Pankkitunnistuksessa käytetty TUPAS-protokolla ei enää täytä vahvan sähköisen tunnistamisen tietoturvavaatimuksia. Se ollaan korvaamassa nykyaikaisemmilla tietoturvavaatimukset täyttävillä protokollilla, joiden käyttöönotto edellyttää järjestelmämuutoksia tunnistusvälinepalveluissa ja verkkopalveluissa. Tunnistuspalvelujentarjoajat ovat jo tehneet tarvittavat muutokset. Nyt on verkkopalvelujen vuoro tehdä vaaditut muutokset omiin järjestelmiinsä, mikäli ne käyttävät vahvaa sähköistä tunnistamista. Muutoksella ei ole vaikutusta itse pankkitunnuksien käyttäjiin ja he voivat käyttää tunnuksiaan kuten aikaisemmin. Nyt tehtävät muutokset vain lisäävät käyttäjien tietoturvallisuutta.
Koska TUPAS-protokolla ei enää täytä vahvan sähköisen tunnistamisen tietoturvavaatimuksia, verkkopalveluissa on aikaa syyskuun loppuun asti tehdä tarvittavat tekniset muutokset järjestelmiinsä. Lokakuun 2019 alusta alkaen nykymuotoiseen TUPAS-protokollaan perustuvaa tunnistuspalvelua ei saa enää tarjota vahvana sähköisenä tunnistuksena. Vahvassa sähköisessä tunnistamisessa siirrytään käyttämään TUPAS-protokollan sijaan nykyaikaisempia OpenID Connect- tai SAML-protokollia.
Sähköisten asiointipalveluiden tunnistusrajapinta muuttuu
Liikenne- ja viestintävirasto on asettanut määräyksellä 72 vahvasta sähköisestä tunnistamisesta(Ulkoinen linkki) takarajaksi 1.10.2019 sille, että nykyisten TUPAS-protokollaan perustuvien tunnistuspalvelujen tietoturvallisuutta on parannettava sanomatason salauksella. Tämä estää esimerkiksi henkilötunnuksen tallentumisen selaimen historiatietoihin tai sellaisiin järjestelmiin, joihin henkilötiedot eivät kuulu. Sen sijaan, että TUPAS-protokollaa kehitettäisiin, se korvataan muilla protokollilla, joilla viraston määräyksessä asetetut tietoturvavaatimukset voidaan täyttää. Virasto on velvoittanut TUPAS-protokollaa käyttäviä tunnistuspalveluiden tarjoajia saattamaan tarjolle 1.3.2019 alkaen tietoturvavaatimukset täyttävät protokollat ovat verkkopalveluiden käyttöönotettavissa viraston määräyksen mukaisesti. Tunnistuspalveluiden tarjoajat ovat ilmoittaneet, että uudet rajapinta ovat nyt verkkopalveluiden saatavilla.
Luottamusverkosto helpottaa vahvan tunnistuksen hankintaa
Luottamusverkoston tavoitteena on, että verkkopalvelu voi hankkia asiakkaidensa vahvaan tunnistamiseen tarvitsemansa palvelut parhaimmillaan yhdellä sopimuksella ja teknisellä rajapinnalla tunnistusvälityspalvelun kautta, eikä salausavaimiakaan tarvitse vaihtaa kuin välityspalvelun kanssa. Tällöin asiointipalvelun ei tarvitse huolehtia siitä, millaisia protokollaratkaisuja tunnistusvälityspalvelun ja tunnistusvälineiden liikkeellelaskijoiden välillä käytetään. Välityspalvelun kautta hankittu vahva sähköinen tunnistus helpottaa myös uusien tunnistusvälineiden käyttöä verkkopalvelun näkökulmasta, sillä teknisiä muutoksia ei todennäköisesti tarvitse tehdä lainkaan uuden välineen tullessa markkinoille.
Verkkopalveluiden kannattaa muutostilanteessa selvittää mahdollisuutta hankkia tarvitsemansa tunnistuspalvelut keskitetysti vahvan sähköisen tunnistamisen luottamusverkostoon kuuluvalta tunnistusvälityspalvelulta. Luottamusverkostoon kuuluvat rekisteröidyt ja valvotut vahvat sähköiset tunnistuspalvelut löytyvät Liikenne- ja viestintäviraston ylläpitämästä rekisteristä(Ulkoinen linkki).
Luottamusverkostoon kuuluu kahdenlaisia vahvoja sähköisiä tunnistuspalveluita: tunnistusvälineen tarjoajat tarjoavat tunnistusvälineitä käyttäjille ja tunnistusvälityspalvelut tarjoavat asiakkaiden sähköistä tunnistusta verkkopalveluille. Tunnistusvälineen tarjoajien on mahdollistettava sopimuksilla se, että tunnistusvälityspalvelut voivat tarjota verkkopalveluille kootusti eri tunnistusvälineitä käyttävien asiakkaiden tunnistamista. Kun luottamusverkoston sisäiset sopimukset saadaan aikaan, verkkopalveluiden mahdollisuudet hankkia ja kilpailuttaa tunnistuspalveluita paranevat, eikä niiden tarvitse enää välttämättä sopia tunnistuspalvelusta erikseen jokaisen tunnistusvälineen tarjoajan kanssa.
Lisätietoja:
Päällikkö Jukka-Pekka Juutinen, p. 0295 390 523
Lakimies Anne Lohtander, p. 0295 390 618
Erityisasiantuntija Petteri Ihalainen, p. 029 539 0302
Sähköposti etunimi.sukunimi(at)traficom.fi