Eidas rakentaa luottamusta sähköisiin palveluihin EU:ssa

Julkaistu 05.04.2016

Eidas-asetus tulee voimaan 1.7.2016. Sillä säädetään EU:n jäsenvaltioiden rajat ylittävästä sähköisestä tunnistamisesta. Lisäksi asetuksella laajennetaan luotettavuusvaatimuksia useisiin muihin verkkopalveluissa käytettäviin toimintoihin, joita kutsutaan asetuksessa luottamuspalveluiksi (trust services).

Samaan aikaan Suomessa sähköisen tunnistuksen liiketoimintamallia ollaan muuttamassa niin, että asiointipalvelut voisivat keväällä 2017 hankkia tunnistuspalveluita keskitetysti uusilta toimijoilta, tunnistusvälityspalvelun tarjoajilta. Tunnistusvälineiden ja tunnistusvälityksen tarjoajien kansallista verkostoa kutsutaan luottamusverkostoksi.

Sähköisen tunnistamisen uudet tuulet

Vahvan sähköisen tunnistamisen tarkoitus on varmistaa sekä käyttäjän ja asiointipalvelun kannalta asioijan henkilöllisyys. Sähköisessä tunnistamisessa Eidas näkyy kansallisella tasolla niin, että Suomessa otetaan käyttöön kaksi Eidas-määrittelyjen tunnistuksen vahvuustasoa: korotettu ja korkea. Suurin osa verkkopalveluista oletettavasti käyttää korotettua tunnistusta, jonka vahvuustaso vastaa nykyisten vaatimusten tasoa. Vaatimukset täyttävän sähköisen tunnistuspalvelun tunnistaa siitä, että sen tarjoaja löytyy Viestintäviraston rekisteristä. Korotetun ja korkean tason tunnistuspalvelun tarjoaja voi halutessaan hakea EU-notifiointia. Notifioitujen tunnistuspalveluiden käyttäjien pitäisi viimeistään 2018 syksyllä pystyä tunnistautumaan julkishallinnon palveluihin koko EU:ssa.

Tällä hetkellä asiointipalvelut joutuvat tekemään erikseen sopimukset niistä tunnistuspalveluista, joita ne haluavat käyttää asiakkaidensa tunnistamiseen. Uudessa luottamusverkoston toimintamallissa pyritään siihen, että asiointipalvelut voisivat hankkia tunnistuspalvelut keskitetysti uusilta välityspalveluntarjoajilta. Välityspalveluiden tarjoaminen luo uusia liiketoimintamahdollisuuksia tunnistuspalveluissa. Välityspalveluntarjoajat voivat myös rikastaa tunnistustietoa muilla tiedoilla. Uuden mallin toivotaan helpottavan vahvan tunnistamisen hyödyntämistä asiointipalveluissa nykyistä laajemmin.

EU:n luottamusmerkistä tunnistaa luotettavan verkkopalvelun

Tähän asti EU-tasolla on säädetty sähköisestä allekirjoituksesta. Nyt tuodaan valvonnan piiriin lisää välineitä, mm. sähköiset leimat, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen.

"Tarkoitus on tarjota palveluntarjoajalle mahdollisuus osoittaa näkyvästi, että sen tuote on valvonnan piirissä ja täyttää luotettavuusvaatimukset. Hyväksynnän hakeminen on vapaaehtoista", sanoo Viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija Pasi Hänninen.

Verkkopalveluiden käyttäjälle ja toteuttajalle näkyvin osa Eidas-asetusta on verkkopalveluita koskeva EU Trust Mark -luottamusmerkki. Merkin käyttö kertoo, että esimerkiksi allekirjoitusvarmenne tai verkkosivuvarmenne täyttää EU-tasoiset tietoturvallisuusvaatimukset.

Eri viranomaiset ohjaavat ja valvovat omalta osaltaan tunnistus- ja luottamuspalveluiden tietoturvaa ja luotettavuutta, kuluttajansuojaa, henkilötietojen suojaa ja kilpailun toimivuutta. Viestintävirasto valvoo tunnistuslain ja Eidas-asetuksen noudattamista ja antaa lakia tarkentavia määräyksiä. Se valvoo, että tunnistus- ja luottamuspalveluiden tarjonta on luotettavaa ja tietoturvallista. Se myös ylläpitää rekistereitä, joista näkyvät vahvan sähköisen tunnistamisen ja hyväksyttyjen luottamuspalveluiden tarjoajat. Valvonnan piiriin tulevat kuulumaan Eidaksen myötä myös luottamuspalvelut, jotka eivät ole hakeneet viranomaisen hyväksyntää. Asetus lisää Viestintäviraston valvontatehtäviä.

Asiaa käsitellään tarkemmin Viestintäviraston Kyberturvallisuuskeskuksen huhtikuun teemakirjoituksissa.

Lisätiedot

Kyberturvallisuuskeskuksen erityisasiantuntija Pasi Hänninen, puh. 029 539 0558


Asiasanat: Tietoturva , Kyberturvallisuus , Tietosuoja , Uutiset

LinkedIn Print