Lupapisteen tietoturva – Meidän kaikkien yhteinen asia

13.08.2015

0

palvelimetPalvelun käyttötietojen tallentaminentietoturva

staff-juha-jokimaki-02

 

Lupapisteessä asioitaessa kaikki hankkeeseen liittyvät tiedot ja dokumentit tallennetaan sähköisessä muodossa. Tämä vähentää tarvetta paperien pyörittelyyn, mutta myös herättää kysymyksiä tietojen turvallisesta säilyttämisestä.

Lupapisteen tekninen pääsuunnittelija Juha Jokimäki kertookin nyt palvelumme tietoturvallisuudesta ja muistuttaa samalla käyttäjiämme siitä, että myös he voivat antaa oman panoksensa palvelun turvallisen käytön takaamiseksi.

Juha on ollut mukana Lupapisteen tuotekehitystiimissä palvelun alkumetreistä (kesä 2012) lähtien ja hänen tontilleen kuuluu Lupapisteen teknisestä suunnittelusta, arkkitehtuurista sekä ympäristöstä vastaaminen. Juha on työskennellyt Solitalla jo kymmenen vuotta ja ennen Lupapistettä hän toimi Solitalla mm. mediataloille tehtävien verkkoportaalien, teknisen arkkitehtuurisuunnittelun sekä julkishallinnon asianhallintajärjestelmän parissa.

Lupapisteen teknisiä ratkaisuja hallinnoi Solita, mikä mahdollistaa Juhan mukaan joustavan toiminnan sekä parhaan mahdollisen teknisen ratkaisun hyödyntämisen. Tietoturvan järjestämisessä ei ole täten tarvinnut tehdä kompromisseja ulkoisten reunaehtojen vuoksi. Ja se jos jokin miellyttää suoraselkäistä pohjalaismiestä.

Koska Lupapisteen tietoturva on todella monitahoinen asia, Juha jäsentää sitä mieluiten jatkuvan muutoksen sekä kerrosten kautta seuraavasti:

Tietoturva on jatkuva prosessi
  • Palvelimet: Päivityksiä seurataan ja asennetaan sekä lokitietoja (sisäänkirjautumiset, palvelun käytön jäljet) tarkkaillaan. Jos lokitiedoissa ilmenee jotain epäilyttävää, tiimimme saa tästä hälytyksen.
  • Tunnusten hallinnointi: Vain nimetyt henkilöt pääsevät käsittelemään tiettyjä tietoja ja tiimimme sekä palvelun pääkäyttäjien tulee jatkuvasti valvoa tarvetta myönnettyjen tunnusten poistamiselle.
  • Automaattinen haavoittuvuustarkastus: Viimeisin kehitysversio tutkitaan joka yö automaattisesti skannaussovelluksen avulla. Sovellus tutkii onko sovelluksessa tyypillisiä tietoturva-aukkoja. Esimerkiksi vanhat sovellusversiot tunnistetaan ja päivitetään ajan tasalle.
  • Sovelluskehitys: Kun joku kehittäjistämme saa Lupapisteen ominaisuuden valmiiksi, toinen tiimiläinen katsoo koodin läpi ja etsii tietoturva-aukkoja. Tällainen työskentelytapa pitää tiimin hyvin tietoisena erilaisista tietoturvariskeistä.
  • Auditoinnit: Ennen palvelun julkaisua Solitan sisällä suoritettiin palvelun lähdekoodin auditointi ja tämän lisäksi KPMG auditoi koko Lupapiste-palvelun. Tämän avulla varmistuttiin siitä, että palvelussa ei ole mitään ilmeisiä tietoturvaongelmia. Mainitsemisen arvoinen asia on myös auditointiraportin yhteenveto: ”Auditoinnissa ei tehty yhtäkään merkittävää havaintoa. Auditoinnissa tehtiin merkittävästi vähemmän havaintoja kuin muissa vastaavissa auditoinneissa. Tästä voidaan päätellä, että tietoturvaan liittyviin asetuksiin on kiinnitetty huomiota ja tietoturvaan suhtaudutaan asianmukaisella vakavuudella.”
Tietoturva muodostuu useasta kerroksesta
  • Hallinnollinen tietoturva: Tiimimme hallinnoi palvelun käyttöön liittyviä tunnuksia. Myös palvelun pääkäyttäjät ovat tärkeässä roolissa tietoturvan ylläpidossa, sillä heillä on vastuu siitä, että ainoastaan tarkoituksenmukaisille henkilöille luodaan tunnukset palveluun.
  • Sovelluksen toiminnallisuus: On tärkeää löytää tietty tasapaino sen osalta, mitä tietoa palvelussa näytetään, muttei kuitenkaan samalla tarpeettomasti haitata tiedon saatavuutta. Tätä tasapainoa on haettu yhdessä käyttäjiemme kanssa palautteen perusteella. Konkreettinen esimerkki tästä on henkilötunnuksien näyttäminen Lupapisteessä hankkeiden yhteydessä: Hakemusta käsittelevä viranomainen näkee henkilötunnukset kokonaan, muut viranomaiset näkevät ainoastaan henkilötunnuksen alkuosa, kun taas hankkeen osapuolet eivät näe toistensa henkilötunnuksia ollenkaan. Toivommekin, että käyttäjämme kommunikoivat tietoturvahuomioistaan meille ja voimme yhdessä löytää parhaan mahdollisen ratkaisun.
  • Sovellus ja asetukset: Tiimimme huolehtii, että asetukset ovat ohjelmistotoimittajien suositusten mukaisia ja niiden tekeminen on dokumentoitu ja automatisoitu. Tämän avulla varmistetaan se, että palvelimilla on juuri asianmukaiset asetukset ja että kaikista tehdyistä muutoksista jää jälki palvelun versionhallintaan.
  • Tiedon säilyminen: Palvelua varmuuskopioidaan säännöllisesti ja jatkuvasti, minkä ansiosta esimerkiksi jopa kaksi viikkoa sitten poistettu tiedosto voidaan vielä palauttaa käyttäjälle.
  • Fyysinen tietoturva ja palvelimet: Palvelun fyysisestä tietoturvallisuudesta vastaa ulkopuolinen auditoitu kumppani ja palvelimien tietoturva on Solitan vastuulla.

 

Jokainen palvelumme käyttäjä voi kuitenkin edesauttaa tietoturvaa huolehtimalla siitä, että henkilökohtaiset tunnukset pysyvät vain omassa tiedossa, omat ohjelmistot (erityisesti selain- ja virustarkastukset) ovat jatkuvasti päivitettyinä ja että omasta tietokoneesta on otettu varmuuskopiot.

Tiimimme tekee kyllä kaiken sen eteen, että palvelumme on tietoturvallinen, mutta tietoturva on loppupeleissä meidän kaikkien yhteinen asia.

 

Lisätietoja Lupapisteen tietoturvasta saat usein esitettyjen kysymysten yhteydestä.

 

 

Jaa tämä sisältö

Keskustele aiheesta

Jätä kommentti

Sähköpostiosoitetta ei julkaista, mutta se tarvitaan viestin jättämiseen.