Kumppaniyrityksemme Signicat on Euroopan johtava luottamus- ja varmennepalvelujen sekä sähköisten allekirjoitusratkaisujen toimittaja. Heidän tavoitteenaan on tarjota palveluja, jotka tuovat luottamuksen sähköiseen asiointiin, kaikkiin jäsenyyden polun kohtaamispisteisiin.

Signicat.com

 

Jäsenrekisterin käyttäjien kirjautumiseen liittyy aina riskejä, jotka on hyvä tunnistaa ja minimoida. Listasimme viisi tärkeää syytä sille, miksi jäsenrekisterin tietoturvaa kannattaa vahvistaa vahvan tunnistautumisen avulla.

1. Viranomaiset suosittelevat vahvaa tunnistautumista

Henkilön identiteetti varmennetaan perinteisesti passilla tai henkilökortilla. Digitaalisella identiteetillä henkilöllisyys voidaan varmentaa virtuaalisessa ympäristössä kuten verkkoasioinnissa. Se on useimmiten ulkopuolisen, luotettavan tahon antama evidenssi siitä, kuka henkilö on.

Suomessa tähän tarkoitukseen käytetään yleensä pankkitunnuksia, mobiilivarmennetta tai yksinkertaisimmillaan käyttäjätunnus ja salasana -yhdistelmää eli niin sanottua heikkoa tunnistautumista.  Nykyään myös viranomaiset suosittelevat käyttämään aina vähintään vahvaa tunnistautumista kaikissa virtuaalisissa ympäristöissä.

2. Jäseneksi liittyessä siirtyy tärkeitä henkilötietoja

Järjestön kannalta voi tuntua houkuttelevalta tehdä liittymisestä niin yksinkertainen toiminto kuin mahdollista. Asiaa kannattaa kuitenkin katsoa siltä kannalta, että heikossa tunnistautumisessa piilee väärinkäytösten vaara.

Jäseneksi liittyminen ei eroa esimerkiksi verkkokauppaostamisesta tai viranomaisasioinnista siinä mielessä, että kaikissa näissä käsitellään henkilötietoja. Laki ei erottele sitä, mikä asioinnin muoto on kyseessä, ja jäseneksi liittyminen voi sisältää myös eurooppalaisen henkilötietojen käsittelyn (GDPR) piirissä olevaa tietoa. Joskus liittymisen yhteydessä välitetään myös sensitiiviseksi luokiteltavaa tietoa kuten terveystiedot, asuinpaikka, ammattiliittoon tai uskonnolliseen yhteisöön kuuluminen.

Järjestön kannalta oleellinen kysymys onkin: haluammeko tuntea jäsenemme hyvin?

3. Mahdolliset haitat tai riskit rekisterin arkikäytössä

Vahvaa tunnistamista on suositeltavaa käyttää myös seuraavissa päivittäisissä rekisterin käyttöyhteyksissä.

Tietojen muuttaminen

Omien tietojen muuttamisen yhteydessä tai poistamisessa järjestö haluaa varmistua, että muutoksia tekee henkilö, joka on siihen oikeutettu, eikä käyttäjä aiheuta joko tahallisesti tai tahattomasti haittaa.

Yhdistyskäyttäjän varmentaminen

Yhdistyksen pääkäyttäjä saattaa hallinnoida jopa satojen henkilöiden tietoja. Siksi yhdistyksen sisällä jaetuissa käyttäjätunnuksissa piilee suuri riski. On ensisijaisen tärkeää, että pääkäyttäjällä on henkilökohtaiset käyttäjätunnukset, jotta voidaan tarvittaessa jälkikäteen selvittää, kuka on tehnyt muutoksia rekisteriin.

Salasanojen heikkous

Vielä suurempi riski on kyseessä, jos salasanaa ei koskaan vaihdeta, jolloin tunnukset ovat alttiita hakkerien tietomurrolle. Rekisterin tietojen vuotaessa käyttäjllä voi olla henkilökohtainen vastuu ja korvausvelvollisuus.

Myös yhdistyskäyttäjille suositellaan käyttäjätunnus ja salasana -yhdistelmän sijaan vahvaa tunnistautumista identiteetin varmentamiseksi.

4. Identiteettivarkauden riski

Identiteettivarkaus voi tapahtua esimerkiksi, jos joku ulkopuolinen henkilö saa käyttöönsä käyttäjän käyttäjätunnuksen ja salasanan tai verkkopankkitunnukset. Taustalla saattaa olla kiusanteko, pyrkimys vaikuttaa äänestystulokseen, arkaluonteisen tiedon saaminen tai jopa ostosten tekeminen toisen organisaation nimissä.

Rekisteriin murtautuminen tai sen sisältämien tietojen vuotaminen, koska se aiheuttaa haittaa isolle joukolle jäseniä. Pahimmillaan tietovuodettuja tietoja voidaan käyttää henkilöiden kiristämiseen.

Ennen muuta tietovuoto aiheuttaa mainehaittaa järjestölle, jolloin koko organisaation maine tahraantuu. Usein sanotaan, että luottamuksen voi menettää vain kerran. Siksi järjestön on syytä miettiä, mitä voidaan tehdä, jotta luottamusta ei menetettäisi?

5. Käyttöönotto on helppoa meidän avullamme

Järjestöt pitävät yleisesti rekisterin tietoturvaa tärkeänä asiana. Miksi identiteetin varmistamista ei sitten aina oteta käyttöön? Syy saattaa liittyä teknologian koettuun hankaluuteen, jos itsellä ei ole osaamista asiaan. Tähän Kehätieto tarjoaa järjestöille ratkaisua, jonka mahdollistaa kumppaniyrityksemme Signicat.

Toinen näkökulma voi olla kustannukset. Rahallinen vertaaminen aiemmin toteutettuun tapaan on kuitenkin ongelmallista, sillä esimerkiksi manuaalisten virheiden aiheuttamille haitoille on vaikea arvioida rahallista hintaa. Järjestö voi pohtia, onko olemassa olevien riskien aiheuttama kulu tai haitta säästettyjen kustannusten arvoisia.

Jäsenten kannalta vahva tunnistautuminen on jo arkipäiväistä, sillä meidät on kuluttajina totutettu sen käyttöön kaikessa sähköisessä asioinnissa.

Vahva tunnistautuminen Kilta-rekisterissä

Jos järjestö haluaa ottaa käyttöön vahvan tunnistautumisen Kilta-rekisteriinsä, tarjoamme Signicatin tuottamaa palvelua, joka hyödyntää henkilön pankkitunnuksia tai mobiilivarmennetta käyttäjän identiteetin varmentamiseen. Vaatimuksena on, että rekisteriin on tallennettu käyttäjien henkilötunnukset.


Katso täältä webinaaritallenteemme aiheesta: 

Tunnetko jäsenesi? Luottamuksen rakennuspalikat virtuaalisessa järjestökentässä