maanantai 7. marraskuuta 2011

HETU, SOTU, SATU... ja PATU?

Puolijulkisen HETUn (HEnkilöTUnnus; entinen SOsiaaliturvaTUnnus eli SOTU) käytöstä aiheutuu ongelmia, koska alunperin henkilöiden yksilöintiin (identifiointiin) tarkoitettua tunnusta on alettu käyttää myös henkilöllisyyden varmentamiseen (todentaminen).

Ongelma ratkeaisi luomalla uusi, pelkästään yksilöintiin tarkoitettu tunnus. Itse asiassa sellainen on jo olemassa. Vuodesta 2003 lähtien Väestörekisteri on luonut jokaiselle uudelle suomalaiselle sekä HETUn että SATUn (Sähköinen AsiointiTUnnus; englanniksi FINUID, Finnish Unique Identification Number). Vanhemmat kansalaiset saavat SATUnsa kansalaisvarmennetta hakiessaan.

SATU on täysin julkinen tieto. Paavo Lipponen, joka oli pääministerinä kun epäonninen HST-kortti otettiin käyttöön joulukuussa 1999, sai ensimmäisen tunnuksen 10000001N. Omani on 10001234E. Riittäisi, että virallisiin asiakirjoihin merkittäisiin tämä tunnus kertomaan, kenestä kansalaisesta on kyse. Siten HETUn julkista käyttöä voitaisiin vähentää.

Toinen ratkaisu olisi luoda jokaiselle suomalaiselle oma salasana viranomaisasiointia varten. Se voisi olla vaikkapa PATU eli PuhelinAsiointiTUnnus.

Yksinkertaiselle todentamiselle on käyttöä lähinnä puhelimella asioitaessa. Kun palvelut siirtyvät yhä enemmän verkkoon, voidaan käyttää pankkitunnisteita (TUPAS) tai jatkossa toivottavasti turvallisempia välineitä, kuten mobiilivarmenteita tai HST-kortin seuraajaa.

PATUssa olisi joitakin käytännön ongelmia. Ensinnäkin jokaisen pitäisi taas muistaa yksi uusi salasana. Toiseksi olisi vaara, että viranomaiset ja yritykset tallentavat PATUn henkilötietojen mukana, jolloin tietomurto voisi levittää ne julkisuuteen. Tätä varten tarvittaisiin mekanismi, jolla kansalainen voisi vaihtaa paljastuneen PATUnsa. Kun puhelinasiointi on muutenkin katoavaa kansanperinnettä, kannattaako nähdä vaivaa?

Todentamisen suhteen suomalainen tietoyhteiskunta on osoittautunut todella kädettömäksi. HST-kortti oli hieno tekniikka ja Suomi oli sen soveltamisen pioneeri, mutta kun hanke floppasi, mitään uutta ei ole viitsitty yrittää. Niinpä puolijulkisten HETUjen ilmestyminen nettiin on iso uutinen ja saa puoli valtakuntaa sekaisin.

Erityisen moitittavaa kehityksen pysähtyminen on siksi, että vahva luottamus viranomaisiin ja hyvät kansalliset rekisterit ovat Suomen erityispiirteitä. Niitä pitäisi pystyä myös hyödyntämään, jotta tällaista sekoilua ei jatkossa enää tapahtuisi.

20 kommenttia:

Anonyymi kirjoitti...

Onko mobiilivarmenne käytännössä sen varmempi kuin pankkitunnus. Lisäksi asioita viriteltäessä on syytä ottaa huomioon tekninen kehitys.

Tämä on tätäpäivää: "Sonera ID -palvelu toimii kaikissa 2000-luvun 2G/3G-matkapuhelimissa. Poikkeuksena ovat uudet Windows Phone 7 -käyttöjärjestelmällä varustetut puhelimet, joissa palvelu ei valitettavasti toimi."

Huomenna on uudet haasteet.

Mielestäni tunnistamisen osalta on jo menty monesti metsään ja siellä näytetään pysyvän.

Anonyymi kirjoitti...

Hyppöselle ja muille tämä on varmasti pikapalaverin paikka. Aiheutettu julkisuus listalle on varmasti monisatakertainen siihen verrattuna, että asiaa ei olisi uutisoitu niin näyttävästi. Samalla riski tietojen väärinkäytölle on kasvanut.

Ei tällaisia kannata julkistaa kuin vasta sitten kun tiedosto on saatu mahdolisuuksien mukaan ensimmäisestä tiedostojenjakopalvelusta pois.

Anonyymi kirjoitti...

"Erityisen moitittavaa kehityksen pysähtyminen on siksi, että vahva luottamus viranomaisiin ja hyvät kansalliset rekisterit ovat Suomen erityispiirteitä. Niitä pitäisi pystyä myös hyödyntämään, jotta tällaista sekoilua ei jatkossa enää tapahtuisi."

No, äläs nyt liioittele! Natsi-Saksa oli se oikea edelläkävijä tuolla alalla.

Mikko Hyppönen kirjoitti...

Vuotaja itse ("anonmuumi") tiedotti vuodostaan välittömästi sähköpostitse YLElle ja Iltalehdelle.

Minä kuulin vuodosta YLEn toimittajalta.

En olisi voinut estää vuodon menemistä julkisuuteen vaikka olisin tehnyt mitä. Mediafireltä meni ensimmäisen tiedoston poistoon tunteja yhteydenotostani.

Mikko

Petteri Järvinen kirjoitti...

Juuri näin -- varsinainen rikoksentekijä halusi itse teolleen julkisuutta ja otti yhteyttä... niin, Yleisradioon. Miksei Hesariin, Maikkariin tai johonkin tietoturvablogiin? Ehkä se kertoo jotain julkisen palvelun merkityksestä.

Anonyymi kirjoitti...

Siinä tapauksessa lehtien päätoimittajilla on pikapalaverin paikka. Ja tietoturva-asiantuntijat voivat aina sanoa no comment. Kukaan ei olisi kahden päivän jälkeen ollut kiinnostunut koko asiasta, ellei sille olisi saatettu näin mahtavaa julkisuutta.

Petteri Järvinen kirjoitti...

Tietomurto ja henkilörekisteririkos ovat uutisoinnin arvoisia asioita.

Epäselvää sen sijaan on, onko listan piilottelusta tässä vaiheessa enemmän hyötyä vai haittaa.

Kaino Kivi kirjoitti...

Tämä lista oli lopulta suhteellisen vaaraton. Niiden osalta olen harmissani, joiden tiedot olivat salaisia. Heille asia voi olla iso.

Arvelen, että julkiseksi tämä olisi kuitenkin tullut. Sitä ei olisi voitu välttää. Sikäli Mikko toimi mielestäni asianmukaisesti.

Se mikä meni pieleen, oli uskottelu siitä, että lista oli saatu poistettua. Eihän sellainen käytännössä tässä maailmassa onnistu.

Kai tästäkin voidaan jotakin oppia. Olisiko aika keskustella siitä. Maaperä lienee otollinen. Isompi kupru on varmasti vielä edessä.

Petteri Järvinen kirjoitti...

Todellinen opetus on siinä, miten HETUa käytetään väärin todentamiseen, ja miten ristiriitainen tilanne on toisaalta henkilötietolain määräysten ja toisaalta käytännön vaatimusten kannalta. Tämä kissa on syytäkin nostaa pöydälle, minkä uutisointi on oivasti tehnyt.

Oikea ratkaisu ei ole piilotella HETUja ja teeskennellä, että ne ovat luotettava keino henkilöllisyyden todistamiseen, vaan pyrkiä oikeasti ratkaisemaan todentamisen ongelmia.

Igor kirjoitti...

Mitä tarkoittaa "Vanhemmat kansalaiset saavat SATUnsa kansalaisvarmennetta hakiessaan."

Eivätkö nuoremmat saa SATUa kansalaisvarmennetta hakiessaan? Missä se ero on ja mitä tarkoittaa 'vanha'?

Anonyymi kirjoitti...

"Epäselvää sen sijaan on, onko listan piilottelusta tässä vaiheessa enemmän hyötyä vai haittaa."

Turha rypistää kun on jo housuissa. Ei kai kukaan ole väittänyt että listaa pitäisi enää piilotella. Vahinko on tapahtunut. Ohjeita tiedon salaamiseen ja panttaamiseen saa vaikka diplomaateilta tai Supolta.

Esimerkiksi israelilaiset ovat hyviä pidättämään tietoja mm. terroristisista teoista ihan vain sen takia, että julkisuutta haluavat ryhmät eivät sitä saa. Damage control on opettelemisen arvoinen asia.

Anonyymi kirjoitti...

Miksi HST-kortti floppasi?

Hannu Tanskanen kirjoitti...

Tietovuodon sylttytehdas alkaa selvitä,tämä "Anonymous"-porukka vaati uutisen mukaan Halla-Ahoa ja Hakkaraista pois maasta, eli vihertävältä kuulostaa.

Keravan poliisiasemaa vastaan on uutisen mukaan hyökännyt polttopulloin joku "eläimiä" puolustava "aktivisti"-ryhmä, eli vihertävä väri kuultaa siinäkin.

Onko punavihreä terrori nyt rantautunut väkivallan teoin meillekin?

Igor kirjoitti...

Minun mielestäni HST-kortti oli hankala, hyödytön ja kallis. Ja hintaan nähden vielä lyhyt voimassaoloaika. Tällä hetkellä varmaan pankkitunnukset ovat korvanneet HST kortin aiotuilla käyttöalueilla melkein 100%.

Lisäksi oikeanmallisen kortinlukijan hankkiminen omalle tietokoneelle ja sen asentaminen toimintakuntoon olivat ammattilaisellekin haastavaa puuhaa. Kortinlukijoiden ja niiden ohjelmien tuotteistus ja paketointi oli hoidettu päin seiniä massamarkkinoita ajatellen. Lisäksi suomalaiset olivat fiksuina valinneet jotkut valtavirrasta poikkeavat jutut jolloin Suomea varten piti aina olla eri palikat kuin muualla. Ja totta kai Mac ja Linux olivat heti alussa syrjittyjä.

Taisi tässäkin olla alihankkijoina Suomen suurimmat ja kauneimmat julkisen vallan hovihankkijat jotka niin monesti muulloinkin ovat sössineet.

Anonyymi kirjoitti...

Hei kertokaas joku tietävä miten tunnistaminen suoritetaan ulkomailla muissa kuin nettipalveluissa esim. puhelinasiakaspalveluissa?

Osmo kirjoitti...

HST kortti floppasi, koska se oli liian kallis ja vaati lisäksi lukulaitteen. Suurin osa ihmistä ei tarvitse henkilökorttia, kun heillä on ajokortti. Tämän vuoksi elektronisen tunnistuksen sitominen normaaliin henkilökorttiin oli varsin outo idea. Kun kortteja ei käytetty, ei niille ollut palveluitakaan. Markkinavetoinen tupas osoittautui paremmaksi.

HST:ssa on myös hyvin vakava tietoturvariski, koska pin-koodi annetaan tietokoneelle. PIN-koodi pitäisi antaa suoraan kortille erillisellä näppäimistöllä. Näin tietokoneella oleva haittaohjelma ei voisi kaapata korttia itselleen.

Minä en oikein näe mielekkäänä Hetun korvaamista identifioinnissa, ellei tarkoitus ole salata ikää. En myöskään näe yleistä tunnistetta kovin mielekkäänä, koska siinä on aina tietoturvariskinsä. Jokainen, jolle tunnistaudut saa tietää tunnisteesi. Parempi olisi käyttää kuhunkin asiakassuhteeseen liittyviä tunnisteita, kuten viimeisimmän laskun numeroa. Uusissa asiakassuhteissa tulisi käyttää varmempia tunnisteita, kuten tupasia.

Anonyymi kirjoitti...

Koko keskustelussa on kaksi merkittävää virheoletusta. Oletetaan, että puhelimen toisessa päässä on rehellinen ihminen ja oletetaan, että sovittua turvatarkastusta noudatetaan.

Monesti kokemus osoittaa, ettei edes hetua tarvita, vaan voit puhua itsesi tarkistuksen ohi. Toinen juttu on se, että hetua käytetään niin monessa paikassa, että käytännössä ne eivät ole turvallisia.

Tarkistuksen pitäisi olla kaksisuuntainen eli varmistaa keskustelun molemmat osapuolet ja mitä tietoja käsitellään, jotta annettua avainta ei käytetä edelleen toisaalla.

Ratkaisuja on, mutta ne eivät sovellu tekniikkaa ymmärtämättömälle sukupolvelle, lisäksi tarkistus jätetään helposti tekemättä jos se koetaan liian vaikeaksi eikä mikään järjestelmä siihen pakota.

Jos puhelimen toisessa päässä olevan toimijan rehellisyyteen voi luottaa, yksinkertainen ratkaisu olisi hetun ja kertakäyttöisten salasanan yhdistelmä. Puhelimen päässä virkailija syöttää tiedot viranomaisille tarkoitettuun palveluun, joka sitten sanoo onko ok vai ei.

Jos käyttö laajenee muihin tahoihin ei toisen pään toimijoihin voi enää luottaa ja pitää pystyä autentikoimaan myös puhelimeen vastaaja ja yksilöimään tiedot joita tunnustuksella haetaan. Muuten on riskinä tunnuksen eteenpäin välittäminen ja turvallisuus nollaantuu...

Anonyymi kirjoitti...

Sirullinen henkilökortti maksaa 51 euroa ja alaikäisen siruton henkilökortti 30 euroa. Mielestäni aikuisillekin pitäisi tarjota vaihtoehtona edullisempaa sirutonta korttia jos asiakas ei koe sirua tarpeelliseksi. Lisäksi kortin voimassaolon voisi pidentää kymmeneen vuoteen. Monessa maassa henkilökortit ja passit ovat edelleen voimassa kymmenen vuotta.

Anonyymi kirjoitti...

Yksi ratkaisu voisi olla että ilmoitetaan tyyliin: "Kahden vuoden päästä hetut ovat julkista tietoa siinä missä satut ja y-tunnukset. Siihen mennessä jokaisen laitoksen ja putiikin on kyettävä tunnistamaan asiakkaansa muilla menetelmillä. Jos käyttäjän henkilöllisyyttä ei varmisteta todistettavasti muulla menetelmällä syyllistyy esim. lääkärikeskus tai viranomainen tietovuotoon. Muut tunnistusmenetelmät olkoon pankkitunnukset, henkilökohtainen asiointi kuvallisella henkilökortilla(*), HST, joku muu (mikä?)".

(*) vrt. joidenkin lääkärikeskusten tapa varmistaa asiakkaan henkilöllisyys pelkästään sillä että asiakkaalla on esittää perinteinen kelakortti...joka voi hyvinkin olla varastettu.

y2k ja euromuutokset saatiin käyttöön, niin miksi ei myös toimivaa autentikointia. Pitää vain olla selvä takaraja ja kunnon sanktiot (taloudelliset ja rikosoikeudelliset).

Holle kirjoitti...

Kun HETU on näinkin "kuumaa tavaraa" niin tulisiko asiakkaana kieltäytyä luovuttamasta sitä jos vastaanottaja ei varmenna sen antajan henkilöllisyyttä mitenkään? Jos esimerkiksi varaan aikaa lääkärille netissä ja ainoa vaadittava syöte on HETU niin se ei ole mikään varmenne vaan perustuu luottamukseen. Miksi siis ylipäätänsä antaa sitä HETUa? Luulisi että tässä tapauksessa riittäisi pelkästään yhteystiedot?

Kun yhteiskunnalla ei ole tällä hetkellä toimivaa asiointitunnusta niin pitäisikö sellaista tarvitsevien tahojen jokaisen luoda oma varmenteensa pankkien tapaan? Voi jösses sentään miten monta tunnuslukulistaa/salasanaa pitää sitten kantaa lompakossa mukana :(