Tulostusversio

4/2010

Identiteetinhallinta: Mobiilivarmenne tulossa

Teksti: Marjo Rautvuori

Vuosia suunniteltu mobiilivarmenne eli matkapuhelimen SIM-korttiin liitetty henkilötodistus on nyt toteutumassa. Kuluttajien käyttöön se tulee vuoden 2011 alussa.

Ensi vuonna verkkopalvelun käyttäjä voi todistaa henkilöllisyytensä tai tehdä sähköisen allekirjoituksen näin: käyttäjä antaa palvelulle oman kännykkänumeronsa. Palvelu lähettää numeroon viestin kirjautumisyrityksestä, ja käyttäjää pyydetään näppäilemään salainen, 4-8-numeroinen tunnuslukunsa. Puhelin lähettää tiedon tunnistamisesta verkkosivuille, ja palvelu aukeaa.

Matkapuhelimen SIM-korttiin liitettävää mobiilivarmennetta on puuhattu Suomeen koko 2000-luku. Nyt sen toteutuminen on lähempänä kuin koskaan. Mobiili tunnistautumismenetelmä otettiin käyttöön maaliskuussa, ja kaupallinen lanseeraus tapahtui marraskuussa. Kuluttajien käyttöön se tulee operaattorista riippuen 2011 alussa. Pari seuraavaa vuotta ovat sitten varsinainen näytön paikka.

Luottamuspiiri takaa varmentamisen tason

Mobiilivarmenteen toteutuksen vauhdittamisen pohjaksi tarvittiin päivitetty lainsäädäntö. Sen jälkeen kolme teleoperaattoria, DNA, Elisa ja Sonera, lähtivät rakentamaan yhteistä infrastruktuuria.

Operaattoreiden, teknologiatoimittajien ja viranomaisten kesken tarvittiin poikkeuksellisen paljon yhteistyötä, jotta eurooppalaiset standardit saatiin sovitettua Suomen oloihin. Esimerkiksi hankkeessa kuultiin kaikkiaan kahdeksaa viranomaista.

Operaattorit päätyivät niin sanotun luottamuspiirin muodostamiseen. Mallissa riittää, että palveluntarjoaja tekee sopimuksen yhden operaattorin kanssa. Sen jälkeen palveluun pääsee kaikilla luottamuspiirin operaattoreiden myöntämillä mobiilivarmenteilla.

"Luottamuspiiri edellyttää, että kaikkien operaattorien tekniset palvelut ovat samantasoisia ja tietoturva-asiat on hoidettu laadukkaasti. Luottamuspiiri asettaa laajoja, korkeisiin standardeihin perustuvia velvoitteita, joita jokaisen on noudatettava", toteaa operaattorien edunvalvojan FiCom ry:n toimitusjohtaja Reijo Svento.

Elisan kehityspäällikkö Mika Repo muistuttaa toisaalta, että luottamuspiiriin otetaan mukaan myös uusia toimijoita, kunhan ne täyttävät yhteiset tiukat kriteerit.

Tunnuslukua ei lähetetä tekstiviestillä

Kuluttajalta mobiilivarmenteen käyttö edellyttää sopimusta operaattorin kanssa, uuden SIM-kortin hankkimista ja salaisen tunnusluvun luomista. Mobiilivarmenteen voi 2011 hankkia operaattorien myymälöissä tai netissä verkkopankkitunnuksilla. Alaikäinen saa mobiilivarmenteen huoltajan luvalla.

Mobiilitunnistautuminen täyttää vahvalle sähköiselle tunnistamiselle laissa asetetut vaatimukset. Tunnistautuminen tapahtuu salattuna ja erillään itse asiointitapahtumasta.

”Vaikka palvelun käyttäjän näkökulmasta tuntuisi, että hän lähettää tunnuslukunsa tekstiviestillä, näin ei oikeasti ole. Kaikki tieto ja salausavain ovat SIM-kortilla, ja tunnuslukua ei lähetetä eteenpäin kortilta. Tunnusluvun avulla käyttäjä hyväksyy tunnistus- tai allekirjoitustapahtuman ja samalla teknisesti allekirjoittaa tapahtuman SIM-kortilla sijaitsevalla salausavaimella. Tämän jälkeen käyttäjän hyväksymä tunnistus- tai allekirjoitustapahtuma välitetään hyväksyttynä eteenpäin palveluun”, Mika Repo selvittää.

Älypuhelinten tietoturvaongelmat ovat viime aikoina lisääntyneet. Soneran mobiilipalveluiden viestinnästä vastaavan johtajan Timo Saxenin mukaan tämä ei sinänsä ole näkynyt mobiilivarmennehankkeessa. Hän muistuttaa kuitenkin, että jokaisessa älypuhelimessa olisi joka tapauksessa hyvä olla virustorjunta, palomuuri ja vakoiluohjelmien esto.

Nyt kokeillaan palveluja

Viron ja Turkin kaltaisten esimerkkien perusteella asiantuntijat uskovat mobiilivarmenteen löytävän paikkansa vaihtoehtoisena vahvan tunnistamisen välineenä − kunhan palveluja on tarjolla riittävästi. Mobiilivarmenteen kohtalonkysymys onkin, ottavatko palveluntarjoajat sen käyttöön verkkopankkitunnusten rinnalle.

Tällä hetkellä operaattorit kokeilevat varmennetta viranomaisten ja palveluntarjoajien kanssa eri käyttökohteissa. Kokeiluissa on mukana myös täysin uudella tavalla sähköistä tunnistamista ja allekirjoitusta hyödyntäviä palveluja. Osallistujia olisi Reijo Sventon mukaan ollut enemmän kuin voitiin ottaa. Eräs kokeiluun osallistuva palvelu on sähköisiä sopimuksia välittävä Onnistuu.fi. Siinä testataan mobiilivarmenteen käyttöä sopimusten allekirjoittamisessa.

Kun mobiilivarmenne tulee kuluttajakäyttöön ensi vuonna, sitä hyödynnetään vahvaan sähköiseen tunnistautumiseen ja allekirjoittamiseen. Operaattoreilla on kuitenkin jo roppakaupalla ideoita uusiksi käyttökohteiksi:

”Uusi mahdollisuus olisi henkilöiden välinen tunnistautuminen mobiilivarmenteella. Käyttökohteita voisivat olla nettiyhteisöt ja -huutokaupat, joissa se lisäisi palvelun luotettavuutta”, DNA:n business director Cedric Kamtsan kertoi mobiilivarmenteen lanseeraustilaisuudessa.

Mobiilivarmennetta voisi myös käyttää anonyymiin tunnistautumiseen, jossa varmistettaisiin esimerkiksi käyttäjän ikä. Tälle olisi käyttöä sosiaalisen median ikään perustuvissa yhteisöissä. Mahdollinen käyttökohde olisi myös henkilöön liittyvien lisätietojen, kuten osoite- ja maksuhäiriötietojen, välittäminen rekistereistä palveluntarjoajalle.

Käyttökynnys mahdollisimman alas

Mobiilivarmenteen kehittämisessä on pyritty välttämään sähköisen henkilökortin kanssa tehdyt virheet. Käytön kynnys yritetään laskea mahdollisimman alas, ja kuluttajan maksettavaksi tuleva hinta pyritään pitämään maltillisena.

Soneran Timo Saxenin mukaan operaattorit tuskin tulevat kilpailemaan rajusti kuluttaja-asiakkaista, koska kaikki isot operaattorit tulevat tarjoamaan mobiilivarmennetta.

”Palveluntarjoajien suuntaan kilpailu on varmasti aktiivisempaa: Operaattoreilla voi olla tuotekohtaisia eroja esimerkiksi hinnoittelussa, tuotteen yksityiskohdissa tai sisäisissä toimintatavoissa”, Saxen toteaa.

Viestintävirasto valvoo

Laki vaatii vahvaa sähköistä tunnistamista tarjoavia palveluntarjoajia ilmoittautumaan Viestintävirastolle. Ilmoituksen ovat jättäneet laatuvarmenteita tarjoava Väestörekisterikeskus, 82 pankkia ja kolme teleoperaattoria.

”Muita toimijoita ei ole ilmoittautunut. Joitakin kyselyjä on kyllä tullut”, kertoo tietoturva-asiantuntija Pasi Hänninen Viestintävirastosta.

Lue myös

Identiteetinhallinta: Pankit valppaina »
Identiteetinhallinta: Enemmän kuin tekniikkalaji »
Identiteetinhallinta: Identiteetti kannattaa suojata »
Identiteetinhallinta: Tunnista anonyymisti »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.