Näin pääset viran­omais­palveluihin, kun pankki­tunnukset eivät toimi – mieti, ottaisitko käyttöön

Pankkitunnistus ei ole ainoa tapa kirjautua vahvaa tunnistautumista edellyttäviin verkkopalveluihin.

Taannoinen hyökkäys Nordeaa vastaan todisti, että pankkitunnukset eivät ole aina luotettavia sähköisessä tunnistautumisessa.Kuvassa Danske Bankin sisäänkirjautuminen sormenjäljellä.

14.3. 7:03

Nordea joutui viime viikolla kolmen vuorokauden ajalle levittäytyneen palvelunestohyökkäyksen kohteeksi. Verkko- ja mobiilipankkiin kirjautuminen takelteli pahasti ja hyökkäyksen ollessa intensiivisimmillään se ei onnistunut lainkaan.

Maksujen tökkimisen ohella ei myöskään onnistunut myöskään vahva tunnistautuminen pankkitunnuksin. Tämä tarkoittaa sitä, että viranomais- tai terveydenhuoltopalveluihin ei voinut kirjautua. Esimerkiksi Omakantaan, Kelaan, Poliisin asiointipalveluun ja sähköisiin rikosilmoituksiin tai Verohallintoon ei ollut asiaa.

Lue lisää: Verkkohyökkäys kaatoi Nordean palvelut – näin pankki kommentoi

Lue lisää: Nordea kertoi osaan sen palveluista kohdistuneen palvelun­esto­hyökkäyksen

  • Varmenteella tarkoitetaan luotettavan organisaation sähköisesti allekirjoittamaa todistusta, joka todentaa varmenteen omistajan henkilöllisyyden. Varmenne sisältää julkisen avaimen, jolla varmenteen omistajan voi tunnistaa.

Ukrainan sodan on arvioitu lisäävän kyberhyökkäyksien mahdollisuutta, joten vastaavat pitkittyneet palvelunestohyökkäykset ovat mahdollisia jatkossakin.

Lue lisää: Näin Venäjä voisi iskeä – tällaisia ovat Suomeen kohdistuvat verkko­uhat

Pankkitunnuksin sisäänkirjautumiselle on olemassa vaihtoehtoja. Näistä yleisin on teleoperaattorien tarjoama mobiilivarmenne, joka toimii yli 20 000 verkkopalvelussa. Mobiilivarmenne sijaitsee fyysisesti puhelimen sim-kortilla ja se perustuu käyttäjän itsensä määrittelemään pin-koodiin.

Teleoperaattoreista Telia tarjoaa asiakkailleen mobiilivarmennetta maksuttomana lisäpalveluna. DNA veloittaa palvelusta 1,99 euroa kuukaudessa. Elisan yritysasiakkaille palvelu on ilmainen ja henkilöasiakkaille hinta on 1,99 euroa kuukaudessa.

Mobiilivarmenteen käyttöönotto on helppoa, sillä teleoperaattorit tuntevat asiakkaansa prepaid-liittymiä lukuun ottamatta. Tämä tarkoittaa sitä, että palvelun voi aktivoida verkossa. Elisalla, DNA:lla ja Telialla on tähän palvelunsa.

Mobiilivarmenteen käyttöönotto edellyttää tunnistautumista verkkopankkitunnuksin palvelua rekisteröitäessä.Tämä tarkoittaa sitä, että se ei onnistu, jos pankkitunnistautuminen on pois pelistä esimerkiksi palvelunestohyökkäyksen takia.

Sekä pankkitunnukset että mobiilivarmenne ovat esimerkkejä vahvasta sähköisestä tunnistamisesta, jolla voidaan todentaa henkilöllisyys sähköisessä asioinnissa. Vaihtoehtoja selvittää Liikenne- ja viestintävirasto Traficomin alainen Kyberturvallisuuskeskus.

Kolmas vaihtoehto on Digi- ja väestötietoviraston kansalaisvarmenne poliisin myöntämällä henkilökortilla. Henkilökorttia voi anoa verkossa tai poliisiasemalla.

Poliisin mukaan tavallisen henkilökortin ja ulkomaalaisen henkilökortin sirulla on kansalaisvarmenne, jolla voi kirjautua luotettavasti julkisen sektorin verkkopalveluihin. Alaikäisen matkustusoikeudettomassa henkilökortissa ei ole sirua, joten sillä ei voi kirjautua verkkopalveluihin.

Henkilökortin sirun käyttämiseen tarvitaan erillinen fyysinen kortinlukija ja sirunlukuohjelmisto, joten se ei ole kovin näppärä vaihtoehto.

Neljäntenä tunnistustapana Kyberturvallisuuskeskus mainitsee erilaisilla organisaatiokorteilla rekisteröidyt tunnistusvälityspalvelut.

Organisaatiokortti on organisaatioiden työntekijöille tarkoitettu varmennekortti, jolla voi esimerkiksi kirjautua julkishallinnon sähköisiin asiointipalveluihin ja organisaation omiin tietojärjestelmiin. Korttia voi käyttää myös muun muassa sähköisiin allekirjoituksiin ja toimitilojen kulkutunnisteena.

Organisaatiot tilaavat kortit Digi- ja väestötietovirastosta. Se edellyttää sopimusta viraston kanssa. Tavallisten kansalaisten kannalta se ei siis ole varsinainen vaihtoehto.

Suomessa on kehitteillä myös uudenlainen kirjautumistapa. Tammikuussa julkistetussa hankkeessa kehitetään Suomelle omaa ”Google-kirjautumista”, eli esimerkiksi mediayhtiöiden asiakkaille tarkoitettu sähköisten palveluiden sisäänkirjautumismenetelmä.

Alkuvaiheessa hanke perustuisi sähköpostitse tulevaan tunnistautumiskoodiin, mutta ajan mittaan siitä on tarkoitus kehittää vahva tunnistautumismenetelmä.

Lue lisää: Tällainen on Suomeen tuleva ”Google-kirjautuminen” – lehdet, lippujen ostaminen ja viran­omais­asiat halutaan yhden tunnuksen taakse

4 tapaa vahvaan sähköiseen tunnistukseen

  • Pankkitunnukset: Tunnistus tapahtuu tyypillisesti pankin käyttäjätunnuksen ja puhelimeen asennetun tunnuslukusovelluksen avulla.

  • Mobiilivarmenne: Varmenteen voi tilata teleoperaattorilta, mutta siihen liittyy DNA:n ja Elisan tapauksessa 1,99 euron kuukausimaksu.

  • Henkilökortti: Poliisin myöntämä henkilökortti tarvitsee toimiakseen kortinlukijan ja sirunlukuohjelmiston. Kortin anominen maksaa 54 euroa, jos sen tekee verkossa. Muussa tapauksessa 60 euroa.

  • Organisaatiokortti: Kortin saatavuus on kiinni organisaatiosta ja siitä, onko sillä sopimus Digi- ja väestötietoviraston kanssa.

Osion tuoreimmat

Luitko jo nämä?