Palveluväylä ja tietoturva -selvitys

Palveluväylä ja tietoturva

Juhana Francke 7.6.2013

http://docu/marketing/Marketing Images/General Images/Assorted keys.jpg

© 2013 Deloitte & Touche Oy, Group of Companies

Kansallinen palveluväylä

Kuvaus ja tavoitteet

Palveluväylän kuvaus

• Palveluväylä on tiedonvälityskonsepti, jossa eri toimintaympäristöjen palveluiden tarvitsema tieto on

saatavilla avoimien rajapintojen yli kaikille tietoa tarvitseville palveluille.

• Kukin palveluväylään liitetty järjestelmä hallitsee omia tietojaan sekä vastaa siitä, että muiden

tarvitsemat tiedot ovat saatavissa välitysalustan kautta ottaen huomioon tietojen käyttöön liittyvät

mahdolliset rajoitukset.

• Palveluväylä ei ole yksittäinen tuote tai tekninen ratkaisu.

• Palveluväylä on yhteentoimivuuteen liittyvän problematiikan kattava konsepti, jonka ympärille

yhteentoimivuutta lisäävä kehittämistoiminta voidaan organisoida.

• Kansallisen palveluväylän tarkoituksena on mahdollistaa nykyistä paremmin asiakaspalveluiden ja

palveluprosessien kehittäminen palveluissa tarvittavan tiedonvaihdon ja yleispalvelut

mahdollistavan ratkaisukokonaisuuden avulla.

Palveluväylän tavoitteet

• Tiedonvälityksen edellytyksien luominen

• Tietojen yhteiskäytön lisääminen / yhtenäiseen kokonaisarkkitehtuuriin perustuvat tietoalustat

• Tiedonvälityksen (tiedonvaihdon) kehittäminen

• Joustava infrastruktuuri

• Innovaatiohalukkuuden lisääminen

2

(JulkICT:n materiaaliin perustuen)


Kansalliseen palveluväylään liittyvät pääasialliset osapuolet

Lisäarvo syntyy palveluista

• Loppukäyttäjä, joka voi olla yksityinen kansalainen,

yrityksen edustaja, virkamies jne, joka käyttää

palveluväylään liitettyä sovellusta. Loppukäyttäjä voi

olla myös tietojärjestelmä, mikä on normaali

toimintatapa automatisoiduissa prosesseissa.

• Käyttöliittymäsovellus, joka on käyttäjän näkymä

palveluun. Mikäli kyseisen sovelluksen käyttö

edellyttää käyttäjän tunnistuksen, sovellus tekee sen

palveluväylään liitetyn tunnistuspalvelun avulla.

Tunnistuspalvelu (joita voi olla useampia) kykenevät

erilaisiin tunnistustapoihin.

• Tietovarantosovellus, joka tarjoaa palveluväylään

tietoja. Tyypillisinä esimerkkeinä ovat Yritys- ja

yhteisötietojärjestelmä (YTJ) ja

Väestötietojärjestelmä (VTJ ).

• Lisäarvopalvelu, joka voi esim. yhdistää useamman

rekisterin tietoja ja tarjota yhdisteltyjä tietoja muille

sovelluksille.

• Yleispalvelut, jotka eivät ole suoranaisesti

palveluväylän sisäisiä palveluita, mutta joita ilman

palveluväylän hyödyntäminen olisi hankalaa.

• Palveluväylä, joka tarjoaa rajapintamääritysten

lisäksi palveluhakemiston, tietoturvaan liittyvät

palvelut (mm. liittymisen edellytykset),

tapahtumalokipalvelut jne. joita ei voida antaa

ulkopuolisen tahon hoidettavaksi yleispalveluina.

3

Kansallisen palveluväylän yleiskuva

(JulkICT:n materiaaliin perustuen)


Palveluiden käyttöönotto

Rajapinta ja tietosisältö

• Palveluväylä määrittää palveluiden rajapinnat:

• Palveluväylässä määritetään miten palvelukutsun välittämiseen liittyvät metatiedot tulee

muotoilla, ja mitä tietoja kutsussa tulee olla, jotta se saadaan välitettyä perille: ”Kirjekuori”.

• Palveluväylä ei kuitenkaan ota kantaa siihen, millainen palveluiden välittämä tietosisältö on:

”Kirjeen sisältö”.

• Olemassa olevia, aiemmin toteutettuja palveluita voidaan julkaista eri palveluväyläratkaisuihin.

• Palvelut pitää kuitenkin kuorruttaa, jotta ne noudattavat palveluväylän määrittämää

viestinvälitystandardia.

• Kansallisessa palveluväylässä toteutettavat palvelut tulee siis toteuttaa palveluväylän

edellyttämällä tavalla.

4


• Tietoturvalla tarkoitetaan tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista hallinnollisin

ja teknisin keinoin. Tietoturva muodostuu kolmesta osa-alueesta:

Luottamuksellisuus = Tietoa voivat käsitellä ainoastaan sellaiset henkilöt, tahot ja prosessit, joilla on siihen

oikeus.

Eheys = Käsiteltävät tiedot ovat luotettavia, oikeellisia ja ajantasaisia ja näiden oikeellisuus ja täydellisyys

turvataan.

Saatavuus = Tieto on saatavilla silloin, kun sitä tarvitaan.

• Sellaisen järjestelmän tai toimintaympäristön rakentaminen, jossa edellä mainittuihin vaatimuksiin

liittyvät kohdat voidaan kaikissa tilanteissa taata, ei ole mahdollista tai edes järkevää yrittää rakentaa.

• Tavoitteeksi tulee asettaa toiminnan ja käsiteltävän tiedon kannalta riittävän tietoturvatason

saavuttaminen.

Tietoturva lyhyesti Tiedon luottamuksellisuus, eheys ja saatavuus

5

Tieto-

turva

Saatavuus


Tietoturva lyhyesti Tietoturvaan liittyvät uhat

• Tietoturvaan voi kohdistua monenlaisia uhkia. Tällaisia ovat esimerkiksi:

Fyysiset vahingot esimerkiksi tietokannan kiintolevyn hajoaminen,

Loppukäyttäjien tekemät virheet tai tahalliset vahingonteot,

Loppukäyttäjiin kohdistuvat huijausyritykset,

Virukset ja haittaohjelmat,

Tietomurrot ja hakkerointi,

Palvelunestohyökkäykset.

• Yhteistä näillä tietoturvauhkilla on, että ne vaikuttavat kaikki jollakin tavalla tiedon

luottamuksellisuuteen, eheyteen tai saatavuuteen.

• Tietoturvan eri osa-alueisiin kohdistuvilta tietoturvauhilta voidaan suojautua monella eri tavalla. Yhtä

valmista ratkaisua ei ole tarjolla, vaan suojaus tulee rakentaa kerroksittain siten, että nämä yhdessä

turvaavat suojattavan tiedon.

6


Tietoturva lyhyesti Tiedon turvaaminen teknisin keinoin

• Julkisen verkon yli tapahtuvassa tiedonvälityksessä tulee huomio kiinnittää erityisesti tiedon eheyden

ja luottamuksellisuuden varmistamiseen. Näiden varmistamiseksi keskeisessä asemassa ovat

erilaiset salaustekniikat, joihin perustuvat esimerkiksi erilaisten pankkipalveluiden toteutukset.

• Salaus tarkoittaa viestin salaamista siten, että sen haltuunsa saava ulkopuolinen ei kykene sitä

avaamaan.

• Julkisen verkon yli tapahtuvassa tiedon salaamisessa voidaan käyttää erilaisia salausalgoritmeja ja

menetelmiä, joiden vahvuuksissa ja suojaustasoissa on eroja.

• Osaa nykyisistä salaustekniikoista voidaan pitää murtumattomina. Esimerkiksi yleisimmin

hyödynnetty SSL suojausmenetelmä perustuu sellaisiin salausalgoritmeihin, jotka oikein käytettynä

tarjoavat käytännössä murtumattoman suojauksen. Esimerkiksi yhdistämällä maapallon kaikkien

tietokoneiden laskentateho 128 bittisen AES-salauksen murtamiseen, kuluisi tähän aikaa yli 500 000

kertaa pidempään kuin mitä universumi on ollut olemassa.

7


Palvelutaso internetissä Palvelutaso määrittää tietoliikenneyhteyden saatavuuden

• Palvelutaso kuvaa tiedonvälityskanavan saatavuutta, eli sitä kuinka suuren osan ajasta

tiedonvälityskanava on loppukäyttäjien käytettävissä.

• Palvelutaso määritetään tietoliikenneoperaattorin ja asiakkaan välisessä palvelutasosopimuksessa

(SLA).

• Palvelutaso määritetään sekä yhteyden saatavuudelle että operaattorin reaktio- ja korjausajoille

ongelmatilanteissa.

• Palvelutasoon voi vaikuttaa teknisillä ratkaisuilla sekä organisatorisesti:

• Yhteyksien kahdentaminen,

• Palvelunestohyökkäyksien torjuminen,

• Operaattorin päivystyskäytännöt,

• Suunnitellut huoltokatkot.

• Maantieteellinen sijainti voi vaikuttaa palvelutasoon.

8


X-Road Turvallista ja joustavaa tiedonvälitystä

• X-Road on Virossa käytössä oleva standardoitu palveluväyläratkaisu, joka mahdollistaa julkisen ja

yksityisen sektorin hallinnoimien ja eri puolille hajautettujen tietokantojen yhdistämisen yhdeksi

selkeäksi palvelukokonaisuudeksi.

• Tällä hetkellä palveluun on Virossa liittynyt yli 1000 organisaatiota, julkista rekisteriä ja tietokantaa.

Käyttömääriltään suurimmat palvelut ovat sähköinen reseptijärjestelmä, ajoneuvoliikennerekisteri,

vero- ja tulliviraston palvelut ja rajavalvonnan ylläpitämä Schengen -tietojärjestelmä.

• Palvelu perustuu tekniikasta ja alustasta riippumattomaan tiedonvälitykseen (SOAP –protokolla), joka

mahdollistaa erilaisten tietokantojen ja tietojärjestelmien joustavan ja kustannustehokkaan liittämisen

palveluun. Valitun ratkaisun ansiosta organisaatioiden ei tarvitse sitoutua yhteen tiettyyn tietokanta-

tai järjestelmätoimittajaan.

• Luotettavan tiedonsiirron takaamiseksi kaikki palveluväylää pitkin kulkeva liikenne salataan ja

allekirjoitetaan digitaalisesti. Jokaisesta tapahtuneesta tiedonvälityksestä tehdään myös lokitietoihin

kirjaukset, jotka mahdollistavat tiedonvälitystapahtumien todentamisen jälkikäteen.

• Organisaatiot vastaavat itse palveluväylään liitettyjen palveluiden käyttöoikeuksien hallinnoinnista.

• Tiedonsiirtoa varten ei tarvitse rakentaa omaa erillistä verkkoa, koska tiedonvälitys tapahtuu julkisen

internetin yli. Julkisen verkon lisäksi tiedonsiirto voidaan toteuttaa hyödyntäen muita verkkoratkaisuja

kuten Tuve-verkkoa.

• X-Road:ia vastaan on tehty yksi palvelunestohyökkäys, jossa väärinkäytettiin keskitetyn palvelun

nimipalvelutoiminnallisuutta. Lisäksi yhteen julkiseen palveluun on tehty SQL-injektointihyökkäys.

Palvelussa ei ollut syötearvojen tarkastusta toteutettu kattavasti.

9


X-Road Arkkitehtuuri

• Palveluväylän infrastruktuuri koostuu turvallisuus-, hallinta-, sertifikaatti- ja monitorointipalvelimista.

• Turvallisuuspalvelimen tärkein tehtävä on varmistaa turvallinen tiedonvälitys organisaation

tietojärjestelmän ja sovitinpalvelimen välillä. Lisäksi turvallisuuspalvelin vastaa lokitietojen

keräämisestä.

• Keskitetyn hallintapalvelimen tehtävänä on ylläpitää tietoa väylään liitetyistä turvallisuuspalvelimista.

Tiedonvälitys on sallittu ainoastaan tunnistettujen turvallisuuspalvelimien välillä.

• Palveluväylään liitettyjen turvallisuuspalvelimien tilaa sekä väylän käyttöä on mahdollista seurata

monitorointipalvelimien kautta.

10

Käyttäjä

Organisaation turvallisuuspalvelin

Tietokannan turvallisuuspalvelin

TietokantaOrganisaation tietojärjestelmä

Keskitettyhallinta

Keskitettymonitorointi

Paikallinenmonitorointi

Sertifikaattipalvelin HardwareSecurity module (HSM)

SovitinpalvelinINTERNET


X-Road Yksinkertainen kuvaus tiedonsiirrosta

1) Käyttäjä kirjautuu organisaation tietojärjestelmään normaaliin tapaan.

2) Tietojärjestelmä ilmoittaa organisaation turvallisuuspalvelimelle, että sillä on tarvetta välittää kysely

palveluväylään liitettyyn tietokantaan.

3) Organisaation turvallisuuspalvelin lähettää salatun pyynnön tietokantapalvelua tarjoavan

palveluntoimittajan turvallisuuspalvelimelle.

4) Palveluntoimittajan turvallisuuspalvelin tarkistaa onko pyynnön tehneellä organisaatiolla lupa

hyödyntää palveluväylän palveluita.

5) Jos organisaatiolla on lupa, salattu pyyntö puretaan ja välitetään tietokannan sovitinpalvelimelle.

6) Sovitinpalvelin vastaanottaa tietokannan muodostaman vastauksen palveluväylän kautta tulleeseen

kyselyyn. Vastaus välitetään samaa polkua pitkin kuin mitä alkuperäinen kysely.

11

1. 2. 3.

4.

6.

5.

6. 6. 6. Käyttäjä

Organisaation turvallisuuspalvelin

Tietokannan turvallisuuspalvelin

TietokantaOrganisaation tietojärjestelmä

Keskitettyhallinta

Keskitettymonitorointi

Paikallinenmonitorointi

Sertifikaattipalvelin HardwareSecurity module (HSM)

SovitinpalvelinINTERNET


Palveluiden käyttöoikeudet

Vastuu palveluiden valtuutuksesta on palveluntarjoajalla

• X-Road ei ota kantaa siihen, kuka saa käyttää siihen julkaistuja palveluita.

• Palvelun käyttöoikeuksien myöntäminen on palveluntarjoajan ja käyttäjän vastuulla.

• Käyttöoikeus voidaan määrittää joko palvelua käyttävässä päässä, palvelun tarjoavassa päässä tai

molemmissa:

• Palveluntarjoaja tunnistaa palvelua kutsuvan järjestelmän. Sallitut järjestelmät saavat käyttää

palvelua vapaasti.

• Järjestelmän lisäksi palveluntarjoaja voi edellyttää palvelukutsussa loppukäyttäjän tunnistetietojen

välittämisen, jolloin palveluntarjoaja voi rakentaa omaan palveluun tai sen taustalla olevaan

järjestelmään valtuutuslogiikan loppukäyttäjän tietojen perusteella.

• Lisäksi palvelun käyttäjä tunnistaa loppukäyttäjän, ja voi tehdä valtuutuksen myös kutsuvassa

päässä.

12


Palveluväylän tiedonsiirrolle asetetut tietoturvavaatimukset Vertailu SOTE –sektorin tietoturvavaatimusten ja X-Road ratkaisun välillä

• Tiedonsiirron osalta palveluratkaisun tulee täyttää julkisen hallinnon toiminnalle asetetut

tietoturvavaatimukset.

• Erityisesti sosiaali- ja terveydenhuollon sektoriin kohdistuu lainsäädännön vaatimuksia, jotka tulee

huomioida palveluväylän tiedonsiirron tietoturvavaatimuksissa.

• Deloitte kartoitti STM:n, THL:n ja Kelan edustajien kautta tiedonsiirtoon liittyviä tietoturvavaatimuksia.

• Vaatimusten osalta voidaan yhteenvetona todeta, että palveluväylän tiedonsiirron tulee täyttää samat

vaatimukset kuin mitkä on määritetty KanTa –palveluratkaisulle.

13



14

Palveluväylälle asetettu vaatimus X-road ratkaisu

Tieto tulee salata tiedonsiirron ajaksi TLS/(SSL)

protokollalla, jossa käytetään kahdensuuntaista

autentikointia ja kansallisia VRK:n toimittamia

varmenteita.

Vaatimus täyttyy: Tiedot salataan tiedonsiirron ajaksi

SSL salausprotokollalla.

Jos tietoa säilytetään potilastietojärjestelmän tai

KanTan ulkopuolisissa välivarastoissa, niin se tulee

salata tai varmistaa auditointijärjestelyin siten, että

ulkopuoliset eivät pääse tietoon käsiksi.

Vaatimus täyttyy: Palveluväylä perustuu hajautettuun

ratkaisuun, jossa potilastietoja ei säilytetä ulkopuolisissa

välivarastoissa. Palveluväylä ei ota kantaa siihen, millä

tavalla tietokantakyselyn tehnyt organisaatio hyödyntää

tai varastoi pyytämäänsä tietoa. Tietokantoja tarjoavat

organisaatiot määrittävät itse, mitä tietoja luovutetaan

kullekin kyselijälle.

KanTa palvelun vasteaikavaatimus on 3 sekuntia / 90

prosenttia tapauksista (10 s lopuille). KanTa-palvelun

saatavuusvaade on 99,8 %.

Vaatimus pystytään täyttämään: Tiedonsiirron

onnistumisen kannalta keskitettyjen hallinta- ja

monitorointipalvelimien sekä sertifikaattipalvelimen

/palvelimien saatavuus on keskeisessä asemassa.

Vaste- ja saatavuusvaateet tulee sopia

palveluoperaattoreiden kanssa SLA sopimusten

muodossa. Saatavuutta voidaan parantaa esimerkiksi

kahdentamalla keskeiset palvelimet ja yhteydet.



15

Palveluväylälle asetettu vaatimus X-road ratkaisu

Teknisesti tiedon eheydestä varmistutaan

allekirjoittamalla asiakirja ammattihenkilön tai

potilastietojärjestelmän/organisaation varmenteella.

Vaatimus täyttyy: Kaikki palveluväylää pitkin kulkeva

tieto salataan ja allekirjoitetaan varmenteilla. Tällä

varmistetaan tiedon eheys ja muuttumattomuus

tiedonsiirron aikana. Palveluväylä ei estä käyttämästä

muita menetelmiä tiedon eheyden varmistamiseksi

esimerkiksi asiakirjan allekirjoittamista.

KanTa-palvelut edellyttävät, että ammattihenkilö on

kirjautunut kansallisella laatuvarmenteella

potilastietojärjestelmään.

Vaatimus täyttyy: Palveluväylä ei ota kantaa siihen,

millä tavalla henkilö kirjautuu järjestelmään, joka on

liitetty palveluväylään. Kohdejärjestelmässä voidaan

käyttää siihen tarkoituksen määritettyä

kirjautumismenetelmää.

Lokit synnyttävä sanomaliikenteestä ja erityisesti

potilastietojen käytöstä ja luovutuksesta. Lokien

muuttumattomuus tulee varmistaa riittävällä tasolla

säilytyksen ajan. Auditointi varmistaa tämän aspektin

tietojärjestelmien toiminnallisuudesta.

Vaatimus täyttyy: Jokaisesta kyselystä muodostuu

lokimerkintä, josta käy ilmi kuka on tehnyt palvelukutsun

ja milloin. Lokien muuttumattomuus varmistetaan

laskemalla turvallisuuspalvelimen ja keskitetyn

hallintapalvelimen muodostamista lokeista

tarkistussumma.


Yhteenveto X-Road arkkitehtuurin soveltuvuus Suomen palveluväyläratkaisuksi

• X-Road palveluväyläarkkitehtuuri tarjoaa joustavan ja turvallisen tiedonvälitysratkaisun, jonka

tietoturvaratkaisut mahdollistavat luotettavan tiedonsiirron julkisen internetin yli. Esimerkiksi SOTE –

alueen asettamat tietoturvavaatimukset luotettavalle tiedonsiirrolle pystytään täyttämään.

• X-Road ei ota kantaa siihen, mitä verkkoa tiedonsiirrossa käytetään. Julkisen verkon lisäksi

tiedonsiirto voidaan toteuttaa hyödyntäen muita verkkoratkaisuja kuten Tuve-verkkoa.

• X-Road-ratkaisu ottaa kantaa käytettävään reititys- ja tietoturvakäytäntöihin. Palvelutaso riippuu

käytettävästä tietoverkosta ja operaattorista.

• Kansallisen palveluväylähankkeen yhteydessä tulee määrittää kriteerit, milloin muiden

verkkoratkaisujen käyttäminen on perusteltua. Lisäksi tulee määrittää vaatimukset, jotka

poikkeavaan verkkoratkaisuun liittyvän organisaation tulee täyttää (esim. VAHTI –vaatimusten

perustason täyttäminen).

16


17


Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of

member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description

of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms.

18

http://www.deloitte.com/about

Palveluväylä ja tietoturva -selvitys

Documents

Transcript of Palveluväylä ja tietoturva -selvitys