Ο Frank Leyman, Manager International Relations, Federal Public Service and Support του Βελγίου μιλά αποκλειστικά στο Netweek για την εμπειρία υλοποίησης e-ID στο Βέλγιο και για το πώς αυτή μπορεί να φανεί χρήσιμη, έτσι ώστε να επιταχύνθει η αντίστοιχη εφαρμογή της στην Ελλάδα.

Ο Frank Leyman βρέθηκε στη χώρα μας προσκεκλημένος της Βελγικής Πρεσβείας με σκοπό να ενημερώσει αρμόδιους κυβερνητικούς παράγοντες των υπουργείων Ψηφιακής Διακυβέρνησης και Προστασίας του πολίτη, σχετικά με την εμπειρία που έχει αποκομίσει το Βέλγιο από το σχεδιασμό και την υλοποίηση της ψηφιακής ταυτότητας για τους πολίτες του. Η συζήτηση που είχαμε με τον κ. Leyman ήταν πυκνή. Μετά τη συνέντευξη, τα κύρια σημεία της οποίας μπορείτε να διαβάσετε παρακάτω, μου τόνισε ότι η ψηφιακή ταυτότητα είναι ένα έργο που αφορά όλες τις επόμενες γενιές και ότι τα οφέλη της της ψηφιοποίησης των ταυτοτήτων και της διακυβέρνησης, είναι πολλαπλά, σε χρόνο και ευκολία και, εν τέλει, σε χρήμα. Το κέρδος για το Ελληνικό Δημόσιο θα είναι πολλαπλάσιο της επένδυσης, μεσοπρόθεσμα. Δεν είναι η πρώτη φορά που απεσταλμένος της βελγικής κυβέρνησης επισκέπτεται τηv χώρα μας για να εξηγήσει τι σημαίνει και πώς υλοποιείται – το back office στην ουσία – για τις ψηφιακές ταυτότητες. Η αίσθηση του συνομιλητή μας ήταν ότι αυτή τη φορά, τουλάχιστον, υπάρχει η δέσμευση. Constructor του έργου των ψηφιακών ταυτοτήτων στο Βέλγιο είναι η Zetes Industries S.A., η οποία συνεργάζεται με τη Space Hellas A.E.

    NW: Η ψηφιακή ταυτότητα είναι κάτι εντελώς νέο για την Ελλάδα. Ποιο είναι το νόημα της Digital ID και πώς ξεκίνησε η έκδοσή τους στο Βέλγιο;

FL: Πριν από όλα να πω ότι, η ψηφιακή ταυτότητα είναι χρήσιμη στην e-κυβέρνηση, στο e-government. Τότε μόνο έχει νόημα. Στο Βέλγιο, ξεκινήσαμε περίπου 15 χρόνια πριν με τη δημιουργία του υπουργείου ICT (Ministry of ICT), όταν η βελγική κυβέρνηση πήρε την απόφαση να γίνει περισσότερο “future ready”, όντας «πιο ψηφιακή» και «πιο ηλεκτρονική». Το πρώτο έργο ήταν η μετατροπή της παραδοσιακής «χάρτινης» ταυτότητας σε Digital ID. Η Digital ID έχει νόημα μόνο στην περίπτωση που ενταχθεί σε ένα πλαίσιο e-government. Αυτό σημαίνει ότι όλες οι υπηρεσίες που ήταν σε χαρτί, ή δια ζώσης, με την τεχνολογία που εισάγεται γίνονται virtual. Σε αυτό το πλαίσιο χρειάζεται ένας νέος τρόπος πιστοποίησης του ατόμου με το οποίο γίνεται η συναλλαγή.

    Ποια είναι η σχέση της ψηφιακής διακυβέρνησης με την ψηφιακή ταυτότητα;

Η ψηφιακή κάρτα έχει νόημα μόνο αν έχει ψηφιοποιηθεί η διακυβέρνηση, υπάρχουν όμως συγκεκριμένοι κανόνες με τους οποίους αυτό πρέπει να γίνει, συγκεκριμένα βήματα. Το γεγονός ότι υπάρχει μια απλή ψηφιακή ταυτότητα μπορεί να παίξει ρόλο στη συνέχεια σε πολλά διαφορετικά πράγματα. Σε μια ψηφιακή κυβέρνηση, η ψηφιακή ταυτότητα έχει ρόλο κλειδί, οπότε, αυτό που πρέπει να προσδιοριστεί, σε πρώτο επίπεδο, είναι η στρατηγική υλοποίησης ψηφιακής διακυβέρνησης.

    Ποιά είναι η εμπειρία σας από την εφαρμογή της ψηφιακής διακυβέρνησης στο Βέλγιο; Πώς η ταυτότητα μπορεί να χρησιμοποιηθεί για τη δημιουργία υπηρεσιών ηλεκτρονικής διακυβέρνησης; Μήπως δεν είμαστε αρκετά έτοιμοι να αποκτήσουμε ψηφιακή διακυβέρνηση στην Ελλάδα;

Μια Smart Card ID ή μια Mobile ID, ή και τα δύο, δίνουν στην αρχή κάθε συναλλαγής με την εκάστοτε υπηρεσία της e-goverment την απόδειξη ότι η συναλλαγή θα γίνει με το σωστό πρόσωπο.

To νόημα της ψηφιακής διακυβέρνησης είναι ευρύ και η Ελληνική Κυβέρνηση ήδη διαθέτει υπηρεσίες που είναι online. Αυτό που χρειάζεται τώρα είναι να συνενωθούν αυτές οι υπηρεσίες υπό την οπτική μιας κοινής προσέγγισης, έτσι ώστε σε κάθε περίπτωση να είναι βέβαιο ότι η συναλλαγή γίνεται με το σωστό πρόσωπο. Αυτό που κάναμε, όταν ξεκινήσαμε την υλοποίηση στο Βέλγιο, ήταν να φτιάξουμε ένα εργαλείο ως στάνταρ, το οποίο εξασφάλιζε αφενός την πιστοποίηση και εφετέρου ότι κάθε υπουργείο ή υπηρεσία θα μπορούσε να χρησιμοποιήσει, όχι μόνο στον δημόσιο, αλλά και στον ιδιωτικό τομέα.

Γιατί ο ίδιος πολίτης είναι ταυτόχρονα πελάτης για μια ιδιωτική εταιρεία, η οποία επίσης χρειάζεται έναν ασφαλή τρόπο να πιστοποιήσει τον πελάτης της. Έτσι σκεφτήκαμε να δημιουργήσουμε ένα εργαλείο που θα ήταν χρήσιμο για ολόκληρη την κοινωνία. Όσο ευρύτερη θα ήταν η χρήση του, τόσο το καλύτερο σκεφτήκαμε.

    Τι μπορεί να περιλαμβάνει μια ψηφιακή ταυτότητα; Πώς πράξατε στο Βέλγιο;

Αποφασίσαμε να συμπεριλάβουμε τα απαραίτητα που απαιτούνται για να γίνει η πιστοποίηση ενός πολίτη. Στη συμβατική ταυτότητα περιλαμβάνονται το όνομα, επίθετο, η τοποθεσία και η ημερομηνία γέννησης, τα οποία θεωρώ ότι είναι το ελάχιστο για την πιστοποίηση ενός προσώπου. Επιπλέον, μερικούς αριθμούς, έναν αριθμό κάρτας, καθώς είναι μοναδική, περίοδο ισχύος. Το μόνο που προσθέσαμε πέρα από αυτά (που είναι απαραίτητα) είναι ο αριθμός εθνικού μητρώου, ο οποίος βρίσκεται υπό συζήτηση και στην Ελλάδα, από όσο γνωρίζω.

Το Εθνικό Μητρώο είναι μητέρα όλων των βάσεων, καθώς σε αυτό περιλαμβάνονται όλοι οι επίσημοι Έλληνες πολίτες. Με τα παραπάνω στοιχεία μπορούν να πιστοποιηθούν όλοι οι επίσημοι πολίτες μιας χώρας. Η υλοποίηση e-goverment απαιτεί τρεις βάσεις δεδομένων σαν αυτές: Μια για τους πολίτες, μια με όλες τις εγγεγραμμένες εταιρείες και μια με όλους τους ιδιοκτήτες γης. Αυτές είναι οι «βάσεις των βάσεων», καθώς κάθε υπηρεσία της ψηφιακής διακυβέρνησης είναι πάντοτε συνδεδεμένη με μία από αυτές, ή με συνδυασμό τους.


    Θα χρησιμοποιηθούν βιομετρικά στοιχεία σε κάποιο επίπεδο;

Τα βιομετρικά στοιχεία είναι ένα χαρακτηριστικό που μπορεί να χρησιμοποιηθεί. Στο Βέλγιο έχουμε μια φωτογραφία, αλλά η ΕΕ μας ζητά να συμπεριλάβουμε δακτυλικά αποτυπώματα, κάτι το ποίο θα κάνουμε με την επόμενη έκδοση της Identity Card. Πάντως, λειτουργούμε χωρίς βιομετρικά δεδομένα για 15 χρόνια ήδη, χωρίς πρόβλημα. Υπάρχει βάση με βιομετρικά δεδομένα στην (βελγική) αστυνομία, όπως και αποτυπώματα των αλλοδαπών.

    Θα περιλαμβάνει αριθμούς τραπεζικών καρτών, λογαριασμούς και παρόμοια στοιχεία η ψηφιακή ID;

Όπως εξήγησα και στους κυβερνητικούς αξιωματούχους, η ψηφιακή ταυτότητα έχει μόνο το νόημα να απαντήσει με αξιοπιστία στην ερώτηση αν ο πολίτης που συναλλάσσεται είναι αυτός που υποτίθεται ότι είναι. Αν αυτό ισχύει, η ψηφιακή πόρτα ανοίγει και όλα μπορούν να γίνουν online. Τα στοιχεία που ρωτήσατε, όπως και κάθε άλλο στοιχείο βρίσκεται στην υπηρεσία πρόσβασης. Πρόκειται, δηλαδή, για μια low end card και χρησιμοποιεί μόνο δύο πιστοποιητικά, ένα για την πιστοποίηση του προσώπου και ένα για να δεχθεί μια ψηφιακή υπογραφή.

    Τι γίνεται στην περίπτωση hacking; Μπορεί κάποιος να γίνει ο ψηφιακός εαυτός ενός άλλου; Ή, τι συμβαίνει στην περίπτωση μαζικής διαρροής; Ποια είναι η ασφάλεια της κάρτας ψηφιακής ταυτότητας;

Η κάρτα περιλαμβάνει μόνο ένα αντίγραφο από ό,τι βρίσκεται στο Μητρώο Πολιτών και μην ξεχνάμε ότι ο πολίτης είναι αυτός που δίνει τα δεδομένα του σε κάποιον. Είναι δική του ευθύνη. Τι δίνει; Δίνει τα δεδομένα που είναι εκτυπωμένα ήδη στην επιφάνεια της κάρτας, τα οποία δεν είναι προστατευμένα, αλλά δημόσια διαθέσιμα. Αυτά που είναι προστατευμένα είναι μόνο τα πιστοποιητικά και για αυτά χρειάζεται να γίνει χρήση του pin.

Τώρα, αν κάποιος κλέψει την κάρτα, υπάρχει, καταρχήν η φωτογραφία που βρίσκεται σε αυτή, η οποία παρέχει ένα επίπεδο ασφαλείας, ενώ online είναι πιο δύσκολα τα πράγματα. Θα πρέπει να γνωρίζει τον κωδικό pin για να πάρει στα χέρια του την ταυτότητα του νόμιμου ιδιοκτήτη της κάρτας. Στην περίπτωση παραβίασης, o κίνδυνος δεν είναι μηδενικός και τότε υπάρχει πρόβλημα. Προσπαθούμε να είμαστε διαρκώς μπροστά από τις εξελίξεις σε θέματα ασφάλειας, που εν δυνάμει μπορεί να προκύψουν. Αναβαθμίζουμε τα πιστοποιητικά μας, τα αλλάζουμε ή αλλάζουμε τα στάνταρντ των πιστοποιητικών που χρησιμοποιούμε κάθε φορά που ανανεώνουμε και τις κάρτες μας. Στην περίπτωση σοβαρού προβλήματος παραβίασης, η διαδικασία προβλέπει το μπλοκάρισμα όλων των πιστοποιητικών και την επανέκδοσή τους για όλους. Δεν είναι κάτι απλό, αλλά, για παράδειγμα, η Ολλανδία το έχει κάνει μια φορά για προληπτικούς λόγους.

    Πόσο εύκολο είναι αυτό; Μπορεί να γίνει απομακρυσμένα;

Στην ουσία πρόκειται για ένα Java chip, οπότε τεχνικά είναι δυνατό να αλλάξεις το πιστοποιητικό μετά την έκδοση. Το μειονέκτημα στην περίπτωση αυτή είναι ότι πρέπει να κληθούν όλοι οι πολίτες στην αρμόδια υπηρεσία – στο Βέλγιο είναι οι Δήμοι– για την ανανέωση του πιστοποιητικού. Κάθε χειρισμός γίνεται στην αρμόδια δημόσια υπηρεσία (στους Δήμους, στο Βέλγιο) και είναι πάντοτε καταγεγραμμένος (traced) –όπως και κάθε πράξη στο backoffice– και συνδεδεμένος με το e-ΙD του υπαλλήλου που τον διενεργεί. Το backoffice του Δημοσίου στο Βέλγιο λειτουργεί σε τρία επίπεδα. Κατ’ αρχήν, με την φυσική διασύνδεση των υπουργείων, μέσω ενός δικτύου οπτικών ινών (connection layer). Ακολουθεί το Federal Service Bus, το οποίο οργανώνει την κίνηση στο δίκτυο οπτικών ινών και, τέλος, υπάρχει ένας αριθμός κανόνων που ακολουθούνται για το, πώς συλλέγονται πληροφορίες, από πού, από ποιον και για ποιο σκοπό (proportionality and finality). Όλη η κίνηση ιχνηλατείται και είναι αδύνατο να κάνει κάποιος οτιδήποτε χωρίς να «συστηθεί» ψηφιακά και να έχει νόμιμη εξουσιοδότηση.