ODŮVODNĚNÍ. A. Obecná část. Závěrečná zpráva z hodnocení dopadů regulace. 1. Důvod předložení a cíle. 1.1 Definice problému

Transkript

1 ODŮVODNĚNÍ A. Obecná část Závěrečná zpráva z hodnocení dopadů regulace 1. Důvod předložení a cíle Cílem navrhované právní úpravy, tj. vyhlášky o stanovení podrobností užívání a provozování informačního systému datových schránek, je reglementace náležitostí přístupových údajů a elektronických prostředků k přihlášení do datové schránky, technických podmínek a bezpečnostních zásad přístupu do datové schránky, technických náležitostí užívání datových schránek, přípustných formátů datové zprávy a maximální velikosti datové zprávy dodávané do datové schránky, doby uložení datové zprávy v datové schránce a způsobu tvorby identifikátoru datové schránky v souladu se zmocněními uvedenými v zákoně č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, tak, aby byla zajištěna bezpečnost a fungování informačního systému datových schránek. Předmětem zákona o elektronických úkonech a autorizované konverzi dokumentů je úprava datových schránek určených hlavně pro elektronickou komunikaci s orgány veřejné moci, provádění úkonů a doručování dokumentů prostřednictvím informačního systému datových schránek. Doručování dokumentů prostřednictvím datové schránky představuje další prostředek elektronické komunikace s veřejnou správou a justicí, vedle komunikace elektronickou poštou ( ) s použitím zaručeného elektronického podpisu založeného zákonem č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu). Zasíláli orgán veřejné moci ve smyslu zákona č. 300/2008 Sb. dokument obsahující veřejnoprávní úkon vůči subjektu, který má zřízenu a zpřístupněnu datovou schránku, je povinen tak učinit do této datové schránky. Tuto povinnost nemá pouze v případě, že se doručuje na místě či veřejnou vyhláškou nebo neumožňuje-li to povaha dokumentu. Rovněž zasílá-li orgán veřejné moci dokument jinému orgánu veřejné moci, je povinen tak učinit prostřednictvím datové schránky, ledaže se doručuje na místě, neumožňuje-li to povaha dokumentu nebo je-li z bezpečnostních důvodů mezi orgány veřejné moci zavedena jiná forma elektronické komunikace. Zákon č. 300/2008 Sb. tak stanoví obligatorní přednostní užití datové schránky pro doručení dokumentů orgánu veřejné moci, jsou-li splněny jím stanovené podmínky. autorizované konverze dokumentů možnost převodu dokumentu z listinné podoby do podoby elektronické a naopak; dokument, který provedením konverze vznikl má stejné právní účinky jako ověřená kopie dokumentu, jehož převedením výstup vznikl. Zákon 300/2008 Sb. byl dne publikován ve Sbírce zákonů a nabývá účinnosti dne Definice problému Klíčovým institutem pro provádění elektronických úkonů podle zákona 300/2008 Sb., tj. pro doručování orgány veřejné moci, činění úkonů vůči orgánům veřejné moci a pro elektronickou komunikaci mezi jinými subjekty, představují datové schránky. Pro zajištění bezpečnosti a fungování informačního systému datových schránek zákon zmocňuje Ministerstvo vnitra k vydání vyhlášky upravující podrobnosti užívání 8

2 a provozování informačního systému datových schránek. Konkrétně se jedná o náležitosti přístupových údajů a elektronické prostředky k přihlášení do datové schránky, technické podmínky a bezpečnostní zásady přístupu do datové schránky, přípustné formáty datové zprávy dodávané do datové schránky, maximální velikost datové zprávy dodávané do datové schránky, dobu uložení datové zprávy v datové schránce, technické náležitosti užívání datové schránky a způsob tvorby identifikátoru datové schránky. 1.2 Popis cílového stavu Cílem zavedení institutu datových schránek pro doručování je přiblížení orgánu veřejné moci občanovi prostřednictvím elektronických nástrojů, zefektivnění komunikace mezi občanem a orgánem veřejné moci, komunikace mezi orgány veřejné moci a dobrovolně i mezi ostatními subjekty. Pokud orgány veřejné moci efektivně využijí skutečnosti, že jim bude doručováno v elektronické formě, bude důsledkem navrhované úpravy nejen zefektivnění komunikace, ale i práce s dokumenty v rámci jednotlivých orgánů veřejné moci. 1.3 Identifikace dotčených skupin Uživatelé datových schránek Navrhovaná právní úprava nepředpokládá žádné povinné finanční výdaje pro uživatele datových schránek. Jediným možným výdajem v souvislosti s touto vyhláškou jsou náklady na pořízení elektronického prostředku a autentizačního certifikátu k přihlašování do datové schránky. Používání tohoto prostředku však jednak není uloženo jako povinnost a jednak se počítá s využitím elektronických prostředků, které již uživatel využívá nebo bude využívat k jinému účelu (karty pro elektronické bankovnictví, elektronické občanské průkazy). Jedná se o způsob, jak přístup do datové schránky lépe zabezpečit, což povede k vyšší důvěře uživatelů, kteří nechtějí spoléhat pouze na ochranu přihlašovacím jménem a heslem. Dodavatelé technického řešení Navrhovaná úprava je důležitá nejen pro realizátora informačního systému datových schránek, ale i pro potenciální poskytovatele elektronických prostředků třetích osob. Vyhláškou dochází k zezávaznění určitých minimálních standardů, které musí splňovat jak poskytovatel, tak jím vydávané elektronické prostředky a certifikáty, což zamezí použití neověřených řešení, které by mohlo být bezpečnostním rizikem. Orgány veřejné moci Rozšíření okruhu uživatelů datových schránek v důsledku zvýšení bezpečnosti systému použitím elektronických prostředků k přihlašování umožní další zvýšení podílu elektronické komunikace a ušetří čas i náklady orgánům veřejné moci. 1.4 Popis existující regulace/vládní politiky pro danou oblast Zákon o 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, je platný ode dne 19. srpna 2008, přičemž jeho realizaci je třeba zajistit mimo jiné i tímto prováděcím právním předpisem, a to nejpozději do nabytí účinnosti dnem 1. července Oblast certifikačních služeb je upravena mezinárodně uznávanými standardy, z nichž nejvýznačnější jsou v Evropě vydávány organizací ETSI (European Telecommunications Standards Institute) a CEN (Comité Européen de Normalisation). Některé ze standardů ETSI byly transponovány do norem ČSN. CWA (CEN Workshop Agreement) je název skupiny dokumentů, které vytvářejí pracovní skupiny organizace CEN. Referenční čísla třech norem 9

3 CWA byla publikována v Úředním věstníku EU - CWA , CWA a CWA Tím se staly pro poskytovatele vydávající kvalifikované certifikáty závaznými. Dalšími významnými standardy jsou FIPS publikované americkým institutem NIST (National Institute of Standards and Technology). Řada těchto technických standardů má již místo v českém právním řádu a je již nyní závazná pro kvalifikované poskytovatele certifikačních služeb [zezávazněny vyhláškou č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb)]. 1.5 Zhodnocení rizika nečinnosti Návrh předkládané vyhlášky je prováděcím právním předpisem zákona 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů. Vzhledem k tomu, že zákon předpokládá úpravu náležitostí přístupových údajů k přihlášení do datové schránky, elektronických prostředků k přihlášení, technických podmínek a bezpečnostních zásad přístupu, přípustných formátů datové zprávy, maximální velikosti datové zprávy, doby uložení datové zprávy, technických náležitostí užívání datové schránky a způsobu tvorby identifikátoru vyhláškou a zavazuje k dodržování této vyhlášky, nelze bez její existence informační systém datových schránek vybudovat ani provozovat a tím naplnit zákon 300/2008 Sb. Je-li jedním z cílů vlády elektronizace veřejné správy, je tento návrh vyhlášky nezbytným krokem k jejímu naplnění. 2. Návrh variant řešení 2.1 Nulové řešení neexistence vyhlášky Zákon o 300/2008 nabude účinnosti dnem 1. července Do té doby je nutné vybudovat informační systém datových schránek. Vzhledem k tomu, že zákon stanoví povinnost respektovat zásady a náležitosti stanovené touto vyhláškou, nebylo by bez této vyhlášky možné dodržovat zákon. 2.2 Náležitosti přístupových údajů k přihlášení do datové schránky Varianta I složité přístupové údaje Pro zajištění bezpečnosti je při stanovování náležitostí přístupových údajů důležité najít vhodný kompromis mezi jejich délkou a složitostí a jejich zapamatovatelností. Je všeobecně známým faktem, že s délkou a složitostí hesla klesá geometrickou řadou pravděpodobnost možnosti prolomení hesla tzv. hrubou silou, kdy útočník postupně zkouší různé kombinace znaků, dokud heslo neodhalí. Počty možných různých kombinací při různých délkách hesla a různých sadách používaných znaků uvádí tabulka 1. Délka hesla kombinací kombinací kombinací kombinací kombinací Použité znaky 100 hesel/sec 100 hesel/sec 100 hesel/sec 100 hesel/sec 100 hesel/sec znaků 2 minuty 16 minut 3 hodiny 1 den 11 dní 0-9;a-z x10 9 8x x

4 a-z;a-z;0-9 a-z;a-z;0-9 speciální znaky (&^%$#) znaků 5 hodin 7 dní 8 měsíců 25 let 900 let x x x10 14 znaků 2 dny 3 měsíce 18 let let let x x x10 15 znaků 6 dní 1 rok 120 let let let Tabulka 1. Počet různých možných kombinací při různých délkách hesla a různých sadách používaných znaků a čas potřebný k vyzkoušení všech kombinací při rychlosti 100 hesel za sekundu. Z těchto poznatků vychází časté požadavky na tvorbu bezpečných hesel: heslo musí obsahovat minimálně 8 znaků, nejlépe 14 a více znaků v hesle se musí střídat malá a velká písmena heslo musí obsahovat speciální znaky Ovšem i při dostatečné délce hesla lze toto heslo někdy prolomit tzv. slovníkovým útokem. Při tomto druhu útoku zkouší útočník nejprve existující slova nebo jejich kombinace z připraveného slovníku. Takových slov je samozřejmě mnohem méně, než je všech možných posloupností znaků a proto i pravděpodobnost prolomení je mnohem větší. Z toho vychází další požadavek: heslo by nemělo mít žádný význam Dále by heslo nemělo být žádným údajem z okolí majitele rodné číslo, číslo telefonu, domu, adresa, jméno někoho z rodiny, psa, atd. Heslo, které respektuje výše uvedená pravidla je vysoce odolné proti útoku hrubou silou, má však jeden zásadní nedostatek. Není jednoduché si ho zapamatovat. Tento fakt je často opomínán, avšak je srovnatelným rizikem s použitím slabých (tj. nedostatečně složitých) hesel. Nemožnost zapamatovat si heslo nutí uživatele k tomu, aby si heslo někam poznamenal. Například studie britské asociace platebních společností uvádí, že i tak citlivé údaje jako jsou přístupové údaje k elektronickému bankovnictví uchovává přibližně třetina respondentů zapsané buď poblíž své pracovní stanice, nebo je má uloženy v souboru na svém PC. Obdobné výsledky publikuje ve svém výzkumu Annual Consumer Security Confidence Survey i společnost RSA Security. V rámci jejího výzkumu uvedlo 30% respondentů, že uchovávají své přístupové údaje zapsané (konkrétně 8% v peněžence nebo v kabelce, 5 % vedle počítače, 4% v souboru v počítači a 13% jinde). Další 3% uvedly, že svá hesla zapomínají a musí si je nechávat obnovovat. Tím samozřejmě bezpečnost údajů opět rapidně klesá a zdá se, že složitá hesla nemusí být vždy ideálním řešením. Varianta II méně složité přístupové údaje a omezení počtu pokusů pro zadání údajů Logickým východiskem z problému zmíněného v předchozí variantě se zdá být zjednodušení přístupových údajů. Budou ovšem takové údaje dostatečně bezpečné? Pravděpodobně ne. Ale jejich bezpečnost můžeme zvýšit dodatečnými opatřeními. Takovým opatřením může být omezení počtu pokusů pro zadání hesla. Pokud je po několika po sobě jdoucích pokusech zadáno chybné heslo, systém zablokuje trvale přístup. Tím je znemožněno postupné zkoušení různých kombinací až do okamžiku prolomení hesla a můžeme si dovolit použití jednodušších přístupových údajů. Příkladem mohou být bankovní aplikace, kde např. karty do bankomatu jsou chráněny pouze kódem PIN skládajícím se ze 4 číslic. Mírnější pojetí tohoto opatření je zablokování přístupu pouze na určitou dobu, po které je možno pokus o přihlášení opakovat. 11

5 Výběr varianty V řešení navrhovaném ve vyhlášce byl zvolen určitý kompromis mezi oběma variantami. Základem je varianta I. Nejmenší přípustná délka hesla je 8 znaků a je předepsána jeho minimální složitost, která zabrání volbě příliš triviálních hesel. Bezpečnost je navíc zvýšena omezením počtu pokusů na zadání hesla na 5 se zablokováním přístupu po pátém chybném zadání na 1 hodinu. 2.3 Elektronické prostředky k přihlášení Varianta I Žádná úprava Možnost využívat libovolné elektronické prostředky je z bezpečnostního hlediska nevyhovující, neboť v takovém případě nelze zajistit garantovanou úroveň bezpečnosti daného prostředku. Varianta II Individuální posuzování elektronických prostředků Druhou variantou je individuální posuzování jednotlivých elektronických prostředků. V ČR však neexistují laboratoře ani instituce schopné posoudit úroveň bezpečnosti kryptografických prostředků. Další nevýhodou této varianty je, že i kdyby v ČR existovala laboratoř posuzující kryptografické prostředky, jejich posouzení a certifikace je velmi náročný a dlouhý proces. Posouzení prostředku je výjimečně otázkou měsíců, mnohem častěji spíše let. Samozřejmě takto náročný proces přináší i velké finanční náklady. Dá se předpokládat, že tyto překážky jsou natolik výrazné, že zvolení této varianty by mělo za důsledek znemožnění používání elektronických prostředků k přihlašování do datové schránky. Varianta III El. prostředky musí splňovat již využívaný standard Možností jak zajistit, aby zařízení odpovídalo určitým bezpečnostním požadavkům a zároveň aby nemusel být posuzován každý prostředek výhradně pro přihlašování do informačního systému datových schránek, je využití již existujících standardů, podle kterých jsou kryptografické prostředky hodnoceny celosvětově. Pro tuto variantu hovoří fakt, že tyto standardy jsou již ověřeny praxí a někteří jejich výrobci nechávají své výrobky na tyto standardy hodnotit. Na druhou stranu získání mezinárodní certifikace je velmi náročný proces a zdaleka ne všechny běžně používané prostředky, které by z bezpečnostního hlediska pro přihlašování do datové schránky vyhovovaly, jsou certifikovány. Okruh bezpečnostních požadavků z hlediska přihlašování do datové schránky navíc není zcela totožný s žádnou rozšířenou certifikací. Výrobci elektronických prostředků by tedy v případě zvolení této varianty museli nechat své výrobky certifikovat na vyšší úroveň, což by od nich vyžadovalo nemalé finanční náklady a splnění i dalších podmínek, které nejsou nutné pro přihlašování do datové schránky, ale certifikace je vyžaduje. Vzhledem k tomu, že výrobci elektronických prostředků jsou zahraniční společnosti, nelze jim povinnost certifikace uložit a s přihlédnutím k velikosti českého trhu ani očekávat jejich motivaci certifikovat své prostředky speciálně z důvodu jejich využití pro přihlašování do informačního systému datových schránek. Varianta IV Určení minimálních technických požadavků na el. prostředky Tato varianta je určitým zmírněním variant II a III. Vyžaduje dodržení jistých vlastností elektronického prostředku stanovených vyhláškou, avšak nepožaduje žádnou konkrétní certifikaci prostředku. Výhodou této varianty je to, že prostředek používaný k přihlašování musí splnit pouze podmínky, které jsou skutečně nutné pro dostatečnou úroveň bezpečnosti přihlášení do informačního systému datových schránek a žádné další. 12

6 Výběr varianty Aby elektronické prostředky k přihlašování do datové schránky splňovaly svůj účel, musí rozhodně splňovat určité bezpečnostní požadavky, varianta I je tedy nepřípustná. Posuzování podle varianty II je v našich podmínkách téměř nerealizovatelné. Využití varianty III by zajistilo dostatečnou úroveň bezpečnosti, znamenalo by však zbytečné vyloučení některých vyhovujících prostředků. Následkem by mohlo být například to, že uživatelé datových schránek nebudou moci využívat např. čipové karty, které již vlastní a budou muset investovat do dražších prostředků, které mají příslušnou certifikaci. Proto se vyhláška přiklání k variantě IV, která zaručuje dostatečnou úroveň bezpečnosti, ale není nadměrně striktní. 2.4 Technické podmínky a bezpečnostní zásady přístupu Technické podmínky a bezpečnostní zásady přístupu do datové schránky jdou ruku v ruce s náležitostmi přístupových údajů a tyto náležitosti doplňují tak, aby vybrané řešení zajišťovalo odpovídající zabezpečení přístupu do datové schránky. Pokud některá z osob oprávněných k přístupu do datové schránky používá k přihlašování elektronický prostředek, je pro tuto osobu zablokována možnost přihlašování pouze pomocí uživatelského jména a hesla. V případě, že by tomu tak nebylo, nemělo by přihlašovaní pomocí elektronického prostředku žádný význam, neboť by útočník měl stále možnost neoprávněně vniknout do datové schránky prolomením hesla. Pro dosažení vyšší míry zabezpečení je i při použití elektronického prostředku vyžadováno zadání uživatelského jména a hesla. Toto řešení má kromě lepší bezpečnosti výhodu také v možném využití jednoho elektronického prostředku pro více datových schránek (jednu např. jako pro fyzickou osobu, další jako pro zaměstnance právnické osoby), kdy se pro určení cílové datové schránky využije právě uživatelské jméno. Tím dojde k výrazné úspoře nákladů pro osoby s oprávněním přístupu do více datových schránek, které zároveň vyžadují vysokou úroveň zabezpečení. Požadavek na omezení počtu pokusů při zadávání přístupového hesla vyplývá ze zvolené varianty přístupových údajů. Vyhláška navíc stanoví, že pokud je maximální počet pokusů pro zadání hesla překročen, zašle informační systém datových schránek na zvolenou elektronickou adresu upozornění na tuto skutečnost, s doporučením na podniknutí odpovídajících bezpečnostních opatření. Toto opatření není použito v případě, že se pro přihlašování současně využívá elektronický prostředek, který je spolu s uživatelským jménem dostatečnou zárukou identity uživatele. Automatické odhlášení po určitém čase je dalším standardním bezpečnostním prvkem, který chrání uživatele, který se buď zapomene odhlásit, nebo si například neplánovaně odběhne od počítače ve chvíli, kdy je přihlášen do své datové schránky. Výjimkou je přístup do datové schránky pomocí elektronického systému spisové služby nebo jiné elektronické aplikace třetí strany s užitím systémového certifikátu. Možnost změny hesla je standardní možností většiny vyspělých informačních systémů. Pokud má uživatel podezření, že mohlo dojít ke kompromitaci jeho hesla, může si heslo sám změnit, což je mnohem rychlejší a snadnější procedura, než kdyby musel například žádat o vydání nových přístupových údajů. Další výhodou je, že pokud si uživatel bude moci heslo změnit, může si zvolit takové heslo, které si bude schopen zapamatovat (přičemž požadavek na minimální délku a složitost by měl zabránit volbě příliš triviálního hesla). Alternativou je změnu hesla neumožnit, což by vedlo k zapisování hesel (viz. náležitosti přístupových údajů, varianta I) a především k nemožnosti okamžitě zareagovat na možnou kompromitaci přístupových údajů. 13

7 2.5 Přípustné formáty datové zprávy dodávané do datové schránky Z hlediska bezpečnosti informačního systému datových schránek i bezpečnosti uživatelů je nutné přijmout omezení pro formáty datových zpráv dodávaných do datových schránek. Největší riziko představují spustitelné soubory a komprimované soubory, které mohou obsahovat počítačové viry nebo jiný škodlivý kód způsobilý přivodit škodu na informačním systému datových schránek nebo na informacích v tomto informačním systému, a proto je doručování těchto souborů vyloučeno. 2.6 Maximální velikost datové zprávy dodávané do datové schránky a doba uložení datové zprávy v datové schránce Vzhledem k množství subjektů, které budou informační systém datových schránek využívat a množství zpráv, které systémem projdou, bude velmi rychle narůstat objem zpráv uchovávaných v úložištích doručených zpráv. Jelikož každý systém má určitou kapacitu, je nutné tento objem určitým způsobem regulovat. Dva faktory, které mají na celkový objem uložených zpráv zásadní vliv je maximální velikost datové zprávy a doba, po kterou bude zpráva uchovávána v úložišti datových zpráv. Vyhláška omezuje maximální velikost datové zprávy na 10 MB a dobu uložení datové zprávy na 90 dní od chvíle, kdy se do datové schránky přihlásí osoba, která je oprávněna si danou zprávu přečíst, nebo na 90 dní ode dne dodání v případě, že se jedná o doručení podle 18a zákona 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů. Omezení doby uložení zprávy se tedy netýká pouze zpráv, u nichž proběhlo doručení tzv. fikcí doručení. Alternativou bylo omezení doby uložení pro všechny zprávy, tedy i pro zprávy doručené fikcí doručení. Předkladatel však zastává názor, že adresát by měl vždy mít možnost seznámit se s obsahem úřední zprávy i poté, co promeškal lhůtu k doručení a není přípustné, aby byla zpráva smazána ze systému aniž by od jejího doručení přistoupila do datové schránky některá z oprávněných osob. Další alternativou je neomezovat velikost zprávy a dobu jejího uchování. Tato varianta je však technicky nerealizovatelná, neboť její přijetí by znamenalo nutnost vybudovat neomezené úložiště datových zpráv. Při rozhodování o maximální velikosti zprávy a doby uchování bylo nutné najít parametry, které co možná nejméně ovlivní běžné používání systému a které jsou zároveň technicky a ekonomicky realizovatelné. V tomto kontextu je nutné zmínit, že se zvyšující se velikostí úložiště nerostou nároky na toto úložiště (potažmo náklady na jeho vybudování a provoz) lineárně, ale exponenciálně. Rostou tedy nejen celkové náklady, ale i náklady vztažené k jednotkovému objemu uložených zpráv. Tento fakt souvisí s tím, že zvýšení kapacity úložiště není pouze záležitost navýšení úložného prostoru. Se zvyšující se velikostí databáze zpráv rostou velmi razantně i požadavky na výkonnost systému řízení báze dat tedy na služby, které zajišťují mimo jiné například prohledávání databáze zpráv a zpřístupňování zpráv uživatelům. 2.7 Způsob tvorby identifikátoru Vzhledem k tomu, že problematika identifikátorů v informačních systémech veřejné správy je podrobně řešena ve vládním návrhu zákona o základních registrech, bude po nabytí účinnosti zákona o základních registrech informační systém datových schránek samozřejmě tento zákon respektovat a pro komunikaci se základními registry a jinými agendovými informačními systémy bude používat agendové identifikátory fyzických osob a identifikátory právnických osob. Jelikož byla problematika identifikátorů přesunuta do výše zmíněného 14

8 zákona o základních registrech a identifikátor datové schránky bude sloužit pouze jako technický údaj uvnitř informačního systému datových schránek, nejeví se jako příliš účelné tento údaj a způsob jeho tvorby příliš striktně omezovat. V návrhu vyhlášky je tedy ponechána co možná nejvyšší volnost realizátorovi informačního systému datových schránek, aby zvolil nejvhodnější možnost. 3. Návrh implementace vybraného řešení Po zřízení datové schránky obdrží osoba, pro kterou byla schránka zřízena, uživatelské jméno a heslo k přístupu do datové schránky. Heslo si po té může kdykoliv změnit, přičemž stanovený požadavek na minimální počet znaků a složitost zamezí volbě příliš triviálních hesel. Součástí uživatelské příručky, kterou bude provozovatel informačního systému datových schránek zveřejňovat na Internetu budou mimo jiné i pokyny a rady, jak vytvářet hesla tak, aby byla současně bezpečná a zapamatovatelná. Při přihlašování do datové schránky bude mít uživatel celkem 5 pokusů na zadání hesla. Pokud se mu v těchto 5 pokusech heslo zadat nepodaří, zablokuje systém tomuto uživateli přístup do datové schránky na dobu 1 hodiny a zároveň zašle upozornění na ovou adresu, že došlo k pokusu o neoprávněný přístup, že schránka byla zablokována a že se uživateli doporučuje změna hesla. Adresu, na kterou má být zasíláno upozornění zvolí osoba, pro kterou byla schránka vytvořena, nebo administrátor. Po hodině dojde k opětovnému odblokování schránky Pokud bude chtít uživatel využívat vyšší míru zabezpečení, může pro přístup do datové schránky využívat elektronické prostředky. Předpokládá se, že jedním možným prostředkem bude elektronický občanský průkaz, který zavádí novela zákona č. 328/1999 Sb., o občanských průkazech. Další možností budou tzv. elektronické prostředky třetích stran, které splňují bezpečnostní požadavky stanovené touto vyhláškou. Uvažuje se například využití čipových karet používaných v elektronickém bankovnictví. Elektronický prostředek bude obsahovat autentizační certifikát a odpovídající privátní kryptografické klíče. Používání tohoto prostředku se bude řídit certifikační politikou, kterou vydává a zveřejňuje příslušný akreditovaný poskytovatel certifikačních. 4. Hospodářský a finanční dopad na státní rozpočet, jiné veřejné rozpočty a na podnikatelské subjekty Vyhláška nebude mít dopad na veřejné rozpočty. Stanovené náležitosti přístupových údajů a elektronických prostředků, technické a bezpečnostní zásady, přípustné formáty, maximální velikost a dobu uložení datové zprávy, technické náležitosti užívání datové schránky a způsob tvorby identifikátoru neovlivní náklady na vytvoření a provoz informačního systému datových stránek. Taktéž s využitím elektronických prostředků k přihlašování bylo kalkulováno již při vzniku zákona a vymezení požadavků na tyto prostředky nijak nemění náklady na informační systém datových schránek uvažované v rámci tohoto zákona. Dopady na podnikatelské subjekty vyčísluje samotný prováděný zákon č. 300/2008 Sb. 4.1 Sociální dopady Navrhovaná právní úprava nemá negativní sociální dopady. Návrh nepředpokládá žádné technické znalosti fyzických či právnických osob a tudíž neklade žádné nároky na jejich počítačovou gramotnost či technické vybavení. Použití elektronických prostředků není pro majitele datových schránek obligatorní. Navíc se počítá s využitím elektronických prostředků, které již uživatelé datových schránek vlastní (např. čipové karty, které 15

9 v současnosti používají pro přihlašování do elektronického bankovnictví, v budoucnu též elektronické občanské průkazy). 4.2 Dopady na životní prostředí Navrhovaná vyhláška nemá žádné negativní dopady na životní prostředí. Naopak s přihlédnutím ke skutečnosti, že budou častěji využívány dokumenty v elektronické podobě, dojde ve výsledku k úspoře listinných dokumentů, a proto lze v tomto směru hovořit i o určitém pozitivním dopadu na životní prostředí. 4.3 Dopady ve vztahu k rovnosti mužů a žen Návrh vyhlášky nemá žádné dopady ve vztahu k rovnosti příležitostí a postavení mužů a žen, protože neupravuje žádné oblasti vztahů odlišně pro muže a ženy. Návrh rovněž nemá žádné dopady ve vztahu k rovnosti postavení z důvodu rasy nebo etnického původu, sexuální orientace, věku, zdravotního postižení, náboženství či víry, ani z jiných obdobných důvodů. 5. Kontakty a prohlášení o schválení RIA Ing. Lucie Urbanová, lucie.urbanova@mvcr.cz Mgr. Dagmar Bosáková, dagmar.bosakova@mvcr.cz Ing. Radek Horáček, radek.horacek@mvcr.cz Bc. Jaroslav Tománek, jaroslav.tomanek@mvcr.cz 6. Zhodnocení souladu navrhované úpravy s ústavním pořádkem České republiky Předkládaný návrh vyhlášky je v souladu s ústavním pořádkem České republiky. 7. Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami Předkládaný návrh vyhlášky je v souladu s mezinárodními smlouvami, kterými je Česká republika vázána. 16

10 B. Zvláštní část K 1 heslo. K odst. 1 Přístupové údaje mají obvyklé součásti uživatelské jméno a bezpečnostní K odst. 2 Podmínkou pro uživatelské jméno je jeho jedinečnost v rámci množiny uživatelských jmen používaných k přístupu do informačního systému datových schránek. K odst. 3 Stanoví se přípustné hodnoty pro tvorbu uživatelského jména z hlediska minimální přípustné délky. Uživatelské jméno je osobě oprávněné k přístupu do datové schránky přidělováno a nemá možnost jej měnit na rozdíl od bezpečnostního hesla dle 3 odst. 4. K odst. 4 Pro tvorbu bezpečnostního hesla jsou akceptovány základní principy tvorby tzv. silných hesel. Bezpečnostní heslo má osoba oprávněná k přístupu do datové schránky možnost měnit dle 3 odst. 4. Další doporučení pro tvorbu bezpečnostních hesel a pro nakládání s nimi budou součástí uživatelské dokumentace k informačnímu systému datových schránek. K odst. 5 Tabulka přípustných znaků pro tvorbu uživatelského jména a hesla je v příloze č. 1. K odst. 6 Z bezpečnostních důvodů je nepřípustné, aby uživatelské jméno a heslo byly shodné. K 2 Pro přihlašování do datové schránky mohou sloužit přístupové údaje podle 1 nebo jejich kombinace s elektronickými prostředky. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, rozlišuje elektronické prostředky a elektronické prostředky třetích stran. Elektronickými prostředky budou občanské průkazy podle připravované novely zákona č. 328/1999 Sb., o občanských průkazech, pokud budou vybaveny strojově čitelnými údaji (vybavení kontaktním elektronickým čipem nebude podmínkou). Navrhované požadavky na elektronické prostředky se na budoucí občanské průkazy se strojově čitelnými údaji nevztahují. K odst. 1 Elektronickými prostředky třetích stran mohou být hardwarové kryptografické prostředky, jakými jsou aktivní čipová karta, kryptografický token nebo kryptografický modul, přičemž k vlastními přihlašování slouží autentizační certifikát, který je v prostředku uložen. Jedná se o tzv. certifikát veřejného klíče, což je datová struktura obsahující kromě veřejného klíče údaje o vlastníkovi veřejného klíče a o certifikační autoritě, která certifikát vydala /veškeré údaje v autentizačním certifikátu jsou specifikovány v písm. c)/. V písm. d) se stanoví požadavek na neumožnění přenosu soukromého kryptografického klíče na jiný prostředek, tj. je definován požadavek na to, aby prostředkem byla například aktivní čipová karta. Zásadní rozdíl mezi aktivní a pasivní čipovou kartou je ten, že vybrané části kryptograficky podstatné informace (soukromé kryptografické klíče) v případě aktivní čipové karty nikdy neopouští prostředí karty a nemohou tak být zneužity zařízením, s nímž karta komunikuje, na rozdíl od pasivní čipové karty, kde zařízení pracuje s celou 17

11 kryptograficky podstatnou informací. Celkově jsou požadavky na elektronické prostředky stanoveny tak, aby bylo dosaženo akceptovatelné míry bezpečnosti a zároveň aby stanovené požadavky byly reálné. Odpovídající typy čipových karet využívají například akreditovaní poskytovatelé certifikačních služeb pro služby elektronických podpisů (čipové karty Starcos 2.3., resp. 3.0). Ustanovení písm. g) dává provozovateli informačního systému datových schránek možnost nepřipustit k užívání takové elektronické prostředky třetích stran, které by pro provoz systému představovaly bezpečnostní riziko. K odst. 2 Autentizační certifikáty mohou vydávat kvůli zabezpečení pouze akreditovaní poskytovatelé certifikačních služeb. Předpokládá se využití čipových karet, které byly prvotně vydány za jiným účelem a na kterých jsou již uloženy kryptografické klíče a certifikáty určené pro tento účel (např. čipové karty určené pro autentizaci vůči systémům elektronického bankovnictví). Je však nutné definovat minimální požadavky na tyto prostředky. Ke stanovení těchto požadavků je využito mezinárodně platné normy ISO, která byla převzata do soustavy ČSN, a technické specifikace (TS) ETSI - Evropského institutu pro normalizaci v telekomunikacích (European Telecommunications Standards Institute). K 3 K odst. 1 Při využití elektronického prostředku k přihlašování nebude nadále této osobě umožněno přihlášení pouze pomocí přístupových údajů. Bez tohoto opatření by nemělo použití bezpečnějšího způsobu přihlášení smysl kvůli trvajícímu riziku prolomení hesla. Také se stanoví bezpečnější přihlášení pomocí kombinace elektronického prostředku a uživatelského jména a hesla. Uživatelské údaje nejsou požadovány pokud se bude jednat o návaznost informačního systému datových schránek na systémy spisové služby s využitím systémového certifikátu. K odst. 2 Stanoví se obvyklé bezpečnostní opatření v souvislosti se zadáváním bezpečnostního hesla chybné heslo může být opakovaně zadáváno při pokusu o jeho prolomení. Stanoví se rovněž postup, kterým jsou dotčené osoby informovány o této skutečnosti. Z hlediska bezpečnosti je žádoucí, aby v takovém případě byla provedena změna bezpečnostního hesla. Toto opatření není nutné při použití elektronického prostředku. K odst. 3 Stanoví se obvyklé bezpečnostní opatření při nečinnosti osoby přihlášené do datové schránky. Účelem je zabránit tomu, aby kdokoliv neoprávněný mohl se systémem pracovat. Toto opatření nebude aplikováno pokud se bude jednat o návaznost informačního systému datových schránek na systémy spisové služby s využitím systémového certifikátu. K odst. 4 Je umožněno, aby osoba oprávněná k přístupu do datové schránky mohla změnit bezpečnostní heslo a měla tak jistotu, že nemůže být zneužito jinou osobou. K odst. 5 Obecně platí, že subjekt, který vydává certifikáty veřejného klíče, vydává certifikační politiku, což je dokument, který obsahuje informace o tomto subjektu, jeho službách a jejich cenách. Certifikační politika je velmi důležitým dokumentem pro uživatele služeb tohoto subjektu, neboť obsahuje popis zásad pro poskytované služby. Dále je na jejím základě možné posoudit kvalitu nabízených služeb, zjistit, zda je subjekt pojištěn, jak postupuje v krizových situacích nebo zda při vlastní činnosti postupuje v souladu se zásadami stanovenými v tomto dokumentu. Mezinárodně používaná struktura certifikační politiky je obsažena v uvedené technické specifikaci (obdobně v RFC 3647). Při vydávání certifikátu uživatel ve smlouvě zpravidla svým podpisem stvrzuje, že se s certifikační politikou seznámil. 18

12 K 4 Z bezpečnostních důvodů jsou pro komunikaci pomocí datových schránek vyloučeny formáty určené pro ukládání spustitelných a komprimovaných souborů (například exe, zip, rar, gzip). K 5 K 6 Stanoví se maximální velikost datové zprávy dodávané do datové schránky. Stanoví se maximální doba uložení datové zprávy v datové schránce. Tato lhůta se počítá ode dne přihlášení osoby s dostatečným oprávněním k přečtení datové zprávy, od přihlášení elektronického systému spisové služby nebo jiné aplikace třetí osoby, nebo ode dne dodání zprávy do datové schránky u dodání způsobem podle 18a. K 7 Pokud nebude datová zpráva splňovat parametry dané touto vyhláškou nebo plynoucí ze zákona č. 300/2008 Sb., není možné ji přijmout k odeslání do datové schránky. K 8 V informačním systému datových schránek jsou tyto schránky označeny identifikátory, které jsou automatizovaně generovány; aby splnily požadavek na identifikaci, není přípustné, aby dvě nebo více schránek bylo označeno stejným identifikátorem. K Příloze č. 1: Přípustné znaky pro tvorbu uživatelského jména a hesla byly pro lepší přehlednost rozděleny do dvou tabulek na alfanumerické znaky a speciální znaky. K Příloze č. 2: Použití standardů a norem je zdůvodněno v předchozím textu u příslušných ustanovení. Využití hashovací funkce SHA-1 je omezeno oznámením Ministerstva vnitra o změně v kryptografických algoritmech, které jsou používány pro vytváření elektronického podpisu pouze do Algoritmy asymetrické kryptografie a hashovaní funkce jsou stanoveny na základě současných poznatků a s ohledem na požadavky uvedené v dokumentu ETSI TS V2.0.0 (ALGO Paper). 19