4 Verkkopalvelujen ja niiden käytön luokittelua

Verkkopalvelun käytön haluttu luottamustaso eli varmuus käyttäjän todellisesta identiteetistä on suoraan verrannollinen siihen, miten suuria riskejä palvelun väärinkäyttöön liittyy tai miten luottamuksellisia palvelussa käsitel tävät tiedot ovat. Käyttäjien tunnistamistaso pitää aina suhteuttaa edellä mainittuihin seikkoihin.

4.1 Verkkopalvelujen tyyppiluokittelu

Verkkopalvelut voidaan jakaa sisältönsä ja luonteensa mukaan karkeasti seuraavassa esiteltyihin
seitsemään päätyyppiin. Jaottelu on suuntaa-antava. Sen tarkoituksena on auttaa palveluntarjoajaa käytännön verkko palvelujen tunnistamiselle asetettavan vaatimustason määrittämisessä. Se ei ole mikään ehdoton luokittelu, johon käytännön verkkopalvelut pitää väkisin sovittaa.

  • A. Tietopalvelut ja tiedottaminen, jossa asiakkaalle tarjotaan tietoa hallinnosta ja hallinnon palveluista
  • B. Asiakaspalaute ja kansalaisten osallistuminen, jossa kansalaiset voivat antaa palautetta viranomaiselle palveluista tai osallistua keskusteluun, jolla pyritään kehittämään yhteiskunnan toimintaa
  • C. Ei-luottamuksellinen vuorovaikutteinen asiointi, joka koskee muuta kuin asiakkaan luottamuksellisia henkilökohtaisia tietoja
  • D. Vireillepano, jossa asiakkaalle tarjotaan mahdollisuus täyttää hakemus lomake sähköisesti ja lähettää se sähköisesti viranomaiselle
  • E. Luottamuksellinen vuorovaikutteinen asiointi, jossa käsitellään asiakkaan luottamuksellisia henkilökohtaisia tietoja
  • F. Tietojärjestelmien välinen tietojenvaihto, jossa tietojärjestelmäsovellukset keskustelevat automaattisesti keskenään. Esimerkiksi tietojen haku toisen viranomaisen rekisteristä, verkkomaksutapahtumat, viran omaisten keskinäiset tai asiakkaiden ja viranomaisten väliset tietojen siirrot
  • G. Viranomaispalvelut, jolla tarkoitetaan kaikenlaisia yksinomaan viran omaisten sisäiseen käyttöön tarkoitettuja verkkopalveluja sekä eri viranomaisten välisen virkamieskäytön kuten virkamies virastosta A käyttää viraston B palvelua

4.2 Käyttäjien tunnistamisen luotettavuus

Verkkopalveluissa saavutettavissa olevaa käyttäjien tunnistamisen luotettavuutta voidaan tarkastella kahdesta näkökulmasta:

  1. Käytetyn käyttäjäidentiteetin luotettavuus
  2. Käytetyn käyttäjäidentiteetin todentamisen luotettavuus.

Keskimäärin voidaan lähteä siitä, että näiden luotettavuustekijöiden tulee olla suunnilleen samantasoisia, mutta aina tämä lähtökohta ei päde. Esimerkiksi[2] voidaan ajatella lääketieteellistä testauspalvelua, jota voidaan käyttää nimi merkillä (ts. alhaisen luotettavuustason käyttäjäidentiteetillä), mutta jonka tulosten tulee pysyä luottamuksellisina, eli käyttäjältä tulee vaatia vahvaa tunnistamista. Vastaavasti voi olla järkevää mahdollistaa ei-luottamuksellisten palvelujen käyttö myös korkean luotettavuustason käyttäjäidentiteetillä kuten kansalaisvarmenteella, jos käyttäjällä sellainen jo on, vaikka palvelun käyttö ei käyttäjiltään sellaista muuten edellytäkään.

4.2.1 Käyttäjäidentiteetin luotettavuus

Käyttäjäidentiteetillä tarkoitetaan palveluntarjoajan tiedossa olevia käyttäjän henkilöllisyyttä yksilöiviä ja kuvaavia tietoja. Käyttäjäidentiteetti luodaan palvelujärjestelmään silloin, kun käyttäjä rekisteröidään järjestelmän käyttä jäksi. Käyttäjäidentiteetin luotettavuus riippuu siten rekisteröinti prosessista. Jos käyttäjä antaa rekisteröinnin yhteydessä itse tietonsa, joita ei mitenkään tarkisteta, käyttäjäidentiteetin luotettavuus on alhainen. Vastaavasti jos käyttäjän henkilöllisyys selvitetään luotettavasti kasvotusten, rekiste röinnin tuloksena syntyy käyttäjäidentiteetti, jonka luotettavuus on maksimaalinen.

Joissain tapauksissa henkilön identiteetti ei ole tärkeää, vaan se kuuluuko henkilö johonkin ryhmään (esimerkiksi kuntalaisuus) ja onko näin oikeutettu esim. jonkin palvelun käyttöön. Käyttäjän ilmoittamat tiedot, kuten nimi ja osoite, riittävät monissa palveluissa sellaisenaan tunnistukseksi. Tarvittaessa voidaan tietojen luotettavuus varmistaa vertailemalla ilmoitettuja tietoja palvelun tarjoajan omissa tietojärjestelmissä oleviin tietoihin.

Aina todentamista ei tarvita, vaan esim. riittää että palvelun käyttäjä suorittaa palvelusta aiheutuvan maksun, maksajan henkilöllisyyttä ei tarvitse tietää.

Käyttäjä identiteetin luotettavuuden kuvaamiseen voidaan käyttää seuraavaa nelitasoista luokittelua.

Taso 0: Anonyymikäyttäjät

Käyttäjiä ei rekisteröidä, eivätkä he ole palvelujen eri käyttökerroilla erotetta vissa toisistaan.

Taso 1: Yksilöitävissä olevat käyttäjät

Käyttäjillä on rekisteröity käyttäjäidentiteetti, jonka perusteella he ovat yksilöitävissä. Käyttäjäidentiteetti ei kuitenkaan välttämättä paljasta käyttäjän todellista henkilöllisyyttä, asuinpaikkaa tms., koska rekisteröinnin yhteydessä annettujen käyttäjätietojen paikkansapitävyyttä ei ole tarkistettu.

Käyttäjä voi olla yksilöitävissä myös teknisesti ilman rekisteröintiä, palvelun käyttäjän työasemalle tallettaman evästeen perusteella. Yksilöinti kohdistuu tällöin tarkkaan ottaen käyttäjän päätelaitteeseen eikä itse käyttäjään. Henkilö tietolain mukaan kuitenkin nämäkin yksilöintitiedot voitaisiin katsoa henkilötiedoiksi. Yhteiskäyttöiseltä koneelta luettava eväste aiheuttaa identiteettien sekaantumisen eli evästeeseen luottava sovellus ymmärtää kaksi peräkkäistä konetta käyttävää samaksi henkilöksi.

Taso 2: Kevyesti todennetut käyttäjät

Käyttäjillä on käyttäjäidentiteetti, jonka rekisteröintiprosessin yhteydessä on varmistauduttu siitä, että ainakin jotkut annetuista käyttäjätiedoista (puhelin numero, osoite, luottokortin numero tms.) pitävät paikkansa, jolloin käyttäjä identiteettiä voidaan pitää moniin tarkoituksiin riittävän luotettavana.

Taso 3: Vahvasti todennetut käyttäjät

Käyttäjien henkilöllisyys on selvitetty luotettavasti, esimerkiksi henkilökohtaisella tapaamisella rekisteröintitilanteessa. Henkilön identiteetin varmistaa valtuutetun organisaation edustaja. Henkilön on todistettava henkilöllisyytensä virallisella henkilökortilla, ajokortilla tai passilla.

4.2.2 Käyttäjäidentiteetin todentamisen luotettavuus

Todentamisen luotettavuus riippuu tunnistamisessa käytettävästä todentamis menetelmästä. Käyttäjäidentiteetin todentaminen perustuu johonkin seuraavista kolmesta vaihtoehdosta:

  • A) johonkin mitä käyttäjä tietää
  • B) johonkin mitä käyttäjällä on hallussaan
  • C) johonkin mitä käyttäjä on.

A-vaihtoehto on sähköisessä asioinnissa perinteisesti eniten käytetty todentamistapa ja tarkoittaa salasanaa tai salalausetta, jonka käyttäjä joutuu antamaan tunnistetietonsa eli käyttäjätunnuksensa yhteydessä. Käyttäjän tulee olla aiemmin sitoutunut olemaan luovuttamatta tietoa kenellekään muulle.

B-vaihtoehto tarkoittaa tunnistusvälinettä, jonka sisältämän tiedon perusteella käyttäjäidentiteetti pystytään määrittämään. Esimerkkejä tunnistusvälineistä: sirukortti, tietyllä SIM-kortilla varustettu matkapuhelin.

C-vaihtoehto tarkoittaa käytännössä jotain käyttäjän biometristä ominaisuutta: sormenjälkeä, kasvojen muotoa, silmän iiristä tms.

Tunnistamista sanotaan kevyeksi tunnistamiseksi, jos se nojautuu vain yhteen todentamistapaan. Esimerkkejä kevyestä tunnistamisesta:

  • käyttäjätunnus + salasana
  • pelkkä varmenteellisen sirukortin esittäminen tai pelkkä puhelinsoitto matkapuhelimesta/- een
  • pelkkä biotunnistaminen.

Vahva tunnistaminen nojautuu kahteen tai useampaan todentamistapaan. Tällaisia tunnisteita ja tunnistamismenetelmiä ovat:

  • verkkopankkitunnuksiin ja vaihtuviin salasanalistoihin perustuva TUPAS-tunnistus/li>>
  • käyttäjätunnus + salasana + puhelinsoitto matkapuhelimesta/-een
  • varmenteellinen sirukortti + salasana (PIN-koodi)
  • varmenteellinen sirukortti + biotunnistus
  • laatuvarmenteellinen sirukortti + salasana (PIN-koodi)
  • laatuvarmenteellinen sirukortti + biotunnistus.

Biometrinen tunnistaminen ei yksinään takaa vahvaa tunnistamista. Tekniikat ovat kehitysvaiheessa, tunnisteet ja niihin liittyvät haavoittuvuudet muuttuvat tekniikan kehittyessä.

4.3 Palvelutyyppien edellyttämä käyttäjän tunnistamisen luotettavuus

Taulukossa 1 esitetään edellä kuvattujen palvelutyyppien ja käyttäjien tunnistamiselta edellytettävän luotettavuuden väliset lähtökohtaiset ohjeelliset riippuvuudet.

Huomattakoon kuitenkin, että kohdassa 4.2 esitetyn esimerkin mukaisesti voi olla tapauksia, joissa on syytä poiketa taulukon oletusarvoista. Siksi aina tulee viime kädessä tapauskohtaisesti arvioida, minkä tasoista luotettavuutta käyttäjä identiteetiltä ja käyttäjän todentamiselta vaaditaan.

4.4 Tietojen luottamuksellisuustasoluokittelu

Tietojen luokittelussa on parhaillaan käynnissä VM:n johtama ja VAHTIssa koordinoitava kokonaisuudistus, joka tulee osin muuttamaan nykyohjeissa vahvistettuja luokituksia ja niiden ohjeistamista.

Tähän liittyen on käynnissä myös julkisuuslain nojalla annetun hyvää tiedonhallintatapaa koskevan asetuksen uudistaminen siten, että tietoaineistojen luokittelun säännökset ja käsittelyn vaatimukset selkiytetään.

VAHTI-ohjeessa 2/2000 "Valtionhallinnon tieto aineistojen käsittelyn tietoturvallisuusohje", jota täydentää VAHTI-ohje 4/2002 "Arkaluonteiset kansainväliset tietoaineistot", esitetään tietojen luottamuksellisuustasoluokittelu.

Kansainvälisten tietoaineistojen osalta luokittelu ja käsittely on ohjeistettu Laissa kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) sekä VAHTI-ohjeessa 4/2002 "Arkaluonteiset kansainväliset tietoaineistot".

Verkkopalvelun käytön haluttu luottamustaso eli varmuus käyttäjän todellisesta identiteetistä on suoraan verrannollinen siihen, miten suuria riskejä palvelun väärinkäyttöön liittyy tai miten luottamuksellisia palvelussa käsitel tävät tiedot ovat.

Viranomaisten julkisten asiakirjojen ja tietojen käsittelylle ei aseteta erityis vaatimuksia; tietojen tulee periaatteessa olla kenen tahansa saatavilla ilman tunnistamisvaatimusta.

2 Esimerkki on dokumentista "Interchange of Data between Administrations (IDA), Authentication Policy" (European Commission Directorate General Enterprise, 8.7.2004)

Vahti- ylläpito08.10.2009 / 13:10:46
Tulosta