Do testování evropské digitální peněženky se zapojila i firma CZ.NIC
Evropská digitální peněženka (EUDI), aplikace, která umožní všem státům EU vytvořit digitální identitu pro své občany, zahajuje rozsáhlý pilotní provoz.
Evropská komise sestavila tzv. konsorcium Potential, jehož členy jsou firmy z devatenácti evropských zemí a Ukrajiny, aby provádělo rozsáhlé pilotní projekty pro připravovanou digitální peněženku EUDI. Na tyto pilotní programy komise vyčlenila 46 milionů eur, které rozdělí mezi více než 250 soukromých a veřejných organizací v celé Evropě.
Konsorcium Potential je přitom pouze jedním ze čtyř konsorcií, která Komise vybrala pro provádění rozsáhlých pilotních projektů, v žargonu digitálních peněženek známých jako LSP, které mají EU připravit na zavedení peněženky EUDI. V České republice se do obdobného pilotního projektu zapojilo sdružení CZ.NIC a společnost Gen (dříve Avast).
Sdružení CZ.NIC, správce internetové domény CZ, se dostalo pozornosti médií loni v únoru, když na žádost vlády Petra Fialy začalo blokovat osm internetových domén s odvoláním na § 405 trestního zákoníku, používaný dosud výlučně jen v souvislosti s popíráním nacistického holokaustu. Později tentýž den přestalo fungovat několik dalších nezávislých webů, jejichž domény nebyly uvedeny v oficiálním seznamu blokovaných webů.
Úkoly konsorcia
Konsorcium Potential, které mimo jiné zahrnuje společnosti jako Idemia, Intesa a Namirial, vstoupilo do fáze zavádění EUDI v dubnu, zatímco v květnu oficiálně zahájilo přeshraniční piloty po podpisu grantové dohody s Evropskou unií.
Konsorcium má na starosti pilotní projekty pokrývající šest oblastí, včetně elektronických služeb veřejné správy, otevření účtu, registrace SIM karty, mobilního řidičského průkazu, kvalifikovaného elektronického podpisu na dálku a elektronického receptu.
V červnu Evropská komise prozradila, že technické specifikace EUDI budou zveřejněny v následujících týdnech. Na konci měsíce Rada a Parlament Evropské unie dosáhly předběžné dohody o aktualizaci nařízení eIDAS, které upravuje přístup k veřejným službám a transakcím v EU, a o peněžence EUDI.
Bezpečnostní certifikáty peněženky EUDI
Peněženka EUDI bude díky velkému množství dat novým atraktivním cílem kybernetických útoků a musí si zachovat svou odolnost i v budoucnosti, kdy se očekávají útoky využívající kvantovou výpočetní techniku. Měla by tedy nastavit bezpečnostní certifikační standardy a směrnice, které pokryjí celý životní cyklus peněženky, od výroby přes aktualizace až po vyřazení produktu. Zároveň bude založena na chytrém telefonu, což znamená, že bude muset počítat s věcmi, jako jsou aktualizace softwaru, vybitá baterie a špatné připojení.
Fabien Deboyser, expert společnosti NXP na bezpečnostní certifikaci, v článku pro Identity Week tvrdí, že jedním ze způsobů, jak zajistit bezpečnost, je metodika SESIP (Security Evaluation Standard for IoT Platforms). SESIP je dle Deboysera dostupný, použitelný, ochranné profily SESIP se snadno vytvářejí a lze je také opakovaně používat.
Metodika hodnocení SESIP umožňuje opakované použití certifikací pro jednotlivé části, což umožňuje certifikaci podle přístupu založeného na složení, říká Deboyser. Tím se zjednoduší proces certifikace a obejde se nutnost individuálního testování a hodnocení dříve certifikovaných dílů.
Nedělejte stejné chyby jako u certifikátů Covid
S tím, jak se rozbíhají práce na celoevropské digitální peněžence, někteří grantoví partneři varují před opakováním chyb digitálního certifikátu COVID, který se 1. července stal součástí globální sítě certifikace digitálního zdraví Světové zdravotnické organizace OSN. Kvůli časové tísni byla v systému certifikátů COVID prý přijata unáhlená rozhodnutí, která jej zatížila nedostatky v oblasti ochrany soukromí, bezpečnosti a použitelnosti.
Partneři současně podporují, aby možnost digitálně ověřovat totožnost občanů neměl jen veřejný sektor, ale i ten soukromý. Partneři vidí prostor pro zavedení akreditačního procesu pro konkrétní typy ověřovatelů.
"Pokud se nepoučíme z nedostatků certifikátu EU Digital COVID, navrhovaná evropská peněženka pro digitální identitu nedosáhne svého plného potenciálu," píší. "Musíme zapojit soukromý sektor, aby pomohl vytvořit vyváženější návrh - s ohledem na soukromí, bezpečnost, interoperabilitu a použitelnost -, který bude fungovat pro všechny účastníky ekosystému."