Tietoturvatarkistus

[CodoDerDritte]

Helsingin kaupunki on tiedottanut vakavasta tietomurrosta tietoverkossaan, johon myös tietosuojavaltuutettu on reagoinut. Tapahtuneen vuoksi valtiovarainministeriö pyytää kaikkia julkisen hallinnon toimijoita varmistamaan alla olevia asioita:

• julkisen hallinnon tietoverkkoihin ja tietojärjestelmiin pääsyä hallinnoivien järjestelmien ohjelmistot ovat ajan tasalla
• mahdollisia tietoturvaheikkouksia sisältävät ohjelmistot päivitetään
• Internetistä saatavilla olevien yhteysmuotojen ja niitä tuottavien järjestelmien asetukset (konfiguraatio) ovat asianmukaiset ja turvalliset

Koha-Suomen tietoturvatarkistus

Kirjastojen ja kuntien kannalta Koha on vain varsin pieni osa kirjastojen järjestelmäkokonaisuutta. Muita kokonaisuuden osia ovat esimerkiksi työasemalaitteet, verkkolaitteet ja kuntien verkkoratkaisut, kirjastoautomaatio, erilaiset laskutus- ja asiakasviestintäpalvelut, verkkokirjastot, e-aineistot, kuntasovellukset sekä mahdolliset tilastointiin ja muuhun massadatan käsittelyyn tarkoitetut järjestelmät.

Helsingin tapauksessa on mennyt pieleen todella moni muukin asia kuin vain päivityksistä huolehtiminen. Tilanne jossa luottamukselliset tiedot useiden vuosien ajalta pyörivät "missä sattuu" työntekijöiden verkkolevyillä, kaikesta päätellen ilman minkäänlaista säilytyksen ja elinkaarenhallintaa, on tietoturvan ja tietosuojan kannalta mahdoton yhtälö. Kyseessä ei siis ole pelkästään, eikä edes ensisijassa ylläpidollinen ongelma, vaan kysymys vaikuttaa olevan lisäksi puutteellisesta suunnittelusta johtuvasta epätarkoituksenmukaisesta järjestelmäarkkitehtuurista ja huonoista tietoturvakäytännöistä.

Koha järjestelmän osalta toteamme seuraavaa:

• Koha-Suomen palvelinten käyttöjärjestelmän tukiaika ulottuu tällä hetkellä huhtikuulle 2025. Käyttöjärjestelmä tullaan päivittämään uudempaan versioon ennen tukiajan päättymistä.

• Tietoturvapäivitykset Koha-Suomen järjestelmiin asennetaan normaalisti kuukausittaisten huoltojen yhteydessä. Jos on ilmennyt poikkeuksellisen kriittisiä tietoturvaongelmia, pyritään päivitykset asentamaan heti kun ne ovat saatavilla.

• Itse Koha-ohjelmiston versiopäivitykset tehdään kerran vuodessa, mutta tarvittavia päivityksiä asennetaan pitkin vuotta muulloinkin.

• Pääsy Kohan käyttöliittymään on rajattu selaimeen asennettavilla asiakasvarmenteilla ja yhteydet on salattu. Varmenteet uusitaan vuosittain. Suosittelemme kaksivaiheista tunnistautumista, mutta sen käytöönotto on viimekädessä kimppojen/kuntien vastuulla. Koha-Suomen henkilökunnan osalta kaksivaiheinen tunnistautuminen on pakollinen.

• Koha APIn käyttö vaatii pääsääntöisesti API-avaimet ja/tai tunnistautumisen, poikkeuksena tähän kuitenkin eräät rajapinnat, joita pitkin liikkuu ainoastaan ei-luottamuksellista tietoa (esimerkiksi kuvailutietueita, jotka ovat kansallisessa verkkokirjastossa muutenkin julkisesti näkyvillä). API-yhteydet on salattu.

• Automaatioyhteydet on toteutettu pääsääntöisesti APIn kautta. Jos APIa ei ole voitu esimerkiksi automaattikaluston iän tai toiminnallisten puutteiden vuoksi käyttää, on rakennettu salattu tunneli automaattiliikennettä varten.

• Tiedostojen siirto järjestelmään ja järjestelmästä on toteutettu salatusti ja vaatii sisäänpäin tulevan liikenteen osalta avainperustaisen tunnistautumisen. Siirtoihin käytettävillä tunnuksilla ei ole pääsyä muihin järjestelmän osiin.

• Huoltoyhteydet palvelimille on toteutettu salatusti ja käytössä on avainperustainen tunnistautuminen. Huoltoyhteyksien avaimet on ohjeistettu suojaamaan salasanalla. Epäturvallisten salausalgoritmien käyttö on estetty.

• Verkkolaitteiden (kytkimet, reitittimet, palomuurilaitteet ym) päivitykset ovat konesalioperaattorin vastuulla. Osa laitteista päivittyy automaattisesti ja osan osalta konesalioperaattori seuraa uusia ohjelmistoversiota ja päivittää laitteistot tarvittaessa. Verkkolaitteiden hallintaliittymiin ei ole pääsyä ulkoverkosta.

Pyydämme tekemään mahdolliset tähän asiaan liittyvät lisätietopyynnöt kimppojen pääkäyttäjien kautta.

Kodo Korkalo
Vanhempi järjestelmänkesyttäjä
Koha-Suomi Oy