TUPAS poistuu pian – suuri kipukohta tuhansissa vanhoissa sovelluksissa

TUPAS-yhteyskäytännön aika vahvassa sähköisessä tunnistamisessa päättyy pian. Isot organisaatiot ovat valmistautuneet muutokseen varsin hyvin, mutta suurin osa palveluntarjoajista on pienempiä toimijoita, joita viesti muutostarpeesta on tavoittanut huonosti. Sovellusmuutosprojekteille ei ehkä enää ole aikaa ja ne tulevat kalliiksi. Erityinen edustasovellus on oikotie läpi muutosmyrskyn.

Kaikille tutun verkkopankkitunnuksilla käytettävän vahvan sähköisen tunnistamisen taustalla yli 20 vuotta toiminut TUPAS-yhteyskäytäntö tulee tiensä päähän 30.9.2019. Tuolloin päättyy Traficomin asettama siirtymäaika, eikä TUPAS-pohjaista tunnistautumista enää saa käyttää vahvana sähköisenä tunnistamismenetelmänä. Tunnistustapahtumien tietoliikenne tulee ennen tätä korvata uudet tietoturvavaatimukset täyttävillä, kansainvälisten standardien mukaisilla protokollilla, kuten OpenID Connect tai SAML. Vaatimus perustuu EU:n laajuiseen eIDAS-asetukseen sekä kansalliseen tunnistuslakiin vietyyn sääntelyyn.

Tunnistuslain säätämisen yhteydessä luotiin samalla puitteet kansalliselle luottamusverkostolle, johon kaikkien vahvan tunnistamisen palveluita tarjoavien toimijoiden tulee liittyä. Varsinaisten tunnistuspalveluiden lisäksi luottamusverkostossa toimii myös tunnistusvälityspalvelujen tarjoajia, joiden kautta on mahdollista tavoittaa kaikki tunnistustavat yhden luukun periaatteella ja yhdellä sopimuksella. Tämä on iso parannus tunnistusta hyödyntävien palvelujen tarjoajille, koska tähän saakka sopimukset ovat olleet pankkikohtaisia ja usein jopa lisäksi asiointipalvelukohtaisia, vaikka palvelutarjoaja olisikin sama. Lisäksi tunnistuslain myötä syntynyt tiukka hintasääntely pudottaa yksittäisen tunnistustapahtuman kustannuksen murto-osaan entisestä.

Kaikki tämä itsessään on hyvin myönteistä kehitystä ja luo mainiot edellytykset vahvan tunnistuksen käyttöönoton laajentamiselle uusille alueille. Palvelukohtaiset käyttäjätunnus-salasanatietokannat korvautuvat yhä useammin yleisillä tunnistautumistavoilla, jotka lisäksi ovat huomattavasti aiempia luotettavampia käyttäjän identiteetin todentamisessa. On ilmiselvää, että vahvan sähköisen tunnistamisen tapahtumamäärät tulevat moninkertaistumaan jo lähitulevaisuudessa.

Vaikeuksia tiedossa syksyllä

Loppukäyttäjän kannalta tunnistautumisen taustalla olevan tekniikan muuttuminen ei ole näkyvä muutos. Palvelujen tarjoajien kannalta sen sijaan on kyse isosta asiasta.

Identer Oy:n Juha Bäckmandin mukaan julkisessa keskustelussa aivan liian vähälle huomiolle jäänyt seikka on se, että vanhojen pankkikohtaisten tunnistuspalvelusopimuksien vaihtaminen tunnistusvälittäjän käyttöön ei ole pelkkä sopimustekninen muutos.

”Meillä on Suomessa tällä hetkellä useita tuhansia palveluita, jotka hyödyntävät vahvaa tunnistamista ja niiden ohjelmistot on rakennettu käyttämään poistuvaa TUPAS-yhteyskäytäntöä pankkikohtaisine asetuksineen. Osa näistä sovelluksista on jopa 20 vuotta sitten toteutettuja, mitä erilaisimmilla kehitysympäristöillä, alustoilla ja ohjelmointivälineillä. Nämä kaikki pitäisi nyt reilussa kolmessa kuukaudessa muuttaa toimimaan moderneilla OpenID Connect tai SAML-yhteyskäytännöillä. Joukossa on myös paljon ohjelmakoodia, joiden tapauksessa tämä on varsin hankalaa tai jopa lähes mahdotonta.”

”Vaikeuksia on siis varmuudella tiedossa ja huolestuttavinta on se, että suuri osa tunnistautumista käyttävien palveluiden tarjoajista ei ole vielä näin lähelläkään määräaikaa ryhtynyt etsimään ratkaisua. Ehkä ajatellaan, että Traficom tulee viime kädessä vastaan ja antaa jatkoaikaa TUPAS-käytölle. Tämä tuntuisi nykypäivän tietoturvatiedostavassa ympäristössä varsin oudolta.”

Ratkaisuksi erityinen edustasovellus

Identer on kehittänyt ratkaisun syntyneeseen ongelmaan. Vaikka TUPAS-yhteyskäytäntöä ei enää 1.10.2019 alkaen enää saakaan käyttää tunnistautumistapahtuman tietojen välittämiseen verkon yli, se ei estä sitä, että vanhat palvelusovellukset voivat yrityksen omassa lähiverkossa tai palvelimen sisällä kommunikoida vanhalla protokollalla.

”Olemme rakentaneet palveluntarjoajan järjestelmään asennettavan edustasovelluksen, jolla pystymme tarjoamaan vanhoille asiointipalveluille täysin nykyisiä pankkien TUPAS-rajapintoja vastaavan näkymän.”, Bäckmand sanoo.

IDMIG on edustasovellus tai paremminkin yhdyskäytävä, joka asennetaan olemassaolevan palvelusovelluksen eteen asiointipalvelun tarjoajalla. Se näyttäytyy asiointipalvelun suuntaan pankkien TUPAS-rajapintoina, mutta julkisen verkon suuntaan kommunikoi nykyaikaisilla OpenID Connect ja SAML-yhteyskäytännöillä. Vanhoihin sovelluksiin ei tarvitse tehdä lainkaan muutoksia, vaan entiset pankkikohtaiset TUPAS-tunnukset ja avaimet määritellään IDMIG:lle, kuten myös uudelta välityspalvelun tarjoajalta saadut sopimustunnukset ja avaimet.