yhdistys:lausunto_kyberturva

Lausunto 3.2.2021 Ehdotuksesta valtioneuvoston periaatepäätökseksi kyberturvallisuuden kehittämisohjelmasta

Iki ry:n lausunto

Internet-käyttäjät ikuisesti-iki ry kiittää mahdollisuudesta antaa lausunto asiassa.

Iki ry on aktiivisten internet-käyttäjien yhdistys joka pyrkii edistämään viestinnän edellytyksiä internetissä. Vuonna 1995 perustetulla Iki:llä on yli 28.000 jäsentä. Lisätietoja www.iki.fi

Nostetaan kansalaisten välisen viestinnän kyberturvallisuutta

Kyberturvallisuus on tärkeää kaikissa kommunikaatioyhteyksissä, kansalaisten välisessä kommunikaatiossa, kansalaisten ja yritysten välillä, yrityksien välillä, sekä kansalaisten ja yritysten sekä valtion välillä. Tällä hetkellä ei ole kunnon suojattua ja varmaa tapaa kommunikoida ja allekirjoittaa tietoja kaikissa näissä tapauksissa.

Suomessa on kuitenkin jo olemassa oleva toimiva PKI-infrastruktuuri henkilökorttien ja niissä olevien varmenteiden kautta ja suurella osalla kansalaisista on jo tällainen älykortti-henkilökortti.

Toistaiseksi käyttömahdollisuuksia on ollut rajallisesti joten tämä infra on jäänyt vähemmälle käytöllä, mutta olemassaoleva infra sallisi tuoda paremman kyberturvan esimerkiksi sopimuksiin ja tilauksiin ja muihin arkipäivän tarpeisiin.

Olemassaolevan varmenne-infran tuominen helpommin käytettäväksi näissä muissa yhteyksissä varsinkin kansalaisten välisissä yhteyksissä korottaisi selvästi kyberturvan ja tietoturvan tasoa viestinnässä sekä estäisi tehokkaasti esimerkiksi identiteettivarkauksia ja nettihuijauksia.

Tämä olisi kohtuu helposti ja edullisesti toteutettavissa lisäämällä kansalaisten älykorttisovellukseen dokumenttien (tiedostojen) allekirjoitustoiminto sekä salaustoiminto jolla vain haluttu vastaanottaja pystyy lukemaan dokumentin sisällön. Mallia voisi ottaa vaikka Viron DigiDoc4 sovelluksesta ja sen laajasta käytöstä kansalaisten välisessä viestinnässä esim. vuokrasopimusten tekemisessä.

Käyttämällä olemassaolevaa PKI-infraa pystyttäisiin nostamaan suuressa mittakaavassa kansalaisten, yritysten ja viranomaisten kyberturvan tasoa viestinnässä pienillä investoinneilla.

Henkilökorttien julkisille avaimille pitäisi tarjota standardien mukainen sähköpostiosoite-pohjainen hakemisto jotta korttia voi käyttää tiedon vahvaan salaamiseen haluttujen vastaanottajien avaimilla esimerkiksi sähköpostissa.

Jaetaan älykortin lukulaite henkilökortin mukana

Älykortti vaatii lukulaitteen jonka hankkiminen erikseen on hankala lisävaihe ja tehokkaasti estää kortin helppoa käyttöönottoa. Iki ry on toteuttanut henkilökortti-tunnistautumisen jäsentietojen päivittämiseen ja saamamme palaute jäsenistöltä on että monella on kortti mutta ei lukijaa ja lukijan hankkiminen on hankalaa koska niitä ei myydä kaikissa kaupoissa.

Esimerkiksi Viron e-resident älykortin mukana jaetaan jokaiselle USB-älykortinlukija, jolloin käyttöönotto onnistuu helposti.

Suuremmissa erissa hankittaessa lukijan kustannus on vain muutamia euroja kappaleelta ja jos lukija toimitettaisiin kortin yhteydessä, ei jakelustakaan tulisi lisäkustannuksia.

Älykortti turvallisena kaksivaiheisena tunnistamisvälineenä

Nykyään monet palvelut käyttävät SMS-tekstiviestejä kaksivaiheiseen tunnistamiseen. SMS-viestit eivät ole kovin turvallisia koska viestejä voi joissakin tilanteissa ohjata tai kloonata verkossa useaan tai eri numeroihin.

Kaksivaiheista tunnistamista käyttäviä tahoja kuten pankkeja pitäisi vaatia hyväksymään myös henkilökortti 2-factor toimintona, vähemmän turvallisten SMS tekstareiden sijaan. Mahdollisesti jotkin toimijat eivät halua kokonaan korvata omaa tunnistautumistaan henkilökortilla mutta ainakin SMS-tekstarit pitäisi pyrkiä korvaamaan turvallisemmalla henkilökortti-tunnistautumisella.

Vahvan tunnistautumisen tuominen yhä useamman arkeen

Henkilökortin hintaa pitäisi pyrkiä alentamaan, luultavasti itse kortin hintaa kannattaisi jopa subventoida jotta saavutetaan sitä suuremmat säästöt tunnistautumisen tehostuessa ja levitessä laajempaan käyttöön kaikilla yhteiskunnan osa-alueilla.

Yhteenveto

Olemassaolevaa älykortti-infraa kannattaisi hyödyntää tehokkaammin tuomalla sen sallimat todella turvalliset palvelut ja tunnistautuminen kansalaisten väliseen viestintään sekä muihin keskeisiin kyberturvallisuuteen liittyviin tarpeisiin.

Pyydämme lisäksi teitä ystävällisesti lisäämään Internet-käyttäjät ikuisesti ry:n tämän aihepiirin tulevien lausuntopyyntöjen saajalistalle.

yhdistys/lausunto_kyberturva.txt · Viimeksi muutettu: 2021-03-02 10:51 / haa