Viestintäministeri Suvi Lindén FiCom ry:n mobiilitunnistamisen tapahtumassa

Viestintäministeri Suvi Lindén FiCom ry:n mobiilitunnistamisen tapahtumassa

ViestintäministeriSuvi Lindén
FiCom ry:n mobiilitunnistamisen tapahtuma
6.3.2008

Helppo sähköinen tunnistaminen arjen tietoyhteiskunnan edellytyksenä

Arvoisat kuulijat, hyvät naiset ja herrat!

Minulla on ilo olla tuomassa sinivihreän hallituksen tervehdystä FiCom ry:n mobiilitunnistamisen tapahtumaan. FiCom on - kuten yleensäkin - todella ajan hermolla tämän tilaisuuden järjestämisessä. Tällä hetkellä tuntuu siltä, että sähköinen tunnistaminen on aihe, joka kiinnostaa joka puolella.

Valtioneuvosto asetti heti tämän hallituskauden alussa, viime kesäkuussa, arjen tietoyhteiskunnan neuvottelukunnan koordinoimaan hallituksen tietoyhteiskuntapolitiikkaa tällä hallituskaudella. Välittömästi asettamisen jälkeen linjasimme yhdessä neuvottelukunnan kanssa sähköisen tunnistamisen sellaiseksi asiaksi, jonka ripeä eteenpäin vieminen edellyttää erityistä tarkastelua. Neuvottelukunnan alaisuuteen asetettiinkin viime syksynä sähköisen tunnistamisen kehittämisryhmä, jonka työ on myös lähtenyt vauhdilla liikkeelle.

Puheenvuorossani tänään aion käsitellä sähköistä tunnistamista laajemminkin kuin mobiilitunnistamisen osalta. Lisäksi painotan erityisesti sähköistä tunnistamista juuri osana arjen tietoyhteiskunnan kehittämistä.

Arvoisat läsnäolijat!

Te kaikki luultavasti tunnette suomalaisen tietoyhteiskunnan vaiheet varsin hyvin. Te olette ehkä jopa osallistuneet viime hallituskaudella ansiokkaasti laaditun tietoyhteiskuntastrategian tekemiseen. Strategian lähtökohtana on Suomi "Uudistuvana, ihmisläheisenä ja kilpailukykyisenä osaamis- ja palveluyhteiskuntana".

Strategiatyön ansiosta meille muodostui hyvä kansallinen kokonaiskuva tietoyhteiskunnan kipupisteistä ja kehitysnäkymistä. Tietoyhteiskuntakeskustelu on kuitenkin saavuttanut sellaisen pisteen, että pelkkä keskustelu ei vie meitä enää eteenpäin. Tällä hallituskaudella keskitytäänkin siksi käytännön työhön, tavoitteiden toimeenpanoon ja vaikuttavuuden aikaansaamiseen.

Valtioneuvosto teki viime vuoden kesäkuussa keskeisten ministeriöiden kanssa yhteistyönä valmistellun periaatepäätöksen tietoyhteiskunnan tavoitteista tuleville vuosille (2007-2011). Neuvottelukunnan ensimmäisenä tehtävänä on ollut laatia tietoyhteiskuntapolitiikan toimintaohjelma. Tuore toimintaohjelma hyväksyttiin tammikuussa pidetyssä neuvottelukunnan kokouksessa, ja se pitää sisällään kaikki keskeisimmät tietoyhteiskuntakehitystä edistävät julkishallinnon toimenpiteet ja hankkeet. Neuvottelukunta tulee seuraamaan tarkasti toimintaohjelman hankkeiden etenemistä ja niistä saatavia tuloksia. Lisäksi tulemme luomaan uusia aloitteita tietoyhteiskunnan kehittämiseksi.

Neuvottelukunnan alaisuuteen on asetettu työryhmiä edistämään erityisesti tiettyjä painopistealueita. Näistä työryhmistä tietoturvallisuus -ryhmä on ajatushautomo, jossa pohditaan nykyisiä ja tulevia tietoturvaan liittyviä kysymyksiä. Tavoitteena on käsitellä tietoturvaan liittyviä laajoja ja eri sektoreita ylittäviä kysymyksiä. Lisäksi ryhmän tehtävänä on luoda uusi kansallinen tietoturvastrategia ja koordinoida sen toimeenpanoa.

Sähköisen viestinnän elinkeinopolitiikka- työryhmän tavoitteena on laatia viestintäpoliittinen ohjelma tietoverkkojen ja sähköisten palveluiden kehittämiseksi. Työryhmän tehtävänä on tarkastella sähköistä viestintää elinkeinona, selvittää sen kehittymisen esteitä ja tehdä esitys tarpeellisiksi toimiksi sähköisen viestintäelinkeinon kilpailukyvyn edistämiseksi ja markkinoiden toimintaedellytysten kehittämiseksi. Tämän työryhmän puheenjohtajana toimii ylijohtaja Liisa Ero liikenne- ja viestintäministeriöstä, ja sen toimikausi on asetettu syyskuun 2009 loppuun.

Lasten ja nuorten mediafoorumin tehtävänä on arvioida median ja internetin roolia lasten ja nuorten arjessa. Foorumi etsii uusia keinoja, joilla voidaan edistää lasten ja nuorten valmiuksia toimia sähköisessä viestintäympäristössä. Se pohtii tapoja vähentää sähköisestä viestinnästä lapsille ja nuorille aiheutuvia haittoja. Lisäksi foorumi nostaa keskustelun aiheiksi ajankohtaisia kysymyksiä ja etsii nouseviin ongelmiin ratkaisuja alan toimijoiden yhteistyössä. Foorumin on tarkoitus on toimia pitkäjänteisesti sateenvarjona, joka kokoaa yhteen hyvin laajan kirjon lasten ja nuorten hyvinvointiin vaikuttamaan pystyviä tahoja. Näitä toimijoita on kaikkiaan 35, ja he edustavat niin julkista kuin yksityistäkin sektoria. Foorumi asetettiin 20. päivänä helmikuuta, ja sen toimikausi jatkuu vuoden 2010 loppuun saakka.

Hankkeessa nimeltään "ICT opetuksessa" testataan tieto- ja viestintäteknologian mahdollisuuksia opetuksen ja opiskelun kehittämisessä. Hanke selvittää miten tieto- ja viestintäteknologian hyödyntämisellä opetusta ja opiskelua voitaisiin tehostaa ja oppimista parantaa. Samalla tavoitteena on opettajien ja oppilaiden medialukutaidon sekä tieto- ja viestintäteknologian käyttötaitojen kehittäminen. Aihetta tarkastellaan sekä opetuksen että opiskelun näkökulmasta. Hanke on tarkoitus käynnistää vielä kuluvan kevään aikana.

Sähköiseen laskutukseen keskittyvän työryhmän tehtävä puolestaan on nopeuttaa sähköistä laskutusta julkisella ja yksityisellä sektorilla ja tuoda se kuluttajien käyttöön. Tämäkin työryhmä aloittaa toimintansa vielä tänä keväänä.

Sähköisen tunnistamisen ohella nämä ovat ne painopisteet, joiden osalta on katsottu tarpeelliseksi asettaa työryhmä neuvottelukunnan alaisuuteen. Odotan näiltä työryhmiltä paljon suurempia - mutta myös pienempiä - edistysaskeleita ja konkreettisia aloitteita tietoyhteiskuntakehityksemme vauhdittamiseksi. Toivon, että kaikki läsnäolijat seuraisivat työryhmien edistymistä ja arjen tietoyhteiskunnan neuvottelukunnan kuulumisia neuvottelukunnan internet-sivuilta osoitteesta www.arjentietoyhteiskunta.fi.

Niinhän sitä sanotaan, että valhe - emävalhe - tilasto, mutta viime vuosien tilastotiedot kertovat sen verran yhtenäistä kieltä Suomen sijoittumisesta kansainvälisissä tietoyhteiskuntatilastoissa, että aivan näin vähällä emme voi ohittaa asiaa. Sijoituksemme on valunut pikku hiljaa jatkuvasti alaspäin, ja esimerkiksi ero pohjoismaisiin naapureihimme alkaa olla silmiinpistävän suuri. Silti ehkä suurimman hämmästyksen aiheuttaa se, että monet Itä- ja Etelä-Euroopan maat, joita olemme tottuneet pitämään kehityksessä huomattavasti itseämme huonompina, porhaltavat joissakin asioissa kiihdytyskaistaa ohitse.

Tällaisten tilastotietojen valossa on vain todettava, että ponnistuksemme arjen tietoyhteiskunnan edistämiseksi käytännön toimin tulevat vähintäänkin kreivin aikaan. Taas tarvitaan suomalaista sisua, jotta tuo kurssi saadaan korjatuksi mitä pikimmin. Erityisen tärkeää tämä on siksi, että tietoyhteiskuntakehityksen suurin voittaja on tavallinen kansalainen. Nykyistä kiireistä elämänmenoa helpottaa huomattavasti se, että mahdollisimman paljon sähköisen asioinnin palveluita ja muita sähköisiä palveluita on helppokäyttöisesti ja turvallisesti käytettävissä esimerkiksi internetin kautta tai jopa mobiilisti, mistä tahansa ja milloin tahansa, kännykän avulla.

Tieto- ja viestintäala on edelleen yksi voimakkaimmin kehittyvistä ja tulevaisuutta muokkaavista toimialoista. Tieto- ja viestintäteknologian kehityksen vauhti on erittäin nopeaa, eikä sen pysähtymiselle näy merkkejä, vaikka globaalitaloudessa hieman epävarmemmat tuulet parhaillaan puhaltelevatkin. Suomi on kulkemassa kohti tietoyhteiskunnan seuraavaa kehitysasetta, niin kutsuttua ubiikkiaikaa eli arjen tietoyhteiskuntaa, jossa tieto- ja viestintäteknologialla on yhä suurempi merkitys ihmisten ja yritysten arkipäivässä.

Ubiikkiyhteiskunta on uusi arjen tietoyhteiskunta, jossa toimintatavat perustuvat aina ja kaikkialla käytettävissä oleviin tieto- ja viestintäpalveluihin. Tekniikka kehittyy siten, että siitä tulee yhä monipuolisempaa, edullisempaa ja toivottavasti myös helppokäyttöisempää ja turvallisempaa. Arjen tietoyhteiskunnassa tieto- ja viestintätekniikkaa ja älykkyyttä on kaikkialla. Tietoyhteiskunnassa huomion on myös yhä enemmän kiinnityttävä tietoyhteiskunnan palveluiden loppukäyttäjiin, olivatpa ne yksityisiä kansalaisia, yrityksiä, yhteisöjä tai julkishallintoa. Kansalaisen ja kuluttajan tulisi voida luottaa tietoyhteiskunnan palveluihin ja turvalliseen sähköiseen asiointiin verkossa.

Yhä uusien palvelujen siirtyessä verkkoon kysymykset luottamuksesta, turvallisuudesta ja yksityisyyden suojasta nousevat yhä tärkeämpään asemaan. Erityisesti palvelujen monimutkaistuessa ja monien aikaisemmin jopa henkilökohtaista kontaktia vaatineiden oikeustoimien mahdollistuminen sähköisesti vaativat sähköisen tunnistamisen yleistymistä. Ilmassa on merkkejä myös siitä, että viranomaiset saattavat ryhtyä joidenkin palveluiden osalta vaatimaan luotettavaa tunnistusta, kun aikaisemmin kenttä on ollut reguloimaton. Itse tunnistamistakin koskevaa lainsäädäntöä on kehitettävä, sillä väärinkäytösten mahdollisuus on kasvussa. Samalla selkeät pelisäännöt auttavat myös toimijoita suunnittelemaan ja tarjoamaan palveluitaan yhä laajenevalle yleisölle.

Sähköinen tunnistaminen Suomessa ei ole mikään uusi asia, eikä uutta ole myöskään se, että asian tiimoilta yritetään tehdä yhteistyötä. Uutta lienee se, että yhteistyö on nyt poikkeuksellisen laajaa, ja kattaa niin julkisen kuin yksityisenkin sektorin, erilaiset sähköistä tunnistamista jo tarjoavat tahot, kuten pankit ja Väestörekisterikeskuksen, teleoperaattorit sekä myös jossain määrin tunnistuspalveluiden käyttäjinä olevat muut palveluntarjoajat. Uutta vaikuttaisi myös olevan se, että aika taitaa vihdoinkin olla kypsä todellisen yhteistyön tekemiselle.

Sähköisen tunnistamisen kehittämisryhmä on aloittanut työnsä laatimalla tiivistetyn esityksen sähköisen tunnistamisen nykytilasta Suomessa. Tuo esitys on myös löydettävissä arjen tietoyhteiskunnan neuvottelukunnan sivuilta, joiden osoitteen mainitsinkin aikaisemmin. Tiivistetysti voidaan todeta, että yksi meidän ongelmistamme on runsas käyttäjätunnus-salasanaparin käyttäminen eri palveluissa. Pahimmillaan käyttäjä itse luo omat tunnuksensa ja salasanansa. Näitä tunnus-salasanapareja joko kertyy huomattavia määriä eri palveluihin, tai sitten samoja tunnuksia käytetään hyvin monissa eri palveluissa. Edellinen vaihtoehto tekee menetelmästä käyttäjälle todella hankalan, sillä näitä lukuisia tunnuksia ja salasanoja ei pysty muistamaan kukaan. Jälkimmäinen menettely puolestaan on erittäin haavoittuvainen tietoturvamielessä.

Vahva tunnistaminen koostuu jostain, mitä käyttäjä ensinnäkin tietää (kuten esimerkiksi käyttäjätunnus), toiseksi omistaa (kuten esimerkiksi salasanalista tai kertakäyttöisiä tunnuksia generoiva turvalaskin tai muu väline), ja kolmanneksi on (kuten esimerkiksi sormenjälki). Vähintään kahden näistä vaatimuksista on toteuduttava samanaikaisesti, jotta tunnistustapahtuma täyttää vahvan tunnistamisen määritelmän.

Vahvoina tunnistamismenetelminä Suomessa on yleisesti pidetty PKI-pohjaisia varmenteita. Tämän lisäksi yksityisellä sektorilla on jo pitkään katsottu voitavan luottaa pankkien myöntämiin Tupas -tunnisteisiin vahvana tunnistamisena. Myös julkisella sektorilla on sittemmin annettu suositus ja ohje, jonka mukaan pankkitunnisteita voidaan käyttää vahvana tunnistamismenetelmänä varmenteiden rinnalla. Nykyään saatavilla on julkisia kolmansien osapuolien käyttöön tarkoitettuja varmenne- ja tunnistamispalveluja pankeilta, Väestörekisterikeskukselta, matkapuhelinoperaattoreilta yhteistyössä Väestörekisterikeskuksen kanssa sekä vähäisemmässä määrin muutamilta muilta palveluntarjoajilta.

Edellä kerrotusta käy selkeästi ilmi, että maassamme ei ole puute vahvan tunnistamisen menetelmistä. Pikemminkin vaikuttaa siltä, että ongelmat liittyvät menetelmien yhteentoimivuuteen ja yhteistoiminnan puutteeseen. Lisäksi eräänä kynnyskysymyksenä saattaa joissakin tapauksissa toimia vahvan tunnistamisen hinta. Samalla sähköistä tunnistamista ja sähköisen tunnistamisen menetelmiä kehitettäessä on jatkuvasti muistettava huomioida tietoturvan ja tietosuojan asettamat vaatimukset.

Sähköisen tunnistamisen, samoin kuin sähköisten palveluiden osalta yleensäkin on selvää, että palveluiden kehittämisen on tapahduttava käyttäjälähtöisesti. Käyttäjät päättävät omalla kulutuskäyttäytymisellään sen, mitkä palvelut niin sanotusti lähtevät lentoon, mitkä eivät. Olemassa olevista vahvan tunnistamisen vaihtoehtoista pankkitunnisteet ovat selkeästi se vaihtoehto, jonka käyttäjät ovat havainneet riittävän helppokäyttöiseksi, jotta se on lähtenyt leviämään. Tämän havainnon johtopäätöksenä on helppo todeta, että jatkossakin sähköisen tunnistamisen kehittämisen on edettävä käyttäjälähtöisesti. Radikaaleja uusia innovaatioita ei kannata tarjoilla nopealla aikataululla, vaan muutosten ja kehityksen on tapahduttava vähän kerrassaan siten, että entiset käyttäjätottumukset voivat auttaa kuluttajia omaksumaan kehittyneempiä palvelun muotoja.

Tämän havainnon perusteella sähköisen tunnistamisen kehittämisryhmä on lähtenyt ensivaiheessa liikkeelle olemassa olevista tunnistamismenetelmistä ja tarpeesta kasvattaa tunnistamistapahtumien volyymeja mahdollisimman nopeasti niille perustuen. Kuluvan vuoden työohjelmansa mukaisesti kehittämisryhmän aloitteesta keskustellaan muun muassa vahvojen tunnistamisen välineiden transaktiohinnoista ja julkisen sektorin tunnistamisportaaleiden VETUMAn ja KATVEn käytön tehostamisesta. Uusina avauksina voitaneen pitää sitä, että työryhmä aikoo selvittää esimerkiksi Open-ID -ratkaisujen luomista vahvan ja heikon tunnistamisen välimaastoon siten, että heikon tunnistamisen ehdoton vahva puoli käyttäjän kannalta - maksuttomuus -voitaisiin mahdollisimman pitkälti säilyttää, mutta kerran tehty vahva tunnistaminen palvelun perustamisvaiheessa nostaisi tunnistamisen turvatasoa. Edelleen ryhmä selvittää mahdollista tunnistamiskeskus -tyyppisen ratkaisun luomista Suomeen. Tällainen on olemassa esimerkiksi Norjassa.

Edelleen työsuunnitelmasta on syytä nostaa esille varmenteita koskevan lainsäädännön uudistaminen. Aivan hiljattain lainsäädännön saralla on tapahtunut merkittävä päänavaus. Asian kannalta keskeiset ministeriöt ovat liikenne- ja viestintäministeriön aloitteesta löytämässä ratkaisun siitä, että valtiovarainministeriön johtaman väestötietolain uudistuksen yhteydessä sähköistä asiointitunnusta eli SATUa koskevaa sääntelyä tullaan muuttamaan siten, että SATU voidaan jatkossa luovuttaa kaikille varmennepalveluiden tarjoajille Suomessa. Aikaisemminhan SATUn käyttö on ollut rajoitettu ainoastaan kansalaisvarmenteeseen. Samassa yhteydessä lakiin kirjattaneen myös, että VRK tarjoaa kansalaisvarmennetta jatkossa ainoastaan henkilökorttia tai muuta vastaavaa poliisin myöntämää virallista asiakirjaa varten. Liikenne- ja viestintäministeriö tulee tältä osin edellyttämään, että lain perusteluihin otetaan samalla maininta siitä, että vahvan tunnistamisen välineitä ei Suomessa lähtökohtaisesti tule käsitellä eri tavoin sen paremmin lainsäädännössä kuin yhteisissä tai viranomaiskohtaisissa ohjeissakaan. Noin vuoden kuluttua lainsäädännössä tapahtunee aika tavalla enemmänkin asioita, sillä olen allekirjoittanut hankepäätöksen, jonka mukaan sähköisistä allekirjoituksista annettua lakia tullaan tarkastelemaan varsin perusteellisesti uudelleen. Tätä työtä ei tehdä työryhmämuodossa vaan virkatyönä ministeriössä, mutta tarkoituksena on toki ottaa kaikki hyöty irti kehittämisryhmän asiantuntemuksesta sähköisen tunnistamisen saralla.

Mobiilitunnistamisen osalta sähköisen tunnistamisen kehittämisryhmän jäsenten keskuudessa vallitsee varsin pitkälle menevä yhteinen näkemys siitä, että kyseessä on ehdottomasti vahvin lähitulevaisuuden eli 2-3 vuoden tähtäimen visio. Tämä tunnistamismuoto tarjoaa käyttäjälleen niin suuren käyttömukavuuden olemalla käytettävissä milloin tahansa missä tahansa, että mobiilitunnistamisen tulevaisuudesta ei edes kannata järjestää vedonlyöntiä. Vauhdittaakseen kehitystä Suomessa sähköisen tunnistamisen kehittämisryhmä on erottanut keskuudestaan keskeisten toimijoiden muodostaman pienryhmän, jonka tarkoituksena on laatia 3-5 kappaletta konkreettisia malleja siitä, kuinka mobiilitunnistaminen voitaisiin Suomessa tehokkaimmin järjestää. Tavoitteeni on, että asiasta voitaisiin sähköisen tunnistamisen kehittämisryhmän työhön pohjautuen tehdä poliittisia päätöksiä ennen kuluvan vuoden loppua.

Mobiiliryhmä aikoo keskittyä tarkastelemaan erilaisia varmenteisiin pohjautuvia ratkaisuja, SMS-OTP -pohjaisia ratkaisua, pankkisektorin mahdollisesti erityisesti kännykällä käytettäväksi soveltuvia uusia ratkaisuja sekä kortilla sijaitsevaa EMV-siru -pohjaista ratkaisua. Edelleen on selvitettävä biometriikkaan perustuvan mobiilitunnistamisen käyttö niissä maissa, joista sellaisia esimerkkejä löytyy. Työryhmä törmää työssään tiettyihin perustavaa laatua olevia muuhunkin kuin vain mobiilitunnistamiseen liittyviin sähköisen tunnistamisen kysymyksiin. Tällaisia peruskysymyksiä ovat ensinnäkin kysymys luottamuksesta: Millä tavoin palveluntarjoaja tekee päätöksen siitä, kenen tarjoamaan ja millä menetelmällä toteutettuun tunnistamisratkaisuun voi luottaa? Osittain liitännäisenä, osittain myös itsenäisenä näyttäytyy kysymys alkutunnistamisesta: Kuka ja millä tavoin tunnistaa henkilön, joka hakee tunnistetta? Kenen muun kuin itsensä tekemään alkutunnistukseen palveluntarjoaja voi tai saa luottaa? Ja kolmantena: Miten palveluntarjoaja voi rajata riskinsä niiden oikeustoimien osalta, joiden tekemisen sähköinen tunnistaminen mahdollistaa?

Hyvät naiset ja herrat!

On tärkeää, että näitä kysymyksiä pohditaan monella taholla, jotta viisaus asiassa karttuisi. Toivon, että esitykset ja keskustelut täällä tänään kantaisivat hedelmää suomalaisen mobiilitunnistamisen, suomalaisen sähköisen tunnistamisen, sähköisen asioinnin ja sähköisten palveluiden ja viime kädessä suomalaisen arjen tietoyhteiskunnan kehityksessä.

Toivotan teille siis eteenpäin innostavaa päivää mobiilitunnistamisen parissa ja kiitän teitä tarkkaavaisuudestanne!