Kuinka tunnistan toisen osapuolen verkossa?
Fyysisessä maailmassa meille on selvää, kuka lukemamme tiedon tarjoaa tai kenen kanssa viestimme tai asioimme. Jos päätät jakaa jollekin taholle henkilökohtaisia tietojasi tai esimerkiksi luovuttaa luottokorttisi numeron, tiedät, kenelle tietojasi annat. Kun tunnet vastapuolen, sinun on helpompi luottaa siihen, ettei tämä käytä tietoja väärin.
Verkossa asioidessamme käytössämme on vähemmän keinoja luottamuksen varmistamiseen. Jokin viesti saattaa näyttää tulevan tutusta osoitteesta, mutta lähettäjän osoite voi olla väärennetty. Sähköpostissa tieto lähettäjästä on helppo väärentää, joten sekään ei tarjoa hyvää tapaa varmistua oikeasta lähettäjästä.
Myös verkkosivujen osoitteiden kanssa pitää olla tarkkana ettei joudu huijatuksi. Esimerkiksi yle.fi.example tai уle.fi eivät ole Ylen verkko-osoite. Ensimmäisessä esimerkissä verkkotunnus jatkuu .fi-tunnuksen jälkeen. Jälkimmäisessä esimerkissä osoitteen ensimmäinen kirjain ei ole länsimaisen aakkoston y vaan kyrillinen u.
Ratkaisuja
- Ongelmaa on yritetty ratkaista esimerkiksi selainvarmenteiden avulla, myöntämällä ns. laajennetun vahvistuksen varmenteita, jotka näyttäisivät asiointipalvelun nettiselaimessa hiukan eri tavalla. Tästä käytännöstä on jo luovuttu.
- Trust over IP -säätiö (ToIP) kehittää uusia ratkaisuja luottamuksen parantamiseen Internetissä. Findynet on Trust over IP -säätiön jäsen ja osallistuu kehitystyöhön.
- Monien lompakkosovellusten tukema DIDComm-protokolla mahdollistaa pysyvät, suojatut, kahdensuuntaiset yhteydet kahden toimijan välille.
Kuinka voin todistaa antamani tiedot oikeiksi?
Monissa asiointitilanteissa tarvitsemme yhdeltä taholta itseämme koskevaa tietoa ja todisteita, joita meidän täytyy välittää toiselle taholle. Todisteet saattavat olla esimerkiksi paperitulosteita, joita välitetään postissa tai esitetään asiointipisteessä. Ne voivat olla myös PDF-tiedostoja, joita tulostetaan paperille tai välitetään sähköpostilla, erilaisilla ”turvaposti”-ratkaisuilla tai ladataan selainkäyttöisiin asiointipalveluihin.
Tällaisten todisteiden vastaanottavan tahon on hankala hyödyntää niissä olevaa tietoa. Paperilta tai PDF-tiedostosta tietojen lukemisen automatisointi on hankalaa ja epävarmaa. Vastaanottavalla taholla ei myöskään ole keinoa varmistua tiedon muuttumattomuudesta.
Ratkaisuja
- Sähköisesti allekirjoitetut asiakirjat tai dokumentin sähköinen leimaaminen ratkaisevat osittain luottamukseen liittyvää ongelmaa, mutta eivät helpota käytettävyyttä ja mahdollista tietojen käytön automatisointia.
- Digitaaliset todisteet ja lompakkosovellukset mahdollistavat tietojen välittämisen niin, että ne ovat automaattisesti käsiteltävissä ja niiden alkuperä ja muuttumattomuus voidaan varmistaa.
Mistä tiedän, miten luovuttamiani tietoja käytetään?
Kun luovutamme itseämme koskevia tietoja – paperilla, sähköpostilla, syöttämällä niitä verkkopalveluihin tai sallimalla suoran pääsyn jonkin tietojärjestelmän rajapintaan – päätämme luottaa tietojen vastaanottajaan.
Usein meillä ei ole mahdollisuutta seurata, miten meitä koskevia tietoja oikeasti käytetään ja jaetaan toimijoiden kesken.
Joskus hyväksymme palvelujen tarjoajien itse kirjoittamat käyttöehdot, jotka antavat palvelun tarjoajalle laajat käyttöoikeudet meitä koskeviin tietoihin.
Ratkaisuja
- Lompakkosovelluksella hallitset itse omia tietojasi ja luovutat niitä vain niille toimijoille, joihin luotat.
- Findynet edistää luottamusekosysteemejä, joiden piirissä reilut ja yhteisesti sovitut pelisäännöt kuvataan sääntökirjassa. Tietoja käyttävät organisaatiot sitoutuvat noudattamaan sääntökirjan sääntöjä.
Miten erotan aidon sisällön väärennetystä?
Viime aikoina koneoppimiseen perustuvat teknologiat ovat mahdollistaneet hyvin aidon näköisten teksti-, ääni- ja jopa videosisältöjen väärentämisen. Uusimmilla välineillä näiden väärennysten tekeminen on helppoa ja edullista.
Väärennösten erottaminen aidosta sisällöstä ei enää onnistu paljaalla silmällä.
Ratkaisuja
- Esimerkiksi Content Authenticity Initiative ja Content Credentials pyrkivät mahdollistamaan tiedon alkuperän varmistamisen digitaalisten allekirjoitusten avulla (C2PA-standardi).