1 Johdanto2 Työryhmän toimintaOsallistujatHaaga-Helia ammattikorkeakoulu Hanken Svenska handelshögskolan Helsingin yliopisto Hämeen ammattikorkeakoulu Karelia-ammattikorkeakoulu Laurea-ammattikorkeakoulu Savonia-ammattikorkeakoulu Tampereen yliopisto Turun ammattikorkeakoulu Turun yliopisto Digi- ja väestötietovirasto Digivisio 2030 hanketoimisto Maahanmuuttovirasto Opetushallitus Suomen ylioppilaskuntien liitto Työ- ja elinkeinoministeriö CSC – Tieteen tietotekniikan keskus oy OrganisoituminenAlatyöryhmän puheenjohtajina ovat toimineet Haaga-Helia ammattikorkeakoulun tietohallintopäällikkö Kirsti Niemeläinen ja aluksi Digivisio 2030 hanketoimiston hankepäällikkö Vilho Kolehmainen ja myöhemmin digiarkkitehti Elina Toivanen Turun yliopistosta. Sihteerinä on toiminut Marjut Anderson, CSC – Tieteen tietotekniikan keskus oy. Alatyöryhmä on kokoustanut yhteensä kuusi kertaa, minkä lisäksi kokouksia on valmisteltu erillisissä palavereissa puheenjohtajiston ja sihteerin toimesta. Alatyöryhmän tehtävänä on ollut käsitellä kansainvälisten opiskelijoiden identiteetinhallintaan ja tunnistautumiseen liittyviä asioita ja ehdottaa myöhemmin pilotoitavia kehitystoimenpiteitä. 3 KV-opiskelijoiden identiteetinhallinnan ja tunnistautumisen nykytila3.1. Prosessi ja eri toimijat 3.2. KäyttötapauksetHakuvaiheen tunnistautuminen, tutkinto-opiskelijat: Suomalaisiin korkeakouluihin tutkinto-opiskelijaksi hakevat henkilöt eivät tunnistaudu Opintopolussa. Tästä syntyy helposti tuplahakemuksia, joita myöhemmin täytyy yhdistellä. Lisäksi paljon työtä tehdään siinä, kun opiskelijat syötetään korkeakoulujen opintorekistereihin ja sielläkin etsitään mahdollisia tuplahakemuksia, koska henkilöillä ei ole yksilöivää tunnistetta, jolla esimerkiksi tunnistettaisiin ne ilman henkilötunnusta olevat opiskelijat, joilla on jo aiemmin toista kautta saatu opinto-oikeus. Jos henkilö aloittaisi hakuprosessin Opintopolkuun tunnistautumalla, poistuisi ainakin osittain tarve käsitellä tuplahakemuksia hakuvaiheessa. Tunnistautumisen vaihtoehtoja olisivat esimerkiksi eIDAS-tunnistaminen, mutta se sopii vain EU-kansalaisille. Toinen vaihtoehto olisi eduGain-tunnistaminen. Tämä ei kuitenkaan estäisi tuplahakemuksia, koska opiskelijalla voi olla usean oppilaitoksen tunnukset. Ei myöskään ole tiedossa millä luotettavuustasolla eduGain-organisaatiot tunnistavat tunnuksen saajat ja on myös olemassa hakijoita, joilla ei ole minkään (eduGain-)korkeakoulun tunnuksia. Yksittäisenä ratkaisuna ainoa tapa olisi etätunnistaminen virallisesta henkilöllisyystodistuksesta. Se on automatisoitavissa ainakin jossain määrin, mutta se ei ole tehokas tehtäväksi aina kirjautumisen yhteydessä. Olisi tehokkaampaa tunnistaa kertaluonteisesti ja antaa tunnistamisen päätteeksi tunnistusväline, jota voi käyttää jatkossa, esimerkiksi paikkaa Opintopolussa vastaanottaessa. Näin säästyttäisiin myös turhalta työltä, kun em. “ei-todelliset hakijat” saadaan karsittua pois heti alkuvaiheessa. Hakuvaiheen valintakokeet ja todistusten tarkistaminen Ammattikorkeakoulut järjestävät hakijoille myös valintakokeita. Valintakoetilanteissa (haastattelu) hakija näyttää passia videohaastattelussa, jolloin haastattelijan on pystyttävä arvioimaan henkilöllisyys. Tämä on hankalaa kiireen ja paineen takia. Valintakokeen kirjallisen osion tunnistautumista ei tällä hetkellä ole lainkaan. miten kolmansien maiden hakijat? Hakujoiden aiempien tutkintojen todistusten vertailu on myös hankalaa. Köyhissä maissa hakijoilla on myös teknisiä haasteita muun muassa huonojen internet-yhteyksien vuoksi ja tietiteknisen osaamisen puutteista johtuen. Nämä asiat voisivat hankaloittaa myös sähköisen tunnistautumisen mahdollista käyttöönottoa. Hakuvaiheen tunnistautuminen, vaihto-opiskelijat Vaihto-opiskelijat on useimmiten valittu vaihtoon kotikorkeakoulussa ja kotikorkeakoulu nimeää eli nominoi heidät suomalaiseen korkeakouluun. Kaikki suomalaiset korkeakoulut eivät kuitenkaan vaadi pakollista nominointia vaan opiskelija voi täyttää vaihto-opiskelijan hakulomakkeen myös ilman nominointia. Näissä tapauksissa kotiyliopiston puolto tarkistetaan opintosuunnitelmasta, jonka kotikorkeakoulun edustaja allekirjoittaa. Jatkossa Euroopan unionin rahoittamassa Erasmus-ohjelmassa opiskelijan, koti- ja korkeakoulun edustajien allekirjoittama opintosuunnitelma eli Learning Agreement tehdään EU-maiden, Turkin, Serbian ja Sveitsin osalta sähköisessä järjestelmässä (OLA = Online Learning Agreement). Tunnistautuminen IT-lupien saamista varten
Monissa korkeakouluissa IT-tunnukset on korona-aikana annettu saapuville kansainvälisille opiskelijoille videohaastattelujen avulla tai erilaisilla etätunnistusratkaisuilla. Esimerkiksi yhdessä yliopistossa on korona-aikana järjestetty saapuville vaihto-opiskelijoille IT-tunnukset SoleMove –vaihtojenhallintajärjestelmässä. Kotiyliopisto ensin nominoi eli nimeää opiskelijan järjestelmässä. Ajatuksena on, että partneriyliopistot lähettävät vaihtoon vain tunnistettuja henkilöitä. Opiskelijasta käytetään vain hänen kotiyliopistonsa sähköpostiosoitetta, ei esimerkiksi Hotmail-osoitetta. Kun opiskelija hyväksytään, hänen tietonsa ajetaan SoleMovesta opiskelijarekisteriin. Yliopiston it-tunnukset muodostuvat automaattisesti uusille opiskelijoille. Kansainvälisen vaihdon palvelut poimii uudet tunnukset tietokannasta ja tallentaa ne opiskelijan omaan hakemukseen SoleMovessa. Tämän jälkeen opiskelija sai suoraan IT-tunnukset vaihtoyliopiston järjestelmiin. Opiskelija kirjautuu SoleMove –tililleen, kopioi sieltä tunnuksen ja salasanan ja vaihtaa salasanan. Oleskelulupaa varten tehtävä tunnistautuminen Henkilö, jonka kansalaisuus on muu kuin EU-maiden, Islannin, Lichtensteinin, Norjan tai Sveitsin kansalaisuus, tulee hakea Suomeen yli 90 päiväksi opiskelemaan tullessaan oleskelulupaa. Perustutkinto-opiskelijat hakevat opiskelijan oleskelulupaa ja tohtoriopiskelijat tutkijan oleskelulupaa. Hakemukseen tarvitaan suomalaisen korkeakoulun hyväksymiskirje. Oleskelulupaa varten opiskelijan pitää käydä jokotunnistautumassa Suomen edustustossa. Pakollinen tunnistautuminen edustossa vaatii monelle hakijalle matkaa toiseen maahan kaikkine maahantulomuodollisuuksineen ja matkakuluineen. Tunnistautumiseen on liittyy paljon haasteita. Joissakin edustustoissa / viisumikeskuksissa on jopa useiden kuukausien pitkät jonot tunnistautumiseen. Matkat toiseen maahan voivat tulla myös kalliiksi etenkin vaihto-opiskelijalle, joka muuten saattaa saada stipendin oleskelukustannuksiinsa Suomessa. Koronapandemian aikana esimerkiksi taiwanilaiset opiskelijat joutuisivat karanteeniin matkustessaan Hong Kongiin tunnistautumaan. Bangladesh ollut erityisen haasteellinen sillä Intiaan matkustavat opiskelijat voivat helposti joutua rikosten ja korruption uhriksi. Beniniläiset tunnistautuvat Nigeriassa ja tunnistautumiseen on pitkät jonot. Suomalaisen henkilötunnuksen hakeminen oleskeluluvan yhteydessä Suurin osa opiskelijoista saa suomalaisen henkilötunnuksen oleskeluluvan hakemisen yhteydessä, mutta ihan kaikki eivät sitä saa. Näin käy silloin, jos samanniminen ja saman syntymäpäivän omaava henkilö on aiemmin saanut oleskeluluvan. Silloin Migristä ohjataan identiteettiselvittely DVV:lle, jossa tehdään selvittelytyötä ja opiskelija ei ehdi saada henkilötunnusta. Toinen syy on se, että eduston käyttämä ulkoisella palveluntuottajalla ei ole oikeutta tehdä VTJ rekisteröintiä . Parhaillaan tehdään selvittelyä siitä, voisiko ulkoinen palvelutuottaja jatkossa tehdä rekisteröinnin vaikka ei tee työtä virkavastuulla. Kaikki vaihto- opiskelijat eivät myöskään ilmoita henkilötunnustraan korkeakoululle. Henkilötunnusta opiskelija tarvitsee esimerkiksi suomalaisen pankkitilin avaamisessa. Henkilötunnus auttaa myös silloin kun opiskelija haluaisi jäädä opintojensa jälkeen Suomeen töihin. 3.3. Korkeakoulujen nykyratkaisut3.3.1 VideohaastattelutOsassa yliopistoja opiskelijan tunnistus on alettu tehdä videohaastattelulla koronapandemian aikana. Helsingin yliopistossa opiskelija lähettää helpdeskiin sähköpostitse tunnushakemuksen. Helpdesk tarkistaa, että opiskelija löytyy yliopiston opiskelijarekisteristä (nykyisin Sisu, ennen Oodi). Helpdesk lähettää opiskelijalle alustavat ohjeet ja linkin ajanvarausjärjestelmään. Opiskelija varaa ajan jolloin tunnistus tehdään. Helpdesk tunnistaa opiskelijan ja lähettää hänelle tunnuksen ja salasanan. Yhteen haastatteluun menee noin 15 minuuttia aikaa ja yhden työpyynnön käsittelyyn menee kokonaisuudessaan noin 30 - 60 min aikaa. Arvioitu työtuntien määrä ensi syksyn tunnistamisia varten on 300-400 tuntia. Turun yliopistossa videotunnistus on ollut lukukaudella 2020-2021 ensisijaisena ratkaisuna ja syksyllä 2021 vararatkaisuna niissä tapauksissa, jolloin tunnistusta ei voida tehdä eKYC-ratkaisulla. Opiskelija on yhteydessä helpdeskiin ja sopii videotunnistamisesta. Helpdesk tarkistaa, että tunnus on syntynyt IdM-järjestelmään opintorekisterin (syksystä 2021 alkaen Peppi, aiemmin Opsu) tietojen perusteella. Helpdesk sopii opiskelijan kanssa tunnistamisen ajankohdan ja lähettää videotunnistautumiseen liittyvät ohjeet opiskelijalle. Videotunnistus suoritetaan videoneuvotteluvälineellä (Zoom) ja tunnistautumisen yhteydessä varmistetaan tunnistettavan henkilöllisyys, henkilöllisyystodistus ja näiden vastaavuus erinäisillä tietoturvasyistä tässä tarkemmin määrittelemättömillä toimenpiteillä kuten kysymykset, suoritettavat toimenpiteet ja videokuvan tarkastelu. Tunnistamistapahtumaan kuluu n. 30-40 minuuttia aikaa. Kansainvälisten opiskelijoiden tunnistustapahtumia on arvioitu olevan vuosittain yli 800 kpl. 3.3.2. eKYC-ratkaisut 3.3.2.1. Haaga-Helia ammattikorkeakoulun etätunnistusratkaisuHaaga-Helia otti joulukuussa 2020 käyttöön etätunnistusratkaisun, joka perustuu palveluntarjojan (Fully Verified) eKYC-tunnistuspalveluun. Palvelun ensisijainen kohderyhmä on henkilöt, joilla ei ole suomalaista sähköistä tunnistusvälinettä yhdistettynä suomalaisen henkilötunnukseen ja joiden ei ole mahdollista tulla Haaga-Helian kampuksille tunnistautumaan. Ensisijainen käyttökohde on ensitunnistaminen, eli henkilö tunnistetaan, jotta hänelle voidaan luovuttaa Haaga-Helian verkkotunnus käyttöön. Tämän lisäksi palvelua voi tarvittaessa käyttää tilanteissa, joissa henkilö tulee tunnistaa uudelleen jonkin asiointipalvelun yhteydessä.
Nykyisen ensitunnistamisen prosessikuva
Tunnistusprosessin käynnistäminen on tehty Haaga-Heliassa mahdollisimman yksinkertaiseksi: kun henkilö on tarpeen tunnistaa, hänelle lähetetään linkki tunnistamisprosessin aloituslomakkeelle. Lomakkeella kysytään tietyt avaintiedot ja tämän jälkeen henkilö ohjataan Fully Verifiedin prosessin mukaisesti suorittamaan tunnistautuminen. Prosessi on liitetty Haaga-Helian uusien opiskelijoiden ohjeistus- ja tunnustenluontiprosessiin siten, että kun uudesta aloittavasta opiskelijasta havaitaan tiettyjen raja-arvojen täyttyminen, kuten henkilötunnuksen puuttuminen, opiskelijalle lähetetään ohjesähköposti, jossa kerrotaan tarve ensitunnistamisesta ja tarjotaan vaihtoehtona joko etätunnistamista tai kampuksella tehtävä tunnistaminen. Etätunnistamisesta annetaan ohjeet prosessin vaatimuksista, kuten tekniset vaatimukset sekä vaatimukset kelvollisista tunnistusasiakirjoista. Lisäksi suositellaan etätunnistamisessa huomioitavia asioita, jotka voivat vaikuttaa prosessin onnistumiseen, kuten hyvin valaistu ja rauhallinen ympäristö tunnistamisen aikana. Varsinainen tunnistamisprosessissa on kaksi mahdollisuutta tunnistautujalle: itsepalvelut tai palveluntarjoajan asiantuntijan (operator) online-ohjauksessa tapahtuva tunnistaminen. Lisäksi tunnistautuja voi käyttää joko verkkoselaimella tapahtuvaa palvelua tai Androidin ja Applen sovelluskaupoista löytyvää älypuhelinsovellusta. Itse tunnistamisprosessi perustuu tunnistajan antamiin tietoihin, video- ja/tai valokuviin tunnistettavasta henkilöstä sekä tunnistautumisasiakirjan tutkimiseen. Käytännössä tunnistamisasiakirja valokuvataan ja koneluetaan siinä olevien tietojen hyödyntämiseksi. Haaga-Helian käyttämässä toimintaprosessissa varsinaisen tunnistautumistapahtuman tietojen analysoinnin tekee tekoälyä hyödyntävän ohjelmiston lisäksi Fully Verifiedin asiantuntijat, ja he antavat lausunnon tapahtumasta ja kertovat myös mahdollisista havaituista ongelmista. Haaga-Helian virkailijat käsittelevät vain onnistuneet (“success”) tunnistautumistapahtumat ja niistä kirjataan tieto opiskelijan tietoihin Peppiin, kuten myös muutamasta eri vaihtoehdotsa tunnistamistapa, josta Haaga-Heliassa ohjelmallisesti päätellään ko. tunnistamisen toteutunut Haka-LoA-taso. (Käytetty operaattorin tarkastama Fully Verified eKyc-palvelun tunnistus on nykyisen tiedon pohjalta luokiteltu Haka-LoA-taso Medium -mukaiseksi.) Tämän jälkeen Haaga-Helian tunnuksien avaamisen automaattiprosessit aktivoituvat ja varsinainen tunnuksien avaaminen suoritetaan loppuun ja opiskelija pääsee hyödyntämään Haaga-Helian palveluita, jotka vaativat Haaga-Helian käyttäjätunnukset.
Ongelmatilanteiden hallinta Tunnistamisprosessi vaatii tunnistautujalta huolellista ohjeiden seuraamista, jotta prosessi sujuu mahdollisimman nopeasti. Ensimmäisten viikkojen käyttökokemusten perusteella ohjeistusta tarkennettiin muistuttamalla mm. toimivan verkkoyhteyden tärkeydestä, kuin myös kohtuullisen kameran sisältävän kännykän tai web-kameran sekä passin tarpeellisuudesta, sekä riittävästä valaistuksesta. Tunnistautuja pystyy tekemään tunnistautumisen, paitsi itsepalveluna 24/7, vaihtoehtoisesti laajennettuna toimistoaikoina Fully Verifiedin asiantuntijan opastamana, mikä on ainakin epävarmemmille käyttäjille suositeltavampi tapa. Jos prosessissa kohdataan ongelmia, ohjataan opiskelija Haaga-Helian IT-tukipalveluihin, joissa tunnistetaan ongelmakohta ja tarjotaan ratkaisumalleja. Aina ongelmiin ei ole korkeakoulun tai palvelutarjoajan vaikutuspiirissä olevaa tietoteknistä ratkaisua. Ratkaisu on kehitetty ensisijaisesti kansainvälisten opiskelijoiden tunnistamiseen siinä tapauksessa, että heillä ei ole mahdollisuutta tulla tunnistautumaan paikan päälle. Odotettavissa kuitenkin on, että ratkaisua hyödynnetään myös muihin tilanteisiin, joissa henkilöllä ei ole suomalaista vahvan sähköisen tunnistamisen välinetta ja tunnistus on tarpeen tehdä etänä.
3.3.2.2. Turun yliopiston etätunnistusratkaisuTurun yliopisto on ottamassa elokuussa 2021 käyttöön etätunnistusratkaisun, joka perustuu palveluntarjojan (Signicat) rajapinnan kautta käytettävään eKYC-tunnistuspalveluun (ElectronicID). Ratkaisu on kehitetty ensisijaisesti kansainvälisten opiskelijoiden tunnistamiseen siinä tapauksessa, että heillä ei ole mahdollisuutta tulla tunnistautumaan paikan päälle. Odotettavissa kuitenkin on, että ratkaisua hyödynnetään myös muihin tilanteisiin, joissa henkilöllä ei ole Suomi.fi-tunnistusvälinettä ja tunnistus on tarpeen tehdä etänä. Etätunnistuspalvelu koostuu palveluntarjojan tunnistuspalvelun lisäksi yliopiston itsensä kehittämästä käyttöliittymästä, joka huolehtii tunnistautuvan henkilön ohjaamisesta prosessissa, pääsynhallinnasta eKYC-tunnistuspalveluun ja käyttäjätunnuksen aktivoinnista sekä sen luovuttamisesta tunnistautujalle. Prosessi vaatii käynnistyäkseen tiedon siitä, että opiskelija tarvitsee etätunnistumisvaihtoehdon. Tähän on erityisesti kaksi syytä: - jokainen tunnistautumistapahtuma eKYC-palvelussa maksaa, joten on tarpeen rajata käyttö vain palvelua tarvitseville ja jättää kokeilijat pois
- tietosuojasyistä on parempi, ettei kuka tahansa pääse testaamaan palvelua ja sen mahdollisia heikkouksia, vaan käyttö on rajattu niille, joiden tiedetään palvelua tarvitsevan
Lisäksi ennen tunnistustapahtumaa tulee varmistua siitä, että tunnistautujalle on syntynyt käyttäjätunnus. Opiskelijoiden tapauksessa käyttäjätunnus syntyy pienellä viivellä sen jälkeen, kun opiskelija on kirjattu läsnäolevaksi opiskelijaksi opintorekisterijärjestelmään. Jos käyttäjätunnusta ei ole olemassa, ei tunnistautumistakaan kannata tehdä. Kun tunnistustarve on selvinnyt, tunnistautujalle luovutetaan yksilöllinen tunniste, jolla hän pääsee kirjautumaan etätunnistuspalveluun. Tunnisteella voi kirjautua palveluun rajatun määrän kertoja. Tunnisteen tarkoitus on rajata tunnistuspalvelun käyttöä, mutta tietosuojanäkökulmasta sen käsittelylle ei ole erityisiä vaatimuksia, koska se mahdollistaa ainoastaan pääsyn tunnistuspalvelua käyttämään. Tietosuojanäkökulmasta yksilöllisen tunnisteen merkitys on pieni: käyttöoikeuksien saamiseen vaaditaan kuitenkin onnistunut eKYC-tunnistaminen. Näin ollen yksilöllisiä tunnisteita voidaan lähettää esim. sähköpostilla ja voidaan sopia esim. opiskelijapalveluiden kanssa, että he huolehtivat niiden luovuttamisesta tunnistusta tarvitseville opiskelijoille. Tunnistautuja saa myös ohjeistuksen tunnistautumiseen. Ohjeet on kerätty erilliselle www-sivustolle, jonka kautta tunnistautuja pääsee etätunnistuspalveluun. Ohjeistuksella pyritään edesauttamaan tunnistautumisen onnistumista ja vähentämään tunnistautujan tarvetta olla yhteydessä helpdeskiin. Kun tunnistautuja alkaa joko tietokoneensa ja tai älypuhelimensa selaimella käyttää etätunnistuspalvelun käytön, antaa hän aluksi yksilöllisen tunnisteensa, jonka jälkeen hänet ohjataan eKYC-tunnistuspalveluun. Siellä hän valitsee valtion, jonka henkilöllisyystodistus hänellä on, ja henkilöllisyystodistuksen tyypin (passi/henkilökortti). Tämän jälkeen palvelu ohjaa tunnistautujaa kuvaamaan henkilöllisyystodistustaan ja omia kasvojaan. Tämän tarkastelun lopputuloksena eKYC-palvelu vertaa henkilöllisyystodistuksessa olevaa kuvaa kasvoihin ja tekee tulkinnan, onko kyse riittävällä luotettavuudella samasta henkilöstä ja aidosta henkilöllisyystodistuksesta. Tunnistautumisen jälkeen tunnistautuja saa tarkastettavakseen hänestä kerätyt tiedot ja tarvittaessa hän saa yrittää tunnistautumista uudelleen rajatun määrän kertoja. Mikäli tunnistautuminen onnistui, palvelu aktivoi identiteetinhallintajärjestelmässä hänen käyttäjätunnuksensa. Tämän jälkeen käyttäjätunnus, salasana, IT-käyttösäännöt sekä ohjeet salasanan vaihtamiseksi näytetään tunnistautujalle palvelussa. Mikäli tunnuksen aktivointivaiheessa syntyy virhetilanne, ohjataan tiedot tunnistamisesta jatkoselvitettäväksi helpdeskiin, ja tunnistautujalle annetaan linkki, josta hän pääsee selvittelyn jälkeen noutamaan käyttäjätunnuksen ja muut tiedot. Kuva 1 Etätunnistautumisen prosessi Turun yliopistossa. Prosessi on karkealla tasolla sama niin videolla kuin eKYC-palvelullakin toteutettuna.
Kuva 2 Turun yliopiston etätunnistuspalvelun etusivu.
3.4. Kansalliset ja kansainväliset ratkaisut sähköiseen tunnistamiseen ja yksilöintiin opetussektorillaVahva sähköinen tunnistaminen (eidentification), palveluihin kirjatumisen yhteydessä tapahtuva todentaminen (authentication), jota suomeksi kutsutaan myös tunnistamiseksi, sekä henkilön yksilöinti ovat kaikki eri asioita.
Tyypillisesti esimerkiksi hetua tai oppijanumeroa voidaan käyttää henkilön yksilöintiin: niiden avulla Matti Virtanen on erilaisissa rekistereissä ja tietojen siirrossa mahdollista erottaa toisesta saman nimisestä Matti Virtasesta. Jonkun henkilön hetun tai oppijanumeron tietäminen ei kuitenkaan tarkoita, että ko. yksilöivän tunnisteen tietävä henkilö olisi juuri sama henkilö. Asiointitapahtumassa henkilöä ei voi siis tunnistaa pelkästään kysymällä yksilöivää tunnistetta, vaan tarvitaan myös tunnistusväline: kasvoikkain asioinnissa passi tai henkilökortti, sähköisessä asioinnissa vahva sähköisen tunnistamisen väline. Erilaisiin järjestelmiin voidaan kirjautua, tunnustautua merkityksessä autentikointi (authentication) vaikkapa tunnus-salasana-parilla tai muilla tunnistustekijöillä, joiden avulla voidaan varmistua, että henkilöllä todennäköisesti on järejstelmän käyttäoikeus. Tämä ei kuitenkaan välttämättä kerro siitö, onko henkilön identiteetti aito. Tietyissä asiointitilanteissa ns. yksilöinti ei riitä, eikä myöskään autentikointi, vaan tarvitaan vahvaa tunnistamista.
Korkeakoulusektorilla KV-opiskelijan tunnistamisen haasteet liittyvät pääosin vahvan sähköisen tunnistamisen tarpeellisuuteen ja siihen ettei uusilla KV-opiskelijoilla ole suomalaisten järejstelmien kanssa yhteensopivai sähköisen tunnistamisen välineitä. Jossain määrin tietojen siirtoa ja asiontia saattaa helpottaa, jos henkilön yksilöivänä tunnisteena olisi tiedossa kansallinen oppijanumero. Mikään vahvan sähköisen tunnistamisen väline sitä ei kuitenkaan nykyisin palauta.
Suomi.fi kansalliseen vahvaan tunnistamiseen Suomi.fi-tunnistaminen on kansallinen julkisen sektorin sähköisen tunnistamisen palvelu, jota on velvollisuus hyödyntää valtion ja kuntien viranomaispalveluissa. Korkeakoulut voivat hyödyntää Suomi.fi-tunnistamista lakisääteisiä palveluita tuottaessaan. (Viittaus: ) Suomi.fi-tunnistaminen on tarjoaa loppukäyttäjälle mahdollisuuden valita tunnistamisen useiden vaihtoehtoisten vahvan sähköisen tunnistamisen välineiden joukosta. Tuettuja välineitä ovat varmenteen omaava HST-kortti tai virkakortit, operaattoreiden SIM-korttien varmenteisiin tukeutuva Mobiilivarmenne-tunnistaminen sekä lukuisten suomalaisten pankkien tarjoamat ns. pankkitunnistamisen ratkaisut. Kaikkien näiden kansallisten tunnistusvälineiden saamisen ehtona, muiden muassa, on, että käyttäjä on rekisteröity Väestötietojärjestelmään ja hänellä on suomalainen hetu. Myös KV-opiskelijat voivat tietyin edellytyksin saada suomalaisen hetun ja edelleen tietyin edellytyksin myös suomalaisen tunnistusvälineen, vaikka eivät olisi Suomen kansalaisia. Kuten yllä todettu, pelkkä hetun saanti voi kestää eivätkä varsinkaan suomalaiset sähköisen tunnistamisen välineet tyypillisesti ole KV-opiskelijan saatavissa vielä opintojen alkaessa. Lisätietoja: https://www.suomi.fi/palvelut/ulkomaalaisen-rekisterointi-vaestotietojarjestelmaan-digi-ja-vaestotietovirasto/e96066b8-ef80-4d64-9c44-ff71ccb291d9 Euroopplainen eIDAS-tunnistamisen verkostoEU:n eIDAS-asetuksen perusteella ja eIDAS-solmupisteiden verkoston avulla on viranomaisasioinnissa mahdollista tunnistautua kansallista notifioitua tunnistusvälinettä käyttäen maarajojen yli. Suomen eIDAS-tunnistamisen solmupiste on Suomi.fi-tunnistamisen yhteydessä niin, että myös mm. Saksan tai Viron notifioimia sikäläisiä kansallisia tunnistusvälineitä käyttävät voivat tunnistautua Suomi.fi-tunnistuspalvelun kautta - suomalaisen tunnistusvälineen sijaan.
Nykyiset notifioidut tunnistusvälineet: https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS Kaikki viranomaiset, myöskään korkeakoulut tai muut opetusektorilla toimivat, eivät ole koitenkaan omissa verkkopalveluissaan huomioineet eIDAS-tunnistamista vaihtoehtona. Eli loppukäyttäjän, vaikkapa KV-opiskelijan, tunnistautuminen eIDAS-verkoston kautta ei käytännössä hyödytä häntä, jos korkeakoulun käyttämä asiointipalvelu päätyy tunnistamistapahtuman jälkeen virhetilaan. Syynä tähän tyypillisesti on, ettei tunnistamistapahtuman yhteydessä asiointipalvelu saa parametrina suomalaista hetua vaan sen sijaan yksilöivänä tunnisteena on ns. eIDAS-PID, joka muodostetaan loppukäyttäjän kansallisen yksilöivän tunnisteen perusteella. Korkeakoulujen ja loppukäyttäjien asiointiprosessien kannalta olisi kätevää, jos myös KV-opiskelijoiden asioinnissa voitaisiin hyödyntää samoja sähköisen tunnistamisen palveluita kuin suomalaisten tunnistusvälineiden käyttäjien kanssa. Finnish Authenticator (FinnAuth)Ulkomaan kansalaisen tunnistuspalvelun eli Finnish Authenticator-tunnistuspalvelun avulla ulkomaalaiset voivat käyttää niitä Suomen julkishallinnon asiointipalveluja, jotka ovat ottaneet Finnish Authenticator -sovelluksella tunnistautumisen käyttöön. Sovelluksella tunnistautuminen tarkoitettu ulkomaalaisille, joiden tarvitsee asioida yrityksen puolesta, mutta heillä ei ole suomalaista henkilötunnusta eikä suomalaista tunnistusvälinettä. Finnish Authenticator -tunnistuspalvelussa ulkomaalainen rekisteröi itselleen ulkomaalaisen tunnisteen (UID) ja todentaa henkilöllisyytensä Finnish Authenticator -sovelluksen avulla. Tämän ensitunnistuksen yhteydessä käyttäjä ottaa kuvan itsestään sekä passistaan tai kansallisesta henkilöllisyystodistuksestaan. Tunnistuspalvelu vahvistaa henkilöllisyyden, jos itsestä otettu kuva ja henkilöasiakirjan tiedot vastaavat toisiaan. Rekisteröitymisen ja sovelluksen käyttöönoton jälkeen ulkomaalainen voi kirjautua asiointipalveluun ulkomaalaisen tunnisteella tai sähköpostilla, salasanalla ja sovelluksen PIN-koodilla. Myös Finnish Authenticator -tunnistaminen on verkkoasioinnissa hyödynnettävissä Suomi.fi tunnistamisen kautta: jos asiointipalvelun tarjoaja on sopinut FinnAuth-tunnistamisen hyödyntämisestä verkkoasioinnin palvelussa ja Suomi.fi-tunnistamisesta, tunnistautuessaan loppukäyttäjällä on valittavana vaihtoehtona suomalaisten tunnistusvälineiden tai eIDAS-tunnistusvälineiden lisäksi FinnAuth-tunnistautuminen.
Lisätietoja Finnish-Authenticator-tunnistuspalvelusta: https://www.suomi.fi/ohjeet-ja-tuki/tietoa-tunnistuksesta/finnish-authenticator-tunnistuspalvelu Oppijanumero (vs. oppija-ID)Kansallinen opetussektorin kattavin yksilöivä tunniste, varsinaisen hetun lisäksi, on oppijanumero, joita hallinnoidaan OPH:ssa. Oppijanumero on kaikilla korkea-asteen ja toisen asteen opiskelijoilla ja se voidaan muodostaa myös henkilölle, jolla ei ole suomalaista hetua. Oppijanumero luodaan myös perusopetuksen oppilaille ja varhaiskasvatuksen piirissä oleville lapsille. Osa oppijanumeroa hyödyntävistä kansallisista asinointipalveluista, esimerkiksi oma opintopolku, edellyttää kuitenkin nykyisin kirjautuessa suomalaista tunnistusvälinettä. Lyhenteiden käyttö vaatii tarkkuutta. Henkilölle voi muodostua useita Oppija-ID-numeroita esimerkiksi useammaan opsikelijahaun myötä. Mikäli mahdollista identiteetit pyritään yhdistämään yhteen oppijanumeroon OPH:n toimesta. Terminä OID voi viitata myös Organisaatio ID -tunnukseen, joita on myös korkeakouluilla. Kansallisen oppijanumeron lisäksi opiskelijalla voi olla useitakin opiskelijanumeroita sen mukaan kuinka monen korkeakoulun opintorekisteriin tai vastaavaan muuhun lähdejärjestelmään hänet on rekisteröity. EU-opiskelijakorttiEuropean Student Card -aloitteessa pyritään digitalisoimaan ja yksinkertaistamaan liikkuvuusprosessia opiskelijoiden ja korkeakoulujen näkökulmasta sekä mahdollistamaan opiskelijoiden sähköinen asiointi tunnistautumisineen (merkityksessä autentikointi) ja tietojen siirtäminen korkeakoulujen välillä. Aloitteen puitteissa kehitetään sekä sähköisiä työkaluja ja rajapintoja liikkuvuuden hallintaan että yhteistä eurooppalaista opiskelijakorttia ja eurooppalaista yksilöivää opiskelijatunnistetta. Tavoitteena on, että vuoteen 2025 mennessä kaikki opiskelijat Euroopassa pääsevät hyötymään aloitteen rajapinnoista, työkaluista sekä opiskelijakortista. Euroopan komission sivut. Ratkaisu ei näillä näkymin kata varsinaista vahvan sähköisen tunnistamisen ratkaisua, vaan yksilöivän tunnisteen, joka helpottaa henkilön yksilöintiä sekä tietojen siirtoa. Saatujen toimintaohjeiden perusteella autentikoinnin palveluna hyödynnettäisiin mahdollisesti eduGAIN-verkostoa, johon Suomen korkeakoulut kuuluvat kansallisen Haka-käyttäjätunnistusjärjestelmän kautta.
4 Lopputulokset ja ehdotukset4.1. Pilottiehdotus- Toteutus:
- Suunnitellaan ja toteutetaan osallistuvissa korkeakouluissa ratkaisu, jonka avulla:
- mahdollistetaan eIDAS-tunnistaminen (korkeakoulun eIDAS-kyvykkyys)
- tarjotaan opiskeijalle mahdollisuus hankkia FinnAuth-tunnistusväline ja hyödyntää sitä korkeakoulussa ja samalla myöhemmässä asioinnissa
- toteuteaan edellämainituilla tunnistusvälineillä opiskelijan sähköinen ensitunnistaminen (viimeistään ko. korkeakoulussa)
- Kuvataan konsepti sidosryhmille pyrkien edistämään KV-tunnistusvälineestä saatava hyöty muussakin viranomaisasioinnissa
- Lisäksi selviettään ja pyritääntoteuttamaan opiskelupaikan vastaanotto / ilmoittautuminen OILIssa niin, että saataisiin eIDAS-PID / FinnAuth-UID talteen ko. vaiheessa
- Mukaan otetaan 3-5 korkeakoulua, jotta saadaan riittävä otos erilaisia organisaatiota sekä KV-opiskelijoita loppukäyttäjinä
- Osallistujat
- Turun AMK, Haaga-Helia ja Tampereen yliopisto ovat osoittaneet halukkuutta lähteä mukaan pilotointiin. Laurea ja HAMK:lla saattaisi olla kiinnostusta, mutta pilotointiin osallistumisen resursointi on vielä epäselvä.
- Resurssitarvearvio ja kustannusarvio (mikäli tarvitaan erillistä rahoitusta)
- FinnAuth-kulut ovat 18 €/käyttäjä /vuosi. Valtaosa käyttäjistä käyttäisi palvelua vain yhden vuoden.
- Arvioidut vuosikustannukset yhteensä 46 800 €
- Turun AMK: 500 käyttäjää → 9000 €
- Haaga-Helia: 800 käyttäjää → 14 400 €
- Tampereen yliopisto: 1300 käyttäjää → 23 400 €
- Lisäksi palvelun käyttöönottoa varten tarvittava työ korkeakoulusta yhteensä 168 htp omaa työtä ja arviolta noin 60 000 € edestä tunnistustapahtumien mahdollistamiseksi verkkoaplveluiden toimittajien työtä sekä lisäksi kustannukset UID:n ja PID:n viennistä opintojärjestelmiin.
- Laskettu toimittajan työn hinnaksi 900 €/htp
- Osa kustannuksista, esim. asioinnin verkkolomakkeiden muutoskulut, eivät välttämättä kertaudu kaikkien korkeakoulujen maksettavaksi täysimääräisinä. Organisaatioiden IAM / IdP -palvelujen muutoskuluissa synergiaetuja on todennäköisesti vähemmän.
- Haaga-Helia
- Turun AMK:
- Tampereen yliopisto
4.2. Muut huomiot ja toimenpide-ehdotukset- Pilotissa huomioitava Haka-tunnistamisen varmuustasot (LoA eli Level of Assurance): täyttääkö FinnAuth-tunnistaminen varmuustason Haka-LoA-medium-vaatimukset.
- Huom: KV-pilotin rinnalla kaikki korkeakoulut joutuvat implementoimaan Haka-tunnistamisen vaatimat LoA-muutokset. Siitä ei ole laskettu aiheutuvan KV-pilotin totetukseen. Osana sekä KV-pilotin tarkempaa suunnittelua, rinnan Haka-LoA-muutosten kanssa, korkeakoulujen on aiheen lisäkuluja. milloin ja missä verkkopalveluissa tarvitaan korkea tunnistamisen varmuustaso, milloin käy matalampikin.
- DVV on ilmoittanut, että sen ulkomaalisten tunnistamsieen tarkoitettu FinnAuth-palvelu korvautuu tulevaisuudessa kansallisella DigiID-tunnistusvälineellä, joka voidaan tietyin edellytyksin myöntää ulkomaalaisille kuten myös tulevaisuudessa hetu nykyistä helpommin. Tähän voi kuitenkin mennä vuosia ja ulkomaalaisten osalta DigiID:n käyttöönotto voi edetä eritahtisesti. Konseptina FinnAuth-käyttöönotto tulee helpottamaan myös DigiID:n hyödyntämistä korkeakouluissa.
- VM:llä / DVV:llä on käynnissä hetu-uudistuksen valmistelu mm. hetu-avaruuden kasvattamiseksi ja hanke digitaalisen identiteetin kehittämiseksi. Nämä huomioidaan pilotin edetessä tarpeen ja mahdollisuuksienmukaan, esimerkiksi konseptoitaessa ratkaisuja saman henkilön useamman yksilöivän tunnisteen hallintaan.
- DVV:n Suomi.fi-palvelusta ei tällä hetkellä saa oppijanumeroa. Tarve olisi yleiselle (vahvalle) tunnistamisratkaisulle, joka palauttaisi oppijanumeron. Tämä olisi ajatuksena linjassa myös ns. digilompakon idean kanssa ja käytännössä osaltaan mahdollistaisi myös voimassa olevan opiskelijastatuksen todentamisen asiointitilanteissa..
|