tiistai 21. heinäkuuta 2009

Miksi HST-projekti epäonnistui?

Valtiovarainministeriö on ehdottanut HST-kortin eli kansalaisvarmenteen lopettamista. Hanke on kestänyt kohta 10 vuotta ja tullut maksamaan 30 miljoonaa euroa. Kuitenkin aktiivisia käyttäjiä on vain muutama sata, eikä määrä näytä ainakaan kasvavan.

Malliesimerkki HST-kortin käytöstä oli OP-pankki, johon pystyi kirjautumaan kortilla. Kotikäyttäjän kannalta kortti oli vaihtuvia tunnuslukuja parempi ja mukavampi ratkaisu. Nyt OP on ilmoittanut luopuvansa HST-kortista, koska sen käyttö on jäänyt marginaalisen vähäiseksi.

Mikä meni pieleen? Kauppalehden eilisen pääkirjoituksen mukaan kortin hankkiminen oli liian kallista ja monimutkaista, jotta se olisi levinnyt laajaan käyttöön.

Olen eri mieltä. Virallisen henkilöllisyystodistuksen hakemista ei voi tehdä kovin helpoksi eikä halvaksi. Niitä ei voi myydä turuilla ja toreilla, vaan todistus on anottava ja haettava viranomaiselta. Ei passinkaan hankkiminen helppoa ole.

Kukaan ei valita passin hakemisen monimutkaisuudesta tai passin hinnasta, koska passi koetaan hintansa arvoiseksi. Sille on käyttöä, HST-kortille ei. Jos kansalaiset olisivat kokeneet, että kortista on heille aidosti hyötyä, se olisi yleistynyt. Pelkkä sähköinen muuttoilmoitus ei riittänyt. Olisi tarvittu enemmän OP-pankin kaltaisia kaupallisia palveluita.

OK, kortin vaatima lukijalaite oli myös ongelma. Valtion olisi kannattanut vaikka subventoida niitä kansalaisille. Hankkeeseen uponneilla 30 miljoonalla olisi voitu hankkia lukija jokaiselle suomalaiselle. Se olisi silti ollut taloudellisesti kannattavaa, sillä vahvan todentamisen hyödyt olisivat maksaneet itsensä takaisin.

HST-hanke kaatui pankkeihin, jotka tarjosivat omaa TUPAS-todennusta. Se ei vaatinut lisälaitteita ja oli teknisesti helppo toteuttaa. Pankkien kannalta TUPAS oli suorastaan nerokas ratkaisu, sillä se pakotti kansalaiset verkkopankkien käyttäjiksi ja sitoi heidät pankkiinsa. Tämä tuli kiusallisesti esille pari viikkoa sitten, kun poliisi alkoi vaatia todentamista sähköisen rikosilmoituksen jättäjiltä.

Asiakkaat luulivat, että TUPAS-todentaminen on ilmaista. Todellisuudessa pankit veloittavat jokaisesta todentamisesta sitä yritystä tai viranomaista, jonka palveluun mennään. Kun jätät sähköisen rikosilmoituksen, poliisi maksaa siitä. Viime kädessä kyse on siis tulonsiirrosta pankeille.

Kertakäyttöisiin tunnuslukuihin perustuva todennus ei ole aukoton eikä riitä esimerkiksi sähköiseen allekirjoitukseen tai sähköpostin salaamiseen. Ainoa kestävä ratkaisu on sähköinen varmenne. Jos HST-kortti lopullisesti haudataan, jäljelle jää vain mobiilivarmenne. Siinä on omat ongelmansa.

16 kommenttia:

Anonyymi kirjoitti...

Eikös parempi ratkaisu tässä tilanteessa olisi se, että valtio tarjoaisi omaa TUPAS-tunnistautumispalvelua niille joilla ei verkkopankkitunnuksia ole?

Tuo kortinlukijajuttu muutenkin on hieman hankala, koska kortinlukijaa ei välttämättä ole heti saatavilla kaikille käyttöjärjestelmille tai esim. uusille kannettaville päätelaitteille. TUPASin kanssa ei tälläisiä ongelmia ole.

Anonyymi kirjoitti...

Voisi vielä lisätä, että TUPASia voi käyttää myös esim. ulkomaanmatkoilla ilman että kortinlukijaa pitäisi aina kantaa mukanaan.

Anonyymi kirjoitti...

Mä olen ainakin vaan tyytyväinen, että se kaatu. Ton avulla valtio olisi pystynyt valvomaan mitä me tehdään netissäkin.

Anonyymi kirjoitti...

Petteri sanoi:
###
Kuitenkin aktiivisia käyttäjiä on vain muutama sata, eikä määrä näytä ainakaan kasvavan.
###

Hitto vieköön, eikö valtion virkamiehet käytäkkään tätä tunnistautumista omiin systeemeihinsä?

Tuntuu perin hölmöltä, josko virkamiehet eivät käytä korttia vaan jotain aivan muuta menetelmää?

Ossi Mäntylahti kirjoitti...

Kortin hankinta itsessään ei (olisi) ollut ongelma.

Oikea ongelma oli se, että myös lukulaite tietokoneeseen piti hankkia erikseen. Tämä tappoi ainakin minulta innon koko hommaan.

Petteri Järvinen kirjoitti...

Ymmärtääkseni korttia käytetään joillakin hallinnonaloilla mutta tässä on kaiketi laskettu vain avointen palvelujen käyttäjiä. Ilmeisesti virkamiehetkään eivät käytä korttia työpaikan ulkopuolella (ja missä sitä voisikaan käyttää päivittäin, kun pankeista vain yksi on tarjonnut mahdollisuutta?).

Anonyymi kirjoitti...

Lukijalaitteita saa nykyään noin 15 eurolla, joten senkään hankinta tuskin enää olisi ongelma. Silloin kun kortti lanseerattiin, lukijat maksoivat reippaasti enemmän eikä kortilla pystynyt juuri muuta tekemään kuin muuttoilmoituksen.

Harmi vaan, että palvelut, edulliset lukijat sekä Linux- ja Mac -tuki tulivat vuosia myöhässä ja koko kortti on jo leimattu epäonnistuneeksi.

Mielestäni HST-kortti systeeminä on hyvä, sen lanseeraaminen on vain epäonnistunut surkeasti. Itse olen käyttänyt korttia mm. OP:n palvelussa, ja on mielestäni huomattavasti kätevämpää laittaa kortti lukijaan ja naputella kerran pini jonka muistaa ulkoa, kun naputella ensin käyttäjätunnus ja salasana, ja sitten vielä kaivella kertakäyttöisten salasanojen lista lompakosta ja etsiä sieltä oikea luku.
Onkin pettymys että tämä palvelu lopetetaan. Toivottavasti saadaan vielä joskus tilalle kertakäyttösalasanoja sujuvampi tapa kirjautua verkkopankkiin.

Ossi Mäntylahti kirjoitti...

Huvittavasti esimerkiksi Väestörekisterikeskus - tai mikään muu HST-hankkeeseen osallitunut viranomaistaho - ei ole saanut itseään missään vaiheessa tunnettujen selainten vakiona hyväksyttyjen CA:den listalle. Tämän ei luulisi olevan liian vaikeaa, sillä muun muassa Saunalahden serveri ja Sonera ovat olleet sekä IE:n, että Firefoxin CA-luettelossa jo pitkään.

Tämä projekti on kyllä malliesimerkki siitä, miten julkishallinnon hankkeissa ei osata keskittää voimavaroja. Hankketta asetettaessa olisi ehdottomasti pitänyt asettaa velvoite muille viranomaisille tukea HST-hankkeen luomaa sähköistä tunnistautumista.

Infra ilman palveluita ei riitä.

Ossi Mäntylahti kirjoitti...

Lisäksi: miksi ihmeessä tätä HST-ominaisuutta ei voitaisi lisätä automaattisesti kaikkiin viranomaisten jo nyt myöntämiin henkilöllisyystodistuksina käytettäviin dokumentteihin: henkilöllisyystodistuskorttiin, passiin ja ajokorttiin? Yksi siru lisää ei paljoa maksa jo tuotettavaan dokumenttiin.

Samalla näitä prosesseja voisi muutenkin järkeistää. Mitä ihmeen mieltä on siinä, että poliisiviranomaisen myöntämä ajokortti ei kelpaa EU-matkustusasiakirjaksi, mutta saman viranomaisen myöntämä ajokortti ei. Miksi siis ajokorttia ja henkilöllisyystodistusta ei voitaisi yhdistää yhdistelmäkortiksi, joka käy kumpaankin tarkoitukseen?

Kimmo Bergius kirjoitti...

@Ossi:
"Huvittavasti esimerkiksi Väestörekisterikeskus - tai mikään muu HST-hankkeeseen osallitunut viranomaistaho - ei ole saanut itseään missään vaiheessa tunnettujen selainten vakiona hyväksyttyjen CA:den listalle. Tämän ei luulisi olevan liian vaikeaa, sillä muun muassa Saunalahden serveri ja Sonera ovat olleet sekä IE:n, että Firefoxin CA-luettelossa jo pitkään."

IE:ssä ei ole enää aikoihin ollut omaa varmenteiden hallintaa, vaan selain käyttää Windowsin varmenteita ja varmenteiden hallintaa. VRK:n juurivarmenne on myös ollut Windowsin hyväksyttyjen juurivarmeteiden listalla jo pari vuotta - tarkoittaa siis sitä, että se päivitetään automaattisesti kaikkiin Windows-koneisiin Microsoftin Update-palvelujen välityksellä.

Anonyymi kirjoitti...

Demaritaustaiset virkamihetkin taisivat heittää HST-korttinsa (käyttivät korttia ainoastaan virkakäytössä) roskiin kun Kokoomuksen mies tuli SUPO:n ruoriin.

Gunnar K. A. Njålsson kirjoitti...

Ensinnäkin vähän selkoa tähän asiaan.

Kyllä, viranomaiset, erityisesti Sisäasianministeriön alaiset hallinnot ovat n. vuodesta 2006 käyttäneet HST-kortit, joissa varmenne. Pilotti alkoi aiemmin Turun poliisissa. Poliisin (ja Suojelupoliisin) tapauksessa kortti on ollut yhdistetty virkamerkki/asiointikortti, jolla ym. on pystytty kirjautumaan eri käyttäjärjestelmiin. Päinvastoin kuin tavallisten kansalaiskorttien osalta, viranomaisten asiontikortien avulla on kyllä pystytty seuraamaan missä on käynnyt ja mitä on tehnyt tai hyväksynnyt/hylänyt virkatehtävissä.

Tavallisten kansalaisten korttien osalta e-palvelujen käytön valvonta on jäänyt paljon suppeammaksi ja yleisluonteiseksi (IP-osoite, allekirjoitukset, SATU-aika/pvm).

Itse asiassa Suomen HST-hankkeen ensimmäisen kv-käyttöyhteyden taustavoimana on ollut lähinä Eestin ID-hankkeen takana oleva Sertifiseerimiskeskus sekä Kaupparekisteri, johon kyllä käy Suomalainen ETu ja jonka yhteydessä tarkistetaan ko. henkilön suomalaisen henkilötunnuksen aitoutta. Tämähän oli yksi koko hankeen voimakkaita mahdollisuuksia. Mutta lähes kaikkialla Europassa tämä kv-yhteensopivuus on jäännyt pelkä haaveeksi.

Kysymys on kyllä vakavasta asiasta: pitäisikö muiden maiden yksityiset ja julkiset tahot päästä tarkistamaan Suomesta perustietoja Suomen kansalaisista pelkästään nimen ja nk. SATU-sisältävän varmenteen tarkistamiseksi (Suomen EID-ldap on kyllä julkinen hakemisto)? Eestilaisiin kortteihin sisältyy paljon muutakin tietoa kuin Suomen HST-kortteihin (ym. täydelliset henkilötiedot), joten jos ko. henkilö todella halua siirtää nämä tietonsa muihin maihin, se on hänen päätettävissä ja hänen vastuulla.

Hankkeen suurin ongelma oli sama kuin monessa muussakin Suomen IT-projekteissa. Eli, ei ollut hajuakaan, siitä miten todelliset käyttäjät toimivat, miten he suhtautuvat, mitä he epäilevät ja miten voitaisiin vastata juuri käyttäjien kysymyksiin ja harhaluuloihin.

Ja sitten tietysti kysymys siitä, oliko juuri tämä PKI-ratkaisu parasta monien muidenkin joukosta.

Toisin on käynnyt esim. Kanadassa jossa julkisiin palveluihin liittyvä E-pass on ollut erittäin suosittu ja sillä on ollut lähes samat mahdollisuudet (paitsi henkilökohtaisten viestien salausta ja allekirjoitusta). Se lähinnä muistuttaa TUPAS:ta, paitsi, että se on Entrustin keksimään kaupalliseen MBUN-teknologiaan perustuva varmenne, joka yksityissuojasyistä ei ole sidottu mihinkään henkilöllisyyteen. Se yhdistetään yksittäisiin e-palvelujen käyttöön vasta ko. viranomaisen sähköpalveluun ilmoittautumiseen jälkeen, jolloin se toimi sähköisenä allekijoituksena tietyjen palvelujen käyttön yhdeydessä. Kuka tahansa saa E-pass-tunnuksen ja niitä saa olla useita vaikkapa saman henkilön kohdalla. Kirje siis tulee kotiin aktivointitunnuksen kera jokaisen palvelun ensimmäisen käytön yhteydessä, johon tarvitaan nk. vahvaa tunnistamista.

Korttien yhdistämista vastaan puhu nimenoman se, että monikäyttökortin elinkaare on yhtä kuin kaikkein lyhyin niistä kaikista (eli jos ajokortti otetaan talteen tai KELA-ominaisuus loppu muutettuasi ulkomaille, niin siihen loppuikin suomalainen henkkari). Pelkää sähköisten tietojen muuttaminen ei tässä tapauksessa auttaa, kun kortin on visuaalisestikin oltava ajokortin/KELA-korti/Henkilökortin näköinen.

Suomen HST-hankkeen epäonnistuminen ei ole EU:n ainoa. Juhlapuheista huolimatta myös Itävallan monitahoinen ja suhteellisesti joustava Bürgerkaart-järjestelmä joutunut surkean kritiikin uhriksi.

Crinus kirjoitti...

Mainostuksen puute; ja kyllä, se että palveluja ei ollut. Kaikille toimijoille olisi pitänyt löytää yhteinen mielekäs palkinto järjestelmän käyttämisestä. Kaikkein luonnollisin tie HST:n tyyppisen teknologian esilletuloon olisi ehkä kansalaisen ja valtion / kuntien kommunikointi. Ehkäpä KELA-kortti voisi toimia luonnollisena tunnistaumisena, jos se terästetään chipillä?

Crinus kirjoitti...

Tuli mieleen, että todella isotkin hankkeet hautautuvat helposti. Siis kymmenien miljoonien hankkeet; niitä muhitaan, pulautellaan paperia, tehdään käyttäjätutkimuksia, keskustellaan, mutta lopulta hanke hiipuu. Luen paraikaa STM:n uudistusta.

Se on sääli, että rahaa palaa. Onhan se tietylla tapaa ajan henki, vaporware, ja toisaalta on hyvä, että ihan oikeasti testaillaankin erilaista - government intrapreneurship. Uskon että näistä kyllä keittyy vielä järkevä teos.

Jos tällaisistä voidaan ottaa opiksi, niin hyvä. Ainakin keskustelu ja avoimet muutos tai parannusehdotukset tekisivät terää. Tuskin teknologia sinänsä on kadonnut, usein moduleita voidaan käyttää uusiksi.

Anonyymi kirjoitti...

Vanha teksti, mutta kirjoittelen kun olen positiivisesti yllättynyt miten suoraviivaisesti esim. Acrobat Reader DC tukee henkilökorttia digitaalisten allekirjoitusten kanssa.

Lataa automaattisesti EU trusted listin ja alkaa luottaa varmenteeseen.

Esim. Lenovon thinkpadeissa kortinlukija on sisäänrakennettu, joten on varsin näppärää allekirjoittaa firman sopparit yms. suoraan Acrobatissa. On se nyt kuitenkin aika vanhanaikaista tulostaa, allekirjoittaa ja skannata paperit.

Voi käyttää myös suoraan omaa nimmariaan kuvana, mutta samalla annat sitten vastapuolelle hyvän kuvan jota käyttää jälkeenpäin. Vahva digitaalinen allekirjoitus vaatii kortin ja PIN koodin eikä tosiaan ole kankeaa käyttää tai ottaa käyttöön.

Nyt kun HST-kortti käy myös EU alueella täysin passin korvaajana, niin ihan tyytyväinen olen ollut. Kumpa joku pankki tajuaisi uudelleen alkaa tarjoamaan korttikirjautumista, nuo vaihtuvat avainlukulistat tai tunnuslukusovellukset per kirjauduttava palvelu on aika ankeita ratkaisuja.

Mobiilivarmennekaan ei auta mitään, ihan samoin siinä tulonsiirto tapahtuu operaattoreille, kuten TUPAS tunnuksilla pankeille.

Petteri Järvinen kirjoitti...

No kylläpä tosiaan vanhan jutun löysit! Adobe on viime vuosina panostanut vahvasti digitaalisiin allekirjoituksiin. Sitä en itsekään tiennyt, että toimii noin hyvin HST-kortin kanssa.

Korttiratkaisut vaikuttavat kuitenkin vanhanaikaisilta kun markkinoiden huomio on mobiililaitteissa. TUPAS-listat on jo korvattu mobiilisovelluksella, samoin NFC-maksu kaupassa omalta tililtä onnistuu suoraan Nordean appsilla.

Website Security Test