesar să clarific pentru publicul larg.

Pentru ca un mijloc de identificare electronică să fie opozabil față de terți (alții decât cine l-a emis) este obligatorie o formă de normă legală. Pentru recunoașterea la nivelul UE trebuie parcursă procedura de notificare și evaluare de către celelalte state membre.

CEI este un caz special, fiind un document național de identitate cu utilizare și în zona de apărare, securitate și ordine publică, evaluarea care urmează notificării este mai simplă, mai puțin intruzivă.

Însă pentru orice altceva dosarul de notificare este o provocare serioasă.

Pentru a îndulci problema, la nivel național este posibilă recurgerea la scheme. O schemă este un set unic de proceduri notificate o singură dată la care pot adera oricâte entități, mai ales private. Astfel pentru un nou furnizor nu mai este necesară parcurgerea procedurii europene ci este îndeajuns un audit comandat de către Autoritatea Națională Competentă cu privire la respectarea prevederilor Schemei.

O schemă este, în teorie, creația unui grup de inițiativă însă, practic, Autoritatea Națională joacă frecvent un rol în stimularea apariției ei.

În construcția ecosistemului din acest scenariu sunt câteva puncte sensibile.

Dacă sunt mai multe companii cu vocație pentru aderare la viitoarea schemă deciziile cu privire la schemă le pot afecta diferit. Cu cât schema este mai apropiată de modul de lucru al unei companii cu atât aceasta va cheltui mai puțin pentru implementarea și auditarea schimbărilor necesare, cu atât timpul de lansare a produsului va fi mai scurt. Reciproc, celelalte companii se pot găsi în situația de a cheltui mai mult și de a găsi piața ocupată de primul lansat.

În privința platformei PSCID apariția unei scheme poate eventual masca, prin cascadare, eventuale slăbiciuni structurale. Auditul european nu ar mai fi direct pe PSCID ci pe schemă, iar cel dintre schemă și platformă ar putea fi mai prietenos. Însă rămâne problema de bază – operatorul PSCID nu poate fi simultan și Autoritate Competentă, mă întreb ce instituție publică ar accepta să preia PSCID presupunând că ar fi legal și financiar posibil.

Și rămâne întrebarea din eveniment apropo de existența unei strategii naționale. Identitatea digitală este, by default, un subiect al statului. Implicarea unor emitenți privați este permisă de eIDAS cu titlu de excepție – oare unde s-a dezbătut și cine a aprobat un astfel de drum?

Revenind la întrebare și răspuns.

Dl. Floarea crede că orice variantă trebuie luată în considerare și că nu trebuie să ne speriem de eventuale riscuri de securitate. Mai multe nu ne-a spus, cu toate că am încercat să formulez întrebarea astfel încât să-i ofer posibilitatea de a susține public și asumat scenariul de mai sus. Video aici.

Rămâne să vedem, dacă va exista ocazia, și viziunea ADR, MCID.

P.S. Wallet-ul european este o complicație suplimentară. Dacă rămâne varianta a V-a de text eIDAS 2 atunci va fi inițializat cu o identitate de „nivel ridicat” pe care în România abia ar putea să o emită MAI. Existența în portofel și a altor identități, de la alți furnizori, ar putea să nu aibă sens cât timp tehnologia walletului permite selectarea atributelor prezentate la momentul identificării dar asta este o altă discuție, pentru un alt număr de caractere.

Niciun comentariu:

Trimiteți un comentariu