Elektroninės atpažinties rinką Lietuvoje ilgai gaubusi migla po truputį sklaidosi. Seimui pagaliau priėmus Elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymo pataisas keičiasi ne tik ministerijų vaidmenys, bet ir ryškėja rinkos formavimo, įgyvendinimo ir priežiūros kontūrai. Ir nors kitame etape daug kas priklausys nuo poįstatyminių aktų, panašu, jog 2024-aisiais mūsų laukia neišvengiami pokyčiai, o slaptažodžių dienos suskaičiuotos.

Daugiau saugumo el. sistemose

Seime priimti įstatymo pakeitimai numato, jog nuo 2024 m. Lietuvoje atsiras kvalifikuotos elektroninės atpažinties priemonės, tokios kaip vaizdo verifikacija, autentifikatoriai ar bet kokia kita priemonė, kuri yra skirta elektroninei atpažinčiai. Pagal Ryšių reguliavimo tarnybos patvirtintą tvarką bus įmanoma šioms priemonėms nustatyti, kokį saugumo lygį (angl. Assurance level) jos atitinka.

Pagal ES reglamentą, el. atpažinties priemonės skirstomos į tris lygius: žemą (ang. Low), pakankamą (ang. Substantial) ir aukštą (ang. High).

Pats saugumo užtikrinimo lygio nustatymas nėra skirtas tiesiog tiekėjui įsivertinti, kurį lygį atitinka jo teikiama atpažinties priemonė. Nustačius atpažinties priemonių saugumo lygį, el. paslaugas teikiantys viešojo sektoriaus subjektai bus įpareigoti peržiūrėti, kokia atpažinties priemone gali būti leidžiama prisijungti prie jų sistemų. Tai reiškia, jog bus atliekami vertimai bei nustatyta, kokio jautrumo informacija yra tvarkoma informacinėse sistemose ar registruose ir kokia saugumo priemone galima prisijungti prie jų.

Be to, toks vertinimas užtikrins, kad el. sistemose bus naudojamos tik saugios atpažinties priemonės, mažiau rizikingoms paslaugoms nebus nustatyti per griežti reikalavimai, o pasenusių priemonių bus visai atsisakyta. Pirmiausia vartotojui tai suteiks tikrumą, kad prisijungimui prie viešųjų paslaugų bus naudojamos saugios priemonės, o viešajam sektoriui, tai suteiks papildomą apsaugos šydą nuo įvairių kibernetinių rizikų: neteisėtų prisijungimų prie el. paslaugų, duomenų ar tapatybės vagysčių, sukčiavimo ir panašiai.

Slaptažodžių dienos suskaičiuotos

Tai, jog nuo šiol vertinsime atpažinties priemonių saugumo lygį, pakeis ir mūsų prisijungimo įpročius –prie daugelio viešųjų el. paslaugų nebebus galima prisijungti su slaptažodžiu.

Nors iki šiol ši priemonė buvo pati populiariausia tiek tarp el. paslaugų tiekėjų, tiek tarp gyventojų, kartu ji – viena nesaugiausių. Gyventojai dažnai nesilaiko elementarios kibernetinės higienos: dažnai naudoja tą patį slaptažodį keliose ar net keliolikoje internetinių svetainių, renkasi trumpas, sukčiams lengvai atspėjamas kombinacijas, reguliariai jų nekeičia. Ką jau kalbėti apie tai, jog slaptažodžiai už vos kelis centus pardavinėjami juodojoje rinkoje.

Todėl jų atsisakymas ne tik įpareigos el. paslaugose naudojamas nesaugias atpažinties priemones pakeisti į pažangesnes, taip suvaldant kibernetines rizikas ir užtikrinant tinkamą apsaugos lygį jautriems duomenims valstybiniu lygiu. Bet kartu apsaugos vartotojus, kurie dažnai prioretizuoja patogumą, o ne saugumą.