Lietuvoje nėra atpažinties e. erdvėje įvertinimo schemos, t. y. nėra nustatyta, kokio saugumo atpažinties priemonė gali būti naudojama viešajame sektoriuje, neaiškūs kriterijai, kuriais vadovaujantis atrenkamos atpažinties priemonės valstybės institucijose, ne išimtis, kai kliaujamasi kriterijumi „patinka–nepatinka“. Kadangi nėra nustatytų atpažinties priemonių lygių reikalavimų ir jų atrankos kriterijų, institucijos naudoja pasenusias priemones, kurios neužtikrina tinkamo apsaugos lygio priėjimui prie jautrų duomenų.
Atpažintis e. erdvėje yra sureguliuota ES institucijų priimto eIDAS (elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų) reglamento, kuris pilnai taikomas nuo 2016 m. liepos 1 d.
Taigi, kodėl iki šiol Lietuvoje nėra atpažinties e. erdvėje (eID) įvertinimo schemos, kas ją turėtų sukurti ir patvirtinti, kokių veiksmų reikėtų imtis jau dabar? Šiuo aspektu kaip atpažinimo priemonė neišnaudojama ir Lietuvos piliečio asmens tapatybės kortelė (ATK), ypač palyginti su Estija. Todėl galima teigti, kad dalis ATK išleidžiamų pinigų tiesiog „neatidirba“.
Pirmas žingsnis sprendžiant šią problemą – rasti politinės valios
Pirmiausiai akys krypsta į už šią sritį atsakingą ministeriją. Elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme numatyta, kad už e. atpažinties politikos formavimą atsakinga Vidaus reikalų ministerija. Tačiau pati problema yra kompleksinė ir kaltinti vien ministeriją būtų nesąžininga. Viešasis sektorius turėtų reikalauti, kad tokia procedūra atsirastų, nes būtent visam viešajam sektoriui tokia procedūra atneštų naudos. O pirmas žingsnis sprendžiant šią problemą būtų – rasti politinės valios.
Pati problema yra kompleksinė ir kaltinti vien ministeriją būtų nesąžininga.
Kyla klausimas, kokios problemos kyla dėl to, kad Lietuva neturi eID priemonės įvertinimo. Didžiausia problema, kad neturint šios priemonės nei verslas, nei piliečiai negali pasinaudoti teikiamais eID privalumais. Pirmiausia vartotojai ir paslaugos teikėjai, naudodamiesi įvertintomis priemonėmis, gali pasinaudoti tam tikromis išimtimis.
Pavyzdžiui, Pinigų plovimo ir teroristų finansavimo prevencijos įstatymo 11 str. 1 d. 2 p. yra nustatyta, kad kliento ir naudos gavėjo tapatybė gali būti nustatyta klientui fiziškai nedalyvaujant, jei naudojama ES išduota e. atpažinties priemonė, kuri yra aukšto arba pakankamo saugumo užtikrinimo lygio. Taip pat valstybė gali nustatyti, kokį saugumo lygį atitinkanti priemonė gali būti naudojama prisijungiant prie viešųjų paslaugų. Taip ir valstybė, ir jos piliečiai gali būti tikri, kad bus naudojamos tik saugios priemonės, o mažiau rizikingoms paslaugoms nebus nustatyti per daug griežti reikalavimai, taip pat nebus naudojamos pasenusios priemonės.
Pradžioje Estiją paminėjau kaip eID naudojimo pavyzdį. Šioje šalyje nuo š. m. kovo 1 d. prie viešųjų paslaugų nebus galima prisijungti naudojant „Bank Link“. Tiesioginiam prisijungimui prie pasirinktos viešosios paslaugos bus privalu naudoti eID priemonę. Estijos verslas ir piliečiai aktyviai naudoja net keletą eID: asmens tapatybės korteles (ATK), mobilųjį parašą „Mobile-ID“ ir asmens tapatybės patvirtinimo įrankį „Smart-ID“. Visos šios priemonės yra pripažintos kaip aukšto saugumo lygio. Dar svarbu, kad Estija yra įsivertinusi, kokio saugumo priemonės gali būti naudojamos viešosioms paslaugoms.
Estijos verslas ir piliečiai aktyviai naudoja net keletą eID: asmens tapatybės korteles (ATK), mobilųjį parašą „Mobile-ID“ ir asmens tapatybės patvirtinimo įrankį „Smart-ID“. Visos šios priemonės yra pripažintos kaip aukšto saugumo lygio. Dar svarbu, kad Estija yra įsivertinusi, kokio saugumo priemonės gali būti naudojamos viešosioms paslaugoms
Apmaudu, bet Lietuvoje prisijungti prie viešųjų paslaugų dar vis naudojamos ir praeities saugumo priemonės. Taip yra todėl, kad, priešingai nei Estijoje, Lietuvoje nėra nustatytų atpažinties priemonių lygių reikalavimų ir jų atrankos kriterijų, valstybės institucijos naudoja ir pasenusias priemones.
Lietuvoje nėra nustatytų atpažinties priemonių lygių reikalavimų ir jų atrankos kriterijų
Pavyzdžiui, prisijungimui vis dar naudojamas anksčiau įprastas slaptažodis. Ir nors slaptažodis kaip prisijungimo priemonė nėra savaime blogai, bet dažnai tą patį slaptažodį naudojame ne vienoje paskyroje, todėl jo saugumo reputacija gerokai pašlijusi. Be to, slaptažodžių, pardavinėjamų juodojoje rinkoje, yra ne milijonai, o milijardai, jie kainuoja net ne centus, o centų dalis. Taip pat vis dar naudojami prisijungimo būdai, kai vartotojui pirmiausiai reikia prisijungti prie savo interneto banko, o tik po to galima jungtis prie viešųjų paslaugų. O juk su ta pačia eID priemone galima tiesiogiai prisijungti prie viešųjų paslaugų.
Ką turime padaryti, kad netinkamas atpažinties priemones e. erdvėje pakeistume saugiomis? Kaip ir minėjau ankščiau, pirmiausia Lietuva privalo nustatyti procedūrą, kokio saugumo lygio priemonė yra naudojama, tada įsivertinti, kurioms sistemoms kokio saugumo priemonę galima leisti naudoti. Teoriškai geriausias kandidatas šiam tikslui turėtų būti Lietuvos piliečio ATK. Deja, šių kortelių potencialas lieka neišnaudotas. Taip pat rinkoje jau yra ir verslo sprendimų, kurie gan gerai užpildo šitą spragą – tie patys Estijos verslo bei piliečių aktyviai naudojami m. parašas ir „Smart-ID“. Beje, šiandien Lietuvoje tai populiariausios identifikavimo priemonės internete: „Smart-ID“ naudoja beveik 1,4 mln., o m. parašą – 330 tūkst. piliečių.
Pirmiausia Lietuva privalo nustatyti procedūrą, kokio saugumo lygio priemonė yra naudojama, tada įsivertinti, kurioms sistemoms kokio saugumo priemonę galima leisti naudoti.
Asmens tapatybės kortelių potencialas lieka neišnaudotas
Kodėl Lietuvos piliečio ATK galimybės menkai išnaudojamos? Pirmiausia mūsų piliečius būtina šviesti apie ATK suteikiamas galimybes ir lygiagrečiai įgalinti jomis naudotis: suteikti kortelių skaitytuvą bei sukurti kiek įmanomą paprastesnį programinės įrangos diegimo procesą. Bet, matyt, svarbiausia, sukurti aukšto lygio klientų aptarnavimą, o ne „atsakysime per 20 darbo dienų“.
Lietuva yra žengusi pirmus žingsnius šiuo ilgu keliu, kurį jau nuėjo Estija. Jau esame notifikavę savo ATK, kuri pripažinta kaip aukšto patikimumo lygio, o pačių išduotų sertifikatų kiekis yra gan neblogas. Ryšių reguliavimo tarnybos (RRT) duomenimis, 2019 m. jų buvo daugiau kaip 621 tūkst. Bet bėda, kad RRT atliktos apklausos duomenimis, tik kas trečias žino, jog ATK gali naudoti dokumentų pasirašymui, matyt, ir prisijungimui prie e. paslaugų, ir tik kas ketvirtas ją yra panaudojęs pasirašymui.
Sprendžiant šias problemas privatus sektorius yra prisiėmęs dalį naštos. Tai šviečiamasis darbas apie saugaus prisijungimo svarbą arba e. parašo teisinę galią, taip pat padeda formuoti vartotojo įgūdžius, kurie gali būti panaudoti bet kuriai kitai e. priemonei.
