Ads 468x60px

keskiviikko 5. kesäkuuta 2013

Yhteiskunnan sähköisten palveluiden tulevaisuus vaakalaudalla



Sääntely ja uudet palvelut pankkien ja yhteiskunnan sähköisten palveluiden tulevaisuuden uhkana

Eurooppalaiset finanssialan yritykset, pankit erityisesti, ovat ongelmissa säätelyn ja uudenlaisia palveluita tarjoavien yritysten kanssa. Suomessa uhattuna on kohta koko yhteiskunnan sähköiset palvelut ja niiden tietoturvallisuus.

Maksupalveludirektiivin mukaan maksupalvelun tuottaja vastaa oikeudettomista maksutapahtumista. Mikäli maksutapahtuma on toteutettu oikeudettomasti, maksupalveluntarjoaja palauttaa maksajalle kyseisen maksutapahtuman summan välittömästi ja tarvittaessa palauttaa veloitetun maksutilin sellaiseen tilaan, jossa se olisi ollut ilman oikeudettoman maksutapahtuman toteuttamista.  EU:n tuleva tilipankki-direktiivi antaa kaikille EU-kansalaisille subjektiivisen oikeuden peruspankkipalveluihin.  EU-komission piirissä on virinnyt kilpailuvapauden nimissä myös sellainen kanta, että pankkien tulisi sallia se, että niiden asiakkaat luovuttavat pankkiasiointiin tarvittavat tunnuksensa myös jollekin sellaiselle toiselle toimijalle, jonka tarjoamien muiden palveluiden kautta asiakkaalla on mahdollisuus käyttää myös pankkien palveluja. Tämä on pankkien toimesta nähty varsin problemaattisena ja monet pankkien yhteistyöelimet ovatkin kevään aikana asiaa käsitelleet yleiseurooppalaisella tasolla ja ilmaisseet huolensa asiaan liittyvistä turvallisuusnäkökulmista. 

Suomalaisittain asiaa mutkistaa huomattavasti se, että pankkitunnukset ovat myös käytännössä yleisessä sähköisessä asioinnissa käytettäviä vahvoja sähköisiä henkilötunnisteita, jotka jo lain mukaan tulee pitää henkilökohtaisena ja joilla pääsee lähes kaikkiin yhteiskunnan sähköisiin palveluihin. Tätä asiaa ei EU-tasolla ole huomioitu.

Markkinoille on ilmaantunut lukuisia uusia toimijoita, joiden palvelut perustuvat käyttäjien pankkitunnisteiden käyttöön. Nämä niin sanottujen Overlay-palveluiden tuottajat toimivat käyttäjän ja verkkopankin välissä ja käyttävät asiakkaansa pankkitunnuksia tämän puolesta.  Jotta palvelun tuottaminen olisi mahdollista, luovuttaa pankin asiakas pankkitunnuksensa (tunnuslukutaulukot) kolmannen osapuolen käyttöön ja EU komission vallitsevan kannan mukaan pankkien tulee tämä myös sallia. Niin yllättävää kuin se tietoturvallisuutta ymmärtävän asiantuntijan näkökulmasta onkin, on tämä jo suomessakin kohtuullisen yleistä ja yleistyy koko ajan. Eräskin pankki arvioi heillä olevan jo noin 20 000 asiakasta, jotka ovat pankkitunnuksensa luovuttaneet tällaisen pankkien palveluita hyödyntävien palvelutarjoajien käyttöön.

Pankkitunnusten luovuttamisesta seuraa se, että käyttäjien tulee aukottomasti luottaa tällaisiin uusien palveluiden tuottajiin, sillä he käytännössä luovuttavat tilinsä ja samalla kaikkien yhteyskunnan sähköisten palveluiden käyttöoikeuden näille kolmansille osapuolille. Näiden palveluiden pystyttäminen on erittäin helppoa, eikä käyttäjillä tosiasiassa ole mitään mahdollisuutta varmistua toimijoiden luotettavuudesta. Toisaalta tämä ei myöskään ole näiden käyttäjien, pankin asiakkaiden, ongelma, sillä pankithan ovat maksupalveludirektiivin mukaan vastuussa mahdollisista oikeudettomista maksutapahtumista. Yhteiskunnan tarjoamien palveluiden osalta on epätodennäköistä, että käyttäjät olisivat edes tajunneet miettiä näihin liittyviä riskejä. Pankit ovat joutuneet tilanteeseen, jossa ne toisaalta velvoitetaan sallimaan verkkopankkitunnusten luovuttaminen kolmansille osapuolille ja jossa ne joutuvat korvaamaan tästä mahdollisesti aiheutuvat väärinkäytökset. Yhteiskunta puolestaan on joutunut tilanteeseen, jossa sähköisiä palveluita tarjoavat tahot eivät vielä ole koko riskiä tunnistaneet.

Suomessa pankkitunnisteita (TUPAS) käytetään luotettavana tapana tunnistautua hyvin moniin yhteiskunnan sähköisiin palveluihin sekä yksityisten yritysten palveluihin, kuten verkkokauppoihin. Vahvaa sähköistä tunnistamista säätelee Suomessa Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista ja tämän lain mukaan tunnistusväline annetaan aina luonnolliselle henkilölle ja sen on oltava henkilökohtainen. Lisäksi laissa todetaan, että tunnistusvälineen haltija ei saa luovuttaa välinettä toisen käyttöön. Kuten edellä jo todettiin  EU-sääntelystä johtuen pankkitunnusten luovuttaminen Overlay-palveluiden tuottajille tulee olla sallittua ja sitä tapahtuu yhä enenevässä määrin. Tästä seuraa se, että kolmansille osapuolille siirtyy myös lähes kaikkien yhteiskunnan tarjoamien sähköisten palveluiden käyttöoikeudet ja nämä tahot voivat halutessaan käyttää näitä tunnuksia esimerkiksi asioidakseen oikeudettomasti pankkien asiakkaiden puolesta suomalaisten viranomaisten kanssa tai katsellakseen asiakkaidensa potilastietoja suomen keskitetystä potilastietoarkistosta. Suomessa kiinteistöiden kaupankin voi kohta tehdä sähköisesti käyttäen tätä varten tehtyjä verkkopalveluita. 

Lisääntyvä kolmansien osapuolien tarjoamien Overlay-palveluiden käyttö ja pankkien velvollisuus tukea näiden palveluiden käyttöä on siis johtamassa tilanteeseen, joka vaarantaa koko suomalaisen yhteiskunnan sähköisten palveluiden turvallisuuden ja asettaa samalla pankit ikävään välikäteen, jossa ne toisaalta eivät saa huolehtia palveluidensa turvallisuudesta ja toisaalta joutuvat korvaamaan aiheutuvat vahingot. Kansalaiset saattavat joku päivä herätä siihen, että eivät enää omistakaan kiinteistöä, jossa asuvat, vaan sen omistaa epäluotettavaksi osoittautunut Overlay-palveluiden tuottaja.

Aiheesta KPMG:n blogissa
 

Ei kommentteja:

Lähetä kommentti