Sikkerhet HINF oktober 2005

Kva er problemet? Innbrudd/Uautorisert tilgang til informasjon Avsløre informasjon og offentliggjere den Stjele informasjon utan å gi seg til kjenne Forfalske/endre informasjon Forfalska informasjon, t.d. om identitet Avsender/mottaker er ikkje den han/ho gir seg ut for å vera (IP-spoofing, pakkesniffing) ’Denial-of-service’/Tjenesteavbrudd Å ’jamme’ et system slik at det ikkje virker Virus, ormer og trojanske hester Driftsavbrudd, brann, katastrofer osv.

Sikkerhet – fleire aspekter: Autentisitet Autorisasjon (+ tilgangskontroll) Tilgjengelighet Integritet Konfidensialitet ’Non-repudiation’/sporbarhet (driftssikkerhet)

Autentisering/autoriasasjon Brukerautentisering Sesjonsautentisering (web: cookies) Autentisering vha: Noko ein veit (brukarnamn, passord) Noko ein har (smartkort, mobil) Noko ein er (biometrisk autentisering) Norske løsninger for sikker pasient-fastlege- kommunikasjon over Internett: PasientLink fra Nasjonalt Senter for Telemedisin MedAksess fra Deriga

Kryptering To hovedtypar: Symmetriske: Begge partar har same nøkkel som er hemmeleg for alle andre. Denne brukes til både kryptering og dekryptering. Assymmetriske: Det brukes ein nøkkel til kryptering og ein annan til dekryptering; det er ein matematisk sammenheng mellom desse to. Alle har både ein kjent (offentleg) nøkkel og ein hemmeleg (privat). (Døme: PGP, RSA) Assymmetrisk: Basert på matematiske ’ein-vegs-funksjonar’: det skal vera tilnærma umogleg å finna privat nøkkel ut frå offentleg nøkkel. Tildeling av offentlege nøkler blir gjort av TTP (Trusted Third Party, Tiltrodd Tredjepart), institusjoner som ’alle’ stoler på.

Kryptering sikrar konfidensialitet og autentisitet 1. Sender krypterer med sin private nøkkel (signering) 2. Sender krypterer med mottakers offentlige nøkkel (kryptering) 3. Mottaker dekrypterer med sin eigne private nøkkel (dekryptering) 4. Mottaker dekrypterer med senders offentlige nøkkel (verifisere signatur) Transmisjon (overføring) PKI/digitale signaturer

IP : Internet Protocol ”Hodet” inneheld m.a. fra og til-adresse: IP-nummer ”Kroppen”: datainnholdet Eit IP-nummer: IP-nummer + portnummer: :80 Trafikk på Internett består av mange små ’datapakker’:

Brannmurer Rutere og maskiner som er konfigurert for å handheve ein sikkerhetspolicy På nettverkslaget kan ein ruter filtrere IP-pakker: Stopper pakker basert på IP-adresse (kilde og eller mål), evt. også portnummer. To varianter: Alt som ikkje er tillatt er forbudt Alt som ikkje er forbudt er tillatt Applikasjonlaget: Application gateway eller proxy: Pakker ut IP-pakkene og analyserer innhaldet. Mulighet for logging og alarm, kan ha ekstra sikkerhet og autentisering. Screened host, screened sub-net, dual-homed gateway

Sikkerhet: meir enn teknologi Det viktigaste elementet er ein sikkerhetspolicy Sikkerhetsmål Sikkerhetsstrategi System for avikshåndtering System for revisjon (vedlikehald og oppdatering) Brukaropplæring, sikkerhetskultur Risikovurdering og sårbarhetsanalyser Risiko = sannsynlighet x konsekvens Nye risikoområder med ny teknologi Trådløse nett PDA-bruk (lette å miste)

Reguleringer og retningslinjer for informasjonssikerhet i helsevesenet Fleire lover regulerer IT-systemer: Personopplysningslova (POL, gjeldande frå ). §§ 13 og 14 stiller krav til system for å ivareta informasjonssikkerheten. Grunnleggjande mål: beskytte den enkelte mot at personvernet blir krenka Personopplysningsforskriften (POF) §3-5: Sikkerhetsrevisjon Helseregisterlova (frå ) omhandlar elektronisk behandling av helseopplysningar (§ 16 og 17 informasjonsikkerhet) Grunnleggjande mål: forsvarleg og effektiv helsehjelp utan at personvernet vert krenka. Forskrift om pasientjournal ( ) Helsepersonell-lova: Dokumentasjonsplikt, ikkje fokus på sikkerhetsproblematikk Arkivlova (NOARK-standarden): arkivering og langtidslagring. Journalen er definert som fagarkiv og ikkje saksarkiv, dvs. Ikkje underlagt dei strengaste krava.

Sentrale omgrep: Sensitive opplysningar, innbefattar m.a. helseopplysningar Meldeplikt versus konsesjonsplikt Dersom registeret inneheld sensitiv informasjon er det i utgangspunktet konsesjonspliktig Men registre som er hjemla i lov er unntatt, dei er ’bare’ meldepliktige (deriblant journalsystem) Registre i blodbankar, forskningregistre, donorregistre er konsesjonspliktige Behandlingsansvarleg: den som har bestemmelsesrett over personopplysningane. Er ansvarleg for å etablera systemer og skal kunne dokumentere desse. (Direktør i helseforetaka)

Informasjonssikkerhet i helseforetak Sikkerhetsaspektet er sentralt i lovene: I personopplysningslovens § 14, Internkontroll, pålegges den behandlingsansvarlige å etablere..”planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene”. Dvs. eit styringssystem (også Helseregisterloven § 17) Utdjupa i Personopplysningsforskriften (pof) kapittel 2-4: risikovurdering er pålagt Helsevesenet: bransjenorm for sikkerhet er under arbeid. (Høringsutkast lest til i dag..?)

Informasjonssikkerhet i helseforetak (2) (Operativt) ansvar hos ledelsen ved foretaket (direktør), driftsansvar kan ligge hos andre Sikkerhetsledelse: Definere mål og strategiar Beskrive ansvars- og myndighetsforhold Etablere internkontroll-system, inkl. risikovurderingar, sikkerhetsrevisjonar

Informasjonssikkerhet i helseforetak (3) Krav Foretaket skal ha oversikt over personopplysningar Risiko og sårbarhetsanalyser skal gjennomførast Sikkerhetsrevisjonar skal gjennomførast System for avvikshåndtering skal vera implementert Internkontrollsystem skal vera etablert

Driftssikkerhet Scenarier: Kabelbrot, straumbrot, brann, vannskade, svikt i kjølesystem, diskkrasj, svikt ifbm. oppgraderingar, manglande sikkerhetskopieringar Løysingar: Redundante løysingar (doble sett kabler, speila diskar osv.), alarmsystem, rutiner

Gråsoner rundt journalen? Lovgivning og standardisering har teke utgangspunkt i visjonen om den ’altomfattande’ journalen, ikkje i dagens virkelighet med mange løst samankobla system (jfr. CSAM) Papirjournalen var definert fysisk, mens grensene rundt den elektroniske journalen er mindre definerte. Kva med systema som leverer data til EPJ? Kva med dei systema som EPJ innheld ein peikar/link til? Kva med systema som blir brukt i parallell med EPJ? RH’s begrep: “journalkompetente system”

Tilsyn Datatilsynets besøk på St. Olav og Helse Bergen i Begrensa tilsyn (bare EPJ) Innleiande kartleggjing Rapport frå tilsynet Svarbrev frå føretaket Pålegg frå tilsynet

Problemstillingar Journalsystemet er meldepliktig, men var ikkje meldt. Dokumenterte system for internkontroll førelåg ikkje Ikkje akseptabel kontroll med system for autorisasjon og tilgang Ledelsen hadde ikkje tilstrekkeleg oversikt over forskningsprosjekt som brukte opplysningar frå EPJ Mangelfull systematisk oversikt over nettverk og systemkonfigurasjon Kunne ikkje dokumentere risikovurdering, sikkerhetsmål, sikkerhetsstrategi og sikkerhetsrevisjoner Ansvars- og myndighetsforhold ikkje avklart (B) Kunne ikkje dokumentere tilfredstillande sikring av konfidensialitet (B)

PKI / ’Digital signatur’ PKI = Public Key Infrastructure Assymmetrisk kryptering (offentlig + privat nøkkel) Fra “Du ”stempler” dokumenter med halvparten av et unikt merke. Den andre halvparten er i en offentlig katalog. Siden ingen andre har en halvpart som passer, er ditt merke identifisert. På liknende måte kan du forsegle en konvolutt med mottakers offentlige merke som en del av låsen. Ved å legge sin private del i låsen går konvolutten opp. PKI gir en sikkerhetsmekanisme for sikring av infrastruktur, informasjonsutveksling og tilgang til systemer.”

PKI / ’Digital signatur’ TTP = Tiltrodd TredjePart (Trusted Third Party): Utstedelse av sertifikater, drift av katalogtjenester og sperresystem (Posten/ErgoGroup) PKI ønskes brukt for meldingsutveksling generelt (epikriser, labsvar, journalinfo, meldinger til sentrale registre), samt annan kommunikasjon mellom helsearbeidarar. Virksomhetssertifikat og personleg sertifikat. Personleg sertifikat nødvendig når handlinga krev autorisasjon (resept, sykemelding) Mai 2003: Rikstrygdeverket, SHdir og Legeforeningen: offisiell åpning av standard-løsning for digital signatur for helsesektoren og trygdeetaten. (I første omgang legeerklæringer og sykemeldinger til RTV, + resept) (Lov om elektroniske signaturer)