Sähköisen tunnistamisen tiukentuneet tietoturvavaatimukset edellyttävät muutosten tekemistä sähköisten asiointipalvelujen tietojärjestelmiin syyskuun 2019 loppuun mennessä. Tietoturvavaatimusten muutokset koskevat pankkien tarjoamia, ns. TUPAS-pankkitunnistukseen perustuvia vahvoja sähköisiä tunnistuspalveluja sekä näitä tunnistuspalveluita käyttäviä asiointipalvelujen tarjoajia. Muutos ei koske mobiilivarmenteilla eikä poliisin myöntämillä, kansalaisvarmenteen sisältävillä henkilökorteilla tehtävää vahvaa sähköistä tunnistamista.
Suomessa pankkien käyttämä TUPAS-protolla ei nykymuodossaan täytä vahvan sähköisen tunnistamisen vaatimuksia, jotka on yhdenmukaistettu EU-sääntelyn kanssa. TUPAS-protollaa ei enää kehitetä vastaamaan tulevaisuuden vaatimuksia. Saatavilla on vaatimukset täyttäviä protokollia, joilla pankit voivat korvata TUPAS-protokollan. Siirtymäaika vaatimukset täyttävään protokollaan siirtymiselle vahvistetaan Viestintäviraston määräyksellä.
Sähköisten asiointipalveluiden tunnistusrajapintaa muutettava
Viestintäviraston määräys 72 vahvasta sähköisestä tunnistamisesta edellyttää, että TUPAS-protokollaa käyttävät toimijat parantavat tunnistuspalvelunsa tietoturvallisuutta. Tunnistuspalvelun ja sähköisen asiointipalvelun rajapintojen tietoturvallisuutta tulee parantaa lisäämällä tietoliikenteeseen sanomatason salaus. Myös nykyistä TUPAS-tunnistusta palveluissaan käyttävien sähköisten asiointipalvelujen tarjoajien on tehtävä muutoksia omiin tietojärjestelmiinsä. Useimmat pankit ottavat todennäköisesti käyttöön kokonaan uuden protokollan, joka täyttää määräyksessä asetetut tietoturvavaatimukset. Myös tässä tapauksessa sähköisten asiointipalvelujen tarjoajien on tehtävä muutoksia omiin järjestelmiinsä.
Muutoksen siirtymäajasta on käynnissä lausuntokierros, joka jatkuu 20.4. saakka. Muutosesityksen mukaan pankkien tulee tarjota uudet vaatimukset täyttävää rajapintaa asiointipalveluille alkuvuodesta 2019. Tarvittavat muutokset on tehtävä kaikissa asiointipalveluissa syyskuuhun 2019 mennessä. Lokakuun 2019 alusta alkaen TUPAS-protokollaan perustuvaa vahvaa sähköistä tunnistamista ei saa enää tarjota sähköisten asiointipalvelujen tarjoajille, ellei vaadittuja muutoksia ole tehty.
Voimassaolevan määräyksen mukaan nämä muutokset tulisi olla toteutettuna jo 18.9.2018. Viestintävirasto esittää nyt aiemmin vaaditun toteutusaikataulun pidentämistä ja porrastamista, koska tehdyn arvion mukaan muutosten toteuttaminen kaikissa asiointipalveluissa on annetussa aikataulussa haasteellista. Viestintäviraston suositukset uusista rajapinnoista valmistuivat vasta tammikuussa 2018.
Luottamusverkosto helpottaa tunnistuspalveluiden hankintaa
Asiointipalvelut voivat muutostilanteessa myös selvittää mahdollisuutta hankkia tarvitsemansa tunnistuspalvelut tunnistusvälityspalvelulta. Asiointipalveluiden mahdollisuudet hankkia ja kilpailuttaa tunnistuspalveluita ovat pikku hiljaa paranemassa sähköisten tunnistuspalveluiden luottamusverkoston perustamisen myötä, eikä tunnistuspalveluita ole välttämättä pakko enää hankkia jokaiselta pankilta ja muulta tunnistusvälineen tarjoajalta erikseen.
Tavoitteena on, että jatkossa asiointipalvelu voi hankkia asiakkaidensa tunnistamiseksi tarvitsemansa tunnistuspalvelut parhaimmillaan yhdellä sopimuksella tunnistusvälityspalvelun kautta. Tällöin tunnistusvälityspalvelun takana olevien tunnistusvälineiden liikkeellelaskijoiden protokollaratkaisut eivät vaikuta asiointipalveluun.
Pankki- ja tunnistuspalvelujen vaatimuksia sovitetaan yhteen
Pankkitunnistusta koskevat Suomessa käytännössä kahden lainsäädännön vaatimukset, koska pankkitunnuksia käytetään paitsi tunnistamiseen erilaisissa julkisissa ja yksityisissä sähköisissä asiointipalveluissa myös maksu- ja muiden pankkipalveluiden toteuttamiseen. Näiden lainsäädäntöjen valvonnasta vastaavat Viestintävirasto ja Finanssivalvonta arvioivat parhaillaan, miten vaatimukset voidaan sovittaa yhteen.
Kun pankkitunnuksia käytetään tunnistamiseen muissa kuin pankkipalveluissa, niitä koskevat vahvan sähköisen tunnistamisen vaatimukset. Näistä vaatimuksista säädetään laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista sekä Viestintäviraston sen nojalla antamassa määräyksessä, joiden noudattamista Viestintävirasto valvoo. Tunnistus- ja luottamuspalvelulain ja määräyksen vaatimukset ovat yhdenmukaisia vahvoja sähköisiä tunnistusmenetelmiä koskevan EU-sääntelyn kanssa (eIDAS-asetus).
Lisätietoja:
Lakimies Anne Lohtander, p. 0295 390 618 (erityisesti määräyksen muutos, ei tavoitettavissa keskiviikkona 11.4.)
Lakimies Marko Priiki, p. 0295 390 596
Päällikkö Jukka-Pekka Juutinen, p. 0295 390 523 (erityisesti luottamusverkosto)
Sähköposti etunimi.sukunimi(at)viestintavirasto.fi
Lisätietoa luottamusverkostosta: Välityspalveluista vauhtia vahvan sähköisen tunnistamisen markkinoille (15.12.2017)
Suomi tarvitsee toimivia, tietoturvallisia ja yhä nopeampia viestintäyhteyksiä. Viestintäviraston tehtävänä on varmistaa nämä palvelut koko yhteiskunnalle. Samalla luomme mahdollisuuksia digitaalisen liiketoiminnan kasvulle myös tulevaisuudessa.
Kohti maailman edistyneintä digiyhteiskuntaa — Viestintävirasto
Twitter: @viest_virasto
Facebook: facebook.com/viestintavirasto
LinkedIn: https://www.linkedin.com/company/finnish-communications-regulatory-authority/
YouTube: https://www.youtube.com/channel/UCFcHZXhhZvElIIFG4i98qzg
© Koodiviidakko Oy - Y-tunnus 1939962-1