Varmenne ja PKI-toteutuksen suuntaviivat huomioitavat tekijät -riskit-hyödyt -kokemuksia ja näkemyksiä Risto Laakkonen, HUS Tietohallinto 1
Varmenne ja PKI-toteutuksen suuntaviivat Sisältö lainsäädännön tilanne varmennejärjestelmä varnennepolitiikka käyttäjähakemistot SSO evaluointi riskit huomioita PKI-projektina HUSkey projekti kansalliset näkökohdat PKI:n edut Risto Laakkonen, HUS Tietohallinto 2
Lainsäädäntö Laki sähköisistä allekirjoituksista 14/2003 määrittelee laatuvarmennekäsitettä jos oikeustoimeen vaaditaan lain mukaan allekirjoitus vaatimuksen täyttää ainakin sellainen kehittynyt allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä (18 sähköisen allekirjoituksen oikeusvaikutus) (http://www.finlex.fi/linkit/sd/20030014) Risto Laakkonen, HUS Tietohallinto 3
jatkoa Lainsäädäntö Laki sähköisestä asioinnista viranomaistoimituksessa n:o 13/2003 21Sähköinen asiakirja on arkistoitava siten, että sen alkuperäisyys ja eheys voidaan myöhemmin osoittaa 22 Arkistolaitos antaa ohjeita ja suosituksia sähköisen asioinnin kirjaamisesta tai muusta rekisteröinnistä sekä arkistoinnista (http://www.finlex.fi/linkit/sd/20030013) Risto Laakkonen, HUS Tietohallinto 4
Varmentaminen Varmentajan tehtävä tuottaa henkilölle tai laitteelle sähköinen identiteetti, tunniste, joka liitetään henkilöön tai laitteeseen Sulkulistatoiminnolla (CRL Sertificate Revocation List) luotettavuutta pidetään yllä Risto Laakkonen, HUS Tietohallinto 5
Varmennepolitiikka Varmennepolitiikka on kuvaus varmenteen luotettavuuteen vaikuttavista tekijöistä sisältää mm. rekisteröinnin käytännöt ja varmenteen teknisen kuvauksen Varmennepolitiikka ei ota kantaa esim. laatuvarmentamiseen (HUS) Varmennepolitiikasta on hyvä aloittaa Risto Laakkonen, HUS Tietohallinto 6
Varmennepalvelut Varmennepalveluun sitoutuminen on enemmän kuin avioliitto - avioero ei onnistu Kaupallisen varmentamisen menestys ollut onnetonta - esim. Certall On (ehkä) oltu liian aikaisin liikkeellä Kaupallisia varmenteiden tarjoajia on Risto Laakkonen, HUS Tietohallinto 7
Organisaatio itse varmentajana Erityispiirteet helpommin toteutettavissa Organisaation varmentamiseen liittyvät vaatimukset selvitetään varmennepolitiikassa, joka liitetään tarjouspyyntöön Risto Laakkonen, HUS Tietohallinto 8
HUS:ssa varmentamisen liittyviä erityispiirteitä Avaimen palautus (keyrecovery) Hajautettu rekisteröinti HUS:in sisällä AD-tuki (smart card logon) tilapäiskortit keskitetty varmennehakemisto varmenteiden luominen oltava nopeaa (max 1 pvä) Risto Laakkonen, HUS Tietohallinto 9
Käyttäjähakemistoympäristö Käyttäjähakemistoympäristö koostuu meta- ja hakemistoratkaisusta sisältää varmennehakemiston vikasietoisuus - 24*7 toimintaa testiympäristö tärkeä jatkon kannalta - huomioitava lisenssihinnoittelussa ja tarjouspyynnössä seuraava slide sisältää kuvan (ei mukana jakelussa) Risto Laakkonen, HUS Tietohallinto 10
Käyttäjähakemistoympäristö Kuva käyttäjähakemistoympäristöstä Risto Laakkonen, HUS Tietohallinto 11
Kertakirjautuminen web services palvelut kokonaan omana ratkaisunaan Aluetietojärjestelmissä kannattaa harkita omaa SSO-domain aluetta MUISTA KÄYTTÄJÄHALLINTA - et voi hallita koko maailmaa Risto Laakkonen, HUS Tietohallinto 12
Evaluointi Ajattele, Ajattele, Ajattele Evaluoidaanko ensin sitä millä ei välttämättä tuotantoa aloitetakaan Kannattaa laittaa tarjouspyynnöt liikkeelle ensin ja sisällytttää tarjoukseen evaluointi, jolloin evaluoinnin aikana tehty työ tulee täysimääräisesti hyödynnettyä sopimusteknisiä asioita huomioitava Risto Laakkonen, HUS Tietohallinto 13
Havaittuja toteutuneita riskejä alussa alibudjetointi, jonka jälkeen ylibudjetointia havaittavissa sovellusliitännät hankalia - ei valmiuksia kokonaisuuden hahmottaminen ja päättäminen - etenemismalli muuttuu projektointi erittäin vaativaa (80 % projektinhallintaa optimaalisesti) Hankinnat ja päätösten tekninen valmistelu hidastuttavat etenemistä Risto Laakkonen, HUS Tietohallinto 14
Havaittuja toteutuneita riskejä Ajatellaan kokonaisuus liian laajasti - kannattaa jakaa osiin esim. hakemistot - varmentaminen- SSO - sähköiset allekirjoitukset Perusta kuntoon ja sitten pääpaino käyttäjähallinnan ja kertakirjautumisen suunnitteluun ja toteutukseen Risto Laakkonen, HUS Tietohallinto 15
Muita huomioita matkan varrella PKI on vastaus unohdetaan mikä on kysymys Väite - PKI etäkäytössä takaa lähes aukottoman tietoturvatason??? PKI on yksi osa tietoturvaa Ohilyönnit - toimittaja myy asiakas ostaa --- kaikkea ei ole pakko ostaa mitä myydään eikä kaikkea ole pakko myydä mitä halutaan ostaa - puitesopimukset kuntoon hypeä havaittavissa ajoittain Risto Laakkonen, HUS Tietohallinto 16
PKI-projektina Ennen sovellusprojektien aloittamista PKIperustan oltava kunnossa Osapuolia Tietohallinto henkilöstöhallinto, järjestelmätoimittaja sovellusryhmien omistajat (osaprojekteja) kustannukset sovellusliitännöistä jaettava / hajautettava Risto Laakkonen, HUS Tietohallinto 17
PKI-projektina Aikataulut pettävät helposti Kysyntä ja odotukset ovat suuria - paineet suuret myös organisaation sisältä Risto Laakkonen, HUS Tietohallinto 18
HUSkey projektin tilanne 2003 Evaluointi tehty varmennepolitiikka hyväksytty W2k kirjautuminen toimikortilla allekirjoitettu ja salattu sähköposti Hakemistomäärittely henkilöstöhallinnon liittymän todennus testiaineistolla sovellusohje sulkulistatoiminnon todentaminen Risto Laakkonen, HUS Tietohallinto 19
HUSkey projektin jatko Projekti jatkuu HUSkey 2 vaiheella, jossa tehdään käyttäjähakemistoympäristö mahdollisimman valmiiksi 5/2003 käyttäjähakemistoympäristöstä päätökset Syksyllä 2003 varmennepalveluista päätökset Sovelluspilottien osalta määrittelyt valmiiksi Oberonin osalta arvioitu aikataulu yleisen käyttäjähakemistoympäristön osalta kevät 2004 Risto Laakkonen, HUS Tietohallinto 20
HUSkey projektin jatko Tunnistautumisratkaisut tunnistautumisratkaisujen yleisarkkitehtuuri avoinna henkilökunnan etäkäyttöratkaisut erillisenä hankkeena perustuen VPN-ratkaisuihin Risto Laakkonen, HUS Tietohallinto 21
Kansalliset näkökohdat Organisaatioiden välinen tunnistautuminen varmennepalvelut sairaanhoitopiireittäin - erikseen vai yhteisesti yhteinen varmenne- ja hakemistoarkkitehtuuri toiminnan kannalta järkevintä Risto Laakkonen, HUS Tietohallinto 22
Hyödyt PKI:n hyödyt yhtä kiistattomia kuin kiistämätön sähköinen allekirjoitus Organisaation sisäinen tietoturva paranee Sähköinen arkistointi lainsäädännön puitteissa mahdollistuu Käyttäjähallinta organisaatiossa yksinkertaistuu Risto Laakkonen, HUS Tietohallinto 23
Motto "Estoton näkeminen antaa etumatkaa! Joskus tietenkin on hyvä seurata muiden antamia ajolinjoja." Risto Laakkonen, HUS Tietohallinto 24