TUPAS-muutoksen lähtölaskenta on käynnissä: jopa 24% yrityksistä vaarassa rikkoa lakia 1.10. jälkeen

Sähköisen tunnistamisen kaaos uhkaa joka neljättä suomalaista yritystä 1. lokakuuta kun verkkopalveluiden pankkitunnistuksen tietoturvavaatimukset tiukentuvat, ilmenee sähköisiin tunnistuspalveluihin erikoistuneen Signicatin kyselystä. EU-sääntelyn tuomista tietoturvallisuutta parantavista muutostarpeista johdettu lakimuutos on siis vaarassa aiheuttaa ongelmia yrityksille, joilla on edelleen käytössään TUPAS-toteutus. Kyselyn toteutti IRO Research.

Tupas-nimellä kulkeva pankkitunnistuksessa käytetty protokolla ei 1.10.2019 enää täytä vahvan sähköisen tunnistamisen tietoturvavaatimuksia ja se on sen vuoksi korvattava nykyaikaisemmilla protokollilla. Näiden protokollien käyttöönotto edellyttää, että vahvaa sähköistä tunnistamista verkkopalveluissaan hyödyntävät organisaatiot tekevät järjestelmämuutoksia. Määräys perustuu Suomen lakiin vahvasta sähköisestä tunnistamisesta sekä EU:n eIDAS-asetukseen.

# Traficom suosittelee käyttämään tunnistuspalvelujen välittäjää

Signicatin kyselyssä ilmeni, että vain noin kolme neljästä TUPAS-tunnistusta käyttävistä yrityksistä uskoo saavansa muutokset tehtyä määräaikaan mennessä. TUPAS-tunnistuksen käyttäminen vahvaa sähköistä tunnistautumista edellyttäviin palveluihin on määräajan umpeuduttua vastoin lakia.

“On huolestuttavaa, että pitkästä siirtymäajasta huolimatta 24 % yrityksistä ei usko saavansa vaadittavia järjestelmämuutoksia toteutettua. Sähköistä tunnistamista valvova Liikenne- ja viestintävirasto Traficom on ollut selkeä kannassaan, että siirtymäaikaa ei jatketa. Lisäksi kynnys tunnistuspalvelujen lainmukaisuudesta huolehtimiselle on entistä matalampi, sillä tunnistuspalveluja käyttävän yrityksen ei tarvitse itse tehdä uusia sopimuksia tunnuksia myöntävien pankkien kanssa, vaan käyttää tunnistuspalvelujen välittäjää”, toteaa Signicatin Suomen maajohtaja Antti Harsunen.

Sähköisiä asiointipalveluita tarjoavan toimijan on vaihdettava vanha tiedonsiirrossa käytettävä Tupas-protokolla uuteen sanomatason salaavaan tekniikkaan. Muutos on tehtävä ennen siirtymäajan päättymistä ja Liikenne- ja viestintävirasto Traficom suosittelee siirtymään tässä nivelkohdassa käyttämään tunnistusvälittäjän palveluita. Tällä muutoksella ei ole suoraa vaikutusta kuluttajiin.

# Luottamusverkosto madaltaa digitalisaation kynnystä

Tunnistusvälineen tarjoajat (pankit ja operaattorit) sekä tunnistusvälityspalvelut muodostavat niin kutsutun luottamusverkoston (Finnish Trust Network, FTN). Luottamusverkostoon kuuluvien palveluntarjoajien on täytettävä tarkat Traficomin valvomat tietoturva- ja laatukriteerit. Signicat on yksi luottamusverkostoon hyväksytyistä tunnistuspalvelujen välittäjistä.

Luottamusverkostolla on kuitenkin Signicatin kyselyn valossa heikko tunnettavuus: vain 21 % vastaajista kertoo kuulleensa siitä.

“Luottamusverkosto ja verkostoon kuuluvien välittäjien roolin virallistaminen on tärkeä askel suomalaisen yhteiskunnan ja elinkeinoelämän sähköistymisessä. Sen madaltaa kynnystä kehittää ja ottaa käyttöön sähköisiä palveluja ja palvelukanavia, sillä sähköisiä asiointipalveluja tarjoavat toimijat saavat nyt käyttöönsä kaikki käytössä olevat tunnistautumisvälineet, kuten verkkopankkitunnukset, yhdellä sopimuksella ja rajapinnalla välittäjän kautta”, Harsunen summaa.

Kyselyä varten haastateltiin suomalaisia yritysjohtajia, yritysten tietohallinnosta vastaavia henkilöitä sekä yritysten sähköisestä liiketoiminnasta vastaavia päättäjiä heinä-elokuussa 2019.