Hajoaako verkkotunnistautuminen? Tunnuslukukorteista luopuminen tuskin onnistuu ongelmitta
Pankkien tarjoama tunnuslukukortteihin pohjaava Tupas-tunnistusmenetelmä ollaan hautaamassa jo muutaman kuukauden kuluttua. Vielä ei kuitenkaan tiedetä, mikä olisi paras korvaava ratkaisu.
Ensi vuoden alusta alkaen pankkien tarjoamilla tunnuslukukorteilla eli Tupas-tunnuksilla ei enää voi kirjautua valtion sähköisiin palveluihin. Nordean ja OP:n tarjoamat tunnuslukusovellukset hyväksytään jatkossakin vahvaan tunnistautumiseen, mutta muiden pankkien osalta tilanne on epäselvä. Mikäli sopimukseen ei päästä, muiden pankkien asiakkaat eivät enää vuodenvaihteen jälkeen voi kirjautua pankkitunnuksilla valtionhallinnon palveluihin.
“Siirtyminen Tupaksesta korvaavaan menetelmään alkaa olla vaikea toteuttaa asettamatta pankkeja eriarvoiseen asemaan”, sanoo Qvikin toimitusjohtaja Lari Tuominen. “Tunnistautumisbisneksestä tulee Nordealle ja Osuuspankille selvä kilpailuetu, jos muiden pankkien tunnuksilla ei enää pääse kirjautumaan julkisen sektorin palveluihin.”
Suomessa vahva tunnistautuminen on tähän saakka käytännössä tarkoittanut Tupas-tunnistautumista: kaikki vahvaa tunnistautumista vaativat palvelut tarjoavat Tupasta vaihtoehtona ja valtaosa tunnistautumisista tehdään pankkitunnusten avulla.
Muutoksen taustalla EU-sääntely
Sähköisen tunnistamisen kriteerejä yhdenmukaistetaan EU-sääntelyn vuoksi. Uusien vaatimusten mukaan yksikään vahvassa tunnistautumisessa käytettävä vaihe ei saa olla helposti kopioitavissa. Kertakäyttöinen tunnuslukukortti on helppo kopioida, ja näillä näkymin Tupaksen käyttö vahvassa tunnistautumisessa lopetaan ensi vuoden syyskuussa.
“Verkkotunnistautumisen muutosta mutkistaa kaksi erillistä turvallisempaan tunnistautumiseen tähtäävää lainsäädäntöä: henkilöllisyyden varmentamiseen keskittyvä eIDAS ja maksutapahtumien teknisiä standardeja täsmentävä RTS”, Tuominen sanoo.
“Säännökset ovat pitkälti linjassa, mutta pankkitunnuksia koskeviin yksityiskohtiin liittyy merkittäviä ristiriitoja, joiden tulkinta on vielä kesken.”
Mobiilivarmenne on yleistynyt Euroopassa – vahvoilla myös Suomessa?
Pankkitunnusten lisäksi vahvaan tunnistautumiseen käy Suomessa mobiilivarmenne sekä sähköinen henkilökortti. Sähköisen henkilökortin yleistyminen ei ole erityisen todennäköistä, sillä sen vuoksi käyttäjän on hankittava sekä kortti että kortinlukulaite.
Mobiilivarmenne sen sijaan onnistuu millä tahansa puhelimella, jossa on Telian, Elisan tai DNA:n liittymä. Mikäli kaikkia pankkeja ei saada mukaan vahvan tunnistautumisen piiriin, mobiilivarmenteen käyttö todennäköisesti yleistyy.
“Mobiilivarmenteen käyttö on muualla Euroopassa jo yleistä. Tietoturvan kannalta tämä saattaisi olla parempi vaihtoehto, sillä varmenne kulkee eri kanavan kautta ja on näin erillinen varsinaisesta asiointitapahtumasta”, Tuominen sanoo.
Tässä järjestelyssä osa jäisi luultavasti ulkopuolelle, sillä kaikki eivät välttämättä omista sähköistä henkilökorttia ja kortinlukijaa tai ole Nordean, Osuuspankin Telian, Elisan tai DNA:n asiakkaita.
Mallia naapurimaiden ratkaisusta?
Virossa kansalaisten vahva tunnistaminen on jo miltei parikymmentä vuotta ollut valtion vastuulla. Kansalaisilla on valtion myöntämä sähköinen henkilökortti, jolla voi kirjautua julkisiin verkkopalveluihin. Ruotsissa sen sijaan johtava vahvan tunnistautumisen menetelmä on maan suurimpien pankkien tarjoama BankID, jonka ensiversio julkaistiin vuonna 2003 ja jolla on 7,5 miljoonaa aktiivista käyttäjää.
“Ruotsin mallissa tunnistus toimii kätevästi ja se on myös helppo integroida osaksi muita palveluita”, sanoo Qvikin Ruotsin tekninen johtaja Jesse Vartiainen. “Virossa valtion tarjoama vahva tunnistautuminen taas on tasapuolinen kaikille pankeille ja muille palveluntarjoajille. Molemmat vaihtoehdot ovat toimivia.”
Suomessa Väestörekisterikeskuksen selvitys tulevista vahvan tunnistautumisen ratkaisuista valmistuu aikaisintaan vasta tammikuussa. Julkisen sektorin tarjoama oma tunnistautumisratkaisu mainitaan tiedotteessa yhä vaihtoehtona.
Jotta Tupas saataisiin tällä aikataululla haudattua kunnialla, täytyisi päätösten uusista tunnistautumiskeinoista olla jo tehtynä ja uusien palveluiden olla rakenteilla. Täysin uuden tunnistautumisvaihtoehdon kehittäminen, käyttöönotto ja tutustuttaminen väestölle on kuitenkin jo hankalampi homma, etenkin jos aikaa on vain muutamia kuukausia.
Väestörekisterikeskus kertoo tiedottavansa pankkineuvottelujen etenemisestä seuraavan kerran viimeistään lokakuussa 2018.
Kuvitus: Aija Malmioja
