konstantin hyppönen oulun seminaari ankkureita 2014 03-27 hyppönen-jalonen
DESCRIPTION
THL-OPER yhteistyöseminaari 26.-27.3.2014TRANSCRIPT
Kysymyksiä ja vastauksia Kanta-palvelujen tietoturvasta – Ankkureita tarvitaan
Konstantin Hyppönen, Marko Jalonen 27.3.2014
Tässä esityksessä
Kerrotaan Kanta-palveluiden tietoturvallisuudesta Keskitytään suojauskeinoihin
Pysytään realistisina. ”Tietokone on täysin turvallinen vain, jos sitä ei ole kytketty tieto- eikä sähköverkkoon” Kanta-palveluissa kuitenkin käytössä alan huippua olevat
standardit, teknologiat ja käytännöt Saatavuuskin on osa tietoturvaa, sen taso on tällä hetkellä
> 99,96 % (mitattu reseptikeskuksen osalta 2012-2013)
Näytetään ankkureita
27.3.2014 Kansallinen Terveysarkisto 2
Kumpi on turvallisempi?
vs
27.3.2014 Kansallinen Terveysarkisto 3
Hajautettu vs keskitetty
Keskitetyssä ratkaisussa on sekä huonoja… Keskitetty tietovaranto kiinnostaa hyökkääjiä luonnollisesti enemmän. Jos tietovarantoon murtaudutaan, saalis voi olla potentiaalisesti isompi. Mahdollinen (näennäinen?) SPOF tai pullonkaula
…että hyviä puolia Tietovarannon tietoturvatasoa on helpompi valvoa, ylläpitää ja kehittää
ja tietoturvaloukkaukset Tietoturvaloukkaukset ovat tyypillisesti helpommin havaittavissa. Kapasiteettia on helpompi ja kustannustehokkaampi kasvattaa ja estää
pullonkaulojen muodostaminen. Tietynlainen hajauttaminen mahdollinen myös keksitetyssä mallissa.
Sama koskee myös hajautettua ratkaisua Jos tavoitteena on toisessa järjestelmässä säilytettävän tiedon
välittyminen toiseen, teoriassa riittää kun murtautuu yhteen järjestelmään (heikoin lenkki ratkaisee)
Kuitenkin: The devil is in the details.
27.3.2014 Kansallinen Terveysarkisto 4
Hoitosuhteen varmistus
Potilaan suostumus- ja kielto-kontrollien lisäksi Kanta-arkistossa varmistetaan hoitosuhde
Voimassa oleva palvelutapahtuma-asiakirja on esiehto potilastiedon luovutukselle Potilastiedon arkistosta. Tietoa ei pääse hakemaan jos palvelutapahtumaa ei ole perustettu ja
palvelutapahtuma-asiakirjaa arkistoitu. Tämä varmistus sekä PTJ:ssä että arkistossa teknisellä tasolla.
Lisäksi potilastietojärjestelmät varmistavat hakua suorittavan henkilön hoitosuhteen potilaaseen.
Reseptikeskuksessa ei vastaavaa logiikkaa, hoitosuhteen varmistus lähempänä Viron mallia (jälkikäteisvalvonta).
Tietojen käsittelyä voi seurata Omakannassa organisaatiotasolla. Tarkempia tietoja saa terveydenhuollon toimintayksiköistä, jotka ovat velvoitettuja ylläpitämään paikallista käyttölokia.
27.3.2014 Kansallinen Terveysarkisto 6
Potilaskohtaiset haut
Haut Potilastiedon arkistosta ja Reseptikeskuksesta ovat potilaskohtaisia Tästä säännöstä on muutama poikkeus, esim. ”Hae tietylle
apteekille varatut reseptit”
Hakujen potilaskohtaisuus estää tai ainakin vaikeuttaa mahdolliset massalataukset.
Raportointi- ja muut vastaavat haut tehdään tietovarannon erilliseen kopioon, jota ei näy Kelan ulkopuolelle. Haut eivät myöskään kuormita tuotantoympäristöä.
27.3.2014 Kansallinen Terveysarkisto 8
Luottamusverkko
Kaikki verkkoliikenteen osapuolet tunnistetaan vahvasti.
Kaikki Kanta-liittyjät yhteistestataan ja auditoidaan. Auditointi keskittyy tietoturvaan ja tietosuojaan.
Henkilöiden ja organisaatioiden tunnistaminen pohjautuu luotettavaan laadunvalvonnan piirissä olevaan tietoon Organisaatiorekisteri, Rekisterinpitäjärekisteri,
Välittäjärekisteri, Terhikki-rekisteri, Valveri-rekisteri, Kanta-osoitehakemisto
27.3.2014 Kansallinen Terveysarkisto 10
Tiedot ovat Suomessa
Tiedon fyysinen tallennuspaikka on Suomessa. Tietoliikenne on salattu, varmennetuotannosta vastaa
VRK. Avainpituuksien ja käytettyjen algoritmien turvallisuutta seurataan.
Lainsäädäntö ohjaa tiedon luovutusta.
27.3.2014 Kansallinen Terveysarkisto 12
Kelan toiminta tiedon ylläpitäjänä
Osa tiedoista on Kelan rekisterissä, Kela täyttää kaikki normaalit rekisterinpitäjän velvollisuudet.
Kelalla pitkä historia ja toimivat prosessit kansallisesti tärkeän tiedon ylläpidossa. Ylläpitohenkilöstö ei näe potilastietoja. Mikäli pääsy tietoon on välttämätöntä virheiden selvittämiseksi,
asia eskaloidaan ITIL-prosessien mukaisesti. Tiedon katselusta jää merkinnät, joita ei voi poistaa.
Kaikilla Kelan toimihenkilöillä vaitiolovelvollisuus. HE 219/2013 mukainen omavalvontasuunnitelma
tulossa.
27.3.2014 Kansallinen Terveysarkisto 14
Kyberhyökkäysten esto
Kaikki tuotantokäyttöön siirrettävät tietojärjestelmät tietoturvatestataan ulkopuolisella testaajalla Testataan mm. yleisimpiä hyökkäyksiä Testaajalle annetaan hieman enemmän oikeuksia kuin oikeille
käyttäjille Määritellyt prosessit mahdollisiin DDoS- ja vastaaviin
hyökkäyksiin reagointiin Prosessissa mukana sekä Kelan että verkko-operaattorin
asiantuntijat ja työkalut Useita eri palomuuritasoja, avaukset vain Kanta-
palveluun liittyneille yhteistestatuille ja auditoiduille käyttäjäorganisaatioille
27.3.2014 Kansallinen Terveysarkisto 16
Osa-alue Ratkaisut Autentikointi (authentication)
Kaksisuuntainen TLS/SSL. Palvelinvarmenne, tarkistus osoitehakemistoa vastaan, sulkulistatarkistus (palvelinsulkulista). Suorakäyttäjien tunnistus VRK-toimikortilla/varmenteella.
Auktorisointi (authorization)
Toimijoittain osoitehakemistoon määritelty sallitut palvelut. Roolipohjainen pääsynvalvonta, sulkulistatarkistus (ammattihenkilösulkulista, palvelinsulkulistat). Suorakäyttäjien roolikohtaiset oikeudet. Hoitosuhteen varmistus.
Eheys (integrity) Henkilökäyttäjien (asiakirjojen) allekirjoitukset (Reseptikeskus, Potilastiedon arkisto) Järjestelmän (asiakirjojen) allekirjoitukset (Potilastiedon arkisto) Tietojen muuttamisen ja käytön kirjaaminen tapahtumalokiin. Write Once Read Many -tallennusratkaisu (WORM) Tietokannan suojausmekanismit ylläpitäjältä
Kiistämättömyys (non-repudiation)
Sähköinen allekirjoitus asiakirjoissa, asiakirjojen tallennusjärjestelmä WORM
Luottamuksellisuus (confidentiality)
Tietojen salaus siirrossa, suostumus- ja kieltoprosessit toteutettu Oracle-välineet, ylläpidon prosessit (ITIL), keskitetty käyttäjähallinta.
Käytettävyys (availability)
Kahdennetut ympäristöt, toipuminen tuotteiden piirteiden avulla. Konesalikahdennus. Ei SPOF:ia. Palvelunestohyökkäysten torjunta on Kelan käyttöympäristön ja operaattoriverkkojen vastuulla. Järjestelmän skaalautuvuuden avulla riittävä saatavuus.
Kiitos!
<a href=”http://www.kanta.fi”> Kysymyksiä? </a>
27.3.2014 Kansallinen Terveysarkisto 18