Сбъркано е да говорим за идентификация с е-подпис

Сега прилаганите методи за електронна идентификация са буквално незаконни, заяви проф. д-р адв. Георги Димитров (снимка: Мария Малцева / TechNews.bg)

Всяка обществена организация у нас днес използва различни начини за електронна идентификация на своите клиенти. НАП, НЗОК, НОИ, банките, общините – те всички боравят с ПИН кодове, ПИК кодове, с ЕГН на хората или други аналогични средства.

Някои дори използват електронните подписи за идентификация. Реално обаче единственият законов начин за идентификация са личните документи, издавани от МВР: за личната карта и паспорта законът казва, че именно този документ има официална удостоверителна сила! Не подписът или електронният подпис, и не ЕГН.

Иначе казано, сега прилаганите методи за електронна идентификация са буквално незаконни. Този назряващ проблем наложи създаването на регулация за електронната идентификация. Проектът на закона е вече разработен и предстои до ден-два да бъде публикуван онлайн за публично обсъждане.

„Сбъркано е да говорим за идентификация с електронен подпис”, коментира по време на IDC Security Roadshow 2015 проф. д-р адв. Георги Димитров, учредител на Фондация Право и Интернет, водещ български специалист по електронно право и ключов съавтор на проекта.

„Удостоверението за е-подпис не гарантира самоличност. То не гарантира идентичност. Само личната карта може да служи за идентификация, защото тя е носител на всички данни – снимка на лицето, трите имена, ЕГН, цвят на очи, ръст и др.”, каза проф. Димитров.

Доскоро ЕС нямаше единна концепция за това как трябва да се реализира електронната идентичност на лицата. Някои страни от ЕС въведоха собствени регулации, като например Австрия.

Картината се промени с появата на Регламент 910/2014 относно електронната идентификация и удостоверителните услуги при електронни транзакции, приет от ЕП и Съвета на Европа на 23 юли 2014 г.

Регламентите са правни норми на ЕС, които се вграждат директно в националните законодателства, което означава, че регламентът за е-идентификацията е вече действаща българска регулация. Процедурата, определена от ЕС, изисква от страната ни да създаде и нужната нормативна уредба за функционирането му, ако вече няма такава.

Това означава нов проект на закона за електронната идентификация, обясни проф. Димитров. Той е част от работна група към МТИТС, започнала работа по проекта преди 4 години. Въвеждането на закона в действие ще направи възможно българите да се идентифицират по електронен път и пред другите органи от ЕС.

Електронните идентификатори ще съдържат – за всеки човек – трите имена на кирилица, трите имена на латиница, ЕГН, дата на раждане и е-идентификатор. Те ще са в XML формат. Няма да се съдържат други данни като например електронен адрес или телефонен номер. В X509 формат пък ще се вграждат е-подпис на МВР, както и  IMEI адрес на съответното устройство.

Последното подсказва, че е-идентичността ще може да се вгражда във всякакъв вид носител – мобилен телефон, банкова карта, токен др. „Ще бъде възможно да имаме повече от едно удостоверение за е-идентичност; всяко от тях ще е различно за различните устройства с различен IMEI”, поясни проф. Димитров.

По този начин всяко удостоверение се привързва към конкретното устройство. То няма да може да се копира на друго устройство, тъй като няма да съответства на неговия IMEI.

Органът, който ще издава тези удостоверения, ще е МВР. Така всеки гражданин ще може да иде в МВР, да се идентифицира с личната си карта и веднага да получи удостоверение за е-идентичност върху съответно устройство, каза проф. Димитров.

За да бъдат хората максимално улеснени, всеки гражданин ще може да заяви издаването на такова удостоверение не само в МВР, но и в други институции: банки, мобилни оператори, доставчици на удостоверителни услуги. Тези дружества ще могат да получават от МВР статут на „администратори на електронна идентичност”.

За целта те ще трябва да имат необходимата технологична инфраструктура, организационна обезпеченост, покритие на страната и регистрация в МВР. Валидността на удостоверенията ще е 3 години.

„Информационната сигурност е пряко обусловена от конкретна технология, която се използва – в този случай това е инфраструктурата на публичните ключове”, поясни проф. Димитров. Но тъй като технологиите се променят много динамично, законът предвижда възможност за подмяната им в относително кратък срок.