7.5.1 Yleistä
Tunnistautumisella tarkoitetaan palvelua käyttävän henkilön todellisen tai virtuaalisen identi-teetin todentamista. Sähköisellä allekirjoituksella tarkoitetaan menetelmää, jolla voidaan var-mistaa tietosisällön lähde (henkilö tai organisaatio) ja tiedon muuttumattomuus ja kiistämät-tömyys. Tunnistautuminen ja sähköistä allekirjoitus ovat erityisen keskeisiä teknologioita terveystaltion toteutuksen kannalta, ja siksi ne valittiin tietoturvan osa-alueiden joukosta käsi-teltäväksi tässä raportissa.
Tunnistautuminen nojautuu yhden tai useamman tekijän tarkistamiseen. Tyypillisesti nämä jaetaan kolmeen ryhmään:
• johonkin, mitä käyttäjällä on (esim. älykortti, puhelin, ...)
• johonkin, mitä käyttäjä tietää (salasana, pin-koodi, ...)
• johonkin, mitä käyttäjän on (sormenjälki, verkkokalvo, dna, ...)
Käytännössä tällä hetkellä kansalaisen tunnistautumisessa käytetään lähinnä salasanoja ja pin-koodeja. Älykorttiin tai matkapuhelinliittymään pohjautuvaa tunnistautumista käytetään laa-jemmin lähinnä ammattilaissovelluksissa.
Erilaisten tunnistautumista vaativien palvelujen yleistyessä on noussut tärkeäksi siirtää tunnis-taustumistietoja palvelujen välillä. Tällaistenfederoitujen palvelujen välillä käyttäjän ei tar-vitse erikseen tunnistautua esimerkiksi siirrettäessä käyttäjän selainistunto palvelusta toiseen (single sign-on -palvelu, SSO). Federaatio voi perustua esimerkiksi OASIS-organisaation SAML-määrittelyyn (Security Assertion Markup Language)41 tai OpenID-määrittelyyn42. Suomessa SAML protokollaa on käytetty mm. korkeakoulujen ja yliopistojen yhteisen tunnis-tusjärjestelmän (HAKA)43 sekä julkishallinnon luottamusverkoston (VIRTU)44 toteutuksessa.
Sähköinen allekirjoitus perustuu salausavainpariin. Allekirjoitus tehdään käyttäjän hallussa (esimerkiksi älykortilla) olevan avaimen avulla ja allekirjoitus on tarkistettavissa julkisen avaimen avulla. Varmenteella tarkoitetaan todistusta, joka luotettavasti liittää avainparin sen omistajaan. Lainvoimainen sähköinen allekirjoitus edellyttää julkisen avaimen
infrastruktuu-41http://www.oasis-open.org/
42http://openid.net/
43http://www.virtuaaliyliopisto.fi/data/files/tapahtumat/vvyop07/esitykset/linden.pdf
44http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/20081027ValtIT/05_Linden_virtu_2008
ria (Public Key Infrastructure, PKI), jossa huolehditaan varmenteiden asianmukaisesta luon-nista, hallinnasta ja jakelusta.
7.5.2 Kansalaisen näkökulma
Käsiteltävän tiedon luottamuksellisuuden vuoksi kansalaisen luotettava tunnistaminen on tär-keä osa terveystaltiopalvelua. Terveystaltion näkökulmasta voidaan erottaa kaksi lähestymis-tapaa:
1. Terveystaltiopalvelut, joissa käyttäjä tunnistautuu omalla nimellään ja henkilötiedot säilytetään palvelussa
2. Terveystaltiopalvelut, joissa käyttäjä tunnistautuu valitsemallaan nimellä (pseudo-nyymi), eikä käyttäjän henkilötietoja säilytetä palvelussa
Ensin mainitun lähestymistavan etuna on se, että terveystaltiopalveluun voidaan siirtää suo-raan tietoa terveydenhuollon palveluista, joissa henkilöt tunnistetaan oikealla nimellä. Käyttä-jätunnistuksen perustuessa pseudonyymiin, eikä todelliseen henkilöllisyyteen, riski terveystal-tiopalvelun tietojen väärinkäytöstä vähenee, kun todellisia henkilötietoja ei säilytetä terveys-taltiopalvelussa. Toisaalta tiedon suora toimitus terveyspalveluntarjoajan järjestelmistä terve-ystaltioon tulee tällöin mahdottomaksi, mikä vähentää terveystaltiopalvelusta saatavaa hyötyä käyttäjän kannalta.
Käyttäjätunnukseen ja salasanaan perustuvaa yksinkertaista tunnistautumista voidaan käyttää sekä tunnistautumiseen omalla nimellä että pseudonyymillä. Vahvempia, Suomessa käytettä-viä tunnistusmenetelmiä ovat sähköinen henkilökortti ja pankkitunnistus (TUPAS), joissa tunnistautuminen tapahtuu aina omalla nimellä.
Sähköisen henkilökortti perustuu PKI-arkkitehtuuriin ja Väestörekisterikeskuksen tuottamaan laatuvarmenteeseen ("kansalaisvarmenne"). Henkilön tunnistamisen lisäksi sitä voidaan käyt-tää myös asiakirjojen lainvoimaiseen allekirjoittamiseen. Sähköisen henkilökortin käyttö on jäänyt vähäiseksi johtuen hankalasta varmenteen hankintaprosessista sekä varmenteen käyt-töön liittyvistä kustannuksista kansalaiselle. Kortin käyttö edellyttää kortinlukijaa, joka on erikseen hankittava ja asennettava. Suomessa on kokeiltu myös kansalaisvarmenteen sijoitta-mista matkapuhelimen sim-kortille "mobiilivarmenteeksi", jolloin kortinlukijan korvaa mat-kapuhelin. Myöskään mobiilivarmennepalvelu ei saavuttanut merkittävää suosiota, eikä se toistaiseksi ole kaupallisena palveluna saatavissa. Edelleen kuitenkin uskotaan, että mobiili-varmenne voi nousta merkittäväksi tunnistautumis- ja allekirjoitusvälineeksi, jos varmenteen hankintaprosessi saadaan yksinkertaisemmaksi. Matkapuhelinoperaattorit pyrkivät löytämään tähän ratkaisua yhdessä viranomaisten kanssa, mutta tällä hetkellä on mahdotonta arvioida milloin parannettu versio mobiilivarmennepalvelusta olisi markkinoilla.
Pankkitunnukset ovat levinneet Suomessa erittäin laajasti käyttöön erilaisten asiointipalvelu-jen tunnistautumismenetelmänä. Menetelmän etuna on se, että verkkopankin käyttöaste Suo-messa on korkea, joten tunnukset ovat lähes kaikilla ja niitä on myös opittu sujuvasti käyttä-mään, vaikka käyttäjän näkökulmasta menetelmä on jonkin verran hankala ja aikaa vievä.
Pankkitunnusten rajoituksena on, että menetelmä ei perustu PKI-arkkitehtuuriin, eikä sitä voi-da käyttää lainvoimaiseen allekirjoittamiseen. Palvelun toteuttava tietojärjestelmä voi pankki-tunnusten avulla tehdä ns. palvelinallekirjoituksen, jolla voidaan varmistaa tietojen eheys ja muuttumattomuus organisaation omaa tarvetta varten [14]. Tällainen allekirjoitus ei kuiten-kaan ole standardinmukaisella ja pankista riippumattomalla tavalla tarkistettavissa, eikä se ole sähköistä allekirjoitusta koskevan lain tarkoittama "kehittynyt sähköinen allekirjoitus".
Palveluntarjoajan näkökulmasta pankkitunnistuksen ongelmana on se, että palvelun tarjonta asiakkaille edellyttää erillisiä sopimuksia erikseen kaikkien pankkien kanssa. Eri toimijoiden yhteistyötä (esim. kytketyt terveystaltiopalvelut) ajatellen rajoituksena on lisäksi se, että TU-PAS ei suoraan tue tunnistautumisen federointia palvelujen välillä.
Julkishallinnolle suunnitellut Vetuma-45 ja Tunnistus.fi-palvelut46 yhdistävät sähköiseen hen-kilökorttiin ja pankkitunnistukseen perustuvan kansalaisen tunnistautumisen samaan palvelu-kokonaisuuteen ja pyrkivät siten helpottamaan tunnistautumisessa, sähköisessä allekirjoituk-sessa ja maksamiallekirjoituk-sessa tarvittavan toiminnallisuuden integrointia asiointipalveluihin organi-saation kannalta. Vetumaan on myös suunniteltu federaatio-ominaisuutta, jolloin siitä saatava lisäarvo sekä julkishallinnolle, että kansalaiselle kasvaisi oleellisesti. Vetuma-ja Tunnistus.fi-palvelujen rajoituksena tulee jatkossakin olemaan, että ne ovat vain julkishallinnon ei yksi-tyisten palveluntarjoajien käytettävissä.
Varmennepohjaista tai pankkitunnuksiin perustuvaa tunnistautumista yksinkertaisempi ratkai-su on palveluntarjoajan luovuttama käyttäjätunnus-salasanapari, jolla kansalainen kirjautuu palveluun. Käyttäjätunnus ja salasana voidaan luovuttaa fyysisesti henkilökohtaisen asioinnin yhteydessä tai lähettää postitse riippuen tarvittavasta tietoturvatasosta. Tyypillinen menettely-tapa on myös se, että asiakas tunnistautuu ensimmäisellä käyttökerralla pankkitunnuksin, jol-loin salasana määritellään ja sidotaan käyttäjätunnus-salasana pariin. Käyttäjätunnus-salasana -pari on oleellisesti pankkitunnistusta turvattomampi tunnistautumistapa, koska salasana ei vaihdu istuntojen välillä pankkitunnusten koodien tapaan. Monissa terveystaltiopalveluissa, mm. Google Health, tämä menetelmä kuitenkin on valittu käyttöön, koska globaalia palvelua ajatellen parempaakaan ratkaisua ei ole ollut saatavilla.
Tunnistustiedon siirto eri maiden kansallisten tunnistuspalvelujen välillä onkin tunnistettu tärkeäksi kehityskohteeksi. Jo nyt käytetään laajasti OpenID47 protokollan avulla federoituja palveluja. OpenID:n avulla palveluntarjoaja voi ulkoistaa tunnistautumisen OpenID tunnis-tuspalveluntarjoajalle ("identity provider"), joka pitää huolta käyttäjien identiteeteistä ja niihin liittyvistä salasanoista. OpenID tunnistuspalvelujen tarjoajia on jo runsaasti - mm. Google.
Toisin sanoen esimerkiksi omaa terveystaltiopalvelua tarjoava yritys ("identity consumer") voi nojautua Googlen ylläpitämiin käyttäjäidentiteetteihin omassa palvelussaan. OpenID:n avulla muodostuu luottamusverkkoja, joiden sisällä käyttäjä voi siirtyä palvelusta toiseen il-man erillistä tunnistautumista. SAML protokolla mahdollistaa OpenID:tä vastaavan SSO-toiminnallisuuden selainympäristössä, mutta SAML on myös laajemmin sovellettavissa mm.
turvallisten Web Service -pohjaisten palvelujen toteuttamiseen pyrittäessä joustavaan tiedon välitykseen terveystaltioekosysteemin palvelukomponenttien välillä
Kansalaisten identiteettitiedon välittämiseen liittyen on syytä huomioida myös EU:n osittain rahoittama STORK projekti (Secure Identity Across Borders Linked)48. Hanke tähtää EU:n laajuiseen ratkaisuun, joka mahdollistaisi kansallisella tasolla määriteltyjen identiteettien käy-tön koko EU:n alueella. Hankkeella on hyvät lähtökohdat, koska mukana on useita viranomai-sosapuolia, jotka vastaavat identiteettien hallinnasta kansallisesti. Ongelmana ei ole niinkään teknologian puute kuin se, että viranomaiset saadaan toimimaan yhteen siten, että kansallisella tasolla määritellyt identiteetit ovat käytettävissä myös muissa maissa.
45http://www.suomi.fi
46https://www.tunnistus.fi/
47http://www.openid.fi/
7.5.3 Terveydenhuollon ammattilaisen näkökulma
Terveydenhuollon ammattilaisen tunnistautuminen tapahtuu enenevässä määrin Sosiaali- ja terveysalan lupa- ja valvontaviraston (Valvira) myöntämän ammattivarmennekortin ja siihen liittyvän PKI-arkkitehtuurin avulla. Terveydenhuollon ammattilainen tulee tarvitsemaan Val-viran varmennekortin käyttääkseen kansallisia palveluja ja allekirjoittaakseen Kanta-palveluihin vietäviä tietoja.
Ammattivarmennekortti on tarkoitettu käytettäväksi ainoastaan sosiaali- ja terveydenhuollon tietojärjestelmissä ja palveluissa49. Kortin avulla ei siten voida toteuttaa ammattilaisen tunnis-tautumista kaupalliseen terveystaltiopalveluun esimerkiksi tilanteessa, jossa potilas haluaa antaa lääkärilleen pääsyn tietojensa katseluun. Tällaista käyttötapausta varten ammattilaisen tulee siten kirjautua erikseen terveystaltiopalveluun, jossa potilas sitten antaa suostumuksen valittujen tietojen katseluun.
7.5.4 Tiedon suojaamisesta terveystaltioekosysteemissä
Yksittäisen terveystaltiopalvelun näkökulmasta tietoturvallisuuteen liittyvät vaatimukset ovat samankaltaisia muiden luottamuksellista tietoa käsittelevien Internet-pohjaisten palvelujen kanssa. Tarvitaan palvelusisältöön nähden riittävän luotettava tunnistautumismekanismi, suo-jattu tiedonsiirtoyhteys (https), tietoturvallinen palvelinympäristö ja siinä ajettava palveluso-vellus sekä tietoturvapolitiikan mukaiset järjestelmän hallinta- ja ylläpitoprosessit.
Terveystaltioekosysteemi asettaa tietoturvalle huomattavia lisähaasteita. Ekosysteemiympäris-tössä voidaan suojattujen tietoliikenneyhteyksien lisäksi käyttää myös tietosisältöjen suojausta perustuen WS-Security -määrittelyihin50. WS-Security -määrittelyt kohdentuvat yhteyksien sijasta itse tietosisällön suojaamiseen ja ne mahdollistavat suojauksen kohdentamisen niihin sisältöosioihin, joissa erityistä suojaa tarvitaan. Määrittelyt kattavat XML-tyyppiseen tiedos-toon liitettävät rakenteet sisältöön liittyvien tietoturvaselosteiden (security token) välittämi-seen sekä rakenteet valittujen XML-lohkojen allekirjoitusta ja salausta varten. Näitä rakenteita voidaan terveystaltioekosysteemissä hyödyntää monin tavoin. Tietoturvaselosteen (mm.
SAML) avulla voidaan esimerkiksi vahvistaa, että välitettäviin tietoihin liittyvä asiakas on luotettavasti tunnistettu. Allekirjoitusten avulla voidaan turvata tietojen eheys ja kiistämättö-myys. Erityisen kiinnostava mahdollisuus on valittujen tietolohkojen salaus asiakkaan salasa-nalla, kun siirretään terveystaltion tietoa toiseen terveystaltioon. Näin saadaan lisävarmistusta sellaisten virhetilanteiden varalle, joissa tiedot vahingossa siirretään väärään paikkaan.
Luottamuksellisia tietoja vaihtavien palvelujen on luonnollisesti luotettava toisiinsa. Esimer-kiksi siihen, että kansalaisen tietoja pyytävä palvelusovellus toimii kansalaisen antamalla suostumuksella. Tekniset ratkaisut luottamuksen välittämiseen ovat olemassa, mutta niiden hyödyntäminen käytännössä tietenkin edellyttää palveluntarjoajien väliseen sopimukseen no-jaavaa yhteistyötä ja huolellisesti suunniteltua käyttöliittymää, jotta kansalaisella säilyy valta päättää siitä, missä ja mitkä tahot hänen tietojaan näkevät.