Чи можуть
підробити ваш
електронний підпис?

Як працює електронна
ідентифікація особи в Україні

Чи можуть
підробити ваш
електронний підпис?

Як працює електронна ідентифікація
особи в Україні

Чи можуть підробити ваш електронний підпис?

Як працює електронна
ідентифікація особи в
Україні

Партнерський проєкт

Електронна ідентифікація дозволяє підтверджувати свою особу в інтернеті, щоб, наприклад, користуватися державними послугами або підписувати документи онлайн за допомогою електронного підпису. Такі можливості існують в Україні протягом тривалого часу, а Закон “Про електронну ідентифікацію та електронні довірчі послуги” 2017 року наблизив українське законодавство до регулювання Європейського Союзу.

Liga.net поспілкувалася з Олександром Козловим, експертом е-ІD проєкту DT4UA, що фінансується Європейським Союзом і впроваджується Академією електронного управління. Розповідаємо, як працює поточна система електронної ідентифікації в Україні, яка її роль у наданні державних послуг та які її технічні й безпекові аспекти.

Система “Трембіта” — це фундамент взаємодії українських реєстрів, який забезпечує використання даних електронними сервісами. Що про неї потрібно знати?

У медіа, соцмережах та урядових повідомленнях дедалі частіше зʼявляється тема електронних реєстрів та їхнього захисту. Йдеться про державні реєстри з різноманітною інформацією про фізичних та юридичних осіб. Це інформаційна основа для надання сучасних електронних послуг та роботи тієї ж Дії.

Тож чи в безпеці наші дані? LIGA.net поспілкувалася з фахівцями проєкту DT4UA, який допомагав українському уряду здійснювати цифрову трансформацію з урахуванням європейських стандартів, та розповідає, як влаштовані електронні реєстри та чи варто непокоїтися за безпеку своїх даних.

У чому відмінність між різними рівнями ідентифікації

Захист реєстру військово-зобовʼязаних

Звичайна ідентифікація з низьким рівнем довіри — це, наприклад, коли ви вводите логін та пароль від свого акаунту електронної пошти, щоб зареєструватися на певному сайті або сервісі. Ви можете вказати своє прізвище та ім’я, але перевірити, що це саме ви або в принципі справжня особа — неможливо.

Електронна ідентифікація з вищим рівнем довіри (eID) є одним з інструментів для безпечного доступу до онлайн-сервісів, проведення електронних трансакцій та взаємодії з державними інформаційними системами. Зокрема, в Україні електронна ідентифікація відбувається під час надання публічних послуг державними органами, органами місцевого самоврядування, а також приватними компаніями, як-от банки або сервіси оренди авто.

Одним із перших серйозних поштовхів до масового застосування електронної ідентифікації стала вимога декларування податків в електронному вигляді.

Олександр Козлов

Старший експерт Академії електронного управління, керівник напряму електронної ідентифікації проєкту DT4UA

Другим, на його думку, стало запровадження електронного декларування посадових осіб в межах антикорупційної реформи на порталі НАЗК. І третє — це розвиток таких комплексних публічних послуг, як “єМалятко”.

Другим, на його думку, стало запровадження електронного декларування посадових осіб в межах антикорупційної реформи на порталі
НАЗК. І третє — це
розвиток таких
комплексних
публічних
послуг, як
“єМалятко”.

Основні засоби електронної ідентифікації в Україні

Найпоширеніший засіб електронної ідентифікації в нашій країні — це “Банк ID” від Національного банку України. Коли людина відкривала свій рахунок, вона була ідентифікована працівником банку. І тепер цей канал можна використовувати, щоб підтвердити її особу.

Також для ідентифікації особи в Україні широко використовуються ключі кваліфікованих електронних підписів.

Одним із найновіших і найпопулярніших рішень є використання мобільного застосунку “Дія” з послугою “Дія. Підпис”, що, на мою думку, є найбезпечнішим, найзручнішим і найбільш сучасним способом, щоб ідентифікувати особу.

Олександр Козлов

Старший експерт Академії електронного управління, керівник напряму електронної ідентифікації проєкту DT4UA

“Дія.Підпис” — сервіс, який надає можливість підписувати документи кваліфікованим електронним підписом (КЕП) через офіційний мобільний застосунок “Дія”. Вже декілька років він допомагає українцям ідентифікувати себе у відносинах як з державними, так і з приватними сервісами.

Основні особливості сервісу кваліфікованого електронного підпису “Дія.Підпис”

01 / Зручний доступ через застосунок “Дія”
Сервіс доступний через застосунок “Дія”, який налічує понад 20 мільйонів користувачів.
02 / Забезпечення безпеки та конфіденційності
Ваш КЕП захищений від стороннього втручання, а документи, які ви підписуєте, доступні лише вам.
03 / Електронна взаємодія з державними органами
Сервіс спрощує взаємодію громадян з державними установами, дозволяючи вирішувати різноманітні питання онлайн.
04 / Авторизація на вебсайтах
Ви можете використовувати “Дія.Підпис” для авторизації на вебсайтах державних органів та приватних компаній, які підтримують цю функцію.

Технічні та безпекові аспекти ID в Україні

Наше законодавство, так само як і законодавство Європейського Союзу, розділяє декілька рівнів довіри до засобів електронної ідентифікації: низький, середній, високий. Для послуг низького рівня буде достатньо вашого акаунта в соціальній мережі або електронної пошти. Зазвичай йдеться про випадки, коли не є важливим надавати продукт або сервіс конкретно визначеній особі. Наприклад, для реєстрації на стримінгових платформах, хоча деякі з них могли б перевіряти, чи досяг глядач 18-річного віку.

Для отримання більшості державних послуг вимагається високий рівень довіри. Держава має бути впевнена, що надає послугу саме тій особі, яка подала на це запит. Наприклад, якщо хтось буде отримувати матеріальну допомогу замість вас, це створюватиме проблеми як для держави, так і для вас.

Щоб цього уникнути, підробити засіб електронної ідентифікації високого рівня довіри має бути набагато складніше, ніж створити Google-акаунт з чужим ім’ям.

Ланцюжок довіри до засобу ідентифікації зазвичай будується від документа, який вам колись видала держава. Наприклад, ID-карта або паспорт. Такий засіб ідентифікації, як-от “Дія.Підпис”, перевіряє, чи дійсно певна особа у певному році отримала ідентифікаційний документ. Ці дані звіряються з відповідним державним реєстром, до якого внесені ці відомості. Далі ваш акаунт пов’язується з даними цього надійного джерела, і ви можете проходити ідентифікацію, просто натискаючи на кнопку.

Таким чином “Дія” може підтвердити сервіс-провайдеру, наприклад податковій, що за цим запитом дійсно стоїть відповідна особа.

“Що станеться, якщо хтось візьме ваш смартфон зі встановленою “Дією”? Міністерство цифрової трансформації встановлює відповідні вимоги для функціонування ідентифікації за допомогою “Дії”, щоб максимально знизити ймовірність неавторизованого використання”.

Фактори, які підвищують захист “Дія.Підпис”

01 / Знання
Щоб увійти в ваш застосунок, потрібно знати пін-код.
02 / Володіння
Для доступу потрібен ваш гаджет.
03 / Приналежність
Біометрична перевірка обличчя користувача.

Такий комплекс заходів є надійним і відповідає наявним кращим міжнародним практикам. Як це працює, Олександр Козлов пояснює на прикладах.

Для забезпечення фактору володіння раніше використовувалися тільки спеціально захищені носії інформації (смарткарти, токени тощо), але згодом зʼявилися більш зручні та сучасні рішення, які називають хмарними підписами.

Олександр Козлов

Старший експерт Академії електронного управління, керівник напряму електронної ідентифікації проєкту DT4UA

Захищені носії особистих ключів забезпечують унікальність даних для створення кваліфікованих електронних підписів, а також захист від їх копіювання та несанкціонованого використання.

Хмарні ключі зберігаються та використовуються на захищеному сервері, а не на локальному засобі. Завдяки хмарному ключу ви можете отримати доступ до свого підпису з будь-якого пристрою, підключеного до інтернету. Надавачі хмарних ключів (зокрема “Дія”) зобовʼязані дотримуватися значних заходів безпеки для гарантування цілісності та конфіденційності вашого ключа.Звичайно, не останнім пунктом для безпеки даних користувача є його особиста обізнаність, як поводитися зі своїми даними. Зокрема, не передавати третім особам свій захищений носій, а пін-код від нього й поготів.

“Оскільки, на жаль, досить часто користувачі нехтують такими правилами, застосунок “Дія” має додатковий фактор захисту — біометрія”. Недостатньо знати ваш пін-код і заволодіти вашим телефоном, щоб хтось отримав за вас послугу чи відкрив банківський рахунок. Щоб підтвердити свою особу у “Дія. Підпис”, потрібно пройти біометричну ідентифікацію: ваше обличчя в реальному часі звіряється з даними з державних реєстрів.

Крім того, в “Дія.Підпис” є інструмент для постфактум-перевірки своїх трансакцій користувачем. Завжди можна зайти в меню і переглянути перелік дій, які він здійснив на цьому пристрої за допомогою “Дії. Підпис”. Наприклад, де пройшов ідентифікацію, який документ підписав, на якому сайті, в який день і час тощо. Це можна робити для контролю за використанням послуги “Дія.Підпис”.

Це базові критерії захисту. Але крім них, є вимоги безпеки, які держава встановлює на рівні законодавства і забезпечує шляхом проведення незалежної оцінки їхньої реалізації.

Інтеграція електронної ідентифікації в Україні з європейськими вимогами

У 2022-2023 роках проєкт EU4DigitalUA разом з Мінцифри та Державним підприємством “Дія” супроводжували процес розгортання в Україні інфраструктури для транскордонної електронної ідентифікації. Первинна ідея цього сервісу — надати українцям в Євросоюзі інструмент, який допомагає ідентифікувати себе в країні перебування, щоб отримати відповідну державну послугу.

Можливості та правила для транскордонного ідентифікації встановлює законодавство ЄС. Наприклад, на сторінці електронної ідентифікації порталу послуг Бельгії громадянин Естонії може натиснути “Естонія” і підтвердити свою особу онлайн за допомогою власних засобів електронної ідентифікації.

Угода про асоціацію між Україною та ЄС створює передумови для таких можливостей і у нас. Тоді той самий бельгійський портал зможе перенаправити українського користувача на сторінку ID.gov.ua — підтвердити його особу й отримати персональні дані. Наприклад, прізвище, імʼя та дату народження. І навпаки, це дозволить ідентифікувати громадян ЄС в Україні та надавати їм публічні послуги без необхідності фізично відвідувати адміністративні центри.

Ми створили цей сервіс досить швидко, але, на жаль, через юридичні перепони, які існують у звʼязку з транскордонним контекстом, запровадити його досі не вдалося.

Олександр Козлов

Старший експерт Академії електронного управління, керівник напряму електронної ідентифікації проєкту DT4UA

Технічно така інфраструктура повністю відповідає вимогам європейського законодавства, європейським стандартам та технічним нормативам. Але правове регулювання електронної ідентифікації — процес, досить близький до видавання таких базових ідентифікаційних документів, як паспорт.

“В усіх країнах питання регулювання електронної ідентифікації є важливим аспектом національної політики, через що все рухається досить повільно. Але з огляду на угоду про асоціацію між Україною та ЄС, існує можливість використовувати ці інструменти транскордонної взаємодії в перспективі”, — пояснює співрозмовник.

Проєкт DT4UA продовжує підтримувати роботу Міністерства цифрової трансформації у сфері електронної ідентифікації, щоб досягнути інтероперабельності з країнами Європейського Союзу. Крім того, вони працюють з Естонськими інформаційними системами — органом, який опікується електронною ідентифікацією в Естонії, для тестування на практичних прикладах використання.

eIDAS.
Гаманець для ідентифікації своїх користувачів

eIDAS (з англ. Electronic Identification and Trust Services — Електронна ідентифікація та довірчі послуги) — це регуляторна рамка Європейського Союзу, яка регулює електронні ідентифікаційні засоби. Назва eIDAS відображається в європейському регламенті (№ 910/2014), який ухвалили для сприяння розвитку електронної торгівлі та електронного урядування в європейському просторі.

Цей регламент запроваджує EU Digital Identity Wallet — гаманець електронної ідентифікації, який дозволить громадянам ідентифікувати та автентифікувати себе онлайн для низки державних і приватних послуг, а також зберігати та обмінюватися цифровими документами за допомогою мобільного застосунку. Користувачі гаманця електронної ідентифікації ЄС також зможуть безкоштовно створювати кваліфіковані електронні підписи.

Основні принципи eIDAS

01 / Визнання засобів електронної ідентифікації
Засоби електронної ідентифікації, що використовуються в одній країні ЄС, повинні бути взаємоприйнятними в інших країнах.
02 / Визнання електронних підписів та печаток
eIDAS встановлює правила для визнання та прийняття електронних підписів та печаток в усіх країнах ЄС, що сприяє їх міжнародній взаємодії.
03 / Стандартизація довірчих послуг
Регламент eIDAS визначає вимоги для довірчих послуг, як-от електронний підпис та печатка, позначка часу, електронний архів та електронне доставлення.
04 / Забезпечення безпеки та конфіденційності
eIDAS встановлює вимоги до безпеки та конфіденційності для засобів електронної ідентифікації засобів та довірчих послуг.

Громадяни зможуть застосовувати EU Digital Identity Wallet на добровільній основі, а от державні та деякі приватні організації будуть зобовʼязані приймати такий гаманець для ідентифікації своїх користувачів. “Технічне рішення гаманця буде опубліковане з відкритим кодом, щоб підкреслити прозорість сервісу та покращувати безпеку”, — каже Олександр Козлов.

По суті, український мобільний застосунок “Дія” відповідає всім функціональним вимогам нового законодавства ЄС для європейського цифрового гаманця, який держави-учасники лише мають розробити протягом наступних двох років, підкреслює експерт DT4UA. “Дія” працює з 2020 року та має 20 мільйонів користувачів, а у Європейському Союзі тільки ухвалили законодавчі передумови, щоб реалізувати аналогічну технологію.

Це не критика, адже досягти спільного рішення для 27 країн набагато складніше. До цього процесу залучають представників кожної держави, які спільно готують технічні вимоги та тестують прототипи.

Олександр Козлов

Старший експерт Академії електронного управління, керівник напряму електронної ідентифікації проєкту DT4UA

Проте за цей час зʼявилися нові міжнародні стандарти як для цифрових документів, так і для протоколів взаємодії, а також наразі узгоджується модель довіри для визнання національних гаманців електронної ідентифікації транскордонно.

Які можливості EU Digital Identity Wallet відкриває для України? Мінцифри вже працює над адаптацією “Дії” до нових європейських та міжнародних стандартів, щоб її можна було використовувати як гаманець ідентифікації ЄС. Також за допомогою “Дії” українці, наприклад, зможуть орендувати авто в країнах Європейського Союзу або показати поліцейському водійське посвідчення.

“Такі реальні можливості, які на горизонті півтора-двох років стоять перед Україною в контексті Європейського Союзу”, — підсумовує результати роботи, проробленої EU4DigitalUA, Олександр Козлов.

Проєкт DT4UA фінансується Євросоюзом та реалізується Академією електронного управління (eGA, Естонія) у тісній співпраці з Міністерством цифрової трансформації України.

Дата публікації: 14.06.2024 р.

Автор: Ольга Ліцкевич
Редактор: Ірина Денисюк
Дизайн та верстка: Юлія Теплюк

Керівник проєкту: Євген Фролов

© 2024 Всі права захищені.
Інформаційне агентство ЛІГАБізнесІнформ