Adressering
Hvis en spesifikk datautveksling må begrenses til utvalgte deler i organisasjonen, blir det viktig å tilby mekanismer som kan hindre at andre deler i organisasjonshierarkiet får tilgang til data de ikke skal ha tilgang til. Dette blir spesielt viktig der det er snakk om sensitive persondata, som i helsesektoren, eller forretningshemmeligheter, som forskningsprosjekter utsatt for industrispionasje.
Adresser på så detaljert nivå som nødvendig
Datatilbyder må
- Ivareta krav om personvern som påvirker adresseringsbehovet
- Trenger du adressering på «underenhetsnivå» for å tilfredsstille prinsippet om dataminimering? Dersom det er sensitive data eller data som ikke skal komme på avveie, bør en kreve adressering på mer granulert nivå enn for mer “ufarlige” data.
- Vurder om du har behov for vite sluttbrukers tjenstlige behov. Det tjenstlige behovet og prinsippene for dataminimering er ofte knyttet til hvilke aktiviteter som foregår i en del av virksomheten, i helsesektoren kan dette f.eks. være et behandlingssted. Tjenstlig behov kan også være knyttet til innlogget bruker.
Eksempel:
En sykehusavdeling for dokumentasjon og arkivtjenester har andre tillatte grenser for forskrivning av morfinpreparater enn en kirurgisk avdeling. Ved bruk av virksomhets-sertifikater knyttet til juridisk person klarer man ikke skille disse avdelingene i API-kall.
- Vurdere om du må tilgangsstyre basert på både virksomhet og innlogget bruker
- I noen tilfeller må sluttbrukeren og sluttbrukerens knytning til virksomhet/del av virksomhet være kjent for APIet.
- Vurder hvor høy tillit må du ha til knytningen, og hva som er autoritativ kilde for den. Husk at knytningen kan være sensitiv i seg selv. Vurder å pseudonymisere identifikatorer.
Eksempel:
Den autentiserte personen er ansatt og foreleser ved fakultet A, men samtidig student ved fakultet B.
Denne personen skal ikke få tilgang til alle eksamensoppgaver, vurderinger o.l. for B der hun studerer, men hun skal få det for sine elever hos A.
Etter eksamen skal hun ha tilgang til sine egne resultater o.l. også i B.
- Benytte autoritative kilder for samhandlingspartnerne dine
- Benytt adresseregister/fellesløsninger som allerede finnes for identifikasjon og adressering av samhandlingspartnerne dine. Ta høyde for at samhandling over tid vil utvides til andre aktører og/eller sektorer. Samarbeid med registre / felles-løsninger for å få på plass nødvendig videreutvikling.
Eks: Enhetsregisteret, Nasjonalt skoleregister for grunnopplæringa, Adresseregisteret i helsesektoren. Feide. Maskinporten.
- Benytt adresseregister/fellesløsninger som allerede finnes for identifikasjon og adressering av samhandlingspartnerne dine. Ta høyde for at samhandling over tid vil utvides til andre aktører og/eller sektorer. Samarbeid med registre / felles-løsninger for å få på plass nødvendig videreutvikling.
Forstå kompleksiteten virksomhet uten registreringsrett medfører
Datatilbyder må
- Være varsom med å tilgangsstyre ”innenfor døra” hos konsument
- Vær klar over at ved å stille krav om granulert adressering medfører dette økt ressursbehov for forvaltning hos begge parter.
- Foretrekk å tilgangsstyre på “tjenesteområde” hos konsumenten i motsetning til å forholde deg til konsumenters organisasjonshierarki.
- Det finnes få løsninger som adresserer og autentiserer virksomheter uten organisasjonsnummer i dag. Dersom det ikke finnes en fellesløsning som dekker dine behov for adressering, må du vurdere å opprette nødvendige datakilder selv. Alternativt kan du løse dette med tydelige avtaler i stedet for tekniske tiltak.
- Vurdere om en segmentansvarlig kan avlaste deg med adressering
- Ofte kan en større gruppe av ensartede konsumenter administreres av en segmentansvarlig, for eksempel en bransje-organisasjon eller den største konsumenten.
Avklar hvem som skal vedlikeholde adresseringsinformasjon
Datatilbyder og datakonsument må
- Ivareta at adresseringsinformasjon vedlikeholdes
- Dette gjelder både vedlikehold av sentrale adresseregistre (som Adresseregisteret for meldingsutveksling i helsesektoren) eller systemintegrasjoner (som Maskinporten, Feide eller HelseID).
- Følg føringer/kodeverk satt av API-tilbyder og fellesløsningen.
- Etabler tydelige roller og ansvar internt for vedlikehold av slik informasjon ved endringer i tjenestebruken eller ved organisasjonsendringer.
- Være bevisst på at angripere kan utnytte svakheter i adressering for å få tilegne seg data eller endre systemer
- ved å for eksempel påvirke data i register, parametere i forespørsler, påstander i tokens eller tilegne seg tilgang til selvbetjeningsløsninger for å produsere eller benytte sertifikater.
Ha fokus på sikkerhet
Datatilbyder og datakonsument bør
- Bruke trusselmodellering som verktøy
- Identifiser problemområder knyttet til adressering og evaluer risikoen assosiert med hvert område. Lag en beskrivelse av angripere og hvordan angrep kan kunne materialisere seg.
- Være varsom med hvilken informasjon som brukes til tilgangskontroll
- Vurder om en gitt påstand om enhet egner seg for tilgangskontroll, eller om den bare bør brukes som adressering eller som informasjon i logger/sporing/innsyn.