Tulostusversio

4/2010

Identiteetinhallinta: Tunnista anonyymisti

Teksti: Harri Välimäki, Ilkka Lehtinen ja Joose Vettenranta

Nykyisissä verkkopalveluissa ei ole tarpeeksi kiinnitetty huomiota käyttäjän identiteetin suojaamiseen ja käyttäjätietojen salaamiseen. Käyttöoikeudet on kuitenkin mahdollista todentaa ilman käyttäjän henkilöllisyyden paljastumista.

Käyttäjän identiteetin ja käyttäjätietojen suojaamista selvitellään suunniteltaessa kansalaisen osallistumisympäristöä. Sen tavoitteena on tarjota verkossa tapoja ja kanavia, joissa kansalaiset voisivat keskustella valmisteltavista asioista. Osallistumisympäristö kuuluu valtiovarainministeriön sähköisen asioinnin ja demokratian vauhdittamisohjelmaan (SADe), ja sen toteuttamisesta päätettiin lokakuun lopussa.

Oikeusministeriö tilasi esiselvityksen kansalaisen osallistumisympäristön toteuttamisesta Tietoyhteiskunnan kehittämiskeskukselta TIEKEltä ja Suomen avoimen lähdekoodin keskukselta COSSilta.

Tuntemattomia ja kirjautuneita käyttäjiä

Osallistumisympäristö koostuu portaalista ja siihen liitettävistä palveluista. Portaali tuottaa perustoiminnot - kirjautumisen hallinnan, käyttäjien vahvan tunnistamisen, identiteetin suojauspalvelun ja rajapinnat viranomaisten tietokantoihin. Ne ovat yhteisiä kaikille liitännäispalveluille.

Portaalia voi käyttää anonyymisti tai kirjautuneena. Heikosti tunnistettu kirjautunut käyttäjä on rekisteröitymisen yhteydessä itse ilmoittanut vaaditut taustatiedot. Vahvasti tunnistetun käyttäjän henkilöllisyys on rekisteröitymisessä todennettu vahvan sähköisen tunnistamisen menetelmällä, kuten verkkopankkitunnuksilla. Vahvasti tunnistetuille käyttäjille voidaan hakea viranomaistietokannoista, esimerkiksi väestötietojärjestelmästä, tietoja, jotka hänen suostumuksellaan voidaan välittää palveluille.

Käyttäjä voi itse päättää, näkyykö hän palveluissa omalla nimellään vai nimimerkillä.

Palveluissa varmistetaan henkilöllisyys

Kuvasimme selvityksessämme kolme erityyppistä palvelua, jotka voisivat alkuvaiheessa olla toteuttamiskelpoisia.

Keskustelupalstan erona nykyisiin sovelluksiin on palstalla käytettävä vahva tunnistaminen. Näin sama henkilö ei esiinny keskustelussa useilla eri käyttäjänimillä. Lisäksi keskustelijan suostumuksella hänestä voidaan näyttää viranomaistietokannoista haettuja taustatietoja ilman henkilöllisyyden paljastumista.

Toisena palveluna ehdotimme kyselypalvelua. Vastaajien vahva tunnistaminen takaa sen, ettei vastauksia manipuloida esimerkiksi vastaamalla useita kertoja. Lisäksi päätöksen tueksi voidaan kerätä tietoja esimerkiksi vastaajien ikäjakaumasta ja sijainnista ilman, että vastaajan identiteetti paljastuu.

Kolmas toteuttamiskelpoinen palvelu on sähköinen aloitepalvelu esimerkiksi kunta-aloitteita varten. Siinä voidaan varmistaa aloitteen tekijöiden ja kannattajien oikeutus vaikkapa tarkistamalla kotikunta.

Joitakin palvelutapahtumia, esimerkiksi keskustelupalstalle kommentointia, voi myös käyttää anonyymisti ilman kirjautumista. Tällöin käyttäjältä kysytään lisätietoja ja varmistetaan esimerkiksi captcha-tunnistustoiminnon kautta, että kyseessä on ihminen. Käyttäjästä ei tallennu historiatietoja.

Identiteetti suojassa

Selvitystyön aikana jouduttiin luomaan kokonaan uuden tyyppinen identiteetin suojauspalvelu. Se on portaalin perustoiminnallisuus, joka tarjoaa mahdollisuuden käyttää palveluja vahvasti tunnistettuna ilman, että käyttäjän identiteetti paljastuu.

Identiteetin suojauspalvelun toimintaperiaate on yksinkertainen: käyttäjästä annetaan jokaiselle palvelulle satunnainen, yksilöllinen ja käyttäjää tunnistamaton tunniste. Palvelun luonteesta riippuen tunniste voi olla anonyymi (nimetön, tunnistamaton) tai pseudonyymi (salanimi, peitenimi, alias).

Anonyymin tunnisteen avulla käyttäjä voi esimerkiksi hakea tiettyä julkishallinnon tuottamaa materiaalia ilman, että materiaalin tarjoaja tietää, kuka aineiston haki. Toteutus voidaan halutessa viedä jopa niin pitkälle, että aineiston hakemiseksi täytyy olla vahvasti tunnistautunut, mutta silti aineiston saa anonyymisti.

Suojauspalvelun yksittäiselle käyttäjälle antama pseudonyymi on palvelukohtaisesti pysyvä. Esimerkiksi kyselypalvelu voi tällöin varmistua, että käyttäjä vastaa kyselyyn vain kerran.

Anonyymitunnisteesta eroten pseudonyymi on tarvittaessa muunnettavissa takaisin käyttäjän henkilötiedoksi. Pseudonyymien henkilötiedot ovat kuitenkin tallennettuina luotetun kolmannen osapuolen suojassa, joten yksittäisen henkilötiedon selvittäminen vaatii palveluntarjoajan, suojauspalvelun sekä luotetun kolmannen osapuolen välistä yhteistyötä. Tämä raskas prosessi takaa sen, että henkilöllisyyden selvittämiseen ei lähdetä kevyin perustein.

Käyttäjänhallinnassa portaali rekisterinpitäjänä

Osallistumisympäristön portaalin omistaa jokin valtionhallinnon taho, mutta palvelut ovat itsenäisiä ja voivat olla eri tahojen toteuttamia.

Edellä kuvatut palvelut ja toiminnot asettavat erittäin korkeat vaatimukset portaalin tekniselle toteutukselle. Lähtöoletuksemme on ollut, että itse palveluihin ja niiden tarjoajiin ei tarvitse luottaa, sillä kaikki henkilötietojen kannalta kriittiset toiminnallisuudet toteutetaan portaalin yleistoimintoina.

Esimerkiksi identiteetin suojauspalvelussa kertyvien käyttäjätietojen rekisterinpitäjä on siten portaalin omistaja, ei palveluntarjoaja. Jos sen sijaan palvelu itse kerää käyttäjistään tietoja, se on velvollinen pitämään niistä henkilörekisteriä.

Luotettavuus ansaitaan avoimella toteutuksella

Portaalin ja sen palveluiden yksi menestymisen edellytys on kansalaisten luottamuksen saavuttaminen. Tämä saavutetaan vain toteuttamalla portaali täysin läpinäkyvästi ja tarjoamalla riippumattomille tahoille mahdollisuutta milloin tahansa auditoida toteutus.

Käytännössä tämä tarkoittaa koko portaalin toteuttamista avoimella lähdekoodilla ja kääntäjillä. Myös kriittisimmät palvelut, kuten kyselypalvelu ja identiteetin suojauspalvelu, on perusteltua toteuttaa samoilla periaatteilla.

---

[KIRJOITTAJAT]

Harri Välimäki toimii projektipäällikkönä Tietoyhteiskunnan Kehittämiskeskus ry:ssä (TIEKE). Ilkka Lehtinen toimii Suomen avoimen lähdekoodin keskuksen (COSS) toiminnanjohtajana. Joose Vettenranta Ohjelmistotalo Kompassista toimi selvityksessä identiteetin suojauksen teknisenä asiantuntijana.

 

Selvitys kansalaisen osallistumisympäristön toteuttamisesta >>

Lue myös

Identiteetinhallinta: Enemmän kuin tekniikkalaji »
Identiteetinhallinta: Identiteetti kannattaa suojata »
Identiteetinhallinta: Mobiilivarmenne tulossa »
Identiteetinhallinta: Pankit valppaina »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.