• Tietoturvan määritelmä on tässä hieman outo. Kaikki APIen kautta julkaistava tieto ei ole luottamuksellista.

  • Rajapinnat toimii samoilla ehdoilla kuin muu käyttö.

  • Rajapintojen saatavuuus julkisesta verkosta on tärkeää eikä millään tavalla tarkoita että luottamuksellista tietoa ei voisi niiden kautta käsitellä. Tätä varten on autentikointi ja autorisointi.

  • Tavoite on oikea. Tuota luottamuksellisuutta tässä yhteydessä olisi syytä avata ja tarkentaa.

  • Tietoturva-termille on keksitty täysin uudenlaisia merkityksiä, ei hyvä. Joko "Tietoturva" termi tulisi vaihtaa toiseksi, tai miettiä uudelleen mitä halutaan kertoa. Tietoturvalla IT:ssä käsitetään yleensä mm. henkilön tunnistamiseen, käyttöoikeuksien varmistamiseen ja tietojen suojaamisen liittyviä asioita.

    Tulisiko tässä kohtaa esille (avoimien) tietojen yhdistämiseen liittyvät riskitekijät ja niiden arviointi/tunnistaminen?

    Linjauksessa ei välttämättä ole tarvetta ottaa kantaa asioihin, jotka on jo muutekin lainsäädännössä määritelty.

  • Tämä on itsestäänselvyys.

  • Kirjausta tulisi kehittää ja sitä tulisi jo periaatteen ja tavoitteenakin täsmentää.

    Ensimmäinen lause on tarpeettoman pehmeä. Se ei edellytä tietoturvallista ja tietosuojattua toimintatapaa. Se kerto vain, että "otetaan huomioon." Ensimmäisen lauseen tulisikin kuulua

    "API-linjausten tavoitteena on toteuttaa sisäänrakennettu ja oletusarvioinen tietoturva ja tietosuoja ohjelmistorajapinnoissa". Tällöin viesti on paljon selkeämpi. Ne ei ole "otettu huomioon", vaan ne ovat osa APIa itseisarvona.

    Jo tavoitteena olisi tarpeen täsmentää millä tavalla valtion rajapintojen tulisi kestää. Tässä PiTuKrissa esitetty kirjaus tulisi olla jo osa tavoitetta.

    " API:t suunnitellaan, kehitetään, testataan ja otetaan käyttöön alan hyvien turvallisuuskäytäntöjen mukaisesti. Rajapintojen on kestettävä yleiset hyökkäysmenetelmät ilman, että käsiteltävien tietojen luottamuksellisuus, eheys tai saatavuus vaarantuu"
    Pelkkä "luottamuksellisuus, eheys ja satavuus" itsessään ovat hyvin pehmeitä ilmaisuja. Tavoitteen tietoturvan osalta tulisi olla jo itsessään täsmällisepi.

    Tietosuojan osalta "tavoite" on hyvin juridinen. Tavoitteen tulisi olla sisäänrakennetussa ja oletusarvoisessa tietosuojassa. Tätä sisäänrakennettua ja oletusarvoista tietosuojaa hakee jopa asetukset (GDPR) ihan tekstissään. Se ei ole "sivuun pultattua lain noudattamista". Se on osa perus toimintaa.

    Tiivistäen: Tämä tavoite on huonosti kirjattu. Se ilmaise tietoturvaa ja suojaa jonain "kylkiäisenä" toiminnassa. Sitä se ei saa olla. Tavoitteen tulee ilmaista selkeä kanta sille, että muuta vaihtoehtoa ei ole

    ..2223..

  • Tietoturvaan ja tietosuojaan liittyy tilastoja tuottavien organisaatioiden osalta myös tilastolaki (ks. http://tilastokeskus.fi/org/tilastotoimi/index.html). Yksittäisten henklöiden tai yritysten tietoja on tilastolain perusteella käsiteltävä siten, ettei tiedonantaja ole tunnistettavissa.

    • «
    • 1
    • 2
    • »