1.12.2008
Lausunto lakiesitysluonnoksesta koskien lakia vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista
Liikenne ja viestintäministeriö on pyytänyt 5.11.2008 Stakesilta lausuntoa (Dno 1862/30/2008) hallituksen esityksestä laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Stakes esittää lausuntonaan seuraavaa.
Yleistä
Kuten lakiesityksen perusteluissakin on todettu, on sähköisen asioinnin ja palvelujen kehittyminen ollut Suomessa hidasta eikä Suomea voida pitää kansainvälisen mittapuun mukaan tietoyhteiskunnan edelläkävijämaana. Siksi lakiesityksen tavoitetta luoda edellytykset luotettavan vahvan sähköisen tunnistamisen ja allekirjoituksen laajamittaiselle tarjonnalle Suomessa voidaan pitää oikeaan osuneena ja ajankohtaisena.
Lakiehdotuksen tavoitteeksi on asetettu sähköisen tunnistamisen markkinoiden synnyttäminen Suomeen. Ottaen huomioon Suomen pienen väestöpohjan voidaan perustellusti kysyä voiko Suomeen syntyä aidosti kilpailulle avoimet sähköisen tunnistamisen markkinat.
Lakiesityksen perusteluissa todetaan, että vahvaa tunnistamista tulisi käyttää vain silloin kuin se on perusteltua tai sitä edellytetään lainsäädännössä. Tähän on helppo yhtyä. Kuitenkin lakiesityksen perusteella jää sähköisten palveluntarjoajien yksipuolisesti päätettäväksi tarjoavatko ne muita kuin vahvan sähköisen tunnistamisen palveluja. Tähänastinen käytäntö viittaa siihen, että kaupallista ja taloudellista intresseistä johtuen lähes kaikki sähköisen palvelujen tuottajat käyttävät yhtä (vahvaa) sähköistä tunnistamista. Mikäli näin käy myös jatkossa, ei lakiesityksen esittämä tavoite toteudu. Huoli tällaisesta kehityksestä on aiheellinen, koska lakiesityksessä kansalaiselle ei ole esitetty oikeutta tahtoessa asioida anonyymina tai jollain muulla kuin vahvan tunnistamisen tekniikkaa käyttävien palvelujen avulla.
Lakiesitys on kirjoitettu ennen kaikkea markkinaehtoisesti ja palvelujen tuottajan lähtökohdista. Tämä on myös esityksen yksi heikkous. Lakiehdotuksen yleisperusteiden ajatuskulun mukaan palvelujen käyttäjän tulee voida luottaa palvelujen antajan lainmukaiseen toimintaan mutta palvelujen tarjoajan tule voida varmistua siitä, että käyttäjä on se, joka väittää olevansa. Vahvan tunnistamisen käyttäminen mahdollistaa jäkinmainitun, mutta palvelujen käyttäjälle (kansalaiselle) ei ole luotu mahdollisuutta varmistua tai tarkistaa, että palvelujen tuottaja on luottamuksen arvoinen.
Kansalaisen yksityisyyden suojan toteutumisen näkökulmasta lakiehdotus ei turvaa riittävästi kansalaisen yksityisyyden ja tiedollisen itsemääräämisoikeuden toteutumista sähköisissä palveluissa seuraavista syistä. Lakiehdotuksen mukaan vahvan tunnistamispalvelujen tarjoaja voi yksipuolisesti päättää mm. sille aiheutuviin kustannuksiin pohjautuen siitä minkä tasoista yksityisyyden suojaa se katsoo tarpeelliseksi toteuttaa. Edelleen vahvan sähköisen tunnistamisen ja sähköisen allekirjoituksen tietoteknisiä toteutuksia ei edellytetä sertifioitavaksi riippumattoman tahon toimesta. Kokemukset nykyisistä kaupallisista sähköisten palvelujen ohjelmistoista osoittavat, että niiden henkilötietojen käsittelyä ei ole suunniteltu asianmukaisesti ennakolta, ohjelmistot ovat huonosti suunniteltuja, riskianalyysejä ei ole tehty ja ohjelmistojen kyky torjua vihamielisiä hyökkäyksiä on puutteellinen. On myös todettava, ettei palvelujen tarjoajilta ole harvinaisia poikkeuksia lukuun ottamatta saatavissa kuvausta henkilötietojen käsittelyn toteuttamisesta ja suojaamisesta eikä myöskään kansainvälisten standardien [1] edellyttämiä tietoturva- ja tietosuoja politiikoita. Lakiesityksen pyrkiikin takaamaan tunnistamis- ja sähköisen allekirjoituspalvelujen tarjoajien aseman hyvin, mutta kansalaisen rooliksi näyttää jäävän vain luottaa siihen, että palvelut ovat lain mukaisia ja turvallisia. Stakes katsookin, että lakiesityksen jatkotyöstämisen yhteydessä kansalaisen asemaa tulisi vahvistaa siten, että tietoyhteiskuntapalveluilta jotka käyttävät vahvaa sähköistä tunnistamista ja/tai sähköisen allekirjoituksen palveluita edellytetään ulkopuolista sertifiointia, ja että palveluja käyttävällä kansalaiselle annetaan tiedonsaantioikeus tutustua palvelujen sertifiointiraportteihin ja yrityksen tietosuoja- ja tietoturvapolitiikkoihin ennen kuin hän tekee päätöksen ryhtyä ko. palvelujen käyttäjäksi.
Tietoyhteiskuntapalveluissa, joissa käytettään vahvaa tunnistamista syntyy jokaisesta tunnistamistapahtumasta lokitiedot. Ne sisältävät usein tietoa myös siitä mitä palveluja asiakas on käyttänyt ja milloin. Näitä lokitietoja voidaan käyttää ja käytetään mm. asiakkaiden profilointiin. Nykyistä varmennepalvelujen tuottajista mm. pankit edellyttävät verkkopankkisopimuksissaan [2], että ne voivat käyttää varmennuksen yhteydessä syntyneitä lokitietoja muussa liiketoiminnassaan. Koska monet pankit ovat nykyään myös vakuutusyhtiöitä, syntyy potentiaalinen tilanne jossa varmentamisen yhteydessä syntyneitä tietoja voidaan käyttää muihin kuin niiden alkuperäiseen käyttötarkoitukseen.
Henkilötietolain 28§:n tulkinnan mukaan kansalaisen tarkistusoikeus ei ulotu lokitietoihin. Kansalaisen tiedollisen itsemääräämisoikeuden (kts. Lissabon sopimus 16 artikla) ja yksityisyyden suojan toteutumisen mahdollistamiseksi olisi perusteltua säätää lailla kansalaiselle erityinen tiedonsaantioikeus varmentamistapahtuman yhteydessä syntyneihin lokitietoihin, sekä oikeus saada tietoonsa mihin käyttötarkoituksiin niitä on käytetty ja kenen toimesta.
Lakiehdotuksessa on käytetty seuraavia harhaanjohtavia käsitteitä:
- Vahvan tunnistamisen määritelmä on virheellinen ja sen seurauksena mm. TUPAS- palvelu on tulkittu täyttävän vahvan tunnistamisen vaatimukset (kts. Stakesin lausunto luonnoksesta STM:n asetukseksi sähköisestä lääkemääräyksestä sekä STM:n lääkkeen määräämisestä antaman asetuksen muuttamisesta 5.3.2008). Vahva tunnistaminen edellyttää tunnistusta, joka käyttää ainakin kahta seuraavista kolmesta menetelmästä: jotakin mitä käyttäjä on (esimerkiksi sormenjälki), jotakin mitä vain käyttäjä tietää (esim. salasana) tai jotakin mitä vain käyttäjällä on hallussaan (esim. avain tai toimikortti). Lakiesityksessä käytetty vahvan tunnistamisen määritelmä ei täytä em. vaatimuksia.
- federaatio on määritelty virheellisesti luottamusverkostoksi.
Lakiesityksen valmistelun puutteena voidaan edelleen pitää sitä, ettei se ole tarkastellut zero-knowledge proof ja muita vastaavia uudenaikaisia vahvan tunnistamisen menetelmiä. Nämä menetelmät takaisivat lakiehdotuksessa esitettyä ratkaisua huomattavasti kehittyneemmän kansalaisen yksityisyyden suojan.
Yksityiskohtaisia kommentteja
Seuraavassa esitetään yksityiskohtaisia kommentteja joihinkin lakiehdotuksen pykäliin:
- Pykälä 8 mahdollistaa sen, että kansalaisen alkuperäiset biometriset tunnistetiedot voidaan johtaa talletetuista tunnistetiedoista. Perusteena tähän on käytetty mm. sitä, että ehdoton kielto aiheuttaisi kohtuuttomia kustannuksia palvelujen tuottajalle. Kansalaisen alkuperäisten tunnistetietojen joutuminen sivullisten käsiin saattaa merkitä kansalaiselle hänen sähköisen identiteetin menettämistä, mikä on kansalaisen kannalta erittäin haitallista. Lisäksi biometristen tunnistetietojen rekisterit tulevat olemaan vihamielisten hyökkäyksien keskeinen kohde. Näin ollen pelkkä suositus teknisestä toteutuksesta jossa alkuperäisten tietojen johtaminen on hankalaa ei ole kansalaisen yksityisyyden suojaamisen näkökulmasta riittävä potentiaaliset riskit ja haitat huomioon ottaen. Stakesin näkemyksen mukaan biometriset tunnistetiedot tulisi tallettaa siten, ettei kansalaisten alkuperäisiä biometrisiä tunnistetietoja voida niistä johtaa.
- Pykälässä 29 ehdotetaan mm. että EU:n komission hyväksymät tai EYVL:ssä julkaistujen standardien mukaiset laiteet katsotaan aina luotettaviksi. Ehdotus osoittaa lain perustelujen laatijoita puutteellista standardien tuntumusta. Parhaatkin standardit ovat kompromisseja, monesti puutteellisia ja sertifiointitarkoituksiin liian yleisiä ja tulkinnanvaraisia. Stakesin näkemyksen mukaan laitteet ja ohjelmistot tulisi sertifioida ennen kuin niitä voidaan pitää luotettavina.
- Pykälässä 36 säädetään laatuvarmentajan vahingonkorvausvastuista. Säädöksen perustelujen mukaan varmentaja vapautuu vastuusta, jos vahinko ei ole tapahtunut huolimattomuudesta. Jää epäselväksi kenellä on vastuu (ts. onko huolimattomuutta) tilanteessa, jossa varmentajan ohjelmistossa tai tietojärjestelmän käyttöjärjestelmässä on dokumentoimaton virhe joka mahdollistaa vihamielisen hyökkäyksen ja tietojen väärinkäytön.
Sosiaali- ja terveydenhuollon näkökulma
Sosiaali- ja terveydenhuolto on sähköisen asioinnin ja palvelujen yksi keskeisistä tulevaisuuden kehittämiskohteista. Tähän mennessä nämä palvelut ovat olleet Suomessa vähämerkityksellisiä. Yksi syy tähän hitaaseen kehitykseen on ollut luotettavan tunnistamisen ja sähköisen allekirjoituksen toteutusten puute. Onkin odotettavissa, että mikäli lakiehdotuksessa esitettyjen muutosten avulla saadaan syntymään toimivat ja kustannuksiltaan kohtuulliset sähköisen tunnistamisen ja allekirjoituksen markkinat, tulevat sosiaali- ja terveysalan sähköiset palvelut lisääntymään nopeasti.
Sosiaali- ja terveydenhuollossa asiakkaiden ja kansalaisen tietoturvan ja yksityisyyden suojan toteutuminen on perusehto sähköisten palvelujen lisääntymiselle. Koska pelkästään tieto siitä, että kansalainen on asioinut terveydenhuollon palvelujen tuottajan kanssa on salassa pidettävä, tulee tämä vaatimus toteutua myös sähköisten palvelujen käytön yhteydessä. Konkreettisesti tämä tarkoittaa sitä, ettei varmentajalle saa jäädä tietoa siitä, että varmentamistapahtuman mahdollistaman palvelujen käytön osapuoli on ollut terveydenhuollon palvelujen tuottaja. Varmentaja ei myöskään saa käyttää syntynyttä asiointitietoa omassa liiketoiminnassaan eikä luovuttaa tietoja edelleen sivullisille.
Yhteenveto
Lakiehdotuksen yleisperusteluissa todetaan, että "palvelujen käyttäjän on voitava luottaa siihen, että palveluntarjoaja on rakentanut palvelunsa siten, että tietoturvan ja yksityisyyden suojan vaatimukset on otettu huomioon". Tarkastelun kohteena oleva lakiesitys on rajattu sähköiseen tunnistamiseen ja allekirjoitukseen eikä sähköistä palveluprosessia tarkastella kokonaisuutena. Siksi lakiehdotus yksin ei riitä siihen, että kansalainen/potilas voisi perustellusti luottaa käyttämänsä sähköisen palvelun kokonaisuuteen ja siihen, etteivät hänen arkaluontoiset asiointietonsa joudu sivullisten henkilöiden prosessien tai tietojärjestelmien käsiin. Sosiaali- ja terveydenhuollon arkaluontoisten tietojen salassapidon ja yksityisyyden suojan toteutumisen näkökulmasta tulisi lakiesityksessä tarkastella sähköistä turvallista palveluprosessia kokonaisuutena.
Tätä lausuntoa ei ole käsitelty Stakesin johtoryhmässä.
Helsingissä 1.12.2008
Pääjohtaja Mauno Konttinen
Tutkimusprofessori Pekka Ruotsalainen
[1] Kts. ISO 17799 Code of practice for information security management ja ISO/IEC 27001 Information technology- Security techniques- Information security management systems.
[2] TUPAS- järjestelmä perustuu verkkopankkitunnisteiden käyttämiseen