konstantin hyppönen oulun seminaari ankkureita 2014 03-27 hyppönen-jalonen

Kysymyksiä ja vastauksia Kanta-palvelujen tietoturvasta – Ankkureita tarvitaan

Konstantin Hyppönen, Marko Jalonen 27.3.2014

Tässä esityksessä

Kerrotaan Kanta-palveluiden tietoturvallisuudesta Keskitytään suojauskeinoihin

Pysytään realistisina. ”Tietokone on täysin turvallinen vain, jos sitä ei ole kytketty tieto- eikä sähköverkkoon” Kanta-palveluissa kuitenkin käytössä alan huippua olevat

standardit, teknologiat ja käytännöt Saatavuuskin on osa tietoturvaa, sen taso on tällä hetkellä

> 99,96 % (mitattu reseptikeskuksen osalta 2012-2013)

Näytetään ankkureita

27.3.2014 Kansallinen Terveysarkisto 2

Kumpi on turvallisempi?

vs


Hajautettu vs keskitetty

Keskitetyssä ratkaisussa on sekä huonoja… Keskitetty tietovaranto kiinnostaa hyökkääjiä luonnollisesti enemmän. Jos tietovarantoon murtaudutaan, saalis voi olla potentiaalisesti isompi. Mahdollinen (näennäinen?) SPOF tai pullonkaula

…että hyviä puolia Tietovarannon tietoturvatasoa on helpompi valvoa, ylläpitää ja kehittää

ja tietoturvaloukkaukset Tietoturvaloukkaukset ovat tyypillisesti helpommin havaittavissa. Kapasiteettia on helpompi ja kustannustehokkaampi kasvattaa ja estää

pullonkaulojen muodostaminen. Tietynlainen hajauttaminen mahdollinen myös keksitetyssä mallissa.

Sama koskee myös hajautettua ratkaisua Jos tavoitteena on toisessa järjestelmässä säilytettävän tiedon

välittyminen toiseen, teoriassa riittää kun murtautuu yhteen järjestelmään (heikoin lenkki ratkaisee)

Kuitenkin: The devil is in the details.


Hoitosuhteen varmistus

Potilaan suostumus- ja kielto-kontrollien lisäksi Kanta-arkistossa varmistetaan hoitosuhde

Voimassa oleva palvelutapahtuma-asiakirja on esiehto potilastiedon luovutukselle Potilastiedon arkistosta. Tietoa ei pääse hakemaan jos palvelutapahtumaa ei ole perustettu ja

palvelutapahtuma-asiakirjaa arkistoitu. Tämä varmistus sekä PTJ:ssä että arkistossa teknisellä tasolla.

Lisäksi potilastietojärjestelmät varmistavat hakua suorittavan henkilön hoitosuhteen potilaaseen.

Reseptikeskuksessa ei vastaavaa logiikkaa, hoitosuhteen varmistus lähempänä Viron mallia (jälkikäteisvalvonta).

Tietojen käsittelyä voi seurata Omakannassa organisaatiotasolla. Tarkempia tietoja saa terveydenhuollon toimintayksiköistä, jotka ovat velvoitettuja ylläpitämään paikallista käyttölokia.


Potilaskohtaiset haut

Haut Potilastiedon arkistosta ja Reseptikeskuksesta ovat potilaskohtaisia Tästä säännöstä on muutama poikkeus, esim. ”Hae tietylle

apteekille varatut reseptit”

Hakujen potilaskohtaisuus estää tai ainakin vaikeuttaa mahdolliset massalataukset.

Raportointi- ja muut vastaavat haut tehdään tietovarannon erilliseen kopioon, jota ei näy Kelan ulkopuolelle. Haut eivät myöskään kuormita tuotantoympäristöä.


Luottamusverkko

Kaikki verkkoliikenteen osapuolet tunnistetaan vahvasti.

Kaikki Kanta-liittyjät yhteistestataan ja auditoidaan. Auditointi keskittyy tietoturvaan ja tietosuojaan.

Henkilöiden ja organisaatioiden tunnistaminen pohjautuu luotettavaan laadunvalvonnan piirissä olevaan tietoon Organisaatiorekisteri, Rekisterinpitäjärekisteri,

Välittäjärekisteri, Terhikki-rekisteri, Valveri-rekisteri, Kanta-osoitehakemisto


Tiedot ovat Suomessa

Tiedon fyysinen tallennuspaikka on Suomessa. Tietoliikenne on salattu, varmennetuotannosta vastaa

VRK. Avainpituuksien ja käytettyjen algoritmien turvallisuutta seurataan.

Lainsäädäntö ohjaa tiedon luovutusta.


Kelan toiminta tiedon ylläpitäjänä

Osa tiedoista on Kelan rekisterissä, Kela täyttää kaikki normaalit rekisterinpitäjän velvollisuudet.

Kelalla pitkä historia ja toimivat prosessit kansallisesti tärkeän tiedon ylläpidossa. Ylläpitohenkilöstö ei näe potilastietoja. Mikäli pääsy tietoon on välttämätöntä virheiden selvittämiseksi,

asia eskaloidaan ITIL-prosessien mukaisesti. Tiedon katselusta jää merkinnät, joita ei voi poistaa.

Kaikilla Kelan toimihenkilöillä vaitiolovelvollisuus. HE 219/2013 mukainen omavalvontasuunnitelma

tulossa.


Kyberhyökkäysten esto

Kaikki tuotantokäyttöön siirrettävät tietojärjestelmät tietoturvatestataan ulkopuolisella testaajalla Testataan mm. yleisimpiä hyökkäyksiä Testaajalle annetaan hieman enemmän oikeuksia kuin oikeille

käyttäjille Määritellyt prosessit mahdollisiin DDoS- ja vastaaviin

hyökkäyksiin reagointiin Prosessissa mukana sekä Kelan että verkko-operaattorin

asiantuntijat ja työkalut Useita eri palomuuritasoja, avaukset vain Kanta-

palveluun liittyneille yhteistestatuille ja auditoiduille käyttäjäorganisaatioille


Osa-alue Ratkaisut Autentikointi (authentication)

Kaksisuuntainen TLS/SSL. Palvelinvarmenne, tarkistus osoitehakemistoa vastaan, sulkulistatarkistus (palvelinsulkulista). Suorakäyttäjien tunnistus VRK-toimikortilla/varmenteella.

Auktorisointi (authorization)

Toimijoittain osoitehakemistoon määritelty sallitut palvelut. Roolipohjainen pääsynvalvonta, sulkulistatarkistus (ammattihenkilösulkulista, palvelinsulkulistat). Suorakäyttäjien roolikohtaiset oikeudet. Hoitosuhteen varmistus.

Eheys (integrity) Henkilökäyttäjien (asiakirjojen) allekirjoitukset (Reseptikeskus, Potilastiedon arkisto) Järjestelmän (asiakirjojen) allekirjoitukset (Potilastiedon arkisto) Tietojen muuttamisen ja käytön kirjaaminen tapahtumalokiin. Write Once Read Many -tallennusratkaisu (WORM) Tietokannan suojausmekanismit ylläpitäjältä

Kiistämättömyys (non-repudiation)

Sähköinen allekirjoitus asiakirjoissa, asiakirjojen tallennusjärjestelmä WORM

Luottamuksellisuus (confidentiality)

Tietojen salaus siirrossa, suostumus- ja kieltoprosessit toteutettu Oracle-välineet, ylläpidon prosessit (ITIL), keskitetty käyttäjähallinta.

Käytettävyys (availability)

Kahdennetut ympäristöt, toipuminen tuotteiden piirteiden avulla. Konesalikahdennus. Ei SPOF:ia. Palvelunestohyökkäysten torjunta on Kelan käyttöympäristön ja operaattoriverkkojen vastuulla. Järjestelmän skaalautuvuuden avulla riittävä saatavuus.

Kiitos!

<a href=”http://www.kanta.fi”> Kysymyksiä? </a>


konstantin hyppönen oulun seminaari ankkureita 2014 03-27 hyppönen-jalonen

Health & Medicine