Yhteiskunnan sähköisten palveluiden tulevaisuus vaakalaudalla

Eurooppalaiset finanssialan yritykset ovat ongelmissa kasvavan sääntelyn ja uudenlaisten sähköisten palveluiden vuoksi. Suomessa uhattuna on koko yhteiskunnan sähköiset palvelut ja niiden tietoturvallisuus. Tämä pelottava skenaario on täysin realistinen ja jo toteutumassa.

EU-sääntelyn tuomat riskit

Euroopan Unionin maksupalveludirektiivin mukaan maksupalvelun tuottaja, useimmiten pankki, vastaa maksutapahtumista, joita käyttäjä ei itse ole valtuuttanut ja hyväksynyt. Mikäli maksutapahtuma on toteutettu tällä tavoin, oikeudettomasti, pankki palauttaa maksajalle kyseisen maksutapahtuman summan välittömästi.

Tuleva tilipankkidirektiivi taas takaa kaikille EU:n kansalaisille subjektiivisen oikeuden peruspankkipalveluihin. EU-komission piirissä on virinnyt kilpailuvapauden nimissä kanta, jossa pankkien tulisi sallia asiakkaidensa luovuttavan pankkiasiointiin tarvittavat tunnukset myös toimijalle, jonka tarjoamien palveluiden kautta asiakkaalla on mahdollisuus käyttää pankkien palveluja. Tämä on pankkien toimesta nähty varsin ongelmallisena. Monet pankkien yhteistyöelimet ovatkin kevään aikana käsitelleet asiaa yleiseurooppalaisella tasolla ja ilmaisseet huolensa asiaan liittyvistä turvallisuusnäkökulmista.

Suomalaisittain asiaa mutkistaa se, että pankkitunnukset ovat käytännössä yleisessä sähköisessä asioinnissa käytettäviä henkilötunnisteita, joilla pääsee lähes kaikkiin yhteiskunnan sähköisiin palveluihin. Tätä asiaa ei EU-tasolla ole huomioitu.

Uudet toimijat aiheuttavat uusia uhkia

Markkinoille on ilmaantunut lukuisia uusia toimijoita, joiden palvelut perustuvat käyttäjien pankkitunnisteiden käyttöön. Nämä niin sanotut Overlay-palveluiden tuottajat toimivat käyttäjän ja verkkopankin välissä, ja hyödyntävät asiakkaansa pankkitunnuksia tämän puolesta. Jotta palvelun tuottaminen olisi mahdollista, asiakas luovuttaa pankkitunnuksensa tämän kolmannen osapuolen käyttöön.

Pankkitunnisteiden myötä Overlay-palveluiden tuottajille siirtyy lähes kaikkien yhteiskunnan tarjoamien sähköisten palveluiden käyttöoikeudet. Nämä tahot voivat halutessaan käyttää pankkitunnuksia esimerkiksi asioidakseen oikeudettomasti pankkien asiakkaiden puolesta suomalaisten viranomaisten kanssa tai katsellakseen asiakkaidensa potilastietoja keskitetystä potilastietoarkistosta. Suomessa kiinteistökaupankin voi kohta tehdä sähköisesti käyttäen tätä varten tehtyjä verkkopalveluita.

Aukoton tietoturvallisuus?

Käyttäjät luottavat sinisilmäisesti uusien palveluiden tuottajiin. Käytännössä asiakkaat luovuttavat tilinsä ja samalla kaikkien yhteiskunnan sähköisten palveluiden käyttöoikeuden Overlay-palveluiden tuottajille. Sähköisten palveluiden pystyttäminen on erittäin helppoa, eikä käyttäjällä ole mahdollisuutta varmistua alan toimijoiden luotettavuudesta.

Ongelma lankeaakin pankeille, sillä ne ovat EU:n maksupalveludirektiivin mukaan vastuussa oikeudettomista maksutapahtumista sekä asiakkailleen että yhteiskunnalle, jonka sähköiset palvelut vaarantuvat. Käyttäjät tuskin ymmärtävät tunnistetietojen luovuttamiseen liittyviä riskejä.  Sama pätee myös yhteiskunnan sähköisiä palveluita tarjoaviin tahoihin.

Pankkitunnusten hyödyntäminen yleistä Suomessa

Overlay-palveluiden käyttö on jo melko yleistä Suomessa. Eräs pankki arvioi heillä olevan jo noin 20 000 asiakasta, jotka ovat luovuttaneet pankkitunnuksensa pankkien palveluita hyödyntävien palvelutarjoajien käyttöön. Jos kehitys jatkuu samaa rataa, ongelmia on varmasti edessä. Pankit ovatkin joutuneet ikävään välikäteen, jossa ne toisaalta velvoitetaan sallimaan verkkopankkitunnusten luovuttaminen kolmansille osapuolille, toisaalta ne joutuvat korvaamaan mahdolliset väärinkäytökset. Tämä toiminta vaarantaa koko suomalaisen yhteiskunnan sähköisten palveluiden turvallisuuden.

Viime kädessä lystin maksaa pankin asiakas, joka yhteiskunnan palveluiden käyttäjänä joutuu ongelmiin. Kansalaiset saattavat joku päivä herätä siihen, etteivät he enää omistakaan kiinteistöä, jossa asuvat, vaan sen omistaa epäluotettavaksi osoittautunut Overlay-palveluiden tuottaja.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.