Adressering

Hvis en spesifikk datautveksling må begrenses til utvalgte deler i organisasjonen, blir det viktig å tilby mekanismer som kan hindre at andre deler i organisasjonshierarkiet får tilgang til data de ikke skal ha tilgang til. Dette blir spesielt viktig der det er snakk om sensitive persondata, som i helsesektoren, eller forretningshemmeligheter, som forskningsprosjekter utsatt for industrispionasje.

Innhold

    Adresser på så detaljert nivå som nødvendig

    Datatilbyder må

    Ivareta krav om personvern som påvirker adresseringsbehovet

    • Trenger du adressering på «underenhetsnivå» for å tilfredsstille prinsippet om dataminimering? Dersom det er sensitive data eller data som ikke skal komme på avveie, bør en kreve adressering på mer granulert nivå enn for mer “ufarlige” data.
    • Vurder om du har behov for vite sluttbrukers tjenstlige behov. Det tjenstlige behovet og prinsippene for dataminimering er ofte knyttet til hvilke aktiviteter som foregår i en del av virksomheten, i helsesektoren kan dette f.eks. være et behandlingssted. Tjenstlig behov kan også være knyttet til innlogget bruker.

    Eksempel:

    En sykehusavdeling for dokumentasjon og arkivtjenester har andre tillatte grenser for forskrivning av morfinpreparater enn en kirurgisk avdeling. Ved bruk av virksomhets-sertifikater knyttet til juridisk person klarer man ikke skille disse avdelingene i API-kall.

    Vurder om du må tilgangsstyre basert på både virksomhet og innlogget bruker

    • I noen tilfeller må sluttbrukeren og sluttbrukerens knytning til virksomhet/del av virksomhet være kjent for APIet.
    • Vurder hvor høy tillit må du ha til knytningen, og hva som er autorativ kilde for den. Husk at knytningen kan være sensitiv i seg selv. Vurder å pseudonymisere identifikatorer.

    Eksempel:

    Den autentiserte personen er ansatt og foreleser ved fakultet A, men samtidig student ved fakultet B.

    Denne personen skal ikke tilgang til alle eksamensoppgaver, vurderinger o.l. for B der hun studerer, men hun skal det for sine elever hos A.

    Etter eksamen skal hun ha tilgang til sine egne resultater o.l. også i B.

    Benytt autorative kilder for samhandlingspartnerne dine

    • Benytt adresseregister/fellesløsninger som allerede finnes for identifikasjon og adressering av samhandlingspartnerne dine. Ta høyde for at samhandling over tid vil utvides til andre aktører og/eller sektorer. Samarbeid med registre / felles-løsninger for å få på plass nødvendig videreutvikling.

      Eks: Enhetsregisteret, Nasjonalt skoleregister for grunnopplæringa, Adresseregisteret i helsesektoren. Feide. Maskinporten.

    Forstå kompleksiteten virksomhet uten registreringsrett medfører

    Datatilbyder må

    Være varsom med å tilgangsstyre ”innenfor døra” hos konsument

    • Vær klar over at ved å stille krav om granulert adressering medfører dette økt ressursbehov for forvaltning hos begge parter.
    • Foretrekk å tilgangsstyre på “tjenesteområde” hos konsumenten i motsetning til å forholde deg til konsumenters organisasjonshierarki.
    • Det finnes få løsninger som adresserer og autentiserer virksomheter uten organisasjonsnummer i dag. Dersom det ikke finnes en fellesløsning som dekker dine behov for adressering, må du vurdere å opprette nødvendige datakilder selv. Alternativt kan du løse dette med tydelige avtaler i stedet for tekniske tiltak.

    Vurdere om en segmentansvarlig kan avlaste deg med adressering

    • Ofte kan en større gruppe av ensartede konsumenter administreres av en segmentansvarlig, for eksempel en bransje-organisasjon eller den største konsumenten.

    Avklar hvem som skal vedlikeholde adresseringsinformasjon

    Datatilbyder og datakonsument må

    Ivareta at adresseringsinformasjon vedlikeholdes

    • Dette gjelder både vedlikehold av sentrale adresseregistre (som Adresseregisteret for meldingsutveksling i helsesektoren) eller systemintegrasjoner (som Maskinporten, Feide eller HelseID).
    • Følg føringer/kodeverk satt av API-tilbyder og fellesløsningen.
    • Etabler tydelige roller og ansvar internt for vedlikehold av slik informasjon ved endringer i tjenestebruken eller ved organisasjonsendringer.

    Være bevisst på at angripere kan utnytte svakheter i adressering for å få tilegne seg data eller endre systemer

    • ved å for eksempel påvirke data i register, parametere i forespørsler, påstander i tokens eller tilegne seg tilgang til selvbetjeningsløsninger for å produsere eller benytte sertifikater.

    Ha fokus på sikkerhet

    Datatilbyder og datakonsument bør

    Bruke trusselmodellering som verktøy

    • Identifiser problemområder knyttet til adressering og evaluer risikoen assosiert med hvert område. Lag en beskrivelse av angripere og hvordan angrep kan kunne materialisere seg.

    Være varsom med hvilken informasjon som brukes til tilgangskontroll

    • Vurder om en gitt påstand om enhet egner seg for tilgangskontroll, eller om den bare bør brukes som adressering eller som informasjon i logger/sporing/innsyn.