TECHTERRA SERVICES

+420 606 200 600

SAMOIDENTIFIKACE


Odpovědnost za samoidentifikaci

Když „jsem to já“ už nestačí říct jen ústně

Ve stále více digitalizovaném světě přestává být fyzická přítomnost zárukou identity.

Online služby, práce na dálku, cloudové platformy i interní systémy firem a úřadů pracují s modelem, ve kterém se uživatel sám identifikuje – heslem, biometrikou, přístupovou kartou nebo čímkoli, co „potvrzuje“, že jde skutečně o něj.

Ale kdo odpovídá za to, že „samoidentifikace“ je pravá?

A co když se někdo vydává za někoho jiného?

Téma, které donedávna řešily jen banky, se dnes týká každé organizace, která pracuje s daty, přístupy a vzdálenými pracovníky.

🧩 Co je samoidentifikace?

Samoidentifikace znamená, že uživatel sám deklaruje svou identitu vůči systému, obvykle pomocí:

  • zadání hesla nebo PINu,

  • biometrického údaje (otisk, hlas, obličej),

  • přístupového tokenu (karta, klíč, certifikát),

  • přihlášení přes externí identitu (např. bankovní identitu, eID).

Ve firmách to bývá běžný proces:

zaměstnanec se přihlašuje do interních systémů, vyplňuje docházku, čte e-maily, potvrzuje dokumenty.

Ve veřejné správě zase občan vstupuje do portálu služeb nebo podepisuje online podání.

❗ Problém: deklarace ≠ důkaz

Samoidentifikace není automaticky ověřená identita.

Organizace musí být schopna:

  • ověřit totožnost přihlašujícího se uživatele,

  • zdokumentovat proces a bezpečnostní opatření,

  • případně prokázat, kdo a kdy konkrétní úkon provedl – což má význam např. u interního auditu, pracovněprávních důsledků nebo právní odpovědnosti.

⚠️ Rizika spojená se samoidentifikací

🛑 Zneužití identity

Např. útočník pomocí phishingu získá heslo a přihlásí se za zaměstnance.

🛑 Deepfake scénáře

Hlasové nebo obrazové napodobeniny mohou přesvědčit další osoby k umožnění přístupu (např. přes videohovor nebo hlasový hovor).

🛑 Slabé autentizační mechanismy

Jednofaktorové přihlášení (jen heslo) je dnes naprosto nedostačující.

🛑 Absence důkazního rámce

Bez auditních logů, záznamů přístupů, IP adres a časových razítek není možné později zpětně dokázat, kdo co udělal.

⚖️ Právní a bezpečnostní odpovědnost

✅ Organizace (zaměstnavatel, úřad, instituce)

  • Nese odpovědnost za to, koho pustí do systému,

  • Je povinna zavést přiměřená bezpečnostní opatření dle GDPR (čl. 32), NIS2 nebo ISO/IEC 27001,

  • Musí prokázat, že identitu uživatele ověřila adekvátním způsobem a rizikům přizpůsobila míru autentizace,

  • Odpovídá i za škody způsobené neoprávněným přístupem (např. ztráta dat, reputace, smluvní zodpovědnost).

✅ Uživatel (zaměstnanec, občan, klient)

  • Má povinnost chránit své přihlašovací údaje (např. hesla, tokeny, přístupy k e-mailům),

  • Musí hlásit podezřelé aktivity nebo ztrátu zařízení,

  • Odpovídá za to, že se identifikuje jen ve vlastním jméně,

  • Může nést důsledky zneužití, pokud k němu došlo z jeho nedbalosti.

🔐 Jak předejít problémům? Klíčová opatření

✅ Vícefaktorová autentizace (MFA)

Heslo + biometrika / token / aplikace (např. Google Authenticator, firemní MFA řešení).

✅ Správa identit (IAM) a rolí

Každý uživatel má přiřazenu jen tu roli a přístup, který skutečně potřebuje („least privilege“).

✅ Přehledné logování a auditní záznamy

Umožní prokázat, kdo a kdy se přihlásil, co udělal, odkud a jakým způsobem.

✅ Politika samoidentifikace a odpovědnosti

Firemní směrnice a školení, které nastaví pravidla (BYOD, práce z domova, přístup ke cloudovým systémům).

✅ Využití eIDAS / eIdentita / Bankovní identita

Ve vybraných sektorech (stát, finance, zdravotnictví) lze využít kvalifikované nástroje elektronické identifikace s vyšší právní váhou.

💡 Samoidentifikace v době regulací

NIS2

Vyžaduje řízení identit, kontrolu přístupů, vícefaktorové ověřování a schopnost detekovat neoprávněný přístup.

ISO/IEC 27001

Definuje opatření v oblasti řízení přístupů, autentizace, lidských zdrojů i správy přístupových práv.

GDPR

Požaduje zajištění integrity a důvěrnosti osobních údajů – tedy ochranu před neoprávněným přístupem a odpovědnost za správné ověření subjektu údajů.

DORA / TISAX

Vyžadují řízení digitální identity v rámci kritických i podpůrných systémů a auditní zpětnou sledovatelnost každého přístupu.

🧭 Závěr - samoidentifikace ≠ slepá důvěra

Digitální svět staví na tom, že uživatelé přistupují k datům sami – bez fyzického dohledu.

Právě proto je třeba mít jasně nastavená pravidla, procesy a odpovědnosti.

Když někdo řekne „jsem to já“, musí mít organizace možnost říci:

„Ověřili jsme to, máme o tom záznam a víme, že je to bezpečné.“

Pomáháme organizacím:

  • nastavit bezpečnou správu identit a přístupů,

  • implementovat vícefaktorové ověřování,

  • připravit interní politiky pro samoidentifikaci,

  • proškolit zaměstnance v bezpečném chování,

  • reagovat na incidenty a minimalizovat dopady zneužití identity.

Vaše systémy jsou tak bezpečné, jak bezpečná je vaše identita. Nechte nás ji chránit s vámi.