21.09.2022

Vahvan sähköisen tunnistuksen luotettavuudesta ja turvallisuudesta huolehditaan Suomessa monin tavoin

Sähköisen tunnistuksen luotettavuus ja turvallisuus ovat herättäneet paljon keskustelua S-Pankin kerrottua julkisuuteen häiriöstä, joka mahdollisti vahvan sähköisen tunnistuksen väärinkäytön huhtikuusta 2022 elokuun 2022 alkuun. Julkisuudessa on tämän johdosta esiintynyt huolta vahvan sähköisen tunnistuksen luottamuksen ja turvallisuuden tasosta. Yksikään tietojärjestelmä ei ole 100 % turvallinen, mutta vahva sähköinen tunnistaminen ja rekisteröidyt tunnistuspalvelut ovat kuitenkin tarkasti säänneltyjä ja valvottuja.

Suomessa vahvan sähköisen tunnistuksen palveluita ja palveluntarjoajia valvoo Liikenne- ja viestintävirasto Traficom ja kaikki vahvaa sähköistä tunnistamista tarjoavat palveluntarjoajat, kuten S-pankki, on rekisteröity viraston ylläpitämään tunnistuspalvelurekisteriin. Maksupalveluita puolestaan valvoo Finanssivalvonta ja tietosuojaa Tietosuojavaltuutettu. Viranomaiset toimivat tarvittaessa yhteistyössä siltä osin, kun häiriötilanteet koskevat useamman viranomaisen toimivaltaa.

Rekisteröidyillä tunnistuspalvelun tarjoajilla on lain mukaan velvollisuus ilmoittaa häiriöistä Traficomille. Häiriöt selvitetään tapauksesta riippuen viraston ja toimijan yhteistyönä. Traficomilla on tarvittaessa toimivalta antaa huomautus tai velvoittaa toimijaa korjaamaan virhe tai laiminlyönti.

Traficom on vastaanottanut S-pankilta ilmoituksen häiriöstä ja selvittää tapahtumien kulun S-pankin kanssa yhteistyössä. S-pankki on oma-aloitteisesti korjannut havaitun virheen.

Tunnistusjärjestelmiä
arvioidaan säännöllisesti

Rekisteröityjen tunnistuspalvelujen tarjoajilta edellytetään, että ne arvioivat palvelunsa turvallisuuden säännöllisesti, vähintään kerran kahdessa vuodessa. Traficom tarkastaa tehdyt arvioinnit ja varmistaa näin, että järjestelmä vastaa lain ja määräyksen vaatimuksiin, eli että se on turvallinen eivätkä esimerkiksi asiakkaan henkilötiedot vaarannu. Arviointi myös auttaa tunnistuspalveluiden tarjoajia jatkuvasti parantamaan järjestelmiensä turvallisuutta. Hyväksytyllä arvioinnilla toimija pysyy viraston ylläpitämässä Tunnistuspalvelurekisterissä.

Suomalaiset vahvan sähköisen tunnistuksen järjestelmät
ovat turvallisuudeltaan kansainvälisestikin kärkiluokkaa

Suomalaiset vahvan sähköisen tunnistuksen järjestelmät ovat turvallisuudeltaan kansainvälisestikin vertailtuna korkeatasoisia. Lisäksi niitä koskevat vaatimukset ovat kansainvälisestikin tarkasteltuna tiukimmasta päästä, ja ne kattavat nykyaikaisetkin teknologiaratkaisut, kuten esimerkiksi mobiilitunnistussovellukset. Traficomin julkaisemassa arviointiohjeessa on kuvattu hyvin tarkasti sähköisiltä tunnistuspalveluilta edellytettävät turvallisuusvaatimukset.

Ohjelmistoista ja käytänteistä löytyy kuitenkin ajoittain virheitä. Virheet voivat olla harmittomia tai johtaa tilanteeseen, jossa järjestelmän väärinkäyttö mahdollistuu. Arviointien ja jatkuvan valvonnan ansiosta monia väärinkäytön mahdollistavia virheitä on korjattu ja korjataan jatkossakin.

Yhteistyöllä rakennetaan luottamusta
sähköiseen asiointiin

Suomessa toimii myös tunnistuspalveluiden tarjoajien yhteistyö. Vaikka toimijat kilpailevatkin keskenään, esimerkiksi mahdollisista häiriöistä jaetaan tietoa aktiivisesti ja ajantasaisesti toimijoiden kesken. Viraston kutsumana toimijat osallistuvat toimialan turvallisuuden kehittämiseen niin ohjeistuksen, standardoinnin kuin sääntelynkin osalta.

Käsittele omia
tunnistusvälineitäsi huolellisesti

Sekä tunnistuspalvelujen tarjoajat että Traficom tekevät jatkuvaa työtä sähköisen tunnistamisen luotettavuuden eteen. On kuitenkin tärkeää, että käsittelet omia vahvan sähköisen tunnistuksen välineitäsi, kuten verkkopankkitunnuksia ja mobiilivarmenteita, aina huolellisesti:

• Älä koskaan luovuta tunnuksiasi kenellekään toiselle: älä edes perheenjäsenillesi. Myöskään viranomaiset eivät kysy pankkitunnuksiasi.
• Älä klikkaa tuntemattomia linkkejä vaan käytä verkkopankkia aina itse selaimeen kirjoittamasi osoitteen kautta tai matkapuhelimella virallisesta sovelluskaupasta ladatulla applikaatiolla.
• Pidä matkapuhelimesi lukittuna, kun et käytä sitä.
• Varmista, että laitteessasi on viimeisimmät päivitykset asennettuina.

Traficom