Altinn sentralforvaltning

Transkript

1 Sikkerhet i Altinn Altinn Utvikling Dokumentversjon: 1.0 Dato: Altinn sentralforvaltning Brønnøysundregistrene Altinn sentralforvaltning 8910 Brønnøysund Side 1 av

2 Innholdsfortegnelse 1 Innledning Forkortelser Sikkerhetsnivåer Innbruddssikkerhet Brannmur SSL Sikkerhetsagent IDS Virus kontroll Fysisk sikring Penetrasjonstest Autentisering Sikkerhetsnivå Sikkerhetsnivå 1: Statisk Passord Sikkerhetsnivå 2: engangspassord Sikkerhetsnivå 3: Programvarebasert Sertifikat (Ikke tatt i bruk) Sikkerhetsnivå 4: Maskinvarebasert Sertifikat Identifikasjon - Autentisering Biometri Autorisering Rettigheter basert på Enhetsregisteret Rettigheter for etatsbrukere Konfidensialitet Sensitive Personopplysninger Integritet Logging og sporbarhet Elektronisk signatur Autentisering og logging Digital signatur Altinn som mulig knutepunkt ved flere aktører AFPKI Beredskap Sikkerhetsportal Min Side...12 Side 2 av

3 1 Innledning Dette dokumentet gir en overordnet beskrivelse av sikkerhetsløsningen i Altinn. Dokumentet er tiltenkt nye etater og brukere uten videre kjennskap til Altinn s sikkerhetsløsninger. Det erstatter ikke annen sikkerhetsdokumentasjon. Dokumentet skal kun distribueres av Altinn, og videre kopiering/distribusjon krever godkjennelse fra Altinn. 1.1 Forkortelser AFPKI Arbeidsgruppen for Felles kravspesifikasjon for PKI i offentlig sektor ASF Altinn Sentral Forvaltning IDUN Informasjons og Datautveksling med Næringslivet IDS Intrusion Detection System MVA MerVerdiAvgift PIN Personal Identification Number PKI Public Key Infrastructure SAN Storage Area Network SLA Service Level Agreement SSB Statistisk Sentral Byrå SSL Secure Socket Layer VPN Virtual Private Network Side 3 av

4 2 Sikkerhetsnivåer Datatilsynet forventer samsvar mellom risiko og tiltak. For å tilrettelegge for dette, graderes alle skjema i Altinn. Slik gradering vil deretter styre sikkerhetstiltakene som aktiveres ved bruk av dette skjema. Altinn bruker en forenklet risikobetraktning ved at man tar utgangspunkt i den økonomiske skade som kan skje ved sikkerhetsrelaterte hendelser. Følgende tabell legges til grunn: 1 - mindre sensitivt (sensitivitetsnivå 1) skade for kr sensitivt (sensitivitetsnivå 2) særlig sensitivt (sensitivitetsnivå 3) (sensitivitetsnivå 4) ( sensitivitetsnivå 5) Informasjon graderes i forhold til Konfidensialitet, Kvalitet og Tilgjengelighet. Sensitiv personinformasjon skal graderes til sensitivitetsnivå 4 for Konfidensialitet. Side 4 av

5 3 Innbruddssikkerhet 3.1 Brannmur Det er etablert 4 nivåer av brannmurer ref. fig. 3.2 SSL Altinns WEB sider krever konfidensialitet og integritetsbeskyttelse med SSL. Det kreves 128 bit kryptering. Det er ikke krav om klientsertifikater. 3.3 Sikkerhetsagent Det er installert egne agenter for sikkerhetsovervåkning i bl.a. WEB server. 3.4 IDS Det er plassert et Intrusion Detection System (IDS) med tilhørende alarmering og overvåkning på ytre Internett segment. 3.5 Virus kontroll Alle vedlegg scannes for virus. 128 bit kryptering Internett Internet 128 bit kryptering Brannmur 1 Proxy server Brannmur 2 Sikkerhetsagent WebServer Brannmur 32 Brannmur 43 Applikasjonsserver Sikkerhetsserver 3.6 Fysisk sikring Database Begge driftsmiljø er plassert i innbruddssikre soner. Det er døgnkontinuerlig vakt og alarmanlegg. Det er adgangssystem for driftspersonell til forskjellige soner. 3.7 Penetrasjonstest Uavhengig tredjepart har testet systemet for kjente elektroniske innbruddsformer. Slike tester kjøres om ved systemendringer som kan påvirke sikkerheten. Side 5 av

6 4 Autentisering Altinn løsningen har tilrettelagt for ulike autentiseringsløsninger avhengig av sikkerhetsgradering på skjema. Dersom man f.eks. er innlogget på sikkerhetsnivå 1 og skal ha tilgang til et skjema gradert til nivå 2, kreves nivå 2 autentisering. Følgende løsninger er tilrettelagt: 4.1 Sikkerhetsnivå 0 En del informasjon til brukere presenteres uten behov for innlogging. 4.2 Sikkerhetsnivå 1: Statisk Passord Brukeren blir bedt om å oppgi sitt fødselsnummer og deretter selvvalgt statisk passord. For å registrere et passord, må bruker autentisere seg på nivå 2. Det er krav til lengde og sammensetning av tall og bokstaver i passordet. Tilgang med statisk passord sperres en time etter 3 feil innloggingsforsøk. 4.3 Sikkerhetsnivå 2: engangspassord Følgende engangspassordløsninger er støttet: Innlogging basert på koder distribuert med selvangivelse Innlogging basert på koder distribuert med skattekort Innlogging basert på koder tilsendt fra Altinn. Man kan be om å få tilsendt en liste med 20 engangskoder. Denne sendes til adresse i folkeregisteret. Innlogging basert på engangskode sendt som SMS. Mobiltelefonnummer må først registreres. Dette krever innlogging på sikkerhetsnivå Sikkerhetsnivå 3: Programvarebasert Sertifikat (Ikke tatt i bruk) Løsningen er designet for autentisering basert på programvarebaserte sertifikater ( softsertifikater ). Løsningen er p.t. ikke implementert i påvente av at etater har behov for en slik løsning. 4.5 Sikkerhetsnivå 4: Maskinvarebasert Sertifikat Innlogging med smartkort fra Buypass er støttet. Både PersonID (f.eks. Norsk Tippings kort) og Community ID (utstedt til bl.a. en del private firma) støttes. 4.6 Identifikasjon - Autentisering For de passordbaserte løsningene, må brukeren oppgi hvem hun her (fødselsnummer). Den smartkortbaserte løsningen gir full identifisering ved at brukeren kun oppgir PIN og fødselsnummeret hentes ut fra en katalog Bruker; Passord: xsdt Biometri P.t. støttes ikke biometriske løsninger i Altinn. Støtte for dette vil vurderes når det er tilstrekkelig spredning av utstyr (f.eks. fingeravtrykk leser) og system for å administrere maler ( templates ). Gode biometriske løsninger kan gi et høyt sikkerhetsnivå (sikkerhetsnivå 5) og kan forenkle bruk av systemet. Side 6 av

7 5 Autorisering Altinn kan styre rettigheter i forhold til hvem som skal : Se informasjon Fylle ut informasjon Godkjenne informasjon Sende inn informasjon Administrere rettigheter Administrasjon av rettigheter styres basert på: Enkeltoppdateringer Bulk oppdateringer Synkronisering med eksterne registre. To forskjellige rettighetshierarkier er implementert: 5.1 Rettigheter basert på Enhetsregisteret. Revisor Styrets leder ++ Daglig leder ++ Regnskapsfører ++ (ref kap 4 pkt 5) Revisorrett i AltInn (REVAI) Brukeradm. (ADMAI) Signerer (SIGAI) Utfyller/ innsender (UTINN) Signerer (RESIG) Personell medarb. (PERSA) Lønnsmedarb. (LONNA) Regnskapsmedarb. (REGNA) Benyttes i arbeidssteg og på felter i skjema I forbindelse med innrapportering av informasjon fra organisasjoner, styres rettighetene utfra informasjon i Enhetsregisteret. Bemyndigede personer for en organisasjon (f.eks. daglig leder) har alle rettigheter, og kan delegere rettighetene til andre personer. Utfra enhetsregisteret styres også rettigheter for eksterne aktører som revisor og regnskapsfører. 5.2 Rettigheter for etatsbrukere. Innenfor en etat kan tilgang til forskjellige skjema styres. F.eks. en gruppe etatsbrukere i Skatteetaten har kun tilgang til MVA skjema. Side 7 av

8 6 Konfidensialitet Altinn har implementert en rekke tiltak for å sikre at uvedkommende ikke får innsyn i informasjon: Forbindelse fra WEB leser til Altinn er kryptert med SSL (128bit) Tilgang til informasjon i Altinn systemet styres av autentisering og autorisasjon Altinn miljø er sikret mot innbrudd og kun driftspersonell med behov har tilgang til systemet. Forbindelse fra Altinn til etat er sikret med VPN. Systemet er sikret mot elektroniske innbrudd. Sikkerhetskopier oppbevares i sikrede miljøer. 6.1 Sensitive Personopplysninger. Altinn har en pågående dialog med Datatilsynet for å vurdere hvorvidt systemet kan forvalte sensitive personopplysninger. I den sammenheng er det utarbeidet risikovurderinger som er forlagt datatilsynet. Datatilsynet har akseptert at Altinn brukes til skjema med enkelte mindre sensitive elementer. F eks at en låntaker har vært syk eller har vært til soning. Datatilsynet har deltatt i en dialog for å forbedre systemet slik at det kan forvalte større mengder detaljert sensitiv informasjon. Det er utredet to forskjellige endringer som vil muliggjøre slik bruk av systemet: 1) Implementere kryptert lagring av informasjon, og dokumentere tilfredsstillende sikkerhet i behandlingstrinn der informasjon ikke er kryptert. 2) Gjennomføre ende til ende kryptering. Det vil si at sensitive felter krypteres i WEB leser og forblir kryptert frem til data er levert hos etat. Både avgiver og etatsbruker kan dekryptere og se feltene i arkivet. Begge løsningene vil i tillegg kreve varsling og samtykke fra bruker om at hun behandler informasjon i sin Internett tilknyttede PC. (PC er utenfor Altinns kontroll.) Alt 1: Egenerkl SSL VPN Altinn Etat Kryptert base Alt 2: Ende til Ende Kryptering Altinn Etat Side 8 av

9 7 Integritet Altinn har implementert en rekke tiltak for å sikre at informasjon ikke blir urettmessig endret eller blir tapt: Forbindelse fra WEB leser til Altinn er integritetsbeskyttet med SSL. Tilgang til informasjon i Altinn systemet styres av autentisering og autorisasjon Arkiv kopieres til ikke modifiserbart media (CD ROM) Det er redundant lagring Det tas periodisk sikkerhetskopier. Altinn miljø er sikret mot innbrudd og kun driftspersonell med behov har tilgang til systemet. Forbindelse fra Altinn til etat er sikret med VPN. Systemet er sikret mot elektroniske innbrudd. Sikkerhetskopier oppbevares i sikrede miljøer. Alle hendelser logges. 7.1 Logging og sporbarhet. Følgende mekanismer for logging og sporbarhet er implementert: Formelle transaksjoner: Altinn og etatene skal ha dokumentasjon ved eventuelle tvister. (inkl CD brenning) Sikkerhet: Sikkerhetsrelaterte hendelser overvåkes. Drift: Det tekniske driftsmiljøet og driftsjobber overvåkes. Applikasjon: Grunnlag for feilsøking. Statistikk: Statistikk brukes for eksempel til kapasitetsplanlegging og som faktureringsgrunnlag. Tjenestenivåavtale: Tjenestenivået i forhold til tjenestenivåavtalen (Service Level Agreement - SLA). Digital Signatur: for ikke benekt Side 9 av

10 8 Elektronisk signatur Altinn har implementert to former for elektronisk signatur: 8.1 Autentisering og logging Brukere autentiseres avhengig av sikkerhetsnivå, og brukerens aksjoner logges. Det innsendte skjema skrives til et ikke modifiserbart media (CD ROM). 8.2 Digital signatur Digital signatur med smartkort fra Buypass er støttet. Både PersonID (f.eks. Norsk Tippings kort) og Community ID (utstedt til bl.a. en del private firma) støttes. Når en bruker skal godkjenne et skjema med digital signatur, blir hun bedt om å sette inn smartkort, og oppgi PIN kode. En kortrepresentasjon av skjema (HASH) blir da sendt til brukerens smartkort der det blir kryptografisk signert. Den endelige signaturen (PKCS#7) blir lagret i arkiv sammen med skjemadata. Sperrelister kontrolleres ved signering. Det sørges for korrekt tidsstempling og logikk i skjema skal sørge for at bruker forstår hva hun signerte ( ikke benekt ). 8.3 Altinn som mulig knutepunkt ved flere aktører Figuren viser Altinns rolle it et PKI samspill: Buypass BankId MobilPKI Buypass Bruker Etat A BankId Bruker Altinn Etat B Etat C MobilPKI Bruker Arkiv Etat D 8.4 AFPKI Altinn deltar i Arbeidsgruppen for felles kravspesifikasjon for PKI i offentlig sektor (AFPKI). Basert på dette arbeidet, forventes at det skal innarbeides flere PKI løsninger i Altinn. Side 10 av

11 9 Beredskap Altinn sikrer beredskap ved følgende tiltak: Redundant fjellhall og dagbygg: Det er 2 helt separate produksjonsløp med: Avskilte brannsoner Avskilt strømforsyning Avskilt kjøling Redundant datanett Testet omkopling Separat produksjon og QA løp: Eget uavhengig anlegg er tilgjengelig for bl.a. produksjonstester. Sikkerhetskopiering og tilbakemelding: Det gjennomføres: Dagsbackup Ukesbackup Månedsbackup Test av tilbakelegging Dokumentasjon og prosedyrer: Det er utarbeidet omfattende dokumentasjon av driftsteknisk løsning med definerte driftsprosedyrer. Dokumentasjonen innbefatter: Administrative rutiner Applikasjonsdrift Backup og restore Basis Serverdrift Databasedrift Grunnoppsett Installasjonsveiledninger Migrering Overvåkning Katastrofe / Beredskap Satsvise Kjøringer Katastrofe: Utfra kostnad og risikobetraktninger er det ikke etablert fjernspeiling av lagringsnettet (SAN). En fatal feil i SAN (definert som katastrofe) vil kunne gi tilbakelegging på kaldt anlegg. Slike prosedyrer er dokumentert og trenet, og vil gi 48 timer nedetid. Web Kommuni kasjon IIS SiteMinder IIS Staging Skjemamotor Adobe CES Applikasjon IIS MS MQ SiteMinder PS Integrasjon BizTalk MS MQ Databasecluster SQL Server SAN IBM Shark Side 11 av

12 10 Sikkerhetsportal Det er under utredning hvordan Altinn kan tilby separasjon av funksjoner. Logisk kan Altinn sees på som: Skjemamotor Arkiv Sikkerhetsløsning Ved å kun tilby sikkerhetsfunksjonalitet kan Altinn fremstå som en sikkerhetsportal. Som en slik portal kan Altinn tilby: Autentisering Autorisering PKI Ved å bruke Altinn som sikkerhetsportal vil en WEB side oppnå kostnadsbesparelser ved å forenkle administrasjon av sikkerhet. Brukere (publikum) vil oppnå vesentlig forbedring i brukskvalitet ved at de slipper å forholde seg til flere sikkerhetsløsninger (Bl. A. én innlogging (Single Sign On)). Det vil være nærliggende å tilby Autentisering og Autorisering basert på arbeidet i Libery Alliansen. Det vil si at Altinn fremstår som en Identity provider for andre Service Providers. SSB utreder for tiden slik funksjonalitet mot IDUN. Altinn Identity Provider Principal SAML IDUN Service Provider 10.1 Min Side Uavhengig av hvor Min Side skal driftes, kan Altinn spille en viktig rolle som sikkerhetsportal. Dersom Min Side legges inn i Altinn, kan sikkerhetsportal funksjonalitet overføre brukere til andre etater på en sikker måte ( Alt 1). Dersom Min Side implementeres i annet driftsmiljø, kan dette miljø overlate til Altinn å autentisere brukere (Alt 2). Videre kan Min Side overføre brukere til AltInn ved behov. I begge sammenhenger kan Altinn gjennomføre alle digitale signaturer for Min Side (og andre offentlige etater) ved at data og brukere overføres til Altinn. Side 12 av

13 For brukere (publikum) vil dette medføre kun et sted å logge seg inn (Single Sign On) og en felles mal for brukergrensesnitt. Alt 1 Altinn Min Side Andre Etater Alt 2 Min Side Andre Etater Altinn Andre Etater Det offentlige vil spare kostnader ved at sikkerhetsfunksjonalitet som for eksempel engangskoder på SMS og PKI kan integreres kun et sted. Side 13 av