Heikkoa tunnistuspalvelua käytetään yhä kielloista huolimatta – Traficom kehottaa uhkasakon nojalla lopettamaan

Vesa Saivo

Liikenne- ja viestintävirasto Traficomin selvitysten perusteella useat suomalaisyritykset käyttävät yhä Tupas-yhteyskäytäntöä verkkosivuilleen tunnistautumisessa siitä huolimatta, että sen käyttö on ollut laitonta lokakuun alusta asti.

Traficom tulee antamaan tunnistuspalvelun tarjoajille valvontapäätöksen ja kehotuksen uhkasakon nojalla korjata toimintansa marraskuun loppuun mennessä.

Merkittävä osa tunnistuspalvelun tarjoajista jatkaa TUPAS-yhteyskäytäntöön perustuvan vahvan sähköisen tunnistamisen tarjoamista asiakkaidensa verkkopalveluille vastoin lainsäädäntöä.

– Lainvastainen toiminta ei vain heikennä tietoturvallisuutta, vaan myös asettaa lainsäädäntöä noudattavat tunnistuspalvelun tarjoajat epäedulliseen kilpailuasemaan. Näyttää myös siltä, etteivät muutokset tule tehdyksi ilman uhkasakkoa. Kevyemmät valvontakeinot eivät ole tuottaneet tulosta. Muutostarpeet ovat olleet tunnistuspalvelun tarjoajien tiedossa jo kolme vuotta ja silti uudistusta ei ole saatu aikaan. Nyt on viimeinen hetki toimia", toteaa Liikenne- ja viestintäviraston Turvallisuussääntely-yksikön päällikkö Jukka-Pekka Juutinen.

Tupas on suomalaisten pankkien kehittämä tunnistautumisjärjestelmä. Se toimii yhteyskäytäntönä pankin tunnistusjärjestelmän ja tunnistautumista käyttävän verkkopalvelun, kuten verkkopankin, välillä.

Laajalti Suomessa käytetty Tupas-protokolla ei enää täytä nykypäivän vahvan sähköisen tunnistautumisen tietoturvavaatimuksia, vaan se rinnastetaan heikkoon käyttäjätunnus-salasana -tasoiseen tunnistukseen.

Vanhan käytännön jatkamista on perusteltu Traficomille pääasiassa sillä, etteivät kaikki tunnistuspalveluiden tarjoajien asiakkaina olevat verkkopalvelut ole vielä tehneet vaadittavia muutoksia. Tarjoajat eivät myöskään ole halunneet lopettaa palvelujen tarjoamista näille verkkopalveluille.

Suurin osa tunnistuspalvelun tarjoajista kuitenkin ilmoitti lopettavansa määräysten vastaisen yhteyskäytännön tarjoamisen viimeistään marraskuun loppuun mennessä. Muutamalla toimijalla ei ollut esittää aikataulua.

Fakta

Vahva sähköinen tunnistautuminen

Vahvoja sähköisiä tunnistusvälineitä Suomessa ovat tällä hetkellä verkkopankkitunnukset, teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet. Vahvat sähköiset tunnistusvälineet on merkitty rekisteriin, joka löytyy Liikenne- ja viestintävirasto Traficomin verkkosivuilta.

Tunnistusvälineen tarjoajat myöntävät vahvoja tunnistusvälineitä käyttäjille. Tunnistusvälineen tarjoaja on esimerkiksi pankki tai teleyritys, joka tarjoaa yleisölle vahvan sähköisen tunnistamisen tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta.

Tunnistusvälityspalvelun tarjoaja on taho, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia erilaisille asiointipalveluille eli sähköiseen tunnistukseen luottavalle osapuolelle (esim. verkkokauppa tai valtionhallinnon sähköinen palvelu). Molempiin viitataan yhdessä tunnistuspalvelun tarjoajina.

Haluatko käyttää

Osallistuaksesi keskusteluihin ole hyvä ja kirjaudu TS-tunnuksillasi

Olet kirjautuneena yritystunnuksella. Yritystunnuksella ei voi osallistua keskusteluihin.
Kirjoita uusi viesti
Viesti

Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Uudet näkökulmat keskustelussa vievät asioita eteenpäin. Siksi Turun Sanomat kannustaa verkkosivuillaan aktiiviseen ja rakentavaan keskusteluun.

Verkkokeskusteluun osallistuminen edellyttää rekisteröitymistä (jonka pääset tekemään tästä). Rekisteröityminen ei edellytä lehden tilaamista.

Keskusteluun voit kirjoittaa omalla nimelläsi tai nimimerkillä. Suosittelemme oman nimen käyttöä, sillä on arvokasta seistä mielipiteidensä takana. Ole kriittisenäkin kohtelias ja kunnioita muita. Epäasiallinen käytös estää osallistumisen keskusteluun.

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä, ja julkaisusta päättää toimitus. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda äläkä kiroile.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta. Tekstin yhteyteen voi liittää teemaan liittyviä asiallisia linkkejä, jotka toimitus tarkistaa ennalta. Mainoksia emme julkaise.

Verkon keskustelut ovat osa Turun Sanomien sisältöä, josta olemme vastuussa. Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Aiemmat viestit (3)

Vastaa
J-P L
ihmiset vastaan robitit
Tunnuslukulista on vahva tunnistautumiskeino, koska se on "mekaaninen", teoriassa mahdoton digitaalisesti imitoida. Oeriaatteessa idioottivarma.

Sen sijaan - näin robottien kesken - umpi-digitaaliset varmennusprotokollat ovat leikkejä.
Haluatko käyttää
Olet kirjautuneena yritystunnuksella. Yritystunnuksella ei voi osallistua keskusteluihin.
Kirjoita vastaus viestiin
Viesti

Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Uudet näkökulmat keskustelussa vievät asioita eteenpäin. Siksi Turun Sanomat kannustaa verkkosivuillaan aktiiviseen ja rakentavaan keskusteluun.

Verkkokeskusteluun osallistuminen edellyttää rekisteröitymistä (jonka pääset tekemään tästä). Rekisteröityminen ei edellytä lehden tilaamista.

Keskusteluun voit kirjoittaa omalla nimelläsi tai nimimerkillä. Suosittelemme oman nimen käyttöä, sillä on arvokasta seistä mielipiteidensä takana. Ole kriittisenäkin kohtelias ja kunnioita muita. Epäasiallinen käytös estää osallistumisen keskusteluun.

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä, ja julkaisusta päättää toimitus. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda äläkä kiroile.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta. Tekstin yhteyteen voi liittää teemaan liittyviä asiallisia linkkejä, jotka toimitus tarkistaa ennalta. Mainoksia emme julkaise.

Verkon keskustelut ovat osa Turun Sanomien sisältöä, josta olemme vastuussa. Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
Vastaa
J-P L
ihmiset vastaan robotit
Tunnuslukulista on vahva tunnistautumiskeino, koska se on "mekaaninen", teoriassa mahdoton digitaalisesti imitoida. Periaatteessa idioottivarma, erittäin varma.

Täysin digitaaliset varmennusprotokollat ovat roboteille leikkejä. Erittäin helppoja murtaa, koska jos on pienikin teoreettinen mahdollisuus, "tehdä taikatemppu" ihmiselle, robojen 'oppivat algoritmit' osaavat sen toteuttaa.

Hyvänä muistisääntönä sanonta 'luulo ei ole tiedon väärti', eli että sellaista salausprotokollaa, jota ei itse tajua, ei pidä luulla vahvaksi.
Haluatko käyttää
Olet kirjautuneena yritystunnuksella. Yritystunnuksella ei voi osallistua keskusteluihin.
Kirjoita vastaus viestiin
Viesti

Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Uudet näkökulmat keskustelussa vievät asioita eteenpäin. Siksi Turun Sanomat kannustaa verkkosivuillaan aktiiviseen ja rakentavaan keskusteluun.

Verkkokeskusteluun osallistuminen edellyttää rekisteröitymistä (jonka pääset tekemään tästä). Rekisteröityminen ei edellytä lehden tilaamista.

Keskusteluun voit kirjoittaa omalla nimelläsi tai nimimerkillä. Suosittelemme oman nimen käyttöä, sillä on arvokasta seistä mielipiteidensä takana. Ole kriittisenäkin kohtelias ja kunnioita muita. Epäasiallinen käytös estää osallistumisen keskusteluun.

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä, ja julkaisusta päättää toimitus. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda äläkä kiroile.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta. Tekstin yhteyteen voi liittää teemaan liittyviä asiallisia linkkejä, jotka toimitus tarkistaa ennalta. Mainoksia emme julkaise.

Verkon keskustelut ovat osa Turun Sanomien sisältöä, josta olemme vastuussa. Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
Vastaa
J-P L
"Luulo ei ole tiedon väärti":
- käytännön havainnollisravana esimerkkinä vaikkapa käyttöjärjestelmiin ja nettiselaimiin aika ajoin "haavoittuvuuden korjaamiseksi" tehtävät "tärkeät turvallisuuspäivitykset":

siis nuo tuollaiset haavoittuvuudet ovat selaimen alusta alkaen, hamasta menneisyydestä lähtien olleet siinä, ne eivät siis ole mitään aika ajoin ohjelmiin ilmestyviä ikäänkuin jotain "kausi-influenssoja", joihin ottaa tilannekohtainen täsmärokote.
Haluatko käyttää
Olet kirjautuneena yritystunnuksella. Yritystunnuksella ei voi osallistua keskusteluihin.
Kirjoita vastaus viestiin
Viesti

Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Uudet näkökulmat keskustelussa vievät asioita eteenpäin. Siksi Turun Sanomat kannustaa verkkosivuillaan aktiiviseen ja rakentavaan keskusteluun.

Verkkokeskusteluun osallistuminen edellyttää rekisteröitymistä (jonka pääset tekemään tästä). Rekisteröityminen ei edellytä lehden tilaamista.

Keskusteluun voit kirjoittaa omalla nimelläsi tai nimimerkillä. Suosittelemme oman nimen käyttöä, sillä on arvokasta seistä mielipiteidensä takana. Ole kriittisenäkin kohtelias ja kunnioita muita. Epäasiallinen käytös estää osallistumisen keskusteluun.

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä, ja julkaisusta päättää toimitus. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda äläkä kiroile.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta. Tekstin yhteyteen voi liittää teemaan liittyviä asiallisia linkkejä, jotka toimitus tarkistaa ennalta. Mainoksia emme julkaise.

Verkon keskustelut ovat osa Turun Sanomien sisältöä, josta olemme vastuussa. Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
  • «
  • 1
  • /
  • 1
  • »