Ajankohtaista

Kuluttaja haluaa tunnistautua yhdellä kädellä ja peukalolla

Olemme tottuneita siihen, että kaiken asioinnin pitää toimia nopeasti, sähköisesti ja helposti. Itse käyttäjän tunnistus on pieni tapahtuma, mutta sen takana tehtävät toimet voivat olla suuria. Siksi tietoturva on välttämättömyys.

Tunnistautumisen pitää olla sekä helppoa että turvallista. Mobiilit laitteet ovat muuttaneet kuluttajien käyttäytymistä. Sähköisiin palveluihin pitää voida tunnistautua missä ja milloin vain. Tunnistautuminen pitäisi pystyä tekemään myös älylaitteella – mielellään yhdellä kädellä tai pelkästään peukalolla.

– Biometrian läpimurrosta on puhuttu jo pitkään, ja vihdoin välineitä on saatavilla myös kuluttajalaitteissa. Ollaan kuitenkin vielä kaukana siitä päivästä, jolloin jokaisella olisi tarvittava laite käytössään, Samlinkin turvallisuusjohtaja Jari Pirhonen kertoo.

Sähköisten palvelujen kehittäjinä meidän on myös tietoturvan osalta huomioitava teknologian jatkuva, jopa kiihtyvä kehitys.

– Sähköisten palvelujen kehittäjinä meidän on Samlinkilla tietoturvan osalta huomioitava teknologian jatkuva, jopa kiihtyvä kehitys. Tulevaisuudessa tulee olemaan älylaitteita, joita nyt voimme vasta kuvitella. Tunnistukseen voidaan yhdistää myös paikkatietoja, mikäli sillä on käyttäjän tunnistamisen kannalta merkitystä, kuvailee Pirhonen.

Luottamusverkosto sähköiseen tunnistukseen

Suomessa laki määrittelee vahvan sähköisen tunnistamisen reunaehdot. Uusi tunnistuslaki tuli voimaan vuoden alusta. Sen puitteissa on valmisteilla niin sanottu luottamusverkosto, joka tarkoittaa kaikkien sähköisten tunnistuspalveluiden tarjoajien välistä sopimusta. Jokaisen lainmukaista, vahvaa sähköistä tunnistamista tarjoavan tahon on liityttävä luottamusverkostoon. Verkostoa koskeva asetus tulee voimaan toukokuussa 2017. Lisäksi tunnistusvälineiden ominaisuuksia määritellään siten, että ne täyttävät tulevat EU-vaatimukset.

Tunnistukseen voidaan yhdistää myös paikkatietoja, mikäli sillä on käyttäjän tunnistamisen kannalta merkitystä.

– Luottamusverkoston tavoitteena on, että jatkossa käyttäjä valitsee haluamansa välineen, esimerkiksi verkkopankkitunnukset tai mobiilivarmenteen, jolla voi kirjautua kaikkiin vahvaa sähköistä tunnistautumista vaativiin asiointipalveluihin. Tämä helpottaa kaikkien osapuolten toimintaa, Pirhonen kertoo.

Samlink on osallistunut tähänkin valtionhallinnon hankkeeseen muun muassa antamalla lausuntoja laki- ja määräysluonnoksiin.

Tärkeä tietoturva

Vaikka käytettävyys on kuluttajalle tärkeää, täytyy toteutuksen olla sellainen, että tietoturva säilyy.

Kun Samlinkilla kehitetään uusia tunnistusratkaisuja, tehdään niille aina riskiarviointi. Vaikka tietoturva on käyttäjätunnistuksen tärkein tavoite, on huomioitava myös muita asioita, kuten käytön helppous, laiteriippumattomuus ja kustannustehokkuus.

Verkkopankkitunnukset ovat edelleen turvallinen tapa tunnistautumiseen, mutta teknologian kehityksen ja käyttötapojen myötä myös tunnistautumisvälineiden ja -tapojen on kehityttävä.

– Olemme tehneet näitä asioita iät ja ajat. Meillä on ollut vahva tunnistus verkkopankeissa jo pitkään, minkä ansiosta asiakkaamme ovat välttyneet ongelmilta, eikä sähköisten palvelujen toteuttaminen ole jäänyt tunnistusratkaisuista kiinni.

Joka kymmenes on ilman verkkopankkitunnuksia

Kilpailu- ja kuluttajaviraston Pankkipalvelut 2015 -selvityksestä käy ilmi, että sähköisen tunnistautumisen ulkopuolelle jää noin kymmenesosa kuluttajista. Tässä ryhmässä on muun muassa ikäihmisiä ja matalasti koulutettuja. Heidän arkensa on haasteellista, sillä perinteiset asiointitavat vievät joskus kohtuuttomasti aikaa ja rahaa eikä niitä juuri kehitetä. Viranomaisilla on velvoite varmistaa kansalaisten mahdollisuudet myös sähköiseen asiointiin. Mielenkiintoista nähdä, miten tämä tullaan toteuttamaan.

727053

Verkkopankkitunnusten lisäksi pankin asiakkaat tarvitsevat turvalukuja verkkopankissa asiointiin sekä esimerkiksi verkossa ostamiseen. Vuoden 2015 aikana Samlink postitti pankkien asiakkaille huimat 727053 turvalukukorttia. Jokainen kortti sisältää 152 turvalukua.

TUPAS

Verkkopankkitunnuksiin perustuva TUPAS on suomalaisten pankkien yhteinen tunnistamispalvelu. Sen avulla erilaiset palveluntarjoajat voivat tunnistaa asiakkaansa verkossa. Kun käyttäjä kirjautuu palveluun verkkopankkitunnuksillaan, pankki lähettää palveluntarjoajalle tiedot, kuka kirjautunut henkilö on.

IAM

Identiteetin ja pääsynhallinnan (Identity and Access Management) avulla huolehditaan käyttäjän pääsystä erilaisiin tietojärjestelmiin, sekä siitä, millaisilla oikeuksilla hän palveluita käyttää ja miten hänen identiteettitietojaan hyödynnetään sekä siirretään palvelujen ja niihin liittyvien tahojen välillä.