Lainsäädännöllä sähköisen tunnistamisen kimppuun

Sähköinen tunnistaminen kuuluu lähes jokaisen tietokonetta käyttävän suomalaisen arkipäivään, koska internetissä tehdään tuon tuostakin erilaisia oikeustoimia. Tyypillisin esimerkki vahvasta tunnistamisesta on asioiminen pankissa, sillä Suomessa on käytössä noin neljä miljoonaa pankkien tupas-tunnistetta. Hyvällä syyllä voikin sanoa, että alan markkinoita hallitsevat pankit.
10.3.2009

Erja Aikavuori

Suomi on pieni markkina-alue, eikä tänne ole tulossakaan kovin monta palveluntarjoajaa. Toivomme, että kilpailu toisi kehitystä ja pitäisi hinnat alhaisina. Täytyy muistaa, ettei tilanne ole kuitenkaan sähköisillä tunnistusmarkkinoilla Suomessa huono, Liikenne- ja viestintäministeriön viestintäpalveluyksikön neuvotteleva virkamies Kirsi Miettinen valaisee.

Valtiontalouden tarkastusviraston johtavan toiminnantarkastajan Tomi Voutilaisen mukaan yksityinen sektori on kehittänyt sähköisiä palveluja huomattavasti julkista rohkeammin.

– Verkossa voi ostaa tai käyttää melkein mitä tahansa palvelua ilman, että tarvitaan vahvaa sähköistä tunnistusta. Joko käyttäjätunnus ja salasana riittävät tai myöhemmin tehtävä asiointi hoidetaan tilausnumeron perusteella. Julkisesta hallinnosta tällainen innovatiivinen ja rohkeakin palveluiden kehittäminen puuttuu, mikä voi olla hyväksikin, jos asioinnissa käsitellään arkaluonteisia tietoja, Voutilainen kertoo.

Hän odottaa tunnistuspalvelumarkkinoiden kehittyvän positiivisesti varsinkin, kun mobiilioperaattorit saanevat oman tunnistuspalvelunsa lähitulevaisuudessa toimimaan.

– Tähän kehitykseen valtionhallinnon ei tulisi puuttua muuten kuin luomalla lainsäädännölliset edellytykset tunnistuspalveluiden tarjoamiseksi myös julkiselle hallinnolle. Tähänkään asti ei ole ollut esteitä sille, etteivätkö mobiilioperaattorit olisi voineet tarjota tunnistuspalveluita yksityisille toimijoille, Voutilainen muistuttaa.

Luotetut palveluntarjoajat voisi tarkistaa

Internetissä asioinnin suurimpia pulmia on osapuolten välinen luottamus, mikä voi ilmetä sekä asiakkaan että palveluntarjoajan näkökulmasta.

– Yksityiselläkin sektorilla on törmätty sähköisen tunnistuksen ongelmiin niin kutsuttujen pikavippien myöntämisessä, jossa on ilmennyt väärinkäytöksiä. Tällaisissa palveluissa tarvittaisiin tietenkin vahvaa tunnistusmenettelyä, Voutilainen tietää.

Luottamuspula helpottunee, jos liikenne- ja viestintäministeriön valmistelema lakiesitys tulee ensi syksynä voimaan. Esityksen mukaan palveluntarjoajien tulisi tehdä ilmoitus Viestintävirastoon, joka ylläpitäisi niin sanottua virallista listaa luotetuista tahoista. Esityksen tavoitteena on vähentää muitakin vahvaan sähköiseen tunnistukseen liittyviä ongelmia.

– Laki on tärkeä kahdessakin mielessä. Nähdäkseni sen puuttuminen on estänyt kehitystä ja toisaalta lait herättävät luottamusta. Liikenne- ja viestintäministeriön valmistelemassa laissa sähköisen allekirjoituksen osuus on uutta sekä Suomessa että EU:ssa, Kirsi Miettinen toteaa.

Lakiesitystä on ehditty kritisoida moneltakin eri suunnalta. Ensinnäkin sitä on moitittu liian pikaisesta valmistelusta, mikä puolestaan johtaisi porsaanreikiin ja jopa väärinkäytöksiin. Lakiesityksessä vahvan tunnistamisen piiriin lukeutuvat verkkopankkien tunnukset, jotka eivät arvostelijoiden mukaan täytä määritelmää. Lisäksi esitystä on syytetty siitä, että se keskittyy liikaa henkilöiden sähköiseen tunnistamiseen ja jättää organisaatiot lähes huomiotta.

– Edes liikenne- ja viestintäministeriön tunnistamisen kehittämisryhmä ei ole kiinnittänyt tähän asiaan riittävästi huomiota, vaan ryhmä on tehnyt ongelman henkilöiden sähköisestä tunnistuksesta. Tämä taas ei ole mikään ongelma, Voutilainen arvostelee.

Miettisen mukaan ministeriö pyrkii katsomaan tulevaisuuteen, eikä tavoitteena olekaan ratkaista ongelmia yhdellä lailla.

– Asia vaatii sarjan samansuuntaisia toimenpiteitä. Täytyy muistaa, ettei tunnistaminen ole itseisarvo vaan portti sähköisiin palveluihin, Miettinen huomauttaa.

– 2000-luvun alussa luultiin, että palvelut muuttuvat sähköisiksi nopeasti. Kehitys on ollut kuitenkin uskottua hitaampaa, mutta laki on todella tarpeellinen kahdesta syystä. Ensinnäkin ihmisten käyttökokemus karttuu jatkuvasti ja toiseksi todellinen internet-sukupolvi on tulossa kovaa vauhtia täysi-ikäiseksi. Paineet ovat suuret sekä yksityisten että julkisten palveluiden puolella, Miettinen jatkaa.

Valtio etsii roolia

Voutilainen pitää valtion asemaa tunnistuspalvelumarkkinoilla ongelmallisena, eikä hänen mukaansa valtion tehtävänä ole tarjota omia palveluja.

– Valtionhallinnon tulisi olla tunnistuspalveluiden hyödyntäjä eikä aktiivinen toimija, koska se häiritsee markkinoiden kehittymistä sähköisen tunnistuksen palveluiden osalta, Voutilainen ennakoi.

Voutilainen on huolissaan myös kokonaiskoordinoinnin puuttumisesta. Tilannetta kuvaa hyvin se, että esimerkiksi valtionvarainministeriössä sähköisen tunnistuksen kehittämistä ja varmennetoimintaa selvittää kaksi eri selvitysryhmää. Lisäksi liikenne- ja viestintäministeriön ohella muutamassa muussakin ministeriössä valmistellaan sähköiseen tunnistamiseen liittyviä lakeja.

Voutilaisella on selkeä näkemys esimerkiksi Vetuman ja Tunnistus.fi:n kaltaisista julkisista tunnistuksenohjaus- ja hallintapalveluista.

– Ei ole mitään toiminnallisia ja taloudellisia perusteita ylläpitää julkisin varoin kahta eri palvelua, jotka toimivat käytännössä samalla tavalla.

Voutilainen muistuttaa, että vahvan sähköisen tunnistuksen tarve julkisen hallinnon sähköisessä asioinnissa on pikemminkin poikkeus kuin sääntö.

– Tämä on jo lähtökohtana sähköisestä asioinnista viranomaistoiminnassa annetussa laissa. Jos hallinnon asiakas haluaa täyttää lomakkeen verkossa, ei siihen vahvaa tunnistusta tarvita. Asiointi tapahtuu samalla tavalla kuin postitse, jossa ei tarvita mitään erityisiä toimenpiteitä henkilön tunnistamiseksi, Voutilainen havainnoi.

– Ideaalitilanne on se, että aktiivisia, käyttäjältä erityisiä toimenpiteitä vaativia sähköisen tunnistuksen menetelmiä ja välineitä tarvittaisiin mahdollisimman vähän julkisen hallinnon sähköisessä asioinnissa, Voutilainen esittää.

 

 

Vahvassa tunnistamisessa korkea yksityisyyden suoja

Sähköisen tunnistamisen muotoja ovat vahva ja heikko tunnistaminen. Vahvalla tunnistamisella tarkoitetaan kansalaisten ja organisaatioiden yksityisyyden suojan takaamaa tunnistusta, jossa käytetään ainakin kahta menetelmää seuraavista: esimerkiksi käyttäjän sormenjälki, käyttäjän hallussa olevat salasanat tai avaimet. Näin määriteltynä pankkien tupas–tunnukset eivät täytä vahvan tunnistamisen määritelmää.

Heikkoja tunnistamisia ovat muun muassa käyttäjien itse luomat salasanat esimerkiksi sähköposteihin. Heikon tunnistamisen ongelmana on, ettei kansalaisten yksityisyyden suojaa voi taata juuri mitenkään. Julkisuudessa on keskusteltu esimerkiksi pikavipeistä, jotka on hankittu lainahenkilöllisyydellä.

 

 

Väestörekisterikeskuksen varmennepalvelun käyttäjiä vähän

Viime keväänä Väestörekisteri (VRK) sai Valtiontalouden tarkastusviraston raportissa sapiskaa. Nyt VRK on kehitellyt omaa valtion takaamaa, sähköistä varmennepalvelua jo vuosikymmenen ajan. VRK:n tuotteita ovat kansalais-, organisaatio-, henkilö- ja sähköpostivarmenteet. Varmenne on tällä hetkellä käytössä sirullisella henkilökortilla ja organisaatioiden käyttöön tarkoitetuilla toimikorteilla.

Väestörekisterikeskuksen varmennepalveluiden järjestelmäintegraattori Erkki Wuoma näkee VRK:n aseman sähköisen tunnistamisen suhteen tärkeäksi.

– VRK:n rooli sähköisessä tunnistamisessa on VRK:n lakisääteinen tehtävä. VRK tuottaa laatuvarmentajana korkeatasoisia ja tietoturvallisia henkilövarmenteita. VRK pyrkii jatkossakin edistämään turvallisen sähköisen asioinnin kehittymistä Suomessa, Wuoma vakuuttaa.

Väestörekisterikeskuksen mukaan Suomessa oli viime vuoden loppuun mennessä 193 000 voimassaolevaa kansalaisvarmennetta, joita voi käyttää muutaman kymmenen palveluntarjoajan palveluissa. Suurimpia palveluntarjoajia ovat Kela, verottaja, työhallinto, puolustusvoimat ja kunnat.

Kritiikkiä teknologiasta

Valtiontalouden tarkastusviraston raportti antoi palautetta VRK:lle myös sen tuotteen kalleudesta. On arvioitu, että kansalaisvarmenteeseen olisi käytetty rahaa yli 30 miljoonaa euroa.

– Väestörekisterikeskuksen varmennepalvelu lienee nähnyt jo parhaat päivänsä. Jos mobiilioperaattorit alkavat tarjota omaa varmennetta matkapuhelimissa, Väestörekisterikeskuksen varmennepalvelulle ei ole käyttötarpeita, koska korttitalo, johon VRK:n ajatusmaailma perustuu varmennepalveluiden tuottamisessa, on romahtanut jo vuosia sitten, Valtiontalouden tarkastusviraston johtava toiminnantarkastaja Tomi Voutilainen perustelee.

– Julkisen avaimen menetelmä (PKI) on ehdottomasti turvallinen menetelmä ja varmenteiden sijoittaminen sirulle paras menetelmä nyt ja tulevaisuudessa. Vaihtuviin tunnuslukuihin pohjautuvat järjestelmät eivät voi kilpailla varmenteiden kanssa, koska esimerkiksi kehittynyttä sähköistä allekirjoitusta ei niiden avulla voi luoda, Wuoma muistuttaa.

Luotettava varmenne

Voutilainen ei pidä myöskään kansalaisvarmenteen heikkoa kysyntää suurena yllätyksenä.

– Väestörekisterikeskus toteaa kansalaisvarmenteiden käytön vähäisyyden osalta, että kansalaisvarmennetta ei käytetä, koska internetissä ei ole palveluita. Kuitenkaan VRK ei huomioi sitä, että internet on pullollaan erilaisia sähköisiä palveluita, mutta niihin ei tarvita vahvaa tunnistusta puhumattakaan Väestörekisterikeskuksen tarjoamasta laatuvarmennepohjaisesta kehittyneestä sähköisestä allekirjoituksesta, Voutilainen arvostelee.

Väestörekisterikeskuksen tuotetta on kritisoitu myös siitä, ettei kortin sirulla oleva tunnistusväline ole nykypäivää, eikä läheskään kaikissa tietokoneissa ole edes sopivaa kortinlukijaa.

– VRK:n myöntämien varmenteiden ja niihin liittyvän hakemistopalvelun (varmenne ja sulkulistahakemisto) ja varmenteiden sulkupalvelun käyttäminen on maksutonta. VRK ei veloita varmenteiden tarkistuksiin hakemistopalvelusta liittyen mitään transaktiomaksuja, joten VRK:n varmenteisiin luottavat palveluntarjoajat voivat tehdä varmenteen kelpoisuuteen liittyvät tarkistukset maksutta.

– Lisäksi VRK tarjoaa lisäveloituksetta VRK:n henkilövarmenteen hankkijalle varmenteen käyttämiseksi tarvittavan kortinlukijaohjelmiston, Wuoma kertoo.

Wuoman mukaan myös luottamuspula palveluntarjoajan ja käyttäjän väliltä hälvenee VRK:n palvelinvarmenteen avulla.

– Sillä voidaan luotettavasti tunnistaa palveluntarjoaja. VRK:lta sähköpostivarmenteen hankkineen palveluntarjoajan asiakkaat voivat lähettää palvelun-tarjoajalle sähköpostia salattuna.