Miesięcznik informatyków i menedżerów IT sektora publicznego

Anna Weber Kazimierz Schmidt

Uwierzytelnianie w usługach online

Węzeł krajowy zapewnia osobie chcącej skorzystać z publicznych usług online wybór sposobu potwierdzenia jej tożsamości. Jest do niego podłączanych coraz więcej usług, w których to użytkownik wybiera środek identyfikacji elektronicznej.

W dniu 15 września 2018 r. został uruchomiony węzeł krajowy identyfikacji elektronicznej (dalej: węzeł krajowy) – kluczowy element krajowego schematu identyfikacji elektronicznej, o którym mowa w rozdziale 4 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (tekst jedn. DzU z 2019 r., poz. 162 ze zm.). Choć użytkownicy korzystający z publicznych usług online (usług publicznych świadczonych w internecie) mogą w ogóle nie zauważyć, że korzystają z czegoś, co nazwano węzłem krajowym, warto wyjaśnić jego znaczenie zarówno dla użytkowników, jak i dla dostawców usług. Zgodnie z definicją ustawową (art. 21a ust. 2) węzeł krajowy jest „rozwiązaniem organizacyjno-technicznym umożliwiającym uwierzytelnianie użytkownika systemu teleinformatycznego, korzystającego z usługi online, z wykorzystaniem środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do tego węzła”. Definicja ta może wydawać się skomplikowana ze względu na nagromadzenie pojęć nieużywanych na co dzień w języku potocznym, a mianowicie: „uwierzytelnianie”, „usługa online”, „środek identyfikacji elektronicznej” oraz „system identyfikacji elektronicznej”.

Ważna terminologia

Wyjaśnienie wspomnianych terminów znajdujące się w przepisach prawa niekoniecznie ułatwi ich zrozumienie. Źródłowych definicji warto szukać w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę 1999/93/WE (DzUrz UE L 257 z 28.08.2014), zwanego także rozporządzeniem e-IDAS (itwa.pl/eidas). Tamże używane są wszystkie z tych terminów, choć jednego z nich („usługa online”) nie zdefiniowano, zapewne zakładając, że oczywiste będzie dla czytelnika tych przepisów, że chodzi o usługę świadczoną w internecie umożliwiającą załatwienie sprawy zdalnie. Choć stosownych definicji usługi online nie znajdziemy w Wikipedii, takie rozumienie terminu warto przyjąć dla dalszych rozważań.

Jeżeli już wiemy, czym jest usługa online, łatwiejsze będzie zrozumienie, czym jest środek identyfikacji elektronicznej i uwierzytelnianie, o których mowa w definicji węzła krajowego. Zacznijmy jednak od najprostszej definicji – systemu identyfikacji elektronicznej. Zgodnie z art. 3 pkt 4 e-IDAS jest to system, w ramach którego wydaje się środki identyfikacji elektronicznej osobom fizycznym lub prawnym, lub osobom fizycznym reprezentującym osoby prawne. Z tej definicji warto zapamiętać, że przewiduje się wydawanie środków identyfikacji elektronicznej nie tylko osobom fizycznym. W Polsce jednak jak dotąd środki identyfikacji wydaje się wyłącznie osobom fizycznym.

Środek identyfikacji elektronicznej

Znacznie trudniejsze jest zrozumienie, czym jest środek identyfikacji elektronicznej. Zgodnie z art. 3 pkt 2 e-IDAS oznacza on materialną lub niematerialną jednostkę zawierającą dane identyfikujące osobę i używaną do celów uwierzytelniania dla usługi online. Jest to zatem coś materialnego (np. dowód osobisty z warstwą elektroniczną) albo niematerialnego (jak profil zaufany), co zawiera dane identyfikujące osobę oraz – co bardzo ważne! – wykorzystywane jest w usługach online. Kluczowe jest przy tym znaczenie słowa „uwierzytelnianie”, ponieważ o taki cel w usłudze online chodzi.

Zgodnie z art. 3 pkt 5 e-IDAS „uwierzytelnianie” oznacza proces elektroniczny, który umożliwia identyfikację elektroniczną osoby fizycznej lub prawnej lub potwierdzenie pochodzenia oraz integralności weryfikowanych danych w postaci elektronicznej. Celowo wyróżniono tu tylko pierwszą część definicji, bowiem takie rozumienie uwierzytelniania realizuje węzeł krajowy. Co ważne, w tym przypadku chodzi o proces elektroniczny, który umożliwia identyfikację elektroniczną osoby fizycznej lub prawnej w usłudze online, a nie np. w lokalnym systemie szkoły czy przedsiębiorcy. Podobne wnioski można przyjąć, poszukując wyjaśnień w Wikipiedii. Niestety, słownik języka polskiego w tym przypadku nie jest pomocny, ponieważ nie wskazuje wprost, że uwierzytelnianie to proces potwierdzający tożsamość osoby.

Podsumowując, środek identyfikacji elektronicznej służy wyłącznie temu, by potwierdzić tożsamość osoby, która chce skorzystać z usługi w internecie. Celem jest uzyskanie pewności po stronie podmiotu świadczącego takie usługi, że ma on faktycznie do czynienia z osobą, za którą ktoś się podaje. W zdalnej komunikacji w internecie ma to ogromne znaczenie, gdyż dostawca usługi może udostępnić osobie, której tożsamość została z pewnością potwierdzona, określone dane (np. udostępnić pacjentowi dane na stronie pacjent.gov.pl) albo nawet umożliwić zlecenie przelewu bankowego (w każdym systemie bankowości internetowej). Należy przy tym podkreślić, że w takich przypadkach nie są tworzone dokumenty elektroniczne i nie są one podpisywane. Klient systemu pacjent.gov.pl nie tworzy żadnego wniosku o dostęp do danych, tylko od razu te dane przegląda, ponieważ system teleinformatyczny działający w tle doskonale „wie”, z kim ma do czynienia, dzięki zweryfikowaniu tożsamości za pomocą środka identyfikacji elektronicznej. Podobnie klient banku, którego tożsamość została potwierdzona, nie tworzy „wniosku o przelew” i nie podpisuje go, tylko od razu zleca przelew. Dopiero po realizacji przelewu może (ale nie musi) być wygenerowany dokument elektroniczny potwierdzenia przelewu.

[...]

Anna Weber – zastępca dyrektora w Departamencie Systemów Państwowych Ministerstwa Cyfryzacji. Od wielu lat zajmuje się obszarem cyfrowej tożsamości, m.in. takimi projektami jak węzeł krajowy, węzeł transgraniczny, profil zaufany.

Kazimierz Schmidt – radca ministra w Departamencie Systemów Państwowych Ministerstwa Cyfryzacji. Jest zaangażowany w prace przygotowujące przepisy i rozwiązania organizacyjne wdrażające rozporządzenie e-IDAS, w szczególności mające na celu stworzenie podstaw dla szerokiego wykorzystania identyfikacji elektronicznej i usług zaufania w usługach publicznych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej