Hopp til hovedinnhold

Adressering

Hvis en spesifikk datautveksling må begrenses til utvalgte deler i organisasjonen, blir det viktig å tilby mekanismer som kan hindre at andre deler i organisasjonshierarkiet får tilgang til data de ikke skal ha tilgang til. Dette blir spesielt viktig der det er snakk om sensitive persondata, som i helsesektoren, eller forretningshemmeligheter, som forskningsprosjekter utsatt for industrispionasje.

På denne siden

    Adresser på så detaljert nivå som nødvendig

    Datatilbyder må

    • Ivareta krav om personvern som påvirker adresseringsbehovet
      • Trenger du adressering på «underenhetsnivå» for å tilfredsstille prinsippet om dataminimering? Dersom det er sensitive data eller data som ikke skal komme på avveie, bør en kreve adressering på mer granulert nivå enn for mer “ufarlige” data.
      • Vurder om du har behov for vite sluttbrukers tjenstlige behov. Det tjenstlige behovet og prinsippene for dataminimering er ofte knyttet til hvilke aktiviteter som foregår i en del av virksomheten, i helsesektoren kan dette f.eks. være et behandlingssted. Tjenstlig behov kan også være knyttet til innlogget bruker.

    Eksempel:

    En sykehusavdeling for dokumentasjon og arkivtjenester har andre tillatte grenser for forskrivning av morfinpreparater enn en kirurgisk avdeling. Ved bruk av virksomhets-sertifikater knyttet til juridisk person klarer man ikke skille disse avdelingene i API-kall.

    • Vurdere om du må tilgangsstyre basert på både virksomhet og innlogget bruker
      • I noen tilfeller må sluttbrukeren og sluttbrukerens knytning til virksomhet/del av virksomhet være kjent for APIet.
      • Vurder hvor høy tillit må du ha til knytningen, og hva som er autorativ kilde for den. Husk at knytningen kan være sensitiv i seg selv. Vurder å pseudonymisere identifikatorer.

    Eksempel:

    Den autentiserte personen er ansatt og foreleser ved fakultet A, men samtidig student ved fakultet B.

    Denne personen skal ikke tilgang til alle eksamensoppgaver, vurderinger o.l. for B der hun studerer, men hun skal det for sine elever hos A.

    Etter eksamen skal hun ha tilgang til sine egne resultater o.l. også i B.

    • Benytte autorative kilder for samhandlingspartnerne dine
      • Benytt adresseregister/fellesløsninger som allerede finnes for identifikasjon og adressering av samhandlingspartnerne dine. Ta høyde for at samhandling over tid vil utvides til andre aktører og/eller sektorer. Samarbeid med registre / felles-løsninger for å få på plass nødvendig videreutvikling.

        Eks: Enhetsregisteret, Nasjonalt skoleregister for grunnopplæringa, Adresseregisteret i helsesektoren. Feide. Maskinporten.

    Forstå kompleksiteten virksomhet uten registreringsrett medfører

    Datatilbyder må

    • Være varsom med å tilgangsstyre ”innenfor døra” hos konsument
      • Vær klar over at ved å stille krav om granulert adressering medfører dette økt ressursbehov for forvaltning hos begge parter.
      • Foretrekk å tilgangsstyre på “tjenesteområde” hos konsumenten i motsetning til å forholde deg til konsumenters organisasjonshierarki.
      • Det finnes få løsninger som adresserer og autentiserer virksomheter uten organisasjonsnummer i dag. Dersom det ikke finnes en fellesløsning som dekker dine behov for adressering, må du vurdere å opprette nødvendige datakilder selv. Alternativt kan du løse dette med tydelige avtaler i stedet for tekniske tiltak.
    • Vurdere om en segmentansvarlig kan avlaste deg med adressering
      • Ofte kan en større gruppe av ensartede konsumenter administreres av en segmentansvarlig, for eksempel en bransje-organisasjon eller den største konsumenten.

    Avklar hvem som skal vedlikeholde adresseringsinformasjon

    Datatilbyder og datakonsument må

    • Ivareta at adresseringsinformasjon vedlikeholdes
      • Dette gjelder både vedlikehold av sentrale adresseregistre (som Adresseregisteret for meldingsutveksling i helsesektoren) eller systemintegrasjoner (som Maskinporten, Feide eller HelseID).
      • Følg føringer/kodeverk satt av API-tilbyder og fellesløsningen.
      • Etabler tydelige roller og ansvar internt for vedlikehold av slik informasjon ved endringer i tjenestebruken eller ved organisasjonsendringer.
    • Være bevisst på at angripere kan utnytte svakheter i adressering for å få tilegne seg data eller endre systemer
      • ved å for eksempel påvirke data i register, parametere i forespørsler, påstander i tokens eller tilegne seg tilgang til selvbetjeningsløsninger for å produsere eller benytte sertifikater.

    Ha fokus på sikkerhet

    Datatilbyder og datakonsument bør

    • Bruke trusselmodellering som verktøy
      • Identifiser problemområder knyttet til adressering og evaluer risikoen assosiert med hvert område. Lag en beskrivelse av angripere og hvordan angrep kan kunne materialisere seg.
    • Være varsom med hvilken informasjon som brukes til tilgangskontroll
      • Vurder om en gitt påstand om enhet egner seg for tilgangskontroll, eller om den bare bør brukes som adressering eller som informasjon i logger/sporing/innsyn.