FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17 FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17. juni 2014 Eva Henriksen, eva.henriksen@telemed.no Senior sikkerhetsrådgiver NST

Informasjonssikkerhet Konfidensialitet at uvedkommende ikke får tilgang til informasjonen (ikke kan se/lese informasjonen) Integritet at uvedkommende ikke kan endre informasjonen at systemfeil ikke skal medføre uautoriserte endringer i informasjon Tilgjengelighet at informasjonen er tilgjengelig for de som skal ha tilgang til den når den trengs Kvalitet at informasjonen er riktig; ikke er misvisende Vi gjennomfører risikovurderingen mhp informasjonssikkerhet. Både Personopplysningsloven og Helseregisterloven definerer informasjonssikkerhet til å omhandle disse hovedaspektene: Konfidensialitet (som bl.a ivaretas gjennom TAUSHETSPLIKTEN) Integritet Tilgjengelighet Helseregisterloven definerer i tillegg aspektet Kvalitet

Informasjonssikkerhet Konfidensialitet Eksempel: Melding kommer til feil mottaker Integritet Eksempel: Feil som gjør at informasjon er endret Tilgjengelighet Eksempel: De som skal ha meldingen får den ikke, eller får den for seint. Kvalitet Eksempel: Mottatt melding kan være misvisende pga. dårlig formatering Eksempler fra meldingsutveksling...

Risikoanalyse Risikovurdering Sårbarhetsanalyse ROS-analyse ... og ”Konsekvensutredning” Risikostyring = Risikovurdering + Risikohåndtering (Management = Assessment + Treatment)

Hvorfor risikovurdering? Avdekke risikonivå på tjenesten/systemet Kunne gjøre en begrunnet vurdering av behovet for sikkerhetstiltak Ha et bevisst forhold til det risikonivået man har Lovpålagt ved elektronisk behandling av sensitive personopplysninger (POF § 2-4) POF: Personopplysningsforskriften Vi bruker begrepet Risikovurdering (ref forskriften, datatilsynet, ...) Hvis Datatilsynet kommer på ”tilsyn”...

Prosess for risikostyring ISO/IEC 27005 Information technology – Security techniques – Information security risk management Prosess basert på internasjonal standard. Metodikken, framgangsmåten er opparbeidet gjennom mer enn 10 år med denne typen oppdrag. Hva vi har gjort – med ref. til rapporten. (Alle fasene dokumentert i rapporten.) (Annen framgangsmåte enn vi normalt gjør – ikke hatt egne brainstormingsmøter for å identifisere trusler, vi har prøvd å fange opp trusler gjennom andre møter og samlinger. Intervjuer, avklaringsmøter, mail og telefon. Brukt enkelte personer mer enn andre – spesielt ho Line.)

Risikoanalysens fem faser: Legge rammene for risikoanalysen, identifisere det som skal analyseres – system, tjeneste, bruk/funksjonalitet, brukere, omgivelser, rammebetingelser, definere akseptabelt risikonivå Trusselidentifisering, kartlegging av trusler, mulige uønskede hendelser Validering av truslene mhp. konsekvens og sannsynlighet, og anslå risikonivå Risiko = Konsekvens x Sannsynlighet Analyse av risikonivå (sammenligne avdekket risikonivå med akseptabelt risikonivå) Foreslå tiltak som reduserer risikonivået + Oppsummere resultater i form av en risikoanalyserapport

Kvalitativ analyse For hver av de identifiserte truslene, vurdere: Konsekvens f.eks.: Liten – Moderat – Alvorlig – Svært alvorlig Sannsynlighet f.eks.: Liten – Middels – Stor – Svært stor Risiko (= Konsekvens x Sannsynlighet) f.eks.: Lav – Middels – Høy Først definere verdier for ulike nivå av Konsekvens, Sannsynlighet, Risiko Oftest KVALITATIVE verdier Når alle truslene har fått verdier for Konsekvens og Sannsynlighet, plasserer vi dem i ei to-dimensjonal matrise (Risikomatrisa) for å finne risiko.

Risikomatrise Risiko som kombinasjonen av konsekvens og sannsynlighet. Lav risiko – akseptabelt Høy risiko – uakseptabelt Middels risiko – må vurderes nærmere

Mulig håndtering av risiko 1. Unngå risiko Ikke utføre den risikable handlingen (f.eks. ikke utvikle systemet eller ikke sette det i drift) 2. Redusere risiko Iverksette tiltak for å redusere sannsynlighet og/eller konsekvens 3. Overføre risiko For eksempel til et forsikringsselskap 4. Beholde risiko Leve med den risikoen som er der 4 hovedmåter å håndtere risiko: (Iverksetting av tiltak  2) Mulige tiltak Opplæring og bevisstgjøring Rutiner og prosedyrer Strategier for monitorering/overvåkning

Husk: Å akseptere en RISIKO er ikke det samme som å akseptere en uønsket hendelse Eks: Flykrasj…

Fokus og avgrensning - for vår risikovurdering Kommunesiden, PLO-meldinger (foretakene dekt av risikovurdering for HN IKT i 2012) Ikke vurdert meldingsutveksling mot eksterne parter som NAV, HELFO, sentrale register. Ikke vurdert tekniske løsninger, f.eks. oppkopling mot helsenettet, styrke på kryptering, o.l. Mest info fra stor kommune (Tromsø), med Visma Profil fagsystem Fokus – for vår risikovurdering: ----------------------- I hovedsak sett fra kommunenes side (HF-ene bedre dekt i RA-rapport for HN IKT). Mest PLO-meldinger, mindre fokus på basismeldingene (dekt i RA-rapport for HN IKT for et år siden). Ikke vurdert meldingsutveksling mot andre eksterne parter som NAV, HELFO, sentrale register. Ikke sett på tekniske løsninger, f.eks. hvordan kommunen kopler seg opp mot helsenettet, om krypteringen er god nok, ... (Ref Faktaark #16 i Normen) Kilder: Mye av informasjonen er fra en stor kommune (Tromsø, v/ Line), og Visma Profil – har angitt det flere steder i rapporten.  Noen av vurderingene gjelder ikke for små kommuner? Små kommuner kan ha andre problemer/trusler? De som bruker andre fagsystem kan ha andre problemer/trusler?

Resultat 23 (24) trusler 1 med høy risiko 13 med middels risiko 8 med lav risiko 2 ikke aktuelle for denne risikovurderingen

Resultat Trusler med uakseptabel risiko: t5 k1 – k4(a) t7 – t9 – t12 ”Uakseptabel dersom kommunen ikke har rutiner/strategi for å håndtere disse” og flere av kommunene har dette på plass, ser vi F.eks. trussel k4: Når tiltak er iverksatt (b), blir sannsynligheta for hendelsen lavere, og dermed risikoen lavere – og akseptabel.

Resultat Trusler med uakseptabel risiko: t5 k1 – k4(a) t7 – t9 – t12 ”Uakseptabel dersom kommunen ikke har rutiner/strategi for å håndtere disse” og flere av kommunene har dette på plass, ser vi F.eks. trussel k4: Når tiltak er iverksatt (b), blir sannsynligheta for hendelsen lavere, og dermed risikoen lavere – og akseptabel.

Trusler med ”uakseptabel” risiko t5 - dårlig oppfølging i kommunen/PLO av meldinger som sendes ut, ved at man ikke sjekker status og kvitteringer for sendte meldinger. Man sjekker ikke applikasjonskvitteringer og har kanskje mangelfulle rutiner for å håndtere avviste meldinger. Størst sannsynlighet i en oppstartfase før man har fått gode og innarbeidede rutiner. Alvorlig konsekvens hvis det tar lang tid før mottaker får meldingen, mens avsender på sin side tror at meldingen er mottatt og behandlet.

Trusler med ”uakseptabel” risiko k1 - foretaket sender meldingen ”Innlagt pasient” på pasienter som ikke har noen tjeneste og journal i kommunen. – Det innebærer at ansatte i kommunen får helseopplysninger om personer de ikke har behandlingsansvar for. Spesielt problematisk i små kommuner der ”alle kjenner alle” og der for mange har tilgang til meldinger om ukjent bruker/pasient. Det kan være naboer, slektninger eller andre kjente, og ekstra følsomt dersom det gjelder psykiatri.

Trusler med ”uakseptabel” risiko k4a - at systemene kan være satt opp med for vide tilganger slik at for mange leser meldinger de ikke skal lese. Det vil alltid være slik at noen (få) må ha vide tilganger for å kunne håndtere meldinger som ikke automatisk kommer fram til riktig mottaker. Men i noen kommuner har de felles tjenesteadresser slik at ”alle” f.eks. har tilgang til psykiatri og rehab.

Trusler med ”uakseptabel” risiko Truslene t7, t9, t12 – meldinger kommer ikke (raskt nok) fram til riktig mottaker i PLO-sektoren i kommunen, fordi de er adressert feil fra avsender (foretak, fastlege) eller fordi de feilaktig blir håndtert av feil tjeneste i kommunen. Meldinger blir liggende ubehandla i innboksen. Dette kan også skyldes ”ukjent pasient”. En utfordring i disse situasjonene er at avsender får positiv applikasjonskvittering fra kommunen og dermed antar at meldingen er mottatt riktig. t12 – blir liggende for lenge i innboks, ubehandla * Kan skyldes f.eks. ukjent pasient – eller ikke ”sett” av mottaker pga. feil adresse (t9), eller håndtert av feil mottaker (t7) For mange ubehandla meldinger i innboks  viktige meldinger ”forsvinner” innimellom de andre...

Tiltak Rutiner i kommunene – med opplæring f.eks. kontroll/oppfølging av sendte meldinger ansvarlige Rutiner i foretakene – med opplæring Begrensning av tilganger ta i bruk flere tjenesteadresser Tilgjengelige ressurser (personell, kompetanse, utstyr, ...) TILTAK for å redusere risiko(nivå) – redusere sannsynlighet Rutiner på alle nivå – teknisk/IT og helsefaglig/fagsystem Opplæring en kontinuerlig oppgave, ikke bare ved oppstart/innføring av meldingsutveksling. nytt personell, nye roller nye/endrede meldinger og løsninger repetisjon ved ”sjelden bruk” Brukerstøtte – ”FUNNKe-rådgiver” – en kontinuerlig oppgave, ikke bare ved oppstart/innføring av meldingsutveksling.

Bruke risikovurderingen? Utgangspunkt/grunnlag for den enkelte kommunes egen risikovurdering noen trusler vil være de samme truslene vil vurderes forskjellig (annen sannsynlighet  annet risikonivå) noen vil finne andre trusler Hver kommune må ha sin egen tiltaksliste, med angivelse av hvem som er ansvarlig Hvordan bruke risikovurderingen? Den enkelte kommune må gjøre sin egen, lokale risikovurdering. Da kan denne være et utgangspunkt, grunnlag. Noen trusler vil være de samme, noen/mange trusler vil vurderes annerledes (ha annen sannsynlighet, annen konsekvens kanskje? Og dermed annen risiko). Noen vil ha andre trusler i tillegg?? Hver kommune må ha sin egen tiltaksliste, med angivelse av hvem som er ansvarlig. Nevne at vi har en ”mal”

NST-faktaark om risikovurdering: http://www.telemed.no/getfile.php/2325295.357.awdxdbuqcp/NST_Faktaark-Risikovurdering_juni2013_web.pdf