Sekaisin identiteetistä

Hei, nimeni on Pekka ja syntymäpäiväni on syyskuussa. No itseasiassa ei ole, mutta onko sillä tulevaisuudessa merkitystä?

Viime aikoina olemme kuulleet kauhutarinoita suurista tietovuodoista, joissa miljoonien ihmisten henkilötietoja on joutunut tietomurtajien käsiin. Henkilötieto voi olla mikä tahansa henkilön yksilöivä tieto, kuten henkilötunnus, sähköpostiosoite, osoite, ikä, uskonto tai vaikkapa syntymäpäivä.

Jo vuosia useissa tutkimusprojekteissa on yritetty löytää käytännöllistä ja turvallista ratkaisua siihen, miten palveluntarjoaja voisi varmistua tunnistautumisen kannalta olennaisista henkilön ominaisuuksista ilman, että kuluttajan henkilötietoja tarvitsisi paljastaa.

IBM on yli vuosikymmenen tutkimusten tuloksena onnistunut kehittämään pilvipohjaisen henkilötietojen salaussovelluksen, Identity Mixerin.

Identity Mixer mahdollistaa sen, että asiakkaan ei tarvitse paljastaa ylimääräisiä tai arkaluontoisia henkilötietojaan sähköisten palveluiden tarjoajille. Silti palveluntarjoaja saa varmuuden, että asiakkaalla on ominaisuuksiensa puolesta oikeus käyttää palvelua.

Miten se toimii?

Identity Mixer toimii missä tahansa palvelussa, joka tarvitsee varmistusta asiakkaan henkilötiedoista.

Otetaanpa esimerkkinä Netti-TV:n palveluntarjoaja, joka saa tarjota tiettyjä palvelujaan vain yli 18-vuotiaille Suomessa asuville henkilöille. Sen sijaan, että palveluun tunnistautuva henkilö paljastaa todellisia henkilötietojaan palveluntarjoajalle, hän voi käyttää Identity Mixerin avulla luotua ”salattua henkilöllisyystodistusta”, joka takaa palveluntarjoajalle hänen olevan yli 18-vuotias Suomessa asuva henkilö. Tällöin palveluntarjoaja ei saa tietää asiakkaan syntymäpäivää tai todellista ikää, puhumattakaan muista palvelun käytön kannalta epäolennaisista henkilötiedoista. Tämä takaa sen, että asiakkaan henkilötiedot pysyvät salassa palveluntarjoajalta eikä palveluntarjoaja voi eikä hänen tarvitse tallentaa asiakkaan varsinaisia henkilötietoja. Lisäksi, jos palvelu joutuu jatkossa tietomurron kohteeksi, eivät asiakkaiden todelliset henkilötiedot paljastu murtautujalle.

Toinen Identity Mixerin hyötyjä kuvaava esimerkki on nuorten keskustelupalvelu, joka on tarkoitettu vain 12–15 -vuotiaille. Tällöin nuori voi Identity Mixerin avulla hakea kolmannelta osapuolelta todistuksen siitä, että hänen ikänsä on mainitulla välillä ilman, että hänen todellinen ikänsä tai palvelun kannalta tarpeettomat henkilötiedot paljastuvat palveluntarjoajalle.

Pilvipohjainen Identity Mixer tarjoaakin sovelluskehittäjille erinomaisen työkalun, joka tekee henkilötietojen suojaamisesta käytännöllistä. Se voidaan sisällyttää mihin tahansa sovellukseen tai palveluun, jonka käyttäminen edellyttää varmistumista asiakaan tietyistä ominaisuuksista.

Pysykääpäs kuulolla: Kuluvan kevään aikana IBM:n Bluemixiä käyttävät sovelluskehittäjät voivat aloittaa Identity Mixerin testaamisen sovelluksissaan ja web-palveluissaan. Turvallista surffailua toivottaen!

Kirjoittaja:

Tietoturva-arkkitehti, IBM