Sosiaali-ja terveydenhuollon tietojärjestelmä UNA-hanke

Transkriptio

1 Sosiaali-ja terveydenhuollon tietojärjestelmä UNA-hanke Tietoturva- ja tietosuojavaatimukset SOSIAALI-JA TERVEYDENHUOLLON TIETOSUOJASEMINAARI Marko Ruotsala, Istekki Oy Marko Ruotsala M.Eng, HCISPP, CRISC, CISA, CISM Turvallisuuspalveluiden päällikkö, Istekki Oy Tausta PSSHP:n ICT-palveluissa Istekki Oy tietoturvapäällikkö /2016 1

2 Hankkeen taustaa Asiakas-ja potilastietojärjestelmät muodostavat alueellisen tietojärjestelmäarkkitehtuurin ytimen ja ne ovat sosiaali-ja terveydenhuollon keskeisimpiä operatiivisia järjestelmiä Nykyisin käytössä oleviin asiakas-ja potilastietojärjestelmiin kohdistuu merkittäviä uudistamistarpeita Nykyiset asiakas-ja potilastietojärjestelmät eivät esimerkiksi ole riittävän muutosjoustavia pystyäkseen vastaamaan uusien toimintamallien asettamiin tarpeisiin Useat sote-organisaatiotovat rakentamassa uusia sairaaloita tai kehittämässä toimintaa, johon tarvitaan apuvälineeksi nykyaikaista teknologiaa Käyttäjien tyytymättömyyttä aiheuttavat järjestelmien heikko käytettävyys, taipumattomuus sähköisiin reaaliaikaisiin konsultaatioihin sekä integraatioiden kömpelyys Hankkeen taustaa Yhteistyöhanke UNA-hanke perustettiin määrittelemään yhteistyössä sosiaali-ja terveydenhuollon keskeisimmät toiminnalliset vaatimukset sekä modulaarisen järjestelmäarkkitehtuurin Yhteistyössä tarkasteltiin ja täsmennettiin jo olemassa olevia, Kiila-hankkeessa tehtyjä vaatimuksia Lisäksi määrittelyjen pohjana hyödynnettiin muita aikaisemmin tehtyjä määrityksiä, kuten Apottimäärityksiä Hanke käynnistyi virallisesti ja päättyi

3 Hankkeen tulevaisuus Vaatimusmäärittelyaineisto on julkaistu Innokyläverkkopalvelussa UNA-yhteistyönseuraavassa vaiheessa on tavoitteena hallitusti ja kansallisessa yhteistyössä uudistaa ja yhtenäistää sosiaali-ja terveydenhuollon tietojärjestelmäratkaisuja yhteiseen UNA-etenemispolkuun ja - vaatimusmäärittelyihin pohjautuen UNA-jatkohanke UNA-väliaikaishallintoon valmistellut kesän ja alkusyksyn ajan jatkohankkeen käynnistämistä Jatkohanke käynnistyi Isäntäorganisaatio PSHP Ohjausryhmän 1. kokous

4 Hankkeen laajuus ja rajaukset Hankkeen tavoitteet Hankkeen tavoitteena oli tuottaa organisaatio-, hallinto-ja toimittajariippumaton vaatimusmäärittely asiakaslähtöisestä ja vaikuttavien hyvinvointipalveluiden tuottamisessa edellytettävästä yhteen toimivasta sotetietojärjestelmäkokonaisuudesta Hankkeessa syntyneen vaatimusmäärittelyaineiston avulla voidaan kansalliseen tai alueelliseen yhteistyöhön pohjautuen vaiheittain kilpailuttaa tietojärjestelmäratkaisuja tai ohjata nykyisten kehittämistyötä Hankkeen alussa mukana olevat organisaatiot sopivat yhteisen vision, johon tuotettu vaatimusmäärittely perustuu 4

5 Roolini hankkeessa Tietoturva-arkkitehtuuri UNA-arkkitehtuurilinjaukset ja vaatimukset Ohjaavat järjestelmäkokonaisuuden tietoturvaan liittyviä yksityiskohtia. Tavoitteena on, että kehittämislinjauksiin pohjautuen järjestelmäkokonaisuuden tietoturva/tietosuoja ei vaarannu missään vaiheessa. 1.Järjestelmäratkaisut ovat toteutettu niihin kohdistuvat tietoturva-ja tietosuojariskit arvioiden 2.Lokitiedot hallitaan keskitetyllä lokienvalvontajärjestelmällä, joka varmistaa lokitietojen eheyden 3.Järjestelmäkokonaisuus on suunniteltu jatkuvuuden ja poikkeustilanteisiin varautumisen osalta organisaation toiminnan vaatimalla tasolla 5

6 UNA tietoturvavaatimukset Taustamateriaalina ovat olleet: Kiila tietoturvavaatimukset Apotti tietoturvavaatimukset Tampereen kaupungin tietoturvavaatimukset Vahti valtion tietoturvatasot 3/2012 Vahti ICT-Varautumisen vaatimukset 2/2012 Vahti sovelluskehityksen tietoturvaohje 1/ UNA Workshopin ennakkotehtävät UNA Workshopin ryhmätyöt UNA Workshopin ryhmätyöt UNA tietoturvavaatimukset 161 vaatimusta (sis. tietosuojavaatimukset) Osassa tarkemmat selitteet Lisäksi osassa ohjeistusta vaatimuksen käytölle kilpailutuksessa (mukana työversiossa) Kolme asiantuntijahaastattelua Tietosuojavaltuutettu Reijo Aarnio, ylitarkastaja Arto Ylipartanen Professori Jarno Limnéll Cyber Security Advisor Erka Koivunen 1,5 päivää Workshoppeja n. 50 vaatimusta jotka jätettiin pois lopullisesta versiosta 6

7 UNA tietoturvavaatimukset UNA tietoturvavaatimukset Hierarkia tietoturvan osalta: Lainsäädäntövaatimukset (pakollisia) Vahti vaatimukset (pakollisia) ISO ja Katakri standardinmukaisuudet (optioina) Loput arkkitehtuurin ja riskiarvion perusteella täydentäviä vaatimuksia (optioina) Hierarkia tietosuojan osalta: Vaatimukset ovat pakollisia 7

8 UNA tietosuojavaatimukset UNA tietosuojavaatimusten tarkentaminen on tapahtunut Tampereen kaupungin tietosuojavastaava Ari Andreassoninjohdolla tietosuojavastaavien pienryhmässä Joista paikalla tässä huoneessa ainakin suurin osa! Ari koosti esityksen UNA tietosuojavaatimuksiksi useista eri lähteistä ja omaan pitkään kokemukseen perustuen Lokiasiat eli käytönvalvonta ovat tärkeimpiä tietosuojavaatimuksia Tietoturvavaatimusten haasteita UNA:ssa vaarana on mm. että ollaan liimaamassa tietosuoja-sekä tietoturvavaatimuksia päälle jälkeenpäin Tietoturvakontrollit tulisi rakentaa aina riskiarvioon perustuen Ei kannata tehdä toiminnan kannalta liian kireää tai hankalaa tietoturvaa, panostaa merkittävästi vain teoreettisten uhkien torjuntaan, tai moninkertaisiin kontrolleihin (kustannukset, käytettävyys) Organisaation tulee itse määrittää minkä tasoista turvallisuutta haetaan (lait, asetukset ja määräykset ovat luonnollisesti minimitaso, jota ei saa alittaa) Riskiarvion perusteella rekisterinpitäjän tulee tehdä tietoisia ja dokumentoituja päätöksiä tarvittavista tietoturvakontrolleista Emme tunne vielä tulevaa asiakaskohtaista kokonaisarkkitehtuuria esim. Tietotosisältöä eri moduuleissa Käyttötapoja (kansalaisen asiointi, mobiililaite ammattilaisella ) Teknologiaratkaisuja, toimintaympäristöjä Toimitusmallia (OnPremises, SaaS, IaaS ) Hankinnan kohteet tulevat vaihtelemaan 8

9 Tietoturvavaatimusten haasteita EU yleisen tietosuoja-asetuksen vaatimukset, jonka sisältö ei ollut täysin tiedossa UNA hankkeen aikana Annettu Sovelletaan Tulee muuttamaan myös kansallista lainsäädäntöä UNA vaatimuksia on varmuudella täydennettävä jälkeenpäin Sisäänrakennettu ja oletusarvoinen tietosuoja Voiko se ylipäätään toteutua pitkällä Excel vaatimuslistalla? Voiko se toteutua ilman kattavia riskiarvioita? Voiko se toteutua muuten kuin neuvottelumenettelyn avulla? Haasteet /ratkaisut UNAssasyntyi pitkä lista tietoturva-ja tietosuojavaatimuksia Vaatimukset jäivät tarkoituksella kohtuullisen yleiselle tasolle Jokainen organisaatio valitsee (riskiarvionsa perusteella) mitä vaatimuksista käyttää, kun lähtee hankkimaan jotain UNA moduulia tai ydintä Samalla on syytä realistisesti arvioida mitä kustannusseurauksia vaatimuksella voi olla Todennäköisesti vaatimuksia on myös täydennettävä hankintavaiheessa (jokainen organisaatio vastaa itse vaatimusten kattavuudesta) Hankinta vaatii siten merkittävää tietosuoja-ja tietoturvaosaamista hankinnan tekevässä organisaatiossa (tai sen hankkimista esim. palveluna) 9

10 Haasteet /ratkaisut Sisäänrakennettu ja oletusarvoinen tietosuoja Pakolliset riskianalyysit (SDLC, järjestelmän elinkaaren kaikissa vaiheissa) Tulee tuntea toiminta Tulee tuntea kerättävä tieto Tulee tuntea järjestelmäarkkitehtuuri (sovellukset, teknologiat) Riskit poikkeavat esim. kerättävästä tiedosta ja arkkitehtuurista riippuen Mitä enemmän tietoa kerätään ja mitä useammasta paikkaa se löytyy Riskit lisääntyvät Mitä enemmän käyttöliittymiä Mitä enemmän integraatiota Mitä enemmän osajärjestelmiä Mitä enemmän käyttötapoja Riskienhallintaa Riskien tunnistaminen (motiivit, tapahtumat..) Haavoittuvuuksien tunnistaminen Skenaarioiden rakentaminen ja uhkamallinnus Seuranta (määräajoin, muutoksissa) Todennäköisyyksien arviointi Riskien merkityksen arviointi BIA, PIA Hallintakeinojen (kontrollien) valinta 10

11 Nostoja vaatimuksista /pakolliset vaatimukset Järjestelmä tulee olla toteutettu siten, että se noudattaa ja sitä käytettäessä voidaan noudattaa voimassaolevaa Suomen lainsäädäntöä, joka ohjaa mm. rekisterinpitoa ja henkilö sekä asiakastietojen käsittelyä sekä viranomaisten toiminnasta annettuja muita lakeja ja määräyksiä. Järjestelmä toteuttaa THL:n "Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista (1/2015). Liite 1 Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille" -vaatimukset. Vaatimukset on toteutettava soveltuvan kohderyhmän mukaisesti. Toimittaja toteuttaa valtion tietoturvatasot (Vahti) Korotetun tason vaatimukset. Vahti 3/2012 Liite 2: TTT - Tietoturvallisuuden hallinnan vaatimukset. Järjestelmä toteuttaa valtion tietoturvatasot (Vahti) ICT- Varautumisen vaatimukset korotetulla tasolla Vahti 2/2012. Järjestelmä toteuttaa valtion tietoturvatasot (Vahti) Sovelluskehityksen tietoturvaohjeen vaatimustaulukon vaatimukset korotetulla tasolla. Vahti 1/2013. Nostoja vaatimuksista /auditoinnit Järjestelmä tulee olla tilaajan hyväksymän kolmannen osapuolen tietoturva-auditoima ennen käyttöönottoa. Tietoturva-auditoinnissa käytetään vertailukohtana vaatimusluettelon vaatimuksia ja/tai vaatimusluettelossa vaadittuja standardeja (esim. Vahti ja ISO 27001), ja/tai lainmukaisuutta, ja/tai THL Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista. Järjestelmä tulee olla auditoitavissa tarvittaessa myös käyttöönoton jälkeen. Jos järjestelmä ei täytä tarjottavan kokonaisuuden tietoturva - auditointivaatimuksia, tulee toimittajan korjata ko. puutteet Tilaaja määrittelee auditoinnin laajuuden. Auditoinnissa havaitut puutteet korjataan viiveettä. Toimittajan on korjattava kriittiset puutteet veloituksetta mahdollisimman pian, muiden tasoisten puutteiden osalta aikataulu sovitaan tilaajan kanssa erikseen. Käyttöönottoauditointien löydökset korjataan ennen järjestelmän käyttöönottoa. 11

12 Nostoja vaatimuksista /etäyhteydet Toimittajan järjestelmään tapahtuvia etäyhteyksiä varten tilaaja määrittää käytettävän teknologian Toimittajan tulee vahvasti salata hallinta- ja etäyhteydet tilaajan tietojärjestelmiin. Hallinta ja -etäyhteyksien käytöstä tulee jäädä merkinnät lokitietoihin. Etäyhteyksissä tulee käyttää tilaajan kanssa sovittavaa vahvaa tunnistautumista. Toimittajayhteyksissä käytetään vain henkilökohtaisia käyttäjätunnuksia. Tämä vaatimus on toteutettava järjestelmään asianmukaisen kirjautumisen lisäksi. Toimittajan etäyhteyksistä syntyy loki johon voidaan tallettaa mm. IP osoitteet, käyttäjätunnus, kellonajat, yhteydessä tehdyt toimenpiteet. Loki säilytetään kuten järjestelmän käytöstä syntyvät muut tekniset- ja käyttölokitiedot. Toimittajayhteyksissä käytetään vähintään kaksivaiheista tunnistautumista (käyttäjätunnus/salasana yhdistelmän lisäksi kertakäyttöinen salasana esim. ns. secure token, SMS viesti, sähköposti). Toimittajan kanssa tehdään erillinen kirjallinen etäyhteyssopimus, jossa sovitaan osapuolten velvollisuudet ja oikeudet Otetaanko yhdessä tämä asia agendalle? Yhteistyössä on voimaa! Järjestelmän hyväksytyt etäkäytön tekniset ratkaisut on sovittu ja dokumentoitu tilaajan kanssa. Nostoja vaatimuksista /tietosuoja Järjestelmän pitää pystyä erottelemaan loogisesti eri henkilörekisterit ja rekisterinpitäjät. Luovutustiedon sisällön osalta kustakin tiedonluovutuksesta lokitetaan ainakin: - Aikaleima - Asiakas, jonka tietoja luovutetaan - luovutettava tieto - Luovuttava taho & henkilö - Vastaanottava taho & henkilö - Viittaus annettuun oikeuteen puolesta asiointiin Järjestelmässä on mahdollista kirjata asiakkaan / potilaan omia tarkennuksia tietojen luovuttamiseen esimerkiksi sukulaisten tiedusteluihin, ym. 12

13 Nostoja vaatimuksista /lokitusja pääkäyttäjät Kaikki tapahtumat joilla on merkitystä järjestelmän tietoturvan kannalta tulee lokittaa. Järjestelmän tulee tuottaa kattava tekninen lokitieto (esim. ylläpito-, käyttö- ja virhelokit). Lokiin tallentuu ainakin kuka on muuttanut, milloin ja mitäkin tietoa. Tarpeesta riippuen voi olla tarve lokittaa myös muita asioita, kuten miten tietoa on muutettu (esim. mikä oli vanha ja uusi arvo) tai miltä päätelaitteelta muutos on tehty jne. Tietosuojaan liittyviä käyttölokivaatimuksia on esitetty lisäksi erikseen UNA tietosuojavaatimuksissa. VAHTI 3/2009 lokiohje soveltuu lokituksen suunnittelun perusohjeeksi. Järjestelmän on tuotettava lokia sen ja muiden UNA moduulien (Ydin, Integraatiot, muut järjestelmät) välisestä viestinnästä, ml. tekniset virhetilanteet. Järjestelmän tulee lokittaa myös pääkäyttäjien ja teknisten tukihenkilöiden vianselvitystilanteissa UNA ytimeen suorittamat tietohaut. Salassa pidettävä tieto tulee olla suojattavissa siten, että sitä voidaan suojata myös järjestelmän palvelimen ylläpitäjiltä. Toteutustapoina voivat olla mm. tietokantojen salaus, varmistusten salaus, tietoliikenteen salaus. Nostoja vaatimuksista /tietosuoja Järjestelmän pitää pystyä erottelemaan loogisesti eri henkilörekisterit ja rekisterinpitäjät. Luovutustiedon sisällön osalta kustakin tiedonluovutuksesta lokitetaan ainakin: - Aikaleima - Asiakas, jonka tietoja luovutetaan - luovutettava tieto - Luovuttava taho & henkilö - Vastaanottava taho & henkilö - Viittaus annettuun oikeuteen puolesta asiointiin Järjestelmässä on mahdollista kirjata asiakkaan / potilaan omia tarkennuksia tietojen luovuttamiseen esimerkiksi sukulaisten tiedusteluihin, ym. 13

14 Kiitos! Kysymyksiä? marko.ruotsala(ät) istekki.fi