Kyberturvallisuuskeskuksen erityisasiantuntijan Tapio Sokuran mukaan biometrinen tunnistautuminen on vasta viimeisen parin vuoden aikana yleistynyt osana arjen korkeamman turvallisuustason asiointia, kuten maksutapahtumia.

Biometrisen tunnistautumisen turvallisuus epäilyttää käyttäjiä ‒ identiteettivarkaudet ja tunnistusteknologioiden haavoittuvuus pelottavat

Sormenjäljellä ja muilla biometrisilla tunnisteilla voi nykyään kirjautua puhelimelle ja hyväksyä maksuja verkkopankissa. Asiantuntijoiden mukaan biometriset tunnisteet toimivat parhaiten yhdessä toisen tunnisteen kanssa.

Tietoturvariskit olivat vahvasti esillä Moreenimedian biometrista tunnistautumista käsitelleessä kyselyssä. Kyselyyn vastanneista 55 prosenttia on sitä mieltä, että biometriseen tunnistautumiseen liittyy tietoturvauhkia.

Biometrisellä tunnistamisella tarkoitetaan yleisesti ihmisen automatisoitua tunnistamista jonkin fysiologisen ominaisuuden tai käyttäytymispiirteen perusteella. Tunnetuimpia esimerkkejä tästä ovat muun muassa sormenjälki- ja kasvojentunnistus, sekä puhujantunnistus.

Moreenimedian kyselyyn vastanneiden keskuudessa sormenjälki on yleisimmin käytetty biometrinen tunniste. Kyberturvallisuuskeskuksen erityisasiantuntijan Tapio Sokuran mukaan juuri sormenjälki on haavoittuvainen verrattuna muihin biometrisiin tunnisteisiin.

‒ Esimerkiksi silmän iirikseen eli värikalvoon perustuvaa tunnistusta ja kasvojentunnistusta on tietyssä mielessä vaikeampi huijata, koska näihin liittyvät teknologiat havaitsevat usein esimerkiksi sen, onko ihminen tietoisessa tilassa tunnistautumishetkellä.

 

Tajuttoman tai nukkuvan ihmisen hyväksikäyttö tunnistautumisessa nousi esille myös Moreenimedian kyselyssä, kun vastaajat arvioivat biometriseen tunnistautumiseen liittyviä tietoturvauhkia.

Moreenimedia pyysi asiantuntijoita kommentoimaan koettujen uhkien todenperäisyyttä.

Biometriset tunnisteet voidaan hakkeroida ja näin tapahtuessa tietoni voivat päätyä vääriin käsiin tai jopa identiteettini voidaan varastaa.

FAKTA

Kysely asenteista biometrista tunnistautumista kohtaan

  • Kysely jaettiin lokakuussa 2019 kahdessa Facebook-ryhmässä (Tampere ja Tampereen Puskarario).
  • Kyselyyn tuli vastauksia yhteensä 58 kappaletta.
  • Vastaajista 85 prosenttia käyttää arjessaan biometrista tunnistautumista.
  • 90 prosenttia vastaajista on sitä mieltä, että biometrinen tunnistautuminen on tai voisi olla hyödyllistä arjessa.
  • 55 prosentin mielestä biometriseen tunnistautumiseen liittyy tietoturvauhkia.

‒ Huoli on siinä mielessä aiheellinen, että omia biometrisia ominaisuuksia ei voi vaihtaa, kertoo Tapio Sokura.

‒ Paljon vaikuttaa kuitenkin se, missä yhteydessä biometrista tunnistautumista käytetään. Valmistajien mukaan esimerkiksi puhelimen sormenjälkitunnistuksessa biometrinen tieto on tallennettu vain kyseiseen puhelimeen ja hyvin suojatussa muodossa. Tällöin ulkopuolisen on vaikeampi päästä tietoon käsiksi.

Itsestäni kerättyjä tietoja voidaan tallentaa ja käyttää tietämättäni johonkin, mitä en ole hyväksynyt. En voi tietää, kuinka huolellisesti tietojani käsitellään.

‒ Tämä on mahdollista. Tässä täytyy vain luottaa siihen, että esimerkiksi viranomaiset toimivat tietoa kerätessään ja käsitellessään lain mukaisesti. Enemmän olisin huolissani yksityisistä tahoista, Sokura sanoo.

Biometristen tietojen käsittelyä määrittää EU:n tietosuoja-asetus, joka tuli voimaan vuonna 2018.

Tietosuojavaltuutetun toimiston mukaan tietosuoja-asetuksessa geneettiset ja biometriset tiedot ihmisen tunnistamista varten kuuluvat erityisiin henkilötietoryhmiin. Näiden tietojen käsittely on lähtökohtaisesti kiellettyä ja tietoja on suojeltava tarkasti, jotta henkilön perusoikeudet ja -vapaudet eivät vaarantuisi.

‒ Tietenkin ihmisen on vaikea loppujen lopuksi tietää, missä omat biometriset tunnisteet todellisuudessa kulkevat, Sokura sanoo.

Biometriseen tunnistautumiseen liittyvä teknologia ei ole vielä niin kehittynyttä, että se ei voisi tehdä virheitä.

‒ Koska fyysiset biometriset tunnisteet ovat muuttumattomampia kuin käyttäytymispiirteisiin perustuvat tunnisteet, niitä on periaatteessa helpompi huijata, kertoo Itä-Suomen yliopiston apulaisprofessori Tomi Kinnunen.

Kinnusen mukaan esimerkiksi puhetyylin kopiointi on siis hankalampaa kuin sormenjäljen kopiointi.

‒ On kyllä olemassa erilaisia hyökkäyksiä, joilla puhujantunnistuksen saa rikottua, ellei siihen ole valmistauduttu. Tutkimusyhteisö ja puheteknologian parissa toimivat yritykset kehittävät kuitenkin ratkaisuja sekä riskien arviointiin että väärennetyn puheen tunnistamiseen automaattisesti.

 

Biometrinen tunniste voi toimia yhdessä toisen tunnisteen kanssa

Biometristen tunnisteiden vertailu keskenään ei Kinnusen mukaan ole kuitenkaan ongelmatonta.

‒ Ei ole olemassa biometrista tunnistetta, joka olisi universaalisti parempi kuin kaikki muut. Sovellusalue sanelee aina, mikä tunnistautumistapa on järkevin ja taloudellisin ja mikä biometrinen tunniste on niin sanotusti turvallisempi kuin joku toinen.

Asiantuntijoiden mukaan biometrinen tunniste on käytössä usein nimenomaan toisen tunnisteen rinnalla.

‒ Esimerkiksi vahvassa sähköisessä tunnistautumisessa lähtökohta on juuri se, että sormenjälki ei yksin voi toimia tunnisteena, Tapio Sokura kertoo.

‒ En usko, että biometriset tunnisteet koskaan täysin korvaavat perinteisiä tunnisteita, ainakaan korkeamman turvallisuustason asioinnissa. Kyllä ne voivat silti olla osatekijänä tunnistautumisessa, hän lisää.

Kinnusen mukaan maailmalla puhujantunnistusta käytetään laajalti muiden tunnistusmenetelmien rinnalla, etenkin etänä tapahtuvassa tunnistuksessa älypuhelimen kautta. Vastaava olisi Kinnusen mielestä mahdollista myös Suomessa, mutta syystä tai toisesta mielikuva puheen epäluotettavuudesta tunnisteena on tiukassa. Tämä heijastuu hänen mielestään myös mediaan, jossa esimerkkeinä biometrisista teknologioista mainitaan lähes aina vain sormenjälki- ja kasvojentunnistus.