Liikenne- ja viestintäviraston määräys koskien vahvaa sähköistä tunnistusta ja luottamuspalveluita astuu täysimääräisinä voimaan kesäkuussa 2023.
Uudessa määräyksessä on kaksi tärkeää kohtaa, jotka tekevät sähköisestä asioinnista entistä turvallisempaa.
Suomessa asiointipalvelut ostavat pääsääntöisesti vahvan sähköisen tunnistuksen palveluja välityspalveluilta, jotka puolestaan muodostavat yhteydet Suomen 13 yksityissektorin tunnistusvälineen tarjoajaan. Käyttäjälle tämä rakenne ei kovin usein tule esille. Joskus välityspalvelun mukanaolo sekoittaa loppukäyttäjän. Käyttäjän on ollut vaikeaa varmistaa mihin palveluun hän on oikeasti ollut kirjautumassa.
Jatkossa asiointipalveluiden ja välityspalveluiden on sovittava yhdessä nimitieto, joka yksiselitteisesti kertoo käyttäjälle mihin palveluun hän on hyväksymässä tunnistuspyyntöä. Käyttäjän tulee pystyä helposti tarkistamaan palvelun nimi, mihin hän on kirjautumassa.
Esimerkiksi niin, että käyttäjä menee selaimellaan ”Verkkokauppa Verho”:n verkkokauppaan. Tunnistuksen eri vaiheissa käyttäjän tulisi nähdä tämä sama tieto ”Olet tunnistautumassa: Verkkokauppa Verho”. Tämä nimitieto kulkee mukana kaikissa niissä tunnistustapahtuman askelissa, missä se on mahdollista näyttää.
Mobiilitunnistuksessa tämä tieto kulkee aina tunnistusvälineeseen asti. Tiedon avulla on tarkoitus helpottaa käyttäjää tunnistamaan ne tilanteet, joissa hänet on mahdollisesti väärin perustein houkuteltu tunnistautumaan täysin eri palveluun.
Toinen käyttäjälle näkyvä uudistus on tuttu jo joidenkin tunnistusmenetelmien kohdalla. Istuntotunniste on esimerkiksi merkkijono, jonka tulisi olla sama sekä selaimessa että tunnistusvälineessä, joka sellaisen pystyy näyttämään. Jos istuntotunnisteet eivät täsmää, voi olla kyseessä oikeudeton tunnistuspyyntö, jolloin tunnistustapahtuma tulee katkaista.
Istuntotunniste ei kuitenkaan estä kalasteluyrityksiä, joissa kalastelija pystyy näyttämään käyttäjälle selaimessa väärennettyä tietoa.
Molemmat käyttäjälle näkyvät parannukset pyrkivät vähentämään vahvaan sähköiseen tunnistukseen kohdistuvia uhkia. Parannusten täysimittainen hyödyntäminen edellyttää joko mobiilivarmenteen tai tunnistussovelluksen käyttöä.
Kyberturvallisuuskeskus muistuttaa, että kaikkia uhkia ja väärinkäytöksiä ei kuitenkaan koskaan voida sulkea pois. Sähköisessä asioinnissa on aina muistettava huolellisuus. Vahva sähköinen tunnistusväline on henkilöllisyystodistuksesi verkossa.
Vahvaa sähköistä tunnistusta ei tule myöskään tehdä kiireisessä tilanteessa. On myös muistettava lukea kaikki tunnistustapahtuman aikana saapuvat viestit tarkkaan. Asiointipalveluihin ei myöskään ole hyvä kirjautua hakukoneiden linkkien kautta, sähköpostilinkkien kautta tai SMS-viestien tai muun pikaviestimien linkkien kautta.
– Ei, vaikka viesti näyttäisi tulevan omalta pankiltasi. Kirjoita aina palvelun nimi selaimen osoitekenttään itse, tai käytä itse tallentamaasi kirjainmerkkiä, Kyberturvallisuuskeskus muistuttaa.
