Matka, joka muutti enemmän kuin tuotteen: MyEID:n tie EAL4+- ja eIDAS-sertifiointiin

image-1101

Kun fyysiset sertifikaatit olivat vihdoin käsissä, hetki tuntui lähes epätodelliselta. Vuosien työ kiteytyi kahteen dokumenttiin. EAL4+ ja eIDAS eivät ole pelkkiä kirjainyhdistelmiä, vaan konkreettinen osoitus korkeasta turvallisuustasosta. Saavutus oli merkittävä – niin Aventralle itselleen kuin sen asiakkaille, ja laajemmin myös Suomelle ja koko Euroopalle. 

Tämä kirjoitus perustuu keskusteluihin Aventran perustajan ja toimitusjohtajan Jan Sjöblomin sekä tietoturvan ja ohjelmistokehityksen erityisasiantuntijan Hannu Honkasen kanssa, joilla oli keskeinen rooli sertifiointiprosessissa.  

Mistä kaikki sai alkunsa? 

Kaikki sai alkunsa unelmasta, joka muotoutui jo vuosia ennen ensimmäisiä projektisuunnitelmia. Aventran perustajat näkivät alusta asti selvästi, mitä markkinoilta puuttui: turvallinen, kotimainen ratkaisu pääsyn- ja identiteetinhallintaan. He myös ymmärsivät jo varhain, että tulevaisuudessa sertifioinnit eivät ole kilpailuetu, vaan välttämättömyys. Aventran tavoitteena oli haastaa suuret toimijat ja uudistaa koko kilpailukenttää. 

Vaikka sertifiointi oli ollut puheissa pitkään, päätös MyEID PKI -kortin sirun sertifioinnista tehtiin vasta korona-aikana. Tilanne oli epävarma, ja huoli toiminnan jatkuvuudesta todellinen. Business Finlandin rahoitus kuitenkin mahdollisti hankkeen käynnistämisen. Sen turvin MyEID:tä voitiin kehittää pidemmälle kuin aiemmin oli uskallettu. 

Sertifiointiprosessi pakotti ajattelemaan kaiken uudelleen 

Alkuvaiheessa sertifiointiprojektin arvioitiin kestävän noin vuoden. Hyvin nopeasti kävi selväksi, että arvio oli aivan liian optimistinen. Jokainen vaihe avasi oven seuraavaan, aiempaa tarkempaan tarkasteluun. Kun yksi vaatimus saatiin täytettyä, vastaan tuli uusia kysymyksiä, dokumentointitarpeita ja yksityiskohtia, joita ei ollut osattu edes ennakoida. 

Yllättävintä ei ollut yksittäisten teknisten vaatimusten vaikeus, vaan evaluoinnin perusteellisuus. Sertifioinnissa ei tarkasteltu vain itse sirua tai ohjelmistoa, vaan käytännössä koko toimintaympäristöä: miten kehitystä tehdään, missä sitä tehdään, kuka siihen osallistuu ja miten turvallisuus näkyy jokapäiväisessä toiminnassa. 

Projektin aikana kävi nopeasti selväksi, että kyse ei ollut “vain sertifikaatista”, vaan kokonaan uudesta tavasta rakentaa tuotteita ja organisoida tekemistä.  

Oppimiskäyrä oli jyrkkä. Common Criteria -maailman termistö, prosessit ja vaatimukset avautuivat vähitellen, usein kantapään kautta. Dokumentaatiota kertyi valtavia määriä, ja monta kertaa lähes valmiilta näyttänyt kokonaisuus palasi takaisin työpöydälle tarkennusten tai uusien havaintojen vuoksi. 

Välillä eteneminen tuntui hitaalta, mutta samalla ymmärrys syveni jatkuvasti. Sertifiointi pakotti katsomaan tuotetta tavalla, johon harva organisaatio joutuu: jokainen yksityiskohta piti pystyä perustelemaan, todentamaan ja dokumentoimaan. 

En tiedä olisimmeko aloittaneet, jos olisimme tienneet minkälainen työ ja taistelu kokonaisuus olisi.”, Jan naurahtaa. ”Mutta samalla olen tosi iloinen ja ylpeä meistä kaikista, ja kokonaisuus on ollut hienoa ja hyödyllinen myös kaikkeen muuhun mitä tehdään. Oikeasti oppii, kun on hyvää ja haastavaa tekemistä”, hän jatkaa. 

Aventran perustaja ja toimitusjohtaja Jan Sjöblom.

Koko organisaation täytyi muuttua ja kasvaa 

Matkan varrella oli useita käännekohtia. Yksi tärkeimmistä oli tilojen ja toiminnan laaja auditointi, joka pakotti tarkastelemaan Aventran tekemistä uudesta näkökulmasta. Koko organisaatio otettiin mukaan, ja turvallisuuteen liittyvät käytännöt käytiin perusteellisesti läpi. Tässä vaiheessa kirkastui, ettei kyse ole pelkästä teknologiasta, vaan laajemmasta toimintakulttuurin muutoksesta. 

Samalla syventyminen Common Criteria -vaatimuksiin toi tekemiseen varmuutta. Tiimi alkoi löytää yhteisen sävelen, ja vaikka kehitystyötä riitti edelleen, eteneminen oli aiempaa nopeampaa. Sertifikaatti ei tuntunut enää kaukaiselta haaveelta. 

Tietoturvan ja ohjelmistokehityksen erityisasiantuntija Hannu Honkanen.

Kun kova työ viimein palkittiin 

Kun sertifikaatti lopulta saavutettiin, tunne oli ristiriitainen. Helpotus sekoittui epäuskoon. Vuosien työ konkretisoitui yhteen paperinpalaan. EAL4+ ja eIDAS tarkoittavat käytännössä sitä, että MyEID PKI -sirukortti täyttää erittäin korkeat turvallisuus- ja luotettavuusvaatimukset. Tiimi reagoi ylpeydellä, asiakkaat kiinnostuksella ja perustajat ehkä hieman hiljaisemmin, ymmärtäen mitä kaikkea matkan varrella oli tehty. Julkinen huomio yllätti eniten. Useampi media tarttui aiheeseen ja se tuntui erityisen merkitykselliseltä pienelle organisaatiolle.  

Vaikutukset asiakkaisiin, Suomeen ja Eurooppaan 

Saavutuksella on myös laajempi merkitys. Asiakkaille se tarkoittaa luotettavaa ja turvallista ratkaisua aikana, jolloin tietoturvan merkitys korostuu jatkuvasti. Markkinalle se tuo lisää kilpailua ja vaihtoehtoja. Suomelle ja Euroopalle se on askel kohti suurempaa omavaraisuutta teknologian ja tietoturvan saralla. Kun geopoliittinen tilanne on epävarma, luotettavien ja paikallisten ratkaisujen arvo kasvaa. 

Mitä seuraavaksi? 

Katse on kuitenkin jo tulevassa. Ala kehittyy nopeasti ja uusia vaatimuksia syntyy jatkuvasti. Tiedetään, että kvanttitietokoneet tulevat muuttamaan pelisääntöjä. Nykyiset salausalgoritmit eivät ole ikuisia, ja lähivuosina turvallisuusvaatimukset tulevat kiristymään merkittävästi. Koko tietoturvallisuusala on siirtymässä ratkaisuihin, jotka kestävät kvanttilaskennan uhat. Aventra haluaa olla kehityksen eturintamassa mukana. Aventran asiantuntijat osallistuvat aktiivisesti erilaisiin työryhmiin, joissa jaetaan tietoa ja rakennetaan tulevaisuuden standardeja.  

Me lupaamme itsellemme, että pidämme kiinni ”Simply Secure” -tavastamme toimia, ja luomme turvallisia sekä hyviä ratkaisuja myös jatkossa.