Eu-INIS – Systém digitálního podpisu víz (DSS)
A – Přihlašující
Jméno a příjmení: Vladimír Měkota
Titul: Ing.
Funkce: místopředseda představenstva
Odbor: generální ředitel; bezpečnostní systémy a aplikace
E-mail: vladimir.mekota@vitkovice.com
Telefon: +420 724 154 515
Adresa: Dolnoměcholupská 1418/12, 102 00 Praha 10
Firma: VÍTKOVICE IT SOLUTIONS a.s.,
Nominace v kategorii: centrální úřady
B – Projekt
Název projektu: Eu-INIS – Systém digitálního podpisu víz (DSS)
Lokalita: Česká republika, MV ČR, MZV ČR, konzuláty, policisté
Cíl projektu: zavedení systému „eID PKI Suite Digital Seal Signer for visa“, zkráceně tzv. (DSS for visa) – digitální pečeť pro víza (DSS pro víza)
Cílová skupina:
- Ministerstvo vnitra ČR
- Ředitelství služby Cizinecké policie ČR
- policisté
- Ministerstvo zahraničních věcí ČR
- zastupitelské úřady ČR v zahraničí
- konzulární pracovníci
Provozovatel: Ředitelství služby Cizinecké policie ČR
Realizátor:
- VÍTKOVICE IT SOLUTIONS a.s. (generální dodavatel realizace)
- Secunet Security Networks AG (subdodavatel)
C – popis projektu – pohled provozovatele
PROKAZATELNOST ÚČINKŮ PROJEKTU
Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?
ANO.
Systém DSS funguje a poskytuje zabezpečené digitální podpisy, což umožňuje kompetentním orgánům, Policii ČR, odboru azylové a migrační politiky vydávat povolení k pobytu na území ČR. Nově je služba poskytována také pracovníkům Ministerstva zahraničních věcí na konzulátech ČR v zahraničí.
Vnímají a uznávají uživatelé (cílová skupina) tento projekt jako prospěšný?
ANO.
Jistě. Je potřeba si uvědomit, že elektronické cestovní doklady jsou zabezpečeny různými optickými a elektronickými prvky. U neelektronických cestovních dokladů, jako je vízum, elektronická ochrana dosud chyběla. Opatření proti manipulaci a podvodům se v současnosti omezují na optická opatření, která neposkytují dostatečnou ochranu.
Jako protiopatření rozhodla Evropská komise dne 30. dubna 2020 o zavedení povinného digitálního razítka (Digital Seal) pro schengenská víza. Nařízení stanoví, že optické vlastnosti musí být rozšířeny o další elektronický prvek. Od 1. května 2022 musí všechna víza do schengenského prostoru obsahovat digitální razítko.
K vytvoření tohoto digitálního razítka byl použit software Digital Seal Signer for visa (DSS for visa). DSS pro víza je implementován jako rozhraní webové služby (SOAP nebo REST). Pomocí této služby mohou enrolovací aplikace získat z centrálního systému hotová digitální razítka jako digitální čárový kód s požadovanými personalizačními údaji (datum a MRZ víza, povolená doba pobytu a číslo pasu). Poté se toto razítko vytiskne na vízum.
Jak podrobně je cílová skupina s projektem obeznámena?
VELMI DOBŘE.
Velmi podrobně na úrovni administrátorů systému. Standardně - uživatelsky pak koncoví uživatelé, kteří dostávají službu, již použijí podobně jako u jiných systémů digitálního podpisu, takže pro ně není náročné ji používat.
Odpovídají dosažené výsledky vynaloženým nákladům?
ODPOVÍDAJÍ.
Systém DSS je špičkový produkt německého výrobce Secunet Security Networks AG z Essenu, který jej aplikoval například právě v Německu a pro ČR pak byl dodán za výhodných podmínek. Česká republika splnila v dohodnutém termínu, čase i nákladech požadavek Evropské komise o zavedení povinného digitálního razítka (Digital Seal) pro schengenská víza. Produkt je používán a má možnosti rozšíření. Například o vakcinační pasy (certifikáty COVID), nebo jiné aplikace, které chtějí využívat vysokou míru zabezpečení a důvěryhodnosti.
Přínosy:
- generování digitálních pečetí pro víza v souladu s ICAO;
- podávání žádostí a správa souvisejících digitálních certifikátů (vydaných CSCA);
- generování podpisů a čárových kódů s certifikátem DSS;
- rozhraní webové služby pro entrollment aplikaci založené na SOAP nebo REST;
- integrované rozhraní pro zajištění kvality (QA) vydaných pečetí;
- možnost použít pro další aplikace, jako např. vakcinační pasy (certifikáty COVID) atd.
Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání?
DLOUHODOBÝ.
Jedná se o projekt dlouhodobého trvání a má široké možnosti použití. Jde o to, že digitální pečeť je 2D čárový kód, který obsahuje data z papírového dokumentu a je digitálně podepsán, aby byla zajištěna pravost údajů. A tento přístup bude používán i nadále. Digitální pečeť je specifikována v technických pokynech ICAO (Doc 9303-13) a německého Spolkového úřadu pro bezpečnost informací (TR-03137).
Podle technické zprávy ICAO (viditelné digitální pečeti pro neelektronické dokumenty) jsou povoleny formáty 2D čárového kódu normalizované dle ISO, včetně kódů DataMatrix, Aztec a QR kódů.
Rozhodnutí Komise EU stanoví použití DataMatrix. Tato pečeť pak obsahuje kromě údajů o vízu také podpis podepisující služby, včetně odkazu na podepisující certifikát. Na rozdíl od jiných dokumentů eMRTD není podepisující certifikát v pečeti obsažen z důvodu omezeného prostoru.
PROKAZATELNOST NEJLEPŠÍ PRAXE
Může být projekt inspirující pro ostatní subjekty veřejné správy?
ANO.
Jedná se o projekt v oblasti bezpečnosti celé EU, který iniciovala Evropská komise a jednotlivé členské státy jej byly povinny aplikovat, přičemž samotný produkt specifikován nebyl. Inspirující by mohl být zejména pro MZV ČR, které získalo od MV ČR prakticky okamžitě (myšleno v časoprostoru státní správy) funkční produkt, o který samo usilovalo, ale ve svém vlastním výběrovém řízení. MZV ČR uvažuje o vlastním řešení v rámci resortu, i když jiný resort (MV ČR) je schopen tento produkt poskytnout. Mohlo by to být inspirující v rámci meziresortní spolupráce i v oblasti úspor finančních prostředků. Nutno podotknout, že autor textu nemá veškeré podklady, aby mohl požadavky MZV posoudit komplexně.
Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?
ANO, BYLY.
Zkušenosti byly a jsou předávány. Jedná se ale zejména o orgány Policie ČR a MZV ČR, které jsou hlavními konzumenty systému DSS.
VÍCEKANÁLOVÝ PŘÍSTUP
Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?
ANO.
DSS pro víza je implementován jako rozhraní webové služby (SOAP nebo REST). Pomocí této služby mohou enrolovací aplikace získat z centrálního systému hotová digitální razítka jako digitální čárový kód s požadovanými personalizačními údaji (datum a MRZ víza, povolená doba pobytu a číslo pasu). Poté se toto razítko vytiskne na vízum.
OPEN DATA
Jedná se o projekt, který využívat OPEN DATA?
NE.
DOPLŇUJÍCÍ INFORMACE
Systém digitálního podpisu víz (DSS) je nově zavedený informační systém Ministerstva vnitra ČR, který je určen pro generování digitálních podpisů víz a pobytových povolení pro ČR. Poskytuje rovněž služby digitálních podpisů víz pro Ministerstvo zahraničních věcí ČR a jejich konzuláty umístěné v různých částech světa. Využívají ho systémy VIS – vízový informační systém, CIS – cizinecký informační systém, EasyGO – biometrická kontrola osob na letišti Ruzyně, mobilní platforma – kontrola a identifikace osob v terénu a případně další systémy.
Jde o nový systém spolehlivé ochrany moderních povolení k pobytu. Systém DSS je schopen vydávat digitálně podepisované údaje pro generování 2D kódů (QR kódů) nebo již hotové QR kódy v bitmapovém formátu pro vízové štítky vydávané ČR. 2D čárový kód digitálně podepisuje obsah schengenského víza a zajišťuje pravost údajů. V roce 2022 byly dodány potřebné licence systému DSS, provedena instalace software a systém spuštěn do produkčního prostředí.
Systém DSS je klasický příklad zavádění e-governmentu do praxe s cílem získat služby vytvářející důvěru a elektronickou identifikaci v oblasti ověřování zahraničních kvalifikovaných certifikátů. Domníváme se, že projekt DSS rozhodně patří i do soutěže Egovernment The Best 2022 společnosti ICZ a děkujeme za příležitost projekt přiblížit i ostatním účastníkům soutěže.
D – popis projektu – pohled realizátora
Popište náročnost technické realizace, včetně případných specifik:
Technická realizace DSS byla náročná z jednoho důvodu, nicméně významného. Systém vydávání digitálních pečetí pro víza bylo nutno implementovat do jiného, stávajícího informačního systému Policie ČR. Zadavatel již disponuje potřebnou PKI a PKD infrastrukturou. Jedná se o systém Národní kontrolní autority (dále jen NKA). Stávající řešení NKA je postaveno na komplexní infrastruktuře řešení secunet eID PKI Suite využívající sdílené infrastruktury HSM modulů. Pro požadované řešení DSS bylo využito stávajících HSM modulů, kde vytváření a management klíčového materiálu je řízen SW jádrem provozovaného řešení. Z tohoto důvodu nebylo možné do NKA přidat SW třetí strany. Mimo jiné, při využití stávajících HSM modulů jiným SW než DSS by došlo k porušení bezpečnosti systému NKA vzhledem k certifikaci ISO/IEC 7001.
V čem může být vaše řešení inspirativní pro ostatní realizátory?
Jistě v tom, že i menší, ale kvalitní realizační tým se může pustit do projektů na evropské úrovni.
Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?
Pokud by i další subjekty státní správy potřebovaly zavést systém, který bude schopen vydávat digitálně podepisované údaje pro generování 2D kódů (QR kódů), nebo již hotové QR kódy v bitmapovém formátu pro dokumenty, je systém digitálních podpisů víz eID PKI Suite Digital Seal Signer for visa (DSS) vhodným kandidátem na poskytnutí takovýchto služeb. A to prakticky okamžitě.
Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?
Systém digitálního podpisu víz DSS je spíše menší projekt, doplňková služba, ale významově důležitá, k již zavedenému systému Národní kontrolní autority (NKA), který jsme realizovali již dříve pro Ředitelství služby Cizinecké policie ČR. Systém NKA zase poskytuje služby hraniční kontroly ověřování cestovních dokladů pro námi zavedený automatizovaný systém biometrické kontroly osob e-gate (projekt easyGO) na Letišti Ruzyně, opět pro ŘSCP PČR ČR. Systém biometrické kontroly osob jsme aplikovali také v dodávce mobilních zařízení s názvem Mobilní inspekční systém pro Ministerstvo vnitra ČR. Předmětem tohoto projektu byla dodávka, implementace a servis zařízení komplexních mobilních inspekčních systémů v celkovém počtu 22 ks sad. Jedná se o mobilní „kufry“, které jsou určeny do terénu a slouží policistům podobně jako pasové přepážky na letištích.
Prozatím nejvýznamnější systém, který dodáváme a je postupně implementován, se nazývá Systém vstup – výstup (EES) pro Ministerstvo vnitra ČR. Předmětem plnění tohoto projektu je dodávka a implementace nového evropského informačního systému do prostředí ČR, kterým je biometrický systém ENTRY EXIT SYSTEM (EES). Jedná se o informační systém vstupu/výstupu pro registraci údajů o vstupu a výstupu a údajů o odepření vstupu, pokud jde o státní příslušníky třetích zemí překračující hranice členských států Evropské unie (dále jen „EU“). Pro systém EES byl dodán také software pro čtení QR kódů. Čtení QR kódu umožňují biometrické kamery, kterými jsou osazovány pracoviště hraniční kontroly. QR kódy umožňují také načítat dodané samoobslužné biometrické kiosky EES, jež tvoří součást hraniční kontroly pomocí předevidence údajů o cestujících. Nový evropský systém EES má od roku 2023 povinně zaznamenávat elektronickým způsobem údaje o čase a místě vstupu i výstupu státních příslušníků třetích zemí, kteří cestují přes schengenský prostor.
Souhrnně se tyto projekty pohybují již v řádech stovek miliónů Kč.
Ing. Luboš Klejšmíd
ředitel bezpečnostní systémy
VÍTKOVICE IT SOLUTIONS a.s.
Dolnoměcholupská 1418/12, 102 00 Praha 10
+420 602 144 695