Tietoturva tietosuoja tietojärjestelmien suunnittelussa 17.3.2014 Sovelluskehityksen tietoturvaohje VAHTI 1/2013, Valtiovarainministeriö
- Käyttötapauksetkuka tekee ja mitä tekee - Käytettävyys mitä on hyvä käytettävyys käyttäjälle - Navigoinnin suunnittelu - tietoturvallisuus
TIETOSUOJA Tiedot suojattava asiattomalta käsittelyltä tietojen valtuudettoman saannin ja käytön estäminen tietojen luottamuksellisuuden säilyttäminen TIETOTURVA Laitteistot, ohjelmistot, tietoliikenneyhteydet ja tiedot on suojattava fyysisesti, teknisesti ja toiminnallisesti asiaintila, jossa uhat eivät aiheuta merkittävää riskiä keinojen ja toimenpiteiden kokonaisuus, joilla varmistetaan turvallisuus sekä normaaleissa että poikkeustilanteissa Tietoteknologian osaamiskeskus 3
Tietoturvapolitiikka ja ohjeet Yleiset periaatteet - eettiset periaatteet ja lait (kulttuurisidonnaisuus) Kansalliset periaatteet - kansalliset lait ja ohjeet Ohjeistukset - palvelujen ja teknologian toteutuksesta riippumattomia Toimenpiteet - hallinnolliset ja tekniset toimenpiteet, käyttöönotto-ohjeet, teknologia- ja organisaatioriippuvuus Tietoteknologian osaamiskeskus 4
Fyysinen tietoturva Fyysisen tietoturvan tavoitteena on varmistaa, ettei kukaan pääse varastamaan koneita, kovalevyjä tai muita tiedon tallennusmedioita varmistetaan, ettei kukaan pääse kiinni fyysiseen verkkoon tai kopiomaan tietoja, tai ettei jokin onnettomuus (tulipalo, vesivahinko yms) tuhoa tietoa Keinoina käytetään ovien asianmukaista lukitusta, kulunvalvontaa, vartiointia ja hälytysjärjestelmiä. Myös varmuuskopioiden ja syntyneen materiaalin jälkikäsittelyn (mm. säilytys, hävittäminen) turvallisuus on varmistettava Tietoteknologian osaamiskeskus 5
Tekninen tietoturva Teknisen tietoturvan tavoitteena on varmistaa, ettei käytetyissä laitteistoissa ja ohjelmistoissa ole tietoturvapuutteita Salasanoilla ja käyttäjätunnuksilla valvotaan tietojärjestelmiin pääsyä ja varmistetaan tietojärjestelmissä olevan tiedon säilyminen luottamuksellisena ja eheänä --->> käyttäjätunnukset määrittelevät, mihin tietoihin kenelläkin on oikeus Käytettävien ohjelmistojen suojaaminen luvattomalta käytöltä, ohjelmistojen lisenssien ylläpitäminen 6 Tietoteknologian osaamiskeskus
Laajempiin tietoverkkoihin yhteydessä olevissa lähiverkoissa on syytä varmistaa, etteivät ulkopuoliset pääse suoraan verkkoon Palomuuriratkaisut tai Proxy-palvelimet, jossa verkko eristetään niin, että vain yhden koneen kautta saa yhteyksiä ulkomaailmaan, määritellään mistä osoitteista on sallittua liikennöidä palomuurin takana oleviin järjestelmiin palomuurin avulla voidaan estää suurimmalta osin ylimääräinen liikenne, mutta luotettavaa todennusta, eheyttä, kiistämättömyyttä ja luottamuksellisuutta ne eivät takaa virusten, matojen yms haitallisen ohjelmakoodin torjunta 19/03/2014 Tietoteknologian osaamiskeskus 7
Yritysverkon sisäiset työasemat Sovellus palvelin WWWpalvelin Tietoturvapalvelin Bull CP8 DES salausmoduli Palomuuri Internet Reititin X.500 Hakemisto Yrityksen verkkoon ulkopuolelta tulevat työasemayhteydet
Toiminnallinen tietoturva Toiminnallisen tietoturvan, henkilöstöturvallisuuden, tavoitteena on varmistaa, ettei kukaan organisaation jäsen pääse käsiksi väärään tietoon, tai tekemään tiedoille jotain sellaisia toimenpiteitä joihin hänellä ei ole oikeuksia. Salassa pidettäviä tietoja ei voida luovuttaa tai siirtää ulkopuolisille ilman asiakkaan allekirjoittamaa kirjallista tai sähköistä suostumusta ja käyttöoikeuden varmistamista Tietojen luovuttaja vastaa luovutuksen laillisuudesta sekä tietojen oikeellisuudesta Tietoja luovutettaessa tulee varmistaa, että tieto ei joudu ulkopuolisten nähtäväksi Käyttöoikeudet, käytön rajoitukset Tietoteknologian osaamiskeskus 9
Tietoturvan osa-alueet Luottamuksellisuus (confidentiality): tiedot ovat vain niihin oikeutettujen käytettävissä (turvaluokitus) Eheys (integrity): tiedon muuttumattomuus syötön, käsittelyn ja tiedonsiirron aikana, tiedot eivät saa muuttua eivätkä hävitä virheiden / luvattomien toimenpiteiden seurauksena Todennus (authentication) varmistetaan että tiedonsiirron osapuolet (käyttäjät, tiedot ja tapahtumat) ovat niitä joita sanovat olevansa. Eheys ja todennus= lähetetty tieto vastaanottajalle tullessaan siinä muodossa kuin se on lähetetty Kiistämättömyys (non-repudiation) tarkoittaa ettei tiedon lähettäjä voi kiistää lähettäneensä tietoa /olleensa osapuolena tapahtumassa Pääsynvalvonta (access control) käyttäjien pääsyä järjestelmään ja tietoihin rajoitetaan ja valvotaan Saatavuus (availability) tieto pitää olla helposti ja viiveettä niiden käytössä joille tieto kuuluu. Jäljitettävyys (traceability) Tarvittaessa pitää pystyä selvittämään, Tietoteknologian osaamiskeskus 10 mitä järjestelmässä on tehty, kuka on tehnyt ja milloin tehnyt
On tärkeää huomioida turvallisuusnäkökohdat jo vaatimusmäärittelyissä, projektihankinnoissa ja suunnittelussa Ohjelmakoodia kirjoitettaessa ja järjestelmää konfiguroitaessa tietoturvaa tulee käsitellä kuten muitakin laatuominaisuuksia eli projektin kannalta tärkeät asiat ja yleiset hyvät käytännöt tulee ottaa huomioon Aikaisessa vaiheessa tehdyt tietoturvakorjaukset ja -muutokset ovat merkittävästi halvempia verrattuna jälkikäteen testaus- tai tuotantovaiheessa tehtyihin muutoksiin
Sovelluskehityksen tietoturvahaasteet Tietojärjestelmän kehittämisprosessissa tietoturvallisuuden huomioiminen koetaan hidastavana Kehittäjät ei aina ole tietoturvatietoisia Tietoturvallisuuden huomioonottamista ei opeteta Tietojärjestelmä voi koostua monesta komponentista, kokonaisuuden tietoturvallisuustaso muodostuu osien tietoturvallisuudesta
Huomio tietoturvallisuudessa yleensä vasta tietoturva-auditoinnissa Kehittämisessä kiire laatu ja tietoturvallisuus unohdetaan Tietojärjestelmäympäristöt monimutkaistuneet ulkoistaminen, pilvipalvelut, verkottuminen, uudet kielet ja ohjelmointitekniikat Ohjelmoinnissa ei varauduta mahdollisiin hyökkäyksiin (defensiivinen ohjelmointi) + virustorjunta, palomuurit, verkkohyökkäysten havainnointiohjelmat Riskianalyysit puutteellisia tai niitä ei tehdä lainkaan
Yhtä tärkeää kuin järjestelmän tietoturva on sovelluskehitystiimin tietoisuus ja osaaminen sovellustietoturvan alueilla Huomioitavia asioita ovat mm. tietoturvan huomioon ottaminen kehitysprosessissa (oli se Scrum, vesiputous tai jokin muu), tietoturvan dokumentoinnin ja katselmoinnin käytännöt, uusien uhkien tunnistaminen, turvalliset suunnittelumallit sekä sovelluksen ja arkkitehtuurikehyksen välinen vastuunjako tietoturvasuojauksissa Tätä tukee usein yrityksen sovelluskehitystietoturvaryhmä tai -asiantuntija, joka myös ohjeistaa, linjaa ja neuvoo projekteja tietoturva-asioissa
Perinteinen sovelluskehitysmalli Vesiputousmalli tietoturvallisuus otetaan huomioon jokaisessa elinkaaren vaiheessa Suunnitellaan toteutetaan testataan Jokaiselle vaiheelle määritellään tietoturvallisuustehtävät Vaiheesta toiseen siirryttäessä määritellään exit criteria joiden tulee täyttyä Projektin ohjausryhmä seuraa tietoturvallisuuden toteutumista
Ketterät menetelmät tietoturvallisuus sisältyy jokaisen inkrementin, sprintin toteutukseen Tällöin taataan lopullisen tuotteen tietoturvallisuus Uhka-analyysi tunnistetaan kaikki riskit ja uhat tietoturvakertomukset security story tavoitteet tietoturvan osalta Väärinkäyttötapaukset abuse casekäyttötapaukset hyökkääjän näkökulmasta
Tietoturvavastuut Jokaisessa projektissa määriteltävä tietoturvavastuut kuka vastaa, mistä Monitoimittajaympäristössä vastuut jaettava eri toimijoiden kesken Tietoturvavastaava kehitettävä järjestelmä vastaa tietoturvavaatimuksia ja on hyväksytyn tietoturvapolitiikan mukainen Tietoturvallisuuden varmistaminen on dokumentoitava Projektin aikana viestinnän, dokumentaation turvallisuus, riskienhallinta
Pilvipalvelut - tietoturvallisuus Infrastruktuuri palveluna IaaS- Infrastructure as a Service Sovellusalusta palveluna PaaS- Platform as a Service Sovellus palveluna SaaS Software as a Service Pilvipalvelulla tarkoitetaan verkon kautta käytettäviä palveluita Pilvipalvelu on toimintamalli jolla yhdistetään uusia ja vanhoja palveluita Tuotantoympäristö pilvipalvelun tuotantomalli jonka mukaan ympäristöä ylläpidetään
Mistä tasosta alkaen sovelluksen käyttäjällä on kontrolli sovellukseen Sovellus omalla palvelimella täysi kontrolli Sovellus toimittajan palvelimella kontrollista osa on toimittajalla Millaiset riskit eri tilanteisiin liittyvät Toimittajat tarjoavat asiakkaiden haluamia ominaisuuksia halvalla ja nopeasti Toimittajat eivät itsekään lupaa että asiakkaiden tiedot ovat riittävästi suojatut
Pilvipalveluiden tietoturvaongelmia Tiedon häviäminen, tai tietovuoto Tunnusten kaappaaminen Pilviteknologiasta aiheutuva haavoittuvuus, esim rajapinnat Tiedon fyysinen sijainti Omien tietoturvakäytäntöjen ulottuminen ulkopuoliseen palveluun (esim pääsynhallinta) Jaettu alusta, tiedon eristäminen tai salaaminen Pilven rikollinen, häriötä aiheuttava käyttö Uusi konsepti, tuntemattomat uhat
Sähköinen asiointi Minkä tahansa palvelun käyttö tai asioiden hoitaminen verkossa sähköisiä tietoliikenneyhteyksiä hyödyntäen pelisäännöt, joihin luottamus perustuu käytännöt, kuinka palveluita / sovelluksia käytetään varmenteen myöntämisen työkalut digitaaliset avaimet 19/03/2014 Tietoteknologian osaamiskeskus 22
PKI - julkisen avaimen menetelmä (public key infrastructure) julkisen avaimen järjestelmä yhdistelmä teknologisia ratkaisuja, menettelyjä ja hallinnollisia toimia, jolla mahdollistetaan arkaluonteisen tiedon vaihto turvattomassa ympäristössä kommunikaatioalusta (platform) sähköisen asioinnin palvelut ja sovellukset 19/03/2014 Tietoteknologian osaamiskeskus 23
Varmenteet, avaimet Varmenne = Luotettavan kolmannen osapuolen digitaalisesti allekirjoittama todistus siitä, että tietty julkinen avain kuuluu tietylle avaimen käyttäjälle - Julkisen avaimen lisäksi varmenne sisältää myös muita tietoja, kuten henkilön tai organisaation nimen, varmenteen myöntämis-päivän, viimeisen voimassaolopäivän, yksilöllisen sarjanumeron, jne. - Varmenne sitoo julkisen avaimen ja käyttäjän identiteetin yhteen 19/03/2014 Tietoteknologian osaamiskeskus 24
Julkisen avaimen menetelmässä yksityinen avain ja julkinen avain (liittyvät toisiinsa tietyllä kaavalla), = muodostavat avainparin, yksityisellä avaimella salattu tieto voidaan tulkita vain ja ainoastaan julkisella avaimella ja päinvastoin Yksityinen avain = toimikortilla Julkinen avain = tallennettu varmenteeseen (hakemistossa) Varmentaja (Certification Authority) antaa varmenteen Varmennepolitiikka (certification politics), varmennekäytännöt (certification practice statements) 19/03/2014 Tietoteknologian osaamiskeskus 25
Varmenteet voidaan jakaa esimerkiksi seuraaviin luokkiin: Henkilövarmenne Yksityisen henkilön käyttöön tarkoitettu varmenne. Henkilövarmenne sitoo henkilön julkisen avaimen sitä käyttävään henkilöön Roolivarmenne Käytetään myös nimityksiä työ- ja virkavarmenne. Roolivarmenne on muutoin samanlainen kuin henkilövarmenne, mutta sitoo julkisen avaimen käyttäjään, joka toimii jossakin roolissa (esim. suosittelija, hyväksyjä) tai työtehtävässä Laatuvarmenne Varmenne, joka täyttää sähköisistä allekirjoituksista annetussa laissa säädetyt vaatimukset ja jonka on myöntänyt säädetyt vaatimukset täyttävä varmentaja Palvelinvarmenne Esimerkiksi www-palvelimen käyttöön tarkoitettu varmenne, jonka avulla käyttäjä voi varmistua palvelimen todenperäisyydestä (asioivansa oikean palvelimen kanssa) 19/03/2014 Tietoteknologian osaamiskeskus 26
Varmennusorganisaation peruselementit Palomuuri Korttivalmistaja Varmentaja Hakemisto Rekisteröijä Asiakas 19/03/2014 Pirkko Nykänen 27
Digitaalinen allekirjoitus 28 varmentaja allekirjoittaa digitaalisen dokumentin/ varmenteen omalla yksityisellä avaimellaan allekirjoittaja laskee allekirjoitettavasta viestistä yksisuuntaisen funktion avulla tiivisteen, jonka hän salaa yksityisellä avaimellaan vastaanottaja laskee saamastaan viestistä myös tiivisteen ja vertaa sitä allekirjoittajan julkisella avaimella avaamaansa salattuun tiivisteeseen jos samat = viesti on tullut ehyenä ja sen on allekirjoittanut juuri se henkilö, jonka varmenteen julkista avainta salatun tiivisteen avaamiseen on käytetty 10100011... Sanoman lähetys 10100011... OK Selväkielinen sanoma 160-bittinen tiiviste Tiivisteen salaus lähettäjän salaisella avaimella Tiivisteen avaus lähettäjän julkisella avaimella Tiivisteen vertaaminen alkuperäiseen sanomaan 19/03/2014
Henkilön sähköinen tunnistus Toimikortti (ISO 7816) avain, varmenne pystytään hoitamaan digitaalinen allekirjoitus sähköiset asiointikortit, HST-kortit sähköinen henkilökortti: 1999 käyttöön, varmenneviranomainen Väestörekisterikeskus, sähköinen asiointi, allekirjoitus, salaus, poliisi myöntää pyynnöstä Kelan sosiaaliturvakortti: henkilö voidaan todentaa, sähköinen allekirjoitus, asiakirjojen ja viestien salaus, ammattilaisen todentaminen, sairausvakuutustiedot, 3 v Organisaatiokohtaisia kortteja 19/03/2014 Tietoteknologian osaamiskeskus 29
Biometrinen tunnistus perustuu ihmisen kehon yksilölliseen rakenteeseen >>> jonkin ruumiinosan muodon tai ominaisuuden mittaamisella saavutetaan hyvin vahva henkilöllisyyden tunnistus tunnistus voi perustua: sormenjälkeen silmän verkkokalvon tunnistukseen äänen / puheen tunnistukseen kasvojen muodon tunnistukseen 19/03/2014 Pirkko Nykänen 30
Tunnistaminen sähköisiä asiointipalveluja käytettäessä Vuorovaikutteinen asiointi Asiakkaan vahva tunnistaminen: Laatuvarmenteet ja julkisen avaimen menetelmä Käyttäjätunnukseen ja vaihtuviin salasanoihin perustuva tunnistaminen kuten verkkopankissa viranomaisen ylläpitämä vaihtuvan salasanan järjestelmä, jossa viranomainen toimittaa asiakkaalle käyttäjätunnuksen ja kertakäyttösalasanojen luettelon tunnistettuaan asiakkaan henkilökohtaisesti asiakaskäynnin yhteydessä 19/03/2014 Tietoteknologian osaamiskeskus 31
Langattoman tietoliikenteen tietoturva Langaton tiedonsiirto vanhempaa kuin langallinen savumerkit, varoitustulet = vainovalkeat, langaton lennätin, radiolähetykset Langaton tiedonsiirto turvattomampaa langatonta yhteyttä voidaan helposti salakuunnella mobiilit päätelaitteet anonyymejä: voivat joutua vääriin käsiin, liikkuvat --> tarvitaan käyttäjän tunnistus! Langattoman tietoliikenteen tietoturvaa hankaloittaa Heikko laskentateho: turvaprotokollien laskentatarve Rajoitettu muistikapasiteetti, rajoittaa käytettäviä salausmenetelmiä Tehonkulutuksen säästötarve: Akut ja paristot Käytettävyysrajoitukset Tunkeutuminen mobiilipalveluihin: naamioituminen validiksi käyttäjäksi 19/03/2014 Tietoteknologian osaamiskeskus 32
Langattoman tietoturvan vaatimukset Olemassaolevien tietoturvaratkaisujen sovittaminen langattomaan ympäristöön Eri laitteiden yhteistoiminnallisuuden parantaminen Laitteiden luotettavuuden parantaminen Korkeatasoisen turvajärjestelmän kehittäminen niin, ettei laitteiden käytettävyys kärsi Hyökkäysten estäminen: Tietojen kaappaus, tietojen muuttaminen kryptografinen hyökkäys: murretaan viesti tai käyttäjätietojen salaus Hyökkäjät: Hakkerit, vakoojat, terroristit, yrityshyökkääjät, rikolliset, vandaalit Virusten yms torjunta Tietoteknologian osaamiskeskus 33
Keinoja tietoturvan toteuttamiseksi Tietoturvapolitiikka, jolla suojataan tietoverkot Organisaatioiden henkilöstön tietoturvaohjeet ja koulutus Fyysinen, tekninen ja toiminnallinen tietoturva Tietoturvauhkien ja riskien analysointi Vastatoimien suunnittelu: Avainten ja salasanojen paljastumisen estäminen SIM-kortin joutuminen vieraisiin käsiin estettävä Operaattorin verkon suojaus Salasanojen, avainten yms koodien tallennus tietokannassa Virheet ja toimintahäiriöt verkoissa 19/03/2014 Tietoteknologian osaamiskeskus 34
Hyvä salasana Yksityisen käyttäjän suojautuminen Käytä vain koneelta jossa ohjelmat on päivitetty, erityisesti selain ja sen lisäosat Älä avaa liitteitä jos et ole varma lähettäjästä/sisällöstä Noudata varovaisuutta palvelujen käytössä Palveluissa on helppo esiintyä toisena henkilönä, varmista oikea henkilöllisyys Työminä vs. nettiminä Harkitse mitä kirjoitat, missä, mitä tietoja itsestäsi annat, älä levitä sosiaaliturvatunnustasi
Yhteenveto tietoturva suunnittelussa Arkkitehtuuriratkaisuissa huomioidaan eri ratkaisujen yhteensopivuus suositaan standardeja Sovelluksen omistaja hyväksyy kuinka vahvaa tunnistautumista ja luotettavaa identiteettiä sovelluksen käyttöön tarvitaan jos kirjaudutaan käyttäjätunnus/salasanaparilla, salasanan laatuvaatimusten tulee olla konfiguroitavissa: salasanan pituus, ei-aakkosmerkkien lukumäärä, lukkiutuminen määräajaksi virheellisten yritysten jälkeen Käyttäjille vain tarvittavat oikeudet järjestelmiin Käyttö- ja ylläpitotunnusten tulee olla henkilö- ja roolikohtaisia Käyttäjänhallintamenettelyjen tulee varmistaa että tietoturva-asetusten muokkaus on estetty peruskäyttäjiltä
Kaikki ulkopuolelta tullut syöte on tarkastettava ennen käyttöä Sovellusistunto on varmistettava ettei voida kaapata, väärentää, luvattomasti nauhoittaa tai toistaa joutilas istunto on aikakatkaistava Käyttäjätiedot on hallittava ajantasaisesti ja keskitetysti hallintaprosessit ja työnkulut on dokumentoitava Järjestelmästä tulee olla ajantasainen ja kattava dokumentaatio: vaatimukset,,määrittelyt, suunnitelmat, testisuunnitelmat ja raportit, turvakuvaukset jne Salausratkaisujen on oltava kansallisen / kansainvälisen tietoturvaviranomaisen hyväksymiä Tietoliikenne tulee salata käyttäjän laitteesta palvelimelle Tunnistautumiseen käytettävät arkaluonteiset tiedot kuten salasanat eivät saa kulkea verkon yli salaamattomina