Palveluväylä ja tietoturva
Juhana Francke 7.6.2013
© 2013 Deloitte & Touche Oy, Group of Companies
Kansallinen palveluväylä
Kuvaus ja tavoitteet
Palveluväylän kuvaus
• Palveluväylä on tiedonvälityskonsepti, jossa eri toimintaympäristöjen palveluiden tarvitsema tieto on
saatavilla avoimien rajapintojen yli kaikille tietoa tarvitseville palveluille.
• Kukin palveluväylään liitetty järjestelmä hallitsee omia tietojaan sekä vastaa siitä, että muiden
tarvitsemat tiedot ovat saatavissa välitysalustan kautta ottaen huomioon tietojen käyttöön liittyvät
mahdolliset rajoitukset.
• Palveluväylä ei ole yksittäinen tuote tai tekninen ratkaisu.
• Palveluväylä on yhteentoimivuuteen liittyvän problematiikan kattava konsepti, jonka ympärille
yhteentoimivuutta lisäävä kehittämistoiminta voidaan organisoida.
• Kansallisen palveluväylän tarkoituksena on mahdollistaa nykyistä paremmin asiakaspalveluiden ja
palveluprosessien kehittäminen palveluissa tarvittavan tiedonvaihdon ja yleispalvelut
mahdollistavan ratkaisukokonaisuuden avulla.
Palveluväylän tavoitteet
• Tiedonvälityksen edellytyksien luominen
• Tietojen yhteiskäytön lisääminen / yhtenäiseen kokonaisarkkitehtuuriin perustuvat tietoalustat
• Tiedonvälityksen (tiedonvaihdon) kehittäminen
• Joustava infrastruktuuri
• Innovaatiohalukkuuden lisääminen
2
(JulkICT:n materiaaliin perustuen)
© 2013 Deloitte & Touche Oy, Group of Companies
Kansalliseen palveluväylään liittyvät pääasialliset osapuolet
Lisäarvo syntyy palveluista
• Loppukäyttäjä, joka voi olla yksityinen kansalainen,
yrityksen edustaja, virkamies jne, joka käyttää
palveluväylään liitettyä sovellusta. Loppukäyttäjä voi
olla myös tietojärjestelmä, mikä on normaali
toimintatapa automatisoiduissa prosesseissa.
• Käyttöliittymäsovellus, joka on käyttäjän näkymä
palveluun. Mikäli kyseisen sovelluksen käyttö
edellyttää käyttäjän tunnistuksen, sovellus tekee sen
palveluväylään liitetyn tunnistuspalvelun avulla.
Tunnistuspalvelu (joita voi olla useampia) kykenevät
erilaisiin tunnistustapoihin.
• Tietovarantosovellus, joka tarjoaa palveluväylään
tietoja. Tyypillisinä esimerkkeinä ovat Yritys- ja
yhteisötietojärjestelmä (YTJ) ja
Väestötietojärjestelmä (VTJ ).
• Lisäarvopalvelu, joka voi esim. yhdistää useamman
rekisterin tietoja ja tarjota yhdisteltyjä tietoja muille
sovelluksille.
• Yleispalvelut, jotka eivät ole suoranaisesti
palveluväylän sisäisiä palveluita, mutta joita ilman
palveluväylän hyödyntäminen olisi hankalaa.
• Palveluväylä, joka tarjoaa rajapintamääritysten
lisäksi palveluhakemiston, tietoturvaan liittyvät
palvelut (mm. liittymisen edellytykset),
tapahtumalokipalvelut jne. joita ei voida antaa
ulkopuolisen tahon hoidettavaksi yleispalveluina.
3
Kansallisen palveluväylän yleiskuva
(JulkICT:n materiaaliin perustuen)
© 2013 Deloitte & Touche Oy, Group of Companies
Palveluiden käyttöönotto
Rajapinta ja tietosisältö
• Palveluväylä määrittää palveluiden rajapinnat:
• Palveluväylässä määritetään miten palvelukutsun välittämiseen liittyvät metatiedot tulee
muotoilla, ja mitä tietoja kutsussa tulee olla, jotta se saadaan välitettyä perille: ”Kirjekuori”.
• Palveluväylä ei kuitenkaan ota kantaa siihen, millainen palveluiden välittämä tietosisältö on:
”Kirjeen sisältö”.
• Olemassa olevia, aiemmin toteutettuja palveluita voidaan julkaista eri palveluväyläratkaisuihin.
• Palvelut pitää kuitenkin kuorruttaa, jotta ne noudattavat palveluväylän määrittämää
viestinvälitystandardia.
• Kansallisessa palveluväylässä toteutettavat palvelut tulee siis toteuttaa palveluväylän
edellyttämällä tavalla.
4
© 2013 Deloitte & Touche Oy, Group of Companies
• Tietoturvalla tarkoitetaan tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista hallinnollisin
ja teknisin keinoin. Tietoturva muodostuu kolmesta osa-alueesta:
Luottamuksellisuus = Tietoa voivat käsitellä ainoastaan sellaiset henkilöt, tahot ja prosessit, joilla on siihen
oikeus.
Eheys = Käsiteltävät tiedot ovat luotettavia, oikeellisia ja ajantasaisia ja näiden oikeellisuus ja täydellisyys
turvataan.
Saatavuus = Tieto on saatavilla silloin, kun sitä tarvitaan.
• Sellaisen järjestelmän tai toimintaympäristön rakentaminen, jossa edellä mainittuihin vaatimuksiin
liittyvät kohdat voidaan kaikissa tilanteissa taata, ei ole mahdollista tai edes järkevää yrittää rakentaa.
• Tavoitteeksi tulee asettaa toiminnan ja käsiteltävän tiedon kannalta riittävän tietoturvatason
saavuttaminen.
Tietoturva lyhyesti Tiedon luottamuksellisuus, eheys ja saatavuus
5
Tieto-
turva
Saatavuus
© 2013 Deloitte & Touche Oy, Group of Companies
Tietoturva lyhyesti Tietoturvaan liittyvät uhat
• Tietoturvaan voi kohdistua monenlaisia uhkia. Tällaisia ovat esimerkiksi:
Fyysiset vahingot esimerkiksi tietokannan kiintolevyn hajoaminen,
Loppukäyttäjien tekemät virheet tai tahalliset vahingonteot,
Loppukäyttäjiin kohdistuvat huijausyritykset,
Virukset ja haittaohjelmat,
Tietomurrot ja hakkerointi,
Palvelunestohyökkäykset.
• Yhteistä näillä tietoturvauhkilla on, että ne vaikuttavat kaikki jollakin tavalla tiedon
luottamuksellisuuteen, eheyteen tai saatavuuteen.
• Tietoturvan eri osa-alueisiin kohdistuvilta tietoturvauhilta voidaan suojautua monella eri tavalla. Yhtä
valmista ratkaisua ei ole tarjolla, vaan suojaus tulee rakentaa kerroksittain siten, että nämä yhdessä
turvaavat suojattavan tiedon.
6
© 2013 Deloitte & Touche Oy, Group of Companies
Tietoturva lyhyesti Tiedon turvaaminen teknisin keinoin
• Julkisen verkon yli tapahtuvassa tiedonvälityksessä tulee huomio kiinnittää erityisesti tiedon eheyden
ja luottamuksellisuuden varmistamiseen. Näiden varmistamiseksi keskeisessä asemassa ovat
erilaiset salaustekniikat, joihin perustuvat esimerkiksi erilaisten pankkipalveluiden toteutukset.
• Salaus tarkoittaa viestin salaamista siten, että sen haltuunsa saava ulkopuolinen ei kykene sitä
avaamaan.
• Julkisen verkon yli tapahtuvassa tiedon salaamisessa voidaan käyttää erilaisia salausalgoritmeja ja
menetelmiä, joiden vahvuuksissa ja suojaustasoissa on eroja.
• Osaa nykyisistä salaustekniikoista voidaan pitää murtumattomina. Esimerkiksi yleisimmin
hyödynnetty SSL suojausmenetelmä perustuu sellaisiin salausalgoritmeihin, jotka oikein käytettynä
tarjoavat käytännössä murtumattoman suojauksen. Esimerkiksi yhdistämällä maapallon kaikkien
tietokoneiden laskentateho 128 bittisen AES-salauksen murtamiseen, kuluisi tähän aikaa yli 500 000
kertaa pidempään kuin mitä universumi on ollut olemassa.
7
© 2013 Deloitte & Touche Oy, Group of Companies
Palvelutaso internetissä Palvelutaso määrittää tietoliikenneyhteyden saatavuuden
• Palvelutaso kuvaa tiedonvälityskanavan saatavuutta, eli sitä kuinka suuren osan ajasta
tiedonvälityskanava on loppukäyttäjien käytettävissä.
• Palvelutaso määritetään tietoliikenneoperaattorin ja asiakkaan välisessä palvelutasosopimuksessa
(SLA).
• Palvelutaso määritetään sekä yhteyden saatavuudelle että operaattorin reaktio- ja korjausajoille
ongelmatilanteissa.
• Palvelutasoon voi vaikuttaa teknisillä ratkaisuilla sekä organisatorisesti:
• Yhteyksien kahdentaminen,
• Palvelunestohyökkäyksien torjuminen,
• Operaattorin päivystyskäytännöt,
• Suunnitellut huoltokatkot.
• Maantieteellinen sijainti voi vaikuttaa palvelutasoon.
8
© 2013 Deloitte & Touche Oy, Group of Companies
X-Road Turvallista ja joustavaa tiedonvälitystä
• X-Road on Virossa käytössä oleva standardoitu palveluväyläratkaisu, joka mahdollistaa julkisen ja
yksityisen sektorin hallinnoimien ja eri puolille hajautettujen tietokantojen yhdistämisen yhdeksi
selkeäksi palvelukokonaisuudeksi.
• Tällä hetkellä palveluun on Virossa liittynyt yli 1000 organisaatiota, julkista rekisteriä ja tietokantaa.
Käyttömääriltään suurimmat palvelut ovat sähköinen reseptijärjestelmä, ajoneuvoliikennerekisteri,
vero- ja tulliviraston palvelut ja rajavalvonnan ylläpitämä Schengen -tietojärjestelmä.
• Palvelu perustuu tekniikasta ja alustasta riippumattomaan tiedonvälitykseen (SOAP –protokolla), joka
mahdollistaa erilaisten tietokantojen ja tietojärjestelmien joustavan ja kustannustehokkaan liittämisen
palveluun. Valitun ratkaisun ansiosta organisaatioiden ei tarvitse sitoutua yhteen tiettyyn tietokanta-
tai järjestelmätoimittajaan.
• Luotettavan tiedonsiirron takaamiseksi kaikki palveluväylää pitkin kulkeva liikenne salataan ja
allekirjoitetaan digitaalisesti. Jokaisesta tapahtuneesta tiedonvälityksestä tehdään myös lokitietoihin
kirjaukset, jotka mahdollistavat tiedonvälitystapahtumien todentamisen jälkikäteen.
• Organisaatiot vastaavat itse palveluväylään liitettyjen palveluiden käyttöoikeuksien hallinnoinnista.
• Tiedonsiirtoa varten ei tarvitse rakentaa omaa erillistä verkkoa, koska tiedonvälitys tapahtuu julkisen
internetin yli. Julkisen verkon lisäksi tiedonsiirto voidaan toteuttaa hyödyntäen muita verkkoratkaisuja
kuten Tuve-verkkoa.
• X-Road:ia vastaan on tehty yksi palvelunestohyökkäys, jossa väärinkäytettiin keskitetyn palvelun
nimipalvelutoiminnallisuutta. Lisäksi yhteen julkiseen palveluun on tehty SQL-injektointihyökkäys.
Palvelussa ei ollut syötearvojen tarkastusta toteutettu kattavasti.
9
© 2013 Deloitte & Touche Oy, Group of Companies
X-Road Arkkitehtuuri
• Palveluväylän infrastruktuuri koostuu turvallisuus-, hallinta-, sertifikaatti- ja monitorointipalvelimista.
• Turvallisuuspalvelimen tärkein tehtävä on varmistaa turvallinen tiedonvälitys organisaation
tietojärjestelmän ja sovitinpalvelimen välillä. Lisäksi turvallisuuspalvelin vastaa lokitietojen
keräämisestä.
• Keskitetyn hallintapalvelimen tehtävänä on ylläpitää tietoa väylään liitetyistä turvallisuuspalvelimista.
Tiedonvälitys on sallittu ainoastaan tunnistettujen turvallisuuspalvelimien välillä.
• Palveluväylään liitettyjen turvallisuuspalvelimien tilaa sekä väylän käyttöä on mahdollista seurata
monitorointipalvelimien kautta.
10
Käyttäjä
Organisaation turvallisuuspalvelin
Tietokannan turvallisuuspalvelin
TietokantaOrganisaation tietojärjestelmä
Keskitettyhallinta
Keskitettymonitorointi
Paikallinenmonitorointi
Sertifikaattipalvelin HardwareSecurity module (HSM)
SovitinpalvelinINTERNET
© 2013 Deloitte & Touche Oy, Group of Companies
X-Road Yksinkertainen kuvaus tiedonsiirrosta
1) Käyttäjä kirjautuu organisaation tietojärjestelmään normaaliin tapaan.
2) Tietojärjestelmä ilmoittaa organisaation turvallisuuspalvelimelle, että sillä on tarvetta välittää kysely
palveluväylään liitettyyn tietokantaan.
3) Organisaation turvallisuuspalvelin lähettää salatun pyynnön tietokantapalvelua tarjoavan
palveluntoimittajan turvallisuuspalvelimelle.
4) Palveluntoimittajan turvallisuuspalvelin tarkistaa onko pyynnön tehneellä organisaatiolla lupa
hyödyntää palveluväylän palveluita.
5) Jos organisaatiolla on lupa, salattu pyyntö puretaan ja välitetään tietokannan sovitinpalvelimelle.
6) Sovitinpalvelin vastaanottaa tietokannan muodostaman vastauksen palveluväylän kautta tulleeseen
kyselyyn. Vastaus välitetään samaa polkua pitkin kuin mitä alkuperäinen kysely.
11
1. 2. 3.
4.
6.
5.
6. 6. 6. Käyttäjä
Organisaation turvallisuuspalvelin
Tietokannan turvallisuuspalvelin
TietokantaOrganisaation tietojärjestelmä
Keskitettyhallinta
Keskitettymonitorointi
Paikallinenmonitorointi
Sertifikaattipalvelin HardwareSecurity module (HSM)
SovitinpalvelinINTERNET
© 2013 Deloitte & Touche Oy, Group of Companies
Palveluiden käyttöoikeudet
Vastuu palveluiden valtuutuksesta on palveluntarjoajalla
• X-Road ei ota kantaa siihen, kuka saa käyttää siihen julkaistuja palveluita.
• Palvelun käyttöoikeuksien myöntäminen on palveluntarjoajan ja käyttäjän vastuulla.
• Käyttöoikeus voidaan määrittää joko palvelua käyttävässä päässä, palvelun tarjoavassa päässä tai
molemmissa:
• Palveluntarjoaja tunnistaa palvelua kutsuvan järjestelmän. Sallitut järjestelmät saavat käyttää
palvelua vapaasti.
• Järjestelmän lisäksi palveluntarjoaja voi edellyttää palvelukutsussa loppukäyttäjän tunnistetietojen
välittämisen, jolloin palveluntarjoaja voi rakentaa omaan palveluun tai sen taustalla olevaan
järjestelmään valtuutuslogiikan loppukäyttäjän tietojen perusteella.
• Lisäksi palvelun käyttäjä tunnistaa loppukäyttäjän, ja voi tehdä valtuutuksen myös kutsuvassa
päässä.
12
© 2013 Deloitte & Touche Oy, Group of Companies
Palveluväylän tiedonsiirrolle asetetut tietoturvavaatimukset Vertailu SOTE –sektorin tietoturvavaatimusten ja X-Road ratkaisun välillä
• Tiedonsiirron osalta palveluratkaisun tulee täyttää julkisen hallinnon toiminnalle asetetut
tietoturvavaatimukset.
• Erityisesti sosiaali- ja terveydenhuollon sektoriin kohdistuu lainsäädännön vaatimuksia, jotka tulee
huomioida palveluväylän tiedonsiirron tietoturvavaatimuksissa.
• Deloitte kartoitti STM:n, THL:n ja Kelan edustajien kautta tiedonsiirtoon liittyviä tietoturvavaatimuksia.
• Vaatimusten osalta voidaan yhteenvetona todeta, että palveluväylän tiedonsiirron tulee täyttää samat
vaatimukset kuin mitkä on määritetty KanTa –palveluratkaisulle.
13
© 2013 Deloitte & Touche Oy, Group of Companies
Palveluväylän tiedonsiirrolle asetetut tietoturvavaatimukset Vertailu SOTE –sektorin tietoturvavaatimusten ja X-Road ratkaisun välillä
14
Palveluväylälle asetettu vaatimus X-road ratkaisu
Tieto tulee salata tiedonsiirron ajaksi TLS/(SSL)
protokollalla, jossa käytetään kahdensuuntaista
autentikointia ja kansallisia VRK:n toimittamia
varmenteita.
Vaatimus täyttyy: Tiedot salataan tiedonsiirron ajaksi
SSL salausprotokollalla.
Jos tietoa säilytetään potilastietojärjestelmän tai
KanTan ulkopuolisissa välivarastoissa, niin se tulee
salata tai varmistaa auditointijärjestelyin siten, että
ulkopuoliset eivät pääse tietoon käsiksi.
Vaatimus täyttyy: Palveluväylä perustuu hajautettuun
ratkaisuun, jossa potilastietoja ei säilytetä ulkopuolisissa
välivarastoissa. Palveluväylä ei ota kantaa siihen, millä
tavalla tietokantakyselyn tehnyt organisaatio hyödyntää
tai varastoi pyytämäänsä tietoa. Tietokantoja tarjoavat
organisaatiot määrittävät itse, mitä tietoja luovutetaan
kullekin kyselijälle.
KanTa palvelun vasteaikavaatimus on 3 sekuntia / 90
prosenttia tapauksista (10 s lopuille). KanTa-palvelun
saatavuusvaade on 99,8 %.
Vaatimus pystytään täyttämään: Tiedonsiirron
onnistumisen kannalta keskitettyjen hallinta- ja
monitorointipalvelimien sekä sertifikaattipalvelimen
/palvelimien saatavuus on keskeisessä asemassa.
Vaste- ja saatavuusvaateet tulee sopia
palveluoperaattoreiden kanssa SLA sopimusten
muodossa. Saatavuutta voidaan parantaa esimerkiksi
kahdentamalla keskeiset palvelimet ja yhteydet.
© 2013 Deloitte & Touche Oy, Group of Companies
Palveluväylän tiedonsiirrolle asetetut tietoturvavaatimukset Vertailu SOTE –sektorin tietoturvavaatimusten ja X-Road ratkaisun välillä
15
Palveluväylälle asetettu vaatimus X-road ratkaisu
Teknisesti tiedon eheydestä varmistutaan
allekirjoittamalla asiakirja ammattihenkilön tai
potilastietojärjestelmän/organisaation varmenteella.
Vaatimus täyttyy: Kaikki palveluväylää pitkin kulkeva
tieto salataan ja allekirjoitetaan varmenteilla. Tällä
varmistetaan tiedon eheys ja muuttumattomuus
tiedonsiirron aikana. Palveluväylä ei estä käyttämästä
muita menetelmiä tiedon eheyden varmistamiseksi
esimerkiksi asiakirjan allekirjoittamista.
KanTa-palvelut edellyttävät, että ammattihenkilö on
kirjautunut kansallisella laatuvarmenteella
potilastietojärjestelmään.
Vaatimus täyttyy: Palveluväylä ei ota kantaa siihen,
millä tavalla henkilö kirjautuu järjestelmään, joka on
liitetty palveluväylään. Kohdejärjestelmässä voidaan
käyttää siihen tarkoituksen määritettyä
kirjautumismenetelmää.
Lokit synnyttävä sanomaliikenteestä ja erityisesti
potilastietojen käytöstä ja luovutuksesta. Lokien
muuttumattomuus tulee varmistaa riittävällä tasolla
säilytyksen ajan. Auditointi varmistaa tämän aspektin
tietojärjestelmien toiminnallisuudesta.
Vaatimus täyttyy: Jokaisesta kyselystä muodostuu
lokimerkintä, josta käy ilmi kuka on tehnyt palvelukutsun
ja milloin. Lokien muuttumattomuus varmistetaan
laskemalla turvallisuuspalvelimen ja keskitetyn
hallintapalvelimen muodostamista lokeista
tarkistussumma.
© 2013 Deloitte & Touche Oy, Group of Companies
Yhteenveto X-Road arkkitehtuurin soveltuvuus Suomen palveluväyläratkaisuksi
• X-Road palveluväyläarkkitehtuuri tarjoaa joustavan ja turvallisen tiedonvälitysratkaisun, jonka
tietoturvaratkaisut mahdollistavat luotettavan tiedonsiirron julkisen internetin yli. Esimerkiksi SOTE –
alueen asettamat tietoturvavaatimukset luotettavalle tiedonsiirrolle pystytään täyttämään.
• X-Road ei ota kantaa siihen, mitä verkkoa tiedonsiirrossa käytetään. Julkisen verkon lisäksi
tiedonsiirto voidaan toteuttaa hyödyntäen muita verkkoratkaisuja kuten Tuve-verkkoa.
• X-Road-ratkaisu ottaa kantaa käytettävään reititys- ja tietoturvakäytäntöihin. Palvelutaso riippuu
käytettävästä tietoverkosta ja operaattorista.
• Kansallisen palveluväylähankkeen yhteydessä tulee määrittää kriteerit, milloin muiden
verkkoratkaisujen käyttäminen on perusteltua. Lisäksi tulee määrittää vaatimukset, jotka
poikkeavaan verkkoratkaisuun liittyvän organisaation tulee täyttää (esim. VAHTI –vaatimusten
perustason täyttäminen).
16
© 2013 Deloitte & Touche Oy, Group of Companies
17
© 2013 Deloitte & Touche Oy, Group of Companies
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of
member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description
of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms.
18