Kohti digitaalisia identiteettilompakoita: maltilla ja käytännön kokeilujen kautta
Sähköisiltä tunnistautumisratkaisuilta odotetaan nykyään siirtymistä jäykistä digitaalisista identiteeteistä kohti ratkaisuja, joissa käyttäjä voi valita, mitä identiteettiinsä liittyviä yksittäisiä attribuutteja hän jakaa kenenkin kanssa. Miten tämä toimii, mitä tämä tarkoittaa ja mitä tekemistä CSC:llä on tämän kaiken kanssa? Näihin kysymyksiin pyrimme tällä kirjoituksella tarjoamaan vastauksia.
Itsehallittavan identiteetin (Self-Sovereign Identity, SSI) ajatuksena on tarjota yksilöille digitaaliset identiteettilompakot, joihin sisältyy heidän identiteettiinsä liittyviä lukuisia eri attribuutteja, kuten syntymäaika, sukupuoli, tutkinnot, luvat jne. Tämä on tarkoitus toteuttaa niin, että viranomaiset kirjoittavat lompakkoon attribuutit (esimerkiksi väestörekisteri syntymäajan, korkeakoulut tutkintotiedot jne.). Tämä mahdollistaa kohdennetun henkilötietojen jakamisen sen mukaan, mitä tietoja milloinkin tarvitaan. Näin lisätään käyttäjien hallintaa oman datansa osalta, OmaData– ja datasuvereniteettiperiaatteiden mukaisesti.
Kaikki tämä on tietysti oikein hienoa, mutta on tärkeää ymmärtää, että SSI:n voittokulku ei ole väistämätön tai itsestään selvä, vaikka Euroopan komissiokin on sitä hiljattain pyrkinyt vauhdittamaan (ks. alla). SSI:n käyttöönotto vaatii huomattavia lainsäädännöllisiä ja teknisiä muutoksia, jotka puolestaan edellyttävät paljon resursseja, muutosjohtajuutta ja aikaa. Lisäksi käyttäjäkeskeiseen malliin sisältyy sisäänkirjoitettu riski: kun ihmiset hallitsevat täysin omaa dataansa, he saattavat päätyä tekemään huonoja valintoja ja jakamaan dataansa liiankin vapaasti. Tarvitaan jonkinlainen ratkaisu, joilla tuetaan SSI-lompakoiden käyttäjiä, jotta he voivat tehdä fiksuja päätöksiä siitä, mitä dataa jakavat kenenkin kanssa.
Poliittista vetoapua: uusi EUid-järjestelmä
Erityisesti tutkimuksen ja koulutuksen näkökulmasta on tärkeää kehittää sellaisia digitaalisia tunnistautumisratkaisuja, jotka mahdollistavat rajat ylittävän tunnistautumisen, sillä opiskelijat ja tutkijat toimivat ja tarvitsevat pääsyä palveluihin usein myös muissa maissa kuin siinä, jossa fyysisesti oleskelevat. Niinpä olemmekin tyytyväisiä komission pyrkimykseen luoda yhteinen eurooppalainen digitaalinen tunnistautumisratkaisu. Toteutuessaan tämä olisi huomattava parannus nykyiseen, vuonna 2014 perustettuun eIDAS-järjestelmään.
eIDAS teki muiden EU-maiden sähköisten tunnistautumisjärjestelmien tunnustamisesta pakollista, mutta ei edellyttänyt jäsenmailta sitä, että ne ilmoittaisivat tunnistautumisjärjestelmänsä toistensa tunnustettaviksi. Tämän seurauksena vain 15 yhteensä 27 jäsenmaasta on ilmoittanut oman järjestelmänsä, mikä antaa vain 58 %:lle EU:n väestöstä mahdollisuuden eIDASin mukaiseen rajat ylittävään tunnistautumiseen. Lisäksi käyttöönotto on pääasiassa keskittynyt julkisiin palveluihin, sillä tällä hetkellä jäsenmailla ei ole velvoitetta tarjota sähköisiä identiteettejä yksityisille verkkopalveluiden tarjoajille, joten vain harvat ovat näin tehneet.
Euroopan komissio on nyt ehdottanut tilanteen parantamista kehittämällä eIDAS-järjestelmää kohti SSI-pohjaista eurooppalaisen digitaalisen identiteetin järjestelmää (EUid), jossa kaikkien jäsenmaiden tulisi ilmoittaa vähintään yksi tunnistautumisjärjestelmä sekä tarjota kansalaisilleen, asukkailleen, yrityksilleen ja muille organisaatioille eurooppalaisia identiteettilompakoita. Tarkoituksena on mahdollistaa sekä yksilöiden että organisaatioiden luotettava digitaalinen tunnistautuminen.
Vaikka edellä mainitut SSI:n mahdolliset sudenkuopat koskevat myös komission ehdotusta, toivotamme tervetulleiksi sen tavoitteet ja haluamme olla tukemassa EUid-järjestelmän menestyksekästä kehittämistä. Olemme valmiita tarjoamaan EUid-välineistön valmisteluun sen asiantuntemuksen, jota olemme kerryttäneet osallistuessamme esimerkiksi ELIXIRin ja Gaia-X:n identiteetin- ja pääsynhallintaratkaisujen kehittämiseen. Näkemyksiimme voi tutustua tarkemmin lukemalla komission ehdotusta koskevan lausuntomme ja/tai olemalla yhteydessä tämän blogitekstin kirjoittajiin.
Käytännön toteutus: SSI:n käyttö tutkimusdatan pääsynhallinnassa
EUid-ehdotuksesta inspiroituneina olemme alkaneet CSC:llä miettiä, miten SSI-pohjaisia lompakoita voisi hyödyntää tutkimuksessa. Jos tutkijoilla olisi joka tapauksessa lompakot, he voisivat käyttää niitä myös työssään.
Esimerkiksi korkealaatuisen genomitutkimuksen turvaamiseksi on ratkaisevan tärkeää, että genominäytteitä voidaan jakaa maailmanlaajuisesti. Ihmisillä, joilla on eri alkuperä, on erilaiset geenit; jotkin geenimuunnokset ovat yleisiä tietyillä maantieteellisillä alueilla. Uuden lääkkeen tai hoidon kehittämiseksi tutkijat tarvitsevat näytteitä useilta alueilta, joilla paikalliset tutkijaryhmät tai yliopistot tyypillisesti keräävät niitä. Harvinaisten sairauksien tutkimuksessa näytteiden jakaminen on erityisen arvokasta, sillä samasta sairaudesta kärsiviä potilaita saattaa olla koko maailmassa vain muutamia.
Genominäytteiden jakaminen toisiokäyttöä varten on näytteet alun perin koonneen tutkimushankkeen hallinnassa. Saadakseen pääsyn näytteisiin tutkijan on esitettävä pyyntö näytteiden alkuperäiselle kokoajalle, joka myöntää pääsyn tietoaineistoon. Tämän jälkeen tutkija voi käyttää pääsyoikeuttaan missä tahansa turvallisessa laskentapilvessä tai supertietokoneessa, missä on kopio kyseisestä tietoaineistosta. Haasteeksi muodostuu se, kuinka sujuvasti tutkija pystyy kokoamaan pääsyoikeudet eri tahoilta ja käyttämään niitä laskentaympäristössä. Nykyinen lähestymistapa pohjautuu federoidun identiteetinhallinnan protokolliin.
Syksyllä 2021 CSC teki CINECA-hankkeessa kokeilun siitä, miten tutkija voi käyttää SSI:tä kerätäkseen pääsyoikeuksia tietojen omistajilta lompakkoonsa ja käyttääkseen sitten lompakkoaan kirjautuakseen CSC:n arkaluonteisen datan palveluihin näytteiden analysointia varten. Kokeilu pohjautuu ELIXIR AAI:hin ja REMS-nimiseen pääsyoikeuksien hallintatyökaluun ja toteutettiin käyttäen Evernymin lompakkoa ja palvelunkehittämispakettia. Voit katsoa ratkaisua esittelevän screencast-videon ja myös kokeilla sitä itse sekä tutustua CINECA-hankkeen julkaisemaan raporttiin.
Satu Tuomikorpi
Kirjoittaja työskentelee EU-politiikan erityisasiantuntijana CSC:llä
Mikael Linden
Kirjoittaja työskentelee vanhempana sovelluskehittäjänä CSC:llä