Kaj sploh je SI-PASS?

Kot je zapisano na spletni strani, gre za »storitev za spletno prijavo in e-podpis«. Načeloma nam to pove bolj malo, a je stvar razmeroma enostavna. Ko želimo vstopati v storitve, ki so vključene v sistem SI-PASS, moramo izkazati svojo identiteto. In to lahko naredimo na več kot en način. Na upravni enoti ali na finančni upravi, če smo pravna oseba, lahko zaprosimo za kvalificirano spletno potrdilo, po domače certifikat oz. »sigenco«, ki bo izkazoval, da smo to res mi. Drug način avtentikacije pa je smsPASS, ki je neke vrste žeton, ki dokazuje, da smo to res mi.

Skrb za varnost dostopov

V SI-PASS si moramo že tako ali tako urediti uporabniški profil (račun), zakaj bi potem sploh potrebovali še certifikat ali smsPASS? Vprašanje, ki bega marsikoga.

A stvar seveda ni preprosta. SI-PASS so vrata, ki uporabnikom omogočajo dostop do številnih storitev javne uprave. Ne gre samo za zdravstveni portal, ampak ima vsak državljan dostop tudi do, denimo, svojega e-davčnega portala ali pa do eUprave, kjer lahko na primer vidimo, kdaj nam potečejo dokumenti. V SI-PASS sistemu je trenutno vključenih 52 storitev, ki državljanom, podjetnikom in podjetjem močno olajšajo življenje in poslovanje.

Prispevek je bil objavljeni v Naši družini (37/2021).

Vidite lahko, da prek teh »vrat« dostopamo do občutljivih osebnih podatkov in če bi se zanašali le na uporabniško ime in geslo, ti podatki ne bi bili dovolj zavarovani.

Večfaktorska avtentikacija

Tukaj pa pride prav tako imenovana večfaktorska avtentikacija. Z njo zagotovimo, da je tisti, ki dostopa do podatkov, do vpogleda vanje res upravičen. Najprej moram podati nekaj, kar vem, torej uporabniško ime in geslo v SI-PASS. Drugi faktor je nekaj, kar imam, torej spletni certifikat ali sms žeton (smsPass). Tretji faktor pa je nekaj, kar sem, denimo DNK zapis, prstni odtis, sken šarenice.

Začnite raziskovati, kaj lahko postorite, ne da bi se osebno zglasili na raznih uradih.

Pri SI-PASS gre v resnici za dvofaktorsko avtentikacijo in že ta, po analizah informacijskih varnostnih strokovnjakov, prepreči več kot 99 % zlorab. Zelo majhna je torej verjetnost, da bi nekdo prišel do vaših podatkov za prijavo v SI-PASS, obenem pa bi imel še vaš certifikat ali vaš telefon. Če ob prijavi uporabite vsaj enega od teh dveh dodatnih mehanizmov, bo sistem sklepal, da gre dejansko za vas. In kot rečeno, zelo zelo majhna verjetnost je, da to niste vi.

Kaj vse lahko postorite digitalno?

Zdaj, ko vemo, da je pri prijavi v SI-PASS poskrbljeno za varnost, lahko začnemo raziskovati, kaj nam pravzaprav država že omogoča, da postorimo, ne da bi se morali osebno zglasiti na raznoraznih uradih. Na portalu eDavki lahko oddamo ugovor na izračun dohodnine ali dobimo izpisek, ki dokazuje, da nam delodajalci res plačujejo obvezne prispevke. Na eZPIZ dobimo podatke o tem, koliko delovne dobe že imamo, in si naredimo informativni izračun pokojnine. V storitvi eUprava vidimo podatke o poteku osebnih dokumentov, podatke o lastništvu avtomobilov in plovil ter nepremičnem premoženju, svojih kazenskih točkah, ki smo jih zbrali v prometu, in še marsikaj drugega. Samo »gledanje« ne bi imelo prav veliko smisla, zato pa lahko oddamo marsikatero vlogo, trenutno jih je na seznamu 393.

Varen elektronski podpis, overjen s kvalificiranim spletnim potrdilom, je glede podatkov v elektronski obliki enakovreden lastnoročnemu podpisu ter ima zato enako veljavnost in dokazno vrednost. (Zakon o elektronskem poslovanju in elektronskem podpisu,15. člen)

Omenil sem le nekaj od 52 portalov, do katerih dostopate, če imate seveda ustrezne pravice, kajti niso vse storitve namenjene vsem državljanom.

Digitalni podpis je enak lastnoročnemu

Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) v 15. členu pravi: »Varen elektronski podpis, overjen s kvalificiranim spletnim potrdilom, je glede podatkov v elektronski obliki enakovreden lastnoročnemu podpisu ter ima zato enako veljavnost in dokazno vrednost.«

SI-PASS so vrata, ki uporabnikom omogočajo dostop do številnih storitev javne uprave, torej do mnogih osebnih in občutljivih podatkov.

To pomeni, da lahko s svojim SIGEN-CA in drugimi spletnimi certifikati, ki jih priznava država, brez problema podpisujete tako rekoč vse dokumente, ki vam pridejo pod roko, in nihče vam ne bi smel odreči veljavnosti podpisa.

Ko prihodnjič dobite po e-pošti v podpis skeniran dokument, ga elektronsko podpišite in takega pošljite nazaj. Prav nič ne bo narobe.