Kort introduksjon til informasjonssikkerhet av Monica Trøan

Presentasjon om: "Kort introduksjon til informasjonssikkerhet av Monica Trøan"— Utskrift av presentasjonen:

1 Kort introduksjon til informasjonssikkerhet 06.04.2017 av Monica Trøan
Verdt å beskytte Kort introduksjon til informasjonssikkerhet av Monica Trøan Jeg jobber i Seksjon for velferdsteknologi i Helseetaten i Oslo kommune. Informasjonssikkerhet er en viktig del av jobben vår med å innføre velferdsteknologi for Oslos innbyggere. Jeg skal nå snakke kort om et stort tema og si litt om hva vi har gjort rundt informasjonssikkerhet i Oslo Kommune.

2 Verdivurdering Finn ut hva som er verdifullt av det du har
…og hvor mye det er verdt Alt kan ikke måles i kroner og øre … Avhengig av kontekst ... En medisindispenser f.eks. kan ha en annen verdi om man ser på den som en enkeltstående løsning enn om man ser på den som en del av en verdikjede i en tjenesteleveranse

3 Informasjonssikkerhet Eiendeler, verdi og risiko
Hvorfor sikre? En har noen eiendeler vurdert å være verdifulle Materielle verdier Bygninger Datautstyr Immaterielle verdier Omdømme Patenter/rettigheter Journal Prosedyrer/prosesser Informasjon

4 Helsesektoren er utsatt!
Antall angrep økte med 63% i 2016, og forventes å øke ytterligere IBM rapporterte 100 millioner pasient journaler stjålet i fjor Hvorfor? en sektor med jevnt over gamle systemer informasjonssikkerhet taper for pasientsikkerhet økt sårbarhet med mange internet-of-things liknende dingser utsatt for utpressing, gjelder faktisk i verste fall liv eller død sitter på informasjon som har stor verdi hvis det kommer i feil hender I tillegg til økonomi og finans er helsesektoren mest utsatt for angrep. Det finnes noe som kalles the Darknet – de kriminelles internett, her selges journal/helseopplysninger for 50 dollar. Stor økonomisk vinning på de opplysningene helsesektoren sitter på i tillegg til at helsesektoren sitter på samfunnskritisk informasjon.

5 Angrep fra gutterommet?
Det er fortsatt kanskje en relativt utbredt myte at angrepene kommer fra gutterommet (Henvisning til WarGames)

6 Fremmede stater Mange angrep kommer fra fremmede stater
Russland, Kina (Mandiant rapporten, Facebook/Twitter anekdote), Nord-Korea,… USA En dipp i nettangrep under Kinesisk nyttår. USA har også et cyberwar program. Stuxnet; ormen som slapp fri. Irans atomprogram APT (Advanced Persistent Threats) Fremmede stater

7 Hackere som ønsker oppmerksomhet
Hacktivister

8 Kriminelle som vil lure oss

9 Vi er også en trussel i form av måten vi håndterer dataene på, vi gjør det lettere tilgjengelige for de med uærlige hensikter å få tak informasjon de ikke burde ha når vi ikke opptrer bevisst. Du og jeg…

10

11 Når vi vet hva du har og hvor det er, så trenger vi ikke å bygge en mur rundt alt vi eier.

12 men vi kan gjøre sånn Bygge sikkerhet inn i løsningene i stedet for å legge alt i sikker sone

13 Informasjonssikkerhet har flere dimensjoner
Eks.1 – En side handler om teknisk sikkerhet Eks.3 – Forankring, ledelse, hvordan virksomheten er organisert både hos leverandører og i kommunene Eks.2 – Og brukerne, hva de kan og hva de gjør

14 Normen er et omforent sett av krav til informasjonssikkerhet i helsesektoren

15 Hva med EUs Personvernforordning (General Data Protection Regulation = GDPR)
Blir gjeldene fra 25. mai 2018 Mer eksplisitt på hva som er persondata Mer konkret som hvem som omfattes (EU/EØS-borgere) Strengere regler for hvor data lagres og hvem som har tilgang Brudd fører til bøter! Helseopplysninger er pr definisjon sensitive personopplysninger så helsesektoren er i høyeste grad berørt! Strengere definisjon av persondata Strengere regler for hvor data lagres og hvem som har tilgang (data kan ikke lagres utenfor EU) Portabilitet = Borgere får nye rettigheter til å ta med seg data og kreve dem slettet

16 Så – utprøving og innføring av velferdsteknologi utfordrer personvernet og
Informasjonssikkerheten. - Lite praktisk erfaring av etterlevelse av kravene i Normen. - Laget en guide til Normen for gi råd og anbefalinger for hvordan kravene skal etterleves. - Godkjent av direktoratet for e-helse og vi jobber med å få den publisert på internett, den er tilgjengelig i PDF-versjon dersom noen er interessert.

17 FORENKLET VEIKART FOR bruk av NORMEN
Det er besluttet bruk av velferdsteknologi Hvilke opplysninger behandles? 1 2 3 Forankre ansvar og utarbeide avtaler 4 5 Informasjons-sikkerhet Klart for bruk av velferdsteknologi Samtykke, lovhjemmel, formål, hjelpemidler Dokumentasjonsplikten Den inneholder blant annet et veikart for bruk av Normen som tar deg systematisk gjennom de spørsmålene man må stille og gir deg råd på hva du bør gjøre

18 DETALJERT VEIKART FOR bruk av NORMEN
Det er besluttet bruk av velferdsteknologi Hvilke opplysninger behandles? 1 2 3 Forankre ansvar og utarbeide avtaler 4 5 Informasjons-sikkerhet Klart for bruk av velferdsteknologi Samtykke, lovhjemmel, formål, hjelpemidler Dokumentasjonsplikten Helse-og personoppl. Person-opplysninger utenom helse- og omsorgs-tjenester Det behandles hverken helse- eller personoppl. Gjennomfør risikovurdering Etabler hendelses-registrering Etabler tilgangsstyring Etabler internkontroll Etabler konfigu-rasjonskontroll Etabler sikker data-kommunikasjon Gjennomfør opplæring Hvem er behandlings-ansvarlig? Brukes det databehandler? Benyttes det leverandør? Skal opplysningene utleveres? Skal opplysningene overføres til utlandet? 2A 2B 2C 2D 2E Foreligger det samtykke? Finnes det lovhjemmel? Beskriv dok.plikten Krav til oppbevaring og sletting 3B 4A 3C 4B 5A 5B 5C 5D 5E 5F 5G STOPP 1A 1B 1C Hva er formålet med behandlingen? 3A Melde- og konsesjonsplikt 3D

19 HVEM ER BEHANDLINGSANSVARLIG?
Når du skal ta i bruk velferdsteknologi (inkl. utprøving) må du avklare hvem som er ansvarlig for behandlingen av brukerens helse- og personopplysninger. Personopplysningsloven og Helseregisterloven har tilnærmet lik definisjon av behandlingsansvarlig: Den behandlingsansvarlige er m.a.o. den som bestemmer hva opplysningene skal brukes til og hvorfor opplysningene skal samles inn. I praksis er det virksomhetens øverste administrative leder som er behandlingsansvarlig. Lederen kan delegere oppgaver nedover, men den øverste ledelsen har alltid ansvaret for at behandlingen skjer i tråd med gjeldende regelverk. Ett vesentlig spørsmål er hvem som er behandlingsansvarlig.

20 BRUKES DET DATABEHANDLER?
Hva er en databehandler? En databehandler er en virksomhet som behandler helse- og personopplysninger på vegne av den behandlingsansvarlige. F.eks. en produktleverandør av elektroniske medisindispensere som behandler data for Oslo kommune i forbindelse med bruk av dispenseren. Brukes det databehandler? Lag databehandleravtale Dersom det benyttes en databehandler, må det lages en databehandleravtale. Denne avtalen regulerer databehandlerens plikter og krav til behandlingen av opplysningene. JA Et annet viktig spørsmål er om det brukes en databehandler Vi har gjort en revisjon av databehandleravtalen for å inkludere helseopplysninger, gjort det juridisk bindende for partene til å følge Normen og EU’s personvernforordning når den kommer. => Det betyr at vi stiller mange og strenge krav til de leverandørene vi skal inngå avtaler med.

21 Vi i det offentlige er klare på at vi ønsker innovasjon og vi vil at små gründerbedrifter skal ha mulighet til å være med å utvikle Velferdsteknologi i framtiden. Da tror jeg at det offentlige også må ta en rolle i å hjelpe markedet til å bli kompatible med kravene som stilles, og vi må tenke informasjonssikkerhet fra starten av. Det blir det både billigere og bedre løsninger.

22