KOSKI Kehittämishankkeen ohjausryhmä 16.12.2016
Valmistautuminen KOSKI-palvelun ylläpitoon Ylläpidon kilpailutus tehty ja palveluntoimittaja valittu Ylläpitoa varten rekrytoidaan 2 henkilöä vuoden alusta Tuotanto-ympäristöt tilattu ns. elastinen pilviympäristö (OpenStack), joka mahdollistaa nopean palvelinten lisäämisen ja vähentämisen käyttötarpeen mukaan KOSKI-palvelua on kehitetty julkisen hallinnon palvelu- ja innovaatiotoiminnan kehittämisympäristössä (JulkICT Lab) -> Käytöstä on luovuttu kokonaan Avattu usein kysytyt kysymykset wikisivu: https://confluence.csc.fi/display/ophpalv/koski-ukk
KOSKI-palvelun toteutuskonseptin tekninen tietoturvakatselmointi KOSKI-palvelulle suoritettiin tekninen tietoturvakatselmointi Samassa yhteydessä laadittiin uhkamalli, jossa tunnistettiin uhat ja niiden hyökkäysvektorit Näiden pohjalta laadittiin tarvittavat suojaustoimenpiteet KOSKI-palvelun arkkitehtuurissa ja teknologiavalinnoissa on huomioitu tietoturva ja suojanäkökulmia Lisätoimenpiteet on viety projektin kehitysjonolle https://confluence.csc.fi/display/ophpalv/tietoturva+ja+tietosuoj a+koski+palvelussa
KOSKI-palvelun merkittävimmät tietoturvauhat ja niihin suojautuminen - 1. Tietovuodot Uhat Henkilötiedot vuotavat isona massana Arkaluonteisia henkilötietoja vuotaa Yksittäisen oppijan henkilötiedot vuotavat Suojautuminen tietoliikenteen salaaminen Käyttöoikeuksien rajaaminen Kansalaisen kirjautuminen palveluun vahvalla tunnistautumisella Oppilaitosten virkailijoiden käyttöoikeus on voimassa vain määräajan, ja käyttöoikeusmääriä seurataan oppilaitoksittain. Viranomaisten käyttämät yhteydet ovat IP-rajattuja ja suojattu sertifikaatilla kyselyt sekä toimenpiteet lokitetaan Lokeihin ei tallenneta henkilöiden arkaluonteisia tietoa, kuten henkilötunnusta.
2. Opiskelutietojen virheellisyys Uhat Opiskelutietoja väärennetään/muutetaan hyötymistarkoituksessa Tiedot eivät ole eheitä Oppilaitoksesta lähetetään väärää tietoa Suojautuminen oppilashallintojärjestelmän tiedonsiirto-osoitetta seurataan ja valvotaan Pääsyä KOSKI-palvelun tuotantotietokantaan rajoitetaan tietyille palvelimille ja niiden käyttöä lokitetaan. Tietokantojen käyttö tapahtuu kirjaston kautta, joka estää suorien kyselyiden tekemisen ns. SQL -injektion kautta. Kaikkien syötteiden syntaksi ja semantiikka tarkistetaan ennen tallennusta, sekä tietokannassa oleva versiohistoria validoidaan säännöllisesti. Kansalainen voi tarkistaa omat tietonsa KOSKI-palvelussa, ja raportoida mikäli näkee virheen omissa opintosuoritustiedoissaan. Oppilaitosten virkailijoille annetaan käyttöpolitiikka- ja ohjeet KOSKI-palveluun.
3. Palvelun tekniset ongelmat Uhat KOSKI ei ole saatavilla Liitännäisille sisäisille/ulkoisille järjestelmille aiheutuu kuormitusta Suojautuminen KOSKI-palvelun suorituskykylokia seurataan jatkuvasti Ulkoisten palvelujen käytössä hyödynnetään välimuistiratkaisua, jota voidaan hyödyntää mahdollisissa palvelunestotilanteissa. Kaikkien KOSKI-palvelun käyttämien komponenttien tietoturva varmistetaan, ja niiden haavoittuvuuksia seurataan automaattisesti. Uusien sovellusversioiden yhteydessä tehtävät ohjelmistomuutokset vertaiskatselmoidaan.
Opintohallintojärjestelmäkysely Esi- ja perusopetuksen-, lukiokoulutuksen- ja ammatillisen koulutuksenjärjestäjien käytössä olevat opintosuoritustietojen tallennusjärjestelmät kartoitettiin kyselyllä syksyllä 2016 Kysely lähetettiin Opintopolun 1457 vastuukäyttäjälle ja 566 eri organisaatioon. Organisaatioiden vastausprosentiksi saatiin 88,0 %. https://confluence.csc.fi/x/0nhfaw
Yleissivistävä koulutus
Ammatillinen koulutus
Opintohallintojärjestelmäkokonaisuudet Kaikkien organisaatioiden vastausten perusteella opintohallintojärjestelmien osuudet jakautuvat seuraavasti: 28 koulutustoimijaa ilmoitti käyttävänsä useampaa kuin yhtä oppilashallintojärjestelmää:
KOSKI-palveluun tallennettavien tietojen reflektointi koulutuksen järjestäjien kanssa Perusopetukset, lukiokoulutuksen ja ammatillisen koulutuksen järjestäjille pidettiin marraskuussa koulutusmuotokohtaiset webinaarit, joissa käytiin KOSKI-palvelun tietosisällöt läpi: Perusopetuksen webinaariin osallistui enimmillään 124 Lukiokoulutuksen webinaariin osallistui enimmillään 129 Ammatillisen koulutuksen webinaariin osallistui enimmillään 253 (tekninen raja tuli vastaan) Huomioita nousi OPS-perusteiden suhteesta, opintohallintojärjestelmän pakollisuudesta KOSKI-siirtojen näkökulmasta, virheiden korjaus, OID, oppisopimus https://confluence.csc.fi/display/ophpalv/koulutukset+ja+tilaisuu det
tietojen reflektointi koulutuksen järjestäjien kanssa Webinaarien jälkeen pyydettiin tietosisältöjen kirjallista kommentointia Varsinaisiin tietoihin ei tullut juurikaan palautetta Muita huomioita oli nostettu liittyen: Kirjaustapakäytänteisiin Arkistointivelvollisuuteen Tietojen käyttöön (valinnat, tk, rahoituksen tiedot, todistus) Koulutustoimijoiden prosesseihin Henkilötietojen ajantasaisuuteen (vrk) eperusteisiin (kysymykset käytöstä, kooditukset, puutteet, diaarinumerointi, ml. paikallisten kooditusten valtakunnallistaminen) Aikuiskoulutuksen näyttötutkintorekisteriin Aikatauluun
KOSKI-palvelun testaus 10-12/2016 KOSKI-palvelun teknistä siirtorajapintaa on päästy testaamaan halukkaiden kanssa Kun tekninen yhteys on saatu toimimaan, on päästy tekemään tarkempaa sisällöllistä analyysiä yhdessä koulutuksen järjestäjien virkailijoiden kanssa Testauksen tunnuslukuja: Kaikkiaan yritetty siirtää 15837 opiskeluoikeutta näistä 7733 siirtoa epäonnistunut 8103 opiskeluoikeutta on luotu Perusopetus: 1824 Lukiokoulutus: 1385 Ammatillinen koulutus: 4895 Testaaminen jatkuu ja lisää testaajia kaivataan edelleen https://confluence.csc.fi/display/ophpalv/koski-palvelun+testaus
KOSKI-integraation tilanne extra.opintopolku.fi / opintohallintojärjestelmä 12.12.2016 Opintohallintojär Toimittaja Markkina Onko tehnyt Status jestelmä osuus* tiedonsiirtoja Primus Visma 85 % on Siirtänyt noin 8000 opiskeluoikeutta (Perusopetus 1800, Lukio 1400, Ammatillinen 5000) SopimusPro Rediteq 4 % ei Joitain keskusteluja on käyty, ei tietoa toteutuksesta Helmi Nextime 3 % ei Ei tietoa toteutuksen tilanteesta StudentaPlus Solenovo 2 % ei Pidetty tekninen palaveri, tutkinut rajapintaa, tiedonsiirtotunnukset luotu testiä varten Winha CGI 2 % ei Tutkinut tiedonsiirtorajapintaa, on käyty keskusteluja. Ei tietoa toteutuksen tilanteesta. Peppi Peppikonsortio <1% ei Ei tietoa toteutuksen tilanteesta * Toisen asteen oppilashallintojärjestelmäkysely 28.10.2016
Kehityksessä - tehty Koulutustoimijan käyttöliittymiä, esim. Pääkäyttäjälle tiedonsiirron virheet ilmoitus ja käyttöliittymä Testit ja tunnistautuminen, esim. smoke test toteutuskonseptin tekninen tietoturvakatselmointi ja sen pohjalta tehty tietoturvaparannuksia Ympäristöt QA, tuotanto, kehitys jne. Tiedonsiirtojen monitorointi
Kehityksessä - tekeillä Koulutustoimijan käyttöliittymiä, esim. Koulutustoimijan tietojen katselukäyttöliittymä (ml. listanäkymät) Koulutustoimijan tietojen syöttökäyttöliittymä Tiedon eheys ja saatavuus Tiedon automaattiset eheystarkistukset Backup-ratkaisu
Kehityksessä - tulossa Koulutustoimijan käyttöliittymiä, esim. Koulutustoimijan tietojen syöttökäyttöliittymä Tiedonsiirrot ja tietosisältömuutokset, esim. koodistojen läpikäynti ja ohjeet OPH-pääkäyttäjän toiminnallisuudet
Riskit Laskeneet riskit ei saada tuotantokelpoista palvelinympäristöä ajoissa 9-tason riski Koskeen siirrettävä tieto ei ole halutunlaista 9-tason toteutunut riski lainsäädäntötyö viivästyy