Tulostusversio

3/2008

Tunnistamisessa toimii tuttuus

Teksti: Antti J. Lagus

Sähköistä tunnistamista pidetään itsestään selvänä asiana verkkoasioinnissa. Jotta uudetkin tunnistamisratkaisut otettaisiin laajalti käyttöön, niiden tulee perustua tuttuun pohjaan.

Nyt käytössä on kirjava määrä tunnistautumisjärjestelmiä, joista on osa melko vahvoja ja osassa käytössä on vain yksi salasana.

”Jos siirryttäisiin käyttämään yhtä mallia, voitaisiin tarjota kansalaisten arvostama väline myös niihin käyttöihin, joissa nyt käytetään heikkoa mallia, ja lopputulos olisi edullisempi. Eivätkä ihmiset joutuisi enää muistelemaan useita, jopa kymmeniä salasanoja. Salasanojen paljous johtaa helposti siihen, että käytetään vain yhtä salasanaa kaikissa palveluissa”, sähköisen tunnistamisen kehittämisryhmän puheenjohtaja Bo Harald sanoo. Kehittämisryhmä toimii arjen tietoyhteiskuntaneuvoston alaisuudessa.

TietoEnatorissa johdon neuvonantajayksikön johtajana toimiva Harald on myös sähköisen laskutuksen markkinamies. Hän on tyytyväinen Suomen päätökseen, jonka mukaan julkinen hallinto ei enää ota vastaan paperilaskuja vuoden 2009 jälkeen.

Haraldin seuraava haaste on vakuuttaa suomalaiset siitä, että myöskään paperisella sopimuksella ei ole tulevaisuutta.

PKI tarvitsee vaihtoehdon

Viestintäministeri Suvi Lindén on ilmoittanut aikovansa viedä tunnistamista koskevia lisäratkaisuja hallituksen käsittelyyn syksyllä. Lakiesityksiä voidaan odottaa vielä tänä vuonna.

Satu eli sähköinen asiointitunnus sallittaisiin valmisteilla olevan lainsäädännön mukaan kaikille varmennuspalveluiden tarjoajille. Aiemmin satu on ollut vain Väestörekisterikeskuksen käytettävissä. Bo Harald pitää kehitystä oikeansuuntaisena.

”Tunnus on kehitetty veronmaksajien varoilla ja sen pitäisi olla kaikkien käytettävissä, jos sitä ylipäänsä tarvitaan. Olen aina välillä kysynyt, tarvitaanko satua todella, ja ollaanko tietosuoja-asioissa menossa liiallisuuksiin. Ettei käy vain niin, että keisarille tulee upeat vaatteet”.

Haraldin mukaan sähköisen tunnistamisen kehittämisryhmässä on yksimielisesti ymmärretty, että tunnistamisen pitää olla kansalaiselle todella helppoa ja mieluiten ennestään tuttua. Sen pitää myös olla teknologianeutraalia. Niin PKI-varmenteisiin kuin kertakäyttösalasanoihin perustuvaa tunnistusta pitää voida käyttää – ja uusiakin sallia. Lisäksi tunnistamisen pitää olla kustannustehokasta, sillä kansalaiset vastaavat viime kädessä kustannuksista.

PKI-varmenteissa digitaalinen allekirjoitus tehdään allekirjoittajan yksityisellä avaimella ja viestien salaus vastaanottajan julkisella avaimella.

”Koska PKI-teknologia ei ole kaikille tuttua teknologiaa, sitä ei pidä tyrkyttää ainakaan ainoana vaihtoehtona, sillä se hidastaisi kehitystä. Kansalaiset eivät vain siirry uusiin käytäntöihin, jos se vaatii liikaa paneutumista ja jos se ei pysy mielessä kun sitä tarvitaan harvoin”, Harald näkee.

Mobiiliympäristöön PKI-tyyppinen tunnistus sen sijaan sopii Haraldin mielestä hyvin, kunhan siitä saadaan vain tarpeeksi yksinkertainen ja edullinen. Kertakäyttösalasanojen käyttö matkapuhelimissa on vähän hankalaa ja merkitsisi sitä, että ihmisillä pitäisi aina olla salasanat mukanaan.

Allekirjoitus kaapattu tekniseksi termiksi

”Minusta on vahinko, että allekirjoitustermi on kaapattu tekniseksi termiksi. EU-lainsäädäntö tarkoittaa PKI-allekirjoitusta, joka on enemmän sinetöintiä, kun taas kansan ja poliitikkojen mielessä useimmiten liikkuu sitoumusten tekeminen. Nyt lainvalmistelutyössä pyritään siihen, että erotetaan toisistaan käsitteellisesti tunnistautuminen ja sopimuksen allekirjoittaminen sekä tekninen digitaalinen allekirjoitus.”

Sähköisten laskujen edistämistyössä on Haraldin mukaan nähty, että autenttisuus ja integriteetti on pystyttävä takaamaan. Autenttisuus laskun tai tilauksen lähettämisessä tai äänestyksessä todennetaan vahvan tunnistuksen avulla.

”Integriteetti puolestaan tulee siitä, että tapahtuma käsitellään hallitussa verkossa. Ei laskutus eivätkä äänestykset mene avoimeen internetiin. Hallituissa verkoissa ei siis tarvita pakollista PKI-allekirjoitusta sinetöimään pakettia – sitä tarvitaan vain, jos liikutaan avoimessa internetissä.”

Harald ei arvostele PKI-tekniikkaa, joka on hyvässä käytössä muun muassa erilaisten järjestelmien sisällä. Hän ei halua pakottaa kansalaisia ja yrityksiä käyttämään uudenlaista tekniikkaa, jos se ei tue mitään olennaista uutta mutta kaksinkertaistaisi kustannukset ja hidastaisi palveluiden käyttöönottoa.

Tunnistamisesta ei pankkien monopolia

Kehitettävät tunnistamisratkaisut voivat Bo Haraldin mielestä perustua uuteen tai vanhaan tekniikkaan, kunhan käyttäjäkokemus ei olennaisesti muutu. Eivätkä kustannukset saa olennaisesti lisääntyä hyötyihin nähden. Standardin pitäisi myös olla mahdollisimman avoin ja kaikkien käytettävissä.

”Jos tämän päivän tietoyhteiskunnassa tuotetaan jotain ihan uutta, mikä ei muistutakaan mitään entistä, se on jo kuollut syntyessään”, Harald julistaa.

Tunnistaminen ei myös saa Haraldin mielestä olla pankkien monopoli, vaan sen tulee olla kaikkien niiden ulottuvilla, jotka voivat tarjota riittävän turvallisen välineen ja voivat kiinnittää ihmiset siihen turvallisesti. Koko prosessin on oltava julkisen valvonnan kohteena.

Harald muistuttaa, että sähköinen asiointi on monin verroin turvallisempaa kuin paperiasiointi. Sataprosenttisen turvallisia järjestelmiä ei kustannussyistä voi kuitenkaan kehittää sähköisessäkään muodossa.

”Tässä tietoturvateknologit ja lehdistö ruokkivat toisiaan. Teknologit haluavat tietysti myydä aina yhden promillen lisää turvallisuutta, ja lehdistö tarvitsee otsikoita.”

Lisäturvallisuus kuitenkin maksaa enemmän. Turvallisuusratkaisujen käyttäjän, vaikkapa pankin, pitää aina pitää mielessä, että asiakkaat viime kädessä maksavat turvallisuusinvestoinnit.

HST heitti hukkaan 50 miljoonaa

Valtiontalouden tarkastusvirasto arvioi keväällä viranomaisten tunnistamishankkeita ja totesi raportissaan, että monet hankkeet eivät olleet tyydyttävästi hoidettuja. Haraldin mielestä raportin kärki oli siinä, että on kulutettu 50 miljoonaa euroa Väestörekisterikeskuksen HST-tunnistautumiseen, jota ei käytetä käytännössä lainkaan. Sen sijaan puoli-ilmaista pankkien Tupas-palvelua eli verkkopankkitunnuksia käytetään.

”Valtiontarkastusviraston kritiikki kohdistuu siihen, että liian kauan yritettiin ajaa pystyyn kansalaiskorttia. Sinä aikana kun sitä yritettiin vääntää pystyyn, Suomen tietoyhteiskuntakehitys seisoi paikallaan monessa paikassa. Väittäisin, että siinä meni kaksi tai kolmekin vuotta Suomen etumatkaa hukkaan”, Harald sanoo.

Bo Harald katsoo, että kun pankkitunnuksia käytetään pankkiasiointiin Suomessa tätä nykyä noin 300 miljoonaa kertaa vuodessa, ei noin kymmenen miljoonaa kertaa muissa tunnistamistarkoituksissa juuri lisää kustannuksia. Julkinen sektori maksaa pankeille niin vähän Tupasin käytöstä, että sillä kustannuksella ei pystytä puolustamaan minkään rinnakkaisen järjestelmän luomista.

Harald ei usko, että julkiselta sektorilta tulisi niin paljon tapahtumia, että Tupasista tulisi raha-automaattia pankeille. Nykyisellään Tupas-järjestelmän käyttö maksaa julkisella sektorilla keskimäärin selvästi alle 10 senttiä tapahtumalta.

Nelikulmamalli helpottaa tunnistuspalvelua

Nykyisen Tupas-järjestelmän ongelma on Bo Haraldin mukaan siinä, että valtio tai kuka tahansa muu tunnistuspalvelua tarvitseva joutuu sopimaan siitä kaikkien pankkien kanssa erikseen.

Nyt pankit ovat Finanssialan Keskusliitossa tehneet linjapäätöksen niin sanottuun nelikulmamalliin siirtymisestä. Siinä kaikki pankit kilpailevat sopimuksesta. Halvimman tarjouksen tehnyt voittaa ja edustaa kaikkia muita pankkeja. Kyse on samasta kuin maksuliikenteessä: Kun on yhden pankin asiakas, maksut hoituvat kaikkiin muihin pankkeihin.

Suomessa jo vuonna 1992 alkanut tunnistuspalvelu ja myöhemmin syntynyt pankkien yhteinen Tupas on julkisen ja yksityisen toimijan välisenä konseptina käytössä myös Virossa, Ruotsissa, Norjassa ja hoitaa käytännössä kaikki tunnistustapahtumat. Tanskakin on siirtymässä samaan – kertakäyttösalasanoilla. Harald uskoo muunkin Euroopan seuraavan perässä.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.