Lokakuussa luvassa tuhansien yritysten TUPAS-kaaos

Suomessa tuhansien yritysten ja yhteisöjen on tehtävä muutoksia käyttäjien sähköiseen tunnistamiseen tänä vuonna. Traficom (ent. Viestintävirasto) on määrännyt siirtymäajan, joka päättyy syyskuun lopussa 2019. Tupaksen käyttäminen vahvana tunnistamisena on määräajan jälkeen lainvastaista.

Traficomin määräyksen mukaan käyttäjien pankkitunnistukseen liittyvä Tupas-protokolla on vaihdettava toteutukseen, joka täyttää EU-säädösten tietoturvavaatimukset. Tunnistuksessa on käytettävä sanomatason salausta. Määräys perustuu Suomen lakiin vahvasta sähköisestä tunnistamisesta sekä EU:n eIDAS-asetukseen.

Jättämällä muutokset viimetippaan yritykset ja yhteisöt ovat vaarassa joutua Tupas-kaaokseen, kun Tupas ei kelpaa enää vahvana tunnisteena. Signicatin vuoden 2018 lopussa tekemän kyselyn mukaan valtaosa suomalaisista Tupas-tunnistuspalvelua käyttävistä yrityksistä ei ollut kuullutkaan Traficomin määräyksestä eikä sen asettamasta takarajasta. Vain noin 15% vastanneista oli varautunut muutokseen.

Yksityinen sektori myrskyn silmässä

Kansallinen suomi.fi-tunnistuspalvelu hoitaa tarvittavat muutokset, mutta sitä voivat käyttää vain julkisen sektorin toimijat. Tämä tarkoittaa sitä, että yritykset ja yhteisöt joutuvat etsimään ratkaisun muualta. Tätä tarvetta varten Suomessa toimii ns. Luottamusverkosto, jonka jäseninä toimii mm. eri tunnistusmetodien välittäjiä. Välityspalvelun tarjoaja kokoaa yhteen eri tunnistuspalvelut ja asiakasorganisaatio tarvitsee vain yhden sopimuksen ja yhden teknisen rajapinnan välityspalvelun tarjoajan kanssa. Aiemmin sopimukset sekä rajapinnat oli tehtävä kunkin tunnistuspalvelun tarjoajan kanssa erikseen. Välityspalveluiden tarjoaminen on luvanvaraista ja sitä valvoo Traficom, joka ylläpitää tunnistuspalveluista ja niiden välittäjistä rekisteriä. Traficom suosittelee välityspalvelun käyttämistä.

Vahvan käyttäjätunnistuksen hyödyntäminen ja käyttöönotto on nyt helppoa ja edullista

Luottamusverkoston uudenlainen tunnisteiden välityspalvelu helpottaa vahvan käyttäjätunnistamisen käyttöönottoa ja alentaa hintoja. Omasta tietoturvan tasostaan ja maineestaan huoltapitävien yritysten kannattaaa toimia nyt. Madaltuneen käyttöönoton kynnyksen myötä sähköisiä asiointipalveluita tarjoavien yritysten on hyvä uudelleenarvioida omaa toimintaansa. Muutoksella halutaan edistää vahvan käyttäjätunnistamisen käyttöä myös sellaisten luottamuksellisten käyttäjätietojen yhteydessä, jotka eivät lain mukaan edellytä vahvaa käyttäjätunnistusta.

Kuluttajille ei muutosta

Kuluttajiin tällä ei ole suoraa vaikutusta, sillä verkkopankkitunnistautuminen ei ole katoamassa. Ainoastaan tekniset yhteydet pankkien ja verkkopankkitunnistautumista tarjoavien yritysten ja organisaatioiden välillä muuttuu uudempaan protokollaan (OIDC tai SAML2).

EU-tason eIDAS-asetuksen myötä EU-maan kansallisten sähköisten tunnistusmetodien pitäisi toimia kaikissa EU-maissa. Käytännössä esimerkiksi pankkitilin avaaminen, dokumenttien sähköinen allekirjoitus tai muu sähköinen asiointi toisessa EU-maassa helpottuu.

Lue lisää muutoksesta www.signicat.fi/tupaspoistuu