Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Verkkopalveluiden pankkitunnistuksen tietoturvavaatimukset tiukentuvat 1.10.2019 - palveluiden päivittämisellä on jo kiire

Tietoturva Nyt!

Pankkitunnistuksessa käytetty TUPAS-protokolla ei enää täytä vahvan sähköisen tunnistamisen tietoturvavaatimuksia. Se ollaan korvaamassa nykyaikaisemmilla tietoturvavaatimukset täyttävillä protokollilla, joiden käyttöönotto edellyttää järjestelmämuutoksia tunnistusvälinepalveluissa ja verkkopalveluissa. Tunnistuspalvelujentarjoajat ovat jo tehneet tarvittavat muutokset. Nyt on verkkopalvelujen vuoro tehdä vaaditut muutokset omiin järjestelmiinsä, mikäli ne käyttävät vahvaa sähköistä tunnistamista. Muutoksella ei ole vaikutusta itse pankkitunnuksien käyttäjiin ja he voivat käyttää tunnuksiaan kuten aikaisemmin. Nyt tehtävät muutokset vain lisäävät käyttäjien tietoturvallisuutta.

Koska TUPAS-protokolla ei enää täytä vahvan sähköisen tunnistamisen tietoturvavaatimuksia, verkkopalveluilla on aikaa syyskuun loppuun asti tehdä tarvittavat tekniset muutokset järjestelmiinsä. Lokakuun 2019 alusta alkaen nykymuotoiseen TUPAS-protokollaan perustuvaa tunnistuspalvelua ei saa enää tarjota vahvana sähköisenä tunnistuksena. Vahvassa sähköisessä tunnistamisessa siirrytään käyttämään TUPAS-protokollan sijaan nykyaikaisempia OpenID Connect- tai SAML-protokollia.

Sähköisten asiointipalveluiden tunnistusrajapinta muuttuu

Liikenne- ja viestintävirasto on asettanut määräyksellä 72 vahvasta sähköisestä tunnistamisesta (Ulkoinen linkki) takarajaksi 1.10.2019 sille, että nykyisten TUPAS-protokollaan perustuvien tunnistuspalvelujen tietoturvallisuutta on parannettava sanomatason salauksella. Tämä estää esimerkiksi henkilötunnuksen tallentumisen selaimen historiatietoihin tai sellaisiin järjestelmiin, joihin henkilötiedot eivät kuulu. Sen sijaan, että TUPAS-protokollaa kehitettäisiin, se korvataan muilla protokollilla, joilla viraston määräyksessä asetetut tietoturvavaatimukset voidaan täyttää.  Virasto on velvoittanut TUPAS-protokollaa käyttäviä tunnistuspalveluiden tarjoajia saattamaan tarjolle 1.3.2019 alkaen tietoturvavaatimukset täyttävät protokollat ovat verkkopalveluiden käyttöönotettavissa viraston määräyksen mukaisesti. Tunnistuspalveluiden tarjoajat ovat ilmoittaneet, että uudet rajapinta ovat nyt verkkopalveluiden saatavilla.

Luottamusverkosto helpottaa vahvan tunnistuksen hankintaa

Luottamusverkoston tavoitteena on, että verkkopalvelu voi hankkia asiakkaidensa vahvaan tunnistamiseen tarvitsemansa palvelut parhaimmillaan yhdellä sopimuksella ja teknisellä rajapinnalla tunnistusvälityspalvelun kautta, eikä salausavaimiakaan tarvitse vaihtaa kuin välityspalvelun kanssa. Tällöin asiointipalvelun ei tarvitse huolehtia siitä, millaisia protokollaratkaisuja tunnistusvälityspalvelun ja tunnistusvälineiden liikkeellelaskijoiden välillä käytetään. Välityspalvelun kautta hankittu vahva sähköinen tunnistus helpottaa myös uusien tunnistusvälineiden käyttöä verkkopalvelun näkökulmasta, sillä teknisiä muutoksia ei todennäköisesti tarvitse tehdä lainkaan uuden välineen tullessa markkinoille.

Verkkopalveluiden kannattaa muutostilanteessa selvittää mahdollisuutta hankkia tarvitsemansa tunnistuspalvelut keskitetysti vahvan sähköisen tunnistamisen luottamusverkostoon kuuluvalta tunnistusvälityspalvelulta. Luottamusverkostoon kuuluvat rekisteröidyt ja valvotut vahvat sähköiset tunnistuspalvelut löytyvät Liikenne- ja viestintäviraston ylläpitämästä rekisteristä (Ulkoinen linkki).

Luottamusverkostoon kuuluu kahdenlaisia vahvoja sähköisiä tunnistuspalveluita: tunnistusvälineen tarjoajat tarjoavat tunnistusvälineitä käyttäjille ja tunnistusvälityspalvelut tarjoavat asiakkaiden sähköistä tunnistusta verkkopalveluille. Tunnistusvälineen tarjoajien on mahdollistettava sopimuksilla se, että tunnistusvälityspalvelut voivat tarjota verkkopalveluille kootusti eri tunnistusvälineitä käyttävien asiakkaiden tunnistamista. Kun luottamusverkoston sisäiset sopimukset saadaan aikaan, verkkopalveluiden mahdollisuudet hankkia ja kilpailuttaa tunnistuspalveluita paranevat, eikä niiden tarvitse enää välttämättä sopia tunnistuspalvelusta erikseen jokaisen tunnistusvälineen tarjoajan kanssa.

Lisätietoja:

Päällikkö Jukka-Pekka Juutinen, p. 0295 390 523

Lakimies Anne Lohtander, p. 0295 390 618

Erityisasiantuntija Petteri Ihalainen, p. 029 539 0302

Sähköposti etunimi.sukunimi(at)traficom.fi

Taustatietoa tunnistuvälineistä

Vahvoja sähköisiä tunnistusvälineitä (tunnisteita) Suomessa ovat tällä hetkellä verkkopankkitunnukset, teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet. Vahvat sähköiset tunnistusvälineet on merkitty rekisteriin, joka löytyy Liikenne- ja viestintävirasto Traficomin verkkosivuilta.

Tunnistusvälineen tarjoajat myöntävät vahvoja tunnistusvälineitä käyttäjille. Tunnistusvälineen tarjoaja on esimerkiksi pankki tai teleyritys, joka tarjoaa yleisölle vahvan sähköisen tunnistamisen tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta.

Tunnistusvälityspalvelun tarjoaja on taho, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia erilaisille asiointipalveluille eli sähköiseen tunnistukseen luottavalle osapuolelle (esim. verkkokauppa tai valtionhallinnon sähköinen palvelu). Molempiin viitataan yhdessä tunnistuspalvelun tarjoajina.

Tunnistuspalvelun tarjoajat kuuluvat luottamusverkostoon. Luottamusverkoston perustamisen tavoitteena on, että erilaisia verkkopalveluita tarjoavat asiointipalvelut voisivat hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut yhden välityspalvelun kautta, vaikka verkkopalvelun asiakkailla olisi mikä tahansa suomalainen tunnistusväline käytössään.