Tunnistamisen vahvuus on monen tekijän summa

Tunnistamiseen liittyvä keskustelu painottuu usein pieneen yksityiskohtaan, kuten tunnistusvälineeseen. Herkästi unohtuu tarkastella tunnistusketjun kokonaisuuden vahvuustasoa, kun keskitytään löytämään vahvuuksia ja heikkouksia itse välineestä.

Vahva suomalaisen viranomaisen myöntämä henkilökortti on eräs tällainen tunnistamisen hopealuodiksi koettu väline, josta käydään toistuvaa tunnistamisen kokonaisuuden ohittavaa keskustelua. Sen lisäksi, että henkilökortti on kasvottaisessa tunnistamisessa käytettävä viranomaisen myöntämä asiakirja, se on myös älykortti, jolla voi tehdä digitaalisia allekirjoituksia. Henkilökortti tunnetaan myös nimellä HST-kortti (Henkilön Sähköinen Tunnistaminen). Vuodesta 2017 kortissa on ollut jopa NFC-piiri, joka mahdollistaa kontaktittoman käytön Android-älypuhelimilla.

Henkilökortti on myös sähköinen tunnistusväline

Henkilökortilla on siru, jolle on luotu kryptografiset avaimet allekirjoituksen luomiseen. Avaimia on käytännössä mahdoton lukea kortilta sen valmistamisen jälkeen. Allekirjoituksen salaista avainta vastaavaa julkista avainta käyttäen todennetaan, että tunnistettava käyttäjä on luonut sähköisen allekirjoituksen omalla salaisella avaimellaan. Väestörekisterikeskus hallinoi varmennepalvelua, jonka luottamusketjulla varmennetaan avaimien voimassaolo ja aitous.

Allekirjoittamiseen liittyvät kryptografiset toiminnot tapahtuvat kortin sirulla. Tämän ansiosta suomalainen henkilökortti onkin EU:n eIDAS-asetuksen mukaisesti notifioitu vahvaksi tunnistusvälineeksi tasolle korkea.

Teknisen luotettavuuden haittatekijä HST-kortin sovellutuksessa on älykortista puuttuva pin-koodinäppäimistö tai muu erillinen tekijä (kuten biometrinen tunniste). Kryptografiset toimenpiteet tapahtuvat kortilla pin-koodilla suojaten, mutta pin-koodi syötetään käyttäen päätelaitteen syöttötapoja. Päätelaitteelle tarvittava erikoistunut ajuriohjelmisto on altis toimituskanavahyökkäykselle ja sen vertaisarviointi on haastavaa. Käytännössä HST-kortilla tapahtuva tunnistus on yhtä luotettava, kuin päätelaite, jolla sitä käytetään. Jos päätelaite ei ole tunnistukseen luottavan osapuolen kontrollissa, HST-kortin tunnistukseen ei realistisesti voi luottaa korkean tason tunnistuksessa.

Tunnistusvälineenä HST-kortissa on käytettävyyteen liittyviä puutteita. NFC-sirun käyttö ei ole yleistynyt ja kortin käyttöön vaaditaan tietokone ja kortinlukija. Tämän päivän elämä on liikkuvaa, joten kortinlukijaa vaativa käyttö ei sovellu monenkaan arkielämään.

Kuviteltu esimerkki tunnistuksen vahvuustasosta

Lähestytään tunnistamisen vahvuustason käsitettä esimerkin kautta tarkentaen. Kuvitellaan yhdistyksen jäsenrekisteri, johon jäsen rekisteröityy alun perin liittyessään. Jäsen syöttää rekisteriin omat henkilötietonsa. Myöhemmin hän liittää HST-kortin tunnistusmenetelmäksi jäsenrekisteriin siten, että korttia voi käyttää rekisteriin tunnistautumisessa käyttäjätunnuksen ja salasanan sijasta.

Jäsen on yhdistyksessä vuosia ja kaikki menee hyvin, kunnes elämä tulee väliin ja jäsen menehtyy. Pesänhoitaja alkaa huolehtia asioista. Hän löytää omaisensa henkilökortin ja siihen liittyvät pin-koodit. Toisen henkilön tunnistusvälineen käyttö on tietysti väärin, mutta vastoin parempaa ymmärrystä pesänhoitaja ottaa kortin käyttöönsä ymmärtäessään, että pesän hoitaminen on tällä tavoin sujuvampaa.

Kyseisen yhdistyksen osalta pesänhoitaja voi nyt tehdä HST-kortin avulla yhdistyksen jäsenrekisteriin muutoksen, jotta vainajan sähköpostiviestit lähetetäänkin pesänhoitajalle. Tämän jälkeen pesänhoitaja pääsee vaihtamaan salasanat muihin palveluihin, joita vainaja on eläessään käyttänyt hyödyntäen yhdistyksen sähköpostiosoitetta käyttäjätunnuksena. Pesänhoitajalle avautuu reitti asioida myös muissa palveluissa.

HST-kortin käyttö tunnistusvälineenä todentaa, että sitä käyttävällä henkilöllä on hallussaan fyysinen HST-kortti ja siihen liittyvät pin-koodit. HST-kortin käyttö tunnistusvälineellä kertoo hyvin vähän henkilön todellisesta identiteetistä ja sen tilasta. Korttia voi välineenä käyttää tunnistamiseen, vaikka henkilö olisi menehtynyt.

Tosielämän positiivinen esimerkki

Suomen vahvassa sähköisen tunnistamisen verkostossa (FTN) käytetään määriteltyjä tunnistuksen vahvuustasoja. FTN on hyvä käytännön esimerkki tunnistamisen vahvuustason kokonaisuudesta. FTN asettaa tunnistuspalveluille velvollisuuden tarkistaa käyttäjän identiteetti taustarekisteristä. Suomessa taustarekisterinä on käytännössä väestötietojärjestelmä.

Pankit ovat keskeinen tunnistaja ja pankeille on myös muita vaatimuksia asiakkaiden identiteettiin liittyen. Pankilla on erityinen rahanpesulakiin perustuva velvoite tunnistaa ja tuntea asiakkaansa sekä varmistua tämän oikeasta henkilöllisyydestä sen lisäksi, mitä velvoitteita FTN asettaa.

Yhdistyksen jäsenrekisterin esimerkin kaltaista tilannetta ei voisi muodostua pankille, sillä pankit saavat väestötietojärjestelmän kautta tiedon asiakkaansa kuolemasta. Tiedon perusteella asiakkaan toimenpiteitä pankin järjestelmissä rajoitetaan. Vaikka menehtyneen asiakkaan pesänhoitajan onnistuisikin saada käsiinsä vainajan tunnistusväline pankkiin, hän ei pystyisi käyttämään sitä.

Tosielämän anekdoottinen esimerkki

2020 syksyllä kävi ilmi Pyskoterapiakeskus Vastaamon tietomurto, jossa vääriin käsiin päätyi suuri määrä yrityksen asiakasrekisterin arkaluonteisia tietoja mukaanlukien asiakkaiden henkilötunnuksia. Kohuun kytkeytyi Klarnan luottotoiminta, jossa asiakkaat pääsevät tekemään verkkokaupoissa ostoksia vain antamalla henkilötunnuksensa.

Syntyi epäilyksiä väärinkäytösmahdollisuudesta. Epäiltiin, että rikollisilla olisi helpot mahdollisuudet tehdä ostoksia tietomurron uhreina olleiden henkilöiden henkilötiedoilla.

Klarna muistutti, että vaikka asiakkaan yksilöinnissä ostostapahtumassa käytetään henkilötunnusta, taustajärjestelmissä tehdään lukuisia varmistuksia. Lisätarkistuksien avulla tapahtuman vahvuustasoa nostetaan vaiheittain ja päästään vakuuteen siitä, että ostos tapahtuu riittävällä varmuudella tunnistetun henkilön toimesta ja lasku lähetetään oikealle henkilölle.

Klarna-maksutavalla tapahtuva ostoprosessi etenee siis vaiheittaisesti tunnistuksen tasoa vahventaen. Ostoksia voi alkaa tehdä heikosti tunnistettuna. Kun tulee maksun aika, verkkokaupassa tehdään yhdessä Klarnan taustajärjestemien kanssa riskiperustainen analyysi siitä, kuinka todennäköistä on, että kyseessä on väärinkäytös.

Jos väärinkäytös osoittautuu ilmeiseksi tai ostos on muuten suuririskinen esimerkiksi tilauksen hinnan perusteella, voidaan asiakkaalta vaatia vahvempi tunnistus. Lisäksi Klarnan tapauksessa tarkistuksia todennäköisesti tehdään väestötietojärjestelmän lisäksi muihin taustarekistereihin (Klarna ei ole julkisesti ja seikkaperäisesti avannut sisäisiä prosessejaan, vaan asiasta on spekulaatiota). Euroopassa on useampia yrityksiä, jotka ylläpitävät luottotietorekistereitä ja kokoavat asiakkaiden perustietoja.

Klarnalla on myös mahdollisuus vertailla asiakkaan ostokäyttäytymistä. Jos asiakas tekee yhtäkkiä poikkeavan määrän ostoksia eri verkkokaupoista, voi hälytyksiä nousta ja tapahtumat voidaan ajoissa peruuttaa ennen kuin luottotappioita ehtii tapahtua.

Tunnistuksen vahvuuden elementit

Esimerkistä nähdään, että tunnistamiseen liittyy elementtejä, joilla jokaisella on omanlaisensa vahvuustaso. Elementtejä on esimerkiksi eIDAS-tunnistustasoja mukaellen:

  • ensitunnistus
  • käyttäjän identiteetin hallinoinnin prosessit
  • tunnistusväline

Lisäksi voidaan nähdä vahvuuteen vaikuttavan mm:

  • käytettävien tietojärjestelmien ja päätelaitteiden suojaustaso
  • asioinnissa käytettävän tietoliikenteen ja sanomien suojaustaso
  • tunnistamiseen osallistuvien osapuolien todennettu tietoturvan taso

Tunnistuksen vahvuuden elementtejä voidaan kuvata vektoreina, jolloin vektoreiden summana saadaan laskettua kokonaisvahvuustaso. Kokonaisvahvuustaso ei kuitenkaan voi olla suurempi kuin yksittäisen elementin arvo. Näin siis, jos ensitunnistaminen on heikkoa, ei tunnistaminen muutu vahvaksi kokonaisuutena tarkastellen, vaikka siinä käytettäisiin vahvaa tunnistusvälinettä. Jos HST-korttia käyttävä päätelaite ei ole kontrollissa, vahvuustaso on heikko.

Käyttäjän identiteetin tilan hallinnointi

Klarnan ja pankin tapauksessa on yhdistyksen jäsenrekisteriin verrattuna keskeinen etu käyttäjän identiteetin jatkuvassa hallinoinnissa. Maksulaitoksilla on lain myötäinen velvollisuus valvoa asiakkaan toimia asiakkuuden kestäessä.

Pankilla on oltava käsitys asiakkuuden volyymistä, kuten esimerkiksi, minkä verran asiakkaan tilillä liikkuu kuukauden aikana rahaa sisään ja ulos tai kuinka paljon on kansalliset rajat ylittäviä tapahtumia ja mihin ne suuntautuvat. Jos asiakkaan käytöksessä tapahtuu muutoksia, niihin täytyy tarttua ja selvittää, mistä poikkeava käytös tapahtuu. Jos hyvää selvitystä ei saada, voidaan asiakkaan toimia rajoittaa tai jopa estää.

Tunnistus on välineen ja infrastruktuurin vahvuusvektorien summa

Olen usein sanonut ja toistan sen nyt uudelleen: tunnistus on muutakin, kun tunnistamiseen käytetty väline. Käyttäjän sähköiseen tunnistamiseen tarvitaan välineen lisäksi kokonainen infrastruktuuri, joka huolehtii tunnistuksen vahvuuden kokonaisuudesta.

Myös tarpeet tunnistuksen vahvuustasoille on erilaisia. Yhdistyksen jäsenrekisterissä tehtävillä muutoksilla riskit ovat pienempiä, kuin käyttäjälle mahdollisesti aiheettomia kustannuksia aiheuttavissa verkkokauppaostoissa. Mahdollisesti yhdistyksen jäsenrekisterissä myös alempi kokonaisvahvuuden taso riittää. 

Keskittymällä vain tunnistamisen kokonaisuuden yhteen osatekijään voi saada valheellisen kuvan kokonaisturvallisuudesta. On tarkasteltava kokonaisuutta.