Luottamusverkosto, TUPAS ja tunnistamisen muutokset

Mikä on kansallinen luottamusverkosto?


Kansallinen luottamusverkosto aloitti toimintansa 1.5.2017. Sen juuret löytyvät EU:n eIDAS-asetuksen lisäksi myös kansallisesta sääntelystä, joka on viety niin sanottuun tunnistuslakiin. Luottamusverkoston toimijoiden välillä välitetään kansalaisten sähköisiä tunnistustietoja. Nämä tunnistustiedot pohjautuvat Väestörekisterikeskuksen ylläpitämään väestötietojärjestelmään.

Luottamusverkosto muodostuu vahvan sähköisen tunnistamisen palveluntarjoajista, joita ovat tunnistusvälineiden tarjoajat ja uusina toimijoina tunnistusvälityksen palveluntarjoajat.


Tunnistusvälityksen palvelujentarjoajat eivät välttämättä tarjoa omia tunnistusvälineitä, vaan ne välittävät tunnistustapahtumia eri toimijoiden (tunnistusvälineen tarjoajat ja asiointipalvelut) välillä. Asiointipalvelu on verkkopalvelu, jonne asiakas tahtoo tunnistautua, kuten vaikkapa Kela tai Veikkaus.

Liikenne- ja viestintävirasto ylläpitää rekisteriä hyväksytyistä palveluntarjoajista, joita ovat pankit, mobiilioperaattorit ja Väestörekisterikeskus. Nämä toimijat ovat olleet Suomen tunnistamisen markkinoilla jo jonkin aikaa. On myös uusia hyväksyttyjä toimijoita, ja vireillä on myös uusia hakemuksia tunnistusvälityksen palveluntarjoajiksi. Uusia tunnistusvälineiden tarjoajia ei ole ilmaantunut.

Yllä olevat kuvat ppt-muodossa

MITEN VAHVAA SÄHKÖISTÄ TUNNISTAMISTA SÄÄDELLÄÄN?

Sääntely Euroopassa

EU:n eIDAS-asetus tuli voimaan 1.7.2016. Sen keskeisimpiä tavoitteita on:
• Tarjota sähköisiä välineitä, joilla on mahdollista tunnistautua julkishallinnon palveluissa koko EU:ssa viimeistään syksyllä 2018.
• Antaa palveluntarjoajalle mahdollisuus osoittaa selkeästi, että sen verkkopalveluita varten tarjoama tunnistamisen tuote, kuten muun muassa allekirjoitusvarmenne ja sähköinen aikaleima, on luotettava. Suomessa puhutaan tässä yhteydessä luottamusverkostosta.

Komissio antoi lisäksi eIDAS-asetuksen nojalla tarkempia täytäntöönpanosäädöksiä tunnistusvälineille asetettavista varmuusvaatimuksista ja teknisestä yhteentoimivuudesta.

Sääntely kotimaassa

Vuonna 2009 säädettiin tunnistuslaissa muun muassa asiakkaan henkilökohtaisesta ensitunnistamisesta ja vahvalle sähköiselle tunnistusvälineelle asetettavista vaatimuksista.

Heinäkuussa 2016 lakia muutettiin samaan aikaan kun eIDAS-asetus tuli voimaan. Sähköiset allekirjoitukset muuttuivat sähköisiksi luottamuspalveluiksi EU:n eIDAS-asetuksen kumottua sähköisiä allekirjoituksia koskevan direktiivin kahta vuotta aikaisemmin. Samalla säädettiin myös luottamusverkostosta. Lain mukaan Liikenne- ja viestintävirasto antaa tarkempia teknisiä ynnä muita määräyksiä, jotka on koottu marraskuussa 2016 annettuun määräykseen M72. Liikenne- ja viestintävirasto on päivittänyt (mm. Tupas-siirtymäaika) määräystä toukokuussa 2018.

Miksi on lähdetty rakentamaan kansallista luottamusverkostoa?

Sääntelyn tavoitteena on ollut lisätä kilpailua sähköisen tunnistamisen markkinoilla ja edistää siihen liittyvien palvelujen saatavuutta sekä laissa säädetyn tunnistuspalvelun tarjoajien luottamusverkoston kehittymistä. Luottamusverkostoa koskevat säännökset sekä kansallinen hintasääntely eivät perustu Euroopan unionin sääntelyyn, eikä muissa unionin jäsenvaltioissa ole vastaavaa kansallista lisäsääntelyä.

Mikä muuttuu luottamusverkoston myötä?

Siirtyvätkö kaikki tunnistuspalvelun tarjoajat luottamusverkostoon?

Kaikki tunnistamisen palveluntarjoajat tekevät asiasta itsenäisiä, liiketoiminnallisia päätöksiä. Mikäli haluaa tarjota vahvan tunnistamisen palveluita, on liityttävä osaksi luottamusverkostoa. Jos asiointipalvelu haluaa käyttää tai on velvoitettu käyttämään vahvaa tunnistamista (esim. julkishallinto), on sen ostettava tunnistamispalvelut luottamusverkostosta.

Entä tunnistuspalveluja hyödyntävät yritykset ja yhteisöt?

Julkinen sektori sekä muut asiointipalveluiden tarjoajat joilla on tunnistuslain mukainen velvoite käyttää vahvaa sähköistä tunnistamista (esim. pikavippiyritykset), velvoitetaan ostamaan tunnistuspalvelut luottamusverkostosta. Lähtökohtaisesti muut saavat myös tulevaisuudessa itse päättää, minkälaisia sähköisiä tunnistusmenetelmiä käyttävät: heikkoa, vahvaa tai jotain muuta.

Miten muutokset vaikuttavat kuluttajiin?

Kuluttajan käytössä olevat tunnistamisen välineet, kuten käyttäjätunnukset, salasanat, tunnuslukukortit, tunnuslukusovellukset, tunnuslukulaskimet ja vastaavat eivät liity tähän rajapintamuutokseen millään lailla. Tunnistamisen välineet seuraavat omaa itsenäistä teknistä kehityspolkuaan.

Tietyissä vanhoissa päätelaitteissa (älypuhelimet, tietokoneet jne.) olevissa selaimissa käytetään TLS 1.0-protokollaa. Uusissa rajapinnoissa sitä ei enää tueta, sillä protokolla ei ole tietoturvallinen. Sen tuki loppui alkuvuonna 2019. Käytännössä näillä selaimilla ei enää pysty tunnistautumaan asiointipalveluissa. Muutos koskee Windows XP -tietokoneita ja mobiililaitteita, joissa on käyttöjärjestelmänä Android 4, iOS 4 tai vanhempi. Näiden laitteiden käyttö on Suomessa vähäistä.

Muutoksella on vaikutuksia pankkien ja sähköisten asiointipalveluiden palveluntarjoajien järjestelmärajapintaan, eli muutos koskee yrityksiä ja yhteisöjä. Tunnistusvälityksen (uusi toimija) myötä verkkosivunäkymät ja käyttökokemus voivat tietysti muuttua. Käyttäjä saattaa siis tunnistautumisen yhteydessä päätyä esimerkiksi uuden toimijan sivustolle.
 

MUITA KYSYMYKSIÄ JA VASTAUKSIA

Muuttuuko verkkopankkiin kirjautuminen?

Kuluttajien asiointiin omassa pankissa muutos ei vaikuta. Pankkien verkkopankkipalvelut ovat tunnistautumista koskevan sääntelyn ulkopuolella, sillä tunnistuslakia ei sovelleta tunnistusvälineen tarjoajan omiin palveluihin. Tällä muutoksella ei ole myöskään vaikutuksia tunnistusvälineisiin, kuten pankkien avainlukulistoihin. Avainlukulistoista on kuitenkin vähitellen aika ajamassa ohi ja perinteisten tunnistusvälineiden rinnalle on tulossa uusia sähköisiä ratkaisuja, kuten mobiilisovelluksia ja tunnuslukulaitteita.

Muuttuuko tunnistuspalvelujen hinnoittelu?

Tunnistuspalvelujen tarjoajat hinnoittelevat omat palvelunsa itsenäisesti. Laissa on kuitenkin säädetty luottamusverkostossa ketjutetusta ensitunnistamisesta ja välitettävästä tunnistustapahtumasta luottamusverkoston toimijoiden välillä perittävä enimmäiskorvaus tai siirtohinta. Toimijat ovat tässä tapauksessa siis tunnistusvälineen tarjoajat ja tunnistusvälityksen palveluntarjoajat.

Miten vahvan sähköisen tunnistamisen toiminta muuttuu?

Tunnistusmarkkinalle ilmestyy uutena toimijaroolina tunnistusvälityksen palveluntarjoaja (tunnistuslaissa määritelty rooli). Nämä toimijat välittävät muiden tunnistustietoa, mutta eivät välttämättä tarjoa omia tunnistusvälineitä. Tällä hetkellä myös pankit toimivat tässä roolissa, mutta aika näyttää minkä roolin kukin luottamusverkostossa toimiva palveluntarjoaja ottaa: tunnistusvälineen tarjoaja, tunnistusvälityksen palveluntarjoaja vai molemmat.

Mitä uusia teknisiä vaatimuksia Liikenne- ja viestintäviraston määräys M72 tuo?

Määräys sisältää varsin suuria muutoksia tunnistustietojen tietosuojaan ja tulevaisuudessa myös tietokenttiin. Siirtymäaikaa päivityksille on syyskuun 2019 loppuun asti, johon mennessä päivitykset olisi tehtävä. Vaatimukset vaikuttavat myös kansalliseen Tupas-varmennepalveluun (protokollaan). Finanssiala ry (FA) päätti jo marraskuussa 2016, että Tupas-varmennepalvelun kuvauksia ei päivitetä vastaamaan määräyksen M72 tuomia uusia vaatimuksia.

Mitä vaikutuksia on FA:n päätöksellä olla päivittämättä Tupas-palvelun kuvauksia?

Pankkien Tupas-varmennepalvelun avulla sähköisiä asiointipalveluita kuluttajille tarjoava yritys tai yhteisö voi tunnistaa asiakkaansa vahvalla sähköisellä tunnistuksella. FA:n ja pankkien yhteistyössä ylläpitämät Tupas-kuvaukset kuvaavat ja määrittelevät käytettävää rajapintaa (protokollaa) pankkien ja sähköisiä asiointipalveluita tarjoavien yritysten tai yhteisöjen välillä. Siirtymäajan jälkeen Tupas-palvelu ei tule täyttämään Liikenne- ja viestintäviraston määräyksen M72 uusia vaatimuksia, eli Tupas-palvelu ei ole enää määräyksen mukaista vahvaa sähköistä tunnistamista.

Tämä tarkoittaa käytännössä sitä, että pankit ja asiointipalveluiden tarjoajat, eli yritykset ja yhteisöt, jotka jatkossakin tarjoavat Liikenne- ja viestintäviraston määräyksen M72 mukaista vahvaa sähköistä tunnistuspalvelua, joutuvat tekemään teknisiä rajapintamuutoksia omiin tunnistamisen palveluihinsa ja järjestelmiinsä.

Mitkä tunnistamisessa käytettävät rajapintamuutokset voivat konkreettisesti olla?

Liikenne- ja viestintävirasto, yhdessä luottamusverkoston yhteistoimintaryhmän kanssa, tulee jatkossa kehittämään ja ylläpitämään tunnistamisen rajapintakuvauksia, jotka perustuvat kansainvälisiin standardeihin ja protokolliin sekä täyttävät eIDAS-asetuksen ja Liikenne- ja viestintäviraston määräyksen M72 asettamia vaatimuksia.
Liikenne- ja viestintäviraston työryhmissä on työstetty luottamusverkoston tarpeita ja vaatimuksia vastaavia rajapintakuvauksia (suosituksia). Nämä julkaistiin tammikuussa 2018. Kuvaukset perustuvat kansainvälisesti käytettyihin SAML- sekä OpenID Connect -kuvauksiin. Pankit ohjeistavat ja ilmoittavat omille asiakkailleen, lähinnä siis sähköisten asiointipalveluiden palveluntarjoajille, tunnistuspalveluja koskevat suunnitelmansa. Näyttää siltä, että suurin osa tunnistuspalveluiden tarjoajista ovat päätyneet hyödyntämään OpenID Connect -rajapintakuvauksia. Pankkikohtaiset kuvaukset löytyvät joko pankkien verkkosivuilta tai ne saa pyydettäessä pankilta.

Mitä tapahtuu Tupas-varmennepalvelulle siirtymäajan jälkeen?

Kuvaukset tulevat jatkossakin löytymään FA:n verkkosivuilta. Kuvauksia ei tosin enää ylläpidetä eivätkä ne täytä Liikenne- ja viestintäviraston antaman määräyksen M72 vaatimuksia syyskuun 2019 jälkeen. 
 

Missä mennään nyt?

Luottamusverkostokuvio on vieläkin rakennusvaiheessa, eli on vaikeaa ennustaa, miltä Suomen tunnistusmarkkina näyttää esimerkiksi vuoden tai kahden kuluttua. Kaikki tällä hetkellä Suomen markkinoilla toimivat tunnistuspalveluiden tarjoajat on kerätty Liikenne- ja viestintäviraston ylläpitämään rekisteriin.

Luottamusverkostoa varten on myös perustettu jo yllä mainittu yhteistoimintaryhmä. Tähän ryhmään kuuluvat kaikki rekisteröidyt tunnistuksen palveluntarjoajat, edunvalvontajärjestöjä (kuten FA) sekä viranomaisia. Perustamiskokous pidettiin kesäkuussa 2017, ja ryhmän tehtävänä on muun muassa valmistella ohjeita ja sopimusmalleja, vaihtaa tietoa toimintaan liittyvistä asioista sekä seurata kehitystä, joka vaikuttaa luottamusverkoston toimintaan.

Jäikö kysyttävää?

|

Aiheen asiantuntijat