Sikker elektronisk samhandling på Aker sykehus

Transkript

1 Sikker elektronisk samhandling på Aker sykehus T T P Du er syk! Dr. Iversen Bruk av digitale signaturer og offentlig nøkkelkryptografi Versjon februar 2001 KITH Rapport 4/01 ISBN

2 Sikker elektronisk samhandling på Aker sykehus KITH-rapport Tittel Sikker elektronisk samhandling på Aker sykehus Bruk av digitale signaturer og offentlig nøkkelkryptografi Forfatter(e) Bjarte Aksnes (KITH), Trond Gustavsen (Telenor), Eli Moen (Aker), Lars Dyrkorn (Aker) Oppdragsgiver(e) SHD, AAD, NFR Rapportnummer R 4/2001 URL: Dato Antall sider Kvalitetssikret av 7. februar vdl Arnstein Vestad Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7489 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post firmapost@kith.no Foretaksnummer Prosjektkode SESAM ISBN Gradering Ingen Godkjent av Jacob Hygen Adm. direktør Sammendrag På Aker sykehus har vi benyttet PKI-baserte (private key infrastructure) løsninger for sikker elektronisk overføring av en sykepleierrapport. Det har vært et mål i prosjektet å benytte standard programvare med minst mulig tilpassning. Løsningen er basert på en standard epost-klient med tilleggsprogramvare fra en PKIleverandør. Pilotprosjektet har demonstrert at det er mulig å ta i bruk PKI-baserte løsninger for sikker elektronisk samhandling i helsevesenet i Norge. Brukerne har gitt tilbakemelding om at løsningen bedrer samarbeidet og kommunikasjonen mellom sykehus og bydel, slik at man kan tilby et raskere og bedre behandlingsopplegg til pasientene. Det har vært betydelige tekniske og organisatoriske utfordringer knyttet til å få løsningene til å fungere. Tekniske utfordringer har spesielt vært knyttet til problemer med smartkort og drivere samt at første versjonen av sikkerhetsklienten ikke fungerte med Windows NT. Med dagens modenhetsnivå på løsningene kan det se ut som om det er lettere å få softwarebaserte løsninger til å fungere enn løsninger som baserer seg på bruk av smartkort. Det har også vært knyttet utfordringer til det å benytte personlige sertifikater i kombinasjon med at mange mottakere må ha mulighet for å motta samme melding. Dette ble løst ved at vi sendte meldingene til en adresseliste, som inneholdt alle mottakerne på en avdeling. De organisatoriske utfordringene har vært krevende i en helsevirksomhet, som det å få gjennomført tilstrekkelig opplæring i en stresset arbeidssituasjon, manglende kontinuitet som følge av hyppig utskifting av personale og ubesatte stillinger, samt problemer knyttet til håndtering av kort og sertifikater. Vi ser allikevel et stort potensial for bruk av denne typen løsninger i offentlig sektor, og helsevesenet spesielt, men vi anbefaler at man nøye vurderer hvilket sikkerhetsnivå man bør legge seg på ved innføringen av slike løsninger. Dette gjelder f.eks. om man skal benytte kortbaserte eller softwarebaserte løsninger, prosedyrer for kortutstedelse og krypteringsstyrke. Vi mener dessuten at en god integrasjon med eksisterende helseinformasjonssystemer er nødvendig for å få til sikre og anvendbare løsninger. 2

3 Innholdsfortegnelse Bakgrunn... 4 Beskrivelse av PKI-løsningene på Aker... 4 Organisasjonen... 4 Sertifikatene... 5 Programvare benyttet... 7 Teknisk oppsett... 8 Sikkerhetsvurderinger Hva er truslene Utfordringene ved bruk av PKI på Aker Tekniske problemer Organisatoriske utfordringer ved innføring av PKI i en helsevirksomhet 16 Videre anbefalinger for Aker sykehus Skisse av en mulig fremtidig løsning Generelle erfaringer fra bruk av PKI-løsningene Brukererfaringer Spørreundersøkelser Konklusjon Vedlegg 1: Oppsummering fra TrustHealth Norwegian Demonstration Site Aker Hospital Vedlegg 2: Spørreskjema til andre spørreundersøkelse Vedlegg 3: Test av JetForm Filler i SESAM-piloten Vedlegg 4: Brukerbeskrivelse

4 Sikker elektronisk samhandling på Aker sykehus Bakgrunn SESAM (Sikker elektronisk samhandling i helsesektoren) er et prosjekt som er støttet av Norges Forskningsråd, Sosial- og helsedepartementet, Rikstrygdeverket og Arbeids- og administrasjonsdepartementet med hovedmålsetning å legge til rette for sikker elektronisk handel og kommunikasjon av sensitiv og ikke-sensitiv informasjon, og ta dette i bruk i stor skala i helsesektoren. SESAM kom i gang i slutten av 1998, er planlagt å vare ut år 2000 og har tatt utgangspunkt i resultatene fra tidligere Norges forskningsråds-støttede prosjekter på området TTP (tiltrodd tredjepart) og digitale signaturer i regi av bl.a. KITH og Norsk EDIPRO, samt TrustHealth, og videreutviklet, demonstrert og evaluert løsninger for sikker elektronisk samhandling/handel. Hovedfokus for SESAM har vært: Sikker EDI (Elektronisk meldingsutveksling) Sikker e-post Sikre web-tjenester Prosjektet på Aker sykehus faller inn under området sikker e-post. I det tidligere SITH-prosjektet som gikk i perioden , ble det utviklet en løsning for sikker elektronisk overføring av en strukturert e-post melding om en utskrivingsklar pasient mellom en sykehusavdeling på Aker sykehus og bydelshelsetjenesten i Bjerke bydel. Aker sykehus har også vært pilotarena for prosjektet TrustHealth 2, som har vært et EUfinansiert prosjekt som har som målsetning å ta i bruk sikker IT-infrastruktur ved bruk av digitale signaturer, kryptering og TTP-tjenester til kommunikasjon av helsemeldinger. Dette prosjektet har pågått i perioden , og har oppnådd svært gode resultater. Målsetningene for prosjektet på Aker har vært: Utvikle og ta i bruk (minst) en løsning for sikker overføring av helsemeldinger mellom 1. og 2. linjetjenesten. Ta i bruk og høste erfaringer fra bruk av helsepersonellkort (HPK) for signering, autentisering og tilgangskontroll. Utrede og evaluerer brukernes erfaringer og holdninger som følge av bruken av nye sikkerhetstjenester. Beskrivelse av PKI-løsningene på Aker Organisasjonen Prosjektet er utført i samarbeid mellom Aker sykehus, Telenor og KITH. Bjarte Aksnes har vært prosjektleder for SESAM-prosjektet, mens Eli Moen fra Aker sykehus (og Bjørn Haraldsen frem til desember 1999) har vært delprosjektleder. Operativ ansvar for informasjonssikkerheten i prosjektet har hele tiden vært tillagt en sikkerhetskoordinator for prosjektet, Eli Moen. Ansvaret for driften av informasjonssystemet som inngår i prosjektet har ligget hos IT-sjef ved Aker sykehus, som rapporterer direkte til direktøren, mens IT-konsulent Lars Dyrkorn har tatt seg av nettverket og den daglige driften av systemet. Telenor har levert digitale sertifikater og programvare samt vært en viktig bidragsyter til implementeringen av løsningene. 4

5 Aker Hospital Hospital unit (Medical ward) Hospital unit (Surgical ward) Hospital unit (Surgical ward) Printer connected to parallell port Printer connected to parallellport Printer connected to parallell port Smartcard reader Bjerke Home Care Connections made through existing fibre Aker Hospital IT department ISDN ISDN router KIS All ISDN set up as closed user All information will be encrypted and signed ISDN Microsoft Mail (All mail messages will be stored encrypted and signed) Printer connected to parallell port TTP- Certificate directory X.500 F ISDNrouter Sertifikatene Sertifikatene er levert av Telenor og er tilpasset Entrust applikasjonene og bruk sammen med Telenors TTP-tjeneste. Sertifikatene har i ugangspunktet ett års gyldighet. I sertifikatene ligger navn, fødselsdato, avdeling og e-post adresse til innehaveren. Utsteding av sertifikater Telenor Bedrift har levert sertifikatene under en avtale om pilotbruk. Dette betyr at det ikke har vært noen standard sertifikatpolicy knyttet til håndtering og bruk av sertifikatene. Sertifikathåndteringen har foregått etter retningslinjer som prosjektgruppen er kommet frem til. Nedenfor summerer vi opp hovedtrekkene i disse retningslinjene. Dette er imidlertid ikke å forstå som en detaljert sertifikatpolicy. Prosjektets sikkerhetskoordinator på Aker sykehus har hatt rollen som sertifikatansvarlig (OSA) ved Aker sykehus. Brukerne som har fått utstedt sertifikater har registrert seg hos OSA ved å oppgi følgende opplysninger 1. Etternavn 2. Forrnavn 3. Helsepersonellnummer eller fødselsdato 4. Organisasjon 5. Avdeling 6. Telefonnummer 5

6 Sikker elektronisk samhandling på Aker sykehus OSA har foretatt nødvendig kontroll av personopplysninger. Disse opplysningene er så sendt til Telenors registreringsautoritet (RA). Aker har så mottatt registrering og autorisasjonskoder fra Telenor. Ved hjelp av katalogtilgang og disse kodene, er det generert sikkerhetsprofiler til brukerne. I første del av prosjektet ble det kun brukt smartkort for oppbevaring av brukernes sikkerhetsprofil. I prosjektets siste del ble det også brukt programvarebaserte sikkerhetsprofiler. Sikkerhetsprofilene er blitt overbrakt til OSA som har stått for distribusjon av disse til de respektive brukere. Brukerne har måttet legitimere seg og skrive under på at de har mottatt sin sikkerhetsprofil. Smartkortbaserte sikkerhetsprofiler kontra programvarebaserte sikkerhetsprofiler I utgangspunktet er smartkort den beste metoden for oppbevaring av brukerens sikkerhetsprofil. Det er imidlertid klart mer krevende, både å sette opp og vedlikeholde en løsning basert på smartkort. Den sikkerhetsmessige gevinsten ved bruk av smartkort må derfor vurderes opp mot dette. I noen sammenhenger kan det derfor være mest tjenelig å benytte programvarebasert oppbevaring av brukerens sikkerhetsprofil. Svartelisting (Tilbakekalling) Sertifikatansvarlig (OSA) ved Aker sykehus har vært ansvarlig for å avgjøre når sertifikater skal svartelistes (tilbakekalles). Dette er blitt gjort når noen slutter i sin stilling eller hvis sikkerhetsprofilen (smartkort) er gått tapt. Forespørsel om svartelisting er sendt til RA. X.509v3 Sertifikatene som er benyttet baserer seg på X.509v3 standarden slik den er implementert av Entrust. Den første versjonen av X.509 ble publisert i 1988, versjon 2 i 1993 og versjon 3 ble foreslått i Versjon 3 angir forbedringer når det gjelder fleksibilitet og sikkerhet i forhold til versjon 1 og 2. Et X.509v3 sertifikat inneholder følgende felter: Felt version serialnumber signature Name Validity subject Beskrivelse Versjonnummer Serienummer som identifiserer sertifikatet. Signaturalgoritme Utsteders navn Tidsrom for sertifikatets gyldighet Data om brukeren av sertifikatethttp:// - Format des X.500-DistinguishedNames: subjectpublickeyinfo Brukerens offentlige nøkkel issueruniqueid subjectuniqueid extensions Ikke obligatoriske felt Eventuelle utvidelser I neste avsnitt går vi mer inn på hvordan navn er gitt i sertifikatene som er benyttet i piloten. 6

7 Navnetyper Følgende tabell angir benyttede navnetyper. Nivå Navneattributt Navnekonvensjon/Verdi 1 Country (c=) NO 2 Organisation (o=) DigiSert-Pilot 3 Organisation Unit (ou=) Aker 4 Organisation Unit (ou=) TrustHealth Pilot 5 Common Name (cn=) Fornavn Etternavn Attributtet serialnumber angir brukerens fødslsnummer. Programvare benyttet Det har vært et mål i prosjektet å benytte standard programvare med minst mulig tilpassing. Valget av løsninger gjenspeiler dette. Terminalene som er utplassert i hver avdeling kjører Windows NT (eller Windows 98), Outlook 97, Word 97 og Entrust/Enteligence. Som ett alternativ til Word/Outlook/Entrust/Enteligence har vi prøv ut JetForm Filler hvor utfylling, signering, sending og mottak kan integreres i en applikasjon. Hovedløsningen har imidlertid vært basert på Entrust/Enteligence, men i prosjektets siste fase har JetForm blitt testet (se vedlegg 2) Denne applikasjonen er imidlertid ikke testet ut i en situasjon med virkelige sykepleierrapporter. Windows NT Alle maskinene har installert Microsoft Windows NT 4.0 med Service Pack 5. På Ortopedisk avdeling har Windows 98 vært benyttet. Grunnen til dette var et ønske om å benytte Entrust/Enteligence versjon 5.0. Outlook/Exchange Alle maskinene har installert Outlook 97. e-post tjeneren har installert Microsoft Exchange 5.0. Entrust Entrust Inc. er ledende på programvare for sikker kommunikasjon, og tilbyr en rekke ulike løsninger. I forbindelse med TH2-piloten på Aker sykehus har vi vurdert tre produkter Entrust/Express Entrust/ICE Entrust/Enteligence Det er felles innlogging for disse applikasjonene. En bruker logger seg inn ved hjelp av sitt passord og eventuelle smartkort og kan deretter benytte løsningene uten å måtte angi passord på nytt. Signering og kryptering kan utføres inntil brukeren logger seg av eller automatisk blir logget ut. Entrust/Express er en plugin for Outlook som gir mulighet for å sende kryptert og signert e-post. I Outlook er det som standard også innebygd muligheter for å sende kryptert og signert e-post. Entrust/Express skiller seg fra Outlooks innebygde muligheter 7

8 Sikker elektronisk samhandling på Aker sykehus ved en tettere integrasjon med tiltrodd tredjepart og muligheten for å benytte sertifikater på smartkort. Entrust/ICE er en løsning for kryptering av filmapper. Når Entrust/ICE er installert og satt opp til å kryptere en mappe, vil alle filer som blir lagret her, bli kryptert. Dette skjer uten at brukeren behøver å gjøre noe. Entrust/Enteligence er å oppfatte som en utvidelse av Windows Explorer. Ved installasjon av Entrust/Enteligence vil man få mulighet for signering og kryptering av filer som en integrert del av Windows explorer. Bruk av Entrust programvaren er beskrevet nærmere i vedlegg 2. Signering og kryptering Entrust benytter seg av offentlig nøkkel kryptografi. Når noe skal krypteres, må dette derfor krypteres med den offentlige nøkkelen til de som skal kunne dekryptere. Dette gjør at den som krypterer må ha tilgang til den offentlige nøkkelen til alle som skal kunne lese meldingen. I Entrust er det to løsninger på dette problemet: adresseboken og katalogtilgang. Adressebok Adresseboken er felles for Entrust-applikasjonene og lar brukeren importere sertifikater (offentlig nøkkel) fra andre som man ønsker å kryptere innhold til. Det er her også mulig å lage mottakerlister hvor man samler flere mottakere i en liste, hvoretter man kan kryptere til alle disse på en gang. Katalog Hvis systemet har mulighet for oppkobling til sertifikatkatalogen, kan sertifikatene hentes direkte fra katalogen. Katalogtilgang gir også mulighet for å påse at ugyldige sertifikater ikke blir benyttet. JetForm Filler FormFlow2 fra JetForm er en samling av applikasjoner for å utvikle løsninger for elektronisk skjemaflyt bassert på XML. En av applikasjonene som inngår, er utfyllingsapplikasjonen JetForm Filler. I forbindelse med prosjektet JetRek som nå er avsluttet ved Aker sykehus, er det utviklet en elektronisk versjon av sykepleier rapporten for bruk med JetForm Filler. Vi har tatt utgangspunkt i dette og testet sikkerhetsfunksjonaliteten i JetForm Filler. Dette er beskrevet i vedlegg 2. Legg merke til at det er løsningen med Entrust/Enteligence som har vært testet i en virkelig situasjon og det er denne løsningen som brukererfaringene er basert på. Testen av JetForm Filler er gjort for å gi beslutningsgrunnlag for Aker sykehus når det gjelder videre satsning. Fordelen med å bruke JetForm Filler er at denne applikasjonen integrerer med Entrust og Exchange slik at brukere kan forholde seg til kun en applikasjon. Det er imidlertid viktig å poengtere at JetForm benytter seg av Entrust for sikkerhetsfunksjonalitet., så selv om en løsning med JetForm forekommer noe annerledes fra et brukerstandpunkt, er det akkurat den samme sikkerhetsløsningen som blir benyttet. Teknisk oppsett PC Det er en PC på hver avdeling. Det er derfor flere brukere på samme maskin. Det har vært knyttet en rekke problemer til det faktum at flere brukere deler en maskin. Sikkerhetsløsningene baserer seg på at brukerne har sin personlige sikkerhetsprofil. På Windows NT har også hver bruker en brukerprofil med eget passord. Etter å ha diskutert dette, kom man imidlertid frem til at det var mest formålstjenlig å ha en fellesbruker for Windows NT for alle brukerne ved en avdeling. Dette rettferdiggjøres ved at flere brukere må ha mulighet for å operere på samme data, siden dataene er knyttet til avdelingens 8

9 funksjon og ikke til de enkelte brukerne. Dette er imidlertid forskjelling fra mange andre brukermiljøer, og det har vist seg å være en utfordring å kombinere dette med personlige sikkerhetsprofiler. Smartkortdrivere og verktøy Smartkort og smartkortdrivere er levert fra Telenor Conax. Disse er tilpasset bruk sammen med Entrust software. Hvis Entrust er installert vil installasjonen detektere dette, og gjøre nødvendige konfigurasjoner for at smartkort skal fungere sammen med Entrust. Bortsett fra at Entrust må være installert først, tar installasjonsprogrammene fra Telenor Conax hånd om det som er nødvendig inkludert installeringen av MS Smart Card Base. Smartkort pakken fra Telenor Conax inneholder flere verktøy: som PIN-utility og Select Smart Card Reader. I piloten har det vært et problem knyttet til Smartkortdriverne. I visse situasjoner slutter smartkortleserne å fungere. Dette problemet er under utbedring av Telenor Conax. Det er også påvist innkompatibilitet mellom en bestemt del av programvaren inkludert med Entrust 5.0 og driverne fra Conax. Kirurgisk Post 1 Kirurgisk Post 4 Medisin Post 9 Trusthealth nettv. Aker Sykehus (Fysisk adskilt fra Akers datanett) ISDN-router ISDN-router NT Exchange mailserver Lukket brukergruppe ISDN-router ISDN-router Bjerke bydel Hjemmehjelp Telenor X500 katalog 9

10 Sikker elektronisk samhandling på Aker sykehus Nettverk TH2-piloten benytter et eget lukket nettverk. Dette nettverket er beskrevet i figuren ovenfor. Forbindelsen med Telenors X.500 katalog og forbindelsen mellom Aker sykehus og Bjerke bydel benytter seg av en såkalt lukket ISDN brukergruppe. Skriver Det er knyttet en skriver til hver PC. Denne blir brukt til å skrive ut sykepleierrapporter. Smartkortleser Smartkortleserne er levert fra Telenor Conax og fungerer tilfredstillende. Smartkortleser er kompatibel med smartkortene som benyttes. Smartkort og leser leveres under betegnelse Conax-SurfCard, som er Telenor Conax varemerke. En del av problemene vi har hatt, skyldes trolig at programvaren som er levert sammen med smartkortleserne ikke alltid fungerer riktig. Smartkort Smartkort (Conax-SurfCard) er levert fra Telenor Conax. Kortene vi brukte har for liten kapasitet til å takle oppdatering av nøkkelparet, men kortene har ellers fungert tilfredstillende. Word og maler En elektronisk utgave av dagens sykepleierapport ble lagt inn som en mal i Word. Denne malen ble satt til å være normal.dot, dvs. at når Word åpnes vises automatisk malen for sykepleierapporten, og ikke et blankt ark. Det ble også meldt et behov for en uformell henvendelse som kunne erstatte noen av telefonsamtalene mellom sykehuset og bydelen. Et eget skjema ble lagd til dette og kalt uformelle henvendelser (ligger som en egen mal). Da det er ønskelig å se hva som blir brukt mest av uformell henvendelse og sykepleierapporten settes Word til automatisk å foreslå filnavnet på følgende format: U pluss klokkeslett for uformell henvendelse (f.eks. U doc) S pluss klokkeslett for sykepleierapport (f.eks. S doc) og det lages et script som logger dette. Sikkerhetsvurderinger I dette avsnittet vil vi komme med noen bemerkninger rundt sikkerheten i piloten. Vi gjør oppmerksom på at papirbasert oversendelse av sykepleier journalen har foregått i parallell. I vurderingen nedenfor vil vi imidlertid kun se på SESAM-piloten, det vil si den elektroniske oversendelsen. Hva er truslene Integritet til dataene ødelegges Noen mulige trusler mot integriteten til dataene er: Sykepleier går fra terminalen under journal skrivning. Noen forandrer på journalen. Sykepleier kommer tilbake, men merker ikke at journalen er forandret, signerer og sender denne. Teknisk svikt i Word gjør at dokumentet blir korrumpert i det det lagres. 10

11 Teknisk svikt gjør at mottaker får dokumentet korrumpert i det det åpnes/dekrypteres. Dokumentene signeres før sending. Dette gjør at dokumentet ikke kan forandres underveis uten at det kan oppdages. Hvis dokumentet endres før den kommer frem til mottaker vil ikke signaturen kunne verifiseres. Signaturen verifiseres automatisk når dokumentet åpnes hos mottaker. Dette betyr at systemet er sårbart for integritetsbrudd kun før signering og etter at signaturen er verifisert. Teknisk svikt vil som regel oppdages av brukeren, med mulighet for å skrive rapporten på nytt. Vi har satt ned tiden på skjermbeskytter til 10 minutter for å unngå at skjermen blir stående ulåst i lengre tid. Vi anbefaler dessuten at man aktiverer skjermbeskytter dersom terminalen forlates under skrivingen. Autentisering av riktig person En sykepleierrapport sendes til en avdeling, og krypteres til alle som arbeider på denne avdelingen. Sykepleiere ved mottakeravdelingen må autentisere seg med smartkort og passord for å kunne lese journalen. Noen mulige trusler mot autentisering: Felles brukernavn og passord til NT-stasjonen gjøres tilgjengelig for uvedkommende. Smartkort og passord gjøres tilgjengelig for uvedkommende. For svakt passord gjør at uvedkommende får tilgang. En annen person enn den som har signert dokumentet kan ha sendt det Det er egentlig 3 nivåer av autentisering; Windows-pålogging (NT), Entrust-pålogging og epostboks-innlogging. NT-stasjonene er beskyttet med passord, og det er en felles bruker og et passord for hele avdelingen. For å kryptere eller signere filer må brukeren ha smartkort og passord. Det er innehaver av smartkortet som autentiseres her, og det trenger ikke ha sammenheng med hvilken NT-bruker som benyttes. Passordet må i utgangspunktet oppfylle en passordpolicy som er forholdsvis streng. (f.eks. 8 tegn og blanding av store og små bokstaver). Dette gjelder for Entrustprogramvaren. Imidlertid følger det med smartkortdriverne en PIN-utility. Ved å bruke denne kan passordet endres til et vilkårlig passord som da ikke trenger å tilfredstille passordpolicy som Entrustprogramvaren benytter. Brukerne er opplært til å benytte Entrust når passordet skal endres. Derfor vil de passord som benyttes vanligvis tilfredstille Entrusts passordpolicy. Det tredje nivået av autentisering er autentisering for tilgang til epostboksen som benyttes for sending eller mottak. Vi har i piloten benyttet en felles epost-bruker som er knyttet til en felles NT-bruker, slik at brukeren ikke trenger å autentisere seg på ny for tilgang til epost-systemet. Ikke-benekting av signering Journalene blir elektronisk signert. Teknisk kan derfor journalen knyttes til den som har tilgang til smartkort og passord. Vi har ikke gjort noen avgrensning i forhold til hva signaturen skal brukes til. Kryptering og signering er i vår løsning uavhengig av selve sendingen, det er kun dokumentet (filen) som signeres. Vi har derfor ikke realisert tjenestene ikke-benekting av sending og mottak i løsningen. 11

12 Sikker elektronisk samhandling på Aker sykehus Tilgjengelighet til system/informasjon: Trusler mot tilgjengeligheten: Glemt smartkort eller kode Tekniske problem med PC, smartkortleser, katalog, programvare Utgått eller svartelistet sertifikat Treghet ved utstedelse av nye sertifikater Teknisk trøbbel med infrastrukturen Systemet og nettverket som er satt opp benyttes kun til formålet i piloten. Nettverket er også et lukket nettverk. Dette gjør at forhold som kan føre til driftstans er betydelig redusert i forhold til de fleste systemer. Bortsett fra noen mindre problemer med smartkortdriverne, har det heller ikke vært meldt om driftsstans. Eksponering av data til uvedkommende (Konfidensialitet) Konfidensialitet er det sikkerhetsaspektet som har vært viet mest oppmerksomhet pga opplysningenes sensitive natur. Noen mulige trusler mot konfidensialitet: Sykepleier glemmer å kryptere sykepleierrapporten. Uvedkommende klarer å knekke krypteringen. Trojanske hester el. sender ut sensitiv informasjon automatisk Uvedkommende får tak i smartkort og koder til en autorisert bruker Tyveri av arbeidsstasjonen som benyttes Sensitive data lagres på feil sted slik at andre kan få tilgang Piloten bruker et lukket nettverk og kryptering av sykepleier rapporter og uformelle henvendelser. Det er svært lite sannsynlig at uvedkommende klarer å knekke krypteringen, da det benyttes sterk kryptering i piloten. Det er en viss mulighet for at sykepleierne glemmer å kryptere meldingen(e), men fordi det benyttes et lukket nettverk anser vi trusselen for utilsiktet utlevering som liten. I et åpent nettverk må det legges større vekt på å lage brukervennlige løsninger som hindrer at slik utlevering kan skje. Opplæring og bevisstgjøring er gjennomført for å sikre at brukerne tar nødvendige forhåndsregler ved oppbevaring av smartkort og koder. Rapportene skal slettes umiddelbart fra harddisk etter bruk, og dette vil redusere risikoen for eksponering av sensitiv informasjon ved tyveri. Sporbarhet I piloten består sporbarheten i at den digitale signaturen gir mottaker mulighet til å vite hvem som har signert rapporten. Det er ikke benyttet en juridisk logg for meldingsoverføring i systemet (dvs. logging av alle meldinger). Av hensyn til konfidensialitetsaspektet er det lagt opp til at konfidensiell informasjon slettes fortløpende. Dette betyr at det ikke er sporbarhet av sending i ettertid, men kun i det sykepleierapporten mottas hos mottaker. 12

13 Utfordringer ved bruk av PKI på Aker Tekniske problemer I dette avsnittet går vi nærmere inn på en del av de tekniske utfordringene og problemene som er kommet opp. Vi går også nærmere inn på de tekniske aspektene rundt valg av løsning. Vi skisserer de løsningene vi har funnet på problemene, og beskriver begrensinger i løsningen. En avsender, mange mottakere I SESAM-piloten skal sykepleierapporter gå fra avdeling til avdeling (bydel). Det er en personlig avsender, men det er avdelingen og ikke en bestemt person på avdelingen som er mottaker. Det var likevel et ønske at avsender personlig skulle signere rapport. I SESAM-piloten valgte vi å benytte helt personlige sertifikater for både signering og kryptering. Et interessant alternativ ville være å benytte personlige nøkkelpar for signering og rolle/gruppe nøkkelpar for kryptering. Valg av Entrust løsning Vi ønsket opprinnelig å bruke Entrust/Express slik at alle e-post meldinger som ble sendt ville bli kryptert og signert. Denne løsningen ble sett på som fordelaktig på flere måter. Blant annet ville det være enkelt å sende uformelle henvendelser med konfidensielle opplysninger. Som beskrevet i avsnittet under om maskinvare, er det plassert kun en PC på hver avdeling. Det er derfor flere brukere av hver maskin. Når en melding eller journal sendes er det ikke gitt hvem på mottaker avdelingen som skal lese meldingen. I utgangspunktet må meldingen kunne leses av alle på den aktuelle avdelingen. Ved bruk av offentlig nøkkel kryptografi betyr dette at meldingen må krypteres med den offentlige nøkkelen til alle på den avdelingen meldingen sendes til. I Entrust er det funksjonalitet som gjør det enkelt å sende samme melding til flere mottakere. Det er ikke praktisk å opprette en konto for hver sykepleier verken som NT-bruker eller Outlook-bruker. Det har vært et ønske at bruken og oppsettet av systemet skal være knyttet til avdelingen og ikke den enkelte sykepleier. Det er imidlertid ett viktig unntak: signaturen på sykepleier journalen skal være personlig. Dette gjør det nødvendig at alle sykepleierne har sitt personlige sertifikat. Selv om Entrust/Express håndterer sending av e-postmeldinger til flere mottakere, viste det seg til slutt umulig å få dette til når alle mottakerne har samme e-postadresse. Entrust/Express forutsetter at hver bruker har sin egen e-postadresse. Vi forsøkte å finne måter å unngå dette på, og etter samtaler med den norske distributøren, så det en stund ut som om dette skulle la seg gjøre. Til dette laget vi også en makro i Word som skulle skrive ut sykepleierapporten i to eksemplarer, sende journalen og så slette den. Når det viste seg at Entrust/Express ikke kunne gi den funksjonaliteten vi ønsker, ble det bestemt å benytte Entrust/Enteligence. Ved hjelp av mottakerlister blir da et worddokument kryptert med den offentlige nøkkelen til alle på avdelingen hvortil sykepleierapporten skal sendes samtidig som den signeres digitalt. Det krypterte dokumentet blir så sendt som vedlegg i en e-post melding. Som beskrevet i kapittelet om bruk, var vi litt redde for at denne løsningen skulle oppfattes som svært lite brukervennlig. Imidlertid ser det ut til at brukerne har vært i stand til overvinne denne hindringen. Valg av nettverksløsning Før oppstarten av piloten under TrustHealth2 ønsket vi å bruke Entrust Express for å kunne signere, kryptere og sende sykepleierrapporten rett fra e-postprogrammet. Noe som senere i prosjektet skulle vise seg å by på andre problemer. Se foregående avsnitt. Et problem som dukket opp var at On-Mail, som er Oslo kommunes standard e-post program, ikke støttet Entrust Express plug-in. Telenors teknikere anbefalte oss da isteden 13

14 Sikker elektronisk samhandling på Aker sykehus å bruke MS-Outlook med "vanlig" Internett e-post. Denne baserer seg på protokollene POP/SMTP, i stedet for On-mail og den noe eldre X-400 protokollen. Vi måtte da også ha en oppkobling mot OKDN (Oslo Kommunale Data Nettverk) og en mailserver for å etablere kontakt med Bjerke bydel Dette resulterte i en søknad til Oslo kommune. En søknad om dispensasjon til å bruke MS-Outlook e-post program, en MS-Exchange mail-server og en åpning til OKDN under prosjektets gang. Et avslag på søknaden kom etter 8 måneder. Etter å ha fått avslag på søknaden ble det klart at vi ikke kunne bruke Aker sykehus LAN til prosjektet. En mulighet det da ble sett på var å sette opp ISDN- lukkede brukergrupper mellom avdelingene på sykehuset og bydelen(e). Problemet med denne løsningen var at det ville bli dyrt både med tanke på innkjøp av ISDN- routere, installasjon og teleavgifter. Etter samtaler med ElTele Øst som drifter nettverket på Aker sykehus kom vi frem til at vi kunne koble opp et fysisk adskilt nettverk på Aker sykehus og bruke ISDN oppkoplinger mot bydelen(e) og etter hvert mot Telenors X-500 katalog tjeneste. Problemer med lukket ISDN brukergruppe og konfigurasjon av routere Vi hadde en del problemer med å få koblet opp linja til Bjerke bydel, og siden også mot X.500 katalogen. Samtidig med bestillingen av prosjektets lukkede brukergruppe sattes det også opp en lukket ISDN brukergruppe for IT-vakta på Aker sykehus noe som ble til et problem da det ene abonnementet som skulle inngå i prosjektets lukkede ISDN brukergruppe isteden ble meldt inn i IT-vaktas lukkedw brukergruppe. Da vi snakket med feilmeldingen på Telenor så fant de ingen feil. Da vi omsider fikk rettet opp denne misforståelsen hadde vi også en del problemer med scriptet på routerene. Vi fikk også problemer da vi skulle koble opp linja mot X-500 katalogen. For å spare på utgiftene var planen å dele de to numrene på den ISDN boksen som sto på Aker sykehus. Det ene nummeret skulle gå mot Bjerke og det andre skulle gå mot katalogen. Da dette omsider skulle gjøres i praksis fikk vi beskjed fra Telenor om at dette ikke var en tjeneste man kunne bestille. Hvis det ene nummeret inngikk i en lukket brukergruppe måtte også det andre nummeret gjøre det. Etter å ha forsikret Telenor om at det nummeret som ikke skulle være med i lukket ISDN brukergruppen var koblet til en ISDN-router, og at denne var konfigurert til å ikke ta imot noen samtaler og kun kunne ringe et nummer (til X-500 katalogen) fikk vi meldt det ene nummeret ut av den lukkede brukergruppen. Konfigurasjon av PC Etter at linja mellom Bjerke bydel og Aker sykehus var satt opp, hadde vi noen problemer med oppsettet på NT-maskinen på Bjerke. Denne maskinen ble i utgangspunktet satt opp på samme måte som NT-maskinene på Aker sykehus. Det vil si at de logget inn i et domene der Exchange serveren var hovedserver. Dette var også stedet hvor de offentlige nøklene og profilene lå. Slik som routerene var programmert skulle de lukke linja hvis det ikke var noen trafikk, men Bjerke-maskinen holdt linja oppe hele tiden. Da vi oppdaget dette la vi en kopi av den lokale katalogen over på Bjerke og lot brukerne logge seg inn lokalt. Bruk av piloten uten katalogtilgang I første omgang ble piloten satt opp for bruk uten katalogtilgang. Det er viktig å merke seg at Entrust er bygget opp med tanke på integrasjon mot TTPtjener. Denne integrasjonen er svært tett og er skjult for brukeren. Likevel ble piloten startet opp uten oppkobling til katalogen. Dette gjør at sertifikathåndteringen må vies ekstra omtanke. Vi har gått frem på følgende måte: 14

15 Profilene opprettes på maskin med oppkobling mot TTP-tjener. Profilene (både den delen som er lagret i filer og den delen som er lagret på smartkort) flyttes over til det lukkede nettverket. Hver bruker må importere (den offentlige delen av) sertifikatene som han skal sende til. Dette har blitt gjort på Aker. Det er opprettet distribusjonslister (bjerke, med9, ). Disse er opprettet av Eli Moen mens hun er logget på med sin egen profil. Listen må importeres av alle brukerne (en operasjon) for hver bruker. Det kan siden gjøres endringer i listen uten at brukerne må importere på nytt. Imidlertid må filen (eks: bjerke.srl) flyttes manuelt til de andre maskinene. Svartelisting kan ikke håndteres på en tilfredsstillende måte så lenge ikke piloten har tilgang til katalogen (TTP-tjenere.) Vi har foreslått følgende retningslinjer i håndteringen: Når noen slutter leveres smartkortet tilbake til Eli Moen. Personen slettes fra den aktuelle distribusjonslisten, og prosedyre for oppdatering og distribusjon (se over) av distribusjonslistene følges. Dette betyr at fremtidige dokumenter ikke vil være kryptert med vedkommendes offentlige nøkkel. Personen som er sluttet kan derfor ikke lese dokumenter kryptert til distribusjonslisten. Når noen mister sitt kort benytter vi recover funksjonen i Entrust. Katalogtilgang Omtrent midtveis i pilotperioden ble det satt opp en egen ISDN-linje mot Telenors X.500 sertifikatkatalog. Det var flere problemer knyttet til dette, særlig knyttet til ISDN med lukket brukergruppe, men det var også noen vanskeligheter knyttet til å sette opp IP adresse og portnummer for katalogtjenesten. Her er det noen valgmuligheter på når det gjelder konfigurasjon. Noen av disse mulighetene viste seg i praksis å fungere bedre en andre, uten at det var mulig å klargjøre hvorfor. I et av oppsettene oppstod en feilsituasjon der det gikk greit å logge inn i Entrust, men det var ikke mulig å få tilgang til katalogen. Disse problemene ble forvekslet med feil på sertifikatene eller smartkortene før det viste seg at problemene skyldtes portnummer på katalogtilgangen. Etter at dette ble rette var det fortsatt problemer med å opprette nye sikkerhetsprofiler ved hjelp av katalogtilgangen. Opprettelse av slike sikkerhetsprofiler skjer ved å benytte referansekoder og autorisasjonskoder tilsendt fra Telenor. Klienten vil kople seg opp mot katalogen og bruke disse kodene for å få opprettet en sikkerhetsprofil. Sikkerhetsprofilen bli så lagret på smartkort eller fil hos klienten. Denne funksjonaliteten fikk vi ikke til å fungere sammen med den dedikerte katalogtilgangen. En mulig forklaring på dette kan være at det er begrensinger på port 309 eller 709 i forbindelse med den dedikerte forbindelse til katalogen. Det er Nextra som har levert denne forbindelsen, og på skrivende tidspunkt har det ikke vært mulig å få klarhet i dette. Etter at piloten hadde vært i drift i en del måneder begynte noen av sertifikatene å gå ut. Dette skjer ved at sertifikatets gyldighetsperiode overskrides. Det er også mulig å sette en kortere gyldighetsdato for nøkkelpar på sertifikatet, slik at det kreves at nøklene oppdateres etter en hvis tid. Når dette skjer vil det genereres et nytt nøkkelpar, og brukerens sikkerhetsprofil vil oppdateres. I forbindelse med dette fikk vi opp følgende melding gjentatte ganger: 15

16 Sikker elektronisk samhandling på Aker sykehus Telenor Conax som har levert SurfCard som brukes i piloten oppgir at oppdatering av nøkkelpar ikke er implementert i gjeldende versjon av SurfCard. I forbindelse med at nøkkelparet skal skiftes ut (Såkalt rollover ), oppstår denne feilsituasjonen. Den private nøkkelen skal bare oppbevares på smartkortet, men når det ikke er funksjonalitet for å oppdatere dette på smartkortet rapporterer Entrust at nøkkelskiftet er mislykket. Leverandør av sertifikatene oppgir imidlertid at dette egentlig ikke skal skje, siden det ikke settes opp nøkkelbytte for smartkortbaserte sertifikater. Imidlertid er det mulig at det er oppstått en misforståelse som har ført til uriktig konfigurasjon. Samspill mellom Entrust, smartkort og operativsystem Når piloten startet opp var Entrust 4.2 siste versjon av programvaren. Entrust 5.0 ble lansert like etter oppstarten. På grunn av ny funksjonalitet i versjon 5.0 oppstod det et ønske om å bruke denne når piloten skulle utvides. Fra Telenor og fra den norske distributøren av Entrust, ble det gitt forsikringer om at dette skulle gå greit. I prinsippet skulle versjon 4.2 og 5.0 fungere i det samme miljøet (Windows NT og smartkort fra Conax). I praksis oppstod det imidlertid problemer når vi skulle benytte versjon 5.0. Det alvorligste problemet oppstod under forsøk på å installere Entrust versjon 5 på Ortopedisk avdeling under Windows NT. Det viste seg umulig å få dette til fordi software fra Conax (Cnxsurf.dll) kom i konflikt med Entrust software, selv om både Entrust og Conax smartkort software fungerte fint hver for seg på Windows NT. Dette problemet vil bli utbedret i neste versjon av Conax SurfCard. I påvente av dette, ble problemet løst ved å installere Windows 98! Problemer med shared recipient list Såkalt Shared recipient list (heretter kalt mottakerliste) er en funksjonalitet i Entrust som blir brukt i piloten. Denne funksjonaliteten muliggjør at et dokument kan krypteres ved hjelp av den offentlige nøkkelen til alle på en mottakerliste. Dette gjør at alle på mottakerlisten, men ingen andre, kan åpne og dekryptere dokumentet. Siden det ikke er kjent hvilken person på avdelingen som skal lese sykepleierapporten i det den sendes, må rapporten krypteres til alle på en avdeling. Problemet med bruk av mottakerlistene er at disse må oppdateres hver gang det slutter noen eller begynner noen nye ved en avdeling, og det er denne oppdateringen som har vært vanskelig. For å ivareta sikkerheten er det i Entrust lagt inn en begrensning på hvem som kan gjøre denne oppdateringen. I utgangspunktet er det kun den som har opprettet listen som kan gjøre oppdateringer. Imidlertid virker det også som det er andre sikkerhetsmekanismer som vi ikke har klart å finne ut av. Ved flere anledninger har Entrust nektet å lagre en ny versjon av en liste, men uten at det gies noen form for feilmelding. Dette er sannsynligvis en feil i Entrust, men dette har skapt så store problemer at løsningen ikke kan benyttes i stor stil før dette er løst. Problemer med innlogging og utlogging I et miljø der det er flere brukere på hver arbeidsstasjon er det viktig at det er relativt enkelt for en bruker å logge inn og ut. I piloten har dette bydd på enkelte problemer som sannsynligvis skyldes smartkortløsningen levert av Telenor Conax. Imidlertid har vi greid å jobbe oss rundt dette problemet, hvis vi er nøye med å logge ut av Entrust før kortet taes ut. Problemene er rapportert til Telenor Conax som jobber med utbedringer. Organisatoriske utfordringer ved innføring av PKI i en helsevirksomhet Ansatte ved sykehusavdelinger og bydelshelsetjenesten har en stressende arbeidssituasjon. Det er dessuten høy gjennomtrekk og problemer med å få besatt stillinger, og mange blir værende kun en kort stund. Bruk av vikarer er dessuten utbredt. Dette innebærer mange utfordringer ved innføring av den type IT-løsninger som vi har benyttet i prosjektet. Det er problematisk å få gjennomført opplæringen fordi det er vanskelig å ta folk vekk fra arbeidet, uten at dette går ut over pasienter og gjenværende ansatte. Vaktordninger gir ytterlige problem, da folk kan ha fri eller senvakter (ettermiddag eller natt) de dagene som 16

17 det kjøres kurs. Forkunnskapene innenfor IT generelt dårlig blant sykepleiere. I tillegg har den store gjennomtrekken ført til at det stadig må læres opp nye personer. Vi fant ut at det mest hensiktsmessige var å kjøre opplæringen i små grupper tilpasset den enkeltes kunnskapsnivå, og at dette måtte kombineres med skriftlig prosedyrer og superbrukere på avdelingen som det var mulig å spørre om hjelp. Utskifting av personale fører også til at det må utstedes nye sertifikater og at gamle må trekkes tilbake, noe som medfører en del ekstraarbeid. Ideelt sett burde dette ha vært håndtert av personalavdeling el. Ved bruk av PKI-løsninger og personlige sertifikater vet man vanligvis hvem mottakeren er, og kan således velge vedkommendes sertifikat for kryptering. I en helsevirksomhet vil det ofte ikke være mulig å vite hvem som skal behandle meldingen, det avhenger av hvem som er på vakt den aktuelle dagen, og av hvordan arbeidsdelingen er. Vi fant det derfor nødvendig at alle sykepleiere på avdelingen som skulle motta meldingen, måtte ha mulighet for å lese denne. Dette medførte en del tekniske utfordringer. Vi måtte derfor kryptere meldingen til alle mulige mottakere på avdelingen. Andre mulige løsninger kunne ha vært å benytte avdelingssertifikater for kryptering, eller at en bestemt person (f.eks kontorpersonale) tok imot og videreformidlet alle meldingene. Enkelte steder kan også mangel på egnede plasser for plassering av PC-er og tilhørende utstyr være et problem. Slikt utstyr kan ikke stå i korridorer eller steder som er lett tilgjengelig for pasienter eller pårørende. Mangel på tidsmessig IT-utstyr og infrastruktur er ofte et problem for helsevirksomheter, og dette gjør at investeringene for å ta i bruk nye IT-løsninger blir ekstra høye, fordi man også må kjøpe nytt utstyr. Dette betyr også at nytteverdien av å innføre slike løsninger må være tilsvarende høye for å gi en positiv kost/nytte verdi. Men dette gir også muligheter for å se innføringen av flere ulike systemer i sammenheng. Det som gjør behovet for PKI løsninger spesielt stort innenfor helsevirksomheter er at man behandler store mengder sensitive personopplysninger som må sikres tilfredsstillende, samtidig med at det er behov for autentisering av brukerne og i enkelte tilfeller signering av dokumenter med medisinsk innhold. Videre anbefalinger for Aker sykehus Skisse av en mulig fremtidig løsning I dette avsnittet beskriver vi i korte trekk en mulig løsning basert på Entrust og JetForms produkter. Løsningen som skisseres vil imidlertid kreve noe programutvikling og tilpassing for å møte de særlige utfordringer som pilot-prosjektet har avdekket. Det har imidlertid ikke vært mulig å få gjennomført denne utviklingen innenfor prosjektet. Dette avsnittet er tatt med for å gi Aker sykehus beslutningsgrunnlag for videre prioriteringer. Vi starter med å diskutere noen krav som det vil være rimelig å stille til en full skala løsning. Deretter forsøker vi i noen grad å konkretisere hvordan en løsning som tilfredstiller disse kravene, kan bygges opp. Krav til løsning Det må stilles krav til sikkerheten i løsningen. Ut fra erfaringer og evaluering av piloten, mener vi at det er naturlig å legge en tilsvarende sikkerhetsløsningen i bunn. Løsningen har hatt tilfredstillende sikkerhet ivaretatt av sertifikater og offentlig nøkkelkryptografi. Den sikkerhetsmessig beste løsningen er derfor å videreføre dette. På den andre siden viser erfaringene fra piloten at brukervennligheten ikke har vært så god som man kunne ønske. Både bruk og administrasjon har et forbedringspotensial. Imidlertid ser det ut til at det ikke er mulig å forbedre brukervennligheten og samtidig 17

18 Sikker elektronisk samhandling på Aker sykehus benytte seg utelukkende av standard programvare. En videre tilpassning av applikasjonene behøver imidlertid ikke å være veldig omfattende. Entrust tilbyr et utviklingsverktøy som gjør det forholdsvis enkelt å gjøre slike tilpassninger. For at applikasjonen skal være enkel og effektiv, mener vi at brukeren må kunne gjøre følgende operasjoner innenfor en applikasjon: Velge mellom ulike skjema. Utfylling av skjema. Signering av skjema Kontroll av skjema med underskrift Utskrift av skjema Sende skjema ved å velge mottakeravdeling Sannsynligvis bør det også være mulig å motta skjema i denne applikasjonen. Vi mener her at det bør være enkelt å hente opp en Inbox som viser alle skjema sendt til avdelingen. SESAM-piloten har ikke vært knyttet til andre systemer ved Aker sykehus. Piloten har hatt et eget nettverk, egen e-posttjener og egen linje til Bjerke bydel. Arbeidsstasjonene som er brukt i piloten har ikke vært benyttet til formål utenfor piloten. Problemstillinger knyttet til integrasjon mot Aker sykehus andre IT-systemer eller integrasjon mot ITsystemer i bydelene, har derfor ikke blitt utredet i detalj. Dette er imidlertid en problemstilling som må belyses hvis piloten skal danne grunnlag for å bygge ut tilsvarende løsninger i større skala. I kjølvannet av JetRek-prosjektet ser det ut som Aker sykehus vil ta i bruk programvare fra JetForm for å håndtere et større utvalg av skjema ved Aker sykehus. Det er designet utfyllingsmaler for en del skjema som brukes ved Aker sykehus. Dette inkluderer sykepleierapporten som har vært benyttet i SESAM-piloten. Dette taler i retning av at en løsning for sikker overføring av for eksempel sykepleierapporter bør ta utgangspunkt i JetForm når det gjelder utfylling av sykepleierrapporten. Vi har derfor foretatt en test av dette som er beskrevet i vedlegg 2. Videre ser det også ut til at en løsning i større skala må tilpasses e-post løsningen som velges i Oslo kommune. Det vil også være et krav til løsningen at Telenors sertifikatkatalog er tilgjengelig enten via en dedikert linje eller via Internett. Konkretisering av løsning I dette avsnittet vil vi konkretisere en anbefalt løsning nærmere. Anvendelsesområde for en løsning i tråd med den som er testet i SESAM-piloten vil sannsynligvis gå utover det å sende sykepleierapport mellom bydeler og avdelinger ved Aker sykehus. En løsning i større skala bør ta sikte på å gjøre det mulig å sende flere typer skjema mellom avdelinger på Aker sykehus og ulike deler av Oslo kommune. Ut fra kravene anført i forrige avsnitt ser vi det som naturlig at en løsning bygges opp omkring følgende tre teknologier: Entrust sikkerhetsløsninger med sertifikater fra Telenor JetForm for skjemahåndtering 18

19 Et e-post system som gjør det mulig å sende e-post meldinger til nødvendige deler av Oslo kommune Disse tre teknologiene må syes sammen ved hjelp av tilpassningsmulighetene i Entrust og JetForm. Brukergrensesnittet bør sannsynligvis ta utgangspunkt i brukergrensesnittet til JetForm Filler. Tilleggsfunksjoner for å kryptere skjemaet til alle på mottakende avdeling kalles ved hjelp av for eksempel knapper på skjemaet. Disse knappene aktiviserer programkode i Visual Basic. Til dette bør det være mulig å benytte Entrust Development Toolkit for Visual Basic. Kryptering skal skje ved at en programbit sørger for å finne alle personene på en ønsket avdeling ved oppslag i Telenors sertifikat katalog. De offentlige nøklene til disse personene hentes inn, og skjemaet krypteres til disse. Programbiten skal deretter sende det krypterte dokumentet via e-post til den ønskede avdelingen. Fra et brukersynspunkt vil bruken bli som følger ved utfylling og sending av skjema. Brukeren åpner ønsket skjematype ved å klikke på riktig ikon. Skjemaet fylles ut Det påføres elektronisk signatur. Hvis brukeren ikke har logget inn i Entrust ved å klikke på den gule nøkkelen på Taskbar, vil Entrust be brukeren å logge seg inn ved å angi sitt (Entrust-)brukernavn og passord. Brukeren trykker på en knapp Sende på skjemaet. Skjemaet sendes automatisk til riktig avdeling basert på opplysningene i skjemaet. For en bruker vil mottak av skjema skje på følgende måte: Brukeren velger Inbox for skjemaer ved å klikke på et eget ikon. Brukeren får opp en liste med skjema som er kommet inn. Ved å klikke på ønsket skjema, vil det aktuelle skjemaet dekrypteres. For å gjøre dette må brukeren logge seg inn med sitt sertifikat. Signaturen vil verifiseres og signaturdata vil vises på skjermen. Skjemaet kan skrives ut eller prosesseres på annen måte. Generelle erfaringer fra bruk av PKI-løsningene Brukererfaringer Opplæring I forbindelse med oppgradering fra Windows 3.11 til Windows NT på sykehuset, fikk de fleste sykepleierne tilbud om kurs i Windows NT. I tillegg har det blitt holdt et kurs i Word. Telenor holdt 1 times foredrag om sikkerhet. Det var vanskelig for avdelingen å sende flere enn 2-3 sykepleiere av gangen, derfor ble det lagd et PC-rom med 3 PC er på avdelingen til gjennomføringen av den praktiske opplæringen. Det ble i tillegg lagd en brukerveiledning. I forbindelse med foredraget om sikkerhet, vurderte man underveis at brukerne burde få den praktiske opplæringen før foredraget om sikkerhet. Ved utvidelsen ble det bestemt å forklare enkelt hvilken sikkerhet som vi har valgt å bruke samtidig som man holdt den praktiske opplæringen, og ikke kjøre et eget kurs i sikkerhet. Det vil bli vurdert om et eget 19

20 Sikker elektronisk samhandling på Aker sykehus kurs angående sikkerhet vil bli holdt senere, når brukerne har fått litt mer kjennskap/erfaring med løsningen. Det er utarbeidet rutiner ved den enkelte sengepost/bydel som sier noen om hvem som har ansvar for å sjekke for innkommet mail og hvor ofte dette skal gjøres. Brukerstøtte Foreløpig er det kun 2 personer ved IT-avdeling, Aker Sykehus som har ansvaret for brukerstøtte, men på sikt vil Helpdesken overta. I forbindelse med 1 ukes test mellom Medisin post 9 og Bjerke bydel, gruppe Årvoll var det kun 2 henvendelser der brukerne trengte hjelp. Begge disse henvendelsene gjaldt problemer med Conax driveren. Det har så langt vært lite tekniske problemer eller behov for brukerstøtte etter at løsningen ble innført. Brukernes erfaringer Tilbakemelding fra Medisin post 9 har vært positiv. Det blir gitt uttrykk for at bruk av løsningen har ført til bedre samarbeid mellom posten og bydel. Medisin post 9 føler de kan tilby et bedre behandlingsopplegget til pasientene pga. tilgang på bedre og flere opplysninger fra bydel. I prosjektet har vi benyttet standard sykepleierapport for Aker Sykehus. Det ble imidlertid ytret et ønske om å utarbeide en bedre sykepleierapport enn den vi bruker i dag. Det har ikke vært et mål for prosjektet å utarbeide et bedre skjema for sykepleierapport enn den som benyttes i dag. Bjerke bydel avd. Årvoll sier opplæringen har vært tilfredsstillende, utfra at flere av brukerne hadde lite PC-kunnskap på forhånd. Årvoll synes også at systemet bedrer kommunikasjonen mellom bydelen og sykehuset. Det er viktig med tilgang til veiledning når det trengs, og dette har fungert bra i prosjektet så langt. Erfaringer gjort underveis Selv om brukerne (se spørreundersøkelse nr. 2) synes løsningen er brukervennlig, så mener prosjektgruppen at brukervennligheten og sikkerheten kan økes ved en mer tilpasset løsningen. Det bør være en kobling mellom mottakerliste (shared recipient list) og e-post adresse, slik at man velger hvem det skal krypteres til samtidig med valg av e- post adresse. Sett ut fra sikkerhetsmessige hensyn bør det ikke være mulig å sende e-post uten at den er kryptert. Det er ønskelig at brukeren kan skrive sykepleierapporten, signere/kryptere/sende den og motta e-post mens de er i den samme applikasjonen På grunn av stor turnover har det vært et stort behov for kontinuerlig opplæring, sperring og bestilling av nye kort. Det bør utarbeides retningslinjer for hvordan dette skal håndteres. Spørreundersøkelser Det har vært gjennomført to spørreundersøkelser. Den første ble gjennomført før piloten ble igangsatt (i Trusthealth 2-prosjektet), den andre etter at brukerne har testet løsningen. Oppsummering første spørreundersøkelse Se vedlegg 1 Oppsummering Trusthealth 2 Oppsummering andre spørreundersøkelse Kun 10 personer har deltatt i spørreundersøkelse nummer 2,. 2 fra bydelen og 8 fra sykehuset. Alle (10) mener at elektronisk kommunikasjon mellom bydelen og sykehuset er noe man bør bygge videre på. Hele 8 synes systemet er brukervennlig (intuitivt å bruke) likevel ønsker 9 mer opplæring. Hva de ønsker opplæring i varierer (forskjellige program som Excel, PowerPoint, pasientadministrative systemet og noen sier generell opplæring). 20