Tietoturva tietosuoja tietojärjestelmien suunnittelussa

Transkriptio

1 Tietoturva tietosuoja tietojärjestelmien suunnittelussa Sovelluskehityksen tietoturvaohje VAHTI 1/2013, Valtiovarainministeriö

2 - Käyttötapauksetkuka tekee ja mitä tekee - Käytettävyys mitä on hyvä käytettävyys käyttäjälle - Navigoinnin suunnittelu - tietoturvallisuus

3 TIETOSUOJA Tiedot suojattava asiattomalta käsittelyltä tietojen valtuudettoman saannin ja käytön estäminen tietojen luottamuksellisuuden säilyttäminen TIETOTURVA Laitteistot, ohjelmistot, tietoliikenneyhteydet ja tiedot on suojattava fyysisesti, teknisesti ja toiminnallisesti asiaintila, jossa uhat eivät aiheuta merkittävää riskiä keinojen ja toimenpiteiden kokonaisuus, joilla varmistetaan turvallisuus sekä normaaleissa että poikkeustilanteissa Tietoteknologian osaamiskeskus 3

4 Tietoturvapolitiikka ja ohjeet Yleiset periaatteet - eettiset periaatteet ja lait (kulttuurisidonnaisuus) Kansalliset periaatteet - kansalliset lait ja ohjeet Ohjeistukset - palvelujen ja teknologian toteutuksesta riippumattomia Toimenpiteet - hallinnolliset ja tekniset toimenpiteet, käyttöönotto-ohjeet, teknologia- ja organisaatioriippuvuus Tietoteknologian osaamiskeskus 4

5 Fyysinen tietoturva Fyysisen tietoturvan tavoitteena on varmistaa, ettei kukaan pääse varastamaan koneita, kovalevyjä tai muita tiedon tallennusmedioita varmistetaan, ettei kukaan pääse kiinni fyysiseen verkkoon tai kopiomaan tietoja, tai ettei jokin onnettomuus (tulipalo, vesivahinko yms) tuhoa tietoa Keinoina käytetään ovien asianmukaista lukitusta, kulunvalvontaa, vartiointia ja hälytysjärjestelmiä. Myös varmuuskopioiden ja syntyneen materiaalin jälkikäsittelyn (mm. säilytys, hävittäminen) turvallisuus on varmistettava Tietoteknologian osaamiskeskus 5

6 Tekninen tietoturva Teknisen tietoturvan tavoitteena on varmistaa, ettei käytetyissä laitteistoissa ja ohjelmistoissa ole tietoturvapuutteita Salasanoilla ja käyttäjätunnuksilla valvotaan tietojärjestelmiin pääsyä ja varmistetaan tietojärjestelmissä olevan tiedon säilyminen luottamuksellisena ja eheänä --->> käyttäjätunnukset määrittelevät, mihin tietoihin kenelläkin on oikeus Käytettävien ohjelmistojen suojaaminen luvattomalta käytöltä, ohjelmistojen lisenssien ylläpitäminen 6 Tietoteknologian osaamiskeskus

7 Laajempiin tietoverkkoihin yhteydessä olevissa lähiverkoissa on syytä varmistaa, etteivät ulkopuoliset pääse suoraan verkkoon Palomuuriratkaisut tai Proxy-palvelimet, jossa verkko eristetään niin, että vain yhden koneen kautta saa yhteyksiä ulkomaailmaan, määritellään mistä osoitteista on sallittua liikennöidä palomuurin takana oleviin järjestelmiin palomuurin avulla voidaan estää suurimmalta osin ylimääräinen liikenne, mutta luotettavaa todennusta, eheyttä, kiistämättömyyttä ja luottamuksellisuutta ne eivät takaa virusten, matojen yms haitallisen ohjelmakoodin torjunta 19/03/2014 Tietoteknologian osaamiskeskus 7

8 Yritysverkon sisäiset työasemat Sovellus palvelin WWWpalvelin Tietoturvapalvelin Bull CP8 DES salausmoduli Palomuuri Internet Reititin X.500 Hakemisto Yrityksen verkkoon ulkopuolelta tulevat työasemayhteydet

9 Toiminnallinen tietoturva Toiminnallisen tietoturvan, henkilöstöturvallisuuden, tavoitteena on varmistaa, ettei kukaan organisaation jäsen pääse käsiksi väärään tietoon, tai tekemään tiedoille jotain sellaisia toimenpiteitä joihin hänellä ei ole oikeuksia. Salassa pidettäviä tietoja ei voida luovuttaa tai siirtää ulkopuolisille ilman asiakkaan allekirjoittamaa kirjallista tai sähköistä suostumusta ja käyttöoikeuden varmistamista Tietojen luovuttaja vastaa luovutuksen laillisuudesta sekä tietojen oikeellisuudesta Tietoja luovutettaessa tulee varmistaa, että tieto ei joudu ulkopuolisten nähtäväksi Käyttöoikeudet, käytön rajoitukset Tietoteknologian osaamiskeskus 9

10 Tietoturvan osa-alueet Luottamuksellisuus (confidentiality): tiedot ovat vain niihin oikeutettujen käytettävissä (turvaluokitus) Eheys (integrity): tiedon muuttumattomuus syötön, käsittelyn ja tiedonsiirron aikana, tiedot eivät saa muuttua eivätkä hävitä virheiden / luvattomien toimenpiteiden seurauksena Todennus (authentication) varmistetaan että tiedonsiirron osapuolet (käyttäjät, tiedot ja tapahtumat) ovat niitä joita sanovat olevansa. Eheys ja todennus= lähetetty tieto vastaanottajalle tullessaan siinä muodossa kuin se on lähetetty Kiistämättömyys (non-repudiation) tarkoittaa ettei tiedon lähettäjä voi kiistää lähettäneensä tietoa /olleensa osapuolena tapahtumassa Pääsynvalvonta (access control) käyttäjien pääsyä järjestelmään ja tietoihin rajoitetaan ja valvotaan Saatavuus (availability) tieto pitää olla helposti ja viiveettä niiden käytössä joille tieto kuuluu. Jäljitettävyys (traceability) Tarvittaessa pitää pystyä selvittämään, Tietoteknologian osaamiskeskus 10 mitä järjestelmässä on tehty, kuka on tehnyt ja milloin tehnyt

11 On tärkeää huomioida turvallisuusnäkökohdat jo vaatimusmäärittelyissä, projektihankinnoissa ja suunnittelussa Ohjelmakoodia kirjoitettaessa ja järjestelmää konfiguroitaessa tietoturvaa tulee käsitellä kuten muitakin laatuominaisuuksia eli projektin kannalta tärkeät asiat ja yleiset hyvät käytännöt tulee ottaa huomioon Aikaisessa vaiheessa tehdyt tietoturvakorjaukset ja -muutokset ovat merkittävästi halvempia verrattuna jälkikäteen testaus- tai tuotantovaiheessa tehtyihin muutoksiin

12 Sovelluskehityksen tietoturvahaasteet Tietojärjestelmän kehittämisprosessissa tietoturvallisuuden huomioiminen koetaan hidastavana Kehittäjät ei aina ole tietoturvatietoisia Tietoturvallisuuden huomioonottamista ei opeteta Tietojärjestelmä voi koostua monesta komponentista, kokonaisuuden tietoturvallisuustaso muodostuu osien tietoturvallisuudesta

13 Huomio tietoturvallisuudessa yleensä vasta tietoturva-auditoinnissa Kehittämisessä kiire laatu ja tietoturvallisuus unohdetaan Tietojärjestelmäympäristöt monimutkaistuneet ulkoistaminen, pilvipalvelut, verkottuminen, uudet kielet ja ohjelmointitekniikat Ohjelmoinnissa ei varauduta mahdollisiin hyökkäyksiin (defensiivinen ohjelmointi) + virustorjunta, palomuurit, verkkohyökkäysten havainnointiohjelmat Riskianalyysit puutteellisia tai niitä ei tehdä lainkaan

14 Yhtä tärkeää kuin järjestelmän tietoturva on sovelluskehitystiimin tietoisuus ja osaaminen sovellustietoturvan alueilla Huomioitavia asioita ovat mm. tietoturvan huomioon ottaminen kehitysprosessissa (oli se Scrum, vesiputous tai jokin muu), tietoturvan dokumentoinnin ja katselmoinnin käytännöt, uusien uhkien tunnistaminen, turvalliset suunnittelumallit sekä sovelluksen ja arkkitehtuurikehyksen välinen vastuunjako tietoturvasuojauksissa Tätä tukee usein yrityksen sovelluskehitystietoturvaryhmä tai -asiantuntija, joka myös ohjeistaa, linjaa ja neuvoo projekteja tietoturva-asioissa

15 Perinteinen sovelluskehitysmalli Vesiputousmalli tietoturvallisuus otetaan huomioon jokaisessa elinkaaren vaiheessa Suunnitellaan toteutetaan testataan Jokaiselle vaiheelle määritellään tietoturvallisuustehtävät Vaiheesta toiseen siirryttäessä määritellään exit criteria joiden tulee täyttyä Projektin ohjausryhmä seuraa tietoturvallisuuden toteutumista

16 Ketterät menetelmät tietoturvallisuus sisältyy jokaisen inkrementin, sprintin toteutukseen Tällöin taataan lopullisen tuotteen tietoturvallisuus Uhka-analyysi tunnistetaan kaikki riskit ja uhat tietoturvakertomukset security story tavoitteet tietoturvan osalta Väärinkäyttötapaukset abuse casekäyttötapaukset hyökkääjän näkökulmasta

17 Tietoturvavastuut Jokaisessa projektissa määriteltävä tietoturvavastuut kuka vastaa, mistä Monitoimittajaympäristössä vastuut jaettava eri toimijoiden kesken Tietoturvavastaava kehitettävä järjestelmä vastaa tietoturvavaatimuksia ja on hyväksytyn tietoturvapolitiikan mukainen Tietoturvallisuuden varmistaminen on dokumentoitava Projektin aikana viestinnän, dokumentaation turvallisuus, riskienhallinta

18 Pilvipalvelut - tietoturvallisuus Infrastruktuuri palveluna IaaS- Infrastructure as a Service Sovellusalusta palveluna PaaS- Platform as a Service Sovellus palveluna SaaS Software as a Service Pilvipalvelulla tarkoitetaan verkon kautta käytettäviä palveluita Pilvipalvelu on toimintamalli jolla yhdistetään uusia ja vanhoja palveluita Tuotantoympäristö pilvipalvelun tuotantomalli jonka mukaan ympäristöä ylläpidetään

19 Mistä tasosta alkaen sovelluksen käyttäjällä on kontrolli sovellukseen Sovellus omalla palvelimella täysi kontrolli Sovellus toimittajan palvelimella kontrollista osa on toimittajalla Millaiset riskit eri tilanteisiin liittyvät Toimittajat tarjoavat asiakkaiden haluamia ominaisuuksia halvalla ja nopeasti Toimittajat eivät itsekään lupaa että asiakkaiden tiedot ovat riittävästi suojatut

20

21 Pilvipalveluiden tietoturvaongelmia Tiedon häviäminen, tai tietovuoto Tunnusten kaappaaminen Pilviteknologiasta aiheutuva haavoittuvuus, esim rajapinnat Tiedon fyysinen sijainti Omien tietoturvakäytäntöjen ulottuminen ulkopuoliseen palveluun (esim pääsynhallinta) Jaettu alusta, tiedon eristäminen tai salaaminen Pilven rikollinen, häriötä aiheuttava käyttö Uusi konsepti, tuntemattomat uhat

22 Sähköinen asiointi Minkä tahansa palvelun käyttö tai asioiden hoitaminen verkossa sähköisiä tietoliikenneyhteyksiä hyödyntäen pelisäännöt, joihin luottamus perustuu käytännöt, kuinka palveluita / sovelluksia käytetään varmenteen myöntämisen työkalut digitaaliset avaimet 19/03/2014 Tietoteknologian osaamiskeskus 22

23 PKI - julkisen avaimen menetelmä (public key infrastructure) julkisen avaimen järjestelmä yhdistelmä teknologisia ratkaisuja, menettelyjä ja hallinnollisia toimia, jolla mahdollistetaan arkaluonteisen tiedon vaihto turvattomassa ympäristössä kommunikaatioalusta (platform) sähköisen asioinnin palvelut ja sovellukset 19/03/2014 Tietoteknologian osaamiskeskus 23

24 Varmenteet, avaimet Varmenne = Luotettavan kolmannen osapuolen digitaalisesti allekirjoittama todistus siitä, että tietty julkinen avain kuuluu tietylle avaimen käyttäjälle - Julkisen avaimen lisäksi varmenne sisältää myös muita tietoja, kuten henkilön tai organisaation nimen, varmenteen myöntämis-päivän, viimeisen voimassaolopäivän, yksilöllisen sarjanumeron, jne. - Varmenne sitoo julkisen avaimen ja käyttäjän identiteetin yhteen 19/03/2014 Tietoteknologian osaamiskeskus 24

25 Julkisen avaimen menetelmässä yksityinen avain ja julkinen avain (liittyvät toisiinsa tietyllä kaavalla), = muodostavat avainparin, yksityisellä avaimella salattu tieto voidaan tulkita vain ja ainoastaan julkisella avaimella ja päinvastoin Yksityinen avain = toimikortilla Julkinen avain = tallennettu varmenteeseen (hakemistossa) Varmentaja (Certification Authority) antaa varmenteen Varmennepolitiikka (certification politics), varmennekäytännöt (certification practice statements) 19/03/2014 Tietoteknologian osaamiskeskus 25

26 Varmenteet voidaan jakaa esimerkiksi seuraaviin luokkiin: Henkilövarmenne Yksityisen henkilön käyttöön tarkoitettu varmenne. Henkilövarmenne sitoo henkilön julkisen avaimen sitä käyttävään henkilöön Roolivarmenne Käytetään myös nimityksiä työ- ja virkavarmenne. Roolivarmenne on muutoin samanlainen kuin henkilövarmenne, mutta sitoo julkisen avaimen käyttäjään, joka toimii jossakin roolissa (esim. suosittelija, hyväksyjä) tai työtehtävässä Laatuvarmenne Varmenne, joka täyttää sähköisistä allekirjoituksista annetussa laissa säädetyt vaatimukset ja jonka on myöntänyt säädetyt vaatimukset täyttävä varmentaja Palvelinvarmenne Esimerkiksi www-palvelimen käyttöön tarkoitettu varmenne, jonka avulla käyttäjä voi varmistua palvelimen todenperäisyydestä (asioivansa oikean palvelimen kanssa) 19/03/2014 Tietoteknologian osaamiskeskus 26

27 Varmennusorganisaation peruselementit Palomuuri Korttivalmistaja Varmentaja Hakemisto Rekisteröijä Asiakas 19/03/2014 Pirkko Nykänen 27

28 Digitaalinen allekirjoitus 28 varmentaja allekirjoittaa digitaalisen dokumentin/ varmenteen omalla yksityisellä avaimellaan allekirjoittaja laskee allekirjoitettavasta viestistä yksisuuntaisen funktion avulla tiivisteen, jonka hän salaa yksityisellä avaimellaan vastaanottaja laskee saamastaan viestistä myös tiivisteen ja vertaa sitä allekirjoittajan julkisella avaimella avaamaansa salattuun tiivisteeseen jos samat = viesti on tullut ehyenä ja sen on allekirjoittanut juuri se henkilö, jonka varmenteen julkista avainta salatun tiivisteen avaamiseen on käytetty Sanoman lähetys OK Selväkielinen sanoma 160-bittinen tiiviste Tiivisteen salaus lähettäjän salaisella avaimella Tiivisteen avaus lähettäjän julkisella avaimella Tiivisteen vertaaminen alkuperäiseen sanomaan 19/03/2014

29 Henkilön sähköinen tunnistus Toimikortti (ISO 7816) avain, varmenne pystytään hoitamaan digitaalinen allekirjoitus sähköiset asiointikortit, HST-kortit sähköinen henkilökortti: 1999 käyttöön, varmenneviranomainen Väestörekisterikeskus, sähköinen asiointi, allekirjoitus, salaus, poliisi myöntää pyynnöstä Kelan sosiaaliturvakortti: henkilö voidaan todentaa, sähköinen allekirjoitus, asiakirjojen ja viestien salaus, ammattilaisen todentaminen, sairausvakuutustiedot, 3 v Organisaatiokohtaisia kortteja 19/03/2014 Tietoteknologian osaamiskeskus 29

30 Biometrinen tunnistus perustuu ihmisen kehon yksilölliseen rakenteeseen >>> jonkin ruumiinosan muodon tai ominaisuuden mittaamisella saavutetaan hyvin vahva henkilöllisyyden tunnistus tunnistus voi perustua: sormenjälkeen silmän verkkokalvon tunnistukseen äänen / puheen tunnistukseen kasvojen muodon tunnistukseen 19/03/2014 Pirkko Nykänen 30

31 Tunnistaminen sähköisiä asiointipalveluja käytettäessä Vuorovaikutteinen asiointi Asiakkaan vahva tunnistaminen: Laatuvarmenteet ja julkisen avaimen menetelmä Käyttäjätunnukseen ja vaihtuviin salasanoihin perustuva tunnistaminen kuten verkkopankissa viranomaisen ylläpitämä vaihtuvan salasanan järjestelmä, jossa viranomainen toimittaa asiakkaalle käyttäjätunnuksen ja kertakäyttösalasanojen luettelon tunnistettuaan asiakkaan henkilökohtaisesti asiakaskäynnin yhteydessä 19/03/2014 Tietoteknologian osaamiskeskus 31

32 Langattoman tietoliikenteen tietoturva Langaton tiedonsiirto vanhempaa kuin langallinen savumerkit, varoitustulet = vainovalkeat, langaton lennätin, radiolähetykset Langaton tiedonsiirto turvattomampaa langatonta yhteyttä voidaan helposti salakuunnella mobiilit päätelaitteet anonyymejä: voivat joutua vääriin käsiin, liikkuvat --> tarvitaan käyttäjän tunnistus! Langattoman tietoliikenteen tietoturvaa hankaloittaa Heikko laskentateho: turvaprotokollien laskentatarve Rajoitettu muistikapasiteetti, rajoittaa käytettäviä salausmenetelmiä Tehonkulutuksen säästötarve: Akut ja paristot Käytettävyysrajoitukset Tunkeutuminen mobiilipalveluihin: naamioituminen validiksi käyttäjäksi 19/03/2014 Tietoteknologian osaamiskeskus 32

33 Langattoman tietoturvan vaatimukset Olemassaolevien tietoturvaratkaisujen sovittaminen langattomaan ympäristöön Eri laitteiden yhteistoiminnallisuuden parantaminen Laitteiden luotettavuuden parantaminen Korkeatasoisen turvajärjestelmän kehittäminen niin, ettei laitteiden käytettävyys kärsi Hyökkäysten estäminen: Tietojen kaappaus, tietojen muuttaminen kryptografinen hyökkäys: murretaan viesti tai käyttäjätietojen salaus Hyökkäjät: Hakkerit, vakoojat, terroristit, yrityshyökkääjät, rikolliset, vandaalit Virusten yms torjunta Tietoteknologian osaamiskeskus 33

34 Keinoja tietoturvan toteuttamiseksi Tietoturvapolitiikka, jolla suojataan tietoverkot Organisaatioiden henkilöstön tietoturvaohjeet ja koulutus Fyysinen, tekninen ja toiminnallinen tietoturva Tietoturvauhkien ja riskien analysointi Vastatoimien suunnittelu: Avainten ja salasanojen paljastumisen estäminen SIM-kortin joutuminen vieraisiin käsiin estettävä Operaattorin verkon suojaus Salasanojen, avainten yms koodien tallennus tietokannassa Virheet ja toimintahäiriöt verkoissa 19/03/2014 Tietoteknologian osaamiskeskus 34

35 Hyvä salasana Yksityisen käyttäjän suojautuminen Käytä vain koneelta jossa ohjelmat on päivitetty, erityisesti selain ja sen lisäosat Älä avaa liitteitä jos et ole varma lähettäjästä/sisällöstä Noudata varovaisuutta palvelujen käytössä Palveluissa on helppo esiintyä toisena henkilönä, varmista oikea henkilöllisyys Työminä vs. nettiminä Harkitse mitä kirjoitat, missä, mitä tietoja itsestäsi annat, älä levitä sosiaaliturvatunnustasi

36 Yhteenveto tietoturva suunnittelussa Arkkitehtuuriratkaisuissa huomioidaan eri ratkaisujen yhteensopivuus suositaan standardeja Sovelluksen omistaja hyväksyy kuinka vahvaa tunnistautumista ja luotettavaa identiteettiä sovelluksen käyttöön tarvitaan jos kirjaudutaan käyttäjätunnus/salasanaparilla, salasanan laatuvaatimusten tulee olla konfiguroitavissa: salasanan pituus, ei-aakkosmerkkien lukumäärä, lukkiutuminen määräajaksi virheellisten yritysten jälkeen Käyttäjille vain tarvittavat oikeudet järjestelmiin Käyttö- ja ylläpitotunnusten tulee olla henkilö- ja roolikohtaisia Käyttäjänhallintamenettelyjen tulee varmistaa että tietoturva-asetusten muokkaus on estetty peruskäyttäjiltä

37 Kaikki ulkopuolelta tullut syöte on tarkastettava ennen käyttöä Sovellusistunto on varmistettava ettei voida kaapata, väärentää, luvattomasti nauhoittaa tai toistaa joutilas istunto on aikakatkaistava Käyttäjätiedot on hallittava ajantasaisesti ja keskitetysti hallintaprosessit ja työnkulut on dokumentoitava Järjestelmästä tulee olla ajantasainen ja kattava dokumentaatio: vaatimukset,,määrittelyt, suunnitelmat, testisuunnitelmat ja raportit, turvakuvaukset jne Salausratkaisujen on oltava kansallisen / kansainvälisen tietoturvaviranomaisen hyväksymiä Tietoliikenne tulee salata käyttäjän laitteesta palvelimelle Tunnistautumiseen käytettävät arkaluonteiset tiedot kuten salasanat eivät saa kulkea verkon yli salaamattomina