Tulostusversio

2/2011

Tunnistaminen: Tietokone kortissa

Teksti: Marjo Rautvuori

Toimikortin suosio kasvaa työpaikoilla, kun käyttäjän tunnistamiseen kiinnitetään enemmän huomiota.

Moni toimistotyöläinen kirjautuu aamuisin työasemalleen naputtelemalla siihen käyttäjätunnuksensa ja salasanansa. Erilaisiin tietojärjestelmiin tunnistautuminenkin saattaa vaatia käyttäjätunnus-salasanaparin syöttämistä.

Useilla työpaikoilla etenkin julkishallinnossa käyttäjätunnus ja salasana on kuitenkin korvattu toimikortilla.

Toimikortti, jota kutsutaan myös organisaatio- tai virkakortiksi, on luottokortin kokoinen tietokone. Työasemaan kirjautumisen lisäksi käyttäjä voi toimikortilla tunnistautua sähköisiin järjestelmiin ja palveluihin, tehdä sähköisiä allekirjoituksia ja salata sähköpostiviestit. Korttiin voi myös lisätä muitakin ominaisuuksia, kuten radiotaajuiseen etätunnistukseen (RFID) perustuvan kulunvalvonnan.

Toimikortissa on kaksi varmennetta. Varmenteen ja avaimen avulla osoitetaan henkilön asema tai asiakkuus organisaation tai sen sidosryhmän edustajana. Varmenne mahdollistaa myös laissa määritellyn kiistämättömän sähköisen allekirjoituksen tekemisen sekä tietoverkon käyttäjien ja heidän käyttövaltuuksiensa todentamisen. Varmenteeseen voidaan lisäksi sisällyttää organisaation käytössä oleva sähköpostiosoite.

Molemmille varmenteille on oma tunnuslukunsa; yksi verkkopalveluun kirjautumista varten ja toinen sähköisen allekirjoituksen tekemiseen.

Yhdellä tunnusluvulla voi siten tunnistautua kaikkiin työpaikan järjestelmiin, ja kertakirjautumista pidetäänkin yhtenä toimikortin käytön eduista. Kortti mahdollistaa myös etäyhteydet.

Toimikortin käyttöön tarvitaan myös ulkoinen kortinlukija ja kortinlukuohjelmisto.

Käyttäjä tunnistetaan luotettavammin

Kun organisaatio päättää hankkia toimikortteja ja niihin varmenteet, ne hankitaan yleensä koko henkilöstölle vähintään päätteelle kirjautumista varten. Erikseen voidaan määritellä kunkin henkilön oikeudet edetä järjestelmän sisällä.

Toimikortit yhdistävät vahvaan tunnistukseen henkilökortin. Tämä jää puuttumaan vaihtoehtoisista vahvan tunnistuksen menetelmistä, kuten USB-salasanatikun kaltaisista ratkaisuista. Ominaisuus ohjaa myös käyttäjiä käsittelemään korttia huolellisemmin, kun henkilökorttiominaisuutta tarvitsee tietoteknisten laitteiden ulkopuolellakin.

"Selkein syy toimikorttien hankinnalle on järjestelmien tietoturvan nostaminen. Toimikorttien käyttäjä- ja elinkaarihallinnasta vastaa organisaatio itse. Esimerkiksi korttinsa kotiin unohtaneelle voidaan antaa päiväksi tilapäinen kortti, jolle luodaan henkilön oikeilla tiedoilla tilapäisvarmenne. Yleensä rekisteröintipiste on henkilöstöhallinto- tai it-osastolla", kertoo Väestörekisterikeskuksen varmennepalveluiden johtaja Pekka Jelekäinen.

Ihminen suurin tietoturvaongelma

Kortin varmenteessa standardimuodossa kerrottu tieto on turvarakenteiden ansiosta varsin hyvin suojattu.

Toimikorttien tietoturva on hyvällä tolalla, sanoo tietoturva-asiantuntija Jari Seppälä Tampereen teknillisestä yliopistosta. 

”Suomalaiset osaavat tekniikan ja toteuttavat hyviä standardeja tarkemmin kuin useat muut toimijat.”

Toimikorteissakin suurin tietoturvaongelma on käyttäjä.

”Toimikortin käytettävyys saattaa kärsiä, kun pitää muistaa jälleen kaksi PIN-koodia lisää. Yksi tietoturvariski saattaa olla myös ulkoinen kortinlukija, joka esimerkiksi kahvilassa laitetta käytettäessä on helppo vaihtaa ulkoisesti samannäköiseen, mutta murrettuun lukijaan”, Seppälä sanoo.

Kustannussyistä olisi Seppälän mielestä organisaatioissa järkevää miettiä tarkkaan, missä kaikkialla tarvitaan vahvaa tunnistautumista ja rajata toimikorttien käyttö näihin erikoistapauksiin.

”Perinteistä käyttäjätunnus-salasanamenetelmääkin voidaan laajentaa lisävarmennuksilla, ja usein se on riittävä sellaisenaan. Yhä enemmän hyökkäykset ovat räätälöityjä ja pyrkivät ohittamaan tunnistautumisjärjestelmät. Tähän koulutus on kustannustehokkaampi ratkaisu kuin uusien teknisten mekanismien käyttöönotto.”

Vaatii muutoksia tietojärjestelmiin

Suurimmat ongelmat toimikortin käyttöönotolle liittyvät Seppälän mielestä siihen, että kortin käyttö edellyttää muutoksia organisaatioiden omissa tietojärjestelmissä ja prosesseissa.

”Vaatii poliittista päätöstä ja paljon työtä, jotta kaikki tarpeelliset järjestelmät saadaan tukemaan kortin käyttöä.”

Seppälä työskentelee Tampereen teknillisen yliopiston systeemitekniikan laitoksella. Hän kertoo, että yliopistolla kokeiltiin toimikortin käyttöä opiskelijoilla vuosituhannen vaihteessa.

”Silloin teknologia ei ollut vielä kypsää. Seuraan mielenkiinnolla, miten toimikorttien käytettävyys edistyy ja miten ensimmäiset kortteja käyttävien organisaatioiden isot käyttöjärjestelmien versiopäivitykset onnistuvat.”

Toimikorttien käytön kannalta oma ongelmakenttänsä ovat monikäyttöjärjestelmäympäristöt ja mobiililaitteet, kuten kosketusnäytölliset tietokoneet (tabletit).

”Markkinoilla ei ole esimerkiksi yhtään tablettia, jossa olisi integroitu kortinlukija. Näiden laitteiden käyttö tulee kuitenkin lisääntymään, halusi organisaatio sitä tai ei. Mobiilivarmenne saattaa olla toimivampi vaihtoehto useaan tablettiin integroidun 3G-modeemin ansiosta”, Seppälä huomauttaa.

Varmennepalveluiden tuottajalla kova vastuu

Laatuvarmennetut toimikortit Suomessa toimittaa Väestörekisterikeskus. Se myöntää julkisen avaimen menetelmään (PKI) perustuvia varmenteita. Varmenne ja yksityinen avain ovat toimikortin sirulla.

Toimikorttien tarjoaminen vaatii varmennepalveluiden johtaja Pekka Jelekäisen mukaan erikoisosaamista alueella, jolla osaajasektori on kapea.

”Toiminta on määrämuotoista. Sitä ohjaavat tarkasti lainsäädäntö ja standardit.”

Viestintävirasto valvoo varmennepalvelujen tarjoajia.

”Vaatimukset ovat kovat, ja toiminnan on oltava myös teknisesti ja palvelullisesti korkealaatuista ja taloudellisesti vakaalla pohjalla.”

”Aloittamiskustannuskynnys on merkittävä, ja kiinteät kustannukset ovat lähes samat, toimitammepa yhden tai satatuhatta varmennetta”, Jelekäinen sanoo.

Lue myös

Tunnistaminen: Laki avasi tietä uusille palveluille »
Tunnistaminen: Toimikorteissa hallinto edellä »
Tunnistaminen: Viestintävirasto valvoo »
Pakkokeinolaki: Pakkokeino loukkaa aina yksityisyyttä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.