E‑ID w Szwajcarii: kontrola finansowa sygnalizuje ryzyka i możliwe opóźnienie uruchomienia

W zeszłym roku wyborcy w Szwajcarii zaakceptowali wprowadzenie elektronicznej tożsamości (E‑ID) bardzo wąską większością głosów: 50,4% za. W związku z tym władze federalne zapowiedziały szybkie wdrożenie usługi w formie identyfikacji mobilnej dostępnej na smartfonach, planując start już tego lata. Jednak niezależna Eidgenössische Finanzkontrolle (EFK) wskazała w raporcie, że kilka istotnych kwestii w programie nadal pozostaje otwartych i może zagrażać terminowemu uruchomieniu.

W raporcie EFK wskazano głównie dwa typy ryzyk. Po pierwsze — harmonogram i wykorzystanie fazy stabilizacyjnej: istnieje obawa, że zaplanowany czas rezerwowy na stabilizację mógłby zostać wykorzystany jako „bufor” na nieprzewidziane poprawki, a nie jako rzeczywista rezerwa, co skutkowałoby przesunięciem startu. Po drugie — techniczne zastrzeżenia dotyczące bezpieczeństwa komunikacji pomiędzy uczestnikami ekosystemu E‑ID. Chociaż transmisje są zaszyfrowane, kontrolerzy zwracają uwagę, że w niektórych ścieżkach przesyłu danych zabezpieczenia mogą być niewystarczające wobec ataków wykorzystujących anonimowe, nieufne struktury współczesnych sieci transportu danych.

Reakcje urzędów były zróżnicowane. Bundesamt für Justiz (BJ) przyjął krytykę jako wskazanie miejsca do optymalizacji i poinformował, że poprawki są już zaplanowane. Z kolei Bundesamt für Informatik und Telekommunikation (BIT) podkreśliło, że wiele ryzyk wymienionych przez EFK jest adresowanych zgodnie z przebiegiem programu i nie stanowi w chwili kontroli nierozwiązanych problemów. Urzędy na razie nie komentują możliwości przesunięcia terminu startu.

Dlaczego to ma znaczenie dla obywateli? Elektroniczna tożsamość ma umożliwić bezpieczne logowanie do usług publicznych i prywatnych, potwierdzanie danych osobowych oraz podpisywanie dokumentów elektronicznych. Błędy lub luki bezpieczeństwa w systemie na wczesnym etapie mogłyby prowadzić do wycieków danych, podszywania się pod użytkowników lub konieczności wycofywania funkcji i ponownego wdrażania poprawek. Z drugiej strony przyspieszone uruchomienie bez pełnej pewności co do bezpieczeństwa zwiększa ryzyko takich incydentów.

Możliwe scenariusze rozwoju sytuacji obejmują:

• Start zgodny z planem po przeprowadzeniu wdrożonych korekt i z zastrzeżeniami dotyczącymi kolejnych etapów testów.
• Opóźnienie startu o czas niezbędny do poprawek i rozszerzonych testów bezpieczeństwa (np. dodatkowe testy penetracyjne, audyty zewnętrzne, dłuższa faza pilotażowa).
• Wdrożenie etapowe z ograniczonym zasięgiem funkcji lub grupy użytkowników, aby zredukować ryzyko na etapie początkowym.

Każdy z tych scenariuszy niesie konkretne konsekwencje. Opóźnienie może oznaczać koszty administracyjne i polityczne oraz frustrację użytkowników oczekujących nowych usług. Natomiast pośpieszne wdrożenie z niedomkniętymi zabezpieczeniami może doprowadzić do incydentów bezpieczeństwa, które będą trudne do naprawienia i negatywnie wpłyną na zaufanie do systemu.

W kontekście prawnym warto pamiętać, że E‑ID w Szwajcarii działa w ramach prawa krajowego dotyczącego danych osobowych i cyfrowych usług administracyjnych. Wymagania dotyczące poufności, integralności i dostępności danych są kluczowe. Ponadto ewentualne problemy z bezpieczeństwem mogą mieć wpływ na dalsze regulacje i praktyki dotyczące udostępniania i rozpoznawania tożsamości cyfrowej, także w relacjach transgranicznych.

Co to oznacza dla zwykłego użytkownika? Przez najbliższe miesiące warto śledzić oficjalne komunikaty rządu, przygotować urządzenia (aktualizacje systemu i aplikacji), a także zachować ostrożność wobec potencjalnych prób wyłudzeń (phishingu) powiązanych z uruchomieniem nowej usługi. Jeśli start zostanie przesunięty, użytkownicy powinni otrzymać jasne informacje o nowych terminach i zakresie dostępnych funkcji.

Podsumowując, audyt EFK nie zamyka drogi do uruchomienia E‑ID, ale wskazuje, że priorytetem powinno być doprowadzenie systemu do stanu, w którym bezpieczeństwo i dojrzałość technologiczna przeważają nad presją czasową. Jakiekolwiek decyzje o terminie startu prawdopodobnie będą wynikiem równoważenia tych ważnych kryteriów.

— Natalia

Źródło: 20min.ch