– Henkilötunnusten vaihtaminen on tälläkin hetkellä mahdollista, mutta kriteerit siihen ovat hyvin tiukat, kuntaministeri Sirpa Paatero (sd.) kommentoi tänään illalla Demokraatille.

Paatero vahvistaa, että kriteerien helpottamista käsitellään huomenna hallituksen iltakoulussa.

Tarpeen pohdinnalle ovat tuoneet esiin myös oikeusministeri Anna-Maja Henriksson (r.) Helsingin Sanomissa tänään ja SDP:n eduskuntaryhmän puheenjohtaja Antti Lindtman Ilta-Sanomissa eilen.

Paateron mukaan läpi käytäväksi tulee myös sen kartoittaminen, mihin kaikkeen ihmiset nykyisin henkilötunnusta tarvitsevat ja mihin sitä käytetään. Julkisuudessa on pohdittu myös sitä, pitäisikö henkilötunnusten käytöstä tunnistautumisessa luopua kokonaan.

Hallituksella on ollut käynnissä sähköisen tunnistamisen uudistaminen.

– Ajatus on, että emme olisi pankkien varassa vaan valtio tarjoaisi oman välineen vahvaan sähköiseen tunnistautumiseen valtiolla olisi oma vahva tunnistautumisen sähköinen tapa, Paatero tiivistää.

Uusi väline toimisi tunnistautumisessa niin julkisiin kuin yksityisiin palveluihin. Yksityisellä puolella voisi olla mahdollisuus liittyä tähän julkiseen järjestelmään. Nyt vahvassa tunnistautumisessa ovat käytössä pankkitunnukset, mobiilivarmenne ja sirullinen henkilökortti.

Tämän hallituskauden puolella uudesta tunnistautumisvälineestä on odotettavissa ensimmäiset versiot.

Kolme vaihetta etenemisessä

– Kyllä minun mielestäni on järkyttävää, että joku voi tai haluaa tehdä tällaista, Paatero kommentoi Vastaamon tietomurtotapausta.

Paateron mukaan asian hoitamisessa edetään nyt kolmessa vaiheessa. Ensimmäinen ja kiireisin vaihe on se, että kaikkien uhrien pitää saada apua. Paatero on tyytyväinen, että monet yhteiskunnalliset toimijat viranomaisista ja järjestöistä seurakuntiin ovat tarjonneet apua.

Toinen asia on rikosprosessi ja se, että uhrit jaksavat tehdä rikosilmoitukset. Kolmas taso on erilaisten lainsäädännön uudistusten pohtiminen.

Paatero katsoo, että tietomurto on jo osoittanut sen, että sote-uudistusta tehtäessä on katsottava entistä tiheämmällä kammalla läpi yksityisen ja kolmannen sektorin sote-palvelujen tuottajien rekisterien pitoa ja tietoturvaa, koska julkinen puoli lähettää näihin lähetteellä potilaita.

Puhuttaessa Kanta-järjestelmän ja julkisen sote-puolen tietoturvasta Paatero nostaa esiin valtioneuvoston periaatepäätöksen digiturvallisuudesta. Periaatepäätöstä jalkautetaan toimenpideohjelman ja tietoturvaharjoitusten kautta myös kuntapuolelle.

Effin puheenjohtaja: Tunnistautumista ei pitäisi tehdä hetulla

Tietoyhteiskunnan kansalaisoikeuksien puolesta toimivan Effi-järjestön puheenjohtaja Leena Romppainen ei pidä hyvänä sitä, että Suomessa on vielä mahdollista tunnistautua pelkällä henkilötunnuksella ja nimellä.

Finanssiala tiedotti eilen, että rikollisten saamilla tiedoilla ei pysty nostamaan pankista lainaa eikä ottamaan pikavippiä. Niihin tarvitaan lain mukaan aina vahva tunnistautuminen esimerkiksi pankkitunnuksilla.

Rikollinen voi kuitenkin onnistua tekemään esimerkiksi ostoksia, osamaksukauppoja tai ottamaan muuta luottoa uhrin nimiin. Niinpä tietomurron uhrien onkin syytä tehdä luottokielto.

– Minkäänlaista tunnistautumista ei pitäisi pystyä tekemään hetulla ja nimellä, joka voi olla helposti saatavilla tai vuodettu. Pitäisi käyttää vahvaa tunnistautumista, Leena Romppainen sanoo.

– Se, että pelkästään henkilötunnisteen tietämällä voi ostaa jotain tai tehdä luottosopimuksia on tavallaan naurettava jäänne. Ei ole enää tätä päivää, että ei vaadita vahvaa tunnistautumista.

Romppainen kritisoi myös sitä, miten paljon henkilötunnuksia tallennetaan erilaisiin tietojärjestelmiin.

– Pitäisi vain kieltää ja sanktioida se, että hetulla ja nimellä pystyy tekemään asioita. Jos heikko tunnistautuminen sallitaan, sitten riskien pitää olla muulla kuin sillä, jonka henkilötunnusta käytetään.

Romppaisen mukaan pitäisi ylipäänsä myös välttää mahdollisia ongelmia aiheuttavien tietojen tallentamista, kuten nykyisin hetun.

– Jos on vaikkapa kauppa, josta voi tilata vain luottokortilla tai tilisiirrolla, ei varsinaisesti ole edes tärkeää tunnistaa henkilöä ja varmistaa henkilöyttä, vaan riittää, kun kauppa saa maksun. Satunnaisissa kertatilauksissa on nimittäin epäkäytännöllistä sekin, jos on aina pakko rekisteröityä, Romppainen huomauttaa.

Myös kansalaisaloitteita tullut

Kansalaisaloitepalveluun on tullut eilen kaksi kansalaisaloitetta, joissa vaaditaan henkilötunnuksen käytön kieltämistä tunnistamistarkoituksessa.

Romppainen ja Effi pitävät näitä aloitteita tukemisen arvoisina.

– Ei henkilötunnusta ole varsinaisesti suunniteltu ihmisen identifioimiseen, Romppainen sanoo.

Henkilötunnus on siis tällä hetkellä muutettavissa vain hyvin painavista syistä. Vaikka sen muuttaminen on vaivalloista, Romppainen pitää harkitsemisen arvoisena sitä, että henkilötunnuksen saisi muutettua nykyistä helpommin.

Henkilötunnuksen päätyminen rikollisille synnyttää pelkoa nimenomaan siitä, että sitä hyödynnettäisiin taloudellisesti. Romppainen toteaa, että uudella hetulla saisi ainakin vähän kevennettyä ihmisten tietomurto-tilanteesta kokemaa stressiä.

Digi- ja väestötietovirasto teki pari päivää sitten nettisivuilleen osion, jossa on ohjeita identiteettivarkauden tai tietovuodon uhreille.

Virastokin ilmoittaa kantanaan, että henkilötunnusta tulisi erilaisissa asiointipalveluissa käyttää ainoastaan asiakkaiden yksilöintiin, ei asiakkaan tunnistamiseen.

”Asiakas tulisi aina tunnistaa käyntipisteasioinnissa poliisin myöntämästä henkilökortista tai passista sekä sähköisissä palveluissa vahvalla sähköisellä tunnistusvälineellä kuten pankkitunnuksilla, mobiilivarmenteella tai henkilökortin kansalaisvarmenteella”, virasto opastaa.