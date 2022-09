Asiakasmäärältään Suomen suurimpiin pankkeihin kuuluvan S-pankin tietoturvan pettäminen on huojuttanut monien luottamusta sähköiseen asiointiin.

Häiriö mahdollisti sähköisen tunnistautumisen väärinkäytön huhtikuusta 2022 elokuun 2022 alkuun.

Sähköisen tunnistamisen viranomaisvalvonta kuuluu Suomessa Liikenne- ja viestintävirasto Traficomille.

Vahvan sähköisen tunnistamisen erityisasiantuntija Petteri Ihalainen Traficomista, missä vaiheessa S-pankkiin liittyvä tutkinta teillä tällä hetkellä on?

– Traficom on vastaanottanut S-pankilta ilmoituksen häiriöstä ja selvittää tapahtumien kulun pankin kanssa. Selvitetään, onko siellä menty lain ja määräysten puitteissa, ja mitä muuta siellä on tapahtunut. Yritetään selvittää ne juurisyyt, mikä ovat johtaneet tällaiseen ongelmatilanteeseen. Sitten tehdään virallinen päätös.

Kun puhutaan sähköisestä tunnistamisesta kaksi ammattisanaa ovat hyvin keskeisiä: Toinen on autentikointi ja toinen autorisointi. Mitä niillä tarkoitetaan?

– Tunnistus eli autentikointi on oikeastaan sitä, että päätetään, pääsetkö sisään. Autorisointi eli valtuutus antaa vastauksen siihen, mitä voit tehdä.

Onko S-pankin tapauksessa ollut kyse nimenomaan valtuuttamiseen eli autorisointiin liittyvästä ongelmasta?

– Siitä ei ole vielä tietoa, koska selvitys on vielä kesken. Julkisestikin on kerrottu, että kyseessä on ollut ohjelmistovirhe, jota on käytetty väärinkäytöksiin. Yksityiskohdat eivät vielä ole tiedossa.

Tunnistuspalvelun avulla henkilö pääsee käsiksi omiin hyvinkin merkityksellisiin tietoihinsa. Millainen tunnistuspalveluja tarjoavien yritysten joukko tällä hetkellä on?

– Tunnistusvälineiden liikkeellelaskijoita on 13 yksityisen sektorin organisaatiota, eli 10 pankkia, mobiilioperaattorit ja julkisen sektorin toimija Digi- ja väestötietovirasto. Sitten on välityspalveluja tarjoavia toimijoita, joilta esimerkiksi verkkokauppa voi ostaa tunnistuksen kaikkien pankkien ja mobiilioperaattorien tunnistukselta.

Entä, kuinka kirjava sähköisessä tunnistamisessa käytettyjen tietoteknisten ratkaisujen ja ohjelmistojen tarjonta on?

– Löytyy sekä isompia että pienempiä toimijoita. Vaihtoehtoja on aina avoimen lähdekoodin järjestelmistä isoihin kaupallisiin toimijoihin. On tunnistuspalvelun tarjoajan valinta, mitä hän haluaa käyttää.

S-pankki on kertonut, ettei heidän tunnustensa käyttöä pysty rajaaman vain verkkopankkikäyttöön. Tämä lienee linja myös muilla pankeilla. Pitäisikö rajaamismahdollisuus kuitenkin olla, samaan tapaan kuin esimerkiksi maksukortin käyttöalueen voi rajata pelkästään Suomeen.

Tätä tulisi pohtia tulevaisuudessa. Eli että käyttäjälle tulisi antaa mahdollisuus siihen, että hän voisi estää käytön tietyn palvelujoukon ulkopuolella. Se voisi olla hyvä ominaisuus, jos sen haluaisi ottaa käyttöön. Mutta sitten nousee kysymys, miten se purettaisiin, koska eihän sitä samalla tunnistusvälineellä voi purkaa, jota yrittää suojata.

Jos sähköisen tunnistamisen menetelmiä laitetaan jonoon, niin mikä on vahvin ja mikä heikoin?

Luokkia on kolme: "Heikko" tarkoittaa pelkkä salasanaa. Seuraava taso kun mennään ylöspäin on "korotettu". Suomen pankkitunnisteet ja mobiilioperaattorien myöntämät varmenteet toimivat tällä tasolla. Sitten kaikkein turvallisin taso, eli "korkea", on esimerkiksi Digi- ja väestötietoviraston sähköinen henkilökortti. Siihen liittyvät kaikista tiukimmat myöntämiseen, tunnistamiseen, tunnistusvälineeseen ja taustajärjestelmiin liittyvät vaatimukset.

Pitääkö suomalaisten olla huolestuneita sähköisten tunnistuspalvelujen luotettavuudesta juuri nyt?

Ei pidä olla. Jos ajatellaan meidän valvontaa ja arviointia, jota tunnistuspalvelujen tarjoajat joutuvat käymään läpi, meillä on aika tarkka seula. Mitä olen muiden EU-maiden valvontaa seurannut, Suomi on kärkitasoa turvallisuudessa.

Lue myös:

Lukuisilta S-pankin tileiltä on viety rahaa laittomasti – Poliisi: maksuvälinepetoksia ainakin 53, tietomurtoja noin 150