Reaalimaailmassa kansalaisten mahdollisuus tunnistautua luotettavasti on valtiolle kuuluva viranomaistehtävä. Tunnistautumisvälineiksi käyvät passi, henkilötodistus ja ajokortti. Kaikkien näiden hakemukset käsittelee ja todistukset myöntää viranomainen.

Internetissä fyysisellä passilla tai henkilötodistuksella ei kuitenkaan tee mitään. Verkkokansalaisen identiteettiä ei takaa viranomainen, vaan digitaaliseksi kulkuluvaksi on tarjolla sekalainen joukko erilaisia kaupallisia järjestelmiä. Käyttäjän yksityisyyden kannalta tilanne on kestämätön.

Verkossa törmää yhä useammin palveluihin, joihin ei tarvitse hankkia erillistä käyttäjätunnusta vaan sisään voi kirjautua Google- tai Facebook-tilinsä tunnuksilla. Internetin käyttäjän elämä helpottuu, kun yhdellä tunnuksella pääsee moneen paikkaan eikä omaa muistia tarvitse kuormittaa jälleen yhdellä salasanalla.

Laajemmin tarkasteltuna kehityksellä on myös kääntöpuolensa: monikansalliset yhtiöt ovat lähes huomaamatta ottamassa verkossa roolia universaaleina henkilöllisyyden varmentajina. Tilanne vastaa jotakuinkin sitä, että henkilöllisyytensä voisi vaikkapa vakuutusyhtiössä todistaa kaupan bonuskortilla.

Ilmaista lounasta ei ole olemassa, vaan yritykset tarjoavat yleispasseja, jotta ne saisivat tietoa käyttäjästä mainonnan kohdistamista varten.

Uhkaa yksityisyyden suojalle yritetään parhaillaan korjata lainsäädännöllä, kuten EU:n tulevalla tietosuoja-asetuksella. Lait eivät kuitenkaan yksin riitä. Valtiot voisivat toimia jämerämmin mahdollistaakseen sähköisen tunnistamisen verkossa.

Kokeiluja sähköisen tunnistamisen ratkaisemiseksi ei ole puuttunut.

Laitevaatimuksiin kompastunut sähköinen henkilökortti on saanut seuraajakseen muun muassa kunnianhimoisen mobiilivarmenteen, jonka ansiosta kansalainen voi tunnistautua erilaisissa verkkopalveluissa matkapuhelimen sim-korttiin liitettävällä tunnusluvulla.

Suomen suurimpien matkapuhelinoperaattoreiden ja Ficomin yhteishanke on askel turvallisempaan suuntaan, mutta siitä ei ole yksin hidastamaan Googlen tai Facebookin matkaa verkon passipoliisiksi.

Verkkokaupoissa asioidessaan moni käyttää verkkopankkien tunnistautumisjärjestelmää. Järjestelmä nauttii melko laajaa luottamusta, sillä pankeilla on oma vahva intressinsä suojata asiakkaidensa yksityisyyttä. Siinä missä Googlen ja Facebookin liiketoiminta nojaa juuri käyttäjätietojen kaupalliseen hyödyntämiseen, pankkien bisnes on toisaalla.

Pankkienkin palvelusta huolehtivat kaupalliset palveluntarjoajat, mutta järjestelmää valvoo valtio. Lisäksi järjestelmä on suomalainen eikä herätä rajatun käyttäjäkuntansa takia kansainvälistä kiinnostusta palveluntarjoajissa.

Tunnistautumista vaativat kansainväliset verkkopalvelut käyttävät tarjoamissaan tunnistusmuodoissa usein avointa OpenID-rajapintaa. Tämän tekniikan ansiosta niihin voi kirjautua vaikkapa Google-tunnuksilla.

Saman tekniikan avulla myös valtion olisi mahdollista rakentaa oma tunnistautumisjärjestelmänsä, jota kansalaiset voisivat käyttää globaaleissa palveluissa ilman pelkoa henkilötietojen käyttämisestä kyseenalaisiin tarkoituksiin. Toki tällaisen järjestelmän yleistyminen palveluntuottajien keskuudessa vaatisi riittävää käyttäjäkuntaa, mutta teknisenä muutoksena se ei olisi iso.

Kansalaisten yksityisyyden suojeleminen verkossa on vähintään yhtä tärkeää kuin reaalimaailmassa. Siksi henkilöllisyyden todistamista ei voi jättää ainoastaan yritysten ratkaistavaksi.

Passin muuttaminen virtuaaliseksi olisi kansalaisten edun valvontaa parhaimmillaan. Kysymys on enää siitä, mikä valtio ryhtyy siihen ensimmäisenä ja kuinka saavutetaan tarvittava kriittinen massa.

Suomi on kehittynyt tietoyhteiskunta, josta ei puutu osaamista. Laajaan kansalaiskäyttöön suunnitellut palvelut tarjoaisivat oivan mahdollisuuden kannustaa suomalaisia hankkimaan oma Suomi-tili. Tarvitaan vaivaton ja käytettävyydeltään moitteeton ratkaisu, joka muistuttaisi Googlen palveluja ja noudattaisi hyviä tietoturvaperiaatteita.

Kuten niin monessa muussa asiassa, myös tässä tarvittaisiin vahvaa näkemystä ja poliittista tahtoa, joka kokoaisi osaajat saman pöydän ääreen.

Kirjoittaja on tietoturvaratkaisuja kehittävän Nixu Oy:n johtaja.