Kody SMS zamiast legitymacji. Twórca Kanarka hakuje weryfikację tożsamości
Jak sprawdzić, czy pracownik banku jest tym, za kogo się podaje? SIUP ma to SMS-ową receptę. Kod jednorazowy może zadziałać też z innymi technologiami, np. z aplikacjami mobilnymi
W trakcie #WarsawHacks jego zespół postanowił zmierzyć się z problemem służbowych legitymacji.
Nie ufaj – sprawdzaj
– mówi Michał Tajchert, współtwórca projektu System Identyfikacji Urzędników Publicznych – w skrócie: SIUP.
Są nagminnie fałszowane i zupełnie nie sprawdzają się przy kontakcie telefonicznym - w efekcie są bardzo często używane do wyłudzeń czy oszustw. Obywatele nie mają możliwości weryfikacji papierowych legitymacji, a spisanie danych jest niewygodne.
- dodaje Michał Tajchert, który na swoim koncie ma stworzenie aplikacji do sprawdzania jakości powietrza - Kanarek. Zespół uzupełniają zaś Magdalena Olszyńska (product design) i Krzysztof Daszuta (security/hardware).
Problem dotyczy nie tylko funkcjonariuszy publicznych. Jak weryfikować tożsamość pracowników banków, kiedy dzwonią do nas z ważną informacją o koncie. Jak sprawdzić czy osoba sprawdzająca instalację jest pracownikiem elektrowni?
Rozwiązaniem ma być system weryfikacji tożsamości bazujący na kodach OTP znanych z bankowości.
Wystarczy, że pracownik publiczny poda nam kod OTP i możemy go zweryfikować, wysyłając SMS. Nie wyeliminuje to legitymacji jutro, ale za 10 czy 20 lat już może, a do tego czasu znacznie zwiększy poziom bezpieczeństwa czy zaufania
- podkreśla Michał Tajchert.
Każdorazowo proces byłby uruchamiany przez mieszkańca:
System nie wymaga aplikacji. Może bazować jedynie na SMS-ach lub na stronie internetowej, a dodatkowo zostawia ślad kontaktu i umożliwia ocenę kontaktu.
Integracja z mObywatelem
Jako że hackaton zorganizowało miasto stołeczne, twórcy SIUP rozważają program pilotażowy w aplikacji Miejskiego Centrum Kontaktu 19115.
Z takim pomysłem człowiek się zastanawia, dlaczego tego nie ma od dekady, powiedzieli nam przedstawiciele Warszawy
- wspomina Michał Tajchert.
Przedsiębiorca podkreśla jednak, że wprowadzenie aplikacji może spotkać się z oporem wśród samych urzędników. W końcu może to być dodatkowy kanał zgłaszania skarg. Obywatel może więc zapisać sobie OTP od pracownika, z którym rozmawia, jeśli później zechce wystawić mu ocenę.
Część urzędników będzie negatywnie oceniana ze względu na pełnione funkcje, jednak SIUP pozwoli wyłapać systemowe problemy
- dodaje Michał Tajchert.
SIUP miał się również spodobać przedstawicielom mObywatela. Integracja z ogólnopolską aplikacją umożliwiłaby szybką adopcję rozwiązania.
W mObywatelu miał powstać projekt mWeryfikacji - weryfikacji obywatela. My chcemy odwrócić role, by móc zweryfikować pracownika publicznego
- przewiduje Michał Tajchert.
Później zespół chce zbadać możliwość wykorzystania blockchaina do przechowywania informacji o wizytach i autoryzacjach.
Blockchain oferuje transparentność i niezmienność danych. Chcemy uniknąć tworzenia rozwiązania na podstawie buzz-wordów w branży, choć w tym przypadku widzimy spore zalety
- podsumowuje Michał Tajchert.
