tietoturva luotettavan hoidon työkaluna · • pohjana kaikki yleisimmät tietoturvastandardit mm....

© Jari Seppälä

Tietoturva luotettavan hoidon työkaluna

Helsinki 2019-08-21, MedTech Finland ry jäsenet

Jari Seppälä [email protected] automaation tietoturva-asiantuntija

Tampereen yliopisto

mailto:[email protected]

© Jari Seppälä, [email protected]

Tietoturva (julkisissa) hankinnoissa tänään optimoi hoidon luotettavuuden kannalta väärää asiaa

HankintaPROJEKTIN elinkaari

tietoturvavaatimus- taulukko, -liite

} }Optimoidaan PROJEKTIn toteutumista

Aloitus Suunnittelu Toteutus Käyttöönotto

Tarve? Päätäaloittaa

Kuvaaliiketoiminnankäyttötapaus

Määrittele Valitse Suunnittele Toteuta Testaa Pilotoi Otakäyttöön



Oikea tapa ottaa koko elinkaaren huomioon

(product) lifecycle decomm.

Starting Planning Implementation Take over Operation & maintenance Decomissioning

Need? Chooseto start

Businesscase Define Choose Plan Create Test Pilot Take into

use Use Stopdev. Archive

stop using,clear

informationFree

resources

RFPRFI

RFI, Request for InformationRFP, Request for Product

Security purchase requirements

Purchase project

Suurimmat muutokset ajattelutavassa • edellytetään jatkuvuutta (kyvykkyys) • testataan vaatimusten säilyvyyttä • varmistetaan irtautuminen

alle 2v yli 10v



Julkiset hankinnat karrikoiden• Teknisten tietoturvavaatimusten aikaansaaminen ei ole ongelma

• Mallisuoritukset sisältävät kuitenkin huonosti elikaariajattelua • Kilpailutuslainsäädäntö aiheuttaa ongelman tietoturvan ja tietoturvakyvykkyyden

arvioinnille • Kilpailutuslainsäädännössä mahdollistetaan huonosti toimittajien osaamisen

testaamisen tai kypsyyden arvioinnin • Markkinatutkimusvaihe on ainoa mahdollisuus arvioida toimittajien toimintaa • Kilpailutusvaiheessa asiat ovat kiveen hakattuja → keskustelu ei enää mahdollista

• Jos vaatimukset vääriä → kilpailutus pahimmassa tapauksessa uusitaan kokonaan



Alkuperäinen vaatimuskanta• Huoltovarmuuskeskuksen teollisuusautomaation

tietoturvavaatimuskriteeristö • Useita hankkeita 2008-2015 • >200 henkeä, >140 organisaatiota • Pohjana kaikki yleisimmät tietoturvastandardit mm. ISO27k

• Kriteeristön tavoite • Ottaa järjestelmän koko elinkaaren tietoturva huomioon standardien mukaisesti • Kirjoittaa asiat ymmärrettävästi, selkeästi sekä esimerkkien kautta

• Kieli englanti, koska ohjelmisto/tietoturva-alan de-facto ja huomioi kansainväliset hankinnat suoraan

• Laajasti käytössä niissä organisaatioissa jotka osallistuivat tekemiseen

2005 20092007 2011 2013

STUXNET

TEO-TT 2011-12TITAN 2008-10

2004-05

OHJELMATURVA 2008-11

2007-08MATTI S U N DQU I ST (toim.)

TurvaväylätTeollisuusautomaation tiedonsiirtoliikenne

COREQ-VE/ACT

2011-13

KYBER-HYPE

KYBER-TEO2014-16

2014

Automaation tietoturva (omin käsin) 2010-

KYBER20202017-20

mm.KYBER-ENE

KYBER-Terveys

2016 2018 2020

WannaCry



Merkittävimmät muutokset• Esittämismuoto

• (automaation) tekniseltä osaaja → geneerisempi projektihenkilö • Sisäisen käsittelyn helpottaminen

• sisäinen viestintä - sisällytetty selitys mitä riskiä pyritään minimoimaan

• toimintamalli - sisäinen ohje miten käytetään • päätöksenteko ja dokumentointi - kommenttikenttiä valintojen

kirjaamiseksi ja käsittelyn nopeuttamiseksi • Tietovuokaavion esimerkkimalli • Komponenttien elinkaariesitys päivityssuunnittelua varten



EnnakkotyöAlustava riskiarvio

(erityisesti rekisteröidyn näkökulmasta)

Alustavat tietoturvavaatimuksetMuista sisällyttää integraatio- ja

kokonaisarkkitehtuurin edellyttämätvaatimukset

Markkinatutkimus Markkinoiden kyvykkyyteen sovitettut tietoturvaatimukset

Markkinoiden kyvykkyyden perusteella päivitetty riskiarvio

(erityisesti rekisteröidyn näkökulmasta)

Kilpailutukseen valmiit tietoturvavaatimuksetKilpailutus

Hankinnan jälkeinen muutos tai option käyttöönotto

Hankinta

Päivitetty riskiarvio Päivitetyt tietoturvavaatimukset

Vaihe Riski Tietoturvavaatimukset

Pienennetään riskiä kilpailutuksenuusintaan tai liian suuriin kustannuksiin

Esimerkiksi option käyttöönotto voi laajentaa järjestelmän käsittelemää

tietoa tai tiedon käyttötarkoitusta lainnäkökulmasta. Erityisestit henkilötietojenkohdalla uudelleen arviointi on tärkeää.

Hyväksytty riski

Hyväksytty riski

Tietoturvavaatimusten muodostuminen



Mitä tietoa suojataan? Mihin tietoja käytetään

Kuvaa järjestelmään tallentuva ja järjestelmän muutoin käyttämä

tietosisältöMikä on minkäkin tiedon

käyttötarkoitus?

Muista integraatiotesimerkiksi käyttäjähallintaan.

Näistä usein seuraa henkilötietojen käsittelyä

Erityisesti henkilötietojen käsittelyyn pitää aina olla käyttötarkoitus.

Lainsäädännön oletus on että niitä ei saa käsitellä → käsittely on siis

poikkeus tähän sääntöön

Mikä on tiedon elinkaari?

Kuinka kauan mitäkin tietoa säilytetään tässä järjestelmässä?

Usein pitkäaikaistallennus on eriytetty omiin järjestelmiin. Mieti

siis sekä normaalikäyttö että pitkäaikaistallennuksen toteutus

Ketkä tietoa käsittelevät?

Ketkä kaikki ja missä tilanteissa pääsevät tietoon käsiksi?

Normaalikäyttö on yleensä helppo määritellä, mutta huolto-, ylläpito- jne. käytön osana järjestelmään

pääsee usein myös sellaiset henkilöt näkemään tai

käsittelemään tietoja joilla ei ole muuta perustetta tiedon käsittelyy

(esim. hoitosuhdetta).

Kuka vastaa mistäkin osasta tiedonkäsittelyä?

Erityisesti ulkoistetuissa palveluissa käsittelijöitä on useita. Määrittele selkeästi kuka vastaa mistäkin.

Esimerkiksi pitkäaikaistallennus, huollon aikana talteenotettu tieto,

henkilö- ja käyttäjkätietojen yksikäsitteisyys, käyttäjätietojen ajantasaisuus, käyttövaltuuksien

ajantasaisuus, henkilötietojen oikeellisuus, lokien luotettavuus ja

tallennus jne.

Ennakkotyö sujuvoittaa vaatimusten sovittamista



Kattavuus• Järjestelmähankinnat • Palveluhankinnat • Konsultointi • Sisäinen tekeminen

• Vaatimuksia voi käyttää sisäisenä riskienarviointi ja määrittely välineenä (täytä kuten vaadit ulkoisilta toimittajilta)

• Muuten vaarana rapauttaa ulkoistetulta toimijalta vaadittu tietoturvan taso



Tietoturvavaatimuskanta on työkalu, joka toteuttaa riskienhallintaa• Sisäiset toimijat ja vastuut

• Kuka on omistaja, joka vastaa kokonaisuudesta • Esim. siitä että sopimukset ja dokumentit

löytyvät sekä ovat ajantasalla • Ulkoiset toimijat (ulkoistus, palveluhankinta)

• Sopimukset (ymmärrettävä, mitattava) • Kuka vastaa mistäkin elinkaaren vaiheesta • Missä vaiheessa vastuu siirtyy seuraavalle

toimijalle • Mitkä kaikki dokumentit kuuluva

• Parhaat käytännöt, lainsäädännön vaatimukset • Sisäiset periaatteet, politiikat ja arkkitehtuurit • Hankintadokumentaatio

• Tietoturvavaatimukset (!!!)

RFI-riskienarviointi- prosessit-tiedot

RFP- Sopimus- Tietoturvaliitteet

SDLITSMCMDB…

Käyttäjähallinta

Varmistus japalautus

Tietoturvatestaus:- FAT/SAT

Tuotanto / kunnossapito- Sopimus- Tietoturvaliitteet

Tietoturva-auditointiPoikkeamien hallintaHenkilötietojen käsittely

Käyttöoikeuksienpoisto

LAITE-,SOVELLUS-,

OHJELMISTO-TOIMITTAJA

Varmistaa jatestaa

teknologianturvallisuuden

Kuvaa tuotteenturvallisuuden

Koventaa, testaa jakouluttaa tuoteen

Korjaa ja testaa tuotteen

Toteuttaa poistoprosessin

ULKOISTUS-KUMPPANI

Varmistaa jatestaa


Kuvaa järjestelmänturvallisuuden

Koventaa, testaa jakouluttaa toimituksen

Ylläpitää dokumentaation,

korjaa, raportoi, tutkii, palauttaa


SISÄINEN IT

Hallinnoiintegroinnin

turvallisuuden-vaatimuksia

Dokumentoiintegraation

turvallisuuden

Varmistaaintegroinnin

turvallisuuden

(Ylläpitää dokumentaation)


SAIRAANHOITOPIIRI

Hallinnoiprojektin

turvallisuus-vaatimuksia

Jakaa toimitus-sopimuksen

tehtävät

Koordinoi ja valvooprojektin testauksen



HOITOYKSIKKÖ

Varmistaakumppanuus-verkostonsajatkuvuuden

Johtaa, jakaavastuut ja asettaa

vaatimukset

Suunnittelee javalvoo käyttöönoton

Hallitsee ja seuraa osaamisen,

omaisuuden, riskien ja muutosten tilanteen

Määrittelee postoluvan ja prosessin

TOIMIJA /ELINKAAREN

VAIHETUOTEKEHITYS HANKINTA TESTAUS &

KÄYTTÖÖNOTTOTUOTANTO &

YLLÄPITOKÄYTÖSTÄ-

POISTO

TUOTEKEHITYS HANKINTA TESTAUS JA KÄYTTÖÖNOTTO

TUOTANTO JA YLLÄPITO POISTO



Palvelun/järjestelmän/tuotteen hankinta ja elikaaren hallinta

projectdocumentsproject

documentsprojectdocuments

Yleiset IT konseptit & parhaat käytännöt ja lainsäädäntö

parhaatkäytännöt

Sisäiset ohjeet ja politiikat

sisäisetdokumentit

sisäisetparhaat

käytännöt

Hankintadokumentaatio

sopimus-dokumentit

teknisetdokumentit

turvallisuusdokumentit

lisenssi-dokumentit

jne.dokumentit

(järjestelmän/palvelun) elinkaari poisto

Aloitus Suunnittelu Toteutus Käyttöönotto Käyttö ja ylläpito Poisto

Tarve? Päätäaloittaa

Kuvaaliiketoiminnankäyttötapaus

Määrittele Valitse Suunnittele Toteuta Testaa Pilotoi Otakäyttöön Käytä Lopeta

kehitys Arkistoi Lopeta käyttö,puhdista tiedot

Vapautaresurssit

RFPRFI

Dokumentti-varasto

Projekti-dokumenttiRFI, markkinatutkimus

RFP, tarjouspyyntö

Ylläpito-sopimus

Standardit japarhaat

käytännöt

tietoturvavaatimukset

sisäisetprojekti-ohjeet

hankintaprojekti

Dokumentti-päivitys

lainsäädäntö-vaatimukset esim. GDPR

Dokumentti-arkisto

Järjestelmä/palvelu omistajuus

- Koordinointi ja elinkaarivastuu -

Projektien hallinta

Omistaja vastaa!!!

Sisäinen organisointi !



Oma toimintaympäristö elinkaarivastuineen

LAITE-,SOVELLUS-,


Varmistaa jatestaa






ULKOISTUS-KUMPPANI

Varmistaa jatestaa







SISÄINEN IT




turvallisuuden


turvallisuuden



SAIRAANHOITOPIIRI

Hallinnoiprojektin



tehtävät




HOITOYKSIKKÖ



vaatimukset





TOIMIJA /ELINKAAREN




POISTO



Sovitettu Huoltovarmuuskeskuksen KYBER-TEO-hankkeesta.

ESIMERKKI



Projektimalliin tarkastuspisteet• Tietoturva mukaan

mahdollisimman aikaisin (G1) • yhtä aikaa substanssin

kanssa • Tarkistus (G2, G3) • Hankintaorganisaatio tarkistaa

että on mukana (tehtävänä lainmukainen hankinta, tämä sovittuna lisätehtävänä)

• Jos ei ole → sisäinen keskeytys



Onnistumisen edellytykset• Edellyttää että hankinnan kohteelle on selkeä operatiivinen

vastuunkantaja • Ei voi olla geneerisesti ”IT vastaa kaikista järjestelmistä”

• Pitää löytyä taho joka nuijii ja valvoo että lähestymistä toteutetaan (=johdon vaatimus + sisäinen tarkastus)

• Integroiminen projektimalliin (tai sen luominen) • Velvoite käyttää aikaa luotettavuuden varmistamiseen koko

elinkaaren ajan • Tietoturva tukipalveluna riittävin resurssein

• Valvonta • Esim. hankinta tarkistaa laillisuuden lisäksi onko tarpeelliset muut

dokumentit mukana

LAITE-,SOVELLUS-,


Varmistaa jatestaa






ULKOISTUS-KUMPPANI

Varmistaa jatestaa







SISÄINEN IT




turvallisuuden


turvallisuuden



SAIRAANHOITOPIIRI

Hallinnoiprojektin



tehtävät




HOITOYKSIKKÖ



vaatimukset





TOIMIJA /ELINKAAREN




POISTO





Tietoturvavaatimukset luovat vain pohjan• Omistajan ohje

• mikä omistajan vastuu on ja miten se tulisi toteuttaa • Muutoshallinta

• avainroolissa ajantasaisuuden aikaansaamisessa • mahdollistaa nopean reagoinnin tietoturvaongelmiin

• Kokonaisarkkitehtuuri • koordinoi yhteensopivuutta • asettaa reunaehtoja • ei ole tietoturvan tehtävä



Entä ne tietoturvavaatimukset?



KYBER-Terveys/tietoturvavaatimuskanta

Elinkaarimalli

Vaatimukset (standardit)

Vastuiden määrittely

Esimerkkitoteutus

Ehdoton minimi (M)

Toimittajan vastaus

Sisäistä keskustelua varten sarakkeet



Vaatimusten sisäisen sovittamisen sarakkeet

Motivaatio, siis mitä riskiä pienennetään ja miksi

Vaatimuksen vaatima oma työ

Ratkaisun sisäinen tunniste (viite)

Poistoehdotus ja siitä seuraa…

Sisällyttämisehdotus ja siitä seuraa…

Jos ei ole mukana niin siitä seuraa…



Kyse on siis potilaan hoitoon käytettävän tiedon

luotettavuuden varmistamisesta tietoturvatyökalua hyväksikäyttäen


tietoturva luotettavan hoidon työkaluna · • pohjana kaikki yleisimmät tietoturvastandardit mm....

Documents