Ar Smart-ID var paveikt daudz vairāk, nekā domājam 9
Diezin vai Baltijas valstīs būs daudz cilvēku, kuriem nekad nav nācies saskarties ar elektroniskās autentifikācijas un parakstīšanās rīku Smart-ID, ko izstrādājis igauņu uzņēmums “SK ID Solutions”. Smart-ID ir sertificēts visā Eiropas Savienībā, tam ir vairāk nekā 5 miljoni aktīvu kontu visā pasaulē, un ik mēnesi ar šī rīka starpniecību tiek veiktas ap 85 miljoniem transakciju. Par Smart-ID sniegtajām iespējām, kiberdrošību Latvijā, digitālās identitātes maku un citām interesantām lietām LA.LV saruna ar IT risinājumu un kiberdrošības eksperti, “SK ID Solutions” Latvijas filiāles vadītāju Sanitu Meijeri.
Šogad Smart-ID komanda sasniegusi daudz uzņēmumam un sabiedrībai nozīmīgus mērķus, tostarp, Smart-ID ieguva Latvijas normatīviem atbilstošo kvalificēto statusu. Lūdzu, ieskicējiet, ko tas nozīmē praktiski!
To, kā dalībvalstīm jārisina digitālo identitāšu un digitālo parakstu jautājumi, nosaka Eiropas Savienības eIDAS regula. Proti, vienas valsts kvalificēts elektroniskais paraksts ir jāatzīst un jāpieņem arī visām pārējām dalībvalstīm. Ja skatāmies uz Smart-ID kā kvalificētu elektronisko parakstu, tad tas ir visur atzīts un pieņemams kvalificēts elektroniskais paraksts, tieši tāpat kā eParaksts vai eParaksts mobile.
Autentifikācijas līdzekļi ir uzskatāmi par kvalificētiem, ja valsts, kura kvalificējusi šo rīku, izsludina to arī pārējās dalībvalstīs. Tas ir ļoti okay nacionāliem rīkiem, bet nav labi privātiem rīkiem, jo, ja valsts izsludinātu savu rīku, ko tā kvalificējusi pārējā Eiropas Savienībā, tad šai valstij, mūsu gadījumā Igaunijai, būtu jāmaksā mums, Smart-ID uzturētājiem, par visām transakcijām, kas ar Smart-ID notiek pārējās Eiropas Savienības dalībvalstīs. Līdz ar to katrā dalībvalstī, kurā kāds rīks, kā, piemēram, Smart-ID, grib būt kvalificēts, šis statuss ir jāiegūst lokāli. Mēs ceļu lokālā kvalificētā statusa iegūšanai sākām iet pirms četriem gadiem, un tas nebija viegli. Valstī ir savs nacionālais rīks, kur tā ir investējusi naudu un laiku, un, loģiski, tā cenšas šo rīku pasargāt no liekas konkurences. Šķēršļu bija daudz, bet beidzot tie visi ir pārvarēti un šī gada 19.maijā tika pieņemts lēmums, ka Smart-ID Latvijā ir kvalificēts rīks. Respektīvi, tas var tikt lietots Latvija.lv, to varēs izmantot e-adreses veidošanai, kad tiks pabeigta integrācija ar Latvija.lv, kā arī autentifikācijai dažādos medicīnas pakalpojumos, kuriem, kā līdz šim plānots, no nākamā gada 1. janvāra varēs piekļūt tikai ar kvalificētiem rīkiem.
Vai tas nozīmē, ka Smart-ID galvenais konkurents ir eParaksts?
Jā. Tiešā konkurene mums ir ar eParakstu.
Vai klienti, kuri lieto kā Smart-ID, tā valsts piedāvāto risinājumu – eParakstu, – strikti turas pie kādas no šīm konkrētajām izvēlēm, vai arī ir kādi pārklājumi? Kā šie abi risinājumi savstarpēji atšķiras?
“Brand Capital” pētījums liecina, ka vismaz 80% eParaksta lietotāju lieto arī Smart-ID. Ja runājam par kopējo lietotāju skaitu, tad no Latvijas teju 1,9 miljoniem iedzīvotāju Smart-ID lieto viens miljons, bet eParakstu – 250 tūkstoši iedzīvotāju.
Plānojam, ka Latvijā varētu sasniegt 1,5 miljonus Smart-ID lietotājus, bet pagaidām tas ir tikai teorētisks aprēķins.
Kādi potenciālie ieguvumi no Smart-ID integrēšanas Latvija.lv varētu būt valsts pārvaldei un iedzīvotājiem?
Pirmkārt, valsts pārvaldei būs rīks, ar ko vieglāk uzņemt jaunus lietotājus e-adresei. Pagaidām e-adresi maz reģistrē un izmanto arī tādēļ, ka šobrīd to var izveidot vienīgi ar eParakstu vai eParaksts mobile. Daudziem tas nebija iespējams. Tas ir viens arguments. Otrs ir lielais Smart-ID lietotāju skaits, kas valstij beidzot ļauj atteikties no bank-link izmantošanas.
Respektīvi, no identificēšanās caur banku?
Jā, jo tas nav standartiem atbilstošs pārejas veids. Igaunijas valsts jau vismaz pāris gadus no tā ir atteikusies, tomēr Igaunijā arī elektronisko rīku izmantošana ir daudz, daudz aktīvāka nekā Latvijā. Mēs šajā ziņā esam palikuši diezgan tālu iepakaļ.
Nozarē runā, ka vajadzētu pakāpeniski atteikties no banku identifikācijas līdzekļiem personu autentifikācijā tiešsaistē. Kāpēc tā?
Bank-link autentifikācijas uzturēšana nav banku pamatbizness. Tas viņiem nav jādara. Bankas savulaik palīdzēja valstij atrisināt problēmu ar iedzīvotāju piekļuvi valsts pakalpojumiem un tolaik bija doma, ka tas neturpināsies ilgi.
Kā tautā saka, nav nekā stabilāka kā pagaidu risinājumi…
Bankas grib vairāk pievērsties savam pamatbiznesam un nenodarboties ar to, ko var paveikt ar profesionāliem, speciāli šim nolūkam domātiem rīkiem. Turklāt bank-linki netiek ne tā auditēti, ne arī tā pārbaudīti, kā šie kvalificētie rīki. Tas arī neiet kopā šo Eiropas Savienības eIDAS regulu. Tā bija pagaidu “roba aizlāpīšana”, lai iedzīvotājiem būtu iespēja kaut kādā veidā saņemt šos pakalpojumus attālināti.
Saprotu, ka tagad arī bērni no 13 gadu vecuma var reģistrēt sev Smart-ID kontu bez bankas starpniecības.
Patiesībā Smart-ID kontu bankas filiālē bērnam var reģistrēt jau no 6 gadu vecuma, bet no 13 gadu vecuma to var izdarīt attālināti, kad ne bērnam, ne vecākiem nekur nav jāiet.
Kāpēc lūkojāties arī šajā – bērnu un jauniešu virzienā?
Nākotnē viņi ir potenciālie banku klienti, tāpēc būtiski, lai viņiem ir konti, norēķinu kartes, arī kabatas naudu viņi var saņemt elektroniski. Jo ātrāk bērni sāks apgūt visu šos rīkus, jo labāk viņi spēs ar tiem rīkoties.
Uzticamības pakalpojumu joma ir stingri regulēta. Vai prasības drošības jomā, personu datu apstrādē šāda tipa pakalpojumos starp Baltijas valstīm atšķiras?
Pionieris viennozīmīgi ir Igaunija. Tur jau ļoti daudzus gadus dažādos veidos tiek veicināta drošu elektronisko pakalpojumu izmantošana. Piemēram, Igaunijā paroļu vietā sen izmanto tikai drošus rīkus, mums tas viss kaut kā notiek mazliet lēnāk.
Kāpēc tā? Esam mazāk zinoši, slinkāki?
Varbūt mēs vienkārši nesaskatām nepieciešamību tam, ka savus aktīvus vajag pārvaldīt droši, rūpēties par lietotāju drošību. Varbūt mēs tik ļoti nemaz necienām savus datus.
Eiropas Savienība izvirzījusi mērķi, lai līdz 2030.gadam vismaz 80% iedzīvotāju būtu pamata digitālās prasmes. Kā jums Eiropas digitālās desmitgades kontekstā izskatās tālākā attīstība?
Eiropas Savienībai ir daudz labu iniciatīvu un ideju, bet to ieviešana dzīvē nav tik vienkārša. Tās jāsaskaņo ar katru valsti, arī cilvēki ir ļoti dažādi, daļa konservatīvāki, citi ir gatavi izmēģināt jaunas lietas. Ir tādi, kas mīl rakstīt uz papīra ar pildspalvu, sūta ar roku rakstītas vēstules, drukā normālas fotogrāfijas un līmē tās albumos, citi cenšas sazināties galvenokārt elektroniski. Kā jau teicu, cilvēki ir dažādi.
Eiropas Savienības jau tādi tuvāka termiņa plāni parādīja, ka tas, ko viņi gribēja izdarīt gada laikā, vēl nav gatavs pat trīs gadu periodā. Pat digitālā maka ideja, jaunā versija regulai, kas regulē visu šo jomu, vēl joprojām ir procesā.
Vai varat ieskicēt digitālās identitātes maka pamatideju? Kādi varētu būt ieguvumi iedzīvotājiem? Un kādi riski?
Ir doma, ka tiktu izveidota aplikācija mobilajam tālrunim, kur iedzīvotāji varētu salikt savas digitālās identitātes. Kaut kas līdzīgs Smart-ID, bet atbilstošs Eiropas standartiem, visur pieņemts rīks, ar kuru mēs varētu sevi autentificēt jebkur Eiropas Savienībā. Apliecināt savu identitāti, vecumu, automašīnas vadīšanas tiesības u.tml. Visas nepieciešamās ziņas par cilvēku varētu sniegt ar vienas aplikācijas starpniecību.
Tātad pasi vai identitātes karti mierīgi varētu atstāt mājās, jo ar šo aplikāciju pietiktu, lai cilvēks pierādītu savu identitāti…
Jā. Tas arī padarītu mobilās tiesības, kas ir atsevišķs digitalizācijas projekts Eiropas Savienībā, kā derīgu dokumentu identitātei.
Izklausās ļoti labi, taču noteikti ir arī savi riski. Piemēram, kas notiek, ja mobilais tālrunis ar visu šo digitālās identitātes maka aplikāciju tiek nozaudēts?
Cilvēks to momentā var atsaukt, jo šo digitālā maka aplikāciju tikai pašu par sevi vien izmantot nevar. Digitālajam makam, tāpat kā Smart-ID, ir PIN kodi, kurus zinām tikai mēs, un tos nozagt nevar.
Runājot par nedaudz tuvāku nākotni – plānots, ka no 2024. gada medicīnas pakalpojumiem tiešsaistē Latvijā varēs piekļūt tikai ar kvalificētiem rīkiem, tostarp, arī ar Smart-ID. Vai esam pietiekami tehnoloģiski zinoši, lai šādus pakalpojumus saņemtu tiešsaistē, vai arī, jo īpaši senioriem, būs nepieciešams “palīgā sauciens” bērniem, mazbērniem, draugiem, kaimiņiem?
Domāju, tas lielā mērā būs “palīgā sauciens”. Organizācijas, kas integrē šos elektroniskos pakalpojumus, cenšas izstāstīt un paskaidrot, kā tos lieto. Palīdzēs gan draugi, gan profesionālās iestādes, kuras pašas ir ieinteresētas, lai cilvēki vairāk dara attālināti. Viņiem tas ir ātrāk, arī lētāk no operatīvo darbību izmaksu viedokļa, tāpēc viņi investēs tai skaidrojošajā darbā savus cilvēkresursus.
No lietotāja viedokļa Smart-ID tiešām ir samērā vienkāršs un, ja tā var teikt, parastam cilvēkam saprotams risinājums. Varbūt ir kādi nākotnes plāni, kā šo autentifikāciju ar Smart-ID padarīt vēl vienkāršāku?
Vēl vairāk vienkāršot šo pakalpojumu mēs nevaram, jo ar to tas paliktu nedrošāks. Mums savi lietotāji maksimāli jāpasargā, lai viņi nekļūtu par dažādu krāpnieku upuriem. Pārlieku kaut ko vienkāršojot riskējam ar to, ka varam neiziet nākamo auditu. Eiropas Savienības auditori mūs auditē katru gadu. Tāpēc vienmēr būs robeža kas svarīgāks – ērtums vai drošība? Mēs uzskatām, ka primārā ir drošība un arī daudzi mūsu klienti saka, ka nevajag upurēt drošību ērtuma labā.
Tātad varam būt droši, ka, rīkojoties ar Smart-ID, nekādi blēži mūsu datiem klāt netiks un nevarēs nozagt mūsu identitāti? Protams, ja vien paši būsim gana piesardzīgi un nedalīsimies ar saviem datiem pa labi un kreisi…
Jā, tā ir. Tomēr galvenais, ko es vienmēr, kad vien iespējams cenšos pateikt, ir: neviens mūs nevarēs pasargāt, ja paši būsim vieglprātīgi, darīsim vairākas lietas paralēli un tīri automātiski apstiprināsim dažādus pieprasījumus, īpaši neiedziļinoties, ko redzam savas viedierīces ekrānā, kāpēc tur vispār parādījies kāds aicinājums kaut ko apstiprināt un ievadīt PIN kodus. Mums pašiem ir jākļūst mazliet lēnākiem.
Nereti cilvēki pat neiedomājas, cik svarīgi ir salīdzināt Smart-ID un internetbankā pie darījuma apstiprināšanas redzamās ciparu kombinācijas. Ko tad, ja šie cipariņi atšķiras? Tas nozīmē, ka kāda trešā persona piekļuvusi cilvēka bankas kontam?
Jā, un vēl jau ir situācijas, kad cilvēki mēdz automātiski apstiprināt darījumus, kurus paši nemaz nav iniciējuši. Tāpēc es kārtējo reizi vēlos atgādināt – cilvēki, esiet uzmanīgi, un, ja pats neesat veicis darbības, kam nepieciešams šāds apstiprinājums, nedariet to! Ja šāds aicinājums saņemts no it kā no bankas vai arī kā citādi šķiet aizdomīgs, pārzvaniet bankai!
Bankas par it kā no tām saņemtiem aizdomīgiem ziņojumiem aicina zvanīt un informēt. Kā rīkoties, ja aizdomīga ziņa saņemta it kā no Smart-ID ?
Cilvēki var mums zvanīt pa tālruni +371 67665001 vai rakstīt mūsu klientu apkalpošanas dienestam [email protected], kā kuram šķiet ērtāk. Savukārt visa aktuālā informācija pieejama mūsu mājas lapā www.smart-id.com. Tāpat jāņem vērā, ka krāpnieki mēdz arī sūtīt krāpnieciskus e-pastus Smart-ID vārdā, kurā ir ļaunprātīgas saites, aicinot ievadīt datus. Tādēļ vienmēr jāpārbauda adrese, no kuras sūtīts e-pasts un jāpārbauda tās autentiskums. Smart-ID konta derīguma termiņš vienmēr ir redzams Smart-ID lietotnē un konta atjaunošana tiek veikta tikai pašā lietotnē.
Vai ziņojumu par krāpnieku aktivitātēm vai kādām citām ar Smart-ID saistītām nebūšanām ir daudz vai maz?
Ja Latvijā ik mēnesi tiek veiktas aptuveni 20 miljoni transakciju, bet ziņojumi par to, ka kaut kas nav bijis labi, mēnesī ir apmēram pieci, tad spriediet paši, vai tas ir daudz vai maz.
Pieļauju, ka situācijas, kurās cilvēki paši ar Smart-ID apstiprinājuši kādus krāpnieciskus darījumus, ir vairāk, taču saprotot, ka par krāpnieku upuriem kļuvuši pašu vieglprātības dēļ, daudzi nemaz necenšas iet kaut ko noskaidrot.
Par to, cik svarīgi ir sargāt savus datus, mediji informē sabiedrību teju vai katru dienu. Vai arī Smart-ID izstrādātājs – “SK ID Solutions” iesaistās šai brīdināšanas kampaņā?
Mēs to darām nepārtraukti. Iespēju robežās runājam par to kā medijos, tā arī dažādos pasākumos, kur piedalāmies kopā ar CERT.LV (informācijas tehnoloģiju drošības incidentu novēršanas institūcija). Mums bijusi arī ļoti nopietna kampaņa kopā ar bankām, esam rīkojuši speciālus izglītojošos pasākumus senioriem, tā kā mēs nepārtraukti kaut ko darām un cenšamies izmantot visas auditorijas.
Kāda pašlaik ir kiberdrošības situācija Latvijā? Spriežot pēc bieži redzamajiem virsrakstiem, ļoti bieži no iedzīvotājiem tiek izkrāptas ievērojamas naudas summas. Kas pie tā vainojams – kritiskās domāšanas trūkums, pārāk liela uzticība, trūkumi autentifikācijas rīkos vai vēl kas?
Tā ir krāpnieku profesionalitāte. Viņu prasme izdomāt fantastiski ticamus stāstus, spēja pārliecināt. Tas ir viņu darbs, kurā šie cilvēki izgājušie ļoti labu apmācību. Viņi izmanto cilvēkam nepiemērotu brīdi, manipulē ar steidzīgumu, svarīgumu, uzstājīgumu. Es teiktu, vienkārši brutāli apvārdo cilvēku.
Par to gan ir daudz runāts, bet kas būtu darāms, ja cilvēks saņem šādu zvanu?
Likt klausuli nost. Ja saka, ka zvana no kādas organizācijas, lieciet nost klausuli un atzvaniet, atrodiet internetā oficiālo tālruņa numuru, piezvaniet un pajautājiet: vai tiešām jūs mani zvanījāt? Tas ir pirmais un galvenais noteikums, jo, turpinot sarunu, būs grūtāk noturēties un neiekrist, krāpnieki tiešām prot apvārdot. Nekādā gadījumā neatzvaniet uz to tālruņa numuru, no kura saņemts zvans, tikai uz oficiālo attiecīgās iestādes interneta vietnē norādīto numuru.
Vai varat ieskicēt pāris virzienus, pie kā “SK ID Solutions” plāno strādāt nākamgad vai tuvākajos gados?
Esam uzticamības pakalpojuma sniedzēji un varam izdomāt tikai tik daudz, ciktāl pieļauj standarti un likumdošanas bāze, lai mūsu rīks būtu izmantojams, atzīts un uzticams klientiem. Mēs nevaram būt tik radoši, kā varbūt gribētos.
Tomēr nākotnes plānu netrūkst, un viens no tiem ir pazemināt Smart-ID slieksni tā, lai skolēni to attālināti varētu iegūt jau no 10 gadu vecuma. Vēl ir doma padarīt Smart-ID ne tikai kā Baltijas risinājumu, bet izmēģināt iespēju piedāvāt šo rīku arī ārpus Baltijas valstu robežām. Patlaban mēs pie tā aktīvi strādājam. Tāpat plānojam uz Smart-ID bāzes attīstīt līdzīgus pakalpojumu specifiskām industrijām.
Kad digitālā maka kontekstā taisījām pētījumu, izveidojām trīs pilotprojektus, kuri ir tajā izstrādes stadijā, kad aktīvi tiek meklēti potenciālie klienti, ar kuriem kopā notestēt, kā tie strādās dzīvē. Viens ir saistīts ar izklaides industriju, kad cilvēkam, lai izmantotu tās piedāvātos pakalpojumus, jāapliecina savs vecums, bet viņš nevēlas atklāt savu identitāti. Proti, tā ir anonīmā vecuma apliecināšana. Otrs ir, kad attālināti kārtojot darījumus līdzīgi, kā ar Smart-ID PIN ievadīšanu apstiprinām, ka mēs tiešām esam mēs vai arī apstiprinām savas tiesības pārstāvēt kādu uzņēmumu un tā vārdā parakstīt dokumentus. Trešais risinājums ir mobilās autovadītāja tiesības.
Tātad paies daži gadi, un visas šīs lietas varēs kārtot ļoti vienkārši, tāpat arī identitātes apliecināšanu ar digitālo maku.
Līdz digitālās identitātes maka ieviešanai droši vien kādi pāris gadi vēl jāgaida, bet viss pārējais varētu notikt ātrāk.
Smart-ID lielā daļā sabiedrības joprojām tiek uztverts kā rīks, ko izmanto bankas pārskaitījumu apstiprināšanai…
Tas sen vairs tā nav. Paskatieties Smart-ID mājas lapā, cik daudz šo risinājumu izmanto gan LMT, Latvenergo, Sadales tīkli, to izmanto balsošanai, jo īpaši namu pārvaldnieki un māju apsaimniekotāji. Smart-ID izmanto e-receptēm, ar to var attālināti atmuitot preces. Pielietojums jau tagad ir ļoti plašs.