• Tästä taidettiin kysyä jo aikaisemmin.

    Julkaisukanava voisi olla hyvä, mikäli kyseessä ei ole erillinen staattinen saitti jonne tiedot pitää erikseen viedä.

    Elinkaari ei pääty ylläpitoon vaan siihen että palvelu/rajapinta ajetaan alas.

  • Löydettävyys linjattiin jo aiemmin.

  • Kuvattu asia ei ole koko elinkaari. Elinkaari kattaa toimenpiteet ideoinnista ja suunnittelusta, toteutuksen ja käytön kautta tuotoksen poistamiseen & päättämiseen. Tätä ilmaisua käytetään terminologisesti elinkaaresta muun muassa Tiedonhallintalaissa, Tiedonhallintalautakunnan suosituksisa, Traficomin julkaisuissa jne. Asiakaslähtöisyyden tulee kattaa koko elinkaari ja osa tätä elinkaarea on myös asian lopettaminen. Tällä tuodaan viestinnällisesti esiin myös elinkaarihallinnan tavoite ylipäätänsä.

    "Samaa API:a tulee voida hyödyntää organisaation sisältä ja ulkoa mahdollisten tarpeiden ja tietoluokitusten mukaisesti. Ensisijaisesti tulee hyödyntää jo olemassa olevaa API:a eikä luoda uutta."
    Tämä on vaarallinen linjaus. Se tarkoittaisi, että sisäiset ja ulkoiset API.t yhdistyisivät esimerkiksi samaan tietokantaan.

    Tämän ei tulisi olla kategorinen tilanne, etenkään ulkorajapinnan suuntaan. API:t itsessään ja niiden takana olevat järjestelmät ovat aina haavoittuvaisia. API on rajapinta, josta havoittuvuutta voi hyödyntää. Organisaation sisällä pysytäessä haavoittuvuuden käytettävyys ja vahingon laajuus pysyy hallitumpana. Mutta ulospäin sen vaikutukset voivat olla moninkertaiset.

    Sen takia etenkin ulkoiselle toimijalle tarkoitettu "Julkisen API;n" (termi, jota käytetään tässä linjauksessa) taustajärjestelmän tulee sisältää VAIN ja AINOASTAAN se tieto/resurssi, mikä on tarkoitus tarjota API:n läpi käytettäväksi. Esimerkiksi tietokannan tapauksessa "Julkisen API:n" tarjoaman tietokannan tulee sisältää VAIN julkista tietoa ja ainoastaan se tieto, jota rajapinnan kautta on tarkoitettu tarjottavan.

    Jos API:lla yritetään teknissti jotenkin rajoittaa, että "Julkisesta saat vain 1/3 koko kannan tiedosta /resurssista käyttöön", olemme rakenteellisesti havoittuvaisia. Tällöin API:n kautta tulee tapahtumaan tietovuoto tai hyökkäys. Sen takia etenkin Julkisen API:n saatavilla tulee olla kokonaisuudessaan vain se, mikä voidaan menettää.

    Käytännössä siis Julkista API:a varten tuotetaan oma kantansa, jonne viedän vain ne tiedot, jotka on tarkoitus tarjota. Tämä eristäminen poistaa riksin tietovuodosta ja huomattavasti tehokkaammin rajaa pois muita hyökkäyksiä.

    API:t ovat haavoittuvaisia ja niissä tulee olemaan haavoja. Sen takia tulee toteuttaa rakenteellisia keinoja, jotka estävät ja pysäyttävät tietovuodon.

    ..2223..

    • «
    • 1
    • 2
    • »