Verkkoon tunnistautuminen – hallittua vai hallitsematonta
Usein samoihin järjestelmiin tunnistaudutaan toistuvasti tai sitten meillä on jossain laitteessa päällä asetus ”muista minut”. Etenkin puhelimessa se tekee elämän helpommaksi, kun ei aina tarvitse näpytellä käyttäjätunnuksia ja salasanoja. Jokaiseen tunnistautumiseen liittyy jonkinlainen riski, mutta maailma ei enää pyöri ilman tätä.
Riski ja sen ottamisen välttämättömyys
Tunnistaumisen riski on sitä pienempi, mitä vahvempi tunnistamismenetelmä on. Suomessa yleisesti käytössä olevia vahvoja tunnistusmenetelmiä ovat nettipankkitunnisteet, mobiilitunnistus ja henkilökortti (HST-kortti). Lisäksi organisaatioissa sisäisesti voi olla käytössä muita vahvoja tunnistusvälineitä. Mutta näiden ulkopuolelle jää satoja ja tuhansia palveluita, joihin tunnistaudutaan käyttäjätunnuksella ja salasanalla eli heikosti.
Meidät kaikki on valistettu, että käytä kaikissa palveluissa eri salasanaa ja käytä mahdollisimman monimutkaista salasanaa. Ensimmäinen ohje on edelleen hyvä, mutta ajaa hulluuteen, jos tarvitsee kymmeniin erilaisiin järjestelmiin salasanoja. Tai sitten ne on kirjoitettava ylös. Tämä vie tietysti pohjan toiselta säännöltä. Toinen trendi, joka vähentää monimutkaisten salasanojen tehoa, on jatkuvat uutiset tietomurroista, joissa on varastettu sekä käyttäjätunnukset että salasanat. Salasana monimutkaisuus menettää merkityksensä. Varkaat käsittelevät niitä automaattisesti eivätkä hämäänny erikoismerkeistä.
Tilanne on hankala. Vaikka käyttäjä toimisi kuinka ohjeiden mukaan, voi ylläpitäjien huolimattomuus viedä kerralla pohjan miljoonien tai kymmenien miljoonien ihmisten varovaisuudelta. Emme voi mitenkään varmistaa, miten hyvin jonkun palvelun käyttäjätiedot on hallittu. Maailmalla on viety myös pankkien tietoja. Jos emme halua tätä riskiä ottaa, emme voi käyttää kuin kourallista verkon palveluista.
Suuret toimijat kuten Google tai Facebook ovat ongelman tunnistaneet ja rahoittavat tunnistamisen tutkimusta myös yhteisissä hankkeissa. Heidän ja niin monen muunkin maailmanlaajuisen palvelun ongelmana on, miten tavoittaa kaikki henkilöt niin, että heidän identiteettinsä voidaan vahvistaa ja heille voidaan siinä yhteydessä jakaa joku tunnistusväline tai vastaava. Vastaus on ollut tähän asti ”ei mitenkään”. Sellaisena se näyttää myös pysyvän.
Heikon ja vahvan ero
Heikkoa tunnistamista on esimerkiksi, kun kirjaudumme jollekin sivulle ja saamme sähköpostiin vahvistuksen, jonka avulla luomme käyttäjätunnuksen ja salasanan. Vaikka salasana olisi kuinka kiemurainen, ei näin voida saada aikaiseksi vahvaa tunnistamista, koska mitenkään ei voida varmistaa, kuka on sähköpostitilin avannut ja kuka sitä käyttää. Suomen lainsäädännössä ja viime syksynä hyväksytyssä EU:n sähköisen tunnistamisen eIDAS-asetuksessa ei tätä ole säädelty. Toki jos tällaisilla tunnuksilla tehdään huijauksia tai väärennöksiä, löytyy rikoslaista vastaavat pykälät.
Meillä vahvaa tunnistamista ohjaa ja valvoo Viestintävirasto. Nyt käytössä on yksi luokka eli vahva tunnistaminen, mutta eIDAS tuo tullessaan uudet kriteerit ja kaksi luokkaa: korotettu ja korkea. Suomalaisen käännökseen termit on omaksuttu tietoturvaluokituksista. Ne joskus hämmentävät. Kumpi olikaan se korkeampi? Oma muistisääntöni on, että korotettu kynnys on matalampi kuin korkea kynnys.
EU-tasoiset kriteerit määritellään eIDAS:n toimeenpanosäännöksissä, joita laaditaan parhaillaan. Tämänhetkisen arvion mukaan suomalaisista tunnistusvälineistä henkilökortti olisi ainoa, joka olisi luokassa korkea. Mobiili- ja pankkitunnisteet olisivat korotetulla tasolla. Ainakin pankkitunnisteisiin voi olla tarpeen tehdä hienosäätöjä.
Tavoitteena olisi, että tulevaisuudessa EU:n jäsenmaiden välillä voitaisiin tunnistautua vahvasti rajat ylittäen. Valitettavasti tunnistamisen lainsäädännön jälkeen jää vielä monia avoimia kysymyksiä ja teknisiä ongelmia. Esimerkiksi Portugalin viranomaisilla ei ole mitään käyttöä suomalaiselle henkilötunnukselle.
Identiteettiongelmia
Vaikka Google tai Facebook saisivat ratkottua vahvan tunnistamisen ongelman, ei heillä ole käytössä henkilön vahvaa identiteettiä ainakaan siinä muodossa, kuten me sen ymmärrämme. Väestötietojärjestelmä ja ihmisten rekisteröinti sinne heti syntymän tai maahan muuton jälkeen on meille niin arkea, että aina emme muista, kuinka ainutlaatuista se on. Useissa maissa Facebook-identiteetti on vahvempi kuin mikään viranomaisen tieto. Se sentään perustuu siihen, että aina joku tuntee jonkun toisen. Huijarit karsiutuvat.
Suomessa meidän identiteettimme muodostuu sukulaissuhteista ja omasta historiastamme. Meistä ei ole tallennettu väestötietoihin biometrisiä tunnisteita. Esimerkiksi Intiassa on maan suuren koon ja vasta aloitetun rekisteröinnin johdosta ollut pakko kerätä kaikista rekisteröidyistä sormenjäljet. Iso-Britanniassa on vastikään otettu käyttöön sähköinen tunnistusjärjestelmä, jossa useasta lähteestä esimerkiksi luottotietorekistereistä verrataan henkilöiden tietoja ja näin saavutetaan riittävä tarkkuus. Siellä meidän kaltaisemme väestötietojärjestelmä ei ole mahdollinen.
Me olemme Suomessa jo vuosikausia nojanneet väestötietoihin ja käyttäneet niin yksityisissä kuin julkisissa palveluissa yksikäsitteistä henkilötunnusta. Tähän sisältyy tietysti riskejä, mutta se tekee elämän helpoksi ja mahdollistaa automaation. Esimerkiksi osoitteenmuutos on meillä poikkeuksellisen vaivaton operaatio. Onkin erikoista, että tätä ei ole säädelty, vaan kyse on ollut tavasta tehdä asiat. Eduskunnassa juuri hyväksytyssä sähköisen tunnistamisen lain muutoksessa tulee väestötietojen käyttö pakolliseksi. Näin varmistetaan, että myös mahdolliset uudet toimijat nojaavat tähän tietoon ja voimme eri palveluissa luottaa, että henkilö on juuri se oikea.
Lakimuutoksen toinen keskeinen uudistus oli sähköisen tunnistajien välisen luottamusverkoston rakentaminen. Sen tavoitteena on madaltaa kynnystä ottaa käyttöön vahvan sähköisen tunnistaminen uusissa palveluissa ja valmistella Suomi rajat ylittävään tunnistamiseen.
Suomessa käyttöön sähköinen allekirjoitus?
Olemme rakentaneet järjestelmien väliset yhteydet niin, että voimme luottaa kumpaankin osapuoleen. Kun Kelan virkailija on tunnistaunut heidän järjestelmäänsä ja lähettänyt sieltä tiedon verottajalle, voi Vero luottaa tiedon aitouteen ja eheyteen. Meillä on myös ollut tapana luottaa, jos kansalainen itse välittää tiedon eteenpäin. Näin ei ole muissa maissa, ja voisi Suomessakin olla paikoillaan ainakin joissain tilanteissa siirtyä käyttämään sähköistä allekirjoitusta. Sillä voidaan varmistua allekirjoittajasta, mutta suurempi hyöty on, että voidaan varmistua tiedon eheydestä ja muuttumattomuudesta.
Tämä keskustelu on avattu ja sitä on tarkoitus käydä tämän kevään aikana osana valmistautumista EU-sääntelyyn ja kansallisen luottamusverkoston rakentamista. Kyse on isosta toiminnallisesta muutoksesta.