Verkkopalveluissa varauduttava pankkitunnistuksen muuttumiseen

Julkaistu 21.05.2018 | Päivitetty 22.05.2018

Suomessa pankkien tunnistuspalveluissa käytetty Tupas-protokolla ei täytä jatkossa vahvan sähköisen tunnistamisen vaatimuksia, jotka ovat yhdenmukaistettu EU-sääntelyn kanssa. Tiukentuneet tietoturvavaatimukset edellyttävät pankkeja ottamaan käyttöön kehittyneemmän protokollan. Lisäksi muutoksia täytyy tehdä kaikissa verkkopalveluissa, joissa käytetään pankkitunnistusta. Viestintävirasto vaatii, että muutokset eri verkkopalveluiden tietojärjestelmiin tehdään syyskuun 2019 loppuun mennessä.

Vahvassa sähköisessä tunnistamisessa tullaan käyttämään TUPAS-protokollan sijaan todennäköisimmin SAML- ja OpenID Connect -protokollia. Finanssiala ry. on ilmoittanut, ettei TUPAS-protokollaa enää kehitetä vahvan tunnistuksen vaatimukset täyttäväksi.

Sähköisten asiointipalveluiden tunnistusrajapintaa muutettava

Viestintävirasto asettaa määräyksellä 72 vahvasta sähköisestä tunnistamisesta takarajan, johon mennessä nykyisten TUPAS-protokollaan perustuvien tunnistuspalvelujen tietoturvallisuutta on parannettava sano-matason salauksella. TUPAS-protokolla korvataan todennäköisesti kokonaan muilla protokollilla, joilla Viestintäviraston määräyksessä asetetut tietoturvavaatimukset voidaan täyttää. Kyseessä on iso muutos verkkopalvelun tarjoajille, minkä takia muutokseen on varattu pitkä siirtymäaika.

SAML- tai OpenID Connect -protokollan ja sanomatason salauksen käyttöönotto edellyttää toimenpiteitä kaikilta verkkopalveluilta, jotka tunnistavat asiakkaansa pankkitunnistuksella. Verkkopalvelujen tietojärjestelmiin on tehtävä muutoksia, jotta ne tukevat tunnistusviestien sanomatason salausta. Sekä tunnistuspalvelun että sähköisen verkkopalvelun tarjoajan tulee lisätä tietoliikenteeseen sanomatason salaus järjestelmien rajapintoihin. Salauksen käyttöönotto edellyttää uusien salausavainten luomista ja niiden vaihtamista tunnistuspalvelun tarjoajan ja verkkopalvelun tarjoajan välillä. Sanomatason salaus pienentää riskiä esimerkiksi käyttäjän henkilötunnuksen tallentumiselle lokeihin selkokielisenä.

Pankkien tulee tarjota uudet vaatimukset täyttävää tunnistusrajapintaa asiointipalveluille viimeistään 1.3.2019. Nykyiseen TUPAS-protokollaan pohjautuvaa vahvaa sähköistä tunnistuspalvelua saa tarjota uuden rajapinnan rinnalla syyskuun loppuun 2019 saakka. Verkkopalveluissa on tänä aikana tehtävä niiden järjestelmien tarvitsemat muutokset. Lokakuun 2019 alusta alkaen nykymuotoiseen TUPAS-protokollaan perustuvaa tunnistuspalvelua ei saa enää tarjota vahvana sähköisenä tunnistuksena.

Luottamusverkosto helpottaa tunnistuspalveluiden hankintaa

Verkkopalveluiden kannattaa muutostilanteessa selvittää mahdollisuutta hankkia tarvitsemansa tunnistuspalvelut keskitetysti vahvan sähköisen tunnistamisen luottamusverkostoon kuuluvalta tunnistusvälityspalvelulta. Luottamusverkostoon kuuluvat rekisteröidyt ja valvotut vahvat sähköiset tunnistuspalvelut löytyvät Viestintäviraston rekisteristä.

Luottamusverkostoon kuuluu kahdenlaisia vahvoja sähköisiä tunnistuspalveluita: tunnistusvälineen tarjoajat tarjoavat tunnistusvälineitä käyttäjille ja tunnistusvälityspalvelut tarjoavat asiakkaiden sähköistä tunnistusta verkkopalveluille. Tunnistusvälineen tarjoajien on mahdollistettava sopimuksilla se, että tunnistusvälityspalvelut voivat tarjota verkkopalveluille kootusti eri tunnistusvälineitä käyttävien asiakkaiden tunnistamista. Kunhan luottamusverkoston sisäiset sopimukset saadaan aikaan, verkkopalveluiden mahdollisuudet hankkia ja kilpailuttaa tunnistuspalveluita paranevat, eikä niiden tarvitse enää välttämättä sopia tunnistuspalvelusta erikseen jokaisen pankin ja muun tunnistusvälineen tarjoajan kanssa.

Tavoitteena on, että jatkossa verkkopalvelu voi hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut parhaimmillaan yhdellä sopimuksella tunnistusvälityspalvelun kautta, eikä salausavaimiakaan tarvitse vaihtaa kuin välityspalvelun kanssa. Tällöin asiointipalvelun ei tarvitse huolehtia siitä, millaisia protokollaratkaisuja tunnistusvälityspalvelun ja tunnistusvälineiden liikkeellelaskijoiden välillä käytetään.

Lisätietoja:

Lakimies Marko Priiki, p. 0295 390 596

Päällikkö Jukka-Pekka Juutinen, p. 0295 390 523

Lakimies Anne Lohtander, p. 0295 390 618

Sähköposti etunimi.sukunimi(at)viestintavirasto.fi

Lisätietoa aiheesta

TUPAS-tunnistamista käyttäviltä asiointipalveluilta edellytetään muutoksia (uutinen 10.4.2018)

Enimmäishinta tunnisteen luomiselle - luottamusverkoston neuvottelut takkuavat  (uutinen 24.4.2018)

Taustatietoa

Vahvoja sähköisiä tunnistusvälineitä (tunnisteita) Suomessa ovat tällä hetkellä verkkopankkitunnukset, teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet. Vahvat sähköiset tunnistusvälineet on merkitty rekisteriin, joka löytyy Viestintäviraston verkkosivuilta.

Tunnistusvälineen tarjoajat myöntävät vahvoja tunnistusvälineitä käyttäjille. Tunnistusvälineen tarjoaja on esimerkiksi pankki tai teleyritys, joka tarjoaa yleisölle vahvan sähköisen tunnistamisen tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta.

Tunnistusvälityspalvelun tarjoaja on taho, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia erilaisille asiointipalveluille eli sähköiseen tunnistukseen luottavalle osapuolelle (esim. verkkokauppa tai valtionhallinnon sähköinen palvelu). Molempiin viitataan yhdessä tunnistuspalvelun tarjoajina.

Tunnistuspalvelun tarjoajat kuuluvat luottamusverkostoon. Luottamusverkoston perustamisen tavoitteena on, että erilaisia verkkopalveluita tarjoavat asiointipalvelut voisivat hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut yhden välityspalvelun kautta, vaikka verkkopalvelun asiakkailla olisi mikä tahansa suomalainen tunnistusväline käytössään.


Asiasanat: Tietoturva , Sähköinen tunnistaminen , Uutiset

LinkedIn Print