S-pankin ”laiminlyönti kaikkein pyhimmässä” paljasti pankki­tunnusten haavoittuvuuden –  Valtion tarjoama vaihtoehto tulossa suomalaisten puhelimiin ensi syksynä

S-pankin ongelmat herättivät kysymään, onko pankkitunnusten rooli yhteiskunnassa liian suuri. Ministerit Paatero ja Harakka uskovat, että valtion tunnistautumissovellus tulee todella tarpeeseen.

Esimerkiksi verottajan palveluun kirjaudutaan nykyään usein pankkitunnusten avulla.

14.9. 19:04

Elämä ilman pankkitunnuksia on muodostunut Suomessa vaivihkaa varsin vaikeaksi.

Niin vero- ja terveystiedot, Kelan ja poliisin palvelut kuin verkko-ostoksetkin ovat pankkien tarjoaman digitaalisen tunnistautumisen takana.

Vaihtoehtoja toki on, kuten virallinen henkilökortti siruineen, mutta ne ovat kankeampia eivätkä ole yleistyneet. Henkilökortin digitunnistautuminen vaatii tietokoneelta kortinlukijan eikä toimi älypuhelimella.

Pankkitunnuksista on tullut tietoyhteiskunnan peruskivi. Rinnalla ovat yleistyneet teleoperaattoreiden tarjoamat älypuhelimien mobiilivarmenteet.

Tällä viikolla S-pankin tietoturvaongelmat ovat kuitenkin nostaneet esiin kysymyksen siitä, onko pankki- ja mobiilitunnusten rooli suomalaisten elämässä jo liiankin suuri. Sadoilla S-pankin asiakkailla oli virheen vuoksi pääsy toisten asiakkaiden tileille.

Lue lisää: S-pankkia koskevien rikosepäilyjen taustalta paljastui ystävä­porukka – poliisi epäilee yli 50 maksuvälinepetosta ja tutkii 150 tietomurtoa

Lue lisää: Pertti Aallon S-pankin tililtä varastettiin 2 000 euroa ja epätietoisuus jatkui kuukausia: ”Pankista sanottiin, että lasku kannattaa vain maksaa”

Onko tervettä, että avaimet digitaaliseen yhteiskuntaan ovat lähes täysin yksityisten yritysten vastuulla?

Kuntaministeri Sirpa Paatero (sd) ei halua suoraan kommentoida S-pankin tapausta, jonka syitä hän ei lähemmin tunne.

Hänen mukaansa valtionhallinnossa on kuitenkin tiedostettu esimerkiksi se näkökohta, että nykyään tunnistautumista tarjoavilla yrityksillä eli pankeilla ja teleoperaattoreilla on myös ulkomaista omistusta.

”Ajatus siitä, että tämä järjestelmä olisi Suomessa, on tärkeää.”

Paatero vastaa valtiovarainministeriössä digitaalisen henkilöllisyyden hankkeesta, jolla juuri tätä ongelmaa yritetään korjata. Hänen mukaansa valtion tarjoama systeemi olisi perustaltaan luotettavampi.

”On tärkeää, että meillä on yhteiskunnan oma tunnistautumisjärjestelmä, joka pohjaa viranomaistietoihin. Tunnistautuminen on silloin ainakin siltä osin varmistettu.”

Pankkitunnuksiin liittyneet avainlukulistat ovat jääneet monilta pois käytöstä mobiilivarmenteiden myötä. Kumpikin menetelmä on yksityisen yrityksen tarjoama.

Digitaalisen henkilötunnuksen hanke tulee eduskunnan käsittelyyn ensi viikolla. Sen tavoite on tarjota pankkitunnusten rinnalle virallinen vaihtoehto, joka olisi tällä kertaa myös kätevä käyttää.

Käytännössä kyse olisi älypuhelinsovelluksesta. Se olisi digitaalinen henkilökortti, jonka avulla voisi muutamalla klikkauksella kirjautua tarvitsemiinsa palveluihin.

Paateron mukaan sen on määrä olla suomalaisten saatavilla ensi vuoden syyskuussa.

Aluksi sovellus toimisi julkisiin palveluihin, mutta valtiovalta toivoo yksityisten yritysten ottavan sitä nopeasti käyttöön. Pankkitunnuksia ja mobiilivarmenteita ei olla kieltämässä, vaan virallinen vaihtoehto tulisi niiden rinnalle.

Paateron mukaan pankkien kanssa asiasta on keskusteltu ”hyvässä yhteisymmärryksessä”. Teleoperaattorit ovat olleet enemmän vastahangassa.

”Heidän kanssaan on jouduttu käymään enemmän keskusteluita”, Paatero sanoo.

Kuntaministeri Sirpa Paatero (sd) on vastuussa digitaalisen henkilökortin esittelemisestä.

Suomen hankkeen taustalla ovat EU-tason tavoitteet. EU-komissio tahtoo, että kaikilla EU-kansalaisilla olisi tulevaisuudessa käytössään oma digitaalinen lompakko, jonka tietoja he itse hallitsevat.

EU:n pyrkimyksenä on päästä eroon tilanteesta, jossa ihmiset joutuvat luovuttamaan yksityisiä tietojaan kolmannelle osapuolelle päästäkseen käyttämään palveluita. Tavoitteena on myös se, että ihmiset voivat itse päättää, missä laajuudessa tietoja minnekin luovuttavat.

Suomessakin digitaalisen henkilötunnuksen haltija voisi esimerkiksi ikää kysyttäessä halutessaan näyttää vain ikänsä, ei mitään muuta.

Suomessa digitaalinen henkilökortti olisi tuon ”digitaalisen lompakon” ensimmäinen kortti. Paateron mukaan myöhemmin siihen voisi liittää myös esimerkiksi ajokortin ja erilaisia todistuksia, kuten vaikka kalastusluvan tai tulityökortin.

Kun hallituksen esitysluonnoksesta kerättiin lausuntoja, kansalaisilta niitä tuli poikkeuksellisen paljon – ja palaute oli lähes poikkeuksetta kriittistä.

Paateron mukaan kritiikki on jakautunut kahteen osaan.

Ensimmäinen osa on ollut huolta siitä, pystyykö palveluja tulevaisuudessakin käyttämään myös ilman digivälineitä. Paateron mukaan paperiasiointi tullaan takaamaan vastedeskin.

Toinen osa on ollut ”isoveli valvoo” -tyyppistä huolta siitä, että valtion tarjoama tunnistussovellus tekisi kansalaisista valtion valvonnan alaisia. Paateron mukaan siinä on kyse väärinkäsityksestä.

”Tässähän ihmiselle on nimenomaan tulossa enemmän valtaa siihen, mitä tietoja hän luovuttaa minnekin.”

Liikenne- ja viestintäministeri Timo Harakka (sd) toivoo, että valtion tunnistautumisvaihtoehto saavuttaisi tällä kertaa myös kansalaisten suosion.

Tunnistautumisen kehitystä on seurattu myös liikenne- ja viestintäministeriössä, jonka vastuulla on Suomen kyberturvallisuuden koordinointi.

Liikenne- ja viestintäministeri Timo Harakan (sd) mukaan S-pankin tapauksessa pistää silmään kaksi asiaa.

”Ensinnäkin kyseessä oli finanssiala, joka on tutkitusti ollut meidän kyberturvallisin ala, niin kuin sen pitääkin olla. Siinä mielessä tämä oli laiminlyönti kaikkein pyhimmässä”, hän sanoo.

”Toinen asia on juuri se, että meillä tunnistautuminen on niin voimakkaasti pankkitunnistautumisen varassa.”

Harakan mukaan liikenne- ja viestintäministeriökin kannattaa pyrkimyksiä luoda vaihtoehto pankki- ja mobiilitunnuksille.

Harakan mukaan ”valtion sovelluksen” ei kuitenkaan tarvitse tarkoittaa sitä, että se olisi myös käyttöliittymältään valtion suunnittelema. Hänen mukaansa henkilökortin kokemuksista pitäisi oppia se, että helppous ratkaisee.

”Ministeriömme on edustanut sitä kantaa, että mukaan kannattaa ottaa meidän käyttöliittymiä tekeviä yrityksiä, joilla on tämä asiakasymmärrys.”

Oikaisu 15. 9. klo 11.15: Korjattu valtiovarainministeriön hankkeen nimi. Kyse on digitaalisen henkilöllisyyden hankkeesta eikä digitaalisen henkilötunnuksen hankkeesta, kuten artikkelissa alun perin luki.

Seuraa ja lue artikkeliin liittyviä aiheita

Osaston uusimmat

Luitko jo nämä?

Osaston luetuimmat