Tulostusversio

1/2012

Tunnistaminen: Uusi uhka - biometriset tunnisteet verkossa

Teksti: Päivi Männikkö

Ihmisen yksilöllisten ominaisuuksien, kuten sormenjäljen, silmän iiriksen tai äänen, käyttö tunnistamisessa yleistyy. Mitkä ovat riskit, jos näitä tietoja siirretään verkossa?

Saksalainen hakkeriryhmä Chaos Computer Club julkisti maaliskuussa 2008 Saksan silloisen sisäministerin Wolfgang Schäublen sormenjäljen. Oikean etusormen jälki oli kopioitu vesilasista, jota Schäuble oli käyttänyt eräässä puhetilaisuudessa. Ryhmä halusi tempauksella osoittaa, että ihmisen fyysisiin ominaisuuksiin perustuvien tunnisteiden kerääminen ja tallentaminen on riskialtista, koska niitä ei voi vaihtaa mutta ne ovat helposti kopioitavissa.

Ministeri Schäuble vähätteli varkautta lausumalla Der Spiegel -lehdelle, että "sormenjälkeni ei ole mikään salaisuus. Kuka tahansa voi saada sen, eikä minulla ole mitään pelättävää."

Moni on kuitenkin huolissaan. Viime vuonna 80 kansalaisjärjestöä jätti Euroopan neuvostolle vetoomuksen, jossa sitä pyydettiin tekemään Euroopan ihmisoikeussopimuksen mukainen selvitys biometristen tietojen keräämisestä ja tallentamisesta.

Pomminvarmaa menetelmää ei ole

Keskusrikospoliisin ylitarkastaja Sari Kajantie puhui tietosuojavaltuutetun toimiston tietomurtoseminaarissa tammikuussa. Hän arvosteli biometriikan markkinointia ehdottoman turvallisena tunnistamistapana.

"Aina kun jotakin myydään absoluuttisen turvallisena, siinä on todennäköisesti jokin pommi."

Biometrisen tunnistamisen kohdalla taitetaan usein peistä siitä, onko turvallisempaa tallentaa tunnisteet keskitettyyn tietokantaan vai pelkästään tunnistusvälineeseen, kuten passiin tai toimikorttiin.

Kajantien mukaan kumpaankin tallennustapaan liittyy omat riskinsä.

"Sen sijaan biometristen tunnisteiden siirtäminen verkossa on aito, uusi uhka."

Datavirta altis väärinkäytöksille

Biometrisiä tunnisteita käytetään paljon kulunvalvonnassa, mutta niiden arvellaan yleistyvän myös tilanteissa, joissa tunnistettava ja tunnistaja eivät ole tekemisissä kasvotusten.

Kenties tulevaisuudessa verkkokauppa tunnistaa asiakkaan kämmenkuvan tai äänen perusteella, ja tiedot siirtyvät verkon yli kaupan palvelimelle. Entä jos varas murtautuu palvelimelle tai nappaa asiakkaan tiedot tämän kirjautuessa?

Jos kirjautumiseen käytetään biometristä tunnistetta eikä henkilö ole tunnistamistilanteessa varsinaisesti läsnä, tunnistus tehdään datavirran perusteella.

"Esimerkiksi etäkäyttäjät biometrisesti tunnistava työnantaja ei voi tietää, onko salassa pidettävän tiedon käsittelijä todella työntekijä vai rosmo, joka on hankkinut haltuunsa työntekijän sormenjälkidatan. Työntekijän sormia ei myöskään voi vaihtaa, toisin kuin kaapatun salasanan", Kajantie sanoo.

Uusia pykäliä odotellaan

Lainsäätäjätkin ovat havahtuneet biometrisen tunnistamisen riskeihin.

Suomessa siitä ei ole erillistä lakia, mutta henkilötietolaki koskee yleislakina myös biometrisiä tunnisteita, eikä niiden käyttöä ole suljettu pois myöskään vahvaa sähköistä tunnistamista ja sähköisiä allekirjoituksia koskevasta laista.

Biometristen tunnisteiden käytölle halutaan silti selkeämmät pelisäännöt. Valtioneuvoston sähköistä tunnistamista koskevan periaatepäätöksen mukaan muuten riskinä on, että markkinoille tulee sellaisia tunnistuspalveluja, joissa yksityisyydensuojaa ja tietoturvavaatimuksia ei ole huomioitu riittävästi.

Lue myös

Tunnistaminen: Hyvät salasanat on pakko säilöä »
Tunnistaminen: Salasanoista ei päästä eroon vielä vuosiin »
Tunnistaminen: Voiko varmentajaan luottaa? »
Tunnistaminen: Nimellä, nimimerkillä vai molemmilla? »
Tunnistaminen: 1 käyttäjätunnus, 122 verkkopalvelua »
Tunnistaminen: Kalmarin unioni 2.0 »
Tunnistautumalla viesti nopeammin julki »
Tunnistaminen: Mobiilivarmenteelle lisää käyttöä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.