Digi- ja väestötietoviraston ylijohtaja Timo Salovaara kokee, että asiakkaan vahva tunnistautuminen on tehokkaampi tapa estää identiteettivarkauksia kuin henkilötunnusten muuttaminen.
– Aika monesta näkökulmasta voidaan todeta, että uuden henkilötunnuksen antaminen ei ole mitenkään aukoton tapa torjua identiteettivarkauksia, jos vanha on vuotanut, Salovaara sanoi torstaina STT:lle.
Henkilötunnusten vaihtaminen voi tuoda suojaa joissain tapauksissa, mutta ei kattavasti.
Psykoterapiakeskus Vastaamon tietomurron uhreille henkilötunnuksen vaihtamisesta voi olla apua esimerkiksi, jos myyvä osapuoli tarkistaa tiedot väestötietojärjestelmästä.
Tunnistautumisen käytäntöjä on Salovaaran mukaan syytä muuttaa.
– Vahvan tunnistuksen käytössä identiteettivarkaan on huomattavasti vaikeampi saada esimerkiksi pankkitunnistuksen tiedot.
Vanha tunnus ei katoa kokonaan
Vanhasta henkilötunnuksesta ei pääse kokonaan eroon, vaikka sen vaihtaisi uuteen.
Esimerkiksi Digi- ja väestötietoviraston rekistereissä myös vanha tunnus olisi tiedossa. Yritysten kanssa toimittaessa ihmisen olisi tarpeen kertoa uudesta henkilötunnuksestaan, joka korvaa vanhan.
– Kun asiakas ilmoittaa uudesta henkilötunnuksesta yritykselle, yrityksen täytyy merkitä tiedot pitääkseen asiakkaan ostohistorian ja muut tiedot koossa. Tällöin tietomurron myötä paljastuisivat sekä uusi että vanha henkilötunnus, Salovaara sanoo.
Vaikka Salovaara painottaa vahvan tunnistautumisen tärkeyttä, hän korostaa, ettei Digi- ja väestötietovirasto tai hän itse pyri kritisoimaan tai kiistämään ministeriön linjauksia.
– Se on puhtaasti poliittinen päätös, hän kommentoi ennen hallituksen tiedotustilaisuutta, joka koski Vastaamon tietomurtoa seuraavia toimia.
F-Securen Hyppönen: Käyttö tunnistautumisessa kriminalisoitava
Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen toivoo, että henkilötunnuksen käyttäminen tunnistautumiseen kiellettäisiin kokonaan.
– Nythän sitä edelleen vähän siellä ja täällä käytetään henkilötunnistamiseen, ei siis siihen, että erotetaan kaksi samannimistä ihmistä toisistaan, mikä on henkilötunnuksen alkuperäinen käyttötarkoitus.
Henkilötunnusta käytetään tunnistautumiseen tyypillisesti esimerkiksi varattaessa aikaa lääkärille.