Index Vakbarát Hírportál

Felhőbe vándorolhat az egyik legfontosabb adatunk

2023. május 27., szombat 19:52

Három év múlva a kormány tervei szerint minden magyarnak lehet majd digitális állampolgársága, és így digitálisan szerződhet majd bármilyen szolgáltatóval. Jámbor Péter, a NETLOCK üzletfejlesztési és Vey Dorottya, a társaság compliance igazgatója szerint az áttöréshez sokkal inkább a felhasználási lehetőségek bővülése, az e-aláírási rendszerek közötti átjárhatóság megteremtése és az igénybevevők edukálása kell – itt még mindig komoly hiányosságok vannak.

Az Indexnek nyilatkozó szakemberek egyebek mellett arról beszéltek, hogy

Több mint másfél évtizede lengették be először, hogy hamarosan mindenki elektronikus aláírással fogja a hivatalos iratait aláírni. Ettől, úgy tűnik, messze vagyunk. De valójában hol tartunk ma?

Jámbor Péter: A digitális aláírás elterjedésének mind a jogi, mind az informatikai környezete már rendelkezésre áll. Azt sem állíthatjuk, hogy nincs nyitottság a terület felé, hiszen 2023-at írunk, és a digitalizáció már megkerülhetetlenül velünk van. A digitális aláírás népszerűsödésén nagyot lendített a pandémia, hiszen nagyon megváltoztak az üzleti folyamatok, jelentős méreteket öltött a home office és a távmunka. Ezekhez nagyon jól illeszkedik a digitális aláírás és természetesen a digitális állampolgárság koncepciója. Az igény bővülése nemcsak a meglévő ügyfeleink aláírás-tranzakciói számának növekedéséből, de abból is látszik, hogy egyre nő azoknak a száma is, akiket már nem mi keresünk meg, hanem ők fordulnak hozzánk, és érdeklődnek a szolgáltatásaink iránt.

Viszont ami hiányzik, az az edukáció. Amikor egy-egy potenciális partnerrel leülünk beszélgetni, akkor nagyon messziről kell indulnunk. Vélhetően ennek oka az, hogy egyfajta misztikum és félelem övezi ezt a területet: információszűke van még jelen pillanatban. Rendre az a reakció, hogy

bár tudunk róla, hogy ilyen létezik, e-aláírással még nem igazán találkoztunk az elmúlt években, pláne nem használtuk azt rutinszerűen.

Önmagában persze lehet eredményként kezelni, hogy a cégek és a magánszemélyek zöme – így szja-bevallás idején – már használja az ügyfélkaput vagy a cégkaput, de ez valójában még nem számít önmagában digitális aláírásnak.

Vey Dorottya: Azt sem szabad elfelejteni, hogy a társadalom átalakulóban van. Ezért fontos azt is látni, hogy a mostani fejlesztések csak egy – igaz, egyre bővülő – kört célozhatnak. Jelenleg minden fejlesztést úgy kell megtervezni, hogy mellette meg kell tartani a hagyományos eljárásrendet, hiszen az elérést annak is biztosítani kell, aki nem szeretné vagy tudja ezeket a digitális termékeket adoptálni. Mi értelemszerűen azok számára fejlesztünk, akik már digitális állampolgárok, illetve akik könnyen digitális állampolgárrá tudnának válni a mi segítségünkkel.

A cégeknél kell kezdeni

Valóban az jelentheti majd az áttörést, ha mindenkinek e-aláírása lesz? Kit kell meggyőzni az e-aláírásról?

Jámbor Péter: Azt gondolom, hogy a fejlesztéseket a business to customer oldalról lehet leginkább felpörgetni. Olyan vállalkozás tudja elsősorban implementálni a digitális aláírást, amelyik egyrészt a cégen belül különböző dokumentumait hitelesíti így, majd partnereivel, beszállítóival is elkezd közösen digitális aláírás formájában szerződni. Így juthatunk el a végfelhasználókhoz, az emberekhez. Viszont – ahogy arról beszéltünk – ma már egyre szélesebb az a végfelhasználói kör, amely használni tudná és akarná is a digitális aláírást. Az ő kiszolgálásuk kinyit rengeteg olyan kaput, amely lehetőséget biztosít a cégek számára is, hogy felgyorsítsák saját implementációjukat.

Megvalósítható tehát a kormányzati elképzelés, hogy 2026-ra mindenkinek digitális állampolgársága legyen?

Jámbor Péter: Azt gondolom, elérhető a cél. Egészen bizonyosan egyre szélesebb körben lesznek olyan területek, akár az állam számára küldött beadványok, nyilatkozatok, amelyeknél a digitális aláírást használhatóvá teszik, ezzel is erősítve a felhasználás iránti igényt. Attól, hogy magánszemélyek egymás között e-aláírással levelezzenek, még messze vagyunk. Bármilyen széles körben is nyílik meg a lehetőség a digitális aláírás használatára, azt gondolom, a lakosság nem kifejezetten fogja még azt tudni, hogy mire kell használni az e-aláírást. Az átalakulás biztosan hosszú és rögös lesz, amiben

nem is a digitális állampolgárrá válás és a tanúsítványhoz jutás lesz a fő akadály, hanem utána az az elfogadói környezet, amiben már alkalmazni tudom ezt a képességemet.

Ugyanakkor nagy könnyebbséget és felgyorsult fejlődési tempót eredményezhet, hogy az embereknek ennek ellenére már alapvetően lesz ilyen tanúsítványuk.

Az aláírások a felhőbe mennek

Ha a digitális pénzügyek intézését példaként lehet hozni, Skandináviában, kiváltképp Svédországban lényegében kiszorította a készpénzt az elektronikus fizetés. Van-e hasonló mintaország az e-aláírás területén?

Jámbor Péter: Észtországban a legelőrehaladottabb a fejlődés. De az ön példája is jó volt. A digitális aláírás világában a készpénz a papír. Abban ugyanakkor, hogy az elektronikus fizetés hogyan valósul meg – klasszikus bankkártyával vagy mobil fizetési technológiával –, szintén van hasonlóság. Mert a digitális aláírást is lehet tárolni egy pendrive-on vagy kártyán – az ügyvédek például így használják. De a jövő az, hogy a digitális aláírásaink a felhőben lesznek. A cél minden esetben a papírmentes ügyintézés. Ez egyrészt környezeti tudatosságot jelent, másrészt költség- és időhatékony, hiszen a távoli felek is tudnak úgy szerződni, hogy nem szükséges a személyes találkozás, de még a szerződések postázása sem. Gyakorlatilag a szerződés indításától egészen az archiválásig mindent digitálisan lehet intézni. Ahogy a készpénz is megmarad, nem hisszük, hogy teljesen papírmentessé tudnak válni rövid távon a szervezetek, már csak azért sem, mert – miként arról korábban már szó esett – félnek a technológiától. Ezért ma még igen sok helyen annak ellenére, hogy használják a digitális aláírást, a szerződést is kinyomtatják, és lefűzik valahová.

Miért nem bíznak a rendszerben?

Vey Dorottya: A fejlődéshez mindenképp a bizalom bővülése kell. Ha odaadjuk a felhasználónak a terméket, és használni kezdi, akkor a digitális aláírásba vetett bizalom növekedni fog, és talán kikopik a papírhasználat. Nagyot lendít szerintem ezen a területen a digitális aláírásról szóló EU-rendelet, az eIDAS, amely egyrészt átjárhatóvá kívánja tenni az egyes országokban alkalmazott digitális aláírásokat, másrészt felismerte annak szükségességét, hogy az adatvédelem is akadálya lehet az előrelépésnek. Épp ezért az eIDAS 2.0 törekvése az, hogy

nem kell minden szerződéshez valamennyi, az e-aláírásban szereplő adatot megosztani, hanem csak azokat az adatokat kell biztosítani az ügyfélről, amelyekre feltétlenül szükség van.

Így jön létre az identity wallet, amelyet digitális személyazonossági pénztárcaként lehet magyarra fordítani. A való életben is megtörténik, hogy valamilyen ügyintézéshez elég egy fényképes igazolvány, máshol viszont például a lakcímkártyánkat is elkérik, megint máshol még komolyabb ellenőrzésnek vetnek alá minket épp azért, hogy az adott ügyben a közel százszázalékos azonosítás biztonságát garantálni tudják.

Ahány ház, annyi rendszer

Hogyan lehet rendet rakni ebben a rendszerben? Ma még más digitális aláírást használnak az állam szervezetei is: más rendszeren tudom megnézni a cégbírósági adatokat, és teljesen más titkosítással működik az ügyfélkapuhoz rendelt digitális aláírás. És akkor még nem is szóltunk arról, hogy a határokon túl minden ország saját maga fejleszt...

Jámbor Péter: Az interoperabilitás valóban komoly kihívás: hogyan lehet bizonyos rendszerekben történő aláírást másik rendszerekben ellenőrizni. Meg kell találni azokat az utakat, amelyeken az ügyfél ezt könnyen fogja tudni használni. Azt gondolom – legalábbis a mi partnereink ezt igazolják vissza –, ma már sehol nem cél, hogy csak saját rendszeren belül használható megoldást fejlesszünk.

Vey Dorottya: Az eIDAS általános keretrendszere strukturáltan építi fel azt, hogy a digitális aláírásnak milyen biztonsági elemeket kell tartalmaznia, milyen algoritmusra kell épülnie. Tehát mik azok a fizikai és egyéb jellemzők, amelyek alapján biztonságosan lehet egy digitális aláírást létrehozni, hogy az a célzott joghatást ki tudja váltani. Az Európai Szabványügyi Bizottság elég pontosan meghatározza, hogyan, milyen rendszerben, milyen interfészeken keresztül lehet ezeket a digitális aláíráshoz szükséges kulcsokat létrehozni, kiadni, tárolni. Ez megkönnyíti azt is, hogy más rendszerekben is ellenőrizhető legyen a hitelesítés.

Ilyen tekintetben vannak általánosan használt megoldások, mint például egy Word- vagy PDF-dokumentum. De mit lehet kezdeni az olyan megoldásokkal, amelyek csak 1-1 államban sajátosak? Ha minden igaz, az e-akta formátum hungarikum.

Jámbor Péter: Ez valóban így van. Ennek következtében az e-akták olvashatóságát – amiatt, hogy Magyarországon preferált – a magyar szolgáltatóknak biztosítaniuk kell, viszont az is szinte bizonyos, hogy a nemzetközi szolgáltatók nem fognak erre fejleszteni, vagyis az ilyen dokumentumok esetén sokszor nem lesz megoldható az e-aláírás ellenőrzése.

Nem örökre szól

A személyi igazolványokat 10 évente kell megújítani. Az e-aláírások eddig csak nagyon rövid ideig voltak használhatók. Az elterjedéshez az alkalmazhatóság idejének bővítésére is szükség lenne, nem?

Vey Dorottya: Természetesen, mindenki hosszan használható megoldásokat szeretne. Ugyanakkor ha azt nézzük, hogy egyes jellemzők, amelyek a tanúsítványban szereplő adatnak számítanak, milyen gyorsasággal változnak, akkor változik a kép. Például az e-mail-címünk igen gyakran változik, ha viszont az változik, az általam használt tanúsítvány nem valós adatokat fog tartalmazni rólam. Márpedig a digitális aláírás hitelességének alapfeltétele, hogy az abban szereplő adatok naprakészek legyenek.

Jámbor Péter: A felhasználói oldalról megközelítve valóban az lenne a legjobb, ha az e-aláírásaink soha nem járnának le, és maximum elég lenne néha bejelentkezni, hogy igen, még mindig én vagyok én. Viszont mivel ez egy bizalmi szolgáltatás, ezért egészen biztosnak kell lennie egy szolgáltatónak abban, hogy a tanúsítvány birtokosa még mindig ugyanazokkal az adatokkal bír, amiket a rendszer eltárolt.

De ki dönt arról, hogy egy-egy esetben meddig használhatók ezek a tanúsítványok?

Vey Dorottya: Nagyon jól szabályozott kereteink vannak, szabványok tartalmazzák, hogy mennyi az az időtartam, amelyre kibocsáthatunk egy-egy ilyen tanúsítványt. Ez az időintervallum

jellemzően 1 és 3 év közötti, amíg a tanúsítvány  típustól függően  érvényes lehet.

Fontos ugyanakkor hozzátenni, hogy ha az aláírónak bármely, tanúsítványban szereplő adata megváltozik, akkor ezt a tanúsítványt vissza kell vonni. Adatbevallási kötelezettsége van mindenkinek.

Rendben, de nem járhatok végig minden partnert. Például, ha a családi állapotom változik, arról normál esetben a Belügyminisztérium tudomást szerez – elvárható-e, hogy ezt az adatot ő ossza meg a többi adatkezelővel?

Jámbor Péter: Az, hogy digitális állampolgársággal rendelkezik valaki, többek között azt is jelenti, hogy aláíró képessége van, van tanúsítványa, és ezt különböző helyeken tudja használni. De azt azért ne felejtsük el, hogy a digitális állampolgárság nélkül is van lehetőségem minősített tanúsítványhoz jutni, ami a legmagasabb szintű joghatást biztosítja jelen pillanatban. Tehát én egészen nyugodtan igényelhetek Németországban egy minősített tanúsítványt, annak ellenére, hogy nem vagyok német állampolgár. Az azért nem várható el, hogy a Belügyminisztérium Németországba küldözgesse bizonyos rendszerességgel az én személyes adataimat, már csak azért sem, mert ez az adatmegosztás kifejezetten ellenkezik a személyes adatok kezeléséről szól GDPR-alapelvekkel.

Vey Dorottya: Ráadásul az eltérő államok eltérő módon kezelik az adattovábbítást és az adatvédelmet is, sőt azt is, hogy milyen joghatást kapcsolnak az e-aláírásokhoz, milyen körben teszik azokat használhatóvá.

Ki védi meg a digitális aláírást?

Ha az adataim egy cég szervertermében vagy épp a felhőben lesznek eltárolva, jogosan tarthatok attól, hogy ezek a rendszerek célpontjai lesznek az adattolvajoknak. Ki véd meg ettől?

Jámbor Péter: Az informatikai bizalmi szolgáltatások talán még fokozottabb felügyelet alatt állnak, mint a pénzügyi szektor. Éppen azért, mert az adott szolgáltatónál minősítetten rendelkezésre álló adatok között akár kritikus információk is elérhetőek.

A szabályozás tehát nagyon szigorú, mind az azonosítás, mind a kulcs, mind a tanúsítványhoz tartozó azonosítók tárolása tekintetében, ami megnehezíti a visszaéléseket.

De azért ne felejtsük el, hogy itt, a mesterséges intelligencia világában nagyon sok lehetőség van – mind a védekezés, mind a támadás szempontjából. Mi is, mint mindenki, próbálunk lépést tartani a korral. Fontos azt is hangsúlyozni, hogy ebben a szakmában a felelősségbiztosítás jellemzően jelen van.

Addig, amíg szigetszerűen működik az e-aláírás, nem feltétlenül lesz a célkeresztben, hiszen – leegyszerűsítve – túl komolyan védenek túl kevés adatot. De ha valóban digitális állampolgárság van, és egy komplett államnak a teljes adatmennyiségét meg tudom szerezni, az okozhat ugrást a fenyegetettségi szintekben?

Vey Dorottya: Épp ezért kell a digitális információkezelésnek, az őrzési mechanizmusoknak folyamatosan fejlődniük, hogy legyenek olyan kockázatcsökkentő tételek, amiket be lehet integrálni a rendszerekbe. Ebben a jogszabályok és a szabványok alkalmazása mellett az edukáció is fontos szerepet kap, hiszen ennek révén a felhasználókat is fel tudjuk arra készíteni, hogy egy esetleges támadást hogyan tudnak ők is könnyebben átvészelni, hogy tudják az adataikat megfelelően tárolni, megfelelően őrizni.

Jámbor Péter: A különböző aláírási szintek különböző joghatással bírnak, épp ezért a biztonsági szintet is nagyban növelik. Jelenleg – miként arról már beszéltünk – a minősített tanúsítvány a legkomolyabb védelemmel ellátott termék, ahol mind a regisztráció, mind a kulcs tárolása olyan bizalmi környezetben zajlik, ami a legmagasabb biztonságot és ezáltal a legmagasabb joghatást tudja biztosítani. De nem feltétlenül kell minden azonosításhoz ilyen szigorúság – azt kell megtalálni pontosan, hogy milyen azonosítási szinthez milyen joghatást kapcsolunk. Egy tableten történő, a valós kézjegytől önmagában is rendkívül eltérő aláírás önmagában még nem alkalmas érdemi szerződések azonosításához – emlékezzünk csak vissza, legalább 10 aláírást kérnek a bankban is ahhoz, hogy a tabletes aláírásmintát berögzítsék.

Vey Dorottya: Fontos ismét hangsúlyozni, hogy az ügyfeleknek lehetőségük van saját igényeiknek és kockázatvállalási képességüknek megfelelő megoldást választani.

Nem kell az e-aláírást használni akkor, ha nem bízunk a szolgáltatóban – továbbra is lesz módja annak, hogy megjelenjünk a hivatalban/ügyfélszolgálaton, és hagyományos módon azonosítsuk magunkat.

A digitális aláírás ugyanakkor hitünk szerint nem csupán kényelmi szolgáltatás, hanem a tényleges jövő útja – megkímél bennünket egy csomó időráfordítástól, gyorsabbá teszi az ügyintézést, és – mert fontos, hogy erről is essen szó – minden korábbinál biztonságosabbá teszi a szerződéskötést, hiszen a minősített e-aláírást már nemcsak én saját személyemben, hanem a mögöttem álló hitelesítő szervezet is garantálja majd. Ez a jövő. A digitalizáció pedig az út, amely a szolgáltatók segítségével összeköti a hatóságokat az állampolgárokkal és a jövővel.

(Borítókép: dr. Vey Dorottya  és Jámbor Péter. Fotó: Kaszás Tamás / Index)

Rovatok