Monen yrityksen verkkopalvelut ovat vaarassa loppua ilman muutoksia

Yrityksille suunnatun TUPAS-blogin kuva

Liikenne- ja viestintävirastossa on luettu viime aikoina vahvaa sähköistä tunnistusta koskevia uutisia tarkkaavaisena ja huolestuneena. Vaikuttaa siltä, että osalla yrityksiä on jäänyt huomioimatta merkittävä vahvaa sähköistä tunnistusta koskeva muutos*, jolla on suuri merkitys yritysten liiketoiminnan jatkuvuudelle ja asiakkaiden turvallisuudelle. Ilman toimenpiteitä monen yrityksen verkkopalveluiden käyttö uhkaa loppua 1.10.2019.

Muutos koskee yritysten verkkopalveluissa käytettyä ja pankkien tarjoamaa TUPAS-yhteyskäytäntöä. Kyse on teknisestä ratkaisusta, jolla tarvittava tiedot tunnistautuvasta asiakkaasta siirretään yrityksen sähköisen palvelun ja tunnistuspalvelun tarjoajan järjestelmän välillä.

Uutisten mukaan jopa neljänneksessä yrityksistä tarvittavat muutostyöt ovat tekemättä. Nyt on viimeinen hetki alkaa tehdä muutoksia ja varmistaa yrityksen liiketoiminnan jatkuvuus. Jos muutoksia ei tehdä, yrityksen vahvaan tunnistamiseen tukeutuvien verkkopalveluiden käyttö käytännössä loppuu. Mikäli yritys jatkaa asiakkaiden tunnistamista ilman muutoksia, kantaa se osaltaan mahdolliset riskit ja seuraamukset vaatimustenvastaisen tunnistuspalvelun käyttämisestä.

*Esimerkiksi Kauppalahden uutisessa 15.8.2019 kerrottiin, että TUPAS-tunnistautumista käyttävistä verkkopalveluista neljäsosa ei ollut vielä tehnyt vaadittuja muutoksia.

Mistä lisätietoa ja apua?

Tärkeintä on ensiksi selvittää, käytättekö verkkopalveluissanne vahvaa sähköistä tunnistamista kuten asiakkaidenne tunnistamista verkkopankkitunnuksilla. Jos käytätte, ota yhteys tunnistuspalvelua tarjoaviin yrityksiin ja kysy mitä teidän tulisi tehdä. Voit myös olla yhteydessä mahdolliseen verkkopalvelualustanne toimittaneeseen ja sitä tarjoavaan yritykseen ja kysyä onko muutokset tehty verkkopalvelussanne.

Liikenne- ja viestintävirasto on myös julkaissut ohjeen (Ulkoinen linkki) muutoksen läpiviemiseksi, mihin teidän yrityksessänne kannattaa myös tutustua. Voitte myös olla virastoon yhteydessä, jos muutos herättää kysymyksiä. Viraston sivuilta löytyy myös rekisteri tunnistuspalvelujen tarjoajista (Ulkoinen linkki).

Tiesithän, että nykyään voitte kilpailuttaa ja ostaa tunnistuspalvelut yhdeltä yritykseltä eli tunnistusvälityspalvelun tarjoajalta sen sijaan, että ostaisitte palvelut jokaiselta tunnistuspalvelua tarjoavalta pankilta ja teleyritykseltä erikseen. Tämä myös helpottaa TUPAS:ta koskevan muutoksen tekemistä. Tarvitsette vain yhden sopimuksen ja yhden järjestelmämuutoksen. Suomessa on jo useita tunnistusvälityspalvelujen tarjoajia, jotka välittävät kaikkia käytössä olevia vahvoja tunnisteita.

Monelle yritykselle sähköisten palveluiden turvallisuus ja luotettavuus ovat olennainen osa asiakaskokemusta ja -luottamusta. Kannattaa siis turvata oman yrityksen verkkopalveluiden toiminnan jatkuvuus ja ottaa käyttöön uusi turvallisempi sähköisen tunnistamisen yhteyskäytäntö. Peliaikaa on syyskuun loppuun asti.

Taustatietoa

Suomalaisesta TUPAS:ta siirrytään kansainvälisiin yhteyskäytäntöihin 1.10.2019 alkaen. Tietoturvallisuus on tärkeässä osassa tätä vahvaa sähköistä tunnistamista. TUPAS:en osalta on ollut tiedossa vuosien ajan, ettei se täysin täytä nykypäivän turvallisuusvaatimuksia ja voi siten vaarantaa tunnistautuvan asiakkaan tietoturvan ja -suojan. Tästä johtuen vuonna 2016 säädettiin velvoite parantaa TUPAS:en tietoturvallisuutta tai vaihtaa yhteyskäytäntöä annetun siirtymäajan puitteissa.

Suomessa päätettiin luopua TUPAS:sta ja siirtyä käyttämään kansainvälisiä SAML- ja OIDC-yhteyskäytäntöjä. Tunnistuspalvelujen tarjoajat ovat jo ottaneet SAML:n tai OIDC:n käyttöön omissa järjestelmissään, mutta nyt myös yritysten tulisi tehdä tämä.

Tunnistuspalvelun tarjoajan vastuulla on varmistaa, että sen tarjoama vahva sähköinen tunnistuspalvelu täyttää lainsäädännön vaatimukset ja sen asiakasyritykset noudattavat asetettuja vaatimuksia. Tunnistuspalvelun tarjoaja voikin joutua arvioimaan tunnistuspalvelun tarjoamisen lopettamista yritykselle, ellei yrityksessä ole tehty vaadittuja muutoksia.

Vahvoja sähköisiä tunnistusvälineitä (tunnisteita) Suomessa ovat tällä hetkellä verkkopankkitunnukset, teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet. Vahvat sähköiset tunnistusvälineet on merkitty rekisteriin, joka löytyy Liikenne- ja viestintävirasto Traficomin verkkosivuilta.

Tunnistusvälineen tarjoajat myöntävät vahvoja tunnistusvälineitä käyttäjille. Tunnistusvälineen tarjoaja on esimerkiksi pankki tai teleyritys, joka tarjoaa yleisölle vahvan sähköisen tunnistamisen tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta.

Tunnistusvälityspalvelun tarjoaja on taho, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia erilaisille asiointipalveluille eli sähköiseen tunnistukseen luottavalle osapuolelle (esim. verkkokauppa tai valtionhallinnon sähköinen palvelu). Molempiin viitataan yhdessä tunnistuspalvelun tarjoajina.

Tunnistuspalvelun tarjoajat kuuluvat luottamusverkostoon. Luottamusverkoston perustamisen tavoitteena on, että erilaisia verkkopalveluita tarjoavat asiointipalvelut voisivat hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut yhden välityspalvelun kautta, vaikka verkkopalvelun asiakkailla olisi mikä tahansa suomalainen tunnistusväline käytössään.

Kirjoittaja

Jarkko Saarimäki toimii Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen johtajana.

Jatketaan keskustelua Twitterissä @Saarimaki (Ulkoinen linkki)

#verkkopalvelu (Ulkoinen linkki)

#sähköinenasiointi

#vahvatunnistus

#verkkopankkitunnistus

#TUPAS (Ulkoinen linkki)

#SAML (Ulkoinen linkki)

#OIDC (Ulkoinen linkki)

#eIDAS

#tietoturva

#tietosuoja