Legekontorers EDI-tilknytning

Transkript

1 Legekontorers EDI-tilknytning Evalueringsspesifikasjon for KITH R 2/96 ISBN

2 Legekontorers EDI-tilknytning Sammendrag. Denne rapporten tar opp hvordan legekontorers journalsystemer på en sikker måte kan etablere EDI-basert kommunikasjon med andre aktører i helse- og trygdesektoren. Krav og anbefalinger som fremmes i denne rapporten er utelukkende knyttet til problemstillinger som er relevante for selve kommunikasjonsprosessene, og tar ikke sikte på å dekke den totale sikkerhetsproblematikken ved legekontorene og deres journalsystemer. Det vises i den forbindelse til at Helsetilsynets Journalforskrift generelt ikke tillater føring av rent edb-basert journal, men at primærhelsetjenesten er innvilget dispensasjon fra dette i påvente av en pågående revisjon av forskriften, hvor også KITH deltar. Legekontorers eksterne kommunikasjon er imidlertid i.h.t dagens regelverk avhengig av dispensasjon fra Datatilsynet, og rapporten har i den forbindelse som siktemål å bidra til å etablere relevante krav og normer for legekontorenes eksterne tilkoplinger, med fokus på EDI-basert kommunikasjon. Rapporten påpeker innledningsvis hvordan legejournalsystemer og tilknyttede EDI-løsninger for å betjene disse kan ses som uavhengige og løst koblede komponenter hvor EDI-løsningen vurderes å ha et høyt delingsnivå, mens legejournalsystemet har et lavere delingsnivå. Tilknytningsformen og sikkerhetsmekanismene i EDI-løsningen er således å betrakte som isolasjonselementer mellom legejournalsystemet og det interne, sensitive nettet, og det eksterne, åpne nettverket som benyttes for transport av (krypterte) EDI-meldinger. Gjennomføring av uavhengig evaluering av EDI-løsninger bør ha som konsekvens at selve legejournalsystemet kan gis dispensasjon for tilkopling til EDI-løsningen med basis i en (enkel) dispensasjonssøknad, dvs en dokumentasjon i.h.t en vedtatt og akseptert norm for en slik tilkopling. Rapporten inneholder en evalueringsspesifikasjon for EDIløsninger for legekontorer. Spesifikasjonen er ment å være utgangspunkt for en uavhengig evaluering av aktuelle produkter og løsninger, og er ikke låst til spesielle (EDIFACT) meldinger. Tanken er at standardiserte helsemeldinger med sikkerhetsprofiler definert i.h.t anbefalingene i Sosial- og helsedepartementets Standardiseringsprogram skal kunne legges inn etterhvert som disse defineres, og når de rette myndigheter autoriserer bruken av dem.

3 Det legges med dette opp til en todelt godkjenningsprosess der søknad om dispensasjon for legejournalsystemes EDI-tilknytning vil etterfølge evaluering av EDI-løsningene. Denne rapporten inneholder ikke noen anvisninger for slike dispensasjonssøknader, men foreslår på noen premisser for denne påfølgende fasen. Det er dessuten grunn til å nevne at kravene til drift og administrasjon av EDI-komponenten slik de fremstår i denne evalueringsspesifikasjonen, men også eventuelle tillegg og revisjoner som resultat av evalueringen, vil inngå som viktige forutsetning og premisser for en slik dispensasjonssøknad.

4 Tittel Legekontorers EDI-tilknytning Versjon 1.0 Forfatter(e) Emneord Tor Olav Grøtan, seniorkonsulent Legekontorer, EDI-kommunikasjon, Datatilsynet, evalueringsspesifikasjon Prosjekt RTV-EVSP Oppdragsgiver Tilgjengelighet Rikstrygdeverket Åpen Antall sider 20 KITH-rapport R 2/05 ISBN Dato 29. februar 1996 Ansvarlig signatur Bjørn Engum Direktør

5 Flere eksemplarer av rapporten fåes ved henvendelse til: Kompetansesenter for IT i helsevesenet AS (KITH) Medisinsk Teknisk Senter

6 7005 Trondheim Tlf Fax

7

8 Forord Denne rapporten er laget på oppdrag fra Rikstrygdeverket (RTV) i forbindelse med anskaffelse av EDI-løsning for et antall legekontorer. KITH har tatt på seg dette oppdraget fordi problemstillingene er generelle og svært viktige i forhold til ivaretakelse av personvernet og andre relevante sikkerhetsbehov knyttet til innføring av EDI-basert kommunikasjon i helse- og trygdesektoren. Forslagene i rapporten m.h.t dekomponering av den totale kommunikasjonsløsningen og trinnvis godkjenning av hhv EDI-løsningen og legejournalsystemenes tilkopling til EDI-løsningen er ikke i direkte samsvar med Datatilsynets nåværende praksis for godkjenning av slike tilkoplinger, og forutsetter således vurdering fra Datatilsynets styre. KITH vil takke Datatilsynet v/ Veronica Buer for konstruktiv og fordomsfri dialog bl.a. med sikte på å skape klarhet i problemstillingene, og håper at forslagene kan bidra til å legge grunnlag for en mer effektiv og hensiktsmessig godkjenningsprosess på et område i stor utvikling og med stor betydning for IT-utviklingsarbeidet i helsesektoren. Vi vil dessuten få takke Rikstrygdeverket v/ Svein Burkeland for samarbeidet og for anledningen til å fremme disse forslagene som har prinsipiell betydning utover rammene for det konkrete prosjektet i regi av RTV. Evalueringsspesifikasjonen i denne rapporten vil være utgangspunkt for en uavhengig evaluering av produkter fra ulike leverandører. Erfaringer og korreksjoner som fremkommer i disse prosessene vil bli innarbeidet i senere versjoner av denne rapporten. Rapporten dekker ikke legejournalsystemenes tilkopling til EDIløsningen (utover at evalueringsspesifikasjonen gir noen viktige premisser). Etter vår mening bør en slik tilkopling kunne gjennomføres som en dispensasjonssøknad, uten behov for evaluering. Innen det aktuelle RTV-prosjektet må dette avtales nærmere mellom RTV, de berørte legekontorer og Datatilsynet. KITH vil imidlertid anbefale at et slikt arbeid tar sikte på å etablere en prinsipiell norm som fanger opp relevante aspekter ved slike tilkoplinger, som det enkelte legekontor forplikter seg til å følge, og dokumenterer i henhold til. Seniorkonsulent Kenneth R. Iversen ved KITH har kommet med viktige og nyttige innspill og synspunkter under arbeidet, og har

9 dessuten kvalitetssikret rapporten i.h.t KITHs interne rutiner for dette.

10 Innhold BAKGRUNN 3 INNLEDNING 5 KRAV TIL EDI-LØSNINGER 11 Registre som omfattes 11 Delingsnivå 12 Gjennomgang av kravene 12 EVALUERINGSSPESIFIKASJON 23 Gjenstand for evaluering (GFE) 23 Hovedstruktur 23 Sikkerhetsfunksjoner 24 Tiltenkt informasjonsflyt 25 Eksternt 25 Internt 26 Risikoanalyse 26

11

12 LEGEKONTORERS EDI-TILKNYTNING Bakgrunn Kapittel 1 Rikstrygdeverket er i ferd med å anskaffe EDI-løsning for et antall legekontorer. Disse skal støtte EDIFACT-basert legeoppgjør, sykmelding og (etter hvert) andre EDI-meldinger til/fra eksterne parter. Styrt kommunikasjon Evaluering av EDIløsninger Fjernt vedlikehold EDIFACT baserte helsemeldinger innebærer streng styring og regulering av kommunikasjonen, med minimale muligheter for utlevering av irrelevant informasjon eller utlevering av sensitive personopplysninger til uvedkommende. Hver melding er strengt definert m.h.t informasjonsinnhold. Sending og mottak er bare mulig å gjennomføre til/fra predefinerte (EDI) adressater (konfigurert i forhold til meldingstypen) og gjennom predefinerte kommunikasjonsveier (X.400-postkasser). Det er bare mulig å sende og motta meldinger som er signert og kryptert i.h.t gjeldende sikkerhetsprofil, jfr [KITHs meldingshåndbok]. KITH er bedt om å utarbeide spesifikasjoner som skal støtte og forenkle søknadsprosessen for slike tilkoplinger. Hovedfokus er å legge grunnlaget og utarbeide spesifikasjoner for en ekstern sikkerhetsevaluering av EDIløsningene. Spesifikasjonene tar utgangspunkt i Datatilsynets "Sikkerhetsregulering av delte edb-systemer" som gir vilkårene for dispensasjon fra kravet om føring av sensitive registre i dedikerte systemer. Evalueringsspesifikasjonen tar høyde for både lokalt vedlikehold fra lokal operatør og fjernt vedlikehold fra autorisert operatør (hos leverandør), bl.a basert på en antakelse om at dette vil være en nødvendig støttefunksjon for mange legekontorer, og at profesjonell og kyndig drift og administrasjon er et viktig bidrag til den totale tilliten. Det er fra KITHs side forutsatt at dette vedlikeholdet utføres av foretak som Datatilsynet kan gi status som godkjent databehandlingsforetak. Med dette som utgangspunkt er relevante sikkerhetskrav knyttet til fjernt vedlikehold definert ut fra det vi mener er et relevant trusselbilde, og det forutsettes at dette vedlikeholdet bare skal omfatte EDIutstyret. 3

13

14 LEGEKONTORERS EDI-TILKNYTNING Innledning Kapittel 2 Sikkerhetsreguleringens pkt 11.8 definerer «helhetlig evaluering» som den normale fremgangsmåten. Denne normen er av mange grunner problematisk i denne aktuelle sammenhengen. Rapporten beskriver derfor en sikkerhetsmessig oppgavefordeling ved sending og mottak av EDIFACT meldinger, og en tilhørende sikkerhetsmessig dekomponering mellom EDIløsningen og legejournalsystemene. Dette forenkler problemstillingene og gir en større tillit til de sikkerhetsmessige vurderingene. Det forenkler også de sikkerhetsmessige problemstillingene knyttet til tilpasning, videreutvikling og vedlikehold av de tekniske løsningene. Samtidig øker utvalget av EDI-meldinger som kan formidles over samme EDIplattform. Gevinstene tilfaller således både brukere, leverandører og ikke minst godkjennende myndigheter. To uavhengige og løst koblede deler EDI-løsningen ivaretar meldingssikkerhet og tilknytningssikkerhet Hovedstruktur Rikstrygdeverkets planlagte anskaffelse innebærer at eksisterende legejournalsystemer kan knyttes opp mot en tilleggskomponent (EDI-løsningen) som legger til rette for programstyrt sending og mottak av predefinerte meldinger. Utsendte data ekstraheres automatisk fra legens journalsystem og innkomne data legges inn på tilsvarende måte (begge deler på legens initiativ). EDI-løsningens oppgave er å tilby et sett av tjenester slik at tilknytningen kan skje på en så enkel og oversiktlig måte sett fra journalsystemet, slik at kravene knyttet til selve meldingssikkerheten (relevant informasjonsinnhold, signering, kryptering, adressering) ivaretas i følge de anbefalinger som gis for helsesektoren på dette området, og slik at tilkoplingen til de offentlige nettverkstjenestene som skal muliggjøre kommunikasjonen (ISDN, X.28/PAD via modem) håndteres på en måte som er (sikkerhetsmessig) transparent for journalsystemet. Denne klare og entydige oppgave- og ansvarsfordelingen legger grunnlaget for en sikkerhetsmessig oppdeling som gir en betydelig forenkling og derved grunnlag for økt tillit, sammenliknet med å vurdere eksisterende journalsystemer og EDI-løsningene under ett. Strukturen og innholdet i samspillet mellom disse komponentene, samt grensesnittet mellom dem, er indikert i figurene under. Dette er en konseptuell fremstilling, som ikke beskriver det tekniske grensesnittet mellom legejournalsystemet og EDI-løsningen. 5

15 INNLEDNING Sending av melding Uthenting av sensitive data gjøres av journalsystemet, mens selve EDIFACT formateringen (kodingen) og kontrollen iht den aktuelle meldingsdefinisjonen er en rent teknisk operasjon som kan skje både i legejournalsystemet eller i EDI-løsningen. Signering av melding som skal sendes skjer på legens arbeidsstasjon, fortrinnsvis ved hjelp av smartkort. EDI-løsningen skal kontrollere og overvåke utførelsen av dette, i.h.t meldingsprofilen (sikkerhetsprofilen). Adressering og kryptering er derimot EDI-løsningens ansvarsområde ene og alene, i tillegg til kontrollert meldingstransport (via definerte X.400- postkasser) og selve oppkoplingen og transmisjonen via de åpne nettverkstjenestene ISDN eller oppringt X.28). SENDING AV EDI-MELDING Legejournal-system Uthenting av data EDIFACT formatering Signering EDI-løsning periodisk overføring for permanent lagring Adressering Kryptering Juridisk logg (klartekst) Journaldata (legens arbeidsstasjon) Ekstern netttilkopling Meldingstransport (X.400) Meldingslogg (kryptert meldingsinnhold) Mottak av melding Ved mottak av melding er både dekryptering og signatursjekk ivaretatt av EDI-løsningen. Innholdet i den mottatte (og aksepterte) meldingen kan overleveres til legejournalsystemet direkte i EDIFACT-format, eller via et mellomformat som legejournalsystemet kan tolke. 6

16 INNLEDNING MOTTAK AV EDI-MELDIN G Legejournal-system Lagring av data EDIFACT formatering EDI-løsning periodisk overføring for permanent lagring Dekryptering adresse- og signatursjekk Juridisk logg (klartekst) Journaldata Ekstern netttilkopling Meldingstransport (X.400) Meldingslogg (kryptert meldingsinnhold) Juridisk logg Legg merke til at juridisk logg (med meldinger i EDIFACT-format, dvs klartekst fra et sikkerhetssynspunkt) genereres og lagres i EDI-løsningen, og at sikkerhetskravene tar høyde for dette. Det anbefales imidlertid samtidig at juridisk logg regelmessig eller periodisk overføres fra EDI-løsningen til andre lagringsmedier, f.eks i legejournalsystemet, slik at det til enhver tid er bare en begrenset mengde slike data som er lagret i EDI-løsningen. Denne type overføring er i denne rapoorten forutsatt gjennomført på en sikkerhetsmessig uproblematisk måte, f.eks gjennom disketter. Meldingslogg Det er også viktig å legge merke til at det er bare krypterte data (meldingslogg) som eksponeres for meldingstransport. Dette indikerer at det foreligger et klart potensiale for å dele opp EDI-løsningens dataområder i et sensitivt område og et ikke-sensitivt område, hvor krypteringsfunksjonen kontrollerer overgangen mellom disse. Evalueringsspesifikasjonen vil gi føringer for en slik inndeling. Isolasjonsegenskaper reduserer det interne trusselbildet EDI-løsningen kan derfor ses på som en isolasjonsmekanisme som fjerner risikoen for innbrudd i legejournalsystemet og som samtidig begrenser og regulerer adgangen til å sende og motta meldinger fra legejournalsystemet slik at dette foregår innen trygge og oversiktlige rammer. Dette innebærer at mulighetene for uautorisert utlevering, utlevering til uvedkommende eller utlevering av irrelevant informasjon holdes på et håndterlig minimumsnivå, sett fra legejournalsystemet. Fordeling av risiko, delingsnivåer og grundighet i sikkerhetsmessig vurdering Utgangspunktet er derfor at EDI-løsningen er den mest risikoutsatte komponenten. Hovedfokus rettes derfor mot EDI-løsningens egenskaper som formidlerav strengt regulerte meldingstjenester og som isolasjonsmekanisme, og tilliten til disse egenskapene. Denne tilliten bør stadfestes gjennom en ekstern evaluering. 7

17 INNLEDNING KITHs oppgave Konsekvenser for legejournalsystemene KITHs primære oppgave har derfor vært 1) å legge til rette for at kravene til EDI-løsninger blir mest mulig ensartet og innebærer minst mulig ressursbruk for de enkelte legekontorene, og 2) å utarbeide en evalueringsspesifikasjon som kan ligge til grunn for en ekstern evaluering av EDI-løsninger. Evalueringsspesifikasjonen skal være prinsipiell og overordnet, slik at det er mulig for en ekstern evaluator å vurdere ulike realiseringsmåter, med basis i en og samme (prinsipielle) evalueringsspesifikasjon. Den vesentligste forskjellen mellom de to løsningsforslagene som er aktuelle på dette tidspunkt, er plasseringen av selve EDIFACT-konverteringen, jfr de to foregående figurene. En evaluert tillit til EDI-komponenten bør tilsi en betydelig forenkling av vurderinger og avveininger knyttet til sikkerheten ved legejournalsystemers tilknytning til evaluerte EDI-løsninger. Koplingen mellom de to systemene skal være begrenset til forberedelse, signering, sending og mottak av meldinger. Det formidles ingen andre (ei eller interaktive) tjenester over dette grensesnittet, og det skal ikke være mulig å logge seg inn på EDI-utstyret fra legens arbeidsstasjon (eller vice versa). Legejournalsystemets (applikasjoners) bruk av enkle fil- og programgrensesnitt for å sende og motta meldinger via EDI-løsningen kan på basis av det foregående underlegges en egen dispensasjonsvurdering, der det fokuseres på tilknytningsproblematikken spesielt. Denne vurderingen kan og bør ses i lys av det grensesnittet EDI-løsningen tilbyr og den tilliten denne har oppnådd, og ikke i direkte (og ukritisk) lys av truslene fra de eksterne nettverkene. "Delingsgraden" for journalsystemet blir med dette lavere (mindre) enn "delingsgraden" for EDI-løsningen, fordi de vesentligste truslene er håndtert i EDIløsningen slik at de ikke blir relevante for legejournalsystemet. Dette synet representerer en nedbryting av problemet og en klargjøring og forenkling som gjør det til en håndterlig oppgave å vurdere sikkerheten i legejournalsystemet og i totalløsningen. Prinsippene er reflektert i figuren under. evaluering En evaluert tillit til EDIløsningen er grunnmuren i sikkerhetskonseptet. Legejournalsystem EDItjener (evaluert tillit) tilknytning mot EDI-grensesnitt (dispensasjonssøknad/ evaluering/ pilot) Legejournalsystemet er mindre risikoutsatt og får en lavere "delingsgrad" enn EDI-løsningen 8

18 INNLEDNING Prosedyre for godkjenning av tilkopling Som det fremgår av figuren, over bør en evaluert tillit til EDI-komponenten ha som konsekvens at legejournalsystemets tilknytning til en evaluert EDIløsningen prinsipielt bør kunne gjøres basert på en dispensasjonssøknad, uten behov for mer inngående evaluering. En dispensasjonssøknad må i.h.t en bokstavelig fortolkning av regelverket utferdiges av det enkelte legekontor. Dette vil medføre en betydelig arbeidsmengde for både legekontorene og Datatilsynet, og ikke legge klare prinsipper til grunn. Det beste ville etter vår mening være å få utarbeidet en norm for slike søknader om dispensasjon m.h.t tilknytning, som det enkelte legekontor kan forplikte seg til å overholde. Utarbeidelse av en slik norm kan tenkes utført gjennom et pilotprosjekt som involverer ett eller flere legekontorer, og som også innbefatter en eller annen form for vurdering eller evaluering basert på de erfaringer som gjøres i pilotprosjektet. Grensesnittet mellom EDI-løsningen og legejournalsystemet bør etter vår mening kunne bli så strengt regulert, entydig og robust at en utprøving av tilkoplinger bør kunne skje parallelt med evaluering av EDI-løsningen. Premissene for en slik utprøving må imidlertid utdypes nærmere. 9

19

20 LEGEKONTORERS EDI-TILKNYTNING Krav til EDI-løsninger Kapittel 3 Dette kapitlet inneholder krav til EDI-løsninger som skal fylle rollen som meldingsformidler og isolasjonsmekanisme, slik dette er beskrevet i foregående kapitler. Kravene stilles i.h.t pkt 12.1 i Sikkerhetsreguleringen og inngår som en viktig del av beskrivelsen av «gjenstand for evaluering» i evalueringsspesifikasjonen (jfr kap 4). Kravene omfatter kap 2-11 i Sikkerhetsreguleringen, og er ikke begrenset til kap 7 «Ekstern kommunikasjon». I Sikkerhetsreguleringens pkt 12.1 kreves det dokumentasjon i.h.t punktene i kap 2-11 og pkt. 12.2, for det systemet det søkes dispensasjon for. Vi vil derfor gjennomgå hvert av disse punktene og forklare i hvilken grad og på hvilken måte de er relevante for den tiltenkte EDI-løsningen. Denne fremgangsmåten representerer en viss fare for at likelydende krav blir gjentatt flere ganger, noe vi håper leseren vil være overbærende overfor. Vi refererer både til Sikkerhetsreguleringen og Veiledningen Vi tar dessuten utgangspunkt i de anvisninger som finnes i Datatilsynets "Veiledning for søknad om delt edb-system" (benevnes Veiledningen), kap 3, hvor det står at søknaden skal inneholde 1. Redegjørelse for hvilke registre som omfattes. 2. Definisjon av delingsnivå det søkes om. 3. Dokumentasjon i.h.t det nivået det søkes om. Med dette forstår vi en gjennomgang av kravene i Sikkerhetsreguleringen (i.h.t pkt 12.1). Når det gjelder "dokumentasjon av tilgangskontrollens virkemåte" viser vi til evalueringsspesifikasjonen i neste kapittel, samt forberedelsene til den evaluering som skal gjøres på basis av denne (med fremleggelse av ytterligere dokumentasjon fra de aktuelle leverandørene). Registre som omfattes EDI-løsningen innehar i seg selv ingen registre i tradisjonell eller permanent forstand, men mellomlagrer meldinger både ved sending og mottak. EDI- 11

21 KRAV TIL EDI-LØSNINGER funksjonene genererer dessuten logg over utvekslede meldinger (både såkalt meldingslogg og juridisk logg). Juridisk logg lagres i klartekst (EDIFACT syntaks) med påført digital signatur, og representerer derfor i tillegg til nødvendige krypteringsnøkler, et sensitivt dataområde i EDI-løsningen. Meldingslogg inneholder derimot EDIFACTmeldinger med kryptert, dvs ikke-sensitivt innhold, og med begrenset lagringstid. Kravene til EDI-løsningen gir føringer for at disse dataområdene holdes separert fra hverandre, og at tilgangskontrollen kan skille mellom dem. Det stilles imidlertid ikke rigide krav om at dette skal løses på en bestemt måte, f.eks basert på operativsystemsikkerhet. EDI-løsningen skal vedlikeholdes av autoriserte operatører (hovedsakelig tekniske driftsoppgaver, men med et visst innslag av konfigurasjon og overvåkning av kommunikasjonsprosessen). Delingsnivå EDI-løsningen bør etter Datatilsynets mening knyttes til delingsnivå 4. Kommunikasjon, dvs både sending og mottak av meldinger via en X.400 postkasse initieres fra EDI-funksjonene. Sending forutsetter et initiativ fra det tilknyttede journalsystemet (som også genererer meldingsinnholdet). Utlevering til uvedkommende er ikke mulig fordi alle meldinger blir kryptert og den aktuelle meldingen kan bare dekrypteres med hjelp av den tiltenkte mottakerens private krypteringsnøkkel (kombinert RSA og DES kryptering, såkalt hybrid kryptering og nøkkeldistribusjon, ref [KITHs meldingshåndbok]). Gjennomgang av kravene I dette avsnittet vil vi ta stilling til hvert enkelt punkt i Sikkerhetsreguleringens kap Overordnede mål Hovedmålet i sikkerhetspolicyen for EDI-løsningen er at 1. Innbrudd i EDI-løsningen skal ikke være mulig. (Trusselen om videre innbrudd i juridisk logg, tilknyttede, journalsystemer eller øvrige sensitive systemer er dermed eliminert). 2. Utlevering av opplysninger til uvedkommende skal forhindres gjennom at EDI-løsningen krypterer meldingene slik at de er tilgjengelige kun for predefinerte adressater. (Det vil være et administrativt ansvar å sørge for at 12

22 KRAV TIL EDI-LØSNINGER adressater som defineres som gyldige virkelig representerer de tiltenkte fysiske adressatene. Denne type ansvar må tillegges en ansvarlig lege ved legekontoret, som eventuelt kan delegere oppgavene til f.eks teknisk personell). 3. Utlevering av irrelevante opplysninger skal forhindres gjennom at det bare er mulig å sende forhåndsdefinerte meldinger med definert og avgrenset informasjonsinnhold (f.eks legeoppgjør eller sykmelding). 4. Forhindring av uautorisert utlevering gjennom tillatte meldinger, dvs. at en uautorisert person initierer sending av tillatt melding, er i første rekke legejournalsystemets ansvarsområde (autorisering av den enkelte bruker). EDI-løsningen bidrar til dette gjennom å avkreve signatur fra brukeren som initierer meldingen, når dette er en del av meldingens sikkerhetsprofil (selve signeringen er legejournalsystemets ansvar). Dette innebærer bl.a at EDI-løsningen skal sørge for at alle relevante risiki ved tilknytningen til offentlige kommunikasjonsnett (ISDN, X.28, X.400/P7 postkasser), er håndtert og eliminert. EDI-løsningen skal tilby kommunikasjonstjenester (sending, mottak) for tilknyttede legejournalsystemer over et enkelt, oversiktlig og robust grensesnitt. Kommunikasjonstjenestene skal ivareta kryptering av EDIFACT meldinger til/fra definerte adressater i.h.t [KITHs meldingshåndbok], og bruk av definerte kommunikasjonsveier (X.400/P7 postkasser). EDI-løsningen skal bare akseptere sending av definerte EDIFACT meldinger med definerte sikkerhetsprofiler og adresser, og kreve signering når dette er definert. EDI-løsningen skal ikke tillate ekstern pålogging fra legejournalsystemet eller andre eksterne brukere, unntatt ved fjernkoblet administrasjon nå dette initieres fra EDI-løsningen ved legekontoret. EDI-løsningen skal kunne fjernadministeres av leverandør under visse forutsetninger, bl.a kontroll og oppsyn av lokal sikkerhetsansvarlig. 2.2 Overordnet risikovurdering Utlevering av informasjon fra legejournalsystemet gjennom EDI-løsningen er underlagt strenge regler for informasjonsinnhold, adressering, utført signering 13

23 KRAV TIL EDI-LØSNINGER og kryptering. Korrektheten av informasjonsinnholdet er hovedsakelig avhengig av legejournalsystemet, men syntaksmessige begrensninger og definerte EDIFACT-formater for den enkelte melding gir ingen eller svært liten sannsynlighet for at feil på legejournalsystemsiden medfører ukontrollert utlevering av informasjon. Tilgangen til meldingstjenestene må reguleres (autoriseres) i legejournalsystemet, i tillegg vil meldingsprofiler som innebærer krav om signering, ytterligere avgrense mulighetene for uautorisert/i vanvare utlevering. Dette tilsier at risikoen for uautorisert eller i vanvare utlevering eller utlevering av irrelevant informasjon er håndtert, sett fra EDI-løsningen. Bruk av kommunikasjonslinjer (ISDN eller X.28/PAD via modem) styres av EDI-løsningen. Eksterne anrop er ikke mulig. Når kommunikasjon initieres, innebærer dette enten overføring av meldinger til/fra (predefinerte) X.400/P7 postkasser, eller innlogging av fjernoperatør i.h.t spesielle rutiner og sikringstiltak. Den eneste applikasjonen som tillates å behandle X.400 meldingene, er EDI-applikasjonen som (de)koder meldinger i EDIFACTformat og som i tillegg signerer og krypterer/dekrypterer meldinger etter en bestemt prosedyre. Denne funksjonaliteten sikrer at det ikke er mulig å komme i kontakt med systemet via andre protokoller, og at risikoen for innbrudd fra uvedkommende i praksis er eliminert. Kommunikasjonstjenestene sikrer også at utsendte meldinger bare kan dekrypteres av den tiltenkte mottakeren, og at avsenders autentisitet og meldingsopphav kan bevises. Muligheten for feilruting av meldinger er dessuten minimal (men vil i seg selv ikke medføre noen skade). Løsningen er ikke spesielt sårbar for teknisk feiloperasjon, feil administrasjon etc. Fjernadministrasjon skal bare være rettet mot EDI-løsningen og data knyttet til drift av denne, og vil foregå under oppsyn og kontroll av lokalt ansvarlige personer. Også i dette tilfellet er det legekontoret som anroper og etablerer samband. 2.3 Komponenter og tilkoplinger EDI-løsningen skal kunne benytte enten ISDN eller X.28/PAD via modem for oppkopling mot X.400 postkasser. Fjernadministrasjon skal bare kunne skje via modem (legekontoret ringer opp). EDI-løsningen skal kunne benytte lukkede brukergrupper, men skal først og fremst styre kommunikasjonen (ikke akseptere eksterne anrop). X.400-programvaren (eller program for fjernadministrasjon) skal være den eneste som tillates å benytte en etablert forbindelse. X.400-kommunikasjon skal bare være mulig mot predefinerte postkasser (P7) og skal bare skje til/fra predefinerte X.400 adresser som er knyttet til den tiltenkte EDI kommunikasjonen. (jfr risikovurdering i pkt 2.2). Tilgang til slike (standardiserte) postkasser er beskyttet av passord, og denne tjenesten skal benyttes. 14

24 KRAV TIL EDI-LØSNINGER 2.4 Utdypende kommentarer AUTORISASJON 3.1 Brukere 3.2 Autorisering av andre 3.3 Utlevering 3.4 Gjennomføring av autorisasjon TILGANGSKONTROLL 4.1 Autorisert tilgang Det vises til evalueringsspesifikasjonen i neste kapittel og til den konkrete dokumentasjonen som blir framlagt i forbindelse med planlagt ekstern evaluering. EDI-løsningen skal ikke betjene andre brukere enn de som er knyttet til (lokalt eller fjernt) vedlikehold. Autorisasjoner til operatører skal være forhåndsdefinert. Det skal ikke være mulig å opprette andre typer autorisasjoner. Det skal ikke være mulig å la egen autorisasjon gjelde andre enn en selv. EDI-løsningen skal ikke på selvstendig grunnlag utlevere informasjon, unntatt når det er nødvendig å repetere tidligere sendte (krypterte) meldinger som allerede ligger i meldingsloggen, og som er beregnet på definerte adressater. EDI-løsningen skal kun akseptere anmodning om sending av melding når dette skjer gjennom de spesifiserte grensesnitt mot journalsystemet og i regi av en kjent og definert bruker av dette. Annen utlevering av informasjon fra EDI-løsningen skal ikke forekomme. Definisjoner av meldinger som EDI-løsningen skal betjene, meldingenes sikkerhetsprofiler, brukeridentiteter (på journalsystemet) og kommunikasjonsadresser, skal bare kunne legges inn av lokal driftsoperatør. Drift og administrasjon skal bare skje direkte på EDI-løsningen, eller (under bestemte betingelser) fra leverandør (fjernadministrasjon). Driftsansvaret for et legekontors EDI-løsning skal defineres, slik at bare et begrenset antall personer gis autorisasjon og tilgang (som operatør). Når det gjelder konkrete rutiner for autorisering av driftsansvarlige henvises det til drifts- og administrasjonsdokumentasjon som må fremlegges fra leverandørene. Tilgangskontrollen skal kontrollere at bare autoriserte brukere får tilgang til drifts- og vedlikeholdsfunksjoner, meldingslogg eller juridisk logg, og at overlevering av meldinger til/fra legejournalsystemet skjer på en kontrollert måte. Tilgangskontrollen skal også sørge for at EDI-løsningen er i stand til å skille mellom sensitive data (juridisk logg, krypteringssnøkler) og ikke sensitive data (meldingslogg), slik at det er mulig å skille mellom disse i opertatørenes autorisasjoner. 4.2 Uautorisert utlevering eller nedgradering 4.3 Instrukser Tilgangskontrollen skal sikre at (EDI/X.400) meldinger bare kan sendes til og mottas fra predefinerte adressater. Det skal ikke finnes muligheter for utlevering på andre måter eller til andre adressater enn de som er definert som lovlige. Juridisk logg vil inneholde meldinger i klartekst (EDIFACT formatert). Det vil i spesielle situasjoner (f.eks tvister) være behov for uthenting av meldinger 15

25 KRAV TIL EDI-LØSNINGER fra denne loggen. Slik uthenting skal skje via EDI-løsningen (lokal operatør). Det skal innarbeides i driftspersonalets instrukser at det ikke er tillatt å hente ut klartekst informasjon i juridisk logg for andre formål enn det som er beskrevet ovenfor, eller å la denne inngå i andre meldinger eller overføringer enn de som er tiltenkt. Fjernkoplet operator skal ikke under noen omstendighet ha tilgang til juridisk logg. 4.4 Kopiering 4.5 Sikring av tilgangsrettigheter 4.6 Utstyr AUTENTISERING 5.1 Individuell autentisering 5.2 Passord 5.3 Reautentisering LOGGING 6.1 Loggens innhold Det skal ikke være mulig å kopiere data i klartekst, f.eks fra juridisk logg, uten at dette er knyttet til en bestemt prosedyre, f.eks med sikte på å fremlegge opphavsbevis (basert på digital signatur) for en mottatt melding. Det skal ikke være mulig å endre tilgangsrettighetene på annen måte enn gjennom fastlagte rutiner for autorisering og tildeling av rettigheter. Tilgangsrettighetene for lokal og fjern operatør skal i størst mulig grad være predefinert. EDI-løsningen og tilhørende utstyr skal bare kunne benyttes av de som er autorisert for dette. Utstyret skal sikres fysisk og logisk med tanke på dette. Brukere som gis tilgang til drift og vedlikehold av EDI-løsningen skal identifiseres og autentiseres individuelt. Passordets sammensetning skal følge Datatilsynets regler (Sikkerhetsreguleringen). Tjenester for overvåkning og reautentisering er anbefalt, men ikke påkrevet. (Den fysiske tilgangen til utstyret forutsettes å være sterkt begrenset.) Loggen skal organiseres i følgende hovedelementer 1. Logging av operatøraktivitet (for å plassere ansvar og for å kunne evaluere kvaliteten i drift og administrasjon). Loggen skal registrere om operatøren er lokal eller "fjern". 2. Logging av meldinger (meldingslogg) for å dokumentere meldingstrafikken, og for å kunne håndtere feilsituasjoner som fordrer f.eks retransmisjon 3. Juridisk meldingslogg for å ivareta behovet for dokumentasjon av meldingsinnhold, opphav og identitet. Meldingslogg og juridisk logg er definert i [KITHs meldingshåndbok]. 16

26 KRAV TIL EDI-LØSNINGER 6.2 Endringer i autorisasjon 6.3 Logging av hendelser Kravene i Sikkerhetsreguleringen skal oppfylles. Jfr Sikkerhetsreguleringen (kommandoer). Det skal gis spesielle anmerkning når operatører forsøker å gå utover sine autorisasjoner. Meldingslogg og juridisk logg skal følge bestemmelsene i [KITHs meldingshåndbok]. 6.4 Loggens formål Loggen skal ikke brukes til andre formål enn det som er definert over. 6.5 Administrasjon Det stilles ingen spesielle krav til begrensning/filtrering når det gjelder generering av kommandologg. Meldingslogg og juridisk logg skal ikke filtreres. Det skal være mulig å inspisere både kommandologg, meldingslogg og juridisk logg. 6.6 Tilgangskontroll Jfr Sikkerhetsreguleringen når det gjelder kommandologg. Lagring av meldingslogg / juridisk logg skal følge bestemmelser i [KITHs meldingshåndbok]. Meldingslogg skal kunne slettes automatisk etter en bestemt (konfigurerbar) tidsperiode. Juridisk logg skal normalt ikke kunne slettes fra EDI-løsningens lager uten at den er kopiert til et dertil egnet lagringsmedium. Juridisk logg skal dessuten alltid inspiseres før den eventuelt slettes. Det anbefales å etablere rutiner for å flytte (kopiere) innholdet i juridisk logg til et mer permanent lagringssted, f.eks knyttet til legejournalssystemet 6.7 Innsynsrett Jfr Sikkerhetsreguleringen når det gjelder kommandologg. Brukere av tilknyttede legejournalsystemer skal være orientert om innholdet i meldingslogg og juridisk logg. Slike brukere skal få innsyn i de relevante loggene, men dette skal bare skje gjennom autorisert driftspersonell (brukerne skal ikke ha egne brukerkonti for slik tilgang). 6.8 Dokumentasjon Det vises til evalueringsdokumentasjonen (utdypende dokumentasjon fra leverandørene). EKSTERN KOMMUNIKASJON 7.1 Vedlikehold Oppkopling mot operatør som skal utføre (fjernt) vedlikehold skal bare være mulig ved at legekontoret etablerer (anroper) det nødvendige sambandet. Slik etablering skal bare være mulig mot predefinerte kommunikasjonadresser (f.eks telefonnummer) og skal skje under oppsyn av lokal sikkerhetsansvarlig, f.eks gjennom telefonisk koordinering og avtale. Det skal gis en indikasjon lokalt når fjernt vedlikehold foregår, og det skal være mulig å avbryte en slik sesjon lokalt. Fjernkoplede operatører skal autentiseres på samme måte som lokale, og skal kontrolleres i.h.t egen autorisasjon. Det skal gis et spesielt varsel eller indikasjon når en fjernkoplet operatør forsøker å gå utover sin autorisasjon. 17

27 KRAV TIL EDI-LØSNINGER 7.2 Saklig behov 7.3 Autorisert utstyr 7.4 Autentisering 7.5 Kryptering 7.6 Endring 7.7 Dokumentasjon Kommunikasjonsprogramvaren (f.eks ISDN) skal være satt opp slik at den bare kan anrope (X.400/P7) postkasser eller adresser for fjernt vedlikehold. Eksterne anrop skal ikke besvares. P7-postkasser skal beskyttes med passord. Det skal etableres skriftlige utvekslingsavtaler mellom legekontoret og alle aktuelle EDI-kommunikasjonsparter. Utførelse av fjernt vedlikehold skal forutsette at operatøren utfører dette fra utstyr som er spesielt beregnet på denne oppgaven og som operatøren (lokalt) er autorisert for. Samband som settes opp for fjernt vedlikehold skal benytte tjenester for lukket brukergruppe eller tilbakeringing. Alle applikasjonsdata (personopplysninger) som inngår i den tiltenkte meldingstrafikken skal være kryptert. Dette må primært ivaretas gjennom meldingsdefinisjonene og sikkerhetsprofilene, jfr [KITHs meldingshåndbok] der kryptering kreves for alle aktuelle meldinger. EDI-løsningen skal påse at alle applikasjonsdata (personopplysninger) som inngår i den tiltenkte meldingstrafikken er på forhånd (digitalt) signert når den aktuelle meldingsprofilen (f.eks for resept) krever dette. Signering gir meldingsintegritet, meldingsautentisitet og opphavsbevis. Meldingsintegritet (i mer snever forstand) er dessuten generelt ivaretatt gjennom kryptering. Meldingsutveksling skal bare skje gjennom predefinerte (og standardiserte) X.400/P7- postkasser fra kommersielle eller offentlige tjenesteleverandører. Nærmere beskrivelse av kommunikasjonspartneres edb-utstyr anses ikke som relevant for evaluering av EDI-løsningen (vil være mer relevant i forbindelse med dispensasjonssøknad for legejournalsystemet). DRIFT m.m 8.1 Rutiner og prosedyrer 8.2 Driftspersonell 8.3 Tilgang Jfr Sikkerhetsreguleringen. Sikkerhetsansvarlig skal rutinemessig sjekke at kryptering/dekryptering/signering og verifikasjon av signaturer skjer som forventet, med det nøkkelmateriellet som er lagt inn i EDI-løsningen. Det skal etableres faste rutiner for kvalitetssjekking/verifisering av nøkkelmateriellet. Det skal etableres faste rutiner for gjennomgang av kommandologgen. Lokalt driftspersonell kan ved behov ta ut elementer fra juridisk logg (på anmodning fra en ansvarlig bruker). Hvis dette er en person som ikke er en del av den faste bemanningen på legekontoret (som kan defineres som leges medhjelper), skal spesiell taushetserklæring innhentes med tanke på dette. Driftspersonell kan ved spesielle behov og oppfordring (bemyndigelse) bruke sin autorisasjon til å hente ut data fra juridisk logg (f.eks på oppfordring fra en 18

28 KRAV TIL EDI-LØSNINGER lege). Meldinger vil imidlertid være kodet i EDIFACT format. Det faktiske informasjonsinnholdet vil derfor være relativt lite innlysende, og vil forutsette detaljert kunnskap om den aktuelle EDIFACT-meldingen. Fjernkoplet operatør skal ikke gis tilgang til noen krypteringsnøkler, sensitive personopplysninger etc, heller ikke juridisk logg. Generelt vil det være teknisk vanskelig å etablere absolutte sperrer for å hindre at driftspersonell kommer i befatning med f.eks sensitive datafiler. Taushetserklæring er skal innhentes med tanke på dette. Det aktuelle driftspersonellets primære orientering vil imidlertid være teknisk administrasjon av programvaren, samt adressering av meldinger i meldingslogg. Detaljert kjennskap til EDIFACT-meldingene er ikke nødvendig for å gjøre dette. Det skal likevel tilstrebes å legge juridisk logg, krypteringsnøkler og andre sensitive data på dataområder som fjern operatør normalt ikke har tilgang til. 8.4 Uvedkommende 8.5 Fjerndiagnostikk 8.7 Oppstart og restart 8.8 Sikkerhetskopiering 8.9 Permanent sletting 8.10 Konf.kontroll 8.11 Driftsrutiner FYSISK SIKKERHET 9.1 Adgangskontroll 9.2 Oppbevaring 9.3 Lokaler Driftsavtaler skal sikre at bare autorisert og godkjent personell utfører disse oppgavene. Alt fjernt vedlikehold skal kontrolleres lokalt, både ved oppkopling og i utførelse (speiling av kommandoer på lokal skjerm er en mulighet, men ikke et krav). Fjernkoplet operatør skal ikke ha autorisasjon for tilgang til juridisk logg. Det skal kjøres en testprosedyre for hver oppstart som sikrer at konfigurasjonen er konsistent og at ingen fremmedelementer (programmer) er tilstede. Både logger og nøkkelmateriell skal kunne sikkerhetskopieres. Rutiner og ansvar skal beskrives ved legekontoret. Jfr Sikkerhetsreguleringen. Jfr Sikkerhetsreguleringen. Jfr Sikkerhetsreguleringen. EDI-løsningen skal gis spesiell fysisk sikring og skal stå i et avlåst rom som ikke er tilgjengelig for pasienter, ansatte eller publikum. Alle sikkerhetskopier eller utskrifter av meldingslogger/juridisk logg skal holdes nedlåst. Jfr Sikkerhetsreguleringen. 19

29 KRAV TIL EDI-LØSNINGER 9.4 Dokumentasjon NØDSITUASJONER 10.1 Rutiner 10.2 Autorisasjon 10.3 Dokumentasjon TILLIT 11.1 Evaluering 11.2 Evaluator 11.3 Uavhengighet 11.4 Evalueringsspesifikasjon 11.8 Helhetlig evaluering Legekontoret skal dokumentere sine rutiner. Jfr Sikkerhetsreguleringen. Som et generelt prinsipp skal ikke EDI-løsningen benyttes når feil er påvist. Jfr 10.1 Det vises til evalueringsdokumentasjonen. Ekstern evaluering begrenses til EDI-løsningen. Med etablert tillit til denne som utgangspunkt/forutsetning bør legejournalsystemet etter vår mening gis delingsnivå 1, slik at det ikke er nødvendig med evaluering av disse (det bør være tilstrekkelig med en dispensasjonssøknad etter samme "mal" som dette kapitlet, men rettet mot journalsystemet anvendelse av grensesnittet mot en evaluert EDI-løsning). Velges av RTV. Jfr Sikkerhetsreguleringen. Jfr neste kapittel (4). Som nevnt innledningsvis i denne rapporten vil en helhetlig vurdering av sikkerheten ved legejournalsystemers bruk av EDI-løsningen bli vesentlig forenklet av en foreliggende evaluering av EDI-løsningen. En evaluering av EDI-løsningen vil etablere den nødvendige tillit til at eksterne brukere ikke har tilgang til journalssystemet og at uønsket utlevering av informasjon vil være en praktisk umulighet i lys av den strenge reguleringen av meldingstrafikken som EDI-løsningen utøver, som igjen er basert på spesifikke sikkerhetsprofiler knyttet til den enkelte melding som EDI-løsningen er konfigurert for å betjene. (Dette er et prinsipielt syn, en sammenlikning med tidligere godkjente løsninger for EDI kommunikasjon tilsier en markant forbedring av denne sikkerheten.) En separat dispensasjonssøknad, basert på tillit til EDI-løsningen, bør da være tilstrekkelig for vurdering av sikkerheten ved tilkopling til EDI-løsningen. DOKUMENTASJON 12.1 Søknad Begrunnelse Gjennomgangen av krav i dette kapitlet inngår som del av evalueringsspesifikasjonen Det er tungtveiende helse- og trygdefaglige og økonomiske grunner til at RTV ønsker å knytte seg til legekontorene gjennom EDIFACT-kommunikasjon (f.eks for legeoppgjør, og etterhvert sykemelding, sykepenger etc) og til- 20

30 KRAV TIL EDI-LØSNINGER svarende for at sykehus, sykehuslaboratorier, apoteker m.m ønsker denne typen koplinger. Dette kommer til uttrykk gjennom denne aktuelle anskaffelsen i regi av RTV, men også gjennom at Sosial- og helsedepartementets Standardiseringsprogram i regi av KITH iverksetter regionale og fylkeskommunale helsenettverk m.m. Disse målsettingene støttes av sentrale aktører i helsesektoren. Denne støtten er betinget av at sikkerheten ivaretas. Den foreslåtte EDI-løsningen basert på styrt kommunikasjon og kryptering av hver enkelt melding med individuelle krypteringsnøkler, representerer en relativt enkel, oversiktlig og håndterlig sikkerhetsmessig utfordring i forhold til andre scenarier for bruk av åpne, eksterne nettverk. 21

31

32 LEGEKONTORERS EDI-TILKNYTNING Evalueringsspesifikasjon Kapittel 4 Denne evalueringsspesifikasjonen for EDI-løsningen er utformet i.h.t pkt 11.4 i Sikkerhetsreguleringen, og supplerer kravene i foregående kapittel. Samhandlingen mellom EDIløsningen og støttefunksjoner i legenes arbeidsstasjoner kan foregå på to (noe) varierende måter. Gjenstand for evaluering (GFE) EDI-løsningen (GFE) er delvis beskrevet i dispensasjonssøknaden (forrige kapittel), i form av dokumentasjon i.h.t Sikkerhetsreguleringen kap 2-11, og pkt I tillegg til dette vil vi her gi en mer teknisk beskrivelse av EDI-løsningen, samt utdype og supplere kravene noe på enkelte områder. Mer utfyllende dokumentasjon må innhentes fra de aktuelle leverandørene av EDI-løsningen. Hovedstruktur Eksisterende legejournalsystemer kjøres på et antall arbeidsstasjoner, eventuelt supplert av en egen filtjener. EDI-løsningene er tilknyttet samme lokalnett, men kan bare kommunisere med legejournalsystemet over et nærmere beskrevet grensesnitt som tillater utveksling av meldinger som skal sendes (på kommando) og mottas (på kommando). Når informasjonsinnholdet i en melding er hentet fra legejournalsystemet og er klar for sending vil enten 1. EDIFACT-formatet genereres og signeres på legens arbeidsstasjon før overlevering til EDI-løsningen (programvare for EDIFACT-formatering kan lastes inn fra EDI-løsning, eller være resident på legens arbeidsstasjon, signering foretas via smartkort knyttet til arbeidsstasjonen), eller 2. EDIFACT-formatet genereres i EDI-løsningen som genererer en såkalt hashverdi og returnerer denne til legens arbeidsstasjon for signering (ved hjelp av smartkort). 23

33 EVALUERINGSSPESIFIKASJON Det bemerkes at for begge tilfellene vil det være legejournalssystemets ansvar å sørge for at legen «ser» den meldingen som signeres. EDI-løsningen skal dokumentere det aktuelle grensesnittet nærmere. EDI-løsningen pakker (signerte) meldinger i EDIFACT utvekslingsformat, setter sammen hele EDIFACT utvekslinger til samme adressat og krypterer disse. Slike utvekslinger sendes som X.400 meldinger til utvalgte X.400 (P7) postkasser, gjennom ISDN eller oppringt, modembasert X.28/PAD samband. Sikkerhetsfunksjoner Kun utgående anrop Avgrenset X.400 trafikk EDI-sikkerhet Sikkerhetsfunksjonene i EDI-løsningen er omfattende. For det første vil ISDN eller X.28 programvaren kunne benytte lukket brukergruppe (ISDN), og vil uansett sperre for innkommende anrop. For det andre er det bare X.400/P7 programvare (og eventuell programvare for fjernadministrasjon) som kan benytte sambandene. X.400 programvaren er konfigurert til å kontakte et antall predefinerte postkasser (P7), og disse postkassene er i tillegg beskyttet av passord. For det tredje er det bare EDI-løsningen som tillates å benytte X.400 kommunikasjonen. Denne programvaren krypterer EDIFACT meldingene i.h.t beskrivelsen ovenfor (detaljer er beskrevet i [KITHs meldingshåndbok]), og anvender bare et lite antall predefinerte adressater. Adressatene er knyttet til den aktuelle meldingstypen og den aktuelle applikasjonen i legejournalsystemet. I tillegg til krypteringen, som er de avgjørende sikkerhetsmekanismen, vil EDI-løsningen kontrollere og sørge for at alle aktuelle meldinger er forhåndsmessig signert i.h.t meldingsprofil, før de krypteres. Signeringen er gjennomført i legens arbeidsstasjon. Nøkkelmateriell Det benyttes et separat par av asymmetriske RSA nøkler for signering av meldinger (ett par for hver lege) og ett par nøkler for dekryptering av mottatte meldinger (ett felles par for EDI-løsningen. Legenes signaturnøkler oppbevares i legenes smartkort som er beskyttet av PIN-koder. EDI-løsningens (felles) krypteringsnøkler oppbevares i EDI-løsningen, med samme beskyttelsesnivå som juridisk logg. Dette inkluderer også offentlige krypteringnøkler knyttet til parter som det skal sendes meldinger til. (DES) sesjonsnøkler som benyttes for kryptering av utsendte meldinger slettes u- 24

34 EVALUERINGSSPESIFIKASJON middelbart eter bruk. Bare lokal driftsoperatør skal ha (vedlikeholdsmessig) tilgang til den private nøkkelen assosiert med EDI-løsningen, som benyttes til dekryptering av mottatte meldinger. Det presiseres at fjernkoplet operatør ikke skal ha tilgang til denne nøkkelen. Dekrypterte DES sesjonsnøkler skal alltid slettes så snart mottatt melding er dekryptert. EDI-løsningen skal så langt det er praktisk mulig være forberedt på å innhente kommunikasjonspartnernes offentlige nøkkel-sertifikater via TTP-tjenester når disse blir tilgjengelige. I første omgang vil dette nøkkelmateriellet måtte distribueres manuelt og lagres lokalt. I lys av at kommunikasjonen skal foregå mellom «faste» kommunikasjonsparter vil omfanget av nøkkelmateriell være moderat. Det vil bli etablert faste rutiner for oppdatering av nøkkelmateriellet. Sikkerhetsfunksjoner Sikkerhetsfunksjonene i EDI-løsningen er beskrevet i figuren under. Legejournalsystem EDI adressering signaturkontroll og -verifisering (de)kryptering (DES/ RSA) X.400/ P7 postkasse anropes bare fra legekontoret Eksterne linjer forhåndsbestemte E DIpartnere, separate krypteringsnøkler forhåndsbestemte O/ R navn, passordbeskyttelse ISDN X.28/ PAD -lukket brukergruppe -tilbakeringing -kun utgående anrop Tiltenkt informasjonsflyt Eksternt Kommunikasjonen av EDI-meldinger er rettet mot forhåndsdefinerte kommunikasjonsparter. Valg av disse er sterkt knyttet til (EDIFACT) meldingstype og aktuell applikasjon (modul) i legejournalsystemet. Det anvendes separate krypteringsnøkler for hver ekstern kommunikasjonspart, mens det benyttes ett felles par av krypteringsnøkler for meldinger som sendes til legekontoret. X.400 meldingene styres til predefinerte (P7) postkasser både ved sending og mottak. 25

35 EVALUERINGSSPESIFIKASJON Oppkopling av samband skjer bare på legekontorets initiativ. Internt Meldinger sendes bare når den aktuelle modulen i journalsystemet initieres som en kommando fra legen, og informasjon ekstraheres fra legejournalsystemet på en definert og kontrollert måte (i.h.t aktuell meldingsdefinisjon). Mottatte meldinger dekrypteres og signatursjekkes, og tas inn i journalsystemet på kommando fra legen. Ved mottak av krypterte og signerte meldinger vil både dekryptering og signatursjekk gjøres i EDI-løsningen, før meldingen oversendes legejournalsystemet. De tekniske prosedyrene for kryptering og signering er detaljert beskrevet i [KITHs Meldingshåndbok] og er utformet som generelle prosedyrer som dekker behovene for de meldingene som er og vil bli relevante for denne type kommunikasjon til og fra legekontorene. De konkrete grensesnittene og prosedyrene knyttet til dette forutsettes dokumentert av de aktuelle leverandørene. Risikoanalyse Tilliten fra eksterne parter Uautorisert tilgang til EDI-løsningen Tap eller utlevering av informasjon under overføring Utlevering av irrelevant informasjon Eksterne parters tillit vil sikres gjennom at meldingene som overføres er basert på etablerte standarder for helsesektoren og at brede grupper har vært med på å utforme disse. Standardiseringen omfatter informasjonsinnhold, kodesystemer, samt bruk av kryptering og signering. Alle meldingstyper er knyttet til predefinerte adressater, og etablering av (EDI) utvekslingsavtaler vil være et ytterligere bidrag til gjensidig tillit. Meldingsutvekslingen medfører ingen uønsket kopling mellom partene, som kan berøre f.eks legekontorens uavhengighet og integritet. Bortsett fra fjernadministrasjon er det ingen eksterne brukere på selve EDIløsningen, kun lokal systemadministrator (fjernadministrasjon er hovedsakelig ment å ha en funksjon i en igangkjøringfase). EDI-løsningen aksepterer ingenekstrene anrop. Innbrudd via X.400/EDIFACT-protokoller med krypterte data er i seg selv (i praksis) å anse som en umulighet. Tap eller utlevering av informasjon under overføring hindres først og fremst gjennom kryptering. RSA-krypterte DES-nøkler sikrer at meldinger bare kan dekrypteres av rette mottaker. Bruk av X.400 postkasser og predefinerte adressater sikrer samsvar mellom (X.400) ruting og reell mottaksadresse. Passord på postkassene hindrer tilgang til, endring eller sletting av meldingene underveis (meldingene er dessuten alltid kryptert). Utlevering av irrelevant informasjon er hindres gjennom meldingsdefinisjonene og den automatiske ekstraheringen av informasjon som skal inngå i 26