Tietosuoja IT-arkkitehtuurissa ja sovelluskehityksessä
-
Upload
suomen-standardisoimisliitto-sfs-ry -
Category
Data & Analytics
-
view
208 -
download
1
Transcript of Tietosuoja IT-arkkitehtuurissa ja sovelluskehityksessä
Tietosuoja IT-arkkitehtuurissa ja
sovelluskehityksessä Pauli Kauppila, Secrays
Tietosuoja ja standardit 13.9.2016
Tietosuoja IT-arkkitehtuurissa ja sovelluskehityksessä Pauli Kauppila
Sisältö
Oletusarvoinen ja sisäänrakennettu tietosuoja Tietosuojakontrollit Suunnittelumallit Käyttötapausmallit Referenssiarkkitehtuuri
Oletusarvoinen ja sisäänrakennettu tietosuoja Privacy by design –ajattelun tavoitteena on malli,
jossa tietosuoja tuodaan alusta asti mukaan suunnittelu- ja toteutusprosesseihin
Euroopan Verkko- ja turvallisuusviraston ENISAn mukaan tietosuojaan liittyvät ratkaisut pitkälti puuttuvat perinteisistä järjestelmien rakennusmalleista ja –käytännöistä
Tilanne kuitenkin muuttunee kun ohjelmistoyhtiöiden vastuu kasvaa regulaattorit tiukentavat ja yhdenmukaistavat
vaatimuksiaan
Proactive not reactive, Preventative, not Remedial
1
Privacy Embedded into Design
Privacy as the default
3
2
Full functionality - Positive Sum not Zero Sum
4 End-to-end security
5 Visibility and Transparency
6 Respect for User Privacy
7
Privacy by design 7 foundational principles
Sisäänrakennettu tietosuoja, avaintekijät Luottamukseen liittyvät oletukset (trust assumptions) sidosryhmien välillä
Blind trust (ulkoistettu luottamus) Verifiable trust (voidaan tarvittaessa todentaa) Verified trust (ei luoteta)
Käyttäjän osallistuminen (involvement of the user) Osallistuuko lainkaan tiedon käsittelyyn? Mitä informaatiota käyttäjälle välitetään, miten, milloin? Käyttäjän mahdollisuudet tiedon hallintaan (pääsy, suostumukset, korjaukset ja poistot)
Tekniset rajoitteet Datan sijainti, viestintäkanavat, salausmahdollisuudet
Arkkitehtuuri Yllä mainittujen perusteella mahdollisia arkkitehtuuriratkaisuja voidaan rajata Arkkitehtuurin suunnittelu kiinnittää järjestelmä-/ohjelmistokomponentit, osapuolten väliset
luottamusmekanismit, informaatiokanavat ja keskeiset tietovuot Arkkitehtuurisuunnitelmista tulee ilmetä myös käytettävä tietosuojakontrollit
Tietosuojakontrollit
Tietosuojakontrolleja voidaan tarkastella eri näkökulmista. Osin päällekkäisiä tietoturvakontrollien kanssa Esimerkkijaottelu Oikeus tietoon Tiedonhallinta Jäljitettävyys
Tietosuojakontrollit
Oikeus tietoon
• Autentikointi • Auktorisointi
Tiedonhallinta
• Käyttötapausten lokitus • Muutoshistorian tallennus Jäjitettävyys
• Tiedon suojaaminen • Tietomuutosten havainnointi
• Tieto saatavilla vain siihen oikeutetuilla • Tieto suojattu kautta linjan • Tietomuutosten havainnoinnilla mahdollistetaan poikkeamien
löytäminen
Autentikointi ja auktorisointi
Käyttäjän identiteetin varmistaminen ja oikeuksien päättely Oikeudet voivat olla dynaamisia Muuttuvat esimerkiksi ajan ja paikan suhteen Tiettyyn ryhmään kuuluvat käyttäjät vain tiettyyn
kellonaikaan tai dedikoituja verkkoyhteyksiä pitkin
Kiistämättömyys jäljitettävyystarkastelussa Henkilötietojen käytöstä jää jälki myös
lukutapauksissa
Tiedon suojaaminen Pääsyoikeudet Oikeus tietoon liittyy käyttäjän rooliin joko järjestelmän
käyttäjänä tai kohteena Mitä tietoja minusta on tallennettu? Pääsyoikeus omiin tietoihin
Arkkitehtuurin kannalta oleellista miettiä millä tavoin toteutetaan, esimerkiksi keskitetty palvelu
Salaus Avainten hallinta Esimerkiksi pilvipalveluissa tyypillisesti avaimen hallitaan
palvelussa Jos palvelun käyttäjä voi tuoda omat avaimensa, ei palvelun
ylläpitohenkilöstöllä tai muilla ulkopuolisilla ole mahdollisuutta salauksen purkuun
Tiedon suojaaminen anonymisoimalla
K-anonymisointi ” Given person-specific field-structured data, produce a
release of the data with scientific guarantees that the individuals who are the subjects of the data cannot be re-identified while the data remain practically useful.”
Tietoaineistoa muokataan karkeistamalla attribuuttien arvoja (syntymäaika, kotikunta)
Lopputuloksena aineiston k henkilöllä on samat attribuutit, eikä yksittäistä henkilöä voida erottaa joukosta
Tokenisaatio Salaus
Tiedonhallinta
Elinkaari Tietosuoja-aineiston hallinta tiedon syntymisestä sen
muutoksiin ja poistoon Master-tiedot ja alijärjestelmien rooli Ongelmat voivat liittyä myös erilaisiin siirto- ja
välitallennuskäsittelyihin Esimerkiksi eräaineistoja siirretään välipalvelimille, joiden
varmistusarkistoihin jää aineistoja
Oikeus tulla unohdetuksi Yrityksen tiedot henkilöstä jakautuvat useaan
tietojärjestelmään, miten toteutetaan poisto kaikista?
Lokit ja muutoshistoria
Lokien keräämisen lähteet ja taso Mitä lokeihin kirjataan? Anonymisointi?
Yhdistelyt Yhdistelty lokiaineisto saattaa edellyttää erillistä
pääsynhallintamekanismia
Muutoshistorian kerääminen Muutokset tietovarastoissa (tietokannoissa) Muutoksen tekijä, ajankohta, syy
Muutoshistorian tutkimisen mahdollistaminen
Tietosuoja ja arkkitehtuuri tulevaisuudessa Erilaiset valmiit tuoteratkaisut tietosuojaan liittyen Tietosuojan tulisi näkyä toimittajien ratkaisuesityksissä Asiakkaiden tulee myös vaatia tietosuojaominaisuuksia Mikä on tulevaisuudessa ohjelmistotoimittajan vastuu
tietosuojaloukkausten tai –vuotojen toteutuessa? Ohjelmistotutkimuksessa tietosuoja varmasti nousee
myös esille Esimerkkinä tietosuojaan liittyvät suunnittelumallit
13
Suunnittelumallit
Suunnittelumallit (design patterns) Yleisiä ratkaisuja usein esiintyviin
arkkitehtuuri- tai suunnitteluongelmiin tietyissä yhteyksissä
Ongelman kuvaus, ratkaisut ja seuraukset mallin käytöstä
Seuraavassa muutamia esimerkkejä tietosuojaan liittyvistä malleista
Suunnittelumalleja
Ambient notice
Provide unobtrusive, ongoing notice of real-time location tracking.
When a service is tracking a user's location in an ongoing fashion, or accessing the user's location
on each repeated use of a service.
Active broadcast of presence
Enable sharing of location or presence data where the user controls the timing and context.
When a user wants to share or broadcast location or other presence data that is
contextually relevant and a full stream of data may be either noisy or intrusive.
Lähde: Privacypatterns.org
Suunnittelumalleja
Encryption with user-managed keys
Enable encryption, with user-managed encryption keys, to protect the confidentiality of personal information that may be transferred or
stored by an untrusted 3rd party.
User wants to store or transfer their personal data through an online service and they want to
protect their privacy, and specifically the confidentiality of their personal information.
Handling unusual account activities with multiple factors
For Internet services, prevent suspicious access to the account, and/or make the account owner
aware of unusual activities.
Many Internet services are using password-based authentication which is really convenient
but has apparent drawbacks
Lähde: Privacypatterns.org
Privacy Use Template
Lähde: oasis-open.org
Privacy Reference Architecture
Lähde: oasis-open.org
Kiitos!