Tulostusversio

1/2010

Sähköiset palvelut: Yhdellä tunnuksella monta

Teksti: Kirsi Castrén

Muistettavien tunnusten määrä vähenee, kun eri sivustoille voi kirjautua samasta osoitteesta. Kertakirjautuminen helpottaa virtuaalimaailman kansalaisen elämää, mutta miten käy tietoturvan?

Samoilla tunnuksilla pääsee netissä pian paikkaan kuin paikkaan. Monet suuret verkkopalvelujen tarjoajat, muun muassa Google ja Yahoo, ovat lisänneet valikoimiinsa tunnistautumispalvelun, jonka kautta voi kirjautua muiden palveluntarjoajien sivustoille tunnuksia vaihtamatta.

Kuluttajien vaivoja vähentävä ratkaisu perustuu ns. OpenID-tekniikalle, jonka alun perin kehittivät nettiaktivistit. OpenID:llä periaattessa kuka tahansa voi perustaa tunnistautumispalvelua tarjoavan palvelimen.

"Kun kuluttaja ylläpitää kotikoneellaan omaa tunnistautumispalveluaan ja kirjautuu OpenID -tunnistautumista lukeviin verkkopalveluihin, hän itse kontrolloi omaa identiteettiään netissä", havainnollistaa sovellusasiantuntija Mikael Linden Tieteen tietotekniikan keskus CSC:stä. Linden on perehtynyt verkon identiteetinhallintaan muun muassa väitöstutkimuksessaan.

Harva kuluttaja kuitenkaan on kiinnostunut pyörittämään omaa tunnistautumispalvelinta kotonaan työpöytänsä alla, joten OpenID -tekniikan käyttö on vähitellen keskittynyt ja siirtynyt nettikäyttäjien yhteisöistä suurten toimijoiden, kuten Googlen, haltuun.

Mikä maa, mikä laki?

Kertakirjautuminen helpottaa verkon käyttäjän arkea, mutta Mikael Linden näkee siinä myös haasteita yksityisyydensuojalle.

"Kun netissä on paljon ylikansallisia toimijoita, ja netti itse on ylikansallinen ilmiö, ei kuluttaja varmaankaan aina tiedä eikä kenties pysähdy miettimäänkään, missä maassa voimassaolevan lainsäädännön puitteissa hänen henkilötietojaan käsitellään."

EU:n tietosuojadirektiivit ovat tiukempia kuin monella muulla alueella, esimerkiksi Yhdysvalloissa. 

"Jos EU säätää uuden tietosuojadirektiivin tai muuten kiristää lainsäädäntöä, häipyvät verkkopalvelut helposti sinne, missä on palveluntarjoajalle edullisempi lainsäädäntöympäristö", Linden toteaa.

Kirjautuminen kertoo käyttäjästä

Tiedot käyttäjän toiminnasta tunnistautumispalveluun nojaavassa verkkopalvelussa - esimerkiksi sähköpostien ja keskustelupuheenvuorojen sisältö - eivät tallennu tunnistautumispalvelun tarjoajalle.

Kirjautumisista jää kuitenkin merkintä tunnistautumispalvelun rekisteriin. Aiemmin hajallaan olleista käyttötiedoista syntyvä profiili saattaa kertoa käyttäjästä monenlaisia asioita. Osa merkinnöistä, esimerkiksi tiedot osallistumisesta etnisiin tai yhteiskunnallisiin keskusteluryhmiin, saattavat olla henkilötietolain valossa arkaluontoisina pidettäviä henkilötietoja.

Tunnistautumispalvelujen keskittyminen ja niihin muodostuvat henkilörekisterit edellyttävät palveluntarjoajilta korkeaa tietoturvan tasoa. Olisiko kuluttajan ehkä sittenkin viisainta käyttää useita eri tunnistautumispalveluita tai pitäytyä palveluntarjoajan omissa tunnuksissa, mikäli niitä yhä on tarjolla?

”Tietenkin valppaus on tarpeen. Kuten sananlasku sanoo: Älä laita kaikkia munia samaan koriin, mutta jos kuitenkin laitat, vahdi koria tarkasti”, Linden opastaa.

Palveluissa valikoimaa

Habbo Hotel on suomalaisen tietotekniikkayhtiö Sulakkeen luoma, lähinnä nuorille tarkoitettu virtuaalimaailma. Habbo Hoteliin ja Facebookiin voi jatkossa kirjautua samoin käyttäjätunnuksin ja salasanoin. Yhteistyö kansainvälisen, lyhyessä ajassa supersuosituksi tulleen Facebookin kanssa on Habbolle iso askel, jonka pontimena on käyttäjiltä tullut palaute: palveluista toivotaan mahdollisimman vaivattomia.

Kertakirjautuminen on haaste tietoturvalle, sillä vaikka netissä liikkuvien tunnusten määrä sen myötä vähenee, ovat identiteettivarkaiden ja muiden tietoja kalastelevien rikollisten kertasaaliit aiempaa suurempia.

Teknologiajohtaja Osma Ahvenlampi Sulakkeelta ei usko riskien lisääntyvän:

"Facebook on toki iso ja kasvava phishing-kohde, sitä ei voi kieltää. Silti uskon, että mitä harvemmin käyttäjä joutuu miettimään, mikä salasana mihinkin palveluun olikaan ja mitä useammin hän voi käyttää palvelua, johon luottaa, sitä paremmaksi myös tietoturvatilanne pitemmällä aikavälillä kehittyy."

Tietoturvallisuus netissä riippuu myös käyttäjästä itsestään, Ahvenlampi muistuttaa:

"Ei toki voi vaatia, että kuluttaja olisi asiantuntija, mutta joitakin perusasioita tulisi kaikkien tiedostaa. Esimerkiksi jokainen tietää, ettei omaa kotiavaintaan kannata antaa kadulla ohikulkijalle. Myöskään salasanaansa ei kannata antaa.”

Habbo Hotelin käyttäjä voi valita tunnistautumispalvelunsa noin puolesta tusinasta eri vaihtoehdosta, Habbon oma tunnistautumispalvelu mukaan luettuna. Siitä ei Ahvenlammen mukaan aiota luopua.

Kansainvälisessä palvelussa toimiminen edellyttää palvelun kehittäjiltä jatkuvaa eri maiden verkkopalveluja koskevan lainsäädännön yhteensovittamista. Ahvenlammen mukaan yhteisiä nimittäjiä etsitään muun muassa ikärajoihin.

Heikko tunnistus vaarantaa tietoturvan

Verkossa liikutaan paljon nimimerkeillä, ja toisena esiintyminen on helppoa. Yleisimmät tunnistautumispalvelut käyttävät ns. heikkoa tunnistusta, jolla ei voida varmistaa käyttäjän oikeaa henkilöllisyyttä.

"On esimerkkejä siitä, miten heikkoa tunnistusta käyttävistä palveluista on onnistuttu varastamaan käyttäjätunnuksia ja salasanoja ja käyttämään niitä eri palveluissa," kertoo neuvotteleva virkamies Kirsi Miettinen liikenne- ja viestintäministeriöstä.

Heikkojen tunnisteiden laajamittainen käyttö on Miettisen mukaan palvelusta riippumatta riski tietosuojalle. Arjen tietoyhteiskunnan neuvottelukunnan alaisuudessa toimiva sähköisen tunnistamisen kehittämisryhmä laatii paraikaa sähköisen tunnistamisen ja identiteetinhallinnan kansallisia toimintamalleja.

Ryhmän työsarkana on pääosin vahva sähköinen tunnistaminen, mutta apua on Miettisen mukaan odotettavissa myös heikkoa tunnistamista käyttävien palvelujen luotettavuuden parantamiseen:

"Heikon tunnistamisen luotettavuutta ja turvatasoa voisi nostaa esimerkiksi siten, että olisi järjestelmiä, joiden pohjana olisi vahva tunnistus, jossa käyttäjän henkilöllisyys olisi kertaalleen varmistettu, vaikka myöhemmin käytettäisiinkin heikkoa tunnistusta.”

Internetin virtuaalimaailmat toimivat markkinoiden ehdoilla.

”Se, millaisia järjestelmiä kuluttajapalvelujen tarjoajat ottavat käyttöön on pitkälti heidän omassa päätäntävallassaan. Mikäli työryhmässä syntyy varteenotettavia vaihtoehtoja, voimme niistä toki kertoa, ja jos ne osoittautuvat riittävän edullisiksi, on niitä aina helpompi 'myydä' palveluntarjoajille," Miettinen pohtii.

Nuoret luottavaisia netissä

Henkilötietolaki velvoittaa verkkopalvelun tarjoajaa henkilörekisterinpitäjänä suojaamaan palvelimellaan olevat henkilötiedot. Miettisen mukaan yleensä kuitenkin käyttäjä itse mahdollistaa toiminnallaan tunnusten joutumisen ulkopuolisiin käsiin.

”Jokaisen tulisi miettiä, miten tärkeää on omien henkilötietojen luottamuksellisuus. Olemassa on tutkimustietoa siitä, että etenkään nuoret ihmiset eivät ole erityisen huolissaan omasta omasta tietosuojastaan. Oma analyysini on, että huoli on suorassa suhteessa siihen, miten paljon ihminen kokee saavansa nettipalveluista. Esimerkiksi Facebook saattaa olla monille ihmisille hyvin tärkeä asia nykyään, ja he arvottavat asiat suhteessa tähän, ” Miettinen pohtii.

 

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.