lauantai 16. tammikuuta 2010

Sähköiseen asiointiin tarvitaan avain

Verottaja on kunnostautunut sähköisen asioinnin edellytysten ratkaisijana.

Vuonna 2003 kolme valtionhallinnon suurta asiakaspalvelijaa Kela, Työhallinto ja Vero rakensivat yhdessä Tupas-tunnisteisiin nojautuvan identiteettivarmennusmenetelmän (tyypillistä hallintokieltä?) nimeltä Tunnistus.fi.

Viimeaikaiset uutiset pistävät pohtimaan, missä ja miten järjestettynä sähköisen identiteettimme oikein pitäisi olla?

Ja nyt varoituksen sana: en ole insinööri, en tunnistamisen ekspertti - en edes verkkopalvelujen syvätekijä. Olen syvästi kiinnostunut asioiden toimimisesta, ja siten kyltymätön tutkimusmatkailija. Noilla matkoillani luulen loputtomilla kysymyksilläni saaneeni kuvaa miten asiat ovat verkossa: osaan koodata (vähän), ymmärrän tunnistamisen periaatteet (yleisellä tasolla)..

OpenID - yes please, I want to comment!

Olen ollut hidas omaksuja: Facebookin aloitin viime keväänä, vähän blogin aloitukseni jälkeen. Twitteriin rohkaistuin itsenäisyyspäivän alla. Jaa, LinkedIn-tilini on sentään MindTrek-seminaarin peruja eli syksyltä 2007.

Mutta kaikki palvelujen väliset kytkennät olen, hitaasti syttyvän virkamiehen tapaan, kieltänyt kainosti.

Kunnes törmäsin pariin intohimoja herättävään blogiin, ja halusin kommentoida ja vallan omalla nimellä (epäsuomalaisesti?). OpenId oli ilmiselvä valinta. Google oli herättänyt luottamukseni Analyticsissä, AdWordsissa ja Bloggerissa, ja kun ID-tietonikin jaettaisiin blogosfäärissä, ajattelin, ei riskiä pitäisi olla.

Omien blogien väliset kommentoinnitkin alkoivat sujua aivan toiseen malliin. Mutta edelleen "vakavasti otettavilla" sivustoilla esitettynä Facebook Connect -nappi arveluttaa.

Samaan aikaan tietoyhteiskunta-Suomessa

Hallinnossa keskustellaan tavoista mahdollistaa sähköinen asiointi yhä uusissa käyttäjäryhmissä. Kansainvälistyminen on vauhdikasta, työvoima liikkuu vikkelästi ainakin lähialueiltamme. Viranomaisten tiedonvaihto rajojen yli on pääosin paperista, mutta sekin sähköistyy ainakin heti kun EU laatii asiasta direktiivin.
Joskus sellaiset seikat voivat tapahtua lähes valon nopeudella. Onkin suoranainen ihme että suuri hallintolaivamme kääntyi niinkin vikkelästi, kuin tapahtui esimerkiksi ALVEU-palvelun kohdalla.
Ulkomaalainen yritys suomalaisen verottajan asiakkaana? Miten käsitellään yhdessä tietojärjestelmän solussa Y-tunnusta vastaavat yrityksen identiteettinumerot, jos noita muotoja on ainakin sata? Miten rekisteröidään datana pakollisia tietoja, jos jo osoitteiden merkintätavat ovat joka maassa erilaiset? Miten käsitellään yhdessä bittejä ja paperia??

Entä yhä kasvava joukko vanhuksia, jotka asuvat vanhainkodeissa, sairaaloiden vuodeosastoilla - eikä ole ketään kuka hakisi heille kotitalousvähennyksen kun kaukana asuvat lapset ostavat hoivapalvelua vanhemmilleen? Eikö olisikin näppärää hoitaa se sähköisesti?

Myös muutama tilitoimistoyrittäjä on saanut käteensä pankkitunnukset asiakkaaltaan: "He, hoida homma". Se on melkoinen luottamuksen osoitus!

Huolestuttavia uutisia Twitteristä

Lauantai-iltana Twitterin tasainen virta yhtäkkiä sähköistyi: Pulitzer-palkittu lehtimies Jim MacMillan tweettasi jotain hermostuttavaa:
@LaKotipelto A security flaw for all, not just FB-users RT @JimMacMillan: AP: Georgia mother and her daughters logged onto Facebook: http://is.gd/6oLBs
AP uutisoi mitä tapahtui, kun nainen kirjautui Facebookiinsa äly-Nokiallaan (Niin, jutussa mainittiin nimenomaan Nokia! Syy tosin näyttäisi olevan operaattorin, tässä tapauksessa AT&T).

Mitä siis tapahtui? Nainen kirjautui sisään ventovieraan sivulle. Samaan pääsi paikalle hälytetty sisar ja vielä äitikin, eli kaikki kolme pääsivät oman FB-tilin tunnuksilla kolmen eri vieraan FB-sivuille. Samanlainen tapaus on sattunut jo marraskuussa.

Tupas luotiin pankeille - entä mobiili?

Tunnistus.fi ja sisarensa Vetuma toimivat mm. verkkopankkitunnuksilla. Ideana on kirjautua palveluun pankin asiakkuuden tunnistamisen kautta. En siis kirjaudu verkkopankkiini vaan tilaan verkkopankkitunnuksillani varmennuksen, että tunnusteni takana olen todella minä.

Viime viikolla uutisoitiin mobiilivarmentamisesta. Uutinen kiteytti:
"Tavoite on, että kännykällä voisi tunnistautua kaikkiin julkisiin palveluihin, ja kuluttaja tarvitsisi vain yhden salasanan. Esimerkiksi pankkiin kirjauduttaisiin antamalla ensin oma tunnus, minkä jälkeen kännykkään tulee viesti joka kysyy henkilökohtaista pin-koodia. Kun se on lähetetty, verkkopankki aukeaa." YLE 13.1.2010
Olisiko se turvallisempaa?

Kun kansalainen syntyy Suomeen, hän saa automaattisesti henkilötunnuksen. Kuka järjestäisi hänelle luotettavan ja neutraalin avaimen sähköiseen asiointiin?

1 kommentti: