Tunnistuspalvelun kehitystyö etenee

Näin kevään edetessä vauhdilla myös tunnistuspalvelun kehitystyö etenee. Kehitystyötä tehdään ketterin kehitysmenetelmin osaavan scrum tiimin voimin. Olemme edenneet joulukuussa 2014 valmistuneesta POC (Proof Of Concept) vaiheesta pitkin harppauksin. Tällä hetkellä kehittämisessä keskitytään tunnistuspalvelun core – toiminnallisuuden edelleen kehittämiseen ja tunnistuspalvelun kyvykkyyksiin skaalautua takaamaan palvelun saatavuus kuormittavissakin tilanteissa. Tunnistuspalvelun kehitysversion toimivuus on todettu onnistuneena tunnistustapahtumana testiympäristössä läpi koko ketjun aina tunnistuslähteeltä asiointipalveluun ja lisäksi kuormitustestaukset ovat antaneet lupaavia tuloksia. Tietoturvalla on erittäin merkittävä rooli, jota kehitetään yhdessä tietoturva-ammattilaisten kanssa jatkuvana prosessina kiinteänä osana jokaista sprinttiä.

Kehityksessä tulemme painottamaan asiakkaiden liittymisen helppoutta tunnistuspalveluun. Rakennamme mahdollisuuksia asiointipalvelulle liittyä tunnistuspalveluun hallintaliittymän kautta tavoitteenamme nopeuttaa ja helpottaa tunnistuspalvelun käyttöönottoa asiointipalveluille. Hallintaliittymän kautta on luonnollisesti tarjolla mahdollisuus liittyä yhden luukun periaatteella myös rooli- ja valtuutuspalveluun, näkymiin sekä palveluväylään. Ajoittain kuulee kysymyksen, mitä välineitä voin käyttää tunnistautumiseen palvelussa? Nykyiset markkinoilla olevat tunnistusvälineet tulevat toimimaan tunnistuspalvelussa myös tulevaisuudessa. Jatkossa tarjotaan kansalaiselle myös mahdollisuus käyttää sosiaalisen median tunnistautumista yhtenä vaihtoehtona asiointipalveluissa, joissa riittää kevyt tunnistautuminen. Asiointipalvelun on mahdollista vaatia käyttäjältä vahvempaa tunnistautumista asioinnin niin vaatiessa, vaikkapa tietojaan muutettaessa tai hakemusta jättäessä.

Olemme vaiheessa, jossa olemme nähneet kehitysympäristössä tunnistamisen toimivuuden ja odotamme mielenkiinnolla asiointipalveluiden kanssa aloitettavia yhteisiä testejä. Keskeisiä kumppaneita tässä vaiheessa kehittämistyötä ovat työ- ja elinkeinoministeriö, ministeriön hallinnonalan virastot ja verohallinto. Lopuksi täytyy mainita vielä sananen lähdekoodista. Tunnistuspalvelun lähdekoodi tullaan julkaisemaan avoimen lähdekoodin lisenssillä kevään aikana. Lisenssimalli ja lähdekoodin hallintamalli ovat asiakokonaisuuksia, joita parhaillaan työstämme.

 

Kirjoittaja toimii Väestörekisterikeskuksen kansallinen palveluarkkitehtuuri-yksikössä hankepäällikkönä.

Sähköisen tunnistamisen tulevaisuus

Turvallisuus ja luottamus sähköisiin toimintatapoihin ovat ensiarvoisen tärkeitä sähköisten palveluiden käytön lisäämiseksi. Yksi keskeinen asia luottamuksen rakentamisessa on verkossa toimivien osapuolien luotettava tunnistaminen, käyttäjän ja palvelun molemminpuolinen luottamus. Tällä hetkellä keskeisin tarve palveluilla on osapuolten luotettava tunnistaminen tarpeen niin edellyttäessä.

Suomi on pieni maa, jossa monien päällekkäisten ratkaisujen suunnittelu, toteutus ja käytössä pitäminen eivät ole taloudellisesti kannattavia. Olisikin kaikkien toimijoitten etu, niin hallinnon, liike-elämän kuin yksittäisten kansalaisten, jos maahamme saataisiin yksi sähköisessä asioinnissa ja tunnistamisessa laajasti käytettävä perusratkaisu, jonka varaan eri toimijat voivat palvelut rakentaa.

Suomessa on hyvin toimiva vahvan sähköisen tunnistamisen infrastruktuuri. Laki vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta tuli voimaan syyskuussa 2009. Vireillä oleva lakimuutos vastaa paremmin tämän päivän vahvan sähköisen tunnistamisen tarpeisiin ja siten mahdollistaa kansallisen tunnistusratkaisun ja luottamusverkoston, jossa käyttäjä voi kirjautua eri palveluihin hyödyntäen eri palveluntarjoajien tunnistusvälineitä.

Vahvaa tunnistamista tarvitaan muun muassa henkilön omien tietojen tarkastamisessa, sekä sähköisten palveluiden käyttämiseen, että sähköistä allekirjoitusta sopimuksien teossa. Vahva sähköinen tunnistaminen antaa mahdollisuuden kehittää sähköisiä palveluita, kuten vaikkapa äänestäminen vaaleissa. Sähköisten palveluiden käytön lisäämiseksi on turvallisuus ja luottamus ensiarvoisen tärkeää. Siten on syytä korostaa henkilötietolain tärkeyttä yksityisyyden suojaamiseksi, jossa kielletään muiden kuin tarpeellisten attribuuttien kerääminen ja tallettaminen henkilöstä (luku 9). Laki toteaa yksiselitteisesti, että käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn kannalta tarpeellisia ja tarkoituksenmukaisia.

Tunnistaminen mahdollistaa paljon sähköistä asiointia ja liiketoimintaa, itse tunnistamispalvelu tarjoaa tähän tarkoitukseen toimintavälineet. Monesti ajatellaan kuluttajia kannustavan sähköiseen asiointiin ensisijaisesti kiinnostavat ja laadukkaat palvelut eikä tunnistusvälineillä tai tekniikalla ole niin suurta merkitystä. Kuitenkin liian vaikealla ja monimutkaisella tunnistamisella voidaan pilata kiinnostavien ja laadukkaiden palveluiden käytettävyys. Tunnistamispalvelun tehtävä on tunnistaa käyttäjä luotettavasti, mutta yhtä tärkeää on asiakkaan käyttämän palvelun todentaminen asiakkaalle tunnistuspalvelun avulla ja siten asiakas voi luottaa käyttämäänsä palveluun. Kansallisen palveluarkkitehtuuriohjelman tuloksena asiakkaille syntyy luotettava ja käytettävä tunnistuspalvelu, jotta valtiohallinnon laadukkaat palvelut ovat kansalaisen laajalti käytettävissä.

 

Kirjoittaja toimii Väestörekisterikeskuksen kansallinen palveluarkkitehtuuri-yksikössä hankepäällikkönä.

Kansallisen sähköisen tunnistamisen mallin tilanne

Valtiovarainministeriö ja liikenne- ja viestintäministeriö ovat syksyn aikana yhteistyössä työstäneet hallituksen esitystä vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta. Pääministeri Stubbin hallitusohjelmaan  (24.6.2014) kirjattiin, että kansallista sähköistä tunnistamisen mallia tulee kiirehtiä ja edellytetään sen toteuttaminen hallituskauden aikana. Aikataulu on ollut erittäin tiukka. Hallituksen esitys on tarkoitus saada eduskunnan käsittelyyn joulukuussa. Valmistelevaa työtä on tehty mm. hyödyntäen avointa referenssiryhmää, jossa on ollut edustajia sähköisen tunnistamisen parissa työskentelevistä toimijoista, kuten pankeista, operaattoreista ja virastoista. Referenssiryhmää on tiedotettu avoimesti valmistelun etenemisestä. Lisäksi referenssiryhmää on hyödynnetty säädösvalmistelussa.

Nykytilanteessa vahvan sähköisen tunnistamisen kustannukset vuositasolla ovat arviolta noin 109 miljoona euroa. Kustannukset muodostuvat ensitunnistamisesta, tunnistusvälineen jakelusta ja tunnistuspalvelun käytöstä ja ylläpidosta. Kustannuksista valtaosa liittyy sähköisten tunnistusvälineiden käyttöön.  Näistä suurimman erän muodostavat kuluttajilta perittävät kuukausimaksut verkkopankkitunnusten käytöstä (noin arviolta 72 miljoona euroa). Toiseksi suurimman erän kustannuksista muodostavat sähköisten palvelujen tarjoajilta perittävät tapahtuma‐ ja kuukausikohtaiset maksut, yhteensä noin 16 miljoonaa euroa. Julkishallinnon tunnistuspalveluiden yhteenlaskettu kustannus on n. 4-6 miljoonaa euroa vuodessa.  Tunnistamiseen liittyviä pankkisopimuksia julkishallinnolla on n. 1500.

Nykyisessä tilanteessa uusien tunnistuspalveluiden tarjoajien pääseminen markkinoille on ollut vaikeaa. Lain muutoksella pyritään tehostamaan markkinoiden toimintaa. Samalla tavoitteena on luoda uusia valinnan mahdollisuuksia myös kansalaisille.

Hallituksen esityksessä tunnistuspalveluiden tarjoajat velvoitetaan hyväksymään ja edelleen välittämään sähköisiin palveluihin toisten tunnistuspalveluiden tarjoajien tunnisteet. Tällöin kansalaisen ei tarvitsisi aina useita tunnistusvälineitä ja sähköisten palvelun tarjoajien ei tarvitsisi solmia useita erillisiä sopimuksia, mikä vähentäisi palvelun tarjoajille moninkertaisesta sopimisesta aiheutuvia kustannuksia.

Hallituksen esityksessä edellytetään, että tunnistuspalvelun tarjoajan tulee tarkistaa ja päivittää henkilöä koskevat tiedot väestötietojärjestelmästä. Sähköisesti todennettu henkilöllisyys tulee pohjautua viranomaisen myöntämää passia tai henkilökorttia vasten tehtyyn fyysiseen ensitunnistamiseen tai vahvaan sähköiseen tunnistamiseen. Myös sähköisesti todennettuun henkilöllisyyteen liittyvät tiedot varmistetaan ensitunnistamisen yhteydessä aina väestötietojärjestelmästä.

Kokonaan uutena toiminnallisuutena hallituksen esityksessä ehdotetaan väestörekisterikeskukseen perustettavaksi sähköisen tunnisteen voimassaolotarkastuspalvelua. Jokaisen tunnistustapahtuman yhteydessä tulee tunnistuspalvelun tarjoajalle velvoite tarkistaa, onko henkilön yksilöivä tunniste käytössä (esim. onko henkilö kuollut).

Parhaillaan liikenne- ja viestintäministeriö pyytää hallituksen esitykseen luonnoksesta vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksesta annetun lain muuttamisesta. Lausuntoa pyydetään myös luottamusverkoston ohjeiksi annettavasta valtioneuvoston  asetusluonnoksesta. Luonnokset löytyvät ministeriön verkkosivuilta: http://www.lvm.fi/lausuntopyynnot . Odotamme mielenkiinnolla palautetta.