Projekti

Yleinen

Profile

Koha-Suomen tietoturvaohje

Tällä sivulla on kirjastoille tarkoitettuja ohjeita ja hyviä käytäntöjä Koha-järjestelmän tietoturvasta ja turvallisuudesta huolehtimiseen.

Yleistä

Koha-käyttöön suositeltava selain on Firefox ESR (Extended Support Release).

Pääsy Kohaan

Virkailijaliittymään pääsy on syytä rajata siten että se on käytettävissä ainoastaan kirjastojen virkailijatyöasemien IP-osoitteista. Tarvittaessa yhteys sallittujen IP-osoiteavaruuksien ulkopuolelta voidaan toteuttaa VPN-ratkaisulla esimerkiksi popup-kirjastoille ja kirjastoautoille.

FailedLoginAttempts-järjestelmäasetus täytyy asettaa mielekkääseen arvoon, esimerkiksi 5. Tämä lukitsee käyttäjätunnuksen jos salasana syötetään liian monta kertaa väärin ja sen avulla voidaan varsin tehokkaasti estää käyttäjätunnuksiin kohdistuva väsytyshyökkäys. Lukitus voidaan purkaa antamalla käyttäjälle uusi salasana. Haluttaessa lukitus voidaan purkaa asiakastunnuksilta (kirjastokorteilta) automaattisesti esimerkiksi vuorokauden kuluttua siitä kun tunnuksella on edellisen kerran yritetty kirjautua järjestelmään. Virkailijatunnuksille emme suosittele automaattista lukituksen purkua. Lukituksen purku tehdään erillisellä skriptillä ja jos se halutaan käyttöön, pitää siitä tehdä tukipyyntö Palaute-projektiin.

Koha-kimpoissa tulisi ottaa käyttöön ManageExpiredUserAccounts.pl -skripti, jolla vanhentuneilla virkailijatunnuksilta kirjautuminen voidaan estää automaattisesti. Tunnuksen uusiminen Kohan liittymässä aktivoi tässä tapauksessa automaattisesti tunnuksen jälleen takaisin, salasana ei muutu.

Kohan vanha verkkokirjasto täytyy sulkea. Sitä ei enää ylläpidetä ja korvaava parempi ratkaisu on jo olemassa.

Tunnukset ja kirjautuminen

Virkailjatunnukset täytyy erottaa virkailijan lainaajatunnuksista. Lainaajatunnuksien kanssa ei ole kirjastoautomaatiosta johtuen mahdollista käyttää riittävän vahvoja salasanoja. Virkailijatunnusten salasanojen tulisi olla vähintään aakkosnumeerisia ja riittävän pitkiä, kyberturvallisuuskeskus suosittelee vähintään 15 merkkiä. Sama koskee myös automaattien käyttämiä SIP-tunnuksia.

Pääkäyttäjille kannattaa tehdä toinen matalammin käyttöoikeuksin varustettu tili perustyöskentelyyn. Pääkäyttäjätasoisin oikeuksin varustettua tiliä tulisi käyttää vain silloin kun sille on tarve.

Kohasta tulee aina ja ilman poikkeuksia kirjautua ulos jos virkailija poistuu koneen äärestä. Selain tulee sulkea Kohasta uloskirjautumisen jälkeen tai vaihtoehtoisesti tyhjentää selaimen sivuhistoria ja evästeet. Tätä varten voi olla järkevää nostaa "Unohda" (engl. "Forget") nappi suoraan selaimen työkaluriville, josta se on helposti klikattavissa. Ohje tähän löytyy täältä.

Käyttöoikeudet

Kullakin käyttäjällä tulisi olla ainoastaan juuri ne oikeudet, joita hänen työtehtäviensä hoitaminen edellyttää. Kimpan pääkäyttäjien täytyy huolehtia henkilöstön muuttuneiden työtehtävien aiheuttamista käyttöoikeuksien muutostarpeista Kohassa ja käyttöoikeuksien ja työtehtävien vastaavuus on hyvä kartoittaa koko henkilöstön laajuisesti säännöllisesti.

Erityisesti lokien katselu, asetusten muokkaus, uutisten julkaiseminen sekä tiedostojen lataaminen järjestelmään täytyy rajata ainoastaan niiden henkilöiden käyttöön, joilla on todellinen ja perusteltu tarve näille toiminnoille, esimerkiksi pääkäyttäjille. Huomionarvoisia, laajan pääsyn järjestelmään antavia oikeuksia ovat mm:

  • management
  • parameters_remaining_permissions
  • batch_upload_patron_images
  • stage_marc_import
  • upload_general_files
  • upload_local_cover_images
  • upload_manage
  • view_system_logs
  • import_patron_data
  • edit_news
  • edit_quotes

Näiden kanssa on siis oltava erityisen tarkkana.

Automaatit

Automaattien yhteys Koha-palvelimelle pitää salata. Erilaisia vaihtoehtoja ovat esim. VPN ja STUNNEL. SIPoHTTPS (SIP over https) on tulossa.

Koha-Suomi suosittelee, että lainausautomaateilla on päällä PIN-koodin kysely.