Mitä vahva sähköinen tunnistaminen tarkoittaa?

Helppokäyttöinen sähköinen tunnistaminen on digitaalisen Suomen kivijalka. Kun sekä taloudellisesti että oikeudellisesti merkittävä asiointi siirtyy yhä enemmän verkkoon, sosiaalisen median rekisteröitymiset tai muut ihmisen itsensä luomat tunnukset eivät enää riitä. Tarvitaan varmuus palvelun käyttäjän henkilöllisyydestä.

Vahvan sähköisen tunnistamisen ajatuksena on, että luotettava toimija takaa käyttäjän identiteetin aina, kun tunnistamista käytetään. Tällaisia tunnistamisessa käytettyjä välineitä ovat verkkopankkitunnukset, Väestörekisterikeskuksen kansalaisvarmenne eli käytännössä poliisin myöntämä sähköinen henkilökortti sekä teleyritysten Mobiilivarmenne.

Vahvan sähköisen tunnistamisen markkinaa on pyritty kehittämään asteittaisin muutoksin jo usean vuoden ajan, mutta Suomessa käytetään silti edelleen ikääntyneitä tunnistamisvälineitä. Suurin osa suomalaisista tunnistautuu verkkoon pankkien 90-luvun lopulta asti käytössä olleilla salasanalistoilla, mutta Mobiilivarmenteen käyttö lisääntyy jatkuvasti. Uusien tunnistuspalvelujen yleistymistä rajoittavat useiden sopimusten aiheuttama hallinnollinen vaiva palveluntarjoajalle sekä tunnistuspalvelujen pohjoismaisittain poikkeuksellisen korkea hintataso.

Taustalla oleva lainsäädäntö

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain tavoitteena on ollut luoda yhteiset pelisäännöt tunnistamispalvelujen tarjontaan sekä edistää niiden käyttöä. Lain lähtökohtana on, että käyttäjä voi luottaa vahvan sähköisen tunnistamisen tietoturvaan ja yksityisyyden suojaan.

Viestintävirasto valvoo, että tunnistuspalvelun tarjoajat ja laatuvarmentajat noudattavat niille laissa sekä määräyksessä asetettuja velvollisuuksia. Se toimii myös valvovana viranomaisena asioissa, jotka koskevat tunnistuspalvelun tarjoajien ja laatuvarmentajien toimintaa. Viestintävirasto ja tietosuojavaltuutettu, joka puolestaan valvoo tunnistamislain henkilötietoja koskevien säännösten noudattamista, toimivat valvontatehtävissä yhteistyössä Finanssivalvonnan, Kilpailuviraston ja Kuluttajaviraston kanssa.

Tunnistuslaki säädettiin jo vuonna 2009, mutta heinäkuussa 2016 sitä muutettiin vastaamaan EU:n eIDAS-asetuksen tavoitteita. Asetuksen keskeisenä tavoitteena on tarjota sähköisiä tunnistusvälineitä, joilla on mahdollista tunnistautua julkishallinnon palveluissa koko EU:ssa sekä antaa palveluntarjoajalle mahdollisuus osoittaa selkeästi, että sen verkkopalveluita varten tarjoama tuote (esimerkiksi allekirjoitusvarmenne tai sähköinen aikaleima) on luotettava. Suomessa tämä toteutetaan luottamusverkostolla.

Luottamusverkosto

1.5.2017 toimintansa aloittaneeseen kansalliseen luottamusverkostoon kuuluu tunnistusvälineiden tarjoajia, kuten operaattoreita ja pankkeja sekä välityspalvelun tarjoajia. Välityspalvelun tarjoaja on toimija, joka kokoaa yhteen kaikki eri tunnistuspalvelut ja niiden asiakaskunnan, jolloin verkkopalvelun tarjoajan tarvitsee tehdä sopimus vain yhden välityspalvelun tarjoajan kanssa. Aiemmin verkkopalvelun tarjoajan piti tehdä erikseen sopimus jokaisen tunnistuspalvelun tarjoajan kanssa. Viestintävirasto ylläpitää rekisteriä sekä tunnistuspalveluiden että välityspalveluiden tarjoajista.

Luottamusverkoston toiminnan käynnistymistä on hidastanut ensitunnistamisen hinnoittelu ja se, että keskinäisiä sopimuksia ei ole saatu tehtyä. Markkinalla haastajan asemassa olevien palveluntarjoajien on käytännössä hyvin vaikeaa saada asiakkaita ilman kattavaa ja kohtuuhintaista sähköistä ensitunnistamista. Ensitunnistaminen vastaa teknisenä toimenpiteenä mitä tahansa tunnistamistietojen välittämistä luottamusverkostossa, mutta se on silti hinnoiteltu tavallista tunnistustapahtumaa huomattavasti kalliimmaksi. Hintasääntelyllä pyritään turvaamaan kuluttajan mahdollisuus valita helposti juuri omia tarpeita vastaava tunnistusväline, mutta enimmäishinta on vieläkin liian korkea.

Lue myös Elina Ussan blogikirjoitus:
Vatulointi sikseen ja tunnistautumisjärjestelmät kuntoon.