Viestintäviraston määräysluonnoksen 72/2016 M vaikutusarviointi

Transkriptio

1 Muistio 1 (11) Dnro: /060/2016 Viestintäviraston määräysluonnoksen 72/2016 M vaikutusarviointi Määräys 72/2016 M sähköinen tunnistaminen ja sähköiset luottamuspalvelut SISÄLLYS Määräys 72/2016 M sähköinen tunnistaminen ja sähköiset luottamuspalvelut 1 1 Ehdotuksen perusteet Tunnistuspalvelut Luottamuspalvelut Arviointitoiminta Määräys vai muu ohjauskeino Vaihtoehtojen vertailu Tunnistuspalveluiden auditointivaatimukset yleisesti Tunnistuspalveluiden auditointien kattavuusvaatimukset Tunnistuspalvelun auditointikriteeristön tarkkuustaso määräyksessä Tunnistuspalveluntarjoajan sisäisen tarkastuslaitoksen riippumattomuusja pätevyys Tunnistuspalveluntarjoajien luottamusverkoston rajapinnat yleisesti Rajapinnat: protokollat Rajapinnat: välitettävät attribuutit ja muut tiedot Tietoyhteiskuntavaikutukset Yleistä Tunnistuspalvelun tietoturvallisuus Ehdotuksen perusteet 1.1 Tunnistuspalvelut Tunnistuslain (317/2009) muutosten (HE 74/2016 vp) valmistelun lähtökohdaksi on otettu, että myös kansallisesti edellytetään, että tunnistuspalvelujen tarjonnassa täytetään vähintään sähköisen tunnistamisen varmuustasoasetuksen liitteen mukaiset korotetun varmuustason vaatimukset. Tavoitteena on ollut, että toimijoiden on helppo hakea halutessaan EU- DOHA-# v1-Määräysluonnoksen_72_2016_M_vaikutusarvio_(TRIS-notifiointi).docx

2 2 (11) notifiointia missä tahansa vaiheessa, kun ne täyttävät kansallisesti asetetut vaatimukset. Tunnistuspalvelun tarjoajien ei tarvitsisi laatia erillistä tunnistusratkaisua rajat ylittäviä tilanteita ja kansallista tunnistamista varten. Sama tavoite on otettu määräysvalmistelun lähtökohdaksi. Määräyksen valmistelussa on pyritty hyödyntämään mahdollisimman laajasti kansainvälisiä standardeja, vaatimusmäärittelyjä ja ilmoittamistapoja. Ratkaisulla pyritään helpottamaan myös rajat ylittävää palveluntarjontaa ja välttämään kansallisesti räätälöityjä vaatimuksia. 1.2 Luottamuspalvelut Yleisesti luottamuspalveluiden sääntelyn tavoitteena on tietoyhteiskuntakehitys ja luottamuksen lisääminen sähköiseen asiointiin. Luottamuspalveluiden sääntelyllä autetaan sähköisten palveluiden toteuttajia ja käyttäjiä tunnistamaan ne palvelut, joiden avulla on mahdollista toteuttaa sähköisten asiointipalveluiden eri toiminnot mahdollisimman tietoturvallisesti. Määräyksen tavoitteena on selkeyttää hyväksyttyjen luottamuspalvelujen eidas-asetuksessa säädettyjä vaatimuksia viittaamalla EU:n valmistelutyössä viitoittamiin kansainvälisiin standardeihin siltä osin, kun niihin ei ole ainakaan toistaiseksi tehty viittauksia komission täytäntöönpanosäädöksillä, vaikka siihen olisi eidas-asetuksessa toimivalta. Standardiviittaukset määräyksessä tukevat myös sitä, mitä ainakin tulee huomioida mahdollisten vaatimustenmukaisuuden arviointilaitosten pätevyysvaatimuksena, kun niitä akkreditoidaan. 1.3 Arviointitoiminta Viestintäviraston määräyksen tavoitteena on selkeyttää toimijoille ja vaatimustenmukaisuuden arviointilaitoksille luottamuspalveluiden vaatimuksia siltä osin, kun komissio ei ole käyttänyt luottamuspalveluihin liittyvää säädäntötoimivaltaansa ja antanut täytäntöönpanosäädöksiä, joissa viitattaisiin tarpeellisiin standardeihin. Tunnistuspalveluiden arvioinnin osalta määräyksen tavoitteena on selkeyttää toimijoille, millä perusteella niiden käyttämät auditoijat ovat päteviä tekemään tunnistusjärjestelmän auditointeja. Tunnistuspalveluntarjoajan auditoijan ei tarvitse hakea erikseen hyväksyntää, ellei se ole vaatimustenmukaisuuden arviointilaitos. Määräyksen tavoitteena on, että toimijat voisivat mahdollisimman paljon hyödyntää auditointeja, joita ne tekevät tai teettävät jo ennestään. 1.4 Määräys vai muu ohjauskeino Kaikkia määräysvaatimuksia valmisteltaessa on tarkasteltu myös sitä, voisiko lain tavoitteet saavuttaa tehokkaammin ja tarkoituksenmukaisemmin jollain muulla ohjauskeinolla kuin määräyksellä. Vaihtoehtoisina tai täydentävinä keinoina on tarkasteltu: - ohjeita ja suosituksia, jotka eivät ole pakottavia kuten määräys - yhteissääntelyä, jossa toimiala laatii menettelyohjeita lain tavoitteiden toteuttamiseksi ja jota harjoitetaan joka tapauksessa valtioneuvoston asetuksen 169/2016 ohjaamana tunnistuspalveluntarjoajien luottamusverkostossa Viestintäviraston vetämänä

3 3 (11) - informaatio-ohjausta, jossa toimijat tai viranomainen tuottaa yhteismitallista julkista tietoa Määräys on valittu ohjauskeinoksi niissä tilanteissa, joissa on nähtävissä, että muut keinot eivät ole toimijoiden kannalta riittävän ennakoitavia ja tasapuolisia tai palveluiden käyttäjien ja niihin luottavien tahojen kannalta riittävän tehokkaita sääntelyn tavoitteiden saavuttamiseksi. Määräyksen, ohjeiden ja suositusten laatimisessa on joka tapauksessa vahvoja yhteissääntelyn piirteitä, koska ne laaditaan avoimessa työryhmäyhteistyössä toimijoiden kanssa. 2 Vaihtoehtojen vertailu 2.1 Tunnistuspalveluiden auditointivaatimukset yleisesti Tunnistuslaissa tullaan edellyttämään (HE 74/2016), että tunnistuspalveluntarjoaja hankkii vaatimustenmukaisuuden arvioinnin. Arvioinnin voi lain 29 :n mukaan tehdä vaatimustenmukaisuuden arviointilaitos, muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos. Arvioinnin täytyy EU:n varmuustasoasetuksen liitteen 1 kohdan mukaan kattaa kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot. Viittaus varmuustasoasetukseen on tunnistuslain 8.1 :n 5 alakohdassa, joka koskee tietoturvallisuuden hallintaa. Arviointielimen riippumattomuus- ja pätevyysvaatimuksista säädetään lain 33 :ssä. Viestintävirastolle on tulossa tunnistuslain 42 :ssä määräysvaltuus tunnistuspalvelun vaatimustenmukaisuuden arviointiperusteista ja arviointielinten pätevyysvaatimuksista. Lakia tarkentavien auditointivaatimusten vaihtoehtojen ja vaikutusten arviointi on määräyksen valmistelun tärkein osa-alue tietoturvallisuuden, toimijoiden tasapuolisen kohtelun, toimijoille aiheutuvien taloudellisten vaikutusten ja viranomaistoiminnan resursoinnin kannalta. Seuraavissa kohdissa käsitellään vaihtoehtoja, joita auditointivaatimusten ja auditoijien riippumattomuus- ja pätevyysvaatimusten valmistelussa on harkittu. Määräyksen tavoitteena on tarkentaa lain yleiset vaatimukset siten, että toimijat pystyvät ennakoimaan, mitä sääntelyssä vaaditaan auditoinneilta ja auditoijilta. On huomattava, että kaikki toimijat ovat toteuttaneet auditointeja aikaisemminkin, vaikka tunnistuslaissa ei ole niitä nimenomaisesti edellytetty. Viestintävirasto on kerännyt vaikutusarvioinnin tueksi toimijoilta tiedot toteutetuista auditoinneista ja näissä hyödynnetyistä auditointikriteereistä. 2.2 Tunnistuspalveluiden auditointien kattavuusvaatimukset Arvioitava kysymys: onko auditoinnin katettava kaikki vaatimusten osa-alueet, joista säädetään tunnistuslaissa ja EU:n varmuustasoasetuksessa, johon laissa viitataan. Vaikutusarvioinnin lähtökohdat

4 4 (11) EU:n varmuustasoasetuksen mukaan määräajoin tehtävän auditoinnin täytyy kattaa kaikki palvelujen kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen. Merkitykselliset toimintalohkot voidaan jaotella karkeasti kolmeen osaalueeseen, joita ovat palveluntarjoajan luotettavuus, tunnistusjärjestelmän luotettavuus ja tunnistusmenetelmän luotettavuus. Näistä kaksi jälkimmäistä liittyvät tietoturvallisuuden hallintaan ja toteuttamiseen, joihin tietoturvallisuusauditoinnit yleensäkin kohdistuvat. Vaatimusten täytyy kohdistua tasapuolisesti kaikkiin toimijoihin ja tästä syystä auditoitavien osa-alueiden täytyy olla kaikilla toimijoilla samat sen sijaan, että toimijat voisivat itse valita jossain rajoissa, mitkä osa-alueet auditoidaan ja minkä vaatimustenmukaisuudesta toimija antaa selvityksen itse. Yhteismitallisten raporttien valvonta on myös viranomaisen kannalta tehokasta. Auditoinnin ei tarvitse kattaa palveluntarjoajan yleistä luotettavuutta tai käyttäjille ja luottaville osapuolille tarjottavia tietoja palvelusta (tunnistusperiaatteet, sopimusehdot, hinnastot). Näistä riittää toimijan oma selvitys. Auditoinnin täytyy kattaa kaikki tunnistuspalvelun tarjontaan vaikuttavan toiminnan tietoturvan ja tunnistusmenetelmän tietoturvan osa-alueet. Arvioinnin voi koota useamman auditoijan tai arviointielimen useisiin kriteeristöihin perustuvista auditoinneista. 2.3 Tunnistuspalvelun auditointikriteeristön tarkkuustaso määräyksessä Arvioitava kysymys: Millä tarkkuudella tunnistuspalvelun arviointivaatimukset eli auditointikriteeristö laaditaan määräykseen. Vaihtoehdot ovat yksityiskohtainen yhdenmukainen kriteeristö tai yleistason kriteeristö, jota täydennetään soveltamissuosituksella. Vaikutusarvioinnin lähtökohdat Yleisesti arviointikriteeristön määrittely määräyksessä edistää kilpailun tasapuolisuutta, kun kaikki joutuvat panostamaan arviointiin yhtäläisellä tasolla. Edelleen arviointien vähimmäistason määrittely määräyksessä edistää tietoturvallisuuden ylläpitoa. Sen arvioidaan sinänsä olevan keskimäärin hyvällä tasolla, mutta vähimmäistasolla on merkitystä alalle tulijoiden toiminnan tason kannalta. Luottamusverkoston toiminnan kannalta on oleellista, että sen jäsenet voivat luottaa varmuudella myös alalla aiemmin toimimattomien palveluntarjoajien täyttävän tietoturvallisuudelta vaaditun vähimmäistason. Viestintäviraston on helpompi arvioida tasapuolisesti yhdenmukaisten auditointiraporttien pohjalta sitä, että toimija täyttää tunnistuslaissa tai eidasasetuksessa sille asetetut vaatimukset myös uusien toimijoiden osalta. Sääntelyssä varaudutaan siihen, että markkinoille tulee uusia toimijoita erityisesti tunnistusvälityspalvelun, mutta myös tunnistusvälineiden tarjoajaksi.

5 5 (11) Vaihtoehto 1, tarkka kriteeristö määräyksessä. Yhdenmukainen toteutus ja ohjaus vähentäisivät viranomaistoiminnan kustannuksia, joita aiheutuisi yrityskohtaisesta vaatimusten selvittämisestä ja tulkinnasta sekä vähentäisivät riskiä siitä, että valvova viranomainen ei pitäisi yrityksen tulkintaa riittävänä. Yhdenmukainen kriteeristö on myös hyvä työkalu esimerkiksi sisäistä tarkastusta tekeville. Tunnistuspalvelu on tyypillisesti vain pieni osa tarkastettavaa tuotantokokonaisuutta eikä sisäinen tarkastus välttämättä pysty aivan helposti tunnistamaan kaikkia siihen liittyviä erityiskysymyksiä. Kriteeristö olisi siten hyvä tuki tähänkin. Tarkka auditointikriteeristö on kuitenkin vaikea määritellä riittävän joustavaksi. Toimijoiden saattaa olla hankalaa sovittaa tarkka kriteeristö täysmittaisesti käytössään oleviin auditointeihin. Tarkkaan kriteeristöön tarvitaan myös todennäköisesti muutoksia useammin kuin yleispiirteiseen kriteeristöön. Tällä on vaikutusta myös Viestintäviraston työmäärään. Vaihtoehto 2, yleispiirteinen kriteeristö määräyksessä Yleispiirteinen kriteeristö on joustava siinä mielessä, että sen voi täyttää monenlaisilla auditoinneilla. Se myös kestää aikaa paremmin kuin tarkka kriteeristö. Toisaalta auditoinnin suunnitteluvaihe voi tässä vaihtoehdossa olla toimijalle työläämpi, koska täytyy varmistaa, että toimijan omassa käytössä olevien kriteeristöt kattavat kaikki vaatimukset. Tätä soveltamista voidaan tukea määräyksen yleistä kriteeristöä selittävällä suosituksella. Virastolle toimitettavan auditointiraportin voi koostaa useammista tehdyistä auditoinneista. Kun yleinen jaottelu on yhdenmukainen, raporttien valvonta on helpompaa. Linjaus Määräyksen luettelo asioista, jotka arvioinnin täytyy kattaa, laaditaan yleisellä tasolla ja siinä tukeudutaan EU:n varmuustasoasetuksen mukaiseen vaatimusten ryhmittelyyn. Tällöin toimijat voivat hyödyntää joustavasti auditointikriteeristöjä, joita ne muutoinkin jo käyttävät. Toisaalta toimijoiden täytyy arvioida ja varmistaa, että niiden käyttämät eri standardeihin kriteeristöt todella kattavat kaikki vaaditut tunnistusjärjestelmän arvioinnin osa-alueet. Viestintävirasto joutuu myös tarkastuskertomuksia valvoessaan arvioimaan, että tämä toteutuu. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Laaditaan Viestintäviraston suosituksena määräyksen yleistason vaatimuksia tarkentava auditointikriteeristö, jonka läpikäymällä ainakin täyttää auditointivaatimukset. Suositus/ohje auttaa toimijoita hahmottamaan, miten niiden nykyisistä auditoinneista saa koottua tarvittavan kokonaisuuden ja mitä mahdollisesti tarvitaan lisää.

6 6 (11) 2.4 Tunnistuspalveluntarjoajan sisäisen tarkastuslaitoksen riippumattomuus- ja pätevyys Arvioitava kysymys: miten tunnistuspalveluiden sisäisen tarkastuksen vaatimukset määritellään ennakoitavasti ja yleispätevästi siten, että ne takaavat objektiivisesti luotettavan, riippumattoman ja pätevän arvioinnin ja samalla mahdollistavat esim. muuhun sektorikohtaiseen, kuten finanssialan säädäntöön, perustuvat tarkastuskehykset Näkökohtia vaikutusarviointiin Tunnistuslain 33 :n yleiset riippumattomuus- ja pätevyysvaatimukset koskevat myös sisäistä tarkastusta. Viestintävirasto voi määrätä arviointielimen pätevyysvaatimuksista ja tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista. Arviointiperusteiksi voidaan määrätä säädösten lisäksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä. Määräyksen vaatimusten tarkoitus on turvata sitä, että sisäisen tarkastuksen pätevyysvaatimukset ovat yleispäteviä, tasapuolisia ja ennakoitavia. Tavoitteena on ollut koota esimerkkiviitteitä sellaisiin säännöstöihin, joihin sisäisen tarkastuksen riippumattomuus ja pätevyys voi objektiivisesti arvioiden perustua sen sijaan, että se perustuisi vain toimijan omaan arvioon ja toimintatapaan. Sisäisen tarkastuksen pätevyysvaatimusten valmistelussa on pyritty selvittämään erityisesti pankkien sisäisen tarkastuksen sääntelyperustaa, koska sisäinen tarkastus on alalla vakiintuneesti käytössä ja sitä säännellään mm. Finanssivalvonnan määräyksillä ja ohjeilla. Työryhmältä ei saatu määräyksen valmistelun yhteydessä tietoa sisäisen tarkastuksen sääntelystä, standardeista tai ohjeistuksesta muilla aloilla. EU:n varmuustasoasetuksen soveltamisohjeessa todetaan seuraavaa: Standardissa SFS-EN ISO on johtamisjärjestelmien auditointia koskevia ohjeita, mukaan lukien sisäisen ja ulkopuolisen tarkastuksen periaatteet sekä ohjeita siitä, miten tarkastusprosessiin osallistuvien henkilöiden osaamista voidaan arvioida. Valmistelussa kyseinen standardi on kuitenkin arvioitu varsin yleispiirteiseksi. Lisäksi valmistelussa on saatu tietoturvallisuuden arviointisektorilta tieto, että sisäisestä auditoinnista on olemassa IIA-standardeja. Näihin ei ole valmistelussa perehdytty, eikä mikään nykyisistä toimijoista ole todennut käyttävänsä niitä. Määräyksen vaatimukset sisäiselle tarkastukselle laaditaan mahdollisimman yleisluonteisesti. Tavoitteena on, että erityisesti pankit voivat hyödyntää sektorikohtaiseen sääntelyyn perustuvia tarkastuksiaan. Edellytyksenä on, että nämä tarkastukset kohdistuvat muun ohessa myös tunnistusjärjestelmään.

7 7 (11) 2.5 Tunnistuspalveluntarjoajien luottamusverkoston rajapinnat yleisesti Tunnistuslain 12 a.2 :n mukaan tunnistuspalveluntarjoajan on tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle. Valtioneuvoston luottamusverkostoasetuksen mukaan 12 a.2 :ssä tarkoitettuja teknisiä rajapintoja ovat 1) tunnistusvälineen tarjoajien välinen rajapinta, 2) tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välinen rajapinta ja 3) tunnistusvälityspalvelun tarjoajan ja tunnistuspalveluun luottavan osapuolen välinen rajapinta. Asetuksen mukaan luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on tarjottava 1 momentin 1 ja 2 kohdassa tarkoitetuissa rajapinnoissa kummassakin vähintään yhtä yleisesti käytetyn standardin mukaista teknistä rajapintaa. Viestintävirasto voi määrätä 12 a :n 2 momentissa tarkoitetuista luottamusverkoston rajapintojen ominaisuuksista. Seuraavissa kohdissa arvioidaan tarkemmin, - määrätäänkö käytettävistä protokollista, - miten määritellään rajapinnassa välitettävät vähimmäistiedot ja - miten suhtaudutaan siihen, että TUPAS-protokollan ominaisuudet tai käyttötavat eivät täytä yhteentoimivuuden ja tietoturvallisuuden kannalta määräysvalmistelussa tarpeelliseksi arvioituja vaatimuksia. 2.6 Rajapinnat: protokollat Arvioitava kysymys: millä tarkkuudella rajapintavaatimukset laaditaan määräykseen suhteessa yksittäisiin protokolliin, kuten SAML ja Open ID Connect. Mahdollistetaanko toisin sanoen myös muiden protokollien käyttö. Miten huomioidaan puhtaasti kansallinen TU- PAS-protokolla, joka ei kaikilta osin näytä pystyvän täyttämään vaatimuksia ja jonka kehityssuunnitelmista tai mahdollisuuksista ei ole ollut määräyksen valmistelussa varmaa tietoa. Arvioinnin lähtökohdat Valmistelussa on tarkasteltu kolmea protokollaa: SAML, Open ID Connect ja TUPAS. SAML on yleinen kansainvälisesti ja on myös määritelty eidas-asetusta tarkentavassa EU-sääntelyssä ja -ohjeistuksessa kansainvälisen välittämisen rajapinnaksi. Open ID Connect on yleistymässä ja on käytössä erityisesti mobiilivarmentamisessa. Koska pankkien tarjoamat tunnisteet perustuvat puhtaasti kansallisesti määriteltyyn vanhaan TUPAS-protokollaan, on määräystä valmisteltaessa harkittava poikkeusta siitä yleisesti noudatetusta periaatteesta, että noudatetaan ensisijaisesti kansainvälisesti yleisiä standardeja. TUPAS-prokollan mukaan ottamisen vaikutukset toiminnan jatkuvuuteen ovat myönteisiä, koska nykyinen tarjonta asiointipalveluille voi jatkua ilman katkosta. Asiointipalveluiden kannalta tämä ei edellytä välittömiä muutoksia.

8 8 (11) Vaikutukset kilpailuun ja tekniseen kehitykseen voivat olla negatiivisia, koska TUPAS-protokollaan ei ole ollut tiedossa kehityssuunnitelmia ja se edellyttää uusilta välitystoimijoilta sopeutumista puhtaasti kansalliseen protokollaan, mikä voi heikentää markkinoille tulon kiinnostavuutta. TUPASprokollan oikeudet omistava Finanssialan keskusliitto on kuitenkin käynnistänyt sidosryhmiensä kanssa arvioinnin protokollan kehitysmahdollisuuksista. Protokollan tehtävä on määritellä yhteentoimivasti tiedot ja niiden siirtotapa, jotta tiedot voidaan siirtää toimijoiden välillä. Mitä vähemmän eri protokollia toimijoilla on käytössä, sitä helpompaa on tältä osin sopimusten aikaansaaminen luottamusverkoston toimijoiden välillä. Ei määrätä, mitä protokollia on käytettävä, vaan tämä jää toimijoiden sovittavaksi. Sen sijaan määrätään lopputuloksesta, joka protokollalla on saatava aikaa eli vähimmäistiedoista, jotka protokollan avulla on kyettävä siirtämään (ks. seuraava kohta) ja rajapinnan tietoturvavaatimuksista. Malliprofiilit laaditaan SAML ja Open ID Connect -protokollille ja suositellaan näiden käyttöä. TUPAS-protokollan kehitystyötä seurataan aktiivisesti. 2.7 Rajapinnat: välitettävät attribuutit ja muut tiedot Arvioitavat kysymykset: vaaditaanko kansallisesti samat vähimmäistiedot kuin eidas-asetus edellyttää rajat ylittävässä siirrossa. Miten huomioidaan eidas-asetuksen valinnaiset attribuutit. Otetaanko määräyksessä kantaa siihen, mitä tietoja välineen myöntäjän on välitettävä välityspalvelulle. Käytetäänkö HETUa vai SATUa. Vaikutusarvioinnin lähtökohdat Välitettävät vähimmäistiedot voidaan määritellä kansallisten käytäntöjen mukaisesti tai huomioiden eidas-asetuksen rajat ylittävää tunnistamista varten laadittu lista vähimmäistiedoista. Luonnollisen henkilön osalta ei- DAS-asetuksen mukaisissa vähimmäistiedoissa ei ole olennaista eroa kansalliseen käytäntöön. eidas-asetuksen mukaisia valinnaisia tietoja ei juurikaan ole käytössä. Oikeushenkilön vahvat sähköiset tunnistusvälineet eivät tähän asti ole lain mukaan mahdollisia, joten niiden tunnistetiedoista ei ole omaksuttuja käytäntöjä. Vähimmäistiedot riittävät siihen, että luonnollinen tai oikeushenkilö kyetään yksilöimään luotettavasti. Valinnaiset tiedot voivat olla tarpeen joillekin asiointipalveluille. Luonnollisten henkilöiden että eidas-asetuksen mukaiset valinnaiset tiedot ovat sinänsä tietoja, jotka tarvittaessa ovat luotettavasti saatavissa väestötietojärjestelmästä. Oikeushenkilön osalta valinnaiset tiedot perustuvat EU-sääntelyyn, joten niiden voidaan olettaa olevan tarvittaessa sektorikohtaisesti saatavissa. Valinnaisten tietojen osalta tulee mietittäväksi myös kysymys, kuuluuko tietojen hankkiminen esimerkiksi väestötietojärjestelmästä tunnistusvälineen myöntäjän vai välityspalvelun vastuulle. Laissa ei näyttäisi olevan perusteita ottaa tähän kantaa määräyksessä ja kysymykseen liittynee tunnis-

9 9 (11) tuslain 12 a :ssä säädetyn enimmäishinnan tulkintaa. Näin ollen asiaa ei käsitellä tässä määräyksessä. Kun eidas-asetuksessa tavoitteena oleva rajat ylittävä tunnistaminen aikanaan tulee käyttöön julkisella ja mahdollisesti myös yksityisellä sektorilla, se on helpompi toteuttaa, kun välitettävät tiedot on jo valmiiksi määritelty eidas-asetuksen mukaisesti. Kansallisesti vaadittavat vähimmäistiedot määritellään sekä luonnollisen henkilön että oikeushenkilön osalta yhdenmukaisesti eidas-vaatimusten kanssa, jotta sama profiili kelpaa sekä kansallisesti että kansainvälisesti. Edellytetään, että rajapinnoissa on valmius myös eidas-asetuksen mukaan valinnaisten tietojen välittämiseen. Valinnaisten tietojen välittäminen on sopimuskysymys, johon ei oteta kantaa määräyksessä. Tekninen valmius helpottaa tarvittaessa sopimusten tekemistä. Henkilötunnisteena voi käyttää HETUa tai SATUA ja malliprofiileissa huomioidaan vaihtoehtona molemmat. Lisäksi varataan kenttä muulle tunnisteelle, joka voi olla esimerkiksi toimialakohtainen, sopimukseen perustuva tai rajat ylittävässä tunnistamisessa välitettävä tunniste. 3 Tietoyhteiskuntavaikutukset 3.1 Yleistä Tietoyhteiskuntavaikutuksia käsitellään kohdassa 1.1 ehdotuksen perusteet, sillä koko sääntelyn tavoitteena on edistää tietoyhteiskunnan kehittämistä lisäämällä luottamusta digitaalisiin palveluihin. Tässä kohdassa arvioidaan tunnistuspalvelun tietoturvallisuusvaatimusten sääntelytarvetta. 3.2 Tunnistuspalvelun tietoturvallisuus Arvioitava kysymys: onko tietoturvavaatimusten takia tarpeen jokin seuraavista: henkilöstön työtehtävien eriyttäminen, fyysisten työtilojen ja -välineiden eriyttäminen, teknisen palveluympäristön ja palvelinympäristöjen mahdollinen eriyttäminen muusta tuotannosta. Arvioinnin lähtökohdat Tunnistuslain 8.1 :n 4 alakohdassa säädetään tunnistusjärjestelmän turvallisuus- ja luotettavuusvaatimuksista. Laissa viitataan myös EU:n varmuustasoasetuksen liitteen kohtiin 2.2.1, ja Kohdassa säädetään todentamismekanismin kyvykkyydestä suojautua ulkoiselta uhalta ja kohdassa teknisistä tarkastuksista (toimenpiteistä) tietojen, viestintäkanavien ja salausteknisen aineiston suojaamiseksi sekä tietoturvallisuuden ylläpitämiseksi ja riskien, poikkeamien ja loukkausten hallitsemiseksi sekä henkilötietoja sisältävistä laitteista huolehtimiseksi. Viestintävirasto voi määrätä tunnistusjärjestelmän 8 :n 1 momentin 4 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista.

10 10 (11) Korotettua ja korkeaa varmuustasoa on syytä tarkastella erikseen. Valmistelussa arvioitavat tekijät on valittu sillä perusteella, että niistä on työryhmätyössä herännyt auditointikriteeristöä valmisteltaessa toimijoiden kysymyksiä. Henkilöstön työtehtävien eriyttäminen on tarpeen ainakin siltä osin, ettei sama henkilö voi luoda tunnistusvälinettä ja hallinnoida lokitietoja. Tämän oletetaan toteutuvan jo tietoturvallisuuden hallinnan, suunnittelun ja auditoinnin kautta, eikä asiasta ole tarpeen määrätä erikseen. Työvälineiden eriyttäminen on tarpeen siltä osin, että hallintaverkkoon ja toimistoverkkoon ei käytetä samaa työasemaa ainakaan korkealla varmuustasolla. Korotetulla tasolla tyydytään siihen, että arvioidaan erityisesti tietoturvariskejä, joita liittyy työasemaan, jos sillä pääsee hallintaverkon lisäksi toimistoverkkoon. Asiasta määrätään, koska tarve vaatimusten selkeyttämiseen tässä suhteessa nousi työryhmässä vahvasti esille. Muilta osin eriyttäminen jätetään tässä vaiheessa yksityiskohdiltaan yleisen tietoturvallisuuden suunnittelun ja auditoinnin varaan. Arvioitava kysymys: määrätäänkö vähimmäisvaatimukset eri rajapinnoissa käytettävälle salausalgoritmille, tiivistealgoritmille ja avainpituuksille ja mikä on vaatimustaso. Voidaanko määritellä korotetulle ja korkealle varmuustasolle eri vähimmäisvaatimukset. Arvioinnin lähtökohdat Tunnistuslain 8.1 :n 4 alakohdassa säädetään tunnistusjärjestelmän turvallisuus- ja luotettavuusvaatimuksista. Laissa viitataan myös EU:n varmuustasoasetuksen liitteen kohtiin 2.2.1, ja Kohdassa säädetään todentamismekanismin kyvykkyydestä suojautua ulkoiselta uhalta, korotetulla tasolla vakavuusasteeltaan kohtuulliselta (moderate) ja korkealla tasolla vakavuusasteeltaan korkealta (high). Viestintävirasto voi määrätä tunnistusjärjestelmän 8 :n 1 momentin 4 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista. Salausmenetelmien tasosta on käytettävissä eri lähteitä kuten ENISAn vuosittainen raportti tai eidas-asetuksen kansallisia solmupisteitä koskevat määrittelyt. Viestintäviraston tehtäviin kuuluu muun säädännön perusteella salaustuotteiden arviointi ja menetelmien arvioinnissa voidaan hyödyntää myös tässä tehtävässä työstettyä tietoa. Vaatimusten määrittelyssä on huomioitava käytettävyys ja käyttäjien käytössä olevien selainten versiot. Lisäksi on huomioitava tunnistuspalveluntarjoajille ja asiointipalveluiden tarjoajille aiheutuvat muutostarpeet. Vaatimusten taso täytyy suhteuttaa uhkiin. eidas-asetukseen liittyvissä spesifikaatioissa ei ole eroteltu korotetun ja korkean tason salausvaatimuksia.

11 11 (11) Määrätään salausmenetelmien vaatimustasot siten, että ne perustuvat vähintään TLS 1.2 versioon, joka on ollut oletuksena yleisissä käyttäjien käyttämissä selaimissa jo vuodesta 2011 ja jolle on ollut olemassa tuki jo vuodesta Vaatimukset määritellään verraten yksityiskohtaisesti määräyksessä. Salausmenetelmien vahvuus kehittyy sen verran hitaasti, että määräystä voidaan muuttaa tarvittaessa. Määrittelyssä hyödynnetään Viestintäviraston työstämää tietoa salausmenetelmien vahvuudesta huomioiden, ettei aseteta tiukempia vaatimuksia kuin eidas-asetukseen liittyvässä ohjeistuksessa. Korotettua ja korkeaa tasoa ei erotella määräyksessä, mutta korkealle tasolle annetaan suositus.