Ammattilaisen tunnistaminen ja sähköinen allekirjoitus sosiaalihuollossa

Transkriptio

1 Ammattilaisen tunnistaminen ja sähköinen allekirjoitus sosiaalihuollossa SOSIAALIALAN TIETOTEKNOLOGIAHANKE SOSIAALI- JA TERVEYSMINISTERIÖ Suomen Kuntaliitto Terveyden ja hyvinvoinnin laitos Itä-Suomen sosiaalialan osaamiskeskus Itä-Suomen yliopisto Tekijät Mika Tuomainen, Anna Väinälä, Konstantin Hyppönen, Maarit Laaksonen, Esa Paakkanen, Marko Suhonen, Ella Taskinen, Atte Roppola, Jatta Aholainen, Lauri Väätäinen Dokumentin versio 1.0 Päiväys

2 Sisällysluettelo 1 Johdanto Käsitteet Tunnistamisen, sähköisen allekirjoituksen ja varmenteiden hallinnan arkkitehtuuri Varmenteiden hallinnan toimintamalli Erilaiset varmenteet Toimikortit Käyttökohteet Infrastruktuuri Toimikorttien hallinta Järjestelmäallekirjoitusvarmenne Varmennejärjestelmä ja varmennepalvelut Valtakunnallinen varmennepalvelujen tilanne Väestörekisterikeskuksen varmennejärjestelmä, varmenteet ja varmennepalvelut Varmenteiden hallinnan toteuttaminen sosiaalihuollossa Varmenteet Varmennejärjestelmä ja -palvelut Rekisteröintipisteet Kustannukset Varmennejärjestelmän ja varmennepalveluiden käyttöönotto Ammattilaisen tunnistaminen sosiaalihuollossa Ammattilaisen tunnistaminen organisaation sisällä Toimikorttipohjainen tunnistaminen Ammattihenkilön yksilöintitunniste Kertakirjautuminen Ammattilaisen tunnistaminen organisaation ulkopuolisissa palveluissa Käyttäjän tunnistamisen toimintamalli Sähköinen allekirjoitus sosiaalihuollossa Ammattilaisen sähköinen allekirjoitus Järjestelmäallekirjoitus Allekirjoituksen tarkoitukset Allekirjoitettavat asiakirjat Tekninen ratkaisu XML-allerkirjoitus ja allekirjoituksen sijainti HL7 CDA R2 header -allekirjoitus Sähköisen allekirjoituksen toimintamallit Ammattilaisen sähköinen allekirjoitus Järjestelmäallekirjoitus Yhteenveto Lähteet

3 V E RSI O H IST O RI A Versio Pvm Tekijät Muutokset ATJ-versio Jory-versio 3

4 1 Johdanto Tämä dokumentti on osa Sosiaalialan tietoteknologiahankkeen (Tikesos-hanke) vuoden 2011 käytönhallintamäärittelyjä. Tässä dokumentissa esitetään ratkaisuehdotukset sosiaalihuollon ammattilaisten tunnistamiseen, asiakirjoissa tarvittaviin sähköisiin allekirjoituksiin sekä sosiaalihuollossa käytettäviin varmenteisiin, varmennejärjestelmään ja varmennepalveluihin. Ammattilaisen tunnistamisen osalta keskitytään ratkaisuun, jolla ammattilainen voidaan tunnistaa asiakastietojärjestelmässä vahvasti. Dokumentissa käydään yleisessä tasolla myös kertakirjautumisen ja luottamusverkoston tunnistautumisen ratkaisuja. Käyttöoikeuksien ja käyttövaltuuksien hallintaa ei käsitellä tässä dokumentissa vaan ne kuuluvat työkäyttövaltuuksien hallinta ja käytön seuranta Allekirjoitusten osalta tässä dokumentissa jatketaan vuonna 2010 tehtyä työtä. Keskeisin allekirjoituksiin liittyvä tehtävä on selvittää täsmällisemmin ne asiakirjat, jotka vaativat ammattilaisen henkilökohtaisen sähköisen allekirjoituksen. Näkökulma on rajattu arkistoinnin kautta tuleviin allekirjoitusta koskeviin vaatimuksiin ja kansallinen keskitetysti toteutettava arkistointi on ollut allekirjoitusmäärittelyjen lähtökohtana. Lisäksi lakeja, joissa edellytetään omakätistä (fyysistä) allekirjoitusta, on tulkittu seuraavasti: jos asiakirjassa vaaditaan omakätistä allekirjoitusta, on se toteutettava henkilökohtaisella kehittyneellä sähköisellä allekirjoituksella. Varmenneratkaisut ovat oleellinen osa vahvaa tunnistautumista ja sähköisiä allekirjoituksia. Ammattilaisen vahvan tunnistamisen ja sähköisten allekirjoitusten järkevin ratkaisumalli on toimikorttipohjainen ratkaisu ja toimikorteissa käytettävät varmenteet. Käyttäjään liitettävien toimikorttiratkaisujen lisäksi sosiaalihuollossa tarvitaan järjestelmäallekirjoituksia, joissa käytetään järjestelmäallekirjoitusvarmenteita. Tässä dokumentissa käydään läpi sosiaalihuollossa tarvittavat toimikorttiratkaisut tunnistamiseen ja sähköisiin allekirjoituksiin, järjestelmäallekirjoitusratkaisu sekä ehdotus varmenteiden hallinnan ratkaisumallista. Lisäksi kuvataan vaatimukset ja huomioitavat seikat, jotka valituista linjauksista seuraavat. On huomattava, että dokumentissa esitettävä varmenneratkaisu mahdollistaa myös palvelinlaitteiden tunnistamiseen tarvittavien varmenteiden tuottamisen (palvelinvarmenteet) ja hallinnoinnin. Palvelinvarmenteet ovat kuitenkin tämän määrittelyn ulkopuolella. 4

5 2 Käsitteet Seuraavassa määritellään tässä dokumentissa käytettyjä tunnistautumiseen ja sähköisiin allekirjoituksiin liittyviä käsitteitä. Alkuperäisyys Asiakirjan lähettäjä on juuri se taho tai henkilö, joka on merkitty viestin lähettäjäksi. Allekirjoituksen luomisväline Ohjelmistot ja laitteet, joilla yhdessä allekirjoituksen luomistietojen kanssa luodaan sähköinen allekirjoitus (VRK 2011) Allekirjoituksen todentamistiedot Sähköisen allekirjoituksen todentamisessa käytettävä tietokokonaisuus, kuten koodit ja julkiset avaimet. (VRK 2011) Allekirjoitus (perinteinen) Asiakirjaan, viestiin tai muuhun tekstiin liitetty henkilön omakätinen nimikirjoitus tai muu tieto, jonka vain kyseinen henkilö on voinut tuottaa, osoituksena siitä, että teksti vastaa hänen tahtoaan tai aikomustaan. (Vahti 8/2008) Eheys Tietojen tai tietojärjestelmän aitous, väärentämättömyys, sisäinen ristiriidattomuus, kattavuus, ajantasaisuus, oikeellisuus ja käyttökelpoisuus. Myös ominaisuus, joka ilmentää, että tietoa tai viestiä ei ole valtuudettomasti muutettu, ja että mahdolliset muutokset voidaan todentaa kirjausketjusta. (VRK 2011) Ensitunnistaminen Identiteetti Tunnistusvälineen hakijan henkilöllisyyden todentaminen välineen hankkimisen yhteydessä. Identiteetti on joukko ominaisuuksia, jotka kuvaavat käyttäjää ja joiden avulla käyttäjä voidaan tunnistaa. (VAHTI 8/2008) Identiteetti- ja käyttövaltuushallinto Identiteetti- ja käyttövaltuushallinnolla tarkoitetaan toimintaprosesseja, sääntöjä, organisaatioita ja välineitä, joiden avulla hallinnoidaan tietojärjestelmien asianmukaista käyttöä. (Vahti 8/2008) Julkisen avaimen järjestelmä (PKI, public key infrastructure) Julkisen avaimen menetelmän käytön mahdollistava järjestely, jossa nimetyt varmentajat tuottavat käyttäjille avainparit, varmentavat ne digitaalisella allekirjoituksellaan ja jakavat ne käyttäjille, ylläpitävät julkisten avainten hakemistoja ja sulkulistoja sekä mahdollisesti antavat muita järjestelmän käyttöön liittyviä palveluja. (Virkatunnisteohje 2009) 5

6 Julkisen avaimen menetelmä Julkisen avaimen menetelmä on epäsymmetrinen salausmenetelmä, jossa kullakin salakirjoituksen käyttäjällä on kaksi matemaattisesti toisiinsa liittyvää avainta: julkisessa hakemistossa julkaistava julkinen avain (varmenteessa) ja vain käyttäjän hallussa oleva yksityinen avain. Julkisen avaimen menetelmässä salaus tapahtuu vastaanottajan julkisella avaimella ja salaus voidaan purkaa vain vastaanottajan salaisella avaimella. (Vahti 8/2008) Sähköisessä allekirjoituksessa julkisen avaimen menetelmällä sanomasta muodostetaan tiiviste, jonka lähettäjä salaa yksityisellä avaimellaan. Tällä salauksella voidaan varmistaa tiedon eheys. Vastaanottaja purkaa tiivisteen salauksen lähettäjän julkisella avaimella, laskee viestistä tiivisteen ja vertaa sitten saatuja tiivisteitä keskenään. Yksityisellä avaimella salakirjoitettu tieto voidaan avata vain vastaavalla julkisella avaimella, ja päinvastoin. Kehittynyt sähköinen allekirjoitus Sähköinen allekirjoitus a) joka liittyy yksiselitteisesti sen allekirjoittajaan; b) jolla voidaan yksilöidä allekirjoittaja; c) joka on luotu menetelmällä, jonka allekirjoittaja voi pitää yksinomaisessa valvonnassaan; ja d) joka on liitetty muuhun sähköiseen tietoon siten, että tiedon mahdolliset muutokset voidaan havaita (Laki vahvasta tunnistamisesta ja sähköisistä allekirjoituksista, 617/2009) Kertakirjautuminen (SSO, single sign-on) Kiistämättömyys Luottamusverkosto Kertakirjautuminen on pääsynvalvonnan toteutustapa, jossa käyttäjä pääsee yhdellä tunnistautumisella kaikkiin saman pääsynvalvonnan piirissä oleviin palveluihin ja resursseihin käyttövaltuuksiensa puitteissa. (VAHTI 8/2008) Tietoverkossa eri menetelmin saatava varmuus siitä, että tietty henkilö on lähettänyt tietyn viestin (alkuperän kiistämättömyys), vastaanottanut tietyn viestin (luovutuksen kiistämättömyys), tai että tietty viesti tai tapahtuma on jätetty käsiteltäväksi. (Vahti 8/2008) Luottamusverkosto (engl. Circle of Trust, federation) tarkoittaa joukkoa palveluntarjoajia ja kotiorganisaatioita, joiden kanssa käyttäjät voivat asioida turvallisesti kuin yhdessä ympäristössä. Luottamusverkosto voi perustua palveluntarjoajien ja kotiorganisaatioiden kahdenvälisiin sopimuksiin, mutta valtionhallinnon muodostamassa toimintaympäristössä, jossa kotiorganisaatioita ja palveluntarjoajia on kymmeniä tai satoja, on edullista sopia luottamusverkoston pelisäännöistä keskitetysti. (VM 2007) Sähköinen allekirjoitus Sähköisessä muodossa oleva tieto, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota käytetään allekirjoittajan henkilöllisyyden ja lähetetyn tiedon muuttumattomuuden todentamisen välineenä (VRK 2011). Digitaalinen allekirjoitus on 6

7 sähköinen allekirjoitus, jonka tuottamiseen on käytetty varmennetta (Virkatunnisteohje 2009). Todentaminen (käyttäjän todennus, autentikointi, aidonnus) (authentication), Tunnistaminen Tunnistautuminen Tunnistusväline Alkuperän todentaminen. Järjestelmän käyttäjän (henkilön, organisaation tai laitteen) tai viestinnässä toisen osapuolen tunnistuksen varmistaminen. (VRK 2011) Tunnistaminen on menettely, jolla yksilöidään joku tai jokin, esimerkiksi tietojärjestelmän käyttäjä; sähköiseen tunnistamiseen liittyy normaalisti aina myös käyttäjän todentaminen. Tietojärjestelmän käyttäjä voidaan tunnistaa esimerkiksi käyttäjätunnuksen perusteella. (Virkatunnisteohje 2009) Tunnistautuminen on menettely, jossa käyttäjä esittää tunnistetietonsa. (VAHTI 8/2008) Sähköisen tunnisteen käyttämiseen ja suojaamiseen tarkoitettu väline (Virkatunnisteohje 2009). Esineet ja yksilöivät tiedot tai ominaisuudet, jotka yhdessä muodostavat vahvaan sähköiseen tunnistamiseen tarvittavat tunnisteet, tunnistamisen välineet ja todentamisen välineet. Tunnistusmenetelmä Kokonaisuus, jonka yhdessä muodostavat tunnistusväline sekä yksittäisen vahvan sähköisen tunnistustapahtuman toteuttamiseksi tarvittava järjestelmä. Tunnistuspalvelun tarjoaja Palveluntarjoaja, joka tarjoaa vahvan sähköisen tunnistamisen palveluita niitä käyttäville palveluntarjoajille tai laskee liikkeelle tunnistusvälineitä yleisölle tai molempia. Tunnistusvälineen haltija Luonnollinen henkilö, jolle tunnistuspalvelun tarjoaja on sopimukseen perustuen antanut tunnistusvälineen. Vahva sähköinen tunnistaminen Henkilön yksilöiminen ja tunnisteen aitouden ja oikeellisuuden todentaminen sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta: a) salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää; b) sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai c) sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen (Laki vahvasta tunnistamisesta ja sähköisistä allekirjoituksista, 617/2009) Esimerkiksi toimikortti ja PIN-koodi ovat yksi keino vahvan tunnistuksen toteuttamiseen. 7

8 Varmenne (certificate) Varmenne on luotetun tahon antama sähköinen todistus, jolla vahvistetaan, että todistuksen haltija on tietty henkilö, organisaatio tai järjestelmä. Varmenne voi sisältää muun muassa käyttäjän julkisen avaimen, henkilötiedon, varmenteen voimassaolopäiväyksen sekä varmenteen myöntäjän sähköisen allekirjoituksen. (Virkatunnisteohje 2009) Varmenne on sähköinen todistus, joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden ja liittää allekirjoitukseen todentamistiedot allekirjoittajaan. Varmennetta voidaan käyttää vahvassa sähköisessä tunnistamisessa ja sähköisessä allekirjoituksessa. (VRK 2011, 617/2009, VAHTI 8/2008) Varmentaja (certificate authority, CA) Varmentaja on taho, joka myöntää varmenteita. Se voi olla luonnollinen henkilö, oikeushenkilö tai organisaatio. Varmenteita tarjoaa Suomessa esimerkiksi Väestörekisterikeskus. (VM 2007, VAHTI 8/2008, 617/2009) Varmentaminen (certification) Julkisen avaimen todistaminen tietylle henkilölle tai organisaatiolle kuuluvaksi liittämällä siihen varmenne. (VRK 2011) 8

9 3 Tunnistamisen, sähköisen allekirjoituksen ja varmenteiden hallinnan arkkitehtuuri Tässä luvussa käydään läpi yleisellä tasolla läpi tunnistamisen, sähköisen allekirjoituksen ja varmenteiden hallinnan arkkitehtuuria. Arkkitehtuurin eri osat on kuvattu tiivistetysti kuvassa 1. Kuva 1 Tunnistamisen, sähköisen allekirjoituksen ja varmenteiden hallinnan arkkitehtuuri. Seuraavaksi kuvataan kuvan 1 arkkitehtuurin eri osa-alueita ja niiden liittymistä toisiinsa. Organisaation käyttäjillä (sosiaalihuollon ammattihenkilö) on käytössä toimikortti, johon on sidottu varmenteen myöntäjältä saadut varmenteet. Varmenteita hyödynnetään tunnistautumisessa asiakastietojärjestelmään (ATJ) ja henkilökohtaisissa sähköisissä allekirjoituksissa. Lisäksi ATJ:llä on varmentajan myöntäjältä saatu järjestelmäallekirjoitusvarmenne järjestelmäallekirjoituksia varten. Toimikortin käyttämistä varten on oltava kortinlukija (laite) sekä kortinlukuohjelmisto (erillinen ohjelmisto tai toteutettuna asiakastietojärjestelmään). Varmennepalvelut sisältävät varmenteiden hakemiston, varmenteiden sulkulistan sekä toimikorttien tilaus- ja hallintapalvelun. Varmennepalvelut voivat sisältää myös neuvontaa liittyen toimikortteihin ja varmenteisiin. Toimikortteja haetaan rekisteröintipisteen kautta. Organisaatiot määrittelevät itse sen kuinka hajautetusti tai keskitetysti rekisteröintitehtävät hoidetaan. Rekisteröintipiste voi olla organisaatiokohtainen, useamman organisaation tai tietyn alueen yhteinen. Toimikorttia haetaan rekisteröintipisteessä varmennepalvelujen tilaus- ja hallintapalvelun kautta tehtävällä hakemuksella. Rekisteröintipiste lähettää hakemukset varmennepalvelujen tilaus- ja hallintapalveluun korttitehtaalle edelleen toimitettavaksi. Korttitehdas noutaa tilaus- ja hallintapalvelusta korttitilaustiedot ja hakee varmennepyynnöllä varmennejärjestelmästä toimikortille tulevat varmenteet. Korttitehdas tallentaa varmen- 9

10 teet toimikortille ja valmistaa toimikortin. Korttitehdas toimittaa valmistetun toimikortin ja tunnuslukukuoren asiakasorganisaatioon. Organisaatio luovuttaa toimikortin ja tunnuslukukuoren kortin hakijalle. Järjestelmäallekirjoitusvarmenteet on haettava erillisellä hakemusmenettelyllä varmennejärjestelmän tarjoajalta. Toimikortilla tunnistaminen tapahtuu asiakastietojärjestelmässä (tai erillisen palvelun avulla) ja pohjautuu toimikortilta löytyvään käyttäjän yksilöintitietoon. Tunnistamisen jälkeen toimikorttia ja siihen sisältyvää allekirjoitusvarmennetta hyödynnetään asiakirjojen allekirjoittamisessa, jota toteuttamassa voi olla erillinen allekirjoituspalvelu, kuten kuvassa 1 on esitetty. Kuvassa 1 allekirjoituspalvelu hyödyntää lisäksi aikaleimapalvelua allekirjoituksen aikaleiman luomiseen. Sekä allekirjoituspalvelu että aikaleima voivat olla toteutettuna myös ATJ:ään. Kuvan 1 allekirjoitettu asiakirja siirretään lopulta kansalliseen arkistoon (KanSa). Alla olevassa kuvassakuva 2 (STM 2007b) on kuvattu vielä eri palveluiden mahdollista sijoittumista paikalliselle tai kansalliselle tasolle. Varmentaja (varmennepalvelu) ja aikaleimapalvelu ovat luonnollisia kansallisesti keskitettävissä olevia palveluita. Tunnistaminen ja allekirjoitus voivat olla toteutettuna varsinaisiin järjestelmiin tai sitten niitä toteuttaviin paikallisesti hajautettuihin palveluihin. Kuva 2. Palveluiden sijoittuminen paikallisesti tai kansallisesti. (STM 2007b). 10

11 4 Varmenteiden hallinnan toimintamalli Tässä luvussa käydään läpi sosiaalihuoltoon tarvittavaa varmenteiden hallinnan toimintamallia. Toimintamallissa otetaan kantaa, kuinka varmennejärjestelmä ja varmennepalvelut kannattaa toteuttaa sekä mitä varmenneratkaisua käytetään ammattilaisten tunnistamisessa, henkilökohtaisissa sähköisissä allekirjoituksissa ja järjestelmäallekirjoituksissa. Ammattilaisen tunnistaminen ja erilaiset allekirjoitukset pohjautuvat varmenteiden osalta tässä luvussa esitettyihin varmenneratkaisuihin. Ammattilaisen tunnistamis- ja allekirjoitusratkaisut käydään läpi tarkemmin luvuissa 5 ja 6. Alla kuvassakuva 3 on yleiskuva varmenteiden hallinnan arkkitehtuurista. Kuva tarkentaa luvun 3 kuvaa 1 varmennejärjestelmän ja palvelujen osalta. Kuva 3. Yleiskuva varmenteiden hallinnan arkkitehtuurista. Seuraavissa luvuissa käydään läpi arkkitehtuurin eri osia tarkemmin. 4.1 Erilaiset varmenteet Varmenne on luotetun tahon (varmentajan) antama sähköinen todistus, jolla vahvistetaan, että todistuksen haltija on tietty henkilö, organisaatio tai järjestelmä. Varmenteita tarvitaan tietoverkkojen kautta tapahtuvassa tunnistamisessa, salauksessa ja sähköisen allekirjoituksen tekemisessä. Varmenne on standardimuodossa esitetty tieto, joka voi sisältää käyttäjän julkisen avaimen, henkilötiedon, varmenteen voimassaolopäiväyksen sekä varmenteen myöntäjän sähköisen allekirjoituksen. Varmenne on näin sähköinen todistus, joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden ja liittää allekirjoituksen todentamistiedot allekirjoittajaan. Varmenteita voidaan käyttää vahvassa sähköisessä tunnistamisessa ja kehittyneessä sähköisessä allekirjoituksessa. (617/2009, VAHTI 8/2008) 11

12 Varmenteita on olemassa useita erilaisia. Seuraavassa lyhyet kuvaukset erilaisista varmenteista: - henkilövarmenne: Henkilövarmenne on varmenne, joka varmistaa yksityisen henkilön henkilöllisyyden ja mahdollistaa henkilökohtaisen sähköisen allekirjoituksen. Organisaatiovarmenne on organisaatiolle luotu henkilövarmenne, jonka avulla voidaan osoittaa henkilöllisyyden lisäksi, että käyttäjä kuuluu organisaatioon. Lisäksi varmenne voi sisältää tietoa hänen rooleistaan ja valtuuksistaan. (Vahti 8/2008, VRK 2010) - järjestelmäallekirjoitusvarmenne: Järjestelmäallekirjoitusvarmenne on tarkoitettu tietojärjestelmissä muodostettaviin järjestelmien tekemiin sähköisiin allekirjoituksiin. (VRK 2010) - palvelinvarmenne: Palvelinvarmenne varmistaa palvelun tarjoajan palvelimen aitouden tunnistamiseen. Palvelinvarmenteella voidaan toteuttaa myös kahden palvelimen välisen salatun SSL/TLS- tietoliikenneyhteyden muodostaminen. (VRK 2010) - sähköpostivarmenne: Sähköpostivarmenteella voidaan suojata usean henkilön toimesta seurattavia, ns. ryhmäpostilaatikoiden viestejä. Ryhmäpostilaatikoita ovat esimerkiksi virastojen yleiset sähköpostiosoitteet (ei henkilökohtaiset, esim. kirjaamo@virasto.fi). Sähköpostivarmennetta käytetään salattuna saapuneiden viestien avaamisessa. Sähköpostivarmennetta voidaan käyttää myös organisaation ryhmäpostilaatikosta lähetettävien sähköpostien allekirjoittamiseen. (VRK 2010) Edellä mainittujen varmenteiden lisäksi tarjolla voi olla tilapäisvarmenne varatoimikortteja varten esimerkiksi tilanteisiin, joissa toimikortti on rikkoutunut tai toimikortti pitää saada välittömästi käyttöön. Myös testivarmenteita voi olla käytössä esimerkiksi erilaisten teknisten toiminnallisuuksien testaamisessa ja ohjelmistokehityksessä (toimikorttilukijoiden ja -toteutusten testaukset, järjestelmien toiminnan testaaminen, ohjelmistokehitys). (VRK 2010) Erilaisissa varmenteissa on huomioitava vaatimus laatuvarmenteen käytöstä. Laatuvarmenne on Euroopan unionin sähköisen allekirjoituksen direktiivin ja Suomen lain sähköisistä allekirjoituksista (ja sitä täydentävien Viestintäviraston määräysten) vaatimukset täyttävä varmenne (Virkatunnisteohje 2009). Laatuvarmenteen sisällön on vastattava laissa sähköisistä allekirjoituksista laatuvarmenteelle määriteltyä sisältöä jonka lain vaatimukset täyttävä laatuvarmentaja on myöntänyt. Laatuvarmennestatuksen Suomessa myöntää ja sen edellyttämän turvallisuustason toteutumista valvoo Viestintävirasto (VRK 2011). Laatuvarmenteen käytön edellytys perustuu sähköisen allekirjoituksen laissa määriteltyyn sähköisen allekirjoituksen oikeusvaikutukseen: jos oikeustoimeen vaaditaan lain mukaan sähköinen allekirjoitus, vaatimuksen täyttää ainakin sellainen kehittynyt sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä (Virkatunnisteohje 2009). Tässä dokumentissa esiteltävissä ratkaisuissa edellä läpikäydyistä varmenteista käsitellään henkilövarmenteita ja järjetelmäallekirjoitusvarmenteita. Jonkin verran sivutaan myös tilapäisvarmenteita. Palvelinvarmenteet, sähköpostivarmenteet ja testivarmenteet ovat rajattu tämän dokumentin ulkopuolelle. 12

13 4.2 Toimikortit Käyttökohteet Toimikortti on luottokortin kokoinen mikropiirin sisältävä kortti, johon on upotettu siru/siruja käyttöjärjestelmineen ja sovelluksineen. Toimikortti voi olla vain muistia sisältävä muistikortti tai prosessorikortti. Toimikortti toimii vain erityisen lukulaitteen yhteydessä, joka voi olla irrallinen tai kytkettynä tietokoneeseen. Sähköinen allekirjoitus edellyttää salausprosessorin sisältävää toimikorttia. (VRK 2011) Toimikorteilta löytyviä henkilövarmenteita käytetään sähköisessä tunnistamisessa ja salaamisessa sekä sähköisen allekirjoituksen tekemisessä. Toimikorteilta löytyvät varmenteet perustuvat julkisen avaimen menetelmään (ks. käsitteet) ja niitä hallinnoidaan julkisen avaimen järjestelmällä (ks. käsitteet). Toimikortilla on varmenne todentamista varten ja varmenne allekirjoitusta varten. Toimikortilla voidaan toteuttaa myös etäluettavia sovelluksia. Etäluettavat sovellukset edellyttävät tunnistusvälineeltä kontaktillisen käytön mahdollistavan sirun lisäksi kontaktittoman rajapinnan toteuttamista. Etäluettavia sovelluksia käytetään paikallisesti esimerkiksi kulunvalvontaan tai maksamiseen, kuten joukkoliikenteessä (kaupunkikortti) ja lippujen ennakkoon maksamisessa (kaupunkikortti). Toimikorttia voidaan käyttää myös visuaalisena tunnisteena, esimerkiksi henkilöllisyyden todentamiseen organisaation toimitiloissa ja miehitetyillä sisäänkäynneillä. Tällöin työntekijällä on henkilökohtaisesti yksilöity kuvallinen virkakortti, josta käy ilmi henkilön nimi, mahdollisia muita henkilötietoja ja organisaatio. (Virkatunnisteohje 2009) Infrastruktuuri Toimikortin ja sen sisältävän varmenteen hyödyntämiseen tarvitaan kortinlukija ja kortinlukuohjelmisto (ks. kuva 4). Kortinlukija voi olla erillinen laite tai sitten integroitu näppäimistöön tai kannettavaan tietokoneeseen. Pöytätyöasemaan on suositeltavaa hankkia joko näppäimistöön integroitu kortinlukija tai erillinen lukijalaite. Kannettavaan työasemaan on suositeltavaa hankkia laitteen sisäiseen PCMCIA-korttipaikkaan asennettava lukija, jotta kortinlukija kulkee aina työaseman mukana ja on käytettävissä ilman lisälaitteiden kytkemistä. Kortinlukijaa valittaessa on varmistettava sen yhteentoimivuus toimikorttien ja käytettävien kortinlukijaohjelmiston kanssa. Lisäksi on myös huomioitava kortinlukijan suorituskyky, koska nopea käyttövalmius ja lyhyet vasteajat toimikortin käsittelyssä ovat keskeinen toimikortin käyttömukavuutta lisäävä tekijä. Kortinlukijaohjelmiston avulla toimikortin haltija voi käyttää korttia ja sillä olevia varmenteita kirjautumiseen työasemalle tai tietojärjestelmään, salata sähköpostin ja asiakirjoja sekä tehdä sähköisen allekirjoituksen. Kortinlukijaohjelmistoa ei yleensä toimiteta työaseman käyttöjärjestelmän mukana, vaan se on hankittava erikseen. Ohjelmistoja on saatavissa eri ohjelmistotoimittajilta. On suositeltavaa käyttää kortinlukijaohjelmistoa, jonka toimivuus käytettävien toimikorttien kanssa on testattu. (Virkatunnisteohje 2009) Lisäksi asiakastietojärjestelmätoteutusten on osattava hyödyntää kortilta saatavia tietoja tunnistamiseen ja allekirjoituksiin. Tunnistamisen osalta on ratkaistava hyödynnetäänkö organisaatiossa toimikortteja jo työasemakirjautumisessa, jolloin asiakastietojärjestelmä voi hyödyntää tätä tietoa vai kirjaudutaanko toimikortilla ainoastaan suoraan asiakastietojärjestelmään. Asiakastietojärjestelmän tai organisaation tunnistamiseen käytettävän järjestelmän on myös oltava yhteydessä varmennepalvelujen hakemistopalveluun (ks. kuva 4). Hakemistopalvelu on julkinen hakemisto, jonne on tallen- 13

14 nettu varmennehallinnon puitteissa myönnetyt varmentajan allekirjoittamat varmenteet, sulkulistat sekä käytöstä poistetut varmenteiden luettelot. Kuva 4. Toimikorttien käytön infrastruktuuri Toimikorttien hallinta Alla kuvassa 5 on kuvattu Virtu(K)-Ohje työntekijän tunnistamisen toteuttamisesta kunnallishallinnossa (Virkatunnistusohje 2009). Nämä käyttötapaukset ovat sovellettavissa toimikorttien hallinnointiin. 14

15 Kuva 5: Tunnistusvälineiden hallinnoinnin käyttötapauksia (Virkatunnisteohje 2009). Seuraavaksi on kuvattu käyttötapauksia Ohje työntekijän tunnistamisen toteuttamisesta kunnallishallinnossavirkatunnisteohje 2009): 1. Hakijan tunnistaminen ja tunnistusvälineen rekisteröiminen Organisaation valtuuttama virkailija suorittaa (uuden) työntekijän tunnistamisen eli ns. ensitunnistaminen virallisesta henkilöllisyyden osoittavasta asiakirjasta. Tieto tunnistamisessa käytetystä henkilöllisyystodistuksesta kirjataan tunnistusvälineen rekisteröintitietoihin. 15

16 2. Tunnistusvälineen käyttöehtojen hyväksyminen Työntekijää informoidaan hänen henkilötietojensa käytöstä ja hän sitoutuu noudattamaan organisaation tunnistusvälineen käyttöehtoja. Työntekijän allekirjoittama sitoumus arkistoidaan. Tämä voidaan toteuttaa myös tunnistusvälineen luovuttamisen yhteydessä, kun työntekijä kuittaa vastaanottaneensa tunnistusvälineen. 3. Hakijan valokuvaus Valokuvaus toteutetaan tunnistusvälineen rekisteröinnin yhteydessä. Valokuvien käyttöpolitiikka on määriteltävä virkakortin visuaalista tunnistetta ja organisaation muita mahdollisia käyttötarkoituksia varten (esim. kulunvalvonnan järjestelmä, intranetin sähköinen puhelinluettelo, julkiset www-sivut). 4. Tunnistusvälineen tilaaminen toimittajalta / luominen Virkailija tilaa tunnistusvälineet niiden toimittajalta, joka voi olla ulkopuolinen palveluntarjoaja tai sisäinen palveluntuottaja (tietohallinto). Jossain tapauksessa tunnistusväline voidaan luoda ja toimittaa työntekijälle rekisteröinnin yhteydessä. 5. Tunnistusvälineen vastaanottaminen toimittajalta ja hakijalle ilmoittaminen Virkailija vastaanottaa tilatun valmiin tunnistusvälineen toimittajalta ja ilmoittaa sen saatavuudesta työntekijälle. Valmiit tunnistusvälineet varastoidaan rekisteröintipisteessä turvallisessa lukitussa säilytyspaikassa, esim. kassakaapissa 6. Hakijan tunnistaminen, tunnistusvälineen aktivointi ja luovuttaminen Virkailija tarkistaa työntekijän henkilöllisyyden ennen tunnistusvälineen luovuttamista. Tunnistusvälineen tyypistä riippuen sen käyttöönotto saattaa vaatia erillisen aktivoinnin, joka on tehtävä ennen tunnisteen luovuttamista työntekijälle. 7. Tunnistusvälineen vastaanottaminen (kuittaus) Työntekijä kuittaa vastaanottaneensa tunnistusvälineen. Samassa yhteydessä voidaan toteuttaa myös tunnisteen käyttöehtojen hyväksyminen. 8. Tunnistusvälineen tietojen kirjaaminen rekisteriin Virkailija kirjaa tunnistusvälineen luovutetuksi työntekijälle. Tunnistusvälineen tiedot viedään tarvittaviin rekistereihin, esim. käyttäjähakemistoon. 9. Tunnistusvälineen sulkeminen pysyvästi / väliaikaisesti Virkailija sulkee tunnistusvälineen valtuutetun henkilön pyynnöstä. Valtuutettuja henkilöitä ovat usein ainakin työntekijän esimies tai työntekijä itse. Tunnistusvälineen sulkemisen voi tavoitetilassa käynnistää henkilöstöhallinnosta automaattisesti käyttäjähallinnon järjestelmän kautta saatava tieto työsuhteen päättymisestä. Varmenteiden tapauksessa sulkeminen tarkoittaa varmenteen viemistä sulkulistalle. Tämä on yleensä pysyvä ja peruuttamaton toimenpide. Tunnistusvälineen palauttaminen uudelleen käyttöön ei siten ole yleensä mahdollista, vaan 16

17 virheellisen sulkutoimenpiteen korjaaminen vaatii yleensä uuden tunnisteen luomisen. Tunnistusväline voidaan jossain tapauksissa sulkea väliaikaisesti esim. työntekijän pitkien vapaiden ajaksi (vanhempainvapaa, vuorotteluvapaa). 10. Tunnistusvälineen luovuttaminen pois Työsuhteen päättyessä työntekijän tulee luovuttaa työnantajan omaisuus mukaan lukien tunnistusväline pois. Tunnisteiden kerääminen voidaan organisoida esimiesten kautta. Esimiehet toimittavat pois kerätyt tunnistusvälineet rekisteröintipisteeseen, jossa ne poistetaan fyysisesti käytöstä. Sirullinen toimikortti voidaan turvallisesti poistaa käytöstä leikkaamalla se kahtia sirun kohdalta. Käytöstä poistaminen kirjataan tunnistusvälineiden hallinnointilokiin. Tunnistusratkaisun luotettavuus ei saa kuitenkaan yksinomaan perustua siihen, että fyysinen tunnistusväline saadaan aina oikea-aikaisesti kerättyä pois työntekijältä. Tunnistusvälineen kuolettaminen, kuten varmenteen mitätöinti (revokointi), tai käyttövaltuuksien passivointi järjestelmässä, esim. hakemistopalvelu tai kulunvalvonta, tulee olla ensisijainen toimenpide, jolla oikeudeton käyttö estetään. 11. Tilapäisen tunnistusvälineen hallinnointiprosessi ja käyttötapaukset Tilapäisen tunnistusvälineen hallinnoinnin käyttötapaukset ovat hyvin pitkälle vastaavat kuin varsinaisen tunnistusvälineen tapauksessa. Keskeinen ero on varatunnisteen tilaamisessa ja toimittamisessa työntekijälle, mikä tulee olla mahdollista toteuttaa välittömästi työntekijän Seuraavassa kuvassakuva 6 on käyty läpi edelliset käyttötapaukset toteuttava arkkitehtuuri. Kuva 6. Toimikorttien hallinnan arkkitehtuuri. KuvanKuva 6 keskeinen tekijä toimikorttien hallinnassa on rekisteröintipiste ja sen käyttämä varmennepalvelujen tarjoama toimikorttien tilaus- ja hallinnointipalvelu. Rekisteröintipiste on palvelupiste, jossa toimikortit haetaan ja myönnetään. Organisaatiot määrittelevät itse sen kuinka hajaute- 17