Tietosuoja IT-arkkitehtuurissa ja

sovelluskehityksessä Pauli Kauppila, Secrays

Tietosuoja ja standardit 13.9.2016

Tietosuoja IT-arkkitehtuurissa ja sovelluskehityksessä Pauli Kauppila

Sisältö

Oletusarvoinen ja sisäänrakennettu tietosuoja Tietosuojakontrollit Suunnittelumallit Käyttötapausmallit Referenssiarkkitehtuuri

Oletusarvoinen ja sisäänrakennettu tietosuoja Privacy by design –ajattelun tavoitteena on malli,

jossa tietosuoja tuodaan alusta asti mukaan suunnittelu- ja toteutusprosesseihin

Euroopan Verkko- ja turvallisuusviraston ENISAn mukaan tietosuojaan liittyvät ratkaisut pitkälti puuttuvat perinteisistä järjestelmien rakennusmalleista ja –käytännöistä

Tilanne kuitenkin muuttunee kun ohjelmistoyhtiöiden vastuu kasvaa regulaattorit tiukentavat ja yhdenmukaistavat

vaatimuksiaan

Proactive not reactive, Preventative, not Remedial

1

Privacy Embedded into Design

Privacy as the default

3

2

Full functionality - Positive Sum not Zero Sum

4 End-to-end security

5 Visibility and Transparency

6 Respect for User Privacy

7

Privacy by design 7 foundational principles

Sisäänrakennettu tietosuoja, avaintekijät Luottamukseen liittyvät oletukset (trust assumptions) sidosryhmien välillä

Blind trust (ulkoistettu luottamus) Verifiable trust (voidaan tarvittaessa todentaa) Verified trust (ei luoteta)

Käyttäjän osallistuminen (involvement of the user) Osallistuuko lainkaan tiedon käsittelyyn? Mitä informaatiota käyttäjälle välitetään, miten, milloin? Käyttäjän mahdollisuudet tiedon hallintaan (pääsy, suostumukset, korjaukset ja poistot)

Tekniset rajoitteet Datan sijainti, viestintäkanavat, salausmahdollisuudet

Arkkitehtuuri Yllä mainittujen perusteella mahdollisia arkkitehtuuriratkaisuja voidaan rajata Arkkitehtuurin suunnittelu kiinnittää järjestelmä-/ohjelmistokomponentit, osapuolten väliset

luottamusmekanismit, informaatiokanavat ja keskeiset tietovuot Arkkitehtuurisuunnitelmista tulee ilmetä myös käytettävä tietosuojakontrollit

Tietosuojakontrollit

Tietosuojakontrolleja voidaan tarkastella eri näkökulmista. Osin päällekkäisiä tietoturvakontrollien kanssa Esimerkkijaottelu Oikeus tietoon Tiedonhallinta Jäljitettävyys

Tietosuojakontrollit

Oikeus tietoon

• Autentikointi • Auktorisointi

Tiedonhallinta

• Käyttötapausten lokitus • Muutoshistorian tallennus Jäjitettävyys

• Tiedon suojaaminen • Tietomuutosten havainnointi

• Tieto saatavilla vain siihen oikeutetuilla • Tieto suojattu kautta linjan • Tietomuutosten havainnoinnilla mahdollistetaan poikkeamien

löytäminen

Autentikointi ja auktorisointi

Käyttäjän identiteetin varmistaminen ja oikeuksien päättely Oikeudet voivat olla dynaamisia Muuttuvat esimerkiksi ajan ja paikan suhteen Tiettyyn ryhmään kuuluvat käyttäjät vain tiettyyn

kellonaikaan tai dedikoituja verkkoyhteyksiä pitkin

Kiistämättömyys jäljitettävyystarkastelussa Henkilötietojen käytöstä jää jälki myös

lukutapauksissa

Tiedon suojaaminen Pääsyoikeudet Oikeus tietoon liittyy käyttäjän rooliin joko järjestelmän

käyttäjänä tai kohteena Mitä tietoja minusta on tallennettu? Pääsyoikeus omiin tietoihin

Arkkitehtuurin kannalta oleellista miettiä millä tavoin toteutetaan, esimerkiksi keskitetty palvelu

Salaus Avainten hallinta Esimerkiksi pilvipalveluissa tyypillisesti avaimen hallitaan

palvelussa Jos palvelun käyttäjä voi tuoda omat avaimensa, ei palvelun

ylläpitohenkilöstöllä tai muilla ulkopuolisilla ole mahdollisuutta salauksen purkuun

Tiedon suojaaminen anonymisoimalla

K-anonymisointi ” Given person-specific field-structured data, produce a

release of the data with scientific guarantees that the individuals who are the subjects of the data cannot be re-identified while the data remain practically useful.”

Tietoaineistoa muokataan karkeistamalla attribuuttien arvoja (syntymäaika, kotikunta)

Lopputuloksena aineiston k henkilöllä on samat attribuutit, eikä yksittäistä henkilöä voida erottaa joukosta

Tokenisaatio Salaus

Tiedonhallinta

Elinkaari Tietosuoja-aineiston hallinta tiedon syntymisestä sen

muutoksiin ja poistoon Master-tiedot ja alijärjestelmien rooli Ongelmat voivat liittyä myös erilaisiin siirto- ja

välitallennuskäsittelyihin Esimerkiksi eräaineistoja siirretään välipalvelimille, joiden

varmistusarkistoihin jää aineistoja

Oikeus tulla unohdetuksi Yrityksen tiedot henkilöstä jakautuvat useaan

tietojärjestelmään, miten toteutetaan poisto kaikista?

Lokit ja muutoshistoria

Lokien keräämisen lähteet ja taso Mitä lokeihin kirjataan? Anonymisointi?

Yhdistelyt Yhdistelty lokiaineisto saattaa edellyttää erillistä

pääsynhallintamekanismia

Muutoshistorian kerääminen Muutokset tietovarastoissa (tietokannoissa) Muutoksen tekijä, ajankohta, syy

Muutoshistorian tutkimisen mahdollistaminen

Tietosuoja ja arkkitehtuuri tulevaisuudessa Erilaiset valmiit tuoteratkaisut tietosuojaan liittyen Tietosuojan tulisi näkyä toimittajien ratkaisuesityksissä Asiakkaiden tulee myös vaatia tietosuojaominaisuuksia Mikä on tulevaisuudessa ohjelmistotoimittajan vastuu

tietosuojaloukkausten tai –vuotojen toteutuessa? Ohjelmistotutkimuksessa tietosuoja varmasti nousee

myös esille Esimerkkinä tietosuojaan liittyvät suunnittelumallit

13

Suunnittelumallit

Suunnittelumallit (design patterns) Yleisiä ratkaisuja usein esiintyviin

arkkitehtuuri- tai suunnitteluongelmiin tietyissä yhteyksissä

Ongelman kuvaus, ratkaisut ja seuraukset mallin käytöstä

Seuraavassa muutamia esimerkkejä tietosuojaan liittyvistä malleista

Suunnittelumalleja

Ambient notice

Provide unobtrusive, ongoing notice of real-time location tracking.

When a service is tracking a user's location in an ongoing fashion, or accessing the user's location

on each repeated use of a service.

Active broadcast of presence

Enable sharing of location or presence data where the user controls the timing and context.

When a user wants to share or broadcast location or other presence data that is

contextually relevant and a full stream of data may be either noisy or intrusive.

Lähde: Privacypatterns.org

Suunnittelumalleja

Encryption with user-managed keys

Enable encryption, with user-managed encryption keys, to protect the confidentiality of personal information that may be transferred or

stored by an untrusted 3rd party.

User wants to store or transfer their personal data through an online service and they want to

protect their privacy, and specifically the confidentiality of their personal information.

Handling unusual account activities with multiple factors

For Internet services, prevent suspicious access to the account, and/or make the account owner

aware of unusual activities.

Many Internet services are using password-based authentication which is really convenient

but has apparent drawbacks

Lähde: Privacypatterns.org

Privacy Use Template

Lähde: oasis-open.org

Privacy Reference Architecture

Lähde: oasis-open.org

Kiitos!

pauli@secrays.com