Petr Budiš absolvoval elektrotechnickou fakultu Vysokého učení technického v Brně, poté pracoval v Podniku výpočetní techniky (PVT). V současnosti je předsedou představenstva a generálním ředitelem akciové společnosti První certifikační autorita (I.CA). Je autorem několika publikací, například knihy Elektronický podpis a jeho aplikace v praxi či spoluautorem publikace Elektronické komunikace.

Petr Budiš absolvoval elektrotechnickou fakultu Vysokého učení technického v Brně, poté pracoval v Podniku výpočetní techniky (PVT). V současnosti je předsedou představenstva a generálním ředitelem akciové společnosti První certifikační autorita (I.CA). Je autorem několika publikací, například knihy Elektronický podpis a jeho aplikace v praxi či spoluautorem publikace Elektronické komunikace. Zdroj: Archív

Potenciál normy eIDAS2 je velký, říká Petr Budiš, šéf společnostosti I.CA

Kamil Pittner

Elektronická peněženka digitální identity je jednou z mnoha novinek, jež s sebou přináší připravovaná norma pro elektronickou identifikaci a důvěryhodné služby v rámci Evropské unie eIDAS2. Podle Petra Budiše, generálního ředitele společnosti I.CA, která patří mezi přední poskytovatele služeb vytvářejících důvěru pro elektronické transakce, je zřejmé, že právní úprava dohonila realitu a eIDAS2 má velký potenciál.

Jaké jsou současné perspektivy elektronické komunikace?

Objem elektronické komunikace se stále zvětšuje a bude tomu tak i nadále. Směřujeme k tomu, že se stane běžnou a nativní součástí našich životů. Přispěla k tomu i situace, jež nastala v souvislosti s epidemií covid-19 a která přesunula řadu činností do digitálního prostředí. Jistě tak přispěla k rozvoji digitálních dovedností celé společnosti. Zároveň se potvrdilo, že vždy bude existovat množina lidí, pro něž tato forma komunikace nebude z nejrůznějších důvodů akceptovatelná. Bylo by přínosné z této množiny vyjmout ty, jež lze pro elektronickou komunikaci získat, a to ať už vhodnými a srozumitelnými návody, veřejně dostupnými semináři například pro seniory, umožněním přístupu k internetu a dalšími nástroji.

Jak vnímáte bezpečnost elektro­nické komunikace?

Je zřejmé, že otázky bezpečnosti elektronické komunikace rozhodně neztrácejí na významu. Musíme vždy vybalancovat uživatelskou přívětivost a přiměřenou, nikoliv paranoidní míru bezpečnosti. Ovšem zase nic nového, dozvídáme se o tom téměř denně – hlavní slabinou elektronické komunikace je její uživatel. Phishing je v českém prostředí hrozbou, před níž bezpečnostní experti varují dlouhodobě. Jedná se o kybernetický útok, při kterém se útočník pomocí technik sociálního inženýrství vydává za někoho jiného, ke komu máme důvěru, s cílem získat naše citlivá data a nejlépe i naše peníze.

Rád bych ocenil práci novinářů, kteří opakovaně informují o skutečných případech, jež by měly být vážným varováním. Bohužel bude nutné v tomto trendu stále pokračovat, stále si mnoho lidí neosvojilo ani základní bezpečnostní zásady.

Co bychom uvítali my, je ustálené právní prostředí. Stále trvající odborné disputace o tom, zda je daným zákonem míněno to, či ono, ke klidu uživatelů určitě nepři­spívají.

Jaký potenciál představuje připravovaná legislativa EU eIDAS2?

Potenciál je velký, teď jde o to, jak bude využit. Dobře víme, že nestačí pouze dát věcem právní rámec, uvést je do života je daleko náročnější. Připomeňme si, že současné přeshraniční uznávání elektronické identity podle eIDAS1 žádný velký úspěch nezaznamenalo a elektronická identita se uplatnila především na vnitrostátních úrovních, pokud vůbec.

Projekt elektronické peněženky digitální identity podle eIDAS2, na němž Evropské komisi zjevně velmi záleží, se zdá být uživatelsky výrazně přitažlivější, už jen tím, že je spojen s mobilním telefonem a že skutečně může usnadnit každodenní život tím, že co musí člověk prokazovat, to může prokázat údaji uloženými v této peněžence. Česká republika, respektive její politická reprezentace, k tomuto projektu přistupuje aktivně, takže můžeme doufat v jeho úspěch i u nás. A třeba mít v peněžence také náš kvalifikovaný certifikát pro elektronický podpis nebo elektronické potvrzení atributů.

Můžete tu elektronickou peněženku více přiblížit?

Peněženku si můžeme představit následovně – bude obsahovat základní osobní identifikační údaje a může obsahovat i další tzv. atributy, jako například řidičský průkaz, diplom, licenci, osvědčení, odbornou kvalifikaci nebo rodný list. Zahrnutí těchto atributů a celé řady dalších bude nepovinné a každý občan si bude moci zvolit, které atributy si do peněženky nahraje a kdy a jak je použije. Pokud tedy bude dokládat jeden atribut, rozhodně tím nezpřístupní i ty ostatní. Sdílení osobních údajů a atributů by mělo být transparentní, sledovatelné a díky technickému řešení i primárně v souladu s nařízením GDPR.

Vnímáte eIDAS2 jako krok správným směrem?

Pro nás jako firmu je návrh eIDAS2 jednoznačně přínosem. Samozřejmě nejsou prozatím k dispozici technické normy, které stanoví konkrétní požadavky. Ale už teď je zřejmé, že právní úprava dohonila realitu, takže se právního rámce dočkají i služby, jež jsou už poskytovány a jsou prozatím právně trochu „na vodě“, takže je vyloučené jejich přeshraniční uznávání v rámci EU. Jedná se především o různé služby, které jsou spojeny s možností jejich poskytování na dálku, jako například správa prostředku pro vytváření kvalifikovaných podpisů či pečetí na dálku.

Logicky se zvyšují nároky na bezpečnost, ovšem ty dopadnou především na poskytovatele předmětných služeb, nikoliv na jejich uživatele. Na poskytovatele se bude vztahovat směrnice NIS2, tj. směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii. Jsme za to vděční, protože bude stanoven jasný rámec opatření, který je nezbytné uplatnit.

Návrh eIDAS2 obsahuje také návrhy nových služeb, počkejme si, až o nich bude známo víc a také, zda budou ve schváleném znění.

Co nového jste připravili pro své klienty?

Samozřejmě reflektujeme požadavky uživatelů na co nejširší spektrum služeb poskytovaných na dálku. Přispěl k tomu už zmíněný covid, kdy v době nouzového stavu vzrostl zájem o naše certifikáty, ale nebylo možné při jejich vydávání splnit požadavek na ověření totožnosti žadatele výhradně při osobním kontaktu. Vyzkoušeli jsme tedy dočasnou variantu, samozřejmě s posvěcením orgánu dohledu. Zájem byl obrovský a nyní už jsme schopni vydávat kvalifikované certifikáty on-line s využitím evropsky certifikované aplikace ZealID.

Intenzívně se připravujeme na získání statutu kvalifikované služby u našich produktů RemoteSeal a RemoteSign, tj. vzdálené pečetění a podepisování. Velmi zjednodušeně – podstatou těchto produktů a služeb, jež jsou obchodně velmi úspěšné, je princip, že o bezpečný prostředek se nestará uživatel, ale my. A naopak ti, kteří chtějí mít tento prostředek ve své působnosti, se vždy mohou spolehnout, že jim poskytneme jen takové prostředky, jež mají příslušné mezinárodně uznávané hodnocení – to se týká především čipových karet.

Chystáte nějaké novinky i v souvislosti s eIDAS2?

Nové příležitosti vidíme především ve vydávání kvalifikovaných elektronických potvrzení atributů, ovšem to bude možné, až eIDAS2 projde celým legislativním procesem a budou k dispozici příslušné technické normy.

Podle našich dlouholetých zkušeností si uvedení eIDAS2 do života vyžádá intenzívní spolupráci s klienty, zde myslím především státní úřady, finanční instituce, telekomunikační společnosti a řadu dalších. Byť změny na jejich straně nebudou nijak zásadní, jde o to, abychom potenciál eIDAS2 využili co nejefektivněji.