Nesen tika izziņots jauninājums e-veselības sistēmai, turpmāk autentikācija būšot tikai izmantojot eParaksts mobile. Pirmo reizi kad to dzirdēju, nodomāju, ka droši vien nav slikta ideja, lai arī ar saviem mīnusiem. Neesmu e-veselības speciālists, bet jebkuru sistēmu ir vieglak uzturēt, ja tai ir tikai viens veids kā autenticēties (pārbaudīt lietotāja identitāti). Un pie tam, ja šī viena autentikācijas metode tiek uzticēta centrālai iestādei, tad pašai e-veselībai vairs nevajag nodarboties ar jaunu lietotāju identitāšu reģistrāciju, nevajag salāgot dažādas identitātes kas nāk no dažādām sistēmām, un tā tālāk. Šis lēmums nocērt lielu daļu no šiem potenciāliem sarežģījumiem un uzturēšanas grūtībām. Pie tam nodrošinot arī augstāku drošības līmeni. Un e-veselības sistēma kuru ir vieglāk uzturēt un kura ir drošāka ir visu mūsu interesēs.
Bet nu, tā bija pirmā doma. Otra doma mani aizveda atpakaļ pie “eParaksts mobile” būtības. Liekas ka tā taču ir tīri laba doma, ņemt mūsu eParaksta risinājumu un padarīt to pieejamāku un modernāku, ļaujot izmantot savu drošo eletronisko identitāti arī bez id kartes. Lieliska doma. Un tāpat kā e-paraksts mobile ieviešana e-veselībā, tā ir pareiza ideja, ja tiek skatīta ārpus konteksta.
Salīdzinam Baltijas valstis
Un konteksts ir šāds. Vēlos salīdzināt autentikācijas metodes latvija.lv, epaslaugus.lt un eesti.ee, šie trīs ir galvenie valsts portāli e-pakalpojumu nodrošināšanai. Attiecīgi Latvijas, Lietuvas un Igaunijas.
Varam redzēt gan valsts veidotos identifikācijas līdzekļus, gan dažādas bankas. Ir pieejama arī identifikācija ar citu Eiropas valstu piedāvātajām autentikācijas metodēm, bet tās mēs šajā rakstā neapskatam.
Lietuvas portālā redzam līdzīgu pieeju, kā Latvijā. Tikai nav divu dažādu eparakstu (eID un eParaksts) un nav arī eParaksts mobile ekvivalenta, bet toties ir mobile id (zem Mobile devices). Nav arī uzsvērts ka valsts piedāvātie rīki ir ar paaugstinātu drošību, lai arī tas šeit strādā tieši tāpat kā Latvijā. Ir arī Eiropas pieslēgšanās rīki, bet tie nav redzami ekrānšāviņā.
Igauņu portālā var redzēt daudz mazāk dažādus pieslēgšanās veidus. Pēc noklusējuma tiek piedāvāts Smart-Id. Ir arī Eiropas pieslēģanās metodes.
Ar pirmo acu uzmetienu, liekas ka Latvijas un Lietuvas portālos ir vairāk autentikācijas metožu, tātad cilvēkiem būs ērtāk tikt pie vēlamajiem e-pakalpojumiem. Bet diemžēl rezultāts ir daudz mazāk patīkams.
Vispirms, vai kāds spēj pateikt ar ko atšķiras “eID” no “eParaksts”? Nospiežot abas pogas lietotājs nonāk pie tā paša rezultāta. Vismaz cik redzams no lietotāja viedokļa. Kāpēc pogas ir divas? Nu, neesmu politvēsturnieks, bet man cik atceros, tas ir saistīts ar vairākiem digitalizācijas skandāliem un to ka kādreiz bij izveidotas divas konkurējošas organizācijas kas nodrošināja šo eParaksta infrastruktūru. Ja nemaldos tas bija vairāk kā pirms desmit gadiem. Aptuveni tajā pašā laikā kad aizsākās arī līdzīgi iepirkumu skandāli arī vilcienu iepirkuma un digitālās televīzijas sakarā.
Otra atšķirība ko iespējams pamanījāt ir tas ka igauņu un lietuviešu portālos ir tāda lieta kā “mobile-id”. Tā ir jau novecojusi tehnoloģija kur lietotājam bija jāiegādājas speciāla simkarte, vienlaikus uzrādot pasi, lai apliecinātu savu identitāti. Pēc tam to izmantojot varēja autenticēties izmantojot speciālu mobilo tehnoloģiju kas mazliet atgādina sms. Igaunijā šī metode bija ārkārtīgi populāra pirms parādijās Smart-ID. Lietuvā arī tā joprojām tiek plaši izmantota.
Latvijā arī šāda sistēma tika izstrādāta, ja nemaldos, tad tur bija iesaistīts vadošais telekomunikāciju operators kā arī viena vai vairākas citas konkurējošas iestādes. Projekts nekad nepieredzēja publisku palaišanu, lai arī liekas, ka bija pat testēšanas stadijā. Publiski skandāli bija. Tas arī bija pirms gadiem deviņiem desmit. Lietuvā arī šī sistēma bija veiksmīgi ieviesta.
Vēl jūs varat redzēt, ka Latvija piedāvā autentikāciju caur internetbankām. Ļoti ērti. Īpaši ņemot vērā, ka daudzas bankas piedāvā izmantot to pašu igauņu SmartID lai autenticētos.
Slēptās lamatas
Diemžēl autentikācijā caur banku slēpjās lamatas – izrādās ir daudzi e-pakalpojumi Latvija.lv portālā kam autentikācija caur banku skaitas nederīga. Vai to var laicīgi uzzināt? Nē.Vai Igaunijas valsts portālā ir šāds duāls drošības līmenis ar divu veidu stipruma autentikācijām? Nē nav. Autenticējies ar id karti, mobilo id vai arī smart id, un visos gadījumos tev ir tieši tādas pašas tiesības. Lietuvas portālā pieeja ir līdzīga kā Latvijai – banku autentikācija neskaitās pietiekoši laba atsevišķiem servisiem.
Pats SmartID ir lietotājiem ērts risinājums, un to savulaik izveidotja Igaunijas valdības elektronisko identitāti kūrējošā organizācija kopā ar lielākajām Baltijas bankām. Rezultātā tika radīts visā Baltijā vienots elektroniskās identitātes rīks, kas tajā laikā bija modernākais pasaulē, un joprojām ir priekšā lielākajai daļai pasaules valstu. Diemžēl pat šajā ieviešanas procesā tika pieļauta mazliet muļķīga novirze no procesa – Igaunijā ir tikai viens SmartID veids – ļoti drošs. Kamēr Latvijā un Lietuvā cilvēki var reģistrēt divus veidus, drošo un mazliet mazāk drošo. Laikam tā bija ērtāk bankām, vai arī nebij neviens kas uzstātu, ka vajag vienmēr vienādu drošību. Lai vai kā, tas ir arī viens no iemesliem kāpēc “autencikācija caur banku izmantojot SmartID” Latvijā var būt mazāk drošo, jo bankas izmanto “mazliet mazāk drošo” variantu.
Interesanti salīdzināt pašu banku autentikācijas metodes – Swedbank Latvijas portālā var pieteikties gan SmartID, gan eParaksts mobile, gan pat igauņu un lietuviešu mobile-id. Pamatīga izvēle. Bet kamdēļ?
Būtu bijis daudz pareizāk, ja tāds eParaksts mobile projekts nekad nebūtu uzsākts, un tā vietā būtu izmantots SmartId kas veic to pašu funkciju un ir jau gatavs un to jau lieto simti tūkstoši Latvijas iedzīvotāju. Bet nē, obligāti ir jābūvē savs, jo iemesli.
Sarežģītībai ir cena. Ja ir valsts portālā ir pieejams 13 autentikācijas metodes, tad tās visas var noiet greizi vismaz 13 dažādos veidos. Ja cilvēki izmanto vēl četrpadsmito un piecpadsmito metodi, lai autenticētos banmkā un tad ar bankas autentikāciju pieteiktos latvija.lv portāla, tad iespēja ka kaut kas noies greizi palielinās vēl vairāk. Bet tas, ka lietas var nestrādāt un ka jāpalīdz leitotājiem tikt galā ar visu šo zvērudārzu, tas ir tikai viena lieta par ko ir jāmaksā.
Otra lieta ir šie dažādie pieejas līmeņi, kad lietotāji nevar izmantot visas pieejamās funkcijas, tikai dēļ izvēlētas pieslēgšanās metodes. Šos atšķirīgos pieejas līmeņus vajag izstrādāt, tos vajag testēt un tos vajag pēc tam uzturēt. Un ne tikai vienā portālā, bet arī lielā vairumā citu valsts sistēmu kas ir pieejams caur to. Un tas sadārdzina jau tā dārgos valsts IT projektus. Pie tam, lielāka dārdzība ir ne tikai finansiāli, bet arī patērētajā laikā. Katrs šāds lēmums pieliek nedēļas un mēnešus projekta kalendarajiem termiņiem.
Un nevajag aizmirst arī vel vienu nodevu ko mums jāmaksā dēļ šīs neapdomīgi ieviestās sarežģītības – jo vairāk dažādu šādu mazu noteikumu un nosacījumu, kas jāpatur prātā, jo lielāka iespējamība ka lietotājs saputrosies un netiks ar to galā. Un tad jau, vai nu zvanīs atbalsta dienestam, vai arī izvēlēsies izmantot valsts pakalpojumus tradicionālajā veidā – soļojot uz iestādi.
Secinājumi
Nevēlos nekādā veidā teikt, ka Igaunijā viss ir perfekti, bet ir svarīgi salīdzināt Latvijas pieredzi ar citām valstīm, jo salīdzinot ir iespējams uz saviem lēmumiem paskatīties no malas.
Vai e-veselībai vajag vienotu pieejas metodi? Pilnīgi piekrītu. Vai tai bija jābūt eParaksts mobile? Manuprāt tādam eParaksts mobile vispār nevajadzēja eksistēt, un tā vietā valstij vajadzēja pilnībā pieņemt SmartID. Lai kādas būtu izmaksas, tās būtu mazākas kā būvēt jaunu ekvivalentu no nulles. Un ar Igaunijas valddību domājamas varētu vienoties par labiem nosacījumiem, kā arī piedalīties sistēmas pārraudzībā tik cik būtu nepieciešams.
Un post scriptum vietā – vēl viena maza atsķirība starp abiem portāliem ir tā, ka igauņu portālā nav katru reizi jāliek ķeksis, ka “piekrītu identifikācijas veikšanas noteikumiem”. Un arī nav papildus starpsoļa par piekrišanu pirms katra e-pakalpojuma uzsākšanas. Nav un viss. Kamēr datu aizsardzības likumi abās valstījs ir vienādi, jo tie ir noteikti ES līmenī.
Autors ir grāmatas “Neredzamā sarežģītības cena (The invisible Complexity)” autors, un ikdienā strādā kā tehniskais direktors Baltijas investīciju platformā Fundvest.
