Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Vahva (pankki)tunnistus asiointipalveluissa muuttuu viimeistään 1.10.2019

Liikenne- ja viestintäviraston antaman tiedotteen mukaan aiemmin laajassa käytössä ollut TUPAS -pankkitunnistusprotokolla korvautuu 1.10.2019 mennessä uudella, turvallisemmalla protokollalla. Mutta mitä tämä tarkoittaa asiointipalvelulle, joka käyttää vahvaa (pankki)tunnistusta asiakkaidensa tunnistukseen?

Jos haluat jatkaa asiakkaittesi vahvaa sähköistä tunnistusta, tulee asiointipalvelussasi tehdä teknisiä muutoksia. Aiemmin käytetyn TUPAS protokollan tilalle tulee valita jokin luottamusverkostossa yleisesti käytetyistä protokollista: OpenID Connect tai SAML. Koska kyseessä ovat kansainväliset, laajalle levinneet standardiprotokollat, löytyy sekä OpenID Connectin tai SAMLin asiointipalvelupään toteuttamiseen runsas joukko open source -työkaluja. On myös hyvinkin mahdollista, että alustaratkaisu, jonka päälle olet toteuttanut asiointipalvelusi tukee jompaakumpaa standardia. Joka tapauksessa asia on selvitettävä asiointipalvelua ja alustaa ylläpitävän tahon kanssa.

Luottamusverkoston tavoitteena on ollut asiointipalveluiden kohdalla vahvan sähköisen tunnistuksen hankinnan helpottaminen. Voit hankkia vahvan sähköisen tunnistuksen välityspalvelulta, jolloin sopimuksia tehdään välityspalvelun kanssa yksi, kuten myös teknisiä integraatiota. Voit  myös solmia sopimukset jokaisen tunnistusvälineen tarjoajan kanssa erikseen, ja toteuttaa tekniset integraatiot.  Huomattavaa on että tämän hetkisen rajapintatarjonnan mukaan suoraan tunnistusvälineiden kanssa sopiminen ja teknisen integraation tekeminen tarkoittaa että asiointipalvelu tulee tukea sekä OpenID Connect - että SAML-protokollaa, sillä OP-Palveluti on ainoana tahona valinnut TUPASin korvaavaksi protokollaksi SAML:n, ja välityspalveluista vain Signicat ja Telia tarjoavat kyseistä rajapintaa.

Uusien ja vakiintuneiden tunnistusstandardien tuominen asiointipalveluun ei todennäköisesti ole iso projekti. Toiminnallisuuden toteuttamisen jälkeen pitää tehdä myös itse integraatiotyö joko välittäjään tai jokaiseen tunnistusvälineen tarjoajaan ja huomioida se seikka, että palautettavassa tiedossa käyttäjäattribuutit on nimetty eri tavoin kuin aiemmin. Huomattavaa myös on, että luottosuhde pitää muodostaa joko välityspalvelun tai välineiden tarjoajien kanssa. Tietoturvavaatimuksista johtuen luottamusverkostossa käytetään sanomatason salausta silloin kun henkilökohtaista tietoa välitetään, eli myös asiointipalvelun on pystyttävä vastaanottamaan sähköisesti allekirjoitettuja (signed) ja salattuja (encrypted) viestejä. Nämä ovat standarditoimintoja OIDC- ja SAML-standardeissa.

Näin vien protokollamuutosprojektiin maaliin

Kokonaisuudessaan muutos vaatii hyvin todennäköisesti kuitenkin useamman viikon kalenteriaikaa, ja takaraja muutokselle lähestyy kovaa vauhtia. Jos siis asiointipalvelusi haluaa jatkossakin tunnistaa vahvasti asiakkaita käyttäen pankkien myöntämiä sähköisiä tunnisteita vielä 1.10.2019 jälkeenkin, tulee tehdä seuraavat asiat:

Näin vien protokollamuutosprojektiin maaliin

1: Tee valinta

Päätä, etenetkö välityspalvelu (a)  kanssa vai teetkö erilliset sopimukset jokaisen tunnistusvälineen kanssa (b), vai mahdollisesti osa välityspalveluta ja osa suoraan välineen tarjoajalta (a) + (b)

a )Solmi joko välityspalvelusopimus tai

b) Varmista että olemassa olevat TUPAS-sopimukset muuttuvat automaattisesti uuden rajapinnan sopimuksiksi tai

b)Neuvottele uudet sopimukset tunnistusvälineiden tarjoajien kanssa

Jos käytössäsi on jo välityspalvelu, tai vahva tunnistus on hankittu palveluna/alihankintana, varmista, että hankkimasi palvelu on toteuttanut itse nämä uudet protokollat välineiden tarjoajiin päin. Tällaisessa tilanteessa asiointipalvelussasi ei todennäköisesti tarvitse tehdä mitään muutoksia mutta aina on hyvä varmistaa.

Katso tästä tiedostosta luottamusverkoston toimijat, ja keneltä voit hankkia välityspalvelun kautta vahvaa sähköistä tunnistusta. 

2: Muutostyöt

Samaan aikaan aloita tekniset muutostyöt (projekti):

  • Ota yhteys asiointipalvelun ja asiointipalvelualustan teknisiin yhteyshenkilöihin
    • Jos käytät ulkoista palvelua, kuten integraattorikumppania, ota yhteys kumppaniisi
    • Muodosta / integraattorikumppani muodostaa tekninen tiimi, jonka vastuulla on aikaansaada muutokset
  • Vaihda TUPAS rajapinnat valitsemaasi rajapintaan
    • Tee tekninen muutos, jossa TUPASin rinnalle tuodaan uusi rajapintatoiminnallisuus
      • Rajapintakuvaukset saatte välityspalvelulta ja / tai välineiden liikkeelle laskijoilta. Huomioi, että rajapintakuvaukset voivat erota toisistaan. Tämä voi selvitä vasta testivaiheessa, jonka takia sille on hyvä varata aikaa.
      • Vaihda salausavaimet / metadata välityspalvelun tai tunnistusmenetelmän tarjoajan ohjeistuksen mukaan turvallisesti
    • Tarkista, että paluuviestissä saatuja käyttäjäattribuutteja pystytään käsittelemään sovellustasolla
      • Voi vaatia sovelluksessa muutoksia.

3: Testausvaihe

 Varaa tälle vaiheelle riittävästi aikaa

4: Tuotantoon vienti

  • ​​​​​TUPAS protokollan poisto viimeistään 1.10.2019, jos asiakkaita vielä halutaan tunnistaa vahvasti pankkitunnisteilla

On hyvä huomata, että nämä ovat vain hyvin yleisluontoisesti kuvattuja vaiheita. Aikataulujen arvioimiseen vaikuttaa alkuperäisen TUPAS-tunnistuksen integrointitapa. Lisäksi sovelluksen ja alustan teknologia vaikuttaa toteutuksen pituuteen. Parhaimmillaan muutos voidaan tehdä vain konfigurointimuutoksilla. Projekti olisi kuitenkin hyvä aloittaa ennen kesälomia, jotta testausvaiheessa oltaisiin viimeistään elokuussa työntekijöiden (ja asiakkaiden) palatessa lomiltaan.

Koska kyseessä on protokollamuutos, ei tämä tule näkymään loppukäyttäjille useimmissa tapauksissa mitenkään. Tämä muutos ei myöskään koske julkishallinnon verkkopalveluita, jotka hankkivat / saavat vahvan sähköisen tunnistuksen palvelut suomi.fi -palvelun kautta.