Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Palveluväylä ja tietoturva -selvitys

2,413 views

Published on

Palveluväylä ja tietoturva -selvitys. Juhana Francke 7.6.2013, Deloitte Oy.

 • Be the first to comment

Palveluväylä ja tietoturva -selvitys

 1. 1. Palveluväylä ja tietoturvaJuhana Francke 7.6.2013
 2. 2. © 2013 Deloitte & Touche Oy, Group of CompaniesKansallinen palveluväyläKuvaus ja tavoitteetPalveluväylän kuvaus• Palveluväylä on tiedonvälityskonsepti, jossa eri toimintaympäristöjen palveluiden tarvitsema tieto onsaatavilla avoimien rajapintojen yli kaikille tietoa tarvitseville palveluille.• Kukin palveluväylään liitetty järjestelmä hallitsee omia tietojaan sekä vastaa siitä, että muidentarvitsemat tiedot ovat saatavissa välitysalustan kautta ottaen huomioon tietojen käyttöön liittyvätmahdolliset rajoitukset.• Palveluväylä ei ole yksittäinen tuote tai tekninen ratkaisu.• Palveluväylä on yhteentoimivuuteen liittyvän problematiikan kattava konsepti, jonka ympärilleyhteentoimivuutta lisäävä kehittämistoiminta voidaan organisoida.• Kansallisen palveluväylän tarkoituksena on mahdollistaa nykyistä paremmin asiakaspalveluiden japalveluprosessien kehittäminen palveluissa tarvittavan tiedonvaihdon ja yleispalvelutmahdollistavan ratkaisukokonaisuuden avulla.Palveluväylän tavoitteet• Tiedonvälityksen edellytyksien luominen• Tietojen yhteiskäytön lisääminen / yhtenäiseen kokonaisarkkitehtuuriin perustuvat tietoalustat• Tiedonvälityksen (tiedonvaihdon) kehittäminen• Joustava infrastruktuuri• Innovaatiohalukkuuden lisääminen2(JulkICT:n materiaaliin perustuen)
 3. 3. © 2013 Deloitte & Touche Oy, Group of CompaniesKansalliseen palveluväylään liittyvät pääasialliset osapuoletLisäarvo syntyy palveluista• Loppukäyttäjä, joka voi olla yksityinen kansalainen,yrityksen edustaja, virkamies jne, joka käyttääpalveluväylään liitettyä sovellusta. Loppukäyttäjä voiolla myös tietojärjestelmä, mikä on normaalitoimintatapa automatisoiduissa prosesseissa.• Käyttöliittymäsovellus, joka on käyttäjän näkymäpalveluun. Mikäli kyseisen sovelluksen käyttöedellyttää käyttäjän tunnistuksen, sovellus tekee senpalveluväylään liitetyn tunnistuspalvelun avulla.Tunnistuspalvelu (joita voi olla useampia) kykeneväterilaisiin tunnistustapoihin.• Tietovarantosovellus, joka tarjoaa palveluväylääntietoja. Tyypillisinä esimerkkeinä ovat Yritys- jayhteisötietojärjestelmä (YTJ) jaVäestötietojärjestelmä (VTJ ).• Lisäarvopalvelu, joka voi esim. yhdistää useammanrekisterin tietoja ja tarjota yhdisteltyjä tietoja muillesovelluksille.• Yleispalvelut, jotka eivät ole suoranaisestipalveluväylän sisäisiä palveluita, mutta joita ilmanpalveluväylän hyödyntäminen olisi hankalaa.• Palveluväylä, joka tarjoaa rajapintamääritystenlisäksi palveluhakemiston, tietoturvaan liittyvätpalvelut (mm. liittymisen edellytykset),tapahtumalokipalvelut jne. joita ei voida antaaulkopuolisen tahon hoidettavaksi yleispalveluina.3Kansallisen palveluväylän yleiskuva(JulkICT:n materiaaliin perustuen)
 4. 4. © 2013 Deloitte & Touche Oy, Group of CompaniesPalveluiden käyttöönottoRajapinta ja tietosisältö• Palveluväylä määrittää palveluiden rajapinnat:• Palveluväylässä määritetään miten palvelukutsun välittämiseen liittyvät metatiedot tuleemuotoilla, ja mitä tietoja kutsussa tulee olla, jotta se saadaan välitettyä perille: ”Kirjekuori”.• Palveluväylä ei kuitenkaan ota kantaa siihen, millainen palveluiden välittämä tietosisältö on:”Kirjeen sisältö”.• Olemassa olevia, aiemmin toteutettuja palveluita voidaan julkaista eri palveluväyläratkaisuihin.• Palvelut pitää kuitenkin kuorruttaa, jotta ne noudattavat palveluväylän määrittämääviestinvälitystandardia.• Kansallisessa palveluväylässä toteutettavat palvelut tulee siis toteuttaa palveluväylänedellyttämällä tavalla.4
 5. 5. © 2013 Deloitte & Touche Oy, Group of Companies• Tietoturvalla tarkoitetaan tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista hallinnollisinja teknisin keinoin. Tietoturva muodostuu kolmesta osa-alueesta: Luottamuksellisuus = Tietoa voivat käsitellä ainoastaan sellaiset henkilöt, tahot ja prosessit, joilla on siihenoikeus. Eheys = Käsiteltävät tiedot ovat luotettavia, oikeellisia ja ajantasaisia ja näiden oikeellisuus ja täydellisyysturvataan. Saatavuus = Tieto on saatavilla silloin, kun sitä tarvitaan.• Sellaisen järjestelmän tai toimintaympäristön rakentaminen, jossa edellä mainittuihin vaatimuksiinliittyvät kohdat voidaan kaikissa tilanteissa taata, ei ole mahdollista tai edes järkevää yrittää rakentaa.• Tavoitteeksi tulee asettaa toiminnan ja käsiteltävän tiedon kannalta riittävän tietoturvatasonsaavuttaminen.Tietoturva lyhyestiTiedon luottamuksellisuus, eheys ja saatavuus5Tieto-turvaSaatavuus
 6. 6. © 2013 Deloitte & Touche Oy, Group of CompaniesTietoturva lyhyestiTietoturvaan liittyvät uhat• Tietoturvaan voi kohdistua monenlaisia uhkia. Tällaisia ovat esimerkiksi: Fyysiset vahingot esimerkiksi tietokannan kiintolevyn hajoaminen, Loppukäyttäjien tekemät virheet tai tahalliset vahingonteot, Loppukäyttäjiin kohdistuvat huijausyritykset, Virukset ja haittaohjelmat, Tietomurrot ja hakkerointi, Palvelunestohyökkäykset.• Yhteistä näillä tietoturvauhkilla on, että ne vaikuttavat kaikki jollakin tavalla tiedonluottamuksellisuuteen, eheyteen tai saatavuuteen.• Tietoturvan eri osa-alueisiin kohdistuvilta tietoturvauhilta voidaan suojautua monella eri tavalla. Yhtävalmista ratkaisua ei ole tarjolla, vaan suojaus tulee rakentaa kerroksittain siten, että nämä yhdessäturvaavat suojattavan tiedon.6
 7. 7. © 2013 Deloitte & Touche Oy, Group of CompaniesTietoturva lyhyestiTiedon turvaaminen teknisin keinoin• Julkisen verkon yli tapahtuvassa tiedonvälityksessä tulee huomio kiinnittää erityisesti tiedon eheydenja luottamuksellisuuden varmistamiseen. Näiden varmistamiseksi keskeisessä asemassa ovaterilaiset salaustekniikat, joihin perustuvat esimerkiksi erilaisten pankkipalveluiden toteutukset.• Salaus tarkoittaa viestin salaamista siten, että sen haltuunsa saava ulkopuolinen ei kykene sitäavaamaan.• Julkisen verkon yli tapahtuvassa tiedon salaamisessa voidaan käyttää erilaisia salausalgoritmeja jamenetelmiä, joiden vahvuuksissa ja suojaustasoissa on eroja.• Osaa nykyisistä salaustekniikoista voidaan pitää murtumattomina. Esimerkiksi yleisimminhyödynnetty SSL suojausmenetelmä perustuu sellaisiin salausalgoritmeihin, jotka oikein käytettynätarjoavat käytännössä murtumattoman suojauksen. Esimerkiksi yhdistämällä maapallon kaikkientietokoneiden laskentateho 128 bittisen AES-salauksen murtamiseen, kuluisi tähän aikaa yli 500 000kertaa pidempään kuin mitä universumi on ollut olemassa.7
 8. 8. © 2013 Deloitte & Touche Oy, Group of CompaniesPalvelutaso internetissäPalvelutaso määrittää tietoliikenneyhteyden saatavuuden• Palvelutaso kuvaa tiedonvälityskanavan saatavuutta, eli sitä kuinka suuren osan ajastatiedonvälityskanava on loppukäyttäjien käytettävissä.• Palvelutaso määritetään tietoliikenneoperaattorin ja asiakkaan välisessä palvelutasosopimuksessa(SLA).• Palvelutaso määritetään sekä yhteyden saatavuudelle että operaattorin reaktio- ja korjausajoilleongelmatilanteissa.• Palvelutasoon voi vaikuttaa teknisillä ratkaisuilla sekä organisatorisesti:• Yhteyksien kahdentaminen,• Palvelunestohyökkäyksien torjuminen,• Operaattorin päivystyskäytännöt,• Suunnitellut huoltokatkot.• Maantieteellinen sijainti voi vaikuttaa palvelutasoon.8
 9. 9. © 2013 Deloitte & Touche Oy, Group of CompaniesX-RoadTurvallista ja joustavaa tiedonvälitystä• X-Road on Virossa käytössä oleva standardoitu palveluväyläratkaisu, joka mahdollistaa julkisen jayksityisen sektorin hallinnoimien ja eri puolille hajautettujen tietokantojen yhdistämisen yhdeksiselkeäksi palvelukokonaisuudeksi.• Tällä hetkellä palveluun on Virossa liittynyt yli 1000 organisaatiota, julkista rekisteriä ja tietokantaa.Käyttömääriltään suurimmat palvelut ovat sähköinen reseptijärjestelmä, ajoneuvoliikennerekisteri,vero- ja tulliviraston palvelut ja rajavalvonnan ylläpitämä Schengen -tietojärjestelmä.• Palvelu perustuu tekniikasta ja alustasta riippumattomaan tiedonvälitykseen (SOAP –protokolla), jokamahdollistaa erilaisten tietokantojen ja tietojärjestelmien joustavan ja kustannustehokkaan liittämisenpalveluun. Valitun ratkaisun ansiosta organisaatioiden ei tarvitse sitoutua yhteen tiettyyn tietokanta-tai järjestelmätoimittajaan.• Luotettavan tiedonsiirron takaamiseksi kaikki palveluväylää pitkin kulkeva liikenne salataan jaallekirjoitetaan digitaalisesti. Jokaisesta tapahtuneesta tiedonvälityksestä tehdään myös lokitietoihinkirjaukset, jotka mahdollistavat tiedonvälitystapahtumien todentamisen jälkikäteen.• Organisaatiot vastaavat itse palveluväylään liitettyjen palveluiden käyttöoikeuksien hallinnoinnista.• Tiedonsiirtoa varten ei tarvitse rakentaa omaa erillistä verkkoa, koska tiedonvälitys tapahtuu julkiseninternetin yli. Julkisen verkon lisäksi tiedonsiirto voidaan toteuttaa hyödyntäen muita verkkoratkaisujakuten Tuve-verkkoa.• X-Road:ia vastaan on tehty yksi palvelunestohyökkäys, jossa väärinkäytettiin keskitetyn palvelunnimipalvelutoiminnallisuutta. Lisäksi yhteen julkiseen palveluun on tehty SQL-injektointihyökkäys.Palvelussa ei ollut syötearvojen tarkastusta toteutettu kattavasti.9
 10. 10. © 2013 Deloitte & Touche Oy, Group of CompaniesX-RoadArkkitehtuuri• Palveluväylän infrastruktuuri koostuu turvallisuus-, hallinta-, sertifikaatti- ja monitorointipalvelimista.• Turvallisuuspalvelimen tärkein tehtävä on varmistaa turvallinen tiedonvälitys organisaationtietojärjestelmän ja sovitinpalvelimen välillä. Lisäksi turvallisuuspalvelin vastaa lokitietojenkeräämisestä.• Keskitetyn hallintapalvelimen tehtävänä on ylläpitää tietoa väylään liitetyistä turvallisuuspalvelimista.Tiedonvälitys on sallittu ainoastaan tunnistettujen turvallisuuspalvelimien välillä.• Palveluväylään liitettyjen turvallisuuspalvelimien tilaa sekä väylän käyttöä on mahdollista seuratamonitorointipalvelimien kautta.10KäyttäjäOrganisaationturvallisuuspalvelinTietokannanturvallisuuspalvelinTietokantaOrganisaationtietojärjestelmäKeskitettyhallintaKeskitettymonitorointiPaikallinenmonitorointiSertifikaattipalvelin HardwareSecurity module (HSM)SovitinpalvelinINTERNET
 11. 11. © 2013 Deloitte & Touche Oy, Group of CompaniesX-RoadYksinkertainen kuvaus tiedonsiirrosta1) Käyttäjä kirjautuu organisaation tietojärjestelmään normaaliin tapaan.2) Tietojärjestelmä ilmoittaa organisaation turvallisuuspalvelimelle, että sillä on tarvetta välittää kyselypalveluväylään liitettyyn tietokantaan.3) Organisaation turvallisuuspalvelin lähettää salatun pyynnön tietokantapalvelua tarjoavanpalveluntoimittajan turvallisuuspalvelimelle.4) Palveluntoimittajan turvallisuuspalvelin tarkistaa onko pyynnön tehneellä organisaatiolla lupahyödyntää palveluväylän palveluita.5) Jos organisaatiolla on lupa, salattu pyyntö puretaan ja välitetään tietokannan sovitinpalvelimelle.6) Sovitinpalvelin vastaanottaa tietokannan muodostaman vastauksen palveluväylän kautta tulleeseenkyselyyn. Vastaus välitetään samaa polkua pitkin kuin mitä alkuperäinen kysely.111. 2. 3.4.6.5.6.6. 6.KäyttäjäOrganisaationturvallisuuspalvelinTietokannanturvallisuuspalvelinTietokantaOrganisaationtietojärjestelmäKeskitettyhallintaKeskitettymonitorointiPaikallinenmonitorointiSertifikaattipalvelin HardwareSecurity module (HSM)SovitinpalvelinINTERNET
 12. 12. © 2013 Deloitte & Touche Oy, Group of CompaniesPalveluiden käyttöoikeudetVastuu palveluiden valtuutuksesta on palveluntarjoajalla• X-Road ei ota kantaa siihen, kuka saa käyttää siihen julkaistuja palveluita.• Palvelun käyttöoikeuksien myöntäminen on palveluntarjoajan ja käyttäjän vastuulla.• Käyttöoikeus voidaan määrittää joko palvelua käyttävässä päässä, palvelun tarjoavassa päässä taimolemmissa:• Palveluntarjoaja tunnistaa palvelua kutsuvan järjestelmän. Sallitut järjestelmät saavat käyttääpalvelua vapaasti.• Järjestelmän lisäksi palveluntarjoaja voi edellyttää palvelukutsussa loppukäyttäjän tunnistetietojenvälittämisen, jolloin palveluntarjoaja voi rakentaa omaan palveluun tai sen taustalla olevaanjärjestelmään valtuutuslogiikan loppukäyttäjän tietojen perusteella.• Lisäksi palvelun käyttäjä tunnistaa loppukäyttäjän, ja voi tehdä valtuutuksen myös kutsuvassapäässä.12
 13. 13. © 2013 Deloitte & Touche Oy, Group of CompaniesPalveluväylän tiedonsiirrolle asetetut tietoturvavaatimuksetVertailu SOTE –sektorin tietoturvavaatimusten ja X-Road ratkaisun välillä• Tiedonsiirron osalta palveluratkaisun tulee täyttää julkisen hallinnon toiminnalle asetetuttietoturvavaatimukset.• Erityisesti sosiaali- ja terveydenhuollon sektoriin kohdistuu lainsäädännön vaatimuksia, jotka tuleehuomioida palveluväylän tiedonsiirron tietoturvavaatimuksissa.• Deloitte kartoitti STM:n, THL:n ja Kelan edustajien kautta tiedonsiirtoon liittyviä tietoturvavaatimuksia.• Vaatimusten osalta voidaan yhteenvetona todeta, että palveluväylän tiedonsiirron tulee täyttää samatvaatimukset kuin mitkä on määritetty KanTa –palveluratkaisulle.13
 14. 14. © 2013 Deloitte & Touche Oy, Group of CompaniesPalveluväylän tiedonsiirrolle asetetut tietoturvavaatimuksetVertailu SOTE –sektorin tietoturvavaatimusten ja X-Road ratkaisun välillä14Palveluväylälle asetettu vaatimus X-road ratkaisuTieto tulee salata tiedonsiirron ajaksi TLS/(SSL)protokollalla, jossa käytetään kahdensuuntaistaautentikointia ja kansallisia VRK:n toimittamiavarmenteita.Vaatimus täyttyy: Tiedot salataan tiedonsiirron ajaksiSSL salausprotokollalla.Jos tietoa säilytetään potilastietojärjestelmän taiKanTan ulkopuolisissa välivarastoissa, niin se tuleesalata tai varmistaa auditointijärjestelyin siten, ettäulkopuoliset eivät pääse tietoon käsiksi.Vaatimus täyttyy: Palveluväylä perustuu hajautettuunratkaisuun, jossa potilastietoja ei säilytetä ulkopuolisissavälivarastoissa. Palveluväylä ei ota kantaa siihen, millätavalla tietokantakyselyn tehnyt organisaatio hyödyntäätai varastoi pyytämäänsä tietoa. Tietokantoja tarjoavatorganisaatiot määrittävät itse, mitä tietoja luovutetaankullekin kyselijälle.KanTa palvelun vasteaikavaatimus on 3 sekuntia / 90prosenttia tapauksista (10 s lopuille). KanTa-palvelunsaatavuusvaade on 99,8 %.Vaatimus pystytään täyttämään: Tiedonsiirrononnistumisen kannalta keskitettyjen hallinta- jamonitorointipalvelimien sekä sertifikaattipalvelimen/palvelimien saatavuus on keskeisessä asemassa.Vaste- ja saatavuusvaateet tulee sopiapalveluoperaattoreiden kanssa SLA sopimustenmuodossa. Saatavuutta voidaan parantaa esimerkiksikahdentamalla keskeiset palvelimet ja yhteydet.
 15. 15. © 2013 Deloitte & Touche Oy, Group of CompaniesPalveluväylän tiedonsiirrolle asetetut tietoturvavaatimuksetVertailu SOTE –sektorin tietoturvavaatimusten ja X-Road ratkaisun välillä15Palveluväylälle asetettu vaatimus X-road ratkaisuTeknisesti tiedon eheydestä varmistutaanallekirjoittamalla asiakirja ammattihenkilön taipotilastietojärjestelmän/organisaation varmenteella.Vaatimus täyttyy: Kaikki palveluväylää pitkin kulkevatieto salataan ja allekirjoitetaan varmenteilla. Tällävarmistetaan tiedon eheys ja muuttumattomuustiedonsiirron aikana. Palveluväylä ei estä käyttämästämuita menetelmiä tiedon eheyden varmistamiseksiesimerkiksi asiakirjan allekirjoittamista.KanTa-palvelut edellyttävät, että ammattihenkilö onkirjautunut kansallisella laatuvarmenteellapotilastietojärjestelmään.Vaatimus täyttyy: Palveluväylä ei ota kantaa siihen,millä tavalla henkilö kirjautuu järjestelmään, joka onliitetty palveluväylään. Kohdejärjestelmässä voidaankäyttää siihen tarkoituksen määritettyäkirjautumismenetelmää.Lokit synnyttävä sanomaliikenteestä ja erityisestipotilastietojen käytöstä ja luovutuksesta. Lokienmuuttumattomuus tulee varmistaa riittävällä tasollasäilytyksen ajan. Auditointi varmistaa tämän aspektintietojärjestelmien toiminnallisuudesta.Vaatimus täyttyy: Jokaisesta kyselystä muodostuulokimerkintä, josta käy ilmi kuka on tehnyt palvelukutsunja milloin. Lokien muuttumattomuus varmistetaanlaskemalla turvallisuuspalvelimen ja keskitetynhallintapalvelimen muodostamista lokeistatarkistussumma.
 16. 16. © 2013 Deloitte & Touche Oy, Group of CompaniesYhteenvetoX-Road arkkitehtuurin soveltuvuus Suomen palveluväyläratkaisuksi• X-Road palveluväyläarkkitehtuuri tarjoaa joustavan ja turvallisen tiedonvälitysratkaisun, jonkatietoturvaratkaisut mahdollistavat luotettavan tiedonsiirron julkisen internetin yli. Esimerkiksi SOTE –alueen asettamat tietoturvavaatimukset luotettavalle tiedonsiirrolle pystytään täyttämään.• X-Road ei ota kantaa siihen, mitä verkkoa tiedonsiirrossa käytetään. Julkisen verkon lisäksitiedonsiirto voidaan toteuttaa hyödyntäen muita verkkoratkaisuja kuten Tuve-verkkoa.• X-Road-ratkaisu ottaa kantaa käytettävään reititys- ja tietoturvakäytäntöihin. Palvelutaso riippuukäytettävästä tietoverkosta ja operaattorista.• Kansallisen palveluväylähankkeen yhteydessä tulee määrittää kriteerit, milloin muidenverkkoratkaisujen käyttäminen on perusteltua. Lisäksi tulee määrittää vaatimukset, jotkapoikkeavaan verkkoratkaisuun liittyvän organisaation tulee täyttää (esim. VAHTI –vaatimustenperustason täyttäminen).16
 17. 17. © 2013 Deloitte & Touche Oy, Group of Companies17
 18. 18. © 2013 Deloitte & Touche Oy, Group of CompaniesDeloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network ofmember firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed descriptionof the legal structure of Deloitte Touche Tohmatsu Limited and its member firms.18

×