Tulostusversio

2/2008

Tunnistaminen: Mobiili tekee tuloaan

Teksti: Päivi Männikkö

Matkapuhelimella tehtävää tunnistamista puoltaa käytön helppous. Viime aikoina tietokoneiden haittaohjelmat ovat lisänneet kiinnostusta mobiiliin tunnistamiseen. 

Melkein kaikkien suomalaisten taskussa tai laukussa on matkapuhelin, mutta sähköisiin palveluihin kirjauduttaessa se laitetaan pois, ja esille otetaan verkkopankkitunnukset.

Pankkitunnukset ovat jättäneet muut vahvan tunnistamisen menetelmät varjoonsa. Henkilö- tai pankkikorttiin liitettävä Väestörekisterikeskuksen kansalaisvarmenne ei ole yleistynyt odotetusti.

Kansalaisvarmenteen saa myös matkapuhelimen SIM-korttiin mutta sitä hyödyntäviä yleisöpalveluja ei ole tarjolla. Teleoperaattorit ja pankit ovat kokeilleet mobiilitunnistamista, mutta hankkeet ovat jääneet kokeilun asteelle.

Nyt mobiilitunnistaminen kiinnostaa jälleen. Teleyritykset ja pankit haluaisivat perustaa oman mobiilivarmenteen eli matkapuhelimessa olevan henkilöllisyyden todentajan. Tunnistamisen lisäksi varmenteella voi tehdä sähköisiä allekirjoituksia, eli salata tietoa tai vahvistaa sen alkuperän ja muuttumattomuuden.

Tietoliikenteen ja tietotekniikan keskusliitto FiComin toimitusjohtaja Reijo Sventon mukaan mobiilitunnistamisessa kiehtoo sen helppous. Väline on jo olemassa, eikä kortinlukijoita tai salasanalistoja tarvita. Tarkoitus ei ole kuitenkaan korvata nykyisiä tunnistustapoja vaan tuoda uusi vaihtoehto niiden rinnalle. 

Kiinnostusta kasvattavat verkkopankkien tietoturvaongelmat, esimerkiksi pankkitunnusten kalastelu asiakkailta. 

”Pankkipuoli on itse ryhtynyt myös – se ei ole mikään salaisuus – miettimään sitä, että olisiko mobiilitunnistaminen turvallisempi ja helpompi tapa tunnistaa”, Svento huomauttaa.

Eri verkot lisäävät turvaa

Matkapuhelimella tapahtuva tunnistaminen voidaan hoitaa esimerkiksi siten, että käyttäjä lähettää henkilökohtaisen tunnuslukunsa tekstiviestinä palveluntarjoajan ilmoittamaan numeroon. Vastauksen saatuaan hän vielä vahvistaa tapahtuman tekstiviestillä. Jos asiointi tapahtuu netissä, käyttäjä tarkistaa, että matkapuhelimeen lähetetty tunnus on sama kuin verkkopalveluun ilmestynyt tunnus. Tämä vahvistetaan tunnusluvulla.

Ennen tunnistamisen aloittamista palveluun voi antaa henkilökohtaisen häirinnän estokoodin, joka estää virheelliset tunnistustapahtumat.

Tietoturvaloukkausten riski pienenee, jos tunnistaminen tehdään eri verkossa kuin itse asiointi. Internetissä tapahtuvan asioinnin ja matkapuhelinverkossa suoritettavan tunnistamisen yhtäaikainen hakkerointi on käytännössä mahdotonta.

Mobiilivarmenne on murrettavissa vain, jos käyttäjä paljastaa tunnuslukunsa muille ja hänen kännykkänsä varastetaan.

Bluetooth suurin tietoturvariski

Mobiilitunnistamisessa haittaohjelmien aiheuttamat riskit ovat toistaiseksi tietokoneita pienemmät. Riski haittaohjelmien lisääntymisestä kuitenkin kasvaa sitä mukaa, kun älypuhelimet yleistyvät, ja netissä surfataan yhä enemmän kännykän avulla.

Reijo Sventon mukaan mobiiliala on varautunut myös siihen mahdollisuuteen, että haittaohjelmista tulee kännyköissä samanlainen vitsaus kuin pc-tietokoneissa.

Hän huomauttaa, että ainakin tähän asti älypuhelinten tietoturvaongelmat ovat liittyneet etupäässä langattoman tiedonsiirron mahdollistavaan bluetooth-ominaisuuteen. Bluetoothin riskejä voi pienentää estämällä yhteydenpidon muihin kuin asetuksissa määriteltyihin laitteisiin.

Erilaisia tunnistusmalleja

Yritysmaailman lisäksi myös julkinen hallinto haluaa lisätä mobiilitunnistamista. Hallitusohjelman mukaan hallitus tulee edistämään sähköistä tunnistamista.

Hallituksen asettamassa Arjen tietoyhteiskunnan neuvottelukunnassa toimii sähköisen tunnistamisen kehittämisryhmä. Sen on määrä sopia julkishallinnossa yhtenäisistä tunnistamistavoista ja -menettelyistä ja ottaa ne käyttöön.

Kehittämisryhmässä toimii erityinen mobiilityöryhmä, joka laatii tämän vuoden aikana 3–5 konkreettista mallia mobiilitunnistamisen järkevästä toteuttamisesta. Teknisiä vaihtoehtoja on monia, ja ryhmä selvittää niiden toimivuutta myös muiden maiden esimerkkien perusteella.

Tarkastelussa ovat ainakin kertakäyttösalasanoihin perustuva menetelmä, pankkien kehittämät erityisesti matkapuhelinkäyttöön soveltuvat ratkaisut sekä uusista pankkikorteista tuttu EMV-siru. Lisäksi selvitetään biometriikkaan perustuvan mobiilitunnistamisen käyttöä.

Sähköisen tunnistamisen kehittämisryhmän sihteerin, liikenne- ja viestintäministeriön neuvottelevan virkamiehen Kirsi Miettisen mukaan ryhmä selvittää myös eri mallien kustannuksia. Lisäksi selvitetään, mitkä tahot olisivat kiinnostuneita mobiilivarmenteiden myöntämisestä, ja millä tekniikalla ne haluaisivat sen tehdä.

Eroon tulkintaongelmista

Mobiilitunnistamisen yleistymisen kannalta ratkaisevaa on, millä ehdoilla yritykset voivat perustaa kansalaisvarmenteen rinnalle kilpailevia varmennepalveluita. Näitä ehtoja säädellään sähköisen allekirjoituksen laissa.

”Allekirjoituslakiin kuuluu varmennetoiminnan sääntely. Nyt laissa on kipupisteitä, jotka ovat haitanneet sähköisten palvelujen kasvua ja itse tunnistamistoiminnan laajenemista”, neuvotteleva virkamies Kirsi Miettinen luonnehtii tilannetta.

Yritykset kokevat allekirjoituslain jarruttavan kansalaisvarmenteen kanssa kilpailevien varmenteiden käyttöönottoa. FiCom ry:n Reijo Sventon mukaan erityisesti lain vahingonkorvaussäännös on keskeinen syy sille, ettei liike-elämä ole innostunut ajamaan mobiilitunnistamista nykyisen lain voimassaoloaikana. 

Vahingonkorvaussäännöstä tarkastellaan allekirjoituslain uudistamisen yhteydessä. Samalla pyritään selkeyttämään muitakin tulkintavaikeuksia tuottaneita lainkohtia.

Viestintäministeri Suvi Lindénin mukaan lakiesityksiä eduskunnalle voi odottaa vielä tämän vuoden aikana. Hän on ilmoittanut aikovansa viedä tunnistamista koskevia linjaratkaisuja hallituksen käsittelyyn syyskauden alkupuolella.

Rekisteröinnistä yksinkertaisempaa

Yksityisen varmennetoiminnan kehittymistä on hiertänyt myös kysymys siitä, pitäisikö muilla kuin Väestörekisterikeskuksella olla oikeus saada käyttöönsä varmenteeseen kuuluva sähköinen asiointitunnus.

Lähiaikoina eduskuntakäsittelyyn tulevassa väestötietolain uudistusehdotuksessa asiointitunnuksen saaminen aiotaan sallia kaikille varmennepalvelujen tarjoajille. Tämän uskotaan osaltaan sysäävän varmennemarkkinoita käyntiin. 

Kansalaisvarmenteen vähäistä suosiota on selitetty muun muassa rekisteröinnin vaivalloisuudella. Sen hankkimiseen tarvitaan korttiin liitettävä, varmenteen sisältävä siru. Lisäksi varmenne on rekisteröitävä poliisilaitoksella, missä käyttäjän henkilöllisyys varmistetaan.

Teleala ja pankit toivovat, että tulevaisuudessa poliisilaitoksella käynniltä voisi välttyä. Mikäli ne perustavat oman varmennepalvelun, ne suorittaisivat myös rekisteröinnin ja henkilöllisyyden varmistamisen konttoreissaan. Rekisteröinnin helpottamisen toivotaan madaltavan kynnystä varmenteen hankkimiseen. 

Operaattoreilla ja pankeilla on jo valmiina suunnitelmat rekisteröinnin järjestämisestä, ja ne on esitelty myös tietosuojavaltuutetulle.

 

Lue myös

Mobiilia elämänhallintaa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.