Tietokone-lehti 7-8/2008

Kansallinen usb-tikku

Ovatko suomalaiset verkkopalvelut turvallisia? Vielä helmikuussa olisin vastannut epäröimättä kyllä. Nyt en enää ole varma.

Suomen verkkopankit ovat kansainvälinen menestystarina, jota on tultu katsomaan ulkomailta asti. Meillä sähköiset palvelut toimivat ja tietosuoja pitää. Ja identiteettivarkaudet -- niitähän ei Suomessa ole lainkaan.

Tämä kevät on kuitenkin koetellut suomalaisten luottamusta sähköisiin palveluihin.

Sekoilua siellä, tonttuilua täällä

Ensin tulivat Sampo Pankin sotkut, joihin kyllästyneenä lähes 30000 asiakasta vaihtoi pankkia. Sitten tilitapahtumat näkyivät väärälle henkilölle, koska hänelle oli vahingossa postitettu toiselle samannimiselle tarkoitetut tunnukset.

Ahvenanmaalaisen peliyhtiön järjestelmästä paljastui alkeellinen virhe, jonka seurauksena asiakkaan onnistui kerätä pelitililleen miljoona euroa. Tapaus paljastui vasta, kun mies yritti nostaa rahoja liian suurissa erissä.

Kelan tapaus on arvoituksellisin. Miksi asiakas näki väärän henkilön sairastiedot palvelusta? Vielä viikon selvittelyn jälkeenkään it-osasto ei osannut sanoa, mikä oli mennyt vikaan. Poliisi kutsuttiin apuun, mikä on aina huolestuttava merkki.

Tavallaan ongelmat ovat tervetulleita. Ne muistuttavat palvelujen tuottajia siitä, ettei aiempi menestys anna syytä itsetyytyväisyyteen eikä laakereilla lepäämiseen.

Luottamuksen syntyminen kestää pitkään, mutta sen voi menettää hetkessä.

Hst-kortin uusi tuleminen?

Äkillisesti ilmenevät ongelmat voivat olla puhdasta sattumaa. Mutta kyse voi olla myös siitä, että perinteinen nettiasiointi on tulossa tiensä päähän.

Laitteiden ja liittymien kirjavuus yhdistettynä käyttäjien suureen määrään ja vaihtelevaan osaamiseen on saattanut ylittää kriittisen rajan, jonka jälkeen on pakko keksiä jotain uutta.

Olisiko nyt sopiva hetki kaivaa naftaliinista vanha hst-korttihanke?

Tuodessaan kortin markkinoille vuonna 1999 Suomi oli aikaansa edellä. Vahva todennus oli hieno tekniikka, mutta sille ei ollut vielä tarvetta. Pankkien halvat ja yksinkertaiset salasanalistat riittivät.

Nyt aika olisi kypsä mille tahansa ratkaisulle, joka todentaa käyttäjän vaivattomasti ja luotettavasti.

Hst-kortti ei tietenkään auta palvelujen teknisiin ongelmiin, mutta se kohentaisi tietoturvaa epäsuorasti. Ei enää akuankka-nimellä rekisteröityneitä, ei tahattomia nimikaimoja, ei vaikeasti muistettavia salasanoja eikä hankalia kertakäyttöisiä tunnuslukuja, joita rosvot yrittävät urkkia sähköpostilla.

Riittää, kun aamulla laittaa kortin koneeseen ja antaa pin-koodin. Niin kauan kuin kortti pysyy asemassa, käyttäjä voi liikkua palvelusta toiseen ja ne tunnistavat hänet automaattisesti, ilman tunnuksia tai salasanoja.

Kortilla voidaan myös salata sähköpostia, ja pienellä virittelyllä se korvaa jopa Windowsin oman salasanakyselyn.

Hst-kortin hienous on sen konkreettisuudessa. Käyttäjän sähköinen identiteetti on kirjaimellisesti omissa käsissä ja siksi helposti säädeltävissä. Toisin kuin salasanoja, identiteettiä ei voi varastaa haittaohjelmalla. Lisäksi käyttäjä saa itse valita, milloin haluaa tulla todennetuksi.

Kortti toimii kuten perinteinen avain. Siksi sen käyttö on maallikollekin riittävän yksinkertaista.

Rohkea ehdotus

Aikanaan uskottiin, että toimikortin lukijat tulevat tietokoneiden vakiovarusteeksi. Tähän päivään mennessä olen nähnyt vain muutaman kannettavan mikron, jossa lukija on ollut.

Nyt Suomella olisi tilaisuus vaikuttaa tulevaisuuden kehitykseen.

Ehdotan, että tietoyhteiskunnan vauhdittamiseksi kortti sekä usb-porttiin liitettävä lukija jaetaan kaikille ilmaiseksi. Kustannukset -- korkeintaan 30 euroa per henkilö -- tulevat säästöinä moninkertaisesti takaisin.

Turha väittää, ettei valtion pidä ohjailla markkinoita. Vielä enemmän niihin puututtiin digi-tv-projektissa, vaikkei siitä ollut edes hyötyä kansantaloudelle.

Takataskussa on vielä rohkeampi ehdotus: tehdään oma ratkaisu, jossa hst-kortin siru upotetaan usb-muistitikkuun. Sen jälkeen edes lukijaa ei tarvita, sillä tikkua voidaan käyttää missä tahansa usb-portilla varustetussa tietokoneessa.

Sirun ohella tikussa voisi olla gigatavu vapaata muistia, joten siitä olisi iloa käyttäjälle tunnistamisen ulkopuolellakin.

Kansallinen usb-tikku olisi rohkea, ennakkoluuloton veto. Mutta juuri sellaisia Suomi tarvitsee, jos se haluaa takaisin kehityksen kärkeen.

Kansallisiin hankkeisiin sisältyy aina iso riski. Entä jos kehitys maailmalla lähtee eri suuntaan? Entä jos Microsoft tai Google kehittävät ratkaisun, josta tulee maailmanlaajuinen standardi todentamiselle?

Siitä tuskin on pelkoa. Useimmissa länsimaissa suhtaudutaan kielteisesti valtion henkilörekistereihin, eikä henkilökortteja haluta edes paperisina, vaikka tietojen kalastelun ja nettihuijausten myötä turvallisen todentamisen tarve on kasvanut huutavaksi.

Kaupallista ratkaisua tuskin näemme senkään vuoksi, että todentaminen perustuu varmenteisiin. Kuka luottaisi amerikkalaisiin yrityksiin -- tai edes Yhdysvaltoihin valtiona?

Verkkotoiminta perustuu luottamukseen. Juuri sitä kilpailuetua Suomen kannattaa hyödyntää.

<takaisin