Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tarjoa asiakkaillesi parasta: vahva sähköinen tunnistus

Tietoturva Nyt!

Verkkopalvelujen tarjoajana varmasti haluat, että asiakkaiden henkilötiedot eivät vuoda palvelusta ja että palvelujen käyttö on helppoa. Aiemmin on voinut tuntua hankalalta hankkia palveluita, joilla asiakas tunnistetaan verkkopalvelussa. Nyt tunnistuspalveluiden hankkiminen on aiempaa helpompaa ja voit tarjota asiakkaillesi mahdollisuuden tunnistautua turvallisesti pankkitunnuksilla tai mobiilivarmenteella.

Vahva sähköinen tunnistus on jo tuttua julkisen sektorin verkkopalveluissa, joita käytetään Suomi.fi-palvelun kautta. Julkisen sektorin palveluille on myös niin kutsutussa digipalvelulaissa tuoretta sääntelyä siitä, milloin on tarpeen käyttää vahvaa tunnistusta.

Vahva sähköinen tunnistus kannattaa yksityisissä verkkopalveluissa

Myös yksityisen sektorin verkkopalvelut haluavat tarjota asiakkailleen helpon mutta turvallisen tavan kirjautua palveluun. Yleensä on tarve varmistaa, että asiakas on jokaisella asiointikerralla sama. Usein on myös tarve varmistaa, että asiakas on todella se henkilö, joka kertoo olevansa. Henkilöllisyyden varmistaminen on tärkeää varsinkin, jos palvelussa näkee henkilötietoja tai siellä tehdään taloudellisia tai muita sitoumuksia. Joillekin palveluille on säädetty vaatimuksia asiakkaan tunnistamisesta. Verkkopalvelun tarjoajan kunnia-asia on pitää asiakkaan tiedoista yhtä hyvää huolta kuin yrityksen omista tiedoista.

Asiakkaiden vahvan sähköisen tunnistamisen voi nyt hankkia yhdeltä luukulta

Digi- ja väestötietovirasto hankkii ja välittää vahvan sähköisen tunnistuksen julkisen sektorin verkkopalveluihin Suomi.fi-tunnistuksen kautta. Yksityisen sektorin verkkopalvelut eivät voi käyttää Suomi.fi-tunnistusta, mutta ne voivat hankkia tunnistuspalvelut samalla tavalla kootusti joltakin luottamusverkoston tunnistusvälityspalveluista.

Asiakkaiden vahvan sähköisen tunnistuksen hankkiminen on helpottunut tunnistuspalveluiden luottamusverkoston sääntelyn ansiosta. Vahvan sähköisen tunnistuksen välityspalveluilta voi nykyään ostaa yhdellä sopimuksella ja yhdellä teknisellä integraatiolla asiakkaiden sähköisen tunnistuksen riippumatta siitä, mitä tunnistusvälinettä nämä käyttävät. Tunnistusvälityspalveluita on useita, joten palveluita on myös mahdollisuus kilpailuttaa.

Verkkopalvelun asiakas, näin vahva sähköinen tunnistus suojaa sinua ja tietojasi

Pankkitunnistuksella, mobiilivarmenteella tai poliisin myöntämässä henkilökortissa olevalla kansalaisvarmenteella voit tunnistautua verkkopalveluihin turvallisesti. Vahva sähköinen tunnistusväline on suunniteltu siten, että vain sinä voit sitä käyttää. Tunnistustapahtumia ei voi kopioida ja käyttää uudestaan. Vahvaan tunnistukseen ei liity samanlaisia riskejä kuin käyttäjätunnusten ja salasanojen vuotamiseen.

Tunnistusvälineen turvallisuus edellyttää toki sitä, että käsittelet itsekin välinettä tunnistuspalvelun tarjoajan ohjeiden mukaisesti. Esimerkiksi PIN-koodit täytyy pitää omana salaisuutenaan ja mobiilitunnistussovellus on syytä suojata näyttölukituksella. Muistathan, että tunnistuspalveluntarjoajasi ei koskaan kysy tunnuksiasi puhelimessa ja että vahva sähköinen tunnistus ei koskaan tapahdu sähköpostiin tulleen linkin kautta.

Useamman vahvan tunnistusvälineen hankkiminen on ihan järkevää varautumista. Vahvassa tunnistuspalvelussakin voi olla huoltokatkoksia tai toimivuushäiriöitä ja joissakin verkkopalveluissa voi olla käytössä vain osa tunnistusvälineistä. Tunnistusväline voi myös mennä rikki tai kadota, ja silloin on mukava, että on olemassa toinen tunnistusväline. Monella onkin jo käytössä sekä pankkitunnus että mobiilivarmenne. Myös henkilökortilla oleva kansalaisvarmenne löytyy yli miljoonalta suomalaiselta, mutta valitettavasti harvat käyttävät sitä, koska sen käyttöönotto vaatii kortinlukijan ja ohjelmiston hankkimisen.  

Kannattaa valita vahva sähköinen tunnistus aina, kun se on tarjolla verkkopalvelussa. Jos ei ole, voit myös vinkata verkkopalvelun tarjoajalle vahvan tunnistuksen käyttöönotosta. Onhan helpompaa muistaa mobiilivarmenteen käytössä tarvittava puhelinnumero ja PIN-koodi tai pankkitunnistuksen tiedot kuin lukuisia eri käyttäjätunnuksia ja salasanoja.

Rekisteröidyt tunnistuspalvelun tarjoajat käsittelevät henkilötietojasi sääntelyn mukaisesti vain tunnistukseen eivätkä muihin tarkoituksiin. Tunnistusvälityspalvelut varmistuvat myös verkkopalvelun oikeudesta käsitellä henkilötietoja, kun osapuolet tekevät sopimuksen tunnistuspalvelun toimittamisesta.

Aina tarjolla ei ole vahvaa sähköistä tunnistusta eikä verkkopalvelulla ole kiinnostusta tai mahdollisuutta ottaa sitä käyttöön. Silloin kannattaa hyödyntää palveluiden omia kaksi- tai useampivaiheisia tunnistustapoja. Tutustu myös Kyberturvallisuuden neuvoihin tiliesi turvaamiseksi .

Miksi vahva sähköinen tunnistus on turvallisempi kuin salasanat?

  • Vahvan sähköisen tunnistuksen turvallisuus perustuu moneen asiaan:
  • Uuden tunnistusvälineen hakijan henkilöllisyys tarkistetaan huolellisesti.
  • Tunnistusväline toimitetaan haltijalle turvallisesti ja uusitaan turvallisesti.
  • Tunnistusvälineen voi sulkea nopeasti ja varmasti, jos se katoaa tai joutuu vääriin käsiin. Käyttäjän ilmoitus sulkemisesta siirtää vastuun oikeudettomasta käytöstä tunnistuspalvelulle.
  • Tunnistusväline muodostuu aina vähintään kahdesta erityyppisestä tekijästä, jotka ovat toisistaan riippumattomia. Tunnistuspalvelu kytkee tunnistusvälineen tekijät henkilöön omassa taustajärjestelmässään. Näin varmistetaan, että käyttäjä on todella se, jolle tunnistusväline on myönnetty.
  • Tunnistusväline on yhdistelmä jotain mitä sinulla on hallussasi ja jotain mitä vain sinä tiedät tai jokin ominaisuutesi.
    • Hallussa on mobiililiittymä eli SIM-kortti ja tiedossa PIN-koodi
    • Hallussa on mobiilisovellus ja tiedossa on PIN-koodi
    • Hallussa on mobiilisovellus ja ominaisuutena sormenjälki
    • Hallussa on tunnuslukulista ja tiedossa erillinen PIN-koodi tai salasana
    • Hallussa on henkilökortin siru ja tiedossa PIN-koodi
  • Konepellin alla tunnistustapahtuman mekanismi ja salausmenetelmät varmistavat sen, että jokainen tunnistustapahtuma on teknisesti uniikki, eikä sitä voi kopioida tai väärentää.

Rekisteröidyt tunnistuspalvelut ovat tarkasti säänneltyjä ja vankasti valvottuja

Suomessa on kahdentyyppisiä tunnistuspalveluntarjoajia. Monet tarjoavat molempia tunnistuspalveluja:

  • tunnistusvälineen tarjoaja tarjoaa välineitä käyttäjille
  • tunnistusvälityspalvelu tarjoaa asiakkaiden tunnistusta verkkopalveluille.

Kaikkia Liikenne- ja viestintäviraston rekisteriin hyväksyttyjä tunnistuspalveluita koskevat palveluntarjoajan luotettavuuden ja tunnistuspalvelun tietoturvallisuuden vaatimukset.

  • Tunnistuspalvelurekisteriin hyväksyminen ja siellä pysyminen edellyttää turvallisuuden riippumatonta auditointia kahden vuoden välein.
  • Kaikki tunnistusjärjestelmän kannalta merkityksellinen alihankinta kuuluu arvioinnin piiriin. Viranomainen tarkistaa auditoinnit ja päättää tarvittaessa korjausvelvoitteista.
  • Häiriöt ilmoitetaan viranomaiselle.
  • Luottamusverkoston yhteistoimintaryhmässä keskenään kilpailevat tunnistuspalvelut voivat tehdä yhteistyötä turvallisuusasioissa.

Vahvat sähköiset tunnistuspalvelut löytyvät Liikenne- ja viestintäviraston rekisteristä .

Muiden viranomaisten kannanottoja

Tietosuojavaltuutetun kolumni 2.8.2020 (Ulkoinen linkki)

"Näiden syiden vuoksi pyrin tukemaan tunnistamispalveluiden laadukasta tarjontaa. Meillä kansalaisilla on lupa odottaa, että meille tarjotaan valittavaksemme useampiakin turvallisia ja eurooppalaisen lainsäädännön asettamat edellytykset täyttäviä vaihtoehtoja."

https://tietosuoja.fi/-/tunnistuspalveluista (Ulkoinen linkki)

Tietosuojavaltuutetun tiedote 28.10.2020 (Ulkoinen linkki)

"Tietosuojavaltuutettu on ottanut useasti kantaa siihen, että henkilöitä ei saa tunnistaa yksinomaan nimen ja henkilötunnuksen perusteella."

Digi- ja väestötietoviraston tiedote 2.11.2020 (Ulkoinen linkki)

"Vastaamon tapaus on pakottanut ottamaan tarkasteltavaksi käytäntöjä, joissa palveluita käytetään ilman vahvaa tunnistamista. Digi- ja väestötietovirasto (DVV) antaa vahvan suosituksen, että kaikissa verkkopalveluissa tulisi käyttää henkilöllisyyden varmistamisen hyviä käytäntöjä eli vahvaa tunnistautumista joko pankkitunnuksilla tai mobiilivarmenteella. Näin toimimalla voidaan huonontaa identiteettivarkauksien onnistumisen mahdollisuuksia."

Olisiko nyt hyvä aika harkita tunnistuspalvelun hankintaa ja säästää omat asiakkaat käyttäjätunnus- ja salasanatulvalta sekä potentiaalisilta identiteettivarkauksilta?