Valtio haaskasi 40 miljoonaa sähköiseen tunnistamiseen

Valtio on hukannut verkkotunnistamiseen yli 40 miljoonaa euroa kahdeksassa vuodessa. Valtiontalouden tarkastusviraston mukaan viranomaiset ovat kehittäneet verkkopalveluihin keskenään kilpailevia tunnistautumistapoja, joista mikään ei ole vakiintunut yleiseksi käytännöksi. Pankkien avainlukulistat ovat suosituin tunnistustapa hallinnon verkkopalveluihin.

Tarkastusviraston mukaan tunnistautumista ei sähköisessä asioinnissa tarvita välttämättä ollenkaan. Valtio ei ole selvittänyt sähköisen tunnistamisen tarvetta tarkastusviraston vuonna 2006 tekemästä ehdotuksesta huolimatta.

Ministeriö: eri palveluille oli painavat syyt

Valtiontalouden tarkastusviraston arvosteleman Valtion it-toiminnan johtamisyksikön neuvotteleva virkamies Arja Terho pitää näkemäänsä raporttiluonnosta hyvänä kuvauksena tunnistamiskehityksestä.

”Eri osapuolilla on eri vaiheissa ollut eri tarpeita tehdä tunnistautumispalveluita. On ollut painava syy tehdä jokin ratkaisu, ennen kuin yhteisiä ratkaisuja on kehitetty”, Terho perustelee päällekkäistä palvelukehitystä.

Terho myöntää, että valtiovarainministeriö ei voi käyttää enää vain informaatio-ohjausta välineenä tunnistuspalveluiden kehittämisen koordinoinnissa.

”Luonnoksen mukaan informaatio-ohjaus ei enää ole riittävää, ja sen mukaisesti täytyy harkita vahvempaa ohjausta.”

Informaatio-ohjaus on käytännössä esimerkiksi suositusten antamista eikä se ole luonteeltaan pakottavaa.

Terhon mukaan vahvempia ohjausvälineitä ei ole voitu käyttää, ennen kuin verkkotunnistautumiseen on löydetty vakiintunut ratkaisu.

”Tässähän on kyse uudesta toiminnosta. Vie aina aikansa, ennen kuin löytyy paras tapa tehdä asioita.”

Terhon mukaan hankkeiden tiimoilta tehdään seuraava kilpailutus ensi vuonna.

”Se on varmaankin sopiva ajankohta luoda yksi yhtenäinen tunnistamisen ohjaamispalvelu koko julkishallinnolle”, Terho sanoo.

Tiedot ilmenevät tarkastusviraston tarkastuskertomuksesta, joka julkaistaan toukokuussa. Tietoviikko sai ennakkotietoja raportista.

Keskinäistä kilpailua

”Jos ajatellaan tunnistuspalveluita sähköisen asioinnin tukipalveluna, rahaa on käytetty runsaasti. Toteutus on silti edelleen keskeneräinen”, Valtiontalouden tarkastusviraston ylitarkastaja Tomi Voutilainen (kuvassa) sanoo.

Valtionhallinnossa on kehitetty kymmenkunta päällekkäistä tunnistautumispalvelua. Suosituin tunnistautumistapa on silti pankkien salasanalistoihin pohjautuvat tupas-tunnisteet.

”Viranomaiset kilpailevat palveluiden kehittämisessä. Jos tunnistautumisen kehittämiseen käytetyt resurssit laitettaisiin yhteen, asiat olisivat varmasti jo kunnossa”, Voutilainen sanoo.

Tarkastusvirasto arvostelee Valtion it-toiminnan johtamisyksikköä, joka toimii valtiovarainministeriön alaisuudessa. Se ei ole ottanut sille kuuluvaa vastuuta tunnistautumisen kehittämisessä.

”Johtamisyksikkö on tehnyt erilaisia selvityksiä, mutta konkreettisia lopputuloksia on hyvin vähän”, Voutilainen kertoo.

Voutilaisen mukaan on omituista, että julkishallinnon tunnistuspalveluiden kehittämistä mietitään myös liikenne- ja viestintäministeriön työryhmässä, jota vetää TietoEnatorin konsultti.

Lainsäädäntö tarjoaa ministeriöille mahdollisuuden tehdä ehdotuksia valtioneuvostolle yhteisten tietojärjestelmien pakkokäyttöönotosta. Niitä ei kuitenkaan ole Voutilaisen mukaan tehty.

Hän arvioi, että poliittiset syyt saattavat selittää, miksi Valtion it-toiminnan johtamisyksikkö ei ole ottanut johtajarooliaan kehittämisessä.

Pankkitunnistus riittää

Julkishallinnon tunnistautumispalveluiden kehittämistä on leimannut pakkomielle niin sanottuun vahvaan tunnistamiseen. Tästä esimerkkinä on Väestörekisterikeskuksen kansalaisvarmenne, joka on liitetty esimerkiksi sähköiseen hst-henkilökorttiin. Varmenteen mobiiliversion saa kännykän sim-kortille.

Voutilaisen mukaan varmenteen sisältämää sähköistä allekirjoitusta ei ole lain mukaan vaadittu verkkopalveluihin tunnistautumisessa. ”Tämä ei ole ilmeisesti mennyt tekniikkapuolelle tiedoksi”, Voutilainen sanoo.

Sähköisen henkilökortin käyttäminen tunnisteena vaatii lukijalaitteen, ja suosio on ollut vaisu. Esimerkiksi Tunnistus.fi-palvelun tapahtumista korkeintaan vain muutama prosentti tehtiin viime vuonna henkilökortilla.

Voutilaisen mukaan verkkopankkitunnukset on kaikesta huolimatta hyväksytty valtionhallinnossa vahvoiksi tunnisteiksi eikä mobiilitunnistaminen tuo merkittävää etua.

”Jos lähdetään siitä, että viranomaisille kehitetään oma tunnistusjärjestelmä, se ei voi lähteä leviämään”, Voutilainen huomauttaa. Julkispalveluihin tunnistaudutaan harvoin, verkkopankkeihin usein.

Tuoreen YK:n selvityksen mukaan Suomen julkishallinto on jäänyt pahasti jälkeen verkkopalvelujen kehittämisessä.

”Suomessa kaikkea on testattu muttei saatu käyttöön. Viranomaiset kilpailevat palveluiden kehittämisestä”, ylitarkastaja Tomi Voutilainen linjaa.

Monenlaisia tunnisteita

yksikkö	tunniste
Väestörekisterikeskus	(mobiili) kansalaisvarmenne
Terveydenhuollon oikeusturvakeskus	Terveydenhuollon ammattivarmenne
Virkamiehen tunnistamisen palvelut	Virkamiehen asiointikortti
Patentti- ja rekisterihallitus	roolitietopalvelu
Verohallitus	Katso-organisaatiotunnistuspalvelu
Tekes	käyttäjähallinnan tietojärjestelmä
Kela, verohallinto, työ- ja elinkeinoministeriö	Tunnistus.fi
Valtioneuvoston tietohallintoyksikkö	Lomake.fi:n tunnistuspalvelu
Valtiokonttori	tunnistus- ja käyttäjänhallintapalvelu
Kunnat, valtiovarainministeriö ja Hansel	Vetuma

Mobiilitunnistus on kallista ja turvatonta

Mobiilitunnistuksesta kaavailtiin pelastajaa hst-kortissa heikosti menestyneelle kansalaisvarmenteelle. Toistaiseksi mobiilitunniste kelpaa kuitenkin vain Väestörekisterikeskuksen omien tietojen tarkastuspalvelussa.

Noin 165 000 kansalaisvarmenteesta sim-kortilla on vain noin promille. Tarkastusviraston mukaan mobiili tunnistautuminen on 3–4 kertaa pankkitunnisteiden käyttämistä kalliimpaa.

Mobiilitunnistusta on markkinoitu ajatuksella, että tunnistautumisen voi hoitaa yhdellä koodilla koodilistan sijasta. Tämä ei tarkastusviraston mukaan pidä paikkaansa.

”Asianmukaisessa palvelussa pitää olla häirinnänestokoodi, ennen kuin oman puhelimennumeron voi syöttää palveluun. Tämän jälkeen tarvitaan vielä pin-koodi”, ylitarkastaja Tomi Voutilainen Valtiontalouden tarkastusvirastosta sanoo.

Turvallisuutta tuova häirinnänestokoodi puuttuu Väestörekisterikeskuksen palvelusta toistaiseksi.