ES skaitmeninės tapatybės dėklė: kas ir kaip garantuos vartotojo duomenų saugumą?

Siekiant atsakyti į nuogąstavimus ir užtikrinti aukščiausius saugumo standartus, šiuo metu vyksta techninės ir teisinės standartizacijos bei derinimo etapai. Galutiniai sprendimai kuriami ir derinami Europos ir pasauliniu lygiu per bandomuosius projektus.

Viename iš jų – projekte „Potential“ – aktyviai dalyvauja ir Lietuva, dar šiemet mūsų šalyje bus išbandoma skaitmeninė vairuotojo pažymėjimo versija. Projektą Lietuvoje įgyvendina Informatikos ir ryšių departamentas prie Vidaus reikalų ministerijos, bendradarbiaudamas su AB „Regitra“ ir automobilių dalijimosi įmone „CityBee“.

ES šalys narės privalės sukurti ir pateikti savo piliečiams skaitmeninės tapatybės dėkles, kurios vieningai veiks visoje ES. Pagal reglamentą, dėklę privalės priimti visos įstaigos, teikiančios viešai teikiamas paslaugas. Valstybės reguliuojamoms privataus sektoriaus įmonėms, tokioms kaip bankai ir elektros paslaugų teikėjai, dėklės priėmimas taip pat bus privalomas. Tikimasi, kad ir kituose sektoriuose dėklės panaudojimas bus įvertintas kaip riziką ir kaštus mažinantis bei vartotojo patogumą didinantis faktorius ir bus aktyviai adaptuojamas.

Tačiau visuomenė labiausiai baiminasi, kad skaitmeninė tapatybė leis valdžiai ar korporacijoms sekti jų veiklą, rinkti asmeninę informaciją be jų sutikimo ar net manipuliuoti duomenimis.

Valstybinės duomenų apsaugos inspekcijos Informacinių technologijų skyriaus vedėjos Linos Lelešienės nuomone, tokios baimės yra nepagrįstos – siekiant apsaugoti asmeninę informaciją, turės būti tvarkomi tik būtini duomenys, t.y. laikomasi duomenų kiekio mažinimo principo. Tai reiškia, kad paslaugų teikėjai negalės matyti išsamios informacijos apie naudotojo vykdomą veiklą, o trečiųjų šalių prieiga bus suteikiama tik su aiškiu naudotojo sutikimu ir galimybe jį bet kada atšaukti.

Pasak L. Lelešienės, skaitmeninės tapatybės dėklė turės griežtai atitikti tiek ją reglamentuojančius teisės aktus, tiek Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus. Tai reiškia, kad visų informacinių sistemų duomenų valdytojai privalės įgyvendinti teisės aktuose nustatytas organizacines ir technines saugumo priemones tam, kad būtų užtikrintas tinkamas asmens duomenų saugumas ir užkirstas kelias asmens duomenų saugumo pažeidimams.

„Dėklė bus kuriama su konkrečiam panaudojimo atvejui pritaikytomis saugumo priemonėmis, kurios užtikrins tinkamą asmens duomenų apsaugą ir prieigos kontrolę. Naudotojai galės visiškai kontroliuoti savo duomenis: juos ištaisyti, ištrinti ir perkelti, o paslaugų teikėjai negalės matyti išsamios informacijos apie jų veiklą. Autorizuota prieiga trečiosioms šalims bus suteikiama tik naudotojo sutikimu, kurį bet kuriuo metu bus galima atšaukti“, – teigia L. Lelešienė

Vartotojo patirčiai dėklėje bus skiriamas didelis dėmesys. Europos Komisijos inicijuoto bandomojo projekto „Potential“ sistemų architektas Gytis Račiukaitis sako, kad pirmiausia vartotojui turi būti aiškūs ir matomi duomenų panaudojimo procesai, o visos sudėtingos procedūros privalės būti pateiktos paprastai ir lengvai prieinamos.

Be to, dėklės ir susijusių komponentų išeitinis kodas privalo būti valdomas pagal atvirojo kodo principą. Anot G.Račiukaičio, jis yra esminis siekiant užtikrinti sistemos saugumą ir skaidrumą. Atviras kodas leidžia nepriklausomiems ekspertams peržiūrėti ir patikrinti kodą, aptikti galimus trūkumus ar saugumo spragas bei prisidėti prie jų ištaisymo.

„Dėklei ir daugeliui technologinių ekosistemos komponentų yra privalomas kodo pateikimas viešai, arba kitaip – atviro kodo principas. Tai ne tik didina skaidrumą, bet ir leidžia greičiau reaguoti į naujai atsirandančias grėsmes, nes pasaulinė bendruomenė gali prisidėti prie sistemos tobulinimo“, – pabrėžia G. Račiukaitis.

G.Račiukaitis atkreipia dėmesį, kad dėklė nėra visiškai naujas technologinis sprendimas – vartotojai jau ilgą laiką naudojasi programėlėmis „Apple Wallet“ ir „Google Wallet“. Tačiau pastarosios nėra standartizuotos nei technologiniame, nei teisiniame lygiuose.

Dėklė bus diegiama kaip mobilioji programėlė. Jos tikslas, skirtingai nuo panašaus pobūdžio aplikacijų, yra sukurti vieningą ir saugią sistemą visoms ES valstybėms narėms, kurioje esminiais aspektais tampa duomenų saugumas ir privatumas.

„Privatumas, ypač skaitmeninėje erdvėje, yra vienas iš šių dienų visuomenės Achilo kulnų. Manau, kad privatumas yra vienas iš natūralių resursų, kurio gavybą mes leidžiame laisvai ir vertiname tik pelną, bet neįvertiname visų ilgalaikių kaštų, susijusių su aplinka, žmonėmis ar visuomene. Suprasti visus elementus yra sudėtinga – verslas internete nori rinkti duomenis, o vartotojai čia nori visko nemokamai“, – svarsto G. Račiukaitis.

Siekiant užtikrinti aukščiausią saugumo ir privatumo lygį, dėklės architektūra apsaugos vartotoją technologiniame lygmenyje taip, kad kai kurie privatumo pažeidimai taptų tiesiog neįmanomais.

„Kurdami dėklę atsižvelgiame į tai, kad vartotojas yra „silpnoji“ pusė. Todėl maksimaliai ribojame, kokius duomenis gali gauti paslaugos teikėjas, taip pat įgyvendiname atviro ir uždaro sprendimo balansą. Atviras šiuo atveju reiškia, kad visas išeitinis kodas kuriamas ir matomas viešai. Tuo tarpu, uždaras principas reiškia privalomą registraciją visoms ekosistemoje dalyvaujančioms įmonėms ir įstaigoms. Pavyzdžiui, gavus SMS žinutę su prašymu prisijungti prie apsimestinio banko puslapio, duomenų atidavimas per dėklę bus neįmanomas, nes sukčiai nebus prisiregistravę, ir dėklė tai iš karto atpažins“, – aiškina G. Račiukaitis.

Siekiant užtikrinti vartotojų duomenų saugumą, dėklės sprendimas numato, kad visos šalys, norinčios prieiti prie dėklės duomenų, privalo būti registruotos ir aiškiai identifikuojamos. Tai leidžia dėklei žinoti, su kuo bendraujama, ir patvirtinti, ar ta šalis yra patikima. Be to, kiti ekosistemos dalyviai, tokie kaip dėklės tiekėjas ar dokumentų išdavėjai, neturės teisės sekti dėklės naudojimo, dokumentų panaudojimo ar vartotojo bendravimo su trečiosiomis šalimis.

„Tokiu būdu užtikrinama, kad vartotojo duomenys būtų apsaugoti nuo neteisėto naudojimo. Trečiosios šalys negalės prašyti daugiau duomenų, nei būtina paslaugai suteikti, negalės sekti vartotojo veiklos, ir tai privalės būti aiškiai komunikuojama vartotojui“, – aiškina G. Račiukaitis.

L. Lelešienė pažymi, kad pati dėklė turės atitikti aukščiausius saugumo standartus. „Siekiant apsaugoti jautrius asmens duomenis nuo neteisėto naudojimo, dėklės turės būti kruopščiai ištestuotos ir sertifikuotos. Sertifikavimo sistemoje bus naudojami suderinti standartai, laikomasi ES kibernetinio saugumo akto reikalavimų“, – teigia ji.

Pasak G. Račiukaičio, dėklės apsaugai nuo kibernetinių atakų numatytos kompleksinės prevencinės priemonės. Planuojami keli apsaugos lygiai: privaloma dalyvių sertifikacija, nuolatinis auditas ir priežiūra; atviras sprendimo išeitinis kodas su spragų registravimo procesu; dėklės duomenų apsauga telefone; privaloma ekosistemos dalyvių registracija ir identifikavimas; taip pat standartizuoti duomenų apsikeitimo ir saugojimo protokolai.

Vartotojams taip pat bus suteiktos aiškios instrukcijos, kaip elgtis duomenų vagystės ar piktnaudžiavimo atvejais, tiek nacionaliniu, tiek tarptautiniu lygiu.

„Vartotojai žinos, ką daryti incidento metu ir kur kreiptis pagalbos. Šiuo atveju esminiu elementu tampa vartotojų edukacija – jie privalo suvokti savo privatumo vertę ir žinoti, kaip elgtis įvairiose situacijose“, – pabrėžia G. Račiukaitis.

Visuomenės informavimo ir edukacijos svarbą akcentuoja ir L. Lelešienė. Ji teigia, kad vartotojų švietimas ir informavimas yra esminiai veiksniai, padedantys išsklaidyti abejones ir skatinti pasitikėjimą naujomis technologijomis, taigi, be vartotojų sąmoningumo ir informuotumo apie duomenų apsaugos priemones, sistemos sėkmė būtų ribota.

„Valstybinė duomenų apsaugos inspekcija teikia metodinę informaciją apie duomenų apsaugos priemones savo internetiniame puslapyje, organizuoja šviečiamuosius renginius ir seminarus visuomenei bei skirtingoms jų grupėms, taip pat dalyvauja kitų institucijų ir verslo organizuojamuose renginiuose. Tačiau vartotojų švietimas ir informavimas apie duomenų apsaugą pirmiausia yra duomenų valdytojų atsakomybė. Tik bendromis pastangomis galime užtikrinti, kad skaitmeninės tapatybės dėklė būtų saugi ir patikima priemonė kiekvienam piliečiui.“, – sako L. Lelešienė.