Tunnukset-järjestelmän käyttöönotto ja AWS-pilvialustan käyttö

Toimialajohtaja päätti, että Amazon Web Services (AWS) -pilvialustaa voidaan käyttää Tunnukset -järjestelmän tietojen säilyttämiseen ja käsittelyyn sekä integraatioiden avulla siirtää henkilötietoja päätöksen perusteluissa mainituista tietolähteistä Tunnukset -järjestelmän kautta niihin järjestelmiin, joiden käyttäjätunnuksia ja käyttöoikeuksia Tunnukset -järjestelmällä hallinnoidaan.

Tunnukset -järjestelmä on Kasvatuksen ja koulutuksen toimialan ICT-kehityspalveluiden toimesta kehitetty järjestelmä automaattiseen käyttäjien identiteetin- ja pääsynhallintaan. Järjestelmä sekä siinä käsiteltävät tiedot sijaitsevat Amazonin konesaleissa EU/ETA -alueella. Automaattinen identiteetin- ja pääsynhallinta parantaa tietoturvaa erityisesti poistamalla tarpeettomat käyttäjätunnukset ja käyttöoikeudet henkilöiltä, joilla ei ole voimassa olevaa palvelus-, opiskelu- tai asiakassuhdetta Kasvatuksen ja koulutuksen toimialan palveluissa.

Henkilötietojen lähteinä ovat Väestötietojärjestelmä, Helsingin kaupungin henkilöstöhallintojärjestelmä, Helsingin kaupungin ASTI -tietojärjestelmä sekä Helsingin kaupungin Kasvatuksen ja koulutuksen toimialan opintohallintojärjestelmät. Tunnukset -järjestelmä luo käyttäjille mainituista lähteistä saamiensa henkilötietojen pohjalta käyttäjätunnukset ja käyttöoikeudet kunkin roolin mukaisiin järjestelmiin.

Tunnukset -järjestelmässä käsitellään henkilön roolista riippuvia tietoja, joita ovat nimi, osoite, puhelinnumero, sähköpostiosoite, henkilötunnus, Helsinki ID, Kasko ID (avain), työ- tai opiskelusuhde, käyttäjätunnukset sekä käyttöoikeudet. Tietojen näkyvyys eri rooleilla toimiville henkilöille on rajattu siten, että näkyvyys on vain kunkin henkilön roolin kannalta olennaisiin tietoihin. Virkailijat, joilla laajemmin pääsy henkilötietoihin, ovat saaneet Helsingin kaupungin tietoturvakoulutuksen ja käyttävät sovellusta Helsingin kaupungin rajatuista verkoista.

Tunnukset -järjestelmän riskit on arvioitu tietosuojan vaikutustenarvioinnissa. Riskeiksi on tunnistettu:
• Käytettyjen open source -komponenttien mahdolliset haavoittuvuudet
• Käyttöoikeuksien päätyminen henkilölle, jolla ei ole oikeuksia niitä käsitellä
• Henkilötietojen siirto EU/ETA-alueen ulkopuolelle sekä henkilötietojen tietokasauma, jossa osin myös salassa pidettävää tietoa.

Open source -komponenttien mahdollisten haavoittuvuuksien aiheuttamaa riskiä pienennetään hyödyntämällä tietoturvatyökaluja sekä säännöllisillä ulkopuolisen tahon suorittamilla tietoturva-auditoinneilla. Lisäksi huolehditaan, että järjestelmän ylläpidossa on kyvykkyys korjata uudet tunnistetut haavoittuvuudet.

Käyttöoikeuksien päätymistä henkilöille, joilla ei oikeuksia niitä käsitellä, pyritään estämään monivaiheisella tunnistautumisella laajempia oikeuksia vaativiin toimintoihin. Lisäksi järjestelmän kaikki virkailija- sekä pääkäyttäjät ovat suorittaneet tietoturvakoulutuksen. Henkilötietojen käsittelystä kerätään sovellus- ja auditointilokia, joten mahdolliset väärinkäytöt voidaan havaita.

Kansliapäällikön päätöksen mukaan (HEL 2022-000782 T 00 01 01) kaikkia henkilötietoja, joiden osalta Helsingin kaupunki on rekisterinpitäjä, saa käsitellä EU/ETA -alueella tai Euroopan komission hyväksymässä maassa sekä siirtää EU/ETA-alueen ja Euroopan komission hyväksymien maiden ulkopuolelle, jos siirto täyttää EU:n yleisen tietosuoja-asetuksen V luvussa määritellyt edellytykset. Jos salassa pidettävät tiedot tai henkilötiedot muodostavat tietokasauman, arvioidaan, tuleeko tietojen sijaita Suomessa tai EU/ETA-alueella tai voidaanko niitä siirtää EU/ETA-alueen tai komission hyväksymän maan ulkopuolelle. Lisäksi tulee arvioida, onko kyse varautumisen näkökulmasta suojattavista tiedoista.

Amazon Web Services -palvelun riskitaso alennetaan hyväksyttävälle tasolle liittämällä sopimukseen Euroopan komission vakiosopimuslausekkeet. Lisäksi otetaan käyttöön Euroopan tietosuojaneuvoston suosittelemat tekniset suojatoimet kansliapäällikön päätöksen mukaisesti.

Toimittajien luotettavuutta on varmistettu sopimusteknisesti. Sopimukset toimittajien kanssa sisältävät tietosuoja- ja salassapitoliitteet sekä riittävät vaatimukset tietojen käsittelylle ja toimittajan luotettavuudelle. Amazonin tietosuojaa koskeviin ehtoihin lisätään Euroopan komission vakiosopimuslausekkeet.

Tunnukset -järjestelmän ja siihen liittyvän pilviympäristön riskiarviot päivitetään säännöllisin väliajoin, viimeistään 24 kuukauden kuluessa järjestelmän käyttöönotosta. Järjestelmän omistaja vastaa riskiarvioinnin tekemisestä. Riskiarvioinnit dokumentoidaan kaupungin ohjeiden mukaisesti.

Vaikkakin pilvipalveluissa käsitellään suurta määrää henkilötietoa toimialajohtaja arvioi, että Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen laatiman Pilvipalveluiden turvallisuuden arviointikriteeristön (Traficomin julkaisuja 13/2020, PiTuKri) mukaista haitallista kasaumaa ei synny. Samoin ei myöskään ole toimialajohtajan mukaan kyse varautumisen näkökulmasta suojattavista tiedoista.