Mäkinen, Jussi

Tarvitsemme tunnistautumiskäytäntöjen ryhtiliikkeen: Vastaamo-tapaus nosti esiin henkilötunnuksen haavoittuvuudet

|
Jussi Mäkinen

On inhottavaa, että tietoturva on noussut julkiseen keskusteluun juuri Vastaamo-tapauksen myötä. Inhimillinen kärsimys ja epävarmuus ovat käsinkosketeltavia. Näin ei saisi käydä. Yhteiskuntamme digitaalinen resilienssi ja kyky huolehtia kansalaisten perusturvasta digitaalisessa ympäristössä joutuvat nyt koetukselle.

Mielenkiinto suuntautuu nyt myös loppukesästä käytyyn keskusteluun henkilötunnusuudistuksesta, jossa tavoitteena oli tunnus, josta itsestään ei selviäisi esimerkiksi henkilön tunnistamiseen liittyviä tietoja. Silloin keskustelussa pyörivät erityisesti yrityksille aiheutuvat kustannukset mutta myös riskit, joita leväperäinen henkilötunnuksen käsittely ihmisille aiheuttaa. Edelleenkään kyse ei henkilötunnuksissa ole sukupuolineutraaliudesta (joka on tervetullut sivutuote), vaan toimivan ja turvallisen digitaalisen yhteiskunnan perusrakenteista.

Ei pikavippejä, kulutusluottoja eikä rekisterimerkintöjen tekoa pelkällä henkilötunnuksella. Jos hakija on oikealla asialla, nämä hoituvat kyllä helposti vahvalla sähköisellä tunnistamisella.

Valtiovarainministeriössä on linjattu, että henkilötunnusten kokonaisuudistusta ei tehdä, vaan uudistus pilkotaan pienempiin etappeihin. Tärkeää on, että uudet järjestelmät rakennetaan ja vanhat muutetaan siten, että henkilötunnukset eivät ole identifioiva tekijä. Tätä viestiä vahvistaa Vastaamosta noussut kriisitietoisuus: esimerkiksi asiakasnumero olisi helppo uusia eikä vääriin käsiin mahdollisesti päätyessään kovinkaan käyttökelpoinen.

Akuutissa tilanteessa on tilausta kollektiiviselle ryhtiliikkeelle: lasketaan puomi ilmeisimpien identiteettivarkauksien eteen: ei pikavippejä, kulutusluottoja eikä rekisterimerkintöjen, kuten muuttoilmoitusten, tekoa pelkällä henkilötunnuksella. Jos hakija on oikealla asialla, nämä hoituvat kyllä helposti vahvalla sähköisellä tunnistamisella.

Jos henkilötunnuksen uudistamiseen ei yhdellä hankkeella lähdetäkään, olisi hyvä toteuttaa kaikki toimet pahimpien vaaranpaikkojen ehkäisemiseksi. Samoin nopeaan toteutukseen olisi syytä saada käytännöt, jotka helpottavat ulkomaisten osaajien ja sellaisiksi opiskelevien sujuvaa maahantuloa.

Valtio vahvistaa ihmisten sähköistä identiteettiä ja sen käyttöä julkisissa palveluissa digitaalisen henkilöllisyyden hankkeessa. On hyvä, että vellovalle tunnistamiskeskustelulle saadaan nyt päätös. Toimivan digitaalisen henkilöllisyyden päälle rakentuvat luontevasti yksityiset palvelut, kunhan se pidetään toimintatapoja kehitettäessä ohjaavana periaatteena. Julkisen ja yksityisen sektorin toimiva yhteistyö on tärkeää kehitettäessä turvallisen digitaalisen yhteiskunnan toiminnallista infrastruktuuria.

Julkisen ja yksityisen sektorin toimiva yhteistyö on tärkeää kehitettäessä turvallisen digitaalisen yhteiskunnan toiminnallista infrastruktuuria.

Julkiselle sektorille kuuluvat perusrekisterit, eli henkilö-, yhteisö- ja muut tunnukset. Lisäksi julkisen sektorin on luontevaa järjestää näihin rajapinnat ja määritellä yhdessä yksityisten toimijoiden kanssa käytännöt, jotta data on luotettavaa ja käytettävissä. Yksityinen sektori huolehtii palveluista, joilla data saadaan liikkeelle ja käyttöön – henkilön omalla päätöksellä ja läpinäkyvästi. Yhteistyö kohdistuu erityisesti yhteisiin käytäntöihin ja sen pohjana on jaettu kuva tavoitteesta ja keinoista.

Meidän ulottuvillamme olisi lukuisia keinoja, joilla asioinnin käytäntöjä ja turvallisuutta voisi välittömästi parantaa. Ne on otettava heti käyttöön.

Jussi Mäkinen

Kirjoittaja on Teknologiateollisuuden digitaalisesta regulaatiosta vastaava lakiasiainpäällikkö, joka on saanut apua sekä mielenterveyden että tietoturvan ammattilaisilta.

Lue myös: Teknologiateollisuuden lausunto HETU-työryhmän loppuraportista