Valikko

Ajankohtaista

Tiedotteet, blogit, timantit, työntekijäkokemukset

Muutokset Vetuma-palveluun edellyttävät muutoksia pankkitunnistautumisen menetelmiin

Valtori 24.4.2015 15.48
Uutinen

Valtion tieto- ja viestintätekniikkakeskus Valtori tiedotti www-sivuillaan perjantaina 17.4. Valtion sähköisen tunnistautumisjärjestelmä Vetuman käytön turvallisuudesta liittyen henkilötietojen käsittelyyn.

Valtion tieto- ja viestintätekniikkakeskus Valtorin tuottaman verkkotunnistamisen ja -maksamisen palvelu Vetuman käytön turvallisuus oli noussut julkisuuteen tunnistautumisessa selaimen osoiterivillä välitettävien tietojen vuoksi. Selaimen osoiterivillä näkyy selväkielisenä käyttäjän nimi ja henkilötunnus, kun käyttäjä siirtyy Vetuma-palvelussa tehdystä tunnistuksesta käyttämäänsä kirjautumisen takana olevaan sovellukseen.

Vetuma-palvelu on toteutettu TUPAS-määrittelyn pankkitunnistusrajapinnan mukaisesti. Valtori korostaa, että Vetuma-palvelun käyttö on turvallista. Vetuma-palvelussa tietoliikenne on aina SSL-salauksella suojattua, joten ulkopuolinen ei pääse kaappaamaan osoiterivillä kulkevia tietoja verkkoliikenteestä, vaan tiedot näkyvät vain käyttäjälle itselleen. Palvelujen käyttämisessä tulee kuitenkin noudattaa hyviä käytäntöjä ja normaalia verkkopalvelujen käyttöön liittyvää varovaisuutta.

Pankkitunnistautumisen jälkeen tunnistautumistieto siirtyy asiointipalveluun menetelmällä, joka tallentaa käyttäjän henkilötiedot myös selaimeen. Henkilötunnuksen käyttöä tunnistuksessa on vaikea muuttaa, sillä tällä hetkellä se on Suomessa ainoa tapa, jolla henkilö voidaan luotettavasti yksilöidä. Kaikki TUPAS-määrittelyn mukaiset tunnistuspalvelutoteutukset toimivat vastaavalla tavalla.

Kyseinen ongelma on ollut tiedossa TUPAS-määrittelyn ensimmäisistä versioista lähtien, eli noin kymmenen vuotta. Nyt käytössä olevan käytännön muuttaminen edellyttäisi muutoksia TUPAS-määrittelyyn tai mahdollisesti sen korvaamista kokonaan uudella.

Kansallinen sähköistä tunnistamista koskeva uusi laki on valmisteilla ja sen on tarkoitus tulla voimaan 1.1.2016. Lakimuutoksen tavoitteena on, että sähköiseen tunnistamiseen liittyvät palvelut olisivat ajan tasalla, yksinkertaisia käyttää ja riittävän turvallisia.

Valtori käynnistänyt keskustelun muutostarpeista

Kansallisen palveluväylä -hankkeen osana toimii Kansallinen luottamusverkosto -työryhmä, jonka vastuulla on määrittää tulevissa tunnistuspalveluissa riittävät turvallisuuskäytännöt. Muutokset edellyttävät suunnittelua, testaamista ja muutoksia sekä rajapintaa hyödyntäviin tunnistusratkaisuihin että pankkien tunnistuspalveluihin.

Valtori odottaa tunnistusratkaisuun tehtävissä muutoksissa työryhmän työn lopputuloksia ja edistää osaltaan aktiivisesti TUPAS-määrityksiin tarvittavien muutosten toteuttamista.

Valtori järjesti asiaan liittyen kokouksen, johon oli kutsuttu Valtorin lisäksi valtiovarainministeriön, Viestintäviraston Kyberturvallisuuskeskuksen, Finanssialan keskusliiton, Vetuman palvelutoimittajan sekä pankkien edustajat. Kokouksessa tunnistettiin ja käynnistettiin seuraavat toimenpiteet asian edistämiseksi:

  1. Tunnistuspalveluissa tulee parantaa ja tuoda paremmin esille käyttäjän ohjeistus selaimen välimuistin ja historian tyhjentämisestä. Vetuman osalta Valtori tuottaa näkyvämmät ja entistä selkeämmät ohjeet palvelun loppukäyttäjille.
  2. Julkiset yhteiskäyttöiset työasemat tulee konfiguroida Viestintäviraston ohjeiden (https://www.viestintavirasto.fi/2015/04/ttn201504211131) mukaisesti. Valtori varmistaa vastuullaan olevien työasemien osalta käytäntöjen toteutumisen. Muiden julkisessa käytössä olevien päätelaitteiden tarjoajien tulee konfiguroida omat päätelaitteensa samojen ohjeiden mukaisesti.
  3. Valtiovarainministeriö ja Finanssialan keskusliitto tulevat huomioimaan vaatimukset kansallisen luottamusverkoston tunnistamisvaatimusten kehittämisessä ja tarpeissa päivittää TUPAS-määrityksiä.
  4. Viestintävirasto seuraa toimenpiteiden ja tapahtumien edistymistä.

Valtiovarainministeriö ja Valtori huolehtivat, että julkishallinnon asiakkailla on aina käytettävissään turvallinen tunnistautumisratkaisu. Vetuma-palvelu tullaan Kansallisen palveluväylän myötä korvaamaan uudella tunnistautumisratkaisulla.

Lisätietoja

Valtion tieto- ja viestintätekniikkakeskus Valtori
toimitusjohtaja Kari Pessi, p. 040 770 9689, kari.pessi[at]valtori.fi 
tulosalueen päällikkö Tuomo Kouhia, p. 040 563 2871, tuomo.kouhia[at]valtori.fi

Verkkotunnistamisen ja maksamisen palvelu Vetumaa käyttävät sähköisessä tunnistautumisessa monet julkishallinnon organisaatiot. Lista palvelua käyttävistä organisaatioista on julkaistu osoitteessa http://www.suomi.fi/suomifi/tyohuone/yhteiset_palvelut/verkkotunnistaminen_ja_maksaminen_vetuma/vetuma_asiakkaat/index.html