Verkkopankkitunnistuksen yhteyskäytännön siirtymälle ei jatkoaikoja - Traficom valvoo ja velvoittaa korjaamaan
Liikenne- ja viestintävirasto Traficom ottaa lokakuun alusta vanhaan TUPAS-yhteyskäytäntöön perustuvat verkkopankkitunnistusratkaisut tarkempaan syyniin ja selvittää onko vaaditut, turvallisuutta parantavat muutokset tehty. Tarvittaessa virasto aloittaa hallinnolliset valvontatoimet, jos palveluja tarjotaan vanhalla TUPAS-yhteyskäytännöllä edelleen asiakkaille. On hyvä huomata, että Finanssivalvonnan PSD2-valvontatoimien aikataulu ei koske tätä Traficomin määräämää ja valvomaa määräaikaa.
Verkkopankkitunnistuksessa yleisesti käytössä oleva TUPAS-yhteyskäytäntö ei enää täytä nykypäivän vahvalle sähköiselle tunnistamiselle asetettuja turvallisuusvaatimuksia ja se voi heikentää tunnistautuvan asiakkaan tietoturvaa ja -suojaa. Siksi vuonna 2016 säädettiin velvoite parantaa TUPAS:en tietoturvallisuutta tai vaihtaa yhteyskäytäntöä annetussa siirtymäajassa.
Suomessa toimiala päätti luopua TUPAS:sta ja siirtyä käyttämään kansainvälisiä OpenID Connect (OIDC) ja SAML-yhteyskäytäntöjä. Tunnistuspalvelun tarjoajan vastuulla on varmistaa, että sen tarjoama vahva sähköinen tunnistuspalvelu täyttää lainsäädännön vaatimukset ja että se tarjoaa tunnistuspalvelun käytön asiakkailleen vain vaatimusten mukaisena. Tunnistuspalvelujen tarjoajilla korvaavat OIDC- ja SAML-yhteyskäytännöt ovat jo käytössä ja tarjolla asiointipalveluille.
Osalla verkkopalveluiden tarjoajista vaaditut muutokset ovat vielä tekemättä
Tunnistuspalvelun tarjoajan vastuulla on huolehtia, että sen palvelua käyttävät verkkopalvelut täyttävät lainsäädännön vaatimukset. Pahimmassa tapauksessa tunnistuspalvelun tarjoaja voi joutua jopa lopettamaan palvelun tarjoamisen sellaiselle verkkopalvelulle, joka ei täytä näitä vaatimuksia.
Tunnistuspalveluilta saatujen selvitysten mukaan useilla niiden sähköisiä verkkopalveluita tarjoavista asiakkaista tarvittavat muutostyöt ovatkin vielä tekemättä. Aikaa muutosten tekemiselle on syyskuun 2019 loppuun saakka. Tämän jälkeen TUPAS:een perustuva tunnistus ei täytä vahvan sähköisen tunnistamisen vaatimuksia ja sen tarjoamiseen ja käyttöön liittyy vastuuriskejä. Tunnistuspalvelun tarjoajat joutuvatkin pohtimaan, miten ne varmistavat, että heidän asiakkaana toimivat verkkopalvelutkin toteuttavat vaaditut muutokset.
Traficom valvoo lokakuun alussa, tarjoavatko tunnistuspalvelut vahvaa sähköistä tunnistuspalvelua vielä asiakkaille TUPAS-yhteyskäytännöllä. Jos vaatimustenvastaista palvelua tarjotaan, virasto aloittaa tunnistuspalvelun tarjoajaan kohdistuvat hallinnolliset valvontatoimet ja velvoittaa päätöksellä lopettamaan vaatimustenvastaisen tunnistuspalvelun tarjoamisen kohtuullisessa määräajassa. Päätöksessä määriteltävä korjausaika tulee olemaan lyhyt, sillä määräaikaa on jo vuonna 2018 jatkettu vuodella ja TUPAS-yhteyskäytännön käytön jatkaminen on epätasapuolista niiden tunnistuspalveluiden tarjoajien kannalta, jotka ovat tehneet muutokset asiakkaidensa kanssa ajoissa. Päätöksen toimeenpanoa voidaan tehostaa uhkasakolla.
"Tärkeintä on, että sähköisiä palveluja käyttävien tietoturvaa ja tietosuojaa parantavat muutokset saadaan tehtyä ilman aiheetonta viivyttelyä. Tulemme myös harkitsemaan uhkasakkojen antamista, mikäli vaatimustenvastaisten tunnistuspalvelujen tarjoamista ja käyttämistä jatketaan huomautuksesta huolimatta", toteaa Liikenne- ja viestintäviraston Turvallisuussääntely-yksikön päällikkö Jukka-Pekka Juutinen.
Lisätietoja
Päällikkö Jukka-Pekka Juutinen, p. 0295 390 523
Johtava asiantuntija Anne Lohtander, p. 0295 390 618
Erityisasiantuntija Petteri Ihalainen, p. 029 539 0302
Sähköposti etunimi.sukunimi(at)traficom.fi
Asiaan liittyviä julkaisuja
Taustatietoa
Vahvoja sähköisiä tunnistusvälineitä (tunnisteita) Suomessa ovat tällä hetkellä verkkopankkitunnukset, teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet. Vahvat sähköiset tunnistusvälineet on merkitty rekisteriin, joka löytyy Liikenne- ja viestintävirasto Traficomin verkkosivuilta.
Tunnistusvälineen tarjoajat myöntävät vahvoja tunnistusvälineitä käyttäjille. Tunnistusvälineen tarjoaja on esimerkiksi pankki tai teleyritys, joka tarjoaa yleisölle vahvan sähköisen tunnistamisen tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta.
Tunnistusvälityspalvelun tarjoaja on taho, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia erilaisille asiointipalveluille eli sähköiseen tunnistukseen luottavalle osapuolelle (esim. verkkokauppa tai valtionhallinnon sähköinen palvelu). Molempiin viitataan yhdessä tunnistuspalvelun tarjoajina.
Tunnistuspalvelun tarjoajat kuuluvat luottamusverkostoon. Luottamusverkoston perustamisen tavoitteena on, että erilaisia verkkopalveluita tarjoavat asiointipalvelut voisivat hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut yhden välityspalvelun kautta, vaikka verkkopalvelun asiakkailla olisi mikä tahansa suomalainen tunnistusväline käytössään.