Sähköisen tunnistuksen luotettavuus ja turvallisuus ovat herättäneet paljon keskustelua S-Pankin kerrottua julkisuuteen häiriöstä, joka mahdollisti vahvan sähköisen tunnistuksen väärinkäytön huhtikuusta 2022 elokuun 2022 alkuun. Julkisuudessa on tämän johdosta esiintynyt huolta vahvan sähköisen tunnistuksen luottamuksen ja turvallisuuden tasosta. Yksikään tietojärjestelmä ei ole 100 % turvallinen, mutta vahva sähköinen tunnistaminen ja rekisteröidyt tunnistuspalvelut ovat kuitenkin tarkasti säänneltyjä ja valvottuja.
Suomessa vahvan sähköisen tunnistuksen palveluita ja palveluntarjoajia valvoo Liikenne- ja viestintävirasto Traficom ja kaikki vahvaa sähköistä tunnistamista tarjoavat palveluntarjoajat, kuten S-pankki, on rekisteröity viraston ylläpitämään tunnistuspalvelurekisteriin. Maksupalveluita puolestaan valvoo Finanssivalvonta ja tietosuojaa Tietosuojavaltuutettu. Viranomaiset toimivat tarvittaessa yhteistyössä siltä osin, kun häiriötilanteet koskevat useamman viranomaisen toimivaltaa.
Rekisteröidyillä tunnistuspalvelun tarjoajilla on lain mukaan velvollisuus ilmoittaa häiriöistä Traficomille. Häiriöt selvitetään tapauksesta riippuen viraston ja toimijan yhteistyönä. Traficomilla on tarvittaessa toimivalta antaa huomautus tai velvoittaa toimijaa korjaamaan virhe tai laiminlyönti.
Traficom on vastaanottanut S-pankilta ilmoituksen häiriöstä ja selvittää tapahtumien kulun S-pankin kanssa yhteistyössä. S-pankki on oma-aloitteisesti korjannut havaitun virheen.
Rekisteröityjen tunnistuspalvelujen tarjoajilta edellytetään, että ne arvioivat palvelunsa turvallisuuden säännöllisesti, vähintään kerran kahdessa vuodessa. Traficom tarkastaa tehdyt arvioinnit ja varmistaa näin, että järjestelmä vastaa lain ja määräyksen vaatimuksiin, eli että se on turvallinen eivätkä esimerkiksi asiakkaan henkilötiedot vaarannu. Arviointi myös auttaa tunnistuspalveluiden tarjoajia jatkuvasti parantamaan järjestelmiensä turvallisuutta. Hyväksytyllä arvioinnilla toimija pysyy viraston ylläpitämässä Tunnistuspalvelurekisterissä (linkki https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Tunnistuspalvelurekisteri_31052022.XLSX).
Suomalaiset vahvan sähköisen tunnistuksen järjestelmät ovat turvallisuudeltaan kansainvälisestikin vertailtuna korkeatasoisia. Lisäksi niitä koskevat vaatimukset ovat kansainvälisestikin tarkasteltuna tiukimmasta päästä, ja ne kattavat nykyaikaisetkin teknologiaratkaisut, kuten esimerkiksi mobiilitunnistussovellukset. Traficomin julkaisemassa arviointiohjeessa (linkki https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/regulation/O211_S%C3%A4hk%C3%B6isen_tunnistuspalvelun_arviointiohje_211_2019_O.pdf) on kuvattu hyvin tarkasti sähköisiltä tunnistuspalveluilta edellytettävät turvallisuusvaatimukset.
Ohjelmistoista ja käytänteistä löytyy kuitenkin ajoittain virheitä. Virheet voivat olla harmittomia tai johtaa tilanteeseen, jossa järjestelmän väärinkäyttö mahdollistuu. Arviointien ja jatkuvan valvonnan ansiosta monia väärinkäytön mahdollistavia virheitä on korjattu ja korjataan jatkossakin.
Suomessa toimii myös tunnistuspalveluiden tarjoajien yhteistyö. Vaikka toimijat kilpailevatkin keskenään, esimerkiksi mahdollisista häiriöistä jaetaan tietoa aktiivisesti ja ajantasaisesti toimijoiden kesken. Viraston kutsumana toimijat osallistuvat toimialan turvallisuuden kehittämiseen niin ohjeistuksen, standardoinnin kuin sääntelynkin osalta.
Sekä tunnistuspalvelujen tarjoajat että Traficomin tekevät jatkuvaa työtä sähköisen tunnistamisen luotettavuuden eteen. On kuitenkin tärkeää, että käsittelet omia vahvan sähköisen tunnistuksen välineitäsi, kuten verkkopankkitunnuksia ja mobiilivarmenteita, aina huolellisesti:
Voit lukea lisää vahvasta sähköisestä tunnistuksesta ja sen valvonnasta Traficomin Kyberturvallisuuskeskuksen sivuilta (linkit https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus ja https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/sahkoinen-tunnistaminen)
Lisätietoja:
Liikenne- ja viestintävirasto Traficom edistää liikennejärjestelmän toimivuutta ja turvallisuutta sekä huolehtii siitä, että Suomessa on käytettävissä toimivat, turvalliset ja kohtuuhintaiset viestintäyhteydet ja -palvelut. Virasto on myös palveleva liikenteen ja viestinnän lupa-, rekisteri- ja valvontaviranomainen. Traficom vauhdittaa digiyhteiskunnan kehittymistä ja tukee kestävää kehitystä. Traficomissa työskentelee yli 900 asiantuntijaa 15 paikkakunnalla.
Seuraa meitä Twitterissä @TraficomFinland ja @CERTFI (Kyberturvallisuuskeskus).
© Koodiviidakko Oy - Y-tunnus 1939962-1