- COMP.SEC.100
- 4. Laki ja säädökset
- 4.9 Luottamusta ilman papereita
Luottamusta ilman papereita¶
Kun perinteisestä toimistosta siirryttiin paperittomaan ja varsinkin kun sähköinen kaupankäynti kehittyi, kasvoi tarve siirtää perinteiset tiedon aitouden ja eheyden varmistavat menetelmät (esim. allekirjoitukset, sinetit ja muste) muotoon, jota voitaisiin käyttää täysin sähköisissä ja verkottuneissa ympäristöissä. Tietoturvatutkijat ja -teollisuus tuottivat useita uusia menetelmiä (usein PKI-pohjaisia), joiden tarkoituksena oli ratkaista nämä tarpeet. Tämä puolestaan aiheutti sääntelyn uudistamisen tarpeita, laajasti ottaen kolmenlaisia. Ensimmäinen laji koskee sähköisten asiakirjojen hyväksymistä todisteeksi oikeudenkäynneissä. Tämän tyyppiset asiat on lainsäädännössä saatu hyvin hallintaan ja kehittynyt forensiikka on apuna. Toinen laji koskee sähköisessä muodossa tapahtuvan viestinnän oikeudellista pätevyyttä. Kolmas laji liittyy oikeuksiin ja velvollisuuksiin tunnistus- ja luottamuspalveluissa.
PKI (Public key infrastructure)
Julkisen avaimen järjestelmä on kryptologiaan perustuva rakenne, jolla mahdollistetaan luottamus siihen, että henkilöillä tai koneilla olevat yksityiset avaimet ovat juuri kyseisten olioiden hallussa. Tämä tapahtuu siten, että yksityisiin avaimiin matemaattisesti kytkeytyvät julkiset avaimet sidotaan varmenteilla olioiden identiteettitietoihin (ks. Julkisten avainten hallinta luvussa 19.3). Yksityisellä avaimella olio voi PKI-rakenteen tukemana todistaa identiteettinsä luomalla digitaalisen allekirjoituksen. Varmenteetkin (sertifikaatit) ovat saman järjestelmän puitteissa tehtyjä allekirjoituksia (vrt. tehtävässä 1 mainitun lain § 19).
Jo vuonna 1996 YK kannusti virallisesti kaikkia valtioita mahdollistamaan verkkokauppasuhteet. Monet valtiot hyväksyivät samaan aikaan erilaisia lakeja ja määräyksiä, jotka on suunniteltu mahdollistamaan erityyppisiä liiketoimia, kauppasuhteita, hallinnollista raportointia, oikeudenkäyntejä jne. Kontekstina monille niistä olivat digitaaliset allekirjoitukset ja luottamuspalvelut.
Muihin kuin kaupankäyntiin liittyvän digitaalisen viestinnän oikeudellinen kelpoisuus on toteutunut hitaammin. Tällaisia aiheita ovat esimerkiksi kuolinpesän käsittely ja kiinteistön omistusoikeuden siirtäminen. Moniin näistä liittyy yhä muotovaatimuksia, jotka tekevät asian hoitamisen sähköisellä viestinnällä mahdottomaksi.
Sähköinen allekirjoitus ja luottamuspalvelut¶
Modernin verkkokaupan kanssa samaan aikaan syntyivät identiteettipalvelut, erityisesti sellaiset, jotka sitovat varmenteella henkilön identiteetin tiettyyn julkiseen avaimeen PKI:ssä. Kun tällaisten luottamuspalveluiden tekniset standardit alkoivat muotoutua, kaksi oikeudellista kysymystä nousi esiin jokaiselle, joka halusi tarjota tai käyttää näitä palveluita:
- Missä määrin digitaalinen “allekirjoitus” vastaa oikeusvaikutuksiltaan perinteistä paperille tehtyä allekirjoitusta?
- mikä on näiden järjestelmien ylläpitoon ja käyttöön osallistuvien henkilöiden oikeuksien ja velvollisuuksien luonne?
Ensimmäisessä kysymyksessä Suomen lainsäädännön kehitys on kuvaava. Vuonna 2003 tuli voimaan Laki sähköisistä allekirjoituksista. Sen korvasi vuonna 2009 Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Sittemmin vuoden 2016 isossa päivityksessä lain nimi vielä muuttui muotoon Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009). Kuuden ensimmäisen vuoden jälkeen lain painopiste siis siirtyi allekirjoituksista siihen, mihin niitä enimmäkseen on tarkoitus soveltaa eli tunnistamiseen. Siihen on muitakin vahvoja menetelmiä (kuten pankkitunnukset), ja siksi lain täydennykselle oli tarvetta. Seitsemän seuraavaa vuotta johtivat yleistämään allekirjoittamisen luottamuspalveluiksi. Taustalla on EU-asetus vuodelta 2014. Tietoturvan terminologiassa tärkeä käsite kiistämättömyys ei esiinny laissa eikä EU-asetuksessa. Silti on hyvä nähdä lakitekstistä, että kehittyneet allekirjoitukset, ja myös vahva tunnistaminen, tuottavat juuri kiistämättömyyttä tietyin rajoituksin (vrt. tehtävä).
Kysymys luottamuspalveluihin osallistuvien henkilöiden oikeuksista ja velvollisuuksista on huomattavasti monimutkaisempi.
Minkä luonteinen on varmentajan vastuu varmenteeseen luottavaa osapuolta kohtaan, millaista on riittävä huolenpito tässä toimintamallissa, ja mitä haittoja on ennakoitavissa virhetilanteissa? Mahdollisten ikävyyksien kirjo on laaja. Yhdessä ääripäässä on järjestelmän romahtaminen, kun juurivarmenne vaarantuu eikä asiaa havaita tai autentikointimekanismi on viallinen. Toisessa päässä on satunnaisia, joskin toistuvia ja ehkä väistämättömiä tapauksia, joissa varmenne myönnetään virheellisesti väärälle henkilölle.
Entä minkälaisia vastuita on varmennettaan käyttävällä allekirjoittajalla tai varmenteeseen luottavalla osapuolella, joka verifioi sen avulla edellisen tekemää allekirjoitusta? Varhaisessa politiikkakeskustelussa keskityttiin paljolti siihen, missä määrin allekirjoitusten tulisi sitoa allekirjoittajaa – varsinkin kun kyseinen henkilö on saattanut menettää allekirjoituksen luomislaitteen hallinnan. Tämä on vanha oikeudellinen ongelma, jonka voi kohdata maksumääräysten ja vastaavien allekirjoituskoneissa tai -leimoissa, joita on sovellettu ja yhä sovelletaan yrityksissä, rahalaitoksissa, lääkärintoimessa ym. Nykyään suuri osa keskustelusta näyttää keskittyvän tiettyjä käyttötapauksia sääteleviin lakeihin, kuten sähköisten maksupalvelujen sääntelyyn.
Varmuuden puute näistä asioista on saanut varmenteen myöntäjät etsimään keinoja rajoittaa tai muuten järkeistää vastuutaan. Tavanomaisessa strategiassa, eli rajoituksia sisältävien sopimusten tekemisessä, on paha ongelma. Sopimuksen tekeminen myöntäjän ja luottavan henkilön välillä edellyttää yleensä tarjouksen ja hyväksynnän välittämistä näiden välillä. Useimmat järjestelmät on kuitenkin suunniteltu mahdollistamaan luotettavuus ilman jatkuvaa väliintuloa, jossa käyttäjälle esiteltäisiin uusia käyttöehtoja aina, kun hän kohtaa uuden varmenteen myöntäjän.
Teknologiayhteisö yritti ratkaista nämä huolenaiheet sisällyttämällä varmenteisiin tietokenttiä, joiden tarkoitus on viestiä luotettavuuden ja käyttötarkoituksen rajoista. Tämä strategia kohtasi erinäisiä oikeudellisia haasteita. Käytännössä varmenteet yleensä sijoitetaan käyttöliittymän harvoin vierailtuihin nurkkiin. Lisäksi suuri osa loppukäyttäjistä, joiden koneet luottavat näihin varmenteisiin, eivät todennäköisesti ymmärtäisi niissä varsin teknisesti esitettyjä tietoja. Näissä olosuhteissa on alettu epäillä mahdollisuutta luoda täytäntöönpantavissa oleva vastuun rajoitus varmenteen myöntäjän ja siihen luottavan osapuolen välille.
Lainsäätäjät ja oikeudelliset asiantuntijat puuttuivat asiaan erilaisilla suosituksilla ja sitten laeilla. Nämä lait, joiden otsikoissa on usein termi digitaalinen tai sähköinen allekirjoitus, tyypillisesti omaksuivat jonkin yhdistelmän seuraavista poliittisista toimista:
- velvoitetaan hyväksymään sähköiset allekirjoitukset oikeudellisina todisteina;
- määritellään laillisesti päteviksi sellaiset sähköiset allekirjoitukset, jotka täyttävät tietyt tekniset vähimmäisominaisuudet, jotka varmistavat autentikoinnin ja eheyden;
- säädetään, että sähköisiltä allekirjoituksilta ei voida evätä pätevyyttä vain siksi, että ne ovat sähköisessä muodossa, mutta jätetään avoimeksi mahdollisuus evätä vastaavuus muista syistä;
- varmenteiden myöntäjälle asetetaan huolellisuusvelvoite varmenteisiin luottavia osapuolia kohtaan;
- käännetään todistustaakka siten, että varmentajan huolimattoman toiminnan takia vahinkoa kärsineen ei enää tarvitse todistaa laiminlyöntiä. Sen sijaan varmentajan on osoitettava, että toiminta ei ole ollut huolimatonta;
- luodaan sääntelykehys aiempaa vaativampien teknisten ja ei-teknisten huolellisuusstandardien kehittämiseksi varmenneliiketoiminnalle;
- tarjotaan varmentajille mahdollisuus rajoittaa taloudellista vastuutaan esittämällä rajoitus varmenteessa riippumatta siitä, näkeekö luottava osapuoli tämän rajoituksen vai ei;
- tarjotaan varmentajille mahdollisuus sulkea pois vastuu tietyn käyttötavan osalta esittämällä poissulkeminen varmenteessa riippumatta siitä, tarkasteleeko luottava osapuoli tätä poissulkemista vai ei.
Valtioiden välillä on jonkin verran eroja näiden toimien toteutuksessa. Kaikki eivät ole ottaneet käyttöön kaikkea ja monet toimista on säädetty useiden lisäehtojen tai rajoitusten alaisiksi. Toistuva teema liittyy lainsäätäjien haluttomuuteen vähentää kuluttajansuojalakien tarjoamia oikeuksia.
Jotkin varmenteita koskevista laeista ovat luonteeltaan yleisiä, toiset käsittelevät vain tiettyjä aihealueita, esim. viranomaistoimintaa. Joissakin tapauksissa laki delegoi sääntelyelimelle aihekohtaiset valtuudet asettaa täsmentäviä säädöksiä ja/tai teknisiä standardeja. Esimerkkinä tällaisesta elimistä Suomessa on DVV ja Traficomin alainen Kyberturvallisuuskeskus. Edellinen eli Digi- ja viestintävirasto peri varmentajan tehtävät silloiselta VRK:lta eli Väestörekisterikeskukselta.
Edellä keskityttiin varmennejärjestelmän kolmeen osapuoleen, mutta on vielä neljäskin: se, joka valitsee mihin varmentajiin pitäisi luottaa oletuksena. Tätä roolia hoitavat rutiininomaisesti esimerkiksi verkkoselainten valmistajat. Tämä lienee väistämätöntä, koska suurimmalla osalla loppukäyttäjistä ei ole järkevää tapaa tehdä eroa hyvien ja huonojen varmentajien välillä. Herää siis kysymys siitä, millainen huolellisuusvelvoite oletusvarmentajien valitsijoilla voi olla loppukäyttäjiä kohtaan.
Kyberturva-ammattilaisen kannattaa tehdä ainakin sellainen yleinen havainto edellä olevasta, että useiden erilaisten osapuolten välillä toimivan sovellusalustan kehittäminen voi vaatia sääntelyn ja muotovaatimusten tarkkaa tuntemusta.
Lainvalinta: sähköinen allekirjoitus- ja luottamuspalvelu¶
Sähköisten allekirjoitusten ja luottamuspalvelujen luonne aiheuttaa poikkeuksetta lainvalinnan ongelman, kun osapuolet ovat eri valtioissa. Miten toimitaan, kun varmenteen myöntäjä sijaitsee valtiossa A, varmenteen omistaja (ja sen tiedoilla allekirjoituksia tekevä) valtiossa B, ja varmenteeseen luottava osapuoli C? Viimeksi mainitun voi olla hankala punnita, onko B:ssä tehty allekirjoitus pätevä C:ssä, kun se perustuu A:ssa allekirjoitettuun varmenteeseen. Tarkasteltavan allekirjoituksen tarkoituksena saattaa vieläpä olla vahvistaa sopimus, jolla siirretään omistusoikeus kiinteistöön, joka sijaitsee neljännessä valtiossa D. Allekirjoituksen oikeudellista sitovuutta koskevaan kysymykseen vastataan lähes varmasti viittaamalla sen valtion D lakiin, ottamatta huomioon valtioita A, B tai C. Valtio, jossa kiinteä omaisuus sijaitsee, on yleensä ainoa, jolla on täytäntöönpanovalta mahdollisessa omistusoikeuskiistassa.
Jos kyseessä on yksinkertainen sopimus, jossa ei allekirjoittaja eikä luottava osapuoli ole kuluttaja, eurooppalaisten tuomioistuinten pitäisi pystyä toteamaan muodollinen pätevyys, jos se täyttää osapuolten valitseman valtion lain vaatimukset, siis B:n tai C:n tai mahdollisesti jommankumman osapuolen vakinaisen asuinpaikan lakia. Kuluttajien osalta eurooppalaiset tuomioistuimet katsoisivat tällaisen rajat ylittävän sopimuksen päteväksi vain, jos se on pätevä kuluttajan asuinpaikan lain mukaan.
Vastuunrajoituksiin sovellettavan lain määrittäminen on myös monimutkaista. Olkoon esimerkkinä edelleen varmenteen myöntäjän valtiossa A. Miten hän voi luottaa valtiossa A vallitsevan digitaalisten allekirjoitusten lain tarjoamaan vastuunrajoitukseen, kun em. kolmas osapuoli valtiossa C nostaa laiminlyönnistä johtuvan kanteen häntä vastaan. Vahingonkorvausvelvollisuus saattaa hyvinkin määräytyä valtion C lain mukaan, varsinkin tapauksissa, jossa vahingon kärsinyt on kuluttaja. Toisin sanoen lain myöntämien vastuunpoistojen tai -rajoitusten arvo tulee kyseenalaiseksi, kun sopimussuhteet ylittävät rajoja.