You are here: TUTWiki>Tietoturva/Tutkielmat>Tutkielmat?>SahkoinenAsiointiVerkkokauppa (revision 2)

TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2012 / Luonnosvaihe

Tuomo Niemi

Sähköisen asioinnin ja verkkokaupan ero

Johdanto

Kirjoituksen tarkoitus on tutkia sähköistä asiointia sekä verkkokauppa toimintaa. Tarkoitus on ensin kuvailla mitä sähköinen asiointi ja verkkokauppa ovat ja kuinka yleisiä ne ovat. Esittelen myös miten sähköistä asiointia käytetään tällä hetkellä ja mahdollisesti tulevaisuudessa. Tekstissä esitellään myös näissä verkkoasioinneissa käytettäviä tietoturvaratkaisuja. Esittelen myös tunnettuja tietoturvaongelmia joita on tapahtunut sekä verkkokaupoissa että sähköisissä asioinneissa.

Sähköinen asiointi

Sähköisellä asioinnilla tarkoitetaan erilaisia viranomaisten tai muiden yhteiskunnallisten yhteisöjen tarjoamia palveluita kuten Kelan erilaiset tukihakemukset, veroilmoitukset tai yleiset pankkipalvelut kuten laskujen maksaminen ja sijoitusten hallinta. Suomessa on vuonna 2003 hyväksytty laki, joka vastaa sähköisen asioinnin ehdoista viranomaistoiminnassa sekä tietoturvallisuuden että asioinnin sujuvuuden osalta [1]. Lain avulla pyritään luomaan vaatimustaso, jota noudattamalla luodaan turvallinen ratkaisu sähköiseen asiointiin. Laissa on määritelty että sähköinen asiointi on, jossa informaatiota kuten lomaketta tai sähköpostia siirretään joko langattomasti tai kaapelia pitkin, kuitenkin puhelua ei lasketa sähköiseksi asioinniksi [1].

Tässä laissa ei käsitelty riittävästi sähköisen asioinnin tunnistautumisen menetelmiä ja vastuuta, niin vuonna 2009 hyväksyttiin laki jossa määritellään kuinka vahvasti ja luotettavasti sähköisissä asioinneissa henkilön tunnistautuminen pitää hoitaa. Laissa määritellään, että vahva tunnistautumis menetelmä vaatii vähintään kaksi seuraavista ratkaisuista, salasana minkä henkilö tietää, sirukortti tai vastaava mikä henkilöllä on hallussaan tai sormenjälki tai muu henkilön yksilöivä menetelmä.[2]

Tunnistus.fi on esimerkki tällaisesta sähköiseen asiointiin tunnistautumista tarjoavista palveluista. Tunnistus.fi tarjoaa sähköisen tunnistautumisen muun muassa Kelan ja verohallinnon tarjoamiin palveluihin. Tunnistus palveluun kirjaudutaan joko omalla henkilökohtaisella pankkitunnuksella tai sirullisella henkilökortilla. Pankkitunnuksilla kirjautuessa pankin tarjoamapalvelu varmentaa, että kyseessä on oikea henkilö.

Esimerkiksi Sampo Pankki käyttää kirjautumisessa tietoliikenneyhteyden turvaamiseksi SSL-protokollaa, sekä hyödyntää Java-teknologiaa ohjelmistotasolla. Tunnistautumisessa Sampo Pankki käyttää kolmea eri tunnusta, kahdeksannumeroista käyttäjätunnusta, neljänumeroista salasanaa sekä vaihtuvaa avain-/turvalukuparia, jossa itse turvaluku on kuusinumeroinen.[4]

Sirullisen henkilökortti sisältää sirun, mistä löytyy muun muassa henkilön etu- ja sukunimet sekä sähköinen asiointitunnus (SATU). Sähköinen asiointitunnus on henkilötunnukseen verrattava tapa varmistaa henkilöllisyys. SATU on tietojoukko, joka on muodostunut numeroista ja tarkastusmerkeistä.[5]

Verkkokauppa

Verkkokaupalla tarkoitan tässä kaupankäyntiä, jossa kaupankäynti toteutetaan sähköisesti mutta itse tuote tai palvelu tarjotaan asiakkaalle fyysisesti. Toisaalta verkkokauppa on alkanut siirtymään tapaan, missä myös tarjottava palvelu ja tuote myös annetaan asiakkaalle bitteinä. Verkkokauppa toimintaa toteutetaan sekä organisaatioiden välisessä myynnissä että organisaation ja asiakkaan välillä. Painotan tässä tekstissä enemmän organisaation ja asiakkaan väliseen verkkokauppa toimintaan, B2C? business-to-consumer.

B2C? verkkokauppa toiminnalle tärkeitä ensimmäisiä askeleita oli SSL salausprotokollan kehitteleminen vuonna 1994. Samana vuonna Pizza Hut alkoi vastaanottaa pizzatilauksia verkon yli. Seuraavina vuosina syntyi nykyäänkin suuria verkkokauppoja kuten Amazon ja eBay.[3]

Verkkokaupan yleisempiä tietoturva ratkaisuja ovat jo edellä mainittu SSL salausprotokolla tietoliikenneyhteyksien turvaamiseen. Verkkokauppa toiminnassa, kun käsitellään rahaa, on maksukorttien tietoturva myös erittäin tärkeää. Jotkut verkkokaupat helpottavat maksukorttien tietojen turvaamisen sillä, että eivät tallenna tietoja ollenkaan omiin tietokantoihin esimerkiksi Verkkokauppa.com. Toiset sivustot, esimerkiksi edellä mainittu Amazon tai Sonyn Playstation Network, tallentaa maksukorttien tiedot omiin tietokantoihin helpottaakseen asiakkaan toimintaa, jottei heidän tarvitsisi joka ostoskerralla syöttää niitä uudestaan. Tässä ratkaisussa on aina oma riskinsä, jos yhtiön tietokantoihin murtaudutaan, voivat asiakkaatkin kärsiä pahasti.

Vertailu

Luvussa vertaillaan aikaisemmin esiin tulleita menetelmiä ja ratkaisuja, sekä mietitään pitäisikö käytettyjä ratkaisuja hyödyntää myös toisessa tavassa.

Päätelmät / yhteenveto

Vastaukset ongelmaan tiivistetään tässä luvussa, jonka maksimipituus on sama kuin johdantoluvunkin. Tässä ei toisteta aiempia ilmaisuja eikä viitata aiempiin kohtiin. Toisaalta uusia näkökulmia ei tuoda esille, paitsi ehkä mainintoja siitä, miten työtä voisi jatkaa: syvemmälle tai laajemmalle. Lukija voi lukea vain johdannon ja päätelmät. Päätelmäluku on hyvä, jos lukija tällöin haluaakin lukea, mitä välissä on.

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r2 - 01 Nov 2012 - 23:18:07 - TuomoNiemi
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback