Nåsituasjon og samordning av PKI-løsninger Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren

Transkript

1 Rapport IS-2394 Nåsituasjon og samordning av PKI-løsninger Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren

2 Publikasjonens tittel: Nåsituasjon og samordning av PKI-løsninger Utgitt: 11/2015 Publiseringsnummer: IS-2394 Utgitt av: Kontakt: Postadresse: Besøksadresse: Helsedirektoratet Styring og analyse Pb St Olavs plass, 0130 Oslo Universitetsgata 2, Oslo Tlf.: Faks: Heftet kan bestilles hos: Forfattere: Helsedirektoratet v/ Trykksaksekspedisjonen e-post: Tlf.: Faks: Ved bestilling, oppgi bestillingsnummer: IS-2394 Linda Knutsen Mona Holsve Ofigsbø Hans Jørgen Varfjell (Norsk Helsenett SF) Illustrasjon: Utgitt i samarbeid med:

3 FORORD Helsedirektoratet har i samarbeid med Norsk helsenett SF gjennomført en interessentanalyse for å vurdere behovet for samordning av PKI-løsninger i helse- og omsorgssektoren. Dette på bakgrunn av Statsbudsjettet 2014, kap 720 og tildelingsbrev fra Helse- og omsorgsdepartementet (HOD). Sitat fra Statsbudsjettet Helsedirektoratet - tildeling av bevilgning i kap Spesielle oppdrag: «Helsedirektoratet skal utrede og foreslå løsninger for en nasjonal sikkerhetsinfrastruktur for identifisering av helsepersonell, som underlag for å sikre at tilgang til helseopplysninger kun gis de som har tjenstlig behov for det.» Arbeidet er ytterligere forankret i Meld.St nr. 9 ( ) «Én innbygger én journal», hvor de overordnede målene er: «Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger», «Innbygger skal ha tilgang på enkle og sikre digitale tjenester» og «Data skal være tilgjengelig for kvalitetsforbedring, helseovervåkning, styring og forskning» Forstudierapporten «Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren» (ISBN-nr ) har utredet og gitt anbefalinger om tiltak for hvordan det ene målet «Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger» kan understøttes. Behovet for videreføring av arbeidet fra forstudierapporten forsterkes ytterligere av «lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)» som trådte i kraft 1.jan Loven åpner opp for tilgang til helseopplysninger mellom virksomheter. Denne rapporten er en videreføring av arbeidet fra forstudien «Nasjonal sikkerhetsinfrastruktur for helseog omsorgssektoren». Det er gjennomført en analyse av nåsituasjonen for PKI-løsninger for å vurdere hva som er nødvendig for å samordne PKI-løsningene i sektoren. Det grunnleggende for dette er felles PKIkomponenter i den nasjonale sikkerhetsinfrastrukturen for å kunne understøtte identifisering av helsepersonell på tvers av helse- og omsorgssektoren. Dette ivaretar oppdraget fra statsbudsjettet 2014 (se avsnitt øverst på siden). Fokus for bruk av PKI i helse- og omsorgssektoren er å understøtte sikker samhandling og informasjonsdeling på tvers av virksomhetsgrenser, samtidig som helsepersonell opplever god brukervennlighet. Prosjektgruppen har vært ledet av Mona Holsve Ofigsbø med jurist Linda Knutsen og sikkerhetsarkitekter fra Norsk Helsenett SF (NHN) Hans Jørgen Varfjell, Tore Andre Mikalsen og Sindre Solem. Prosjekteier er Helsedirektoratet ved avdelingsdirektør Inga Nordberg og del-prosjekteier Norsk Helsenett SF ved fagansvarlig arkitekt Ola Vikland. I tillegg har det vært en rekke møter med aktører i helse- og omsorgssektoren og Politidirektoratet gjennom IDeALT-programmet (se Figur 1). 2

4 Det har også vært gjennomført en spørreundersøkelse for å kartlegge helse- og omsorgssektorens nåsituasjon og samordningsbehov for PKI-løsninger. De aktører som har deltatt i spørreundersøkelsen og og kvalitetssikret underlaget som vi vil rette en takk til er: Helse Nord RHF Helse Vest RHF Helse Midt-Norge RHF Helse Sør-Øst RHF Folkehelseinstituttet Trondheim kommune (representert KS) Oslo kommune (representert KS) Arbeids- og velferdsetaten (NAV) Norsk helsenett SF Avdeling helsepersonelltjenester i Helsedirektoratet Figur 1 Kartlegging og forankring Denne rapporten er avgrenset til å se på samordning av eksisterende PKI-infrastrukturer i helse- og omsorgssektoren. Nasjonal eid er derfor ikke en del av denne rapporten, men er omhandlet i forstudierapporten «Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren». Det viste seg å være flere forhold som kan vanskeliggjøre bruk av en nasjonal eid for personell i helse- og omsorgssektoren. Status for nasjonal eid er at det gjenstår noe utredning for å sikre at planlagt løsning blir brukervennlig og kostnadseffektiv før det tas en endelig beslutning om å realisere nasjonal eid. Ansvaret for nasjonal eid ligger hos Justisdepartementet. 3

5 INNHOLD FORORD 2 BAKGRUNN 6 SAMMENDRAG 7 1 Innledning 13 2 Behov og mål for å samordne PKI Normative behov for tilgang til pasient- og brukeropplysninger Samordningsbehov for PKI Mål og krav for PKI-løsninger 16 3 Nåsituasjon Kvalifiserte sertifikater (PKI-basert eid) Bruk og anvendelse Organisering og etablering Avtaleverk og sertifikatpolicyer Drift og forvaltning Kostnader Ikke-kvalifiserte sertifikater Bruk og anvendelse Organisering og etablering Avtaleverk og sertifikatpolicyer Drift og forvaltning Kostnader Virksomhetssertifikater Bruk og anvendelse Organisering og etablering Avtaleverk og sertifikatpolicyer Drift og forvaltning Kostnader 35 4 Etterspørselsbasert behov for samordnet PKI Kvalifiserte sertifikater Ikke-kvalifiserte sertifikater 38 4

6 4.3 Virksomhetssertifikater 40 5 Virkemidler for å samordne PKI Kategorier virkemidler Styringsstruktur og vertikal samordning i sektoren Styringsstruktur og horisontal samordning i sektoren Vertikal samordning og virkemidler for samordning av PKI Rettslige virkemidler for samordning av PKI Økonomiske virkemidler for samordning av PKI, inkludert insentiver Organisatoriske virkemidler for samordning av PKI Pedagogiske virkemidler for samordning av PKI Horisontal samordning og virkemidler for samordning av PKI Avtaleverk for både vertikal og horisontal samordning 45 6 Analyse Analyse av personsertifikatene (kvalifiserte og ikke-kvalifiserte) Analyse av virksomhetssertifikater Analyse av virkemidler for samordning for PKI 60 7 Oppsummering 63 8 Anbefalinger og konklusjon 65 9 Tiltaksliste 68 Referanser 70 Forkortelser 72 Ordliste og begreper 73 Vedlegg 1 Kort introduksjon om PKI 74 Vedlegg 2 Alternative arkitekturer for identitets- og tilgangsstyring på tvers 77 Vedlegg 3 - Identitetsforvaltning 79 5

7 BAKGRUNN På bakgrunn av forstudien «Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren» anbefales det at PKI-løsninger for sektoren etableres på en samordnet måte, tiltak nr. 1 [5]. Det vil si å ha sentral styring og sentralt gitte krav til PKI-løsningene for sertifikatutstedelse(r) (CA-rollen), felles identitetsforvaltning og felles drift av sentrale PKI-komponenter. En samordnet innføring av PKI-løsninger i sektoren betyr at en må finne samordnet PKI-modell(er) for løsningene. Vi har en situasjon der flere virksomheter i sektoren allerede har etablert egne PKI-løsninger uten at dette er samordnet. Løsningene virker nødvendigvis ikke sammen mellom alle aktørene. Tas det ikke grep om dette vil utviklingen fortsette i samme retning og gjøre det vanskelig å oppnå de uttalte politiske målene. Skal målene nås er det nødvendig at PKI-løsninger samordnes i henhold til sektorens styringslinjer. Utfordringer og risikoer ved å ha flere PKI-infrastrukturer og løsninger som ikke virker sammen på tvers av helse- og omsorgssektoren er [5]: At tilgang til helseopplysninger ikke gis de som har tjenstlig behov, fordi person ikke identifiseres unikt på tvers av virksomheter. At elektronisk signerte meldinger ikke uten videre kan valideres på tvers av ulike PKIinfrastrukturer, fordi valideringstjenestene er lokalisert i hver enkelt PKI-infrastruktur. Ingen koordinering av sertifikatpolicyer for de ulike PKI-infrastrukturene. Økt kompleksitet og kostnader ved ulike integrasjonsløsninger i ett og samme IT-system. Økt kompleksitet og kostnader i nasjonale driftsmiljø. Økt forvaltning og kostnader ved flere avtaleforhold. For å møte disse utfordringene er det behov for å få tekniske, juridiske og organisatoriske forhold til å virke sammen på tvers av virksomhetsgrensene i hele helse- og omsorgssektoren. For å realisere dette må en ha en entydig og sikker identifisering og logging av personelltilgang på tvers av sektoren. Dette forutsetter felles krav til bruk av eid, ID-forvaltning, drift og avtaleverk. 6

8 SAMMENDRAG Denne rapporten har identifisert tiltak som er nødvendige å iverksette for å kunne understøtte entydig og sikker identifisering av både helsepersonell og annet personell mellom virksomheter. Dette blant annet for å sikre at helsepersonell kun gis tilgang til helseopplysninger som de har tjenstlig behov for. Sektoren har behov for en PKI-infrastruktur som er robust og kan fungere i et organiseringslandskap i konstant endring. PKI er en infrastruktur som tilbyr tillitstjenester som autentisering der alle brukere av tjenesten har samme felles tillit til at de kan identifisere personer på en sikker og tilfredsstillende måte. Skal disse forholdene ivaretas er det nødvendig at denne infrastrukturen løsrives fra de enkelte organisatoriske enhetene i helsesektoren og ivaretas på et overordnet nivå. Dette krever både felles krav og felles styringslinjer for å sikre helhetlig tilnærming, noe som ble tydeliggjort gjennom besvarelsene fra aktørene som deltok i spørreundersøkelsen som ligger til grunn for denne rapporten. Kartleggingen viser at det forstudien pekte på som en risiko ved manglende samordning, allerede er et faktum. Det er i dag etablert flere ulike sett med krav og styringslinjer for bruk av PKI-løsninger. Kartleggingen har identifisert fem PKI-infrastrukturer under forskjellig eierskap og avtaleforhold. På bakgrunn av analysen anbefaler vi å etablere følgende: En samordning og reduksjon av antall PKI-infrastrukturer. Ett sett med sentrale felleskomponenter for PKI. Én felles liste med tekniske krav for å unngå proprietære løsninger. Én felles identitetsforvaltning som er uavhengig av organisasjonsendringer. Ett felles avtaleverk og sertifikatpolicyer. Felles krav til utstedelse av helse-eid. Felles unik identifikator for alt personell i sektoren. Felles krav til sikker og effektiv validering av helse-eid. En kartlegging av integrasjonspunkter for å kunne redusere antall integrasjoner, kompleksitet og kostnader. Uten at dette iverksettes vil vi fortsatt ha en situasjon der den enkelte virksomhet selv etablerer egne PKIløsninger som ikke er designet for å kunne virke sammen. At flere virksomheter allerede har gjort dette betyr at det pr i dag er brukt ikke ubetydelige ressurser og midler på å etablere slike PKI-infrastrukturer. Det er i dag flere private tilbydere av PKI-løsninger i sektoren. Eksisterende avtaler med disse gjør at vi har en situasjon med konkurransevridning dersom det offentlige skulle etablere én PKI-infrastruktur for hele sektoren. Videre benytter sektoren to forskjellige typer personsertifikater som har ulike anvendelser, tekniske, juridiske og organisatoriske forhold. I tillegg benyttes også brukernavn og passord for å logge seg på fagsystemene. Det betyr at det er tre konsepter for pålogging som vist i Tabell 1. 7

9 Konsepter Benyttede mekanismer ved autentisering 1. Nettverkspålogging PKI-løsninger basert på bruk av ikke-kvalifiserte sertifikater 2. Pålogging til fagsystem Løsninger basert på bruk av brukernavn og passord 3. Pålogging (og signering) til eksterne tjenester (på tvers av virksomheter) PKI-løsninger basert på bruk av kvalifiserte sertifikater Tabell 1 Oversikt over dagens ulike konsepter for pålogging (og signering) De kvalifiserte sertifikatene anvendes til signering av juridiske dokumenter som e-resept, sykemelding, legeerklæring og oppgjørsmeldinger, i tillegg anvendes de til autentisering mot kjernejournal. Rapporten peker på at proprietære løsninger for bruk av kvalifiserte sertifikater gjør det vanskelig å benytte dem for å møte sektorens behov for blant annet brukervennlig nettverkspålogging og sesjonsbevaring. I tillegg kommer høye kostnader knyttet til sertifikatene og utfordringer rundt lånekort. Dette har fremtvunget bruk av ikke-kvalifiserte sertifikater hos flere aktører. Samtidig peker rapporten på utfordringer med de ulike organiseringene og ansvarsforholdene rundt de ikke-kvalifiserte sertifikatene. Det gjør at de i dag ikke kan oppfylle de samme krav som gjelder for de kvalifiserte sertifikatene 1 og derfor ikke kan benyttes til samme formål som de kvalifiserte sertifikatene. Virksomhetene som har tatt i bruk både kvalifiserte og ikke-kvalifiserte sertifikater har lagret disse på ett smartkort i egne «lommer» som illustrert i Figur 2. Den illustrer en vanlig arbeidsprosess der alle tre konseptene i Tabell 1 brukes. Glemmer personell smartkortet, vil de få utstedt et lånekort med kun ikkekvalifisert sertifikat. Konsekvensen er at de kun får tilgang til interne systemer. Figur 2 Arbeidsprosess for pålogging til; nettverk med ikke-kvalifisert sertifikat(1), fagsystem med brukernavn og passord(2) og eksterne systemer med kvalifiserte sertifikater(3). 1 Hver leverandør som tilbyr kvalifiserte sertifikater har selvstendig juridisk ansvar i henhold til gjeldende lovverk. 8

10 Alle disse forholdene vanskeliggjør samordning av de kvalifiserte og ikke-kvalifiserte sertifikattypene i én PKI-modell slik situasjonen er i dag, men det kan være et steg i retning mot å samordne til én modell. Det er i dag derfor nødvendig å etablere to parallelle PKI-modeller: 1. Én PKI-modell som ivaretar de kvalifiserte sertifikatene (PKI-modell 1) 2. Én PKI-modell som ivaretar de ikke-kvalifiserte sertifikatene (PKI-modell 2) Figur 3 PKI-modellene for samordning av PKI-løsninger Disse modellene vil ivareta eksisterende investeringer, de normative målene og alle aktørene i sektoren. I tillegg vil løsningene kunne tilrettelegge for ytterligere skalering for bruk av helse-eid mot andre PKIinfrastrukturer. Sentrale redskaper for å understøtte samordningen vil være etablering av tiltrodde felleskomponenter for begge PKI-modellene. PKI-komponenter som er nødvendig å etablere (som også vist i Figur 3) er: 1. Et felles Public key directory (helse-pkd) - Valideringstjeneste for de kvalifiserte sertifikatene. 2. Én felles rot-ca - Sertifikatutsteder for de ikke-kvalifiserte sertifikater. 3. Én CRL/OCSP Felles tilbaketrekkingsliste for de ikke-kvalifiserte sertifikatene. 9

11 I tillegg til de tre foreslåtte PKI-komponentene, trenger man en fjerde komponent, som er det allerede etablerte Personregisteret (PREG). Disse fire komponentene vil sammen danne grunnlaget for å kunne identifisere helsepersonell på tvers av helse- og omsorgssektoren. Dette kan realiseres ved at felleskomponentene tilgjengeliggjøres i den nasjonale sikkerhetsinfrastrukturen for helse- og omsorgssektoren, som vist i Figur 4. I tillegg vil det være behov for å knytte den nye foreslåtte identifikator (HSP-nr) for alt personell i helse- og omsorgssektoren til den allerede etablerte felleskomponenten Personregisteret. Figur 4 Felleskomponenter som er sentrale i sikkerhetsinfrastrukturen for å kunne identifisere personell på tvers av hele helse- og omsorgssektoren. Mulige gevinster ved å samordne PKI i helse- og omsorgssektoren finner en med hensyn på styring, etablering og utbredelse av PKI-løsninger. Samordning innebærer både sentral styring og felles gitte krav. Gevinstene listes opp i disse to aksene. Dette fordi styring vil ha betydning for bedre ressursutnyttelse, effektivisering og reduksjon av kostnader, mens felles krav vil ha betydning med hensyn på interoperabilitet, styrken på sikkerhetsnivåene, mengde kompleksitet og antall integrasjonspunkter. Sannsynligvis vil de totale drift- og vedlikeholdskostnadene bli redusert ved etablering av færre ulike infrastrukturer. Gevinster ved å etablere én felles styring for PKI-modellene er: Enklere utbredelse av PKI for alle aktørene i sektoren, fordi alle rammebetingelser for bruk av PKI er avklart og gjort felles for hele sektoren. Det forenkler implementering for den enkelte virksomhet. Enklere tilretteleggelse for fremtidige politiske mål, fordi en felles PKI-modell vil legge til rette for én standardisert identifisering av helsepersonell som gjør det mulig å velge hensiktsmessige løsninger for tilgjengeliggjøring av helseopplysninger. Uavhengig av hvor opplysningene er lagret. Enklere prosess ved organisasjonsendringer, fordi én felles sikkerhetsinfrastruktur som sektoren ikke blir berørt når det er en overordnet PKI-modell istedenfor mange lokale organisasjonsavhengige PKI-modeller. Enklere konsolideringer av IT-systemer, fordi én felles sikkerhetsinfrastruktur forenkler endringer i de lokale IT-systemene som skal konsolideres. 10

12 Tilretteleggelse for én felles drift av PKI-komponenter, slik vi har for de andre registrene (felleskomponentene) som utgjør fundamentet i sikkerhetsinfrastrukturen. Tilretteleggelse for én felles identitetsforvaltning, slik at sektoren lettere kan tilrettelegge hensiktsmessige rutiner for registeringer, vedlikehold og oppdateringer for felles bruk av helseeid. Tilretteleggelse for felles innkjøp, anbud og avtaleforvaltning, slik at alle i sektoren har samme forutsetninger for å få de samme betingelsene. Det er for eksempel snakk om like investeringskostnader, samme løpende kostnader, effektive anbudsrunder. Det er enklere å kunne ta i bruk PKI-løsninger når det er tilrettelagt for enklere prosesser. Gevinster ved å etablere felles krav til PKI-løsningene er: Interoperabilitet mellom alle systemene. Etablering av felleskomponenter som understøtter tillitstjenester som autentisering og signering vil kunne tilrettelegge for felles PKI-løsninger. De bidrar til færre integrasjonspunkter, færre proprietære spesialløsninger og større sannsynlighet for at løsningene vil virke sammen på nasjonalt nivå. Økt tillit og sikkerhet som følge av bruk av felles og samme PKI-modeller. Dette bidrar til at den enkelte virksomhet ikke etablerer egne PKI-modeller som har lavere sikkerhet og dermed reduserer sikkerheten for hele sektoren fordi det samhandles på tvers i sektoren og med andre sektorer. Sikkerheten blir aldri sterkere enn det svakeste ledd. Redusert kompleksitet som følge av færre ulike løsninger og integrasjonspunkter. Dette vil bidra til å redusere risikoene for feil, og samtidig forenkle utbredelsen av PKI-løsningene. Økt tilgjengelighet for tillitstjenester ved å kreve etablering av PKI-komponenter direkte i helsenettet, for å sikre tilgjengeligheten av tjenestene uavhengig av tilgang til og trusler fra Internett. Dette i likhet med andre felleskomponenter i sikkerhetsinfrastrukturen som for eksempel adresseregisteret, helsepersonellregisteret, fastlegeregisteret og legestillingsregisteret. Enklere tilretteleggelse for at våre sektorkrav møter kommende krav fra EU-forordningen for eid og tillitstjenester. At skalerbarhet for bruken av de felles PKI-komponentene i sikkerhetsinfrastrukturen vil sikre at én helse-eid blir gyldig på tvers av PKI-infrastrukturer. Det betyr at en signert melding vil kunne verifiseres i en annen PKI-infrastruktur. Rapporten anbefaler å etablere én felles plan for PKI som sikrer en felles bevegelse mot målet om identifisering av personell i sektoren. Planen må kommuniseres til alle aktører slik at en vet når ulike aktiviteter kan finne sted. Det betyr at en slik plan vil måtte inneholde kortsiktige, mellomlangsiktige og langsiktige tiltak og leveranser. Planen vil kunne sikre en bedre styring og koordinering av PKI arbeidet. 11

13 IDENTIFISERING AV HELSEPERSONELL 12 Nåsituasjon og samordning av PKI-løsninger

14 1 INNLEDNING En sektor som består av små og store virksomheter som deler arbeidsflyt som går på tvers av helseog omsorgssektoren har behov for god og koordinert samhandling på tvers av virksomhetene. Behovet har økt i takt med at sektoren har endret fokus i større grad til funksjonsfordeling, bruk av pakkeforløp, fritt behandlingsvalg og mer ressurssterke pasienter som setter økte krav til koordinerte helsetjenester. Det legger føringer på behovet for å identifisere helsepersonell som grunnlag for sikret tilgang til helseopplysninger for personell med tjenstlige behov. PKI-infrastruktur er et bidrag til å løse skaleringsproblemene knyttet til å identifisere og spore helsepersonell som skal ha tilgang til helseopplysninger på tvers av virksomhetsgrenser. Det finnes ingen realistiske alternativer til PKI for å ivareta nødvendig tillitsnivå og krav til sporbarhet på tvers av virksomheter i en så omfattende sektor. Rapporten beskriver nåsituasjonen for PKI i sektoren og hvordan en samordning av PKI-løsningene kan muliggjøres gjennom felles krav og felles styringslinjer. Rapporten vil belyse ulike muligheter som PKI muliggjør og understøtter [5]: 1. Sterk autentisering på tvers av virksomhetsgrenser PKI-basert eid kan benyttes til autentisering av personell til mange IT-systemer og tjenester på tvers av virksomhetene. Autentisering er ikke en mekanisme i tilgangsstyringen, men tilgangsstyring fordrer at autentiseringen er gjennomført før en kan gi tilgang til informasjonen. 2. Sporbarhet på tvers av virksomhetene PKI-basert eid gjør det mulig å skape en sikker knytning (sporbarhet) mellom handlinger og den personen som har utført handlingene. Ved tilgang til eller endring av helseopplysninger må en loggføre hvem som har utført en gitt handling. Da må det finnes en unik personidentifikator som entydig identifiserer personen på tvers av virksomhetene og PKI-infrastrukturene i sektoren. 3. Digital signatur PKI er den eneste teknologi som muliggjør en juridisk bindende digital signatur på dokumenter som e- resept, legeoppgjør, sykemelding og lignende. 4. Samordnet identitetsforvaltning En felles identitetsforvaltning som skissert i vedlegg 3, vil kunne forvalte opplysninger knyttet til personell på en enklere og mindre kostnadskrevende måte for den enkelte virksomhet. Det gjelder både i daglig drift og ved behov for å gjennomføre organisasjonsendringer i sektoren. Identifisering av helsepersonell 13

15 5. Enklere mobilitet for helsepersonell Med en felles forvaltning av elektronisk identitet for personell i helsesektoren vil man få én helse-eid som kan benyttes i flere typer ansettelsesforhold. Det forenkler forvaltning ved bytte av jobb, ved flere ansettelsesforhold eller for ambulerende fagteam. Dette muliggjør enklere mobilitet, både ansettelsesmessig og geografisk. 6. Sikker meldingsutveksling Med Adresseregisteret som en felleskomponent i sikkerhetsinfrastrukturen tilgjengeliggjøres adressene og virksomhetssertifikatene for alle virksomheter som er tilknyttet helsenettet. Dette muliggjør sikker utveksling av meldinger mellom virksomhetene i sektoren. Vi gjør oppmerksom på at rapporten vil ikke omhandle meldingsutveksling, men bruk av virksomhetssertifikater. 7. Mindre tidsbruk ved pålogging til mange fagsystemer Bruk av smartkort med eid og PIN-kode kan oppleves mer brukervennlig og mindre tidkrevende enn å taste inn både brukernavn og passord. Dette gir også mulighet for sikre single-sign-on løsninger som forenkler tilgang til mange IT-systemer, også på tvers av virksomhetsgrenser. Det betyr at en logger seg på én gang til mange systemer. At brukeren med dette slipper å logge inn på nytt til alle systemer og applikasjoner er et stort framskritt innen brukervennlighet. 8. Bedre understøttelse av mobilitet i arbeidsprosessene Kombinasjonen av PKI og single-sign-on gjør det mulig for brukeren å forflytte seg fra en arbeidsstasjon til en annen og fortsatt bevare sesjonene. Det betyr at brukeren trekker ut smartkortet, setter det inn på ny arbeidsplassen og taster PIN-kode, får opp igjen samme sesjon og kan enkelt fortsette der han slapp. Dette er også et stort pluss for pasientsikkerheten ved at det reduserer risikoen for forglemmelser og feil. 9. Flere formål knyttet til eid Dersom eid-en er lagret på et smartkort, legger en til rette for en samordning også for andre anvendelser av kortet, som fysisk ID-kort, adgangskontroll til lokaler og materiell, utskrift og småpengebetaling. PKI-komponenter er helt sentrale deler av en sikkerhetsinfrastruktur for å kunne understøtte identitetsog tilgangsstyring på tvers av virksomhetsgrenser. Det er helt avgjørende å ha en etablert tillitsmodell hvor slike komponenter er tiltrodd på nasjonalt nivå, og i tillegg til å ha gode rutiner og felles krav til PKIløsninger. Som minimum er det nødvendig å stille felles krav til PKI-løsninger. Kravene må ivareta målene: Sikker utstedelse av helse-eid Sikker og effektiv validering av helse-eid Felles forvaltning Sikkert og robust driftsmiljø Felles avtaleverk og sertifikatpolicyer Felles integrasjonsløsninger Det andre som må etableres og iverksettes er felles styring for samordning av PKI. Det er også nødvendig å entydig avklare hvem som skal ha ansvar for en slik samordning og hvilke virkemidler som skal benyttes. 14 Nåsituasjon og samordning av PKI-løsninger

16 2 BEHOV OG MÅL FOR Å SAMORDNE PKI Forstudien [5] beskriver overordnet hvordan en behovsanalyse kan sikre at de beskrevne behovene gjenspeiler samfunnets virkelige behov, slik at valg av løsninger vil bidra til å oppfylle helse- og omsorgssektorens oppgaver i samfunnet. Denne rapporten vil fokusere på hvordan behovet om at helsepersonell og annet personell kan entydig og sikkert bli identifisert for å kunne utføre en tilgangsstyring. Dette kapitlet gir et kort sammendrag om de normative behovene og målene som beskrevet i forstudien,, og hvilke behov og mål det er for å samordne PKI-løsninger for å kunne understøtte tilgang til helseopplysninger. 2.1 Normative behov for tilgang til pasient- og brukeropplysninger Det er behov for at informasjonsdelingen i sektoren understøtter nødvendige arbeidsprosesser mellom partene som skal samhandle. Det betyr i praksis en mer dynamisk deling av informasjon enn dagens utlevering av kopi av informasjon til enkelte parter. Det er denne dynamiske delingen av informasjon, det vil si tilgang til informasjon, som forstudien [5] har analysert og utredet. De politiske mål beskrives i: Stortingsmelding nr. 9: Én innbygger én journal [1] Stortingsmelding nr. 10: God kvalitet trygge tjenester [2] Stortingsmelding nr. 11: Personvern utsikter og utfordringar [3] Dagens situasjon for utlevering av informasjon utføres med ende-ende kryptering ved bruk av virksomhetssertifikater. For det fremtidige behovet for tilgang til informasjon mellom virksomhetene har forstudien [5] utredet bruk av nasjonale identitets-, autorisasjons- og personvernkomponenter. Det er i prinsippet tre overordnende alternativer for identitets- og tilgangsstyring på tvers av virksomheter (se vedlegg 2 for utdypning av arkitekturer): 1. Brukeren/helsepersonell blir registrert i IT-systemet som gir tilgang. 2. Bruk av virksomhetssertifikat for å autentisere virksomheten der personellet er ansatt. Det betyr at tilliten er basert på virksomheten og at personellet kan være autentisert lokalt. 3. Helsepersonell bruker personsertifikat for å autentisere seg på et IT-system utenfor sin egen virksomhet. Det betyr at tilliten er basert på person. Det er alternativ 1 og 2, personsertifikater og virksomhetssertifikater som er fokus i det videre arbeidet. Vi vil se nærmere på dagens situasjon for PKI, og hvilke krav som må til for å sikre entydig og sikker identifisering av personell som skal ha tilgang til pasient- og brukeropplysninger. Identifisering av helsepersonell 15

17 2.2 Samordningsbehov for PKI For å kunne ha en PKI-infrastruktur som er robust og kan fungere i et organisasjonslandskap i konstant endring vil det være behov for å løsrive infrastrukturen fra de enkelte organisatoriske enhetene i sektoren og ivareta det på et overordnet nivå. Dette krever felles krav og styringslinjer. Felles krav til PKI-løsninger skaper både uavhengighet til PKI-leverandørene og gjør at virksomhetene i sektoren etablerer like PKI-løsninger som vil virke sammen. Uten denne form for samordning er det en klar risiko for at virksomhetene i sektoren etablerer egne PKI-løsninger som ikke vil virke sammen. 2.3 Mål og krav for PKI-løsninger For å stille felles krav til PKI-løsninger er det nødvendig å forankre de i overordnede mål for organisering og etablering av PKI, slik at en får lik anvendelse av PKI-løsningene. De overordnede målene er: Sikker utstedelse av digitale sertifikater (både for person (eid) og virksomhet) Sikker og effektiv validering av digitale sertifikater Felles avtaleverk og sertifikatpolicy Felles identitetsforvaltning og organisasjonsforvaltning Sikkert og robust driftsmiljø Felles integrasjonsløsninger Disse målene er beskrevet nedenfor og vil være en del av vurderingene i det som analyseres i kapittel 6 for å foreslå hvilke tiltak som bør iverksettes for å nå disse. Kravene må være i henhold til gjeldende lovverk og kravspesifikasjon, samtidig som det ivaretar sektorens behov. 1. Sikker utstedelse av digitale sertifikater (både for person(eid) og virksomhet) For å oppnå sikker utstedelse av de digitale sertifikatene er det nødvendig at alle sertifikatutstederne har felles rutiner, prosedyrer og krav til: a. Utlevering og oppmøte b. Lagring av privat nøkkel c. Unik identifikator d. Opplysninger knyttet til sertifikatet Det vil være forskjellige krav til utstedelse av digitale sertifikater som anvendes for personer versus virksomheter. Dette fordi det er ulike behov og bruk av sertifikatene. Vi vil derfor omhandle dem separat i teksten nedenfor. 16 Nåsituasjon og samordning av PKI-løsninger

18 Personsertifikater/eID: a. Utlevering og oppmøte: Det viktigste ved utstedelse av en eid er at den knyttes til rett fysisk person. For å oppnå dette ivaretas det gjennom felles krav til hvordan man registrerer seg for å få utstedt digitalt sertifikat. Det kan være fysisk oppmøte på et lokalt registreringskontor (ofte omtalt som id-kontor) eller via postens tjeneste for personlig utlevering mottaksbevis (PUMtjenesten) hvor en må vise til gyldig legitimasjon. b. Lagring av privat nøkkel: Styrken i sikkerheten til de digitale sertifikatene ligger i den private nøkkelen og hvordan denne lagres (eks på smartkort som har en hardware modul eller en meldingsterminal som er en programvaremodul). I dag benyttes ofte smartkort som eid-bærer. Det er anvendbart for PC-er med kortlesere og for å legge til andre funksjoner som utskrift, adgangskort etc. I tillegg til dette er det behov for å bruke mobile enheter som mobiltelefon og nettbrett. c. Unik identifikator: I forstudien argumenteres det med at det i realiteten ikke finnes noen realistiske alternativer til PKI-basert eid for å ivareta krav til tillitsnivå og sporbarhet på tvers av virksomheter. For å oppnå en slik entydig sporbarhet av personer på tvers av virksomheter er det behov for en unik identifikator av personer som er entydig mellom virksomheter og PKIinfrastrukturer. d. Opplysninger knyttet til sertifikatet: Det må registreres samme type informasjon om eier av sertifikatet. Dersom det er ulike type data som registreres kan det for eksempel bidra til at en ikke har tilstrekkelig informasjon om vedkommende ved sporbarhet i systemer og virksomheter. Virksomhetssertifikater: a. Utlevering og oppmøte: Den enkelte virksomhet kan bestille og gjøre direkte kjøp hos PKIleverandørene. Det er krav til å registrere organisasjonsnummer i Brønnøysundregisteret for å få utlevert virksomhetssertifikater. b. Lagring av privat nøkkel: De fleste lagrer virksomhetssertifikatene på meldingstjenerne, det vil si at den private nøkkelen er implementert i programvare (software). c. Unik identifikator: Der benyttes det organisasjonsnummer i dag. Dersom tilgang skal gis på basis av tillit mellom virksomheter, bør det være mulig å identifisere faglig kontekst for tilgangen. Det betyr i praksis enhetsnivå. d. Opplysninger knyttet til sertifikatet: I henhold til punkt c må det vurderes om det skal registreres ytterligere informasjon i virksomhetssertifikatene. 2. Sikker og effektiv validering av sertifikatene (både for person(eid) og virksomhet) Digitale sertifikater må valideres ved bruk for å sjekke gyldighet av sertifikatet og gyldighet for formålet det brukes til. En validering skjer ved at det utveksles informasjon om sertifikatet mellom en valideringstjeneste og aktøren som tilbyr tjenesten sertifikatet skal benyttes i. En viktig egenskap ved slik digital validering er at det ikke utveksles personopplysninger, men kun opplysninger om selve sertifikatet inklusiv dets gyldighet. Identifisering av helsepersonell 17

19 3. Felles avtaleverk og sertifikatpolicyer For å etablere og organisere PKI, er det regulert gjennom følgende dokumenter: Sertifikatpolicy Avtaleverk Sertifikatpolicy er et overordnet dokument som beskriver betingelser knyttet til hvem som kan få en eid, hva eid-en kan brukes til, aktørenes ansvar, krav til prosesser for utstedelse og tilbakekalling og sikkerhetskrav til alle deler av PKI-en. Dette er det styrende dokumentet for en PKI. Det er CA som eier sertifikatpolicy og som er ansvarlig for at denne oppfylles. Det er sertifikatpolicy som definerer sikkerhetsnivå (kvalitet) av tillitstjenester (autentisering, signering etc.). CA er også ansvarlig for eksplisitte avtaleforhold knyttet til en PKI, for eksempel brukeravtaler som regulerer brukernes ansvar og brukerstedsavtaler som beskriver betingelser for å ta i bruk eid-ene for eksempel til autentisering mot en tjeneste. De nødvendige avtaleverk som trengs er brukeravtaler, RA-avtaler, sertifikatpraksis og policyer for PKI og driftsavtaler. 4. Felles identitetsforvaltning og organisasjonsforvaltning Identitetsforvaltning av PKI-basert eid består av flere funksjoner som må organiseres og utføres med tilstrekkelig sikkerhet. Det er gitt en god oversikt i forstudien [5] over de funksjoner som er i livssyklusen til en PKI-basert eid, vedlegg 3 viser denne oversikten. Tilsvarende må det gis god oversikt over de funksjoner som er i livssyklusen til virksomhetssertifikater, slik at en kan få en felles organisasjonsforvaltning for sektoren. 5. Sikkert og robust driftsmiljø Felles drift av infrastruktur er en god og utbredt måte å sikre stabilitet og samtidig kunne hente ut andre synergieffekter som stordriftsfordeler, enklere anbudsprosesser og enklere styringsstruktur. 6. Felles integrasjonsløsninger Det er behov for å ha færrest mulig ulike integrasjonsløsninger mellom fagsystemer og eid-bærere, tillitstjenester og PKI-komponenter. Det samme gjelder med hensyn til lokale nettverkstilpasninger. Mange integrasjonsløsninger mot ett og samme formål øker kompleksiteten med påfølgende antall faktorer som kan feile, samtidig som det gir økte kostnader. Kompleksiteten vil bli redusert ved å standardisere på grensesnittene for å oppnå felles integrasjonsløsninger. I dag benyttes smartkort som den fysiske bæreren for personsertifikater, dette vil kreve utstyr og programvare knyttet til fagsystemene. Slike grensesnitt bør standardiseres for å unngå at det blir flere grensesnitt i fagsystemet. Behovet for å standardisere grensesnitt vil også gjelde alle andre typer eidbærere som nettbrett, mobiltelefon, USB. For tillitstjenester som autentisering og signering er det behov for å standardisere på protokollnivå. Det vil si at en bør ha standardiserte autentiseringsløsninger eller signeringsløsninger som alle fagsystemer og PKI-leverandører kan implementere med minimale lokale tilpasninger. 18 Nåsituasjon og samordning av PKI-løsninger

20 3 NÅSITUASJON I forstudien [5] ble det gjennomført en kartlegging av status for bruk av PKI i sektoren, i denne fasen er det gjort en grundigere kartlegging gjennom en spørreundersøkelse [25][26] og bilaterale møter med sektoren for å se på nåsituasjonen og behovet for samordning av PKI-løsninger. Det er kartlagt hva som er etablert og planlegges, hvilke avtaler og sertifikatpolicyer som gjelder, bruk og anvendelse, kostnader og effekter (ressursbruk, kompetanse, sikkerhet etc.) og hvilket behov sektoren har for å samordne PKIløsninger. Dette kapitlet viser en oversikt over nåsituasjonen og neste kapittel vil vise behovet for samordning. I Tabell 2 er det en oversikt over de ulike sertifikattypene som de ulike aktørene i sektoren benytter. Interessenter Kvalifisert person sertifikat Ikke-kvalifisert personsertifikat Virksomhets sertifikat Helse Sør Øst x x x HelseVest x x x Helse Nord x - x Helse Midt-Norge x x x Folkehelseinstituttet - - x NAV - - x Norsk helsenett SF x x x Trondheim kommune x x x Oslo kommune x x x Helsedirektoratet 2 x - x Tabell 2 Oversikt over bruken av kvalifiserte personsertifikat, ikke-kvalifisert personsertifikat og virksomhetssertifikat 3.1 Kvalifiserte sertifikater (PKI-basert eid) Kvalifiserte sertifikater er definert i e-signaturloven [11], hvor det her stilles krav til kvalifiserte sertifikater. Begrepet «kvalifisert sertifikat» er i utgangspunktet knyttet til bruk for «avansert/kvalifisert elektronisk signatur». I Norge er det etablert praksis gjennom «Kravspesifikasjon for PKI i offentlig sektor»[14] å bruke «kvalifisert» for alle sertifikater, også for autentisering og kryptering. Det gjøres oppmerksom på at EU-forordningen for eid og tillitstjenester [12] vil påvirke e-signaturloven, enten måtte revideres eller oppheves dersom forordningen skal implementeres i norsk rett [13]. 2 Avtale inngått mellom Buypass og Helsedirektoratet ved bruk av e-resept har Statens legemiddelverk, Apotekene v/apotekerforeningen, Bandasjistene ved Bandasjistenes næringspolitiske forening måtte anskaffe kvalifiserte sertifikater og virksomhetssertifikater. Disse tre aktørene har ikke deltatt i spørreundersøkelsen Identifisering av helsepersonell 19

21 Dagens situasjon for kvalifiserte sertifikater i helsesektoren er kjøp i markedet. Det er to leverandører som pr i dag leverer PKI-løsninger til sektoren, det er hhv Commfides og Buypass. I tabellen nedenfor er det en oversikt over avtaleparter, antall registreringsenheter (RA) og kvalifiserte sertifikater, driftsoperatører og forvaltningsorgan som er basert på data fra spørreundersøkelsen. Interessenter Avtalepart(er) Antall (L)RA Helse Sør Øst Ahus-avtalen Difi-avtalen Commfides Antall kvalifiserte sertifikat pt Driftsoperatør Buypass HF ene Commfides HelseVest Atea Buypass HelseVest IKT Helse Nord Buypass Buypass Helse Nord IKT Helse Midt-Norge Buypass Ahus-avtalen Hemit NHN Ahus-avtalen Buypass NHN Trondheim Integrasjon- og 35 pt Buypass kommune sikkerhetsavtale 8 (estimert:15000 i Steria 2015) (ca 300 p.t) Buypass Ahus 3 Commfides Buypass HelseVest IKT Buypass Buypass Hemit Buypass NHN Buypass Rådmannen i Trondheim kommune Oslo kommune Helse-etaten Buypass Tabell 3 Oversikt over anskaffelsesforhold, drift- og forvaltning for kvalifiserte sertifikater hos de ulike aktørene Bruk og anvendelse Pr i dag benytter sektoren kvalifiserte sertifikater til autentisering og signering av ulike typer meldinger, det er kun kjernejournal som benytter autentisering med kvalifiserte sertifikater. For elektronisk signering er det et større volum meldinger som benytter kvalifiserte sertifikater, vist i Tabell 4. NAV mottok signerte meldinger i 2014 [33], i tillegg ble det forskrevet ca e- resepter pr døgn [36]. I Tabell 4 er det en oversikt over volum av signerte og autentiserte meldinger som benyttet kvalifiserte sertifikater i I tillegg benytter Norsk Helsenett kvalifiserte sertifikater til autentisering av driftstilgang, og signering av e-post og dokumenter, for eksempel utlegg, refusjon [31]. Frikort Søknad M2 Oppgjør M18 Personlig signatur Autentisering Tabell 4 Volum av signerte og autentiserte meldinger med kvalifiserte personsertifikater i e-resept ca millioner 4 Forvaltningsorgan Sykmelding Legeerklæring Trekkinnmeld. Kjernejournal ca Forvaltningen gjelder kun for Buypass sertifikatene. Sertifikatene fra Commfides er ikke tatt i bruk ennå. 4 Estimert ut fra at det er e-resepter pr døgn [36] 5 Estimert ut fra at det er ca 1500 oppslag pr måned [36] 20 Nåsituasjon og samordning av PKI-løsninger

22 I dag benyttes det smartkort som eid-bærer, det kan gi både god brukervennlighet og sterk sikkerhet [6]. Det er flere av aktørene som benytter smartkortet til andre funksjonaliteter som; Fysisk ID-kort med informasjon om personen og gjerne bilde, nøkkelkort til bygninger/dører, betaling i kantine, overblikkstavler (eks IMATIS visi), medisinskteknisk utstyr (mulig aktuelt i Østfold) og tøyskap (St.Olav). Samtidig som det er påpekt fra flere aktører at det er behov for mer praktiske løsninger enn smartkort, da det er lite utstyr som har smartkortlesere. Blant annet er det et stadig økende ønske om sikker autentisering fra mobile enheter som smarttelefon og nettbrett uten kortleser. I tillegg er det flere som beskriver utfordringer som er knyttet til glemt kort, mistede kort, åpningstid og avstander til RA-kontorer, lånekort og høye kostnader. Det er mange ansatte, turnus, ikke samlokalisert, mange involverte infrastrukturer, mange regler, ansvarsforhold og kontrakter. Helse Sør-Øst [27] Helse Sør Øst har påbegynt utrulling av kvalifiserte sertifikater fra Commfides, og det planlegges å utstede 7000 innen utgangen av Tallene kan drives opp ved bruk av kjernejournal og andre tjenester som for eksempel fjerninnlogging. I tillegg til de allerede eksisterende sertifikatene fra Buypass. DIPS e-resept er innført på tre helseforetak. Helse Vest [28] Helse Vest benytter kvalifiserte sertifikater til både autentisering og signering, henholdsvis kjernejournal, og signering av e-resept og dokumenter/vedtak til NAV. De blir stadig utfordret på bruk av smartkort som bærer av disse sertifikatene. Det er stadig økende ønske om sikker autentisering fra mobile enheter som smarttelefon og nettbrett uten kortleser. I tillegg til større enheter som tavler/elektroniske whiteboards. Helse Nord [29] Helse Nord benytter kvalifiserte sertifikater til signering av e-resept og regner med at det vil bli skrevet ut ca e-resept årlig når dette er implementert (tidligst i 2015). Helse Nord ser for seg at det kan være flere funksjoner på et og samme kort innen et foretak, men at de ulike foretakene vil ha sitt kort med sine funksjoner. Blant annet er det ulike adgangssystem hos de ulike foretakene. Helse Midt-Norge [30] Kvalifiserte sertifikater vil bli brukt til signering av e-resept (ikke sykemelding foreløpig). Det forventes at alle HF skal ta dette i bruk i for bindelse med e-resept og nasjonal kjernejournal. Det er behov for andre, mer praktiske, bærere enn smartkort. Det er lite utstyr som har smartkortlesere, det er derfor ønske å kunne ta i bruk andre teknologier så som virtuelle smartkort og bærere med NFC (near field communication). Norsk Helsenett [31] Norsk Helsenett benytter kvalifiserte sertifikater til autentisering av driftstilgang. I tillegg benyttes det til signering av e-post og dokumenter som for eksempel utlegg og refusjoner. Identifisering av helsepersonell 21

23 Trondheim kommune [34] Benytter kvalifiserte sertifikater til signering av e-resept og autentisering mot kjernejournal. Det forventes økning av autentisering på sikkerhetsnivå 4 mot fagapplikasjoner ( ), hvor dette vil anslagsvis gjelde ansatte av totalt Oslo Kommune [35] Benytter kvalifiserte sertifikater til signering og autentisering. Det vil være behov for å signere e-resept på legevaktene og autentisering mot kjernejournal. I tillegg vil det være et behov for leger som jobber på sykehjem, men dette er foreløpig ikke en integrert del av EPJ i PLO som leger på sykehjem benytter Organisering og etablering 1. CA-komponenten Det er selve PKI-leverandøren som er eier og er ansvarlig for sertifikatutstedelsen, det vil si selve CAkomponenten (se ytterligere utdypning i vedlegg 1). Det innebærer at PKI-leverandørene har utarbeidet sertifikatpolicyene som aktørene forholder seg til. 2. Status- og tilbaketrekkingskatalog (CRL/OCSP - komponent) Alle aktører som skal validere signatur eller pålogging ved bruk av kvalifisert personsertifikat må kunne validere signaturen gjennom å ha tilgang til PKI-leverandørenes revokeringslister. Publiseringen av CRL/OCSP skjer via helsenettet slik at det er tilgjengelig for alle aktører tilknyttet helsenettet. Buypass har egen front som er publisert direkte i helsenettet. Commfides jobber med å få en tilsvarende løsning på plass. 3. RA-komponent Den enkelte aktør har flere registreringskontorer (RA-er) hvor en kan møte opp personlig og registrere seg og hente sertifikatet. En benytter også posten sin PUM-tjeneste for å få utstedt kvalifiserte sertifikater. De fire RHF-ene har etablert flere lokale (L)RA kontorer i sin region, i tillegg til mobile RA-kontorer for å nå virksomhetene. Rutiner og policyer er basert på leverandørens rutiner og policyer for RA-funksjonen. Helse Sør-Øst [27] I kjøpsavtalen med Commfides er det forpliktet etablering av 25 stasjonære LRA kontorer og 5 mobile. Det er i dag etabler 9 LRA stasjoner, hvorav 7 er i produksjon. Det er e-resept som har bidratt til etablering av LRA funksjoner i regionen. Per november 2014 var det 900 leger på Ahus som hadde fått utstedt kvalifiserte sertifikater fra Buypass. Per utgangen av september 2015 er det utstedt ca 400 kvalifiserte sertifikater fra Commfides. Det er planlagt å utstede 7000 sertifikater innen utgangen av Helse Vest [28] Det er 17 LRA-er fordelt på 15 lokasjoner. Det er utstedt 3000 kvalifiserte sertifikater, i all hovedsak til leger for å signere e-resept. Det antas en økning ved bruk av kjernejournal, hvor alle som har bruker i DIPS må ha nivå 4-eID. 22 Nåsituasjon og samordning av PKI-løsninger

24 Helse Nord [29] Det er ikke fastsatt hvor mange LRA kontorer som skal etableres. I besvarelsen er det antatt minimum fire, ett per foretak, eller maksimum 11, ett per sykehus. Det mest sannsynlige behov er 11, ett per sykehus. Det vurderes også å bruke PUM-tjenesten(posten) for utsendelse, men her kan det være utfordringer knyttet til utenlandske leger som ikke har bostedsadresse i Norge. Helse Nord har en del utenlandske leger. Videre er det 70 ansatte som har fått utstedt personlig sertifikater. Totalt er det sykehusleger i regionen. Helse Midt-Norge [30] Det er pt ett RA-kontor (2 stasjoner) som kan utstede kvalifiserte sertifikater, men alle andre LRA kontor (8) er klargjort for utstedelse. Det er ca 200 ansatte som har fått utstedt kvalifisert sertifikat, og totalt er det ca 1200 leger i helsemidt ikke tatt med de som jobber i psykiatri eller radiologi. Norsk Helsenett [31] Har ingen LRA tjeneste, men benytter posten sin PUM-tjeneste. Det er ca 155 personer som har fått utstedt kvalifisert sertifikat. Trondheim kommune [34] Det er bestilt 5 LRA-er og etablert 3 pr 15.12/14. Det er 35stk kvalifiserte pr 14.nov.14. Det var forventet økning til ila 2015, men utgangen av september er det reelle tallet 300. Oslo kommune [35] Det er etablert 6 LRA kontorer Det er utstedt 500 kvalifiserte personsertifikater Avtaleverk og sertifikatpolicyer Det er i dag inngått avtaler om utstedelse av kvalifisert sertifikat med to ulike leverandører av sertifikater, hvor det er utarbeidet totalt seks avtaler for disse formålene. Det er: Helse Øst Avropsavtale 6783 Sertifikater (PKI) til ansatte (omtales som Ahus-avtalen) Avtale med Commfides [27] Avtale med Atea og underleverandør Buypass [28] Avtale med Buypass [29] Integrasjon- og sikkerhetstjeneste (IS)-avtale (ved Trondheim kommune) [34] Rammeavtale for kjøp av e-id nivå 4 («Person-Høyt» sertifikater) (omtales som Difi-avtalen) 1. Avtale med Buypass Flertallet av RHF ene og de to kommunene som deltok ifbm spørreundersøkelsen har inngått avtale med Buypass. For flere av disse virksomhetene har kvalifiserte sertifikater fra Buypass anskaffet via en annen leverandør. For eksempel har Helse Vests leverandør Atea benyttet Buypass som underleverandør [28], og på denne måten har Helse Vest gått til anskaffelse av kvalifiserte sertifikater fra Buypass. Det samme gjelder Trondheim kommune som benytter en IS-avtale med Evry [34], med opsjon på kvalifiserte sertifikater fra Buypass. Identifisering av helsepersonell 23

25 Hos Helse Sør-Øst er det kun Ahus som benytter kvalifiserte sertifikater fra Buypass. Det var Ahus som inngikk rammeavtalen, kalt Helse Øst Avropsavtale 6783 Sertifikater (PKI) til ansatte. Før rammeavtalen utløpte , benyttet både Helse Midt og Oslo legevakt seg av avrop på denne avtalen. Både Oslo kommune og Helse Nord har inngått «selvstendig» avtale med Buypass for utstedelse av kvalifiserte sertifikater. Helse Nord inngikk avtale med Buypass etter en direkte anskaffelse i forbindelse med etablering av e- reseptløsningen. I konkurranseutlysningen er det tydelig beskrevet at behovet foreligger i det man ser behov for elektronisk signatur av melding som e-resept. Videre er det henvist til at e-reseptfunksjonaliteten i EPJ-systemet til DIPS kun støtter Buypass og at det da ikke på tidspunktet konkurransen ble utlyst var åpnet opp for andre leverandører. Felles for avtalene som er standard utformet av Buypass, regulerer regler/policyer og vilkår som virksomhetene plikter å forholde seg til. For eksempel hvilke ansvar og plikter virksomheten har, herunder pålagt å utarbeide en instruks for personell som innehar rollene RA-admin og LRA-operatør, å gi ansatte opplæring før tilgang gis til å utføre RA-admin rolle mv. Det er også nedfelt generelle avtalevilkår som taushetsplikt, sikkerhetsbestemmelser, mislighold mv. Virksomhetene som inngår avtale med Buypass må selv sørge for å etablere tilbakekallingsregler, håndtere begrensninger for bruksområder, bestille og utstede sertifikater mv. Helsedirektoratet har også inngått avtale med Buypass i forbindelse med etableringen av løsningene e- resept og nasjonal kjernejournal. Løsningen for e-resept benytter i dag en kjøpsavtale med Buypass som ble inngått under avropsavtalen 6783 Sertifikater (PKI) som er inngått mellom Helse Sør-Øst v/ahus og Buypass fra Kundene i avtalen er ikke bare Helsedirektoratet, men også Statens legemiddelverk, Apotekene v/apotekerforeningen, Bandasjistene ved Bandasjistenes næringspolitiske forening og NAV. Avtalen omfatter: SLA, både tilgjengelighet og oppetid. Tilgang til valideringstjenester som OCSP og CRL. Status- og katalogtjenester tilgjengeliggjøres i helsenettet. For løsningen nasjonal kjernejournal har Helsedirektoratet inngått en brukerstedsavtale og en abonnementsavtale med Buypass. Førstnevnte avtale gir Helsedirektoratet tilgang til Buypass sine autentisering- og signeringsprotokoller. Tjenestene integreres mot Helsedirektoratets forretningssystem gjennom Buypass sitt proprietære grensesnitt. Dette gjelder løsningen som kalles Buypass access. 2. Avtale med Commfides Helse Sør-Øst er den eneste av de regionale helseforetakene som har inngått avtale om kvalifiserte sertifikater med Commfides. Unntaket gjelder, som nevnt ovenfor, for Ahus som benytter Buypass. Avtalen med Commfides er basert på en regional anskaffelse [27], hvor Helse Sør-Øst ønsket PKI-basert eid som ville legge til rette for signering av e-resept, samt for en videreutvikling av eksisterende infrastruktur slik at man kan ta i bruk nye tjenester som nasjonal kjernejournal etc. Det var i tillegg ønskelig å kunne knytte sertifikatbæreren til fysisk adgangskontroll o.a slik man i dag har på Ahus. 24 Nåsituasjon og samordning av PKI-løsninger

26 På bakgrunn av opplysninger fra Helse Sør-Øst, er det PKI-leverandøren som stiller krav/policyer til sikkerhet. 3. Rammeavtale om kjøp av e-id nivå 4 («Person-Høyt» sertifikater) med Difi Difi har inngått avtale med både Buypass og Commfides for leveranse av sertifikater på nivå 4 med tilhørende tjenester. Rammeavtalen gir Difi anledning til å tildele kontrakter innenfor rammeavtalen, men de er ikke forpliktet til å kjøpe en bestemt mengde sertifikater eller tjenester i rammeavtaleperioden. Tildeling gjennom rammeavtalen omfatter Difi og alle offentlige virksomheter og etater (statlige og kommunale) som har Samarbeidsavtale med Difi om bruk av ID-porten. De virksomheter som kan benytte seg av rammeavtalen inngår en selvstendig avtale med leverandøren. Opphør av rammeavtalen har ingen innvirkning på avtaler som er tildelt under rammeavtalen før opphørstidspunktet, og disse kontraktene kan ha en varighet ut over rammeavtalens varighet. (Rammeavtale om kjøp av eid nivå 4 mellom Difi og Commfides Norge AS, og mellom Difi og Buypass AS, 15/11/2012). Fordelen med denne avtalen er at Difi har fremforhandlet gode vilkår for de virksomheter som ønsker å benytte seg av avtalen, i stedet for at disse virksomhetene selv må inngå og fremforhandle gode vilkår med leverandør. Ulempen med denne rammeavtale er at avtalen ikke ivaretar LRA-funksjonen og forhold rundt behov for vedlikehold [29]. Det vil si at selve PKI-infrastrukturen må være etablert for å kunne gjøre avrop på sertifikater og forvaltningsrutinen må være på plass. Dette har for eksempel Ahus kunnet gjøre da de allerede har en PKI infrastruktur på plass. Da har de kunnet gjøre avrop på kun kjøp av sertifikater [27] Drift og forvaltning 1. Drift Det er flere driftsoperatører som inngår i drift av en PKI-infrastruktur i helsesektoren. Det er PKIleverandørene, HF-ene, kommunene og Norsk Helsenett. Fordelingen av oppgavene er i all hovedsak slik: PKI-leverandørene drifter sertifikatutsteder (CA-komponenten) og katalog- og tilbaketrekkingslister. Det enkelte RHF, kommune eller virksomhet drifter RA-kontoret og de funksjoner som er en del av registreringsenheten. Norsk helsenett drifter nødvendige systemer for å tilgjengeliggjøre statustjenester i helsenettet, for eksempel OCSP eller CRL. Ingen av besvarelsene har oppgitt at NHN drifter deler av PKI-infrastrukturen. Alle som er tilkoblet helsenett og bruker PKI-tjenestene i dag er avhengig av at statustjenestene for validering av sertifikatene er tilgjengelige via helsenettet. Statustjenestene fra PKI-leverandørene leveres ulikt, og følgende løsninger finnes i dag: Buypass har som standard sine statustjenester tilgjengelig på Internett. Disse er beskyttet i forkant av en frontend-tjeneste. Buypass har i tillegg valgt å opprette en dedikert frontend publisert i helsenettet for å øke tilgjengelighet i helsenettet. Frontenden er en tjener/portal som har til hensikt å beskytte statustjenster. Et angrep mot statustjenestene fra Internett vil bli håndtert av frontend-tjenesten. Selve statustjenesten vil fortsatt være oppe og tilgjengelig ved hjelp av de andre frontend-tjenestene. Dette er en viktig oppgave som en del av 24/7 tjeneste i sektoren. Identifisering av helsepersonell 25

27 Commfides har som standard sine statustjenester kun publisert og tilgjengelig på Internett. I forbindelse med skalering for økte krav i henhold til økt kritikalitet på grunn av kjernejournal pågår det arbeid for å få et dedikert publiseringspunkt for helsenettet i likhet med Buypass. For at dette skal fungere etter hensikten kreves det at Norsk Helsenett oppretter og vedlikeholder tilpasninger i helsenettet. Det gjelder blant annet tjenesten for navneoppslag i helsenettet. 2. Forvaltning Det er ikke utarbeidet felles identitetsforvaltning (som beskrevet i vedlegg 3) for en region eller for hele sektoren. Dette kan delvis skyldes at mye av forvaltningen skjer hos PKI-leverandørene. PKIleverandørene utarbeider og stiller krav til: Vilkår som virksomhetene plikter å forholde seg til. Regulert i avtalene med PKI-leverandør Rutiner og administrasjon som er knyttet til utløpt og fornyelse av helse-eid Revisjoner av kvalifiserte sertifikater [11] blir ivaretatt av tilsynsmyndigheter, p.t. er dette NKOM (Nasjonal kommunikasjonsmyndighet). Kontrollrutiner for RA-funksjon Opplæring av personell for etablering av RA-funksjoner Den enkelte virksomhet må utarbeide en instruks for IKT -sikkerhet (sikkerhetsinstruksen) som gjelder for alle ansatte, vikarer, studenter, leverandører, konsulenter og andre som gis tilgang til virksomhetens elektroniske tjenester. Det er noe ulik praksis på dette området. Det er ingen mulighet for å utstede lånekort som er kvalifiserte sertifikater i dag. Det må hentes hvis glemt hjemme eller utstedes på nytt. Kvalifiserte sertifikater kan ikke benyttes som lånekort på grunn av at de benyttes til personlig signering på bakgrunn av profesjon og rolle. Dog er det noen virksomheter som utsteder midlertidige sertifikater med gyldighet på 72 timer for å kunne logge på systemene, men da ikke mulighet for signering. Virksomhetene som inngår avtale med Buypass må selv sørge for å etablere tilbakekallingsregler, det er noe ulik praksis på dette området. Det vil derfor være behov for å ha felles praksis for å oppnå tillit på tvers av virksomhetene. Dette for å sikre troverdighet til anvendelse og tilgang til e-tjenestene. For eksempel må det være samme regler for hvordan eid-en blir tilbaketrukket ved oppsigelse eller misligholdelse, slik at det ikke gis uautorisert tilgang til helseopplysninger i slike tilfeller. Helse Sør-Øst [27] Helse Sør-Øst jobber per dags dato med å etablere et forvaltningsorgan for håndtering av PKI, og andre sikkerhetstjenester, på tvers av regionen. Rutine for utstedelse av PKI ble utarbeidet i 2008 ved åpning av Ahus og det har siden vært gjort få endringer. Servicekontoret (RA-kontoret) baserer seg på leverandørens rutiner og policyer. Arbeidet som går til å fornye rutiner og prosesser ved full utrulling vil trolig kunne gjenbrukes på øvrige HF, da det ikke er forventet å være store forskjeller mellom disse. 26 Nåsituasjon og samordning av PKI-løsninger

28 Helse Vest [28] Sertifikatpolicyer håndteres overordnet av Buypass som revideres på etterlevelse. Ved gjenglemt eid (kvalifisert sertifikat) får ikke leger signert e-resepter, men de får logget på PC-er/fagsystemer etc. som bruker annen autentisering. Bruker må selv si fra om et kort er mistet, eller om vedkommende tror at pinkoden kan være kompromittert slik at eid blir registrert som ugyldig. Helse Nord [29] Det er etablert forvaltningsprosedyrer ved UNN, det antas at de vil kunne benyttes for regionen. Det er HR som vil håndtere tilbakekalling når en sier opp sin stilling. Helse Midt-Norge [30] For ikke-kvalifiserte sertifikater er det etablert lånekort løsninger. Om en bruker har glemt smartkortet sitt kan han eller hun oppsøke nærmeste RA-kontor for å få utstedt et personlig lånekort. Dette lånekortet har en varighet på 72 timer. 72 timer gyldighet er valgt på grunn av at lånekortet da kan virke over ei hel helg. På lokasjoner langt fra et RA-kontor, eller på sykehus der de ikke har døgnbemannet eller vakt ved RA-kontoret, finnes det et lite antall ikke-personlige lånekort. Disse lånekortene er utstedt til brukerkontoer som har tilgang til basis programvare som krever brukernavn og passord videre inn i systemet (EPJ, PAS, etc.) og har ikke tilgang til hjemmeområde eller fellesområde. Fornyelse skjer ved at det sendes ut e-post til bruker når det nærmer seg utløp. Tilbakekalling skjer ved melding av tapt kort, disables sertifikat og når den ansatte slutter. NHN [31] Standard rutiner og oppfølging i henhold til Buypass sine avtaler. Har rutiner for sertifikatfornyelse og relaterte rutiner for tilbaketrekking som for eksempel ved oppsigelse. Ved bytte av leverandør vil vi måtte endre autentiseringsmekanismen i de systemer som benytter kvalifiserte sertifikater til autentisering Kostnader Det er etterspurt en del kostnadselementer i spørreundersøkelsen. I dette kapitlet gir vi en enkel oversikt over kostnadsdrivende elementer for etablering og bruk av PKI-løsninger. En utfordring med dagens situasjon er at leverandørene baserer seg på ulike proprietære løsninger for bruk av sine eid produkter. Det betyr at tilpasninger i fagsystemer må gjøres for hver ny leverandør. Dette er kostnadsdrivende, og bruk av standardiserte løsninger vil bidra til å få ned slike kostnader totalt for sektoren. For å benytte smartkort kreves det at utstyr har mulighet for lese smartkortene, eksempelvis via smartkortleser eller trådløse teknologier. Dagens situasjon er at det er mye gammelt utstyr som ikke har disse mulighetene. Det vil igjen øke utviklingskostnader for integrasjon og tilpasning til leverandører. Hver Identifisering av helsepersonell 27

29 integrasjon innebærer et sett med kostnader, både tekniske tilpasninger, daglig drift og forvaltning. Jo flere integrasjonspunkter jo høyere kostnader. En stor kostnadsdriver for PKI systemer er RA-funksjonen, dette fordi en registreringsenhet må være lett tilgjengelig og dermed må det være et tilstrekkelig antall LRA-er i sektoren. Alle LRA-er må ha utstyr for registrering, bildetaging og kvalifisert personell som kan sikre at eid-en blir utstedt til rette vedkommende. Dette er den viktigste oppgaven til PKI. Da disse sertifikatene benyttes for å få tilgang til helseopplysninger og autorisere utlevering av legemidler. Flere aktører har anskaffet mobile LRAfunksjoner og dermed redusert kostnadene ved antall LRA-er. Uten status- og tilbakekallingstjenester vil en ikke kunne benytte seg av PKI-løsninger, sertifikater må valideres før de kan brukes til sitt formål. I dag er slike status- og tilbakekallingstjenester tilgjengelig i helsenettet. Dagens situasjon vil uansett være en bedre og rimeligere løsning for validering sammenlignet med vedlikehold av brukernavn og passord i hver enkelt virksomhet og applikasjon. Slike status- og tilbakekallingstjenester vil gi stordriftsfordeler med hensyn på reduksjon av kostnader. Da det i dag er mange avtaler, har dette medført at det er like mange prisstrukturer. Dette gir uoversiktlige forhold. Ved å inngå felles avtaler kan dette gi mulighet for mer gunstige avtaler for sektoren. I tillegg til at det kan fremforhandles like vilkår for hele sektoren, for eksempel er det ulike kost for sertifikatene (eid-ene) og bærermediet (eks plastkortet). 3.2 Ikke-kvalifiserte sertifikater De ikke-kvalifiserte sertifikatene som omtales i denne rapporten er en lokalt utstedt eid lagret i smartkortene for lokal pålogging til nettverk/operativsystem. Ikke-kvalifiserte sertifikater kan ikke benyttes som gyldig signatur og autentisering i henhold til esignaturloven [11], men sikkerhetsmessig kan de være på samme høye sikkerhetsnivå som de kvalifiserte sertifikatene. Bakgrunnen for at flere aktører i sektoren benytter ikke-kvalifiserte sertifikater er pga: Høye kostnader 6 ved bruk av kvalifiserte personsertifikater til pålogging i lokale systemer. Brukervennlighet ved lokal pålogging til nettverk/operativsystem, det vil si sesjonsbevaring. Mulighet for lånekort. Dagens situasjon for ikke-kvalifiserte sertifikater er vist i tabellen nedenfor. 6 Buypass har transaksjonsbasert prismodell ved bruk av tjenester for signering og pålogging via PKI, med enkelte unntak. 28 Nåsituasjon og samordning av PKI-løsninger

30 Interessenter Avtalepart(er) Antall (L)RA 7 Antall sertifikat Driftsoperatør Forvaltnings -organ Helse Sør Øst NHN (kun Ahus) NA Ca kun ved Ahus Sykhuspartner NHN Buypass HF HelseVest Atea NA HelseVest IKT Helse Nord NA NA NA NA NA Helse Midt-Norge NHN NA Hemit NHN NHN Ergo-group(Evry) i samarbeid med NA 50 NHN NHN Buypass FHI NA NA NA NA NA NAV NA NA NA NA NA Trondheim kommune Integrasjon- og sikkerhetstjeneste avtale NA 500 p.t (estimert: i 2015) Steria Oslo kommune Buypass NA 300 Tabell 5 Oversikt over anskaffelsesforhold, drift- og forvaltning for ikke-kvalifiserte sertifikater hos de ulike aktørene Bruk og anvendelse De ikke-kvalifiserte sertifikatene benyttes til lokal nettverkspålogging og de som har etablert dette i sektoren har en brukervennlig løsning ved å kombinere Citrix-basert brukermiljø for å ivareta sesjonen fra en terminal til en annen ved å trekke ut smartkortet og sette det inn igjen i den nye terminalen. Helse Sør-Øst [27] Det ble i 2008 gjort en anskaffelse av PKI-tjenester fra BuyPass ved Ahus, hvor det ble etablert dedikerte løsninger for utstedelse av lokale, ikke-kvalifiserte, personlige sertifikater. Øvrige HF har ved diverse anledninger etablerte egen infrastruktur eller benyttet det som allerede var tilgjengelig i den aktuelle regionale plattformen. I disse tilfellene ble det altså ikke gjennomført noe anskaffelse, og man benyttet eksisterende avtaler og systemer der det var mulig. Det er utstedt svært få ikke-kvalifiserte sertifikater. Det er ikke tilrettelagt for autentisering i noen applikasjoner. Helse Vest [28] De ikke-kvalifiserte sertifikatene benyttes til autentisering i egen organisasjon mot felles AD, til VPN for ansatte, til leverandør-vpn og til signering av e-post. Helse Midt-Norge [30] Det er felles AD for hele Helse Midt-Norge. Sertifikatene inneholder lokale attributter for active directory og kan benyttes til autentisering på applikasjoner, det er opp til applikasjonen. Det kan ikke benyttes til juridisk digital signatur på e-resept, legeoppgjør og lignende. Sertifikatene inneholder lokale attributter som blant annet brukerid, navn, epostadr. 7 Det er de samme RA-kontorene som benyttes for registrering for å utstede kvalifiserte personsertifikater Identifisering av helsepersonell 29

31 Norsk Helsenett [31] Norsk Helsenett utsteder ikke-kvalifiserte sertifikater til utenlandsk tekniske personell som skal utføre service på systemene som Norsk Helsenett har driftsansvar for. Sertifikatene benyttes til pålogging på systemer og VPN. Det gjelder for eksempel personell fra Microsoft o.a. Disse får ikke utstedt kvalifiserte sertifikater fra de norske utstedere, på grunn av at de ikke er bosatte i Norge og dermed ikke folkeregistret. Det betyr at de ikke vil få tildelt fødselsnummer eller d-nummer, som er grunnlag for utstedelse av kvalifiserte sertifikater 8. Trondheim kommune [34] De ikke-kvalifiserte sertifikatene benyttes til pålogging på infrastruktur/nettverk, VPN, Citrix-plattform og signering/kryptering av intern epost. Oslo kommune [35] Oslo legevaktene bruker i likhet med sykehusene en lokalt utstedt eid lagret i smartkortene for lokal pålogging til nettverk/operativsystem med sesjonsbevaring ved forflytning mellom terminaler. I svært mange kommuner er legevakt organisert ved at fastlegene er pålagt å ha vakter. I mange tilfeller vil legene her kunne bruke samme smartkort og eid som de bruker i sin vanlige praksis for signering av meldinger, men i dag ikke for pålogging Organisering og etablering Helse Sør-Øst [27] Ahus benytter løsning fra NHN sin rot-ca. Alle brukere ved Ahus, da dette benyttes for PC pålogging, for øvrig svært lite utbredt på andre HF. Det er flere helseforetak som deler Active Directory (AD). Helse Vest [28] Helse Vest benytter Microsoft sin teknologi i sin PKI-infrastruktur konfigurert etter Microsoft egen best practice. Helse Vest har ansvaret for flere CA er med stor utbredelse av ikke-kvalifiserte sertifikater. Alle personer får et EFS-sertifikat for å kryptere eget hjemmeområde. Det er siden 2011 utstedt: Ikke-kvalifiserte sertifikater: CA 2: sertifikater fra CA2 (dette er den som benyttes blant annet til utstedelse av smartkort med 1 års gyldighet) CA 4: 7848 sertifikater utstedt Helse Vest sin CA for utstedelse av lokale Buypass LRA-sertifikater. Ulike maskinsertifikater: CA 1: Utstedt sertifikater (hoved-ca for maskin-til-maskin-sertifikater, leverandør-vpn, maskinsertifikater, web-sertifikater etc). CA 3: sertifikater (brukes til mobile løsninger som Afaria, mailsync på virksomhetseide tjenestetelefoner etc.) CA 5: NVSL (NettVerksSikkerhetsLøsning) for å holde kontroll på periferiutstyr, relativt få sertifikater. CA1, CA3 og CA5 utsteder maskinsertifikater og er ikke en del av denne rapporten. Det er kun CA2 og CA4 som utsteder ikke-kvalifiserte sertifikater. 8 Selve sertifikatet inneholder IKKE fnr eller d-nummer, men et løpenummer fra leverandøren, men leverandøren krever at de er Folkeregisteret med et gyldig fnr eller d-nummer. 30 Nåsituasjon og samordning av PKI-løsninger

32 Helse Vest har sitt eget AD (Active directory). Dette er flatt med flere redundante AD-kontrollere. Alle virksomheter som driftes av Helse Vest IKT legges inn i AD ihelse.net. Juridiske enheter legges inn som egne organisasjoner i vårt AD. Helse Midt-Norge [30] Alt er produsert selv, men rot-sertifikatet er fra Norsk Helsenett. Gjenbruker programvare og løsninger fra kvalifiserte personlige sertifikater. Hemit har ansvaret for CA, og rot-ca er det Norsk Helsenett som har ansvar for. Det er utstedt til alle ansatte i RHF-et (ca 21000). Det er etablert rutiner for lånekort. En bruker som har glemt smartkortet kan oppsøke nærmeste RAkontor for å få utstedt et personlig lånekort. Bruker får da mulighet til å logge på systemene, men ikke signere med disse. Lånekortene har en varighet på 72 timer av hensyn til helgevaktbehov. Jan Feb Mars April Mai Juni Juli Aug Sept Okt Tabell 6 Oversikt over utstedte lånekort utstedt ved St Olav i 2014, frem til november Norsk Helsenett [31] NHN har ansvar for både en intern CA og rot-ca. Det foreligger sertifikatpolicy og avtaleverk for rot-ca. Trondheim kommune [34] Det benyttes teknologi fra Microsoft, satt opp i henhold til 3-lags hierarkisk modell; rot, policy og issuing. Identifisering av helsepersonell 31

33 3.2.3 Avtaleverk og sertifikatpolicyer Det er i dag inngått avtaler om utstedelse av ikke-kvalifiserte sertifikat med tre ulike PKI-leverandører og det er primært fem avtaler som benyttes: Avtale med NHN [17] Integrasjon- og sikkerhetstjeneste avtale (ved Trondheim kommune) [34] Avtale med Ergo-group (Evry) i samarbeid med Buypass [31] Avtale med Atea og underleverandør Buypass [28] Avtale med Buypass [35] Hver av PKI-leverandørene har utarbeidet sine sertifikatpolicyer, herunder leverandører som NHN, Buypass og Trondheim kommune med egen CA, selvsignert. NHN har også utarbeidet en erklæring om sertifiseringspraksis i NHN PKI sertifiseringshierarki [17]. Denne beskriver minimumskrav til praksis i NHN sertifikathierarkiet, dvs at alle underliggende CA-er til NHN sin rot-ca må oppfylle disse kravene. Det omfatter enheter med relasjon til NHN sin rot-ca, herunder også abonnenter og partnere. Videre definerer dokumentet standardene som interne og eksterne enheter skal forholde seg til. Det har derimot ikke blitt fremlagt noen avtale som regulerer partsforholdet for når en virksomhet og NHN inngår avtale om utstedelse av ikke-kvalifiserte sertifikater. På bakgrunn av spørreundersøkelsen: Helse Midt og Ahus benytter NHN sin rot-ca. Trondheim kommune har benyttet seg av en integrasjon- og sikkerhetstjeneste avtale med Evry om bruk av Microsoft teknologi [34]. Oslo kommune har ikke inngått egen rammeavtale for ikke-kvalifiserte sertifikater, men ut fra spørreundersøkelsen ble anskaffelsen for Oslo kommune etablert samtidig med personlig kvalifisert sertifikat [35]. Helse Vest benytter avtale med Atea med underleverandør Buypass [28] Drift og forvaltning 1. Drift De tre operatørene (NHN, Buypass og Trondheim kommune sin selvsignerte CA) tilbyr ikke-kvalifiserte sertifikater og drifter rot-ca. I tillegg må de som har etablert egne CA-er og CRL drifte disse. I de tre RHFene som anvender ikke-kvalifiserte sertifikater er det driftsoperatørene i regionene som drifter dette, for kommunene er dette ivaretatt av ekstern driftsleverandør. For eksempel for Trondheim kommune er det Steria. Norsk Helsenett publiserer selv sin CRL i helsenettet og på Internett. 2. Forvaltning Forvaltning av ikke-kvalifiserte sertifikater vil være omtrent som for kvalifiserte sertifikater. Det er to unntak: Ikke-kvalifiserte sertifikater gir mulighet for lånekort. Ikke-kvalifiserte sertifikater er ikke underlagt NKOM sine tilsynsordninger. 32 Nåsituasjon og samordning av PKI-løsninger

34 3.2.5 Kostnader En stor kostnadsdriver for PKI systemer er RA-funksjonen, ofte omtalt som ID-kontor. Det er ikke behov for å ha egne RA-funksjoner i tillegg til de som allerede benyttes for å utstede kvalifiserte sertifikater. Det betyr at RA-funksjonene kan gjenbrukes. Se kapittel for kostnadsdrivere knyttet til slike RAfunksjoner. Status- og tilbakekallingstjenester er en viktig funksjon for å validere sertifikatene. Dagens situasjon er at det er aktørene selv som har lokale status og tilbakekallingstjenester. Selv om det ikke er en sentral og felles tjeneste for hele sektoren er løsning uansett bedre og rimeligere sammenlignet med vedlikehold av brukernavn og passord i hver enkelt virksomhet og applikasjon. Slik status- og tilbakekallingstjenester vil kunne gi stordriftsfordeler mhp reduksjon av kostnader. For å benytte smartkort kreves det at utstyr har mulighet for å lese smartkortene, eksempelvis via smartkortleser eller trådløsteknologier. I dag er at det er mye gammelt utstyr som ikke kan benytte slike løsninger. Det vil øke investeringskostnadene ved utbredelse av PKI-løsninger. Kartleggingen viser at det er flere inngåtte avtaler om å etablere PKI for bruk av ikke-kvalifiserte sertifikater. Dette gir uoversiktlige forhold. Ved å inngå felles avtaler kan det rydde opp å gi bedre oversikt, enklere rapportering og derved mulighet for styring. De aktørene som har etablert en CA utsteder selv sertifikatene (eid-ene) til selvkost, men bærermediet (eks smartkort) har en innkjøpskostnad. 3.3 Virksomhetssertifikater Virksomhetssertifikat er et digitalt sertifikat som tilhører og benyttes av en virksomhet for å kunne bekrefte organisasjonsnummeret til virksomheten (organisasjonsnummeret er registret i Enhetsregisteret). Det betyr at signering og kryptering gjøres på virksomhetsnivå, ikke på avdelingsnivå. Selve sertifikatet består av et organisasjonsnummer og offentlig nøkkel. Dagens situasjon for virksomhetssertifikater er kjøp i markedet Bruk og anvendelse Pr. i dag benytter sektoren virksomhetssertifikater til asynkron meldingsutveksling som er veletablert gjennom «meldingsløftet» og andre initiativer for å utbre bruken av meldinger for kommunikasjon mellom virksomheter. Alle virksomheter som sender og mottar meldinger, er tilkoplet en meldingstjener. Denne kan være delt mellom flere virksomheter. Pr i dag er virksomhetssertifikatene software-baserte og installert på meldingstjenerne hvor meldingene blir kryptert og dekryptert. Men enkelte applikasjoner og EPJ systemer har ikke ekstern meldingstjener og har derfor dette installert i sine systemer. I 2014 ble det sendt unike medisinske meldinger over helsenettet, tall hentet fra meldingstelleren i helsenettet. Dette øker for hvert år både fordi det er flere aktører som benytter seg av Identifisering av helsepersonell 33

35 elektronisk meldingsutveksling, men også at det tilkommer nye meldingstyper. Fra 1. jan 2015 til 6. nov 2015, ble det sendt meldinger gjennom systemet det illustrerer økningen bare på det siste året. Helse Sør-Øst [27] Virksomhetssertifikatene benyttes til kryptering av meldinger for samhandling på tvers, vil også bli benyttet i forbindelse med kjernejournal. Helse Vest [28] Virksomhetssertifikatene benyttes til kryptering for kommunikasjon på tvers og for å signere rapporter. Helse Nord [29] Kryptering av elektronisk tilgang til pasientjournal, e-resept, labsvar, epikriser etc. Det jobbes mye med innbyggertjenester via Helse Norge og det antas at disse blant annet vil gjøre bruk av virksomhetssertifikater Organisering og etablering Etablering av PKI-infrastruktur for virksomhetssertifikater er vesentlig enklere enn for personsertifikater. Dette skyldes blant annet regelverket, mindre omfang for utstedelse for virksomhetssertifikater og enklere organisering rundt PKI-komponentene: 1. CA-komponenten Det er selve leverandøren som er eier og er ansvarlig for sertifikatutstedelsen, dvs selve CA-komponenten (se definisjon av CA i definisjonskapittelet). Det innebærer at leverandørene har utarbeidet og eier sertifikatpolicyene som aktørene forholder seg til. 2. Status- og tilbaketrekkingskatalog (CRL/OCSP - komponent) Alle aktører som skal benytte virksomhetssertifikatet til integritet, må validere signaturen. Ved meldingsutveksling benyttes det kryptering, og derav ingen validering. Adresseregisteret inneholder pekere til virksomhetssertifikatene for de aktuelle aktørene. 3. RA-komponent PKI-leverandørene har egne bestillingsportaler som en kan bestille virksomhetssertifikatene via. Så lenge det er behov for kun ett virksomhetssertifikat og ikke er underlagt e-signaturloven vil det ikke være behov for egne registreringskontorer (RA) ute i sektoren slik det trengs for personsertifikatene. 34 Nåsituasjon og samordning av PKI-løsninger

36 3.3.3 Avtaleverk og sertifikatpolicyer På bakgrunn av spørreundersøkelsen viser det seg at stort sett alle virksomhetene benytter seg av Buypass, uten noen som helst form for rammeavtale. Dette skyldes i stor grad at den enkelte virksomhet trenger kun ett virksomhetssertifikat og gjør direkte kjøp. Helse Sør-Øst har en regional kjøpsavtale med Commfides som også inkluderer virksomhetssertifikater, det er mulig å ta avrop i Trondheim kommune viser også til at de benytter både Buypass og Commfides. Nesten samtlige virksomheter viser til at omfanget av virksomhetssertifikater er liten og det er sannsynligvis derfor avtaleomfanget er så lite eller ikke eksisterende Drift og forvaltning 1. Drift Adresseregisteret [36] er det sentrale felles samhandlingsregisteret for hele sektoren. Det er selve master registeret for opplysninger om gjeldende virksomhetssertifikater i sektoren. Her registreres pekeren til virksomhetssertifikatene som til en hver tid er aktuelle for aktørene. Helsedirektoratet er systemeier for Adresseregisteret med Norsk Helsenett som driftsansvarlig. Når virksomhetssertifikatene benyttes til integritetsbeskyttelse i meldingsutveksling må sertifikatet valideres for gyldighet, dette skjer via status- og tilbakekallingstjeneste som er tilgjengelig i helsenettet. 2. Forvaltning Flere aktører har svart at det er så få virksomhetssertifikater i bruk at forvaltning ikke er relevant problemstilling. Mens andre aktører har dette på agendaen og er ikke helt i mål med å etablere gode rutiner for utløp og fornyelse. Det er i dag ingen felles forvaltningsorgan, noe som kan medføre fragmentering og tap av oversikt Kostnader Kostnadene ligger først og fremt på innkjøp og rutiner for drift og forvaltning. Virksomhetssertifikatene har en engangskost på noen få tusen pr stykk og bestilles enkelt hos PKI-leverandørene. Dette kan virksomheten gjøre selv, ved hjelp av Norsk Helsenett eller via systemleverandører. Identifisering av helsepersonell 35

37 4 ETTERSPØRSELSBASERT BEHOV FOR SAMORDNET PKI I dette kapittelet gir vi en oversikt over det som sektoren mener bør samordnes for å kunne anbefale en eller flere PKI-modeller. Det er etterspurt behov for å kunne samordne bruk av PKI i tre kategorier, sentralt, delvis sentralt eller lokalt. Med sentral samordning menes at styring og forvaltning ivaretas av et felles sentralt organ. Med delvis sentralt menes det at styring og forvaltning i hovedsak ivaretas sentralt, men at det er behov for lokale tilpasninger som forvaltes lokalt. Med lokal/regional menes det at all styring og forvaltning gjøres lokalt/regionalt. Kapittelet beskriver resultater fra spørreundersøkelsen og møter som har vært gjennomført med aktørene [25]-[36]. 4.1 Kvalifiserte sertifikater Fra kartleggingsarbeidet er det avdekket hvilke behov sektoren har for samordning av de kvalifiserte sertifikatene. Dette er summert opp i tabellen nedenfor. Samordning av PKI Kvalifiserte sertifikater Sentralt Delvis sentralt Lokalt/ Regionalt Utarbeide sertifikatpolicyer 7 1 Vedlikeholde sertifikatpolicyer 7 1 Utarbeide avtaleverk 8 Vedlikehold av avtaleverk 8 Utarbeide forvaltningsrutiner Vedlikehold av forvaltningsrutiner Utarbeide krav og kontrollrutiner for RA-funksjonen Vedlikehold av krav og kontrollrutiner for RAfunksjonen Tabell 7 Oppsummering av etterspurte behov for samordning for kvalifiserte sertifikater. Alle aktørene som deltok i spørreundersøkelsen skriver at de har behov for å samordne og ha felles sertifikat-policyer, avtaleverk, forvaltning, og utarbeidelse av krav og kontrollrutiner for RA-funksjonen. Helse Midt-Norge[30] Det er behov for en sentral utvikling og drift av en rot-ca slik at det blir størst effekt på samhandling mellom virksomhetene i sektoren, det vil si at det er skalerbart i forhold til samhandlingsbehovene. Skifte av PKI-leverandør vil medføre at alle må få utstedt nye sertifikater. 9 NAV har ikke krysset av for sine behov 36 Nåsituasjon og samordning av PKI-løsninger

38 Det er behov for å leie inn kompetanse, men noe usikkert om behovet for en sentral felles rådgivingstjeneste. I tillegg skriver de at det å samordne kan gi kostnadsbesparelser. Helse Sør-Øst [27] Det er behov for å ha en sentral utvikling og drift av en rot-ca for helse- og omsorgssektoren, men det forutsettes at denne kan utstede alle aktuelle sertifikat-kategorier. Dersom dette blir aktuelt vil det være tilpasninger med tilhørende overgangskostnader fra en regional løsning (CA) til en nasjonal løsning (CA). Dersom en slik nasjonal løsning etableres før en har etablert den regionale løsningen vil det ikke være nødvendig med ytterligere tilpasninger eller overgangskostnader. Det pågår arbeid med å bygge opp intern kompetanse, men i en overgangsperiode kan det være behov for ekstern bistand. Samtidig ansees PKI-kompetanse i Norge å være begrenset, og medfører ofte store kostnader når en skal ha tilgang på disse ressursene. Det vil derfor være ressursbesparende å kunne ha tilgang til sentrale kompetanseressurser. Helse Nord RHF [29] Det er pr i dag svært begrenset bruk av PKI. Imidlertid ser de for seg økt bruk av sertifikater og dermed også en nødvendig kompetanseheving. Det kan være behov for samordning av drift og oppfølging. De forventninger en ser for seg ved samordnede PKI-løsninger er; reduksjon av kostnader i forbindelse med anskaffelser, lavere transaksjonskostnader ved bytte av leverandør og større omfang av billigere ikkekvalifiserte sertifikater. Varigheten på avtale kan være en utfordring. Bytte av leverandør vil kunne gi høyere integrasjonskostnader mot fagsystemene. Det er store kostnader knyttet til konsolidering og sentralisering i regionen. Helse Vest RHF [28] Helse Vest ønsker sentrale føringer for kvalifiserte sertifikater, men samtidig gjør de oppmerksom på at kvalifiserte sertifikater er underlagt nasjonale godkjenninger og kontroller. Dette gjør at det kreves at en har sentral kontroll på hvordan dette utvikles og forvaltes. Noen lokale tilpasninger vil det være behov for. Men samtidig er det usikkert om en sentral utvikling og drift av en rot-ca for helse- og omsorgssektoren vil kunne forvalte dette bedre og billigere enn PKI-leverandørene selv. Imidlertid er det en klar oppfatning at det kan lønne seg med samordnet anskaffelse. Dersom det velges ny PKI-leverandør kan det bety store kostnader med hensyn på avskrivning på store investeringer. Dersom «arven» skal brukes videre eller i en overgangsfase vil dette momentet bli mindre/borte. Det kan forekomme elementer av dobbel forvaltning i en slik fase. Det kan oppnås bedre priser ved samordnet innkjøp hos de(n) sentrale, kommersielle aktøren sammenlignet med i dag. Personlige sertifikater er altfor dyre. Identifisering av helsepersonell 37

39 NAV [32] NAV ser store fordeler ved samordning av PKI-løsninger for helsesektoren, dette fordi NAV vil kunne forholde seg til helsesektoren som én enhet. Spesielt siden NAV må forholde seg til mange aktører i sektoren. Det er behov for tilpasninger til ny OCSP ved samordning av kvalifiserte sertifikater, det betyr at en vil forholde seg til to OSCP oppslag i en overgangsfase. Norsk Helsenett [31] NHN ser store fordeler ved samordning og at det vil kunne gi bedre muligheter for uniforme autentiseringsløsninger, mobilitet, sporbarhet, kortere leveringstider og reduserte kostnader. Trondheim kommune [34] Utarbeide og vedlikeholde avtaleverk bør samordnes og forvaltes sentralt. Men det er behov for noen tilpasninger og derav bør sertifikatpolicyer, forvaltningsrutiner, krav og kontrollrutiner for RA-funksjonen både ligge sentralt men mulighet for lokale tilpasninger. Oslo kommune [35] Det er behov for å ha en sentral utvikling og drift av en rot-ca. Det er vanskelig å estimere kostnader for de endringer som må til ved PKI innføring. Det er kun legevakten i Oslo som har PKI og det vil være behov for PKI hos PLO-EPJ, helsestasjonssystemet og EPJ-tannlegetjenesten. 4.2 Ikke-kvalifiserte sertifikater I dette kapittelet viser vi behovet for samordning av de ikke-kvalifiserte sertifikatene, det vil si hvilke felles krav og styring det er for avtaleverk, sertifikatpolicyer, forvaltingsrutiner, men ikke RA-funksjonen siden den er til felles bruk for kvalifiserte og ikke-kvalifiserte sertifikater (se Tabell 7). Tabellen nedenfor viser en oversikt over hva som sektoren mener bør gjøres sentralt, delvis sentralt eller lokalt/regionalt. NAV benytter ikke ikke-kvalifiserte sertifikater og har derav ikke krysset av i spørreundersøkelsen. Samordning av PKI Ikke-kvalifiserte sertifikater Sentralt Delvis sentralt Lokalt/ Regionalt Utarbeide sertifikatpolicyer 5 2 Vedlikeholde sertifikatpolicyer 5 2 Utarbeide avtaleverk 6 1 Vedlikehold av avtaleverk 6 1 Utarbeide forvaltningsrutiner 5 2 Vedlikehold av forvaltningsrutiner 5 2 Tabell 8 Oppsummering av etterspurte behov for samordning for ikke-kvalifiserte personsertifikater. Helse Midt-Norge[30] Det er behov for at rutiner og prosesser blir sentralt utarbeidet. En felles utvikling og drift av rot-ca er viktig for å forenkle samhandlingen mellom partene i sektoren. Ved en eventuell samordning av PKI vil overgangskostnadene være avhengig av hvilken løsning som velges. 38 Nåsituasjon og samordning av PKI-løsninger

40 En mulig positiv effekt ved samordning er felles autentiseringsløsning for kvalifiserte sertifikater som ikkekvalifiserte sertifikater kunne benytte seg av. Helse Sør-Øst [27] Helse Sør-Øst har gjort de samme refleksjonene for de ikke-kvalifiserte som de kvalifiserte med hensyn på effekt av samordning og behovet for dette. Se forrige del-kapitlet for deres svar. Helse Nord RHF [29] Det er behov for å samordne de ikke-kvalifiserte sertifikatene, og det er fordelaktig dersom det etableres noe felles som Helse Nord kan benytte. Helse Vest RHF [28] Det er ikke avkrysset på behovet for sentral utarbeidelse/vedlikehold av sertifikatpolicyer, avtaleverk og forvaltingsrutiner. Samtidig vurderer Helse Vest at det kan være nyttig med en rot-ca for helse- og omsorgssektoren for ikke-kvalifiserte sertifikater. Dette bør dog baseres på god hyllevare, og det må være mulighet for integrasjon direkte til Helse Vest sitt AD. Vi vurderer at innsatsen vi bruker på å forvalte dette er lav nok til at vi kan fortsette med dagens drift. NAV [32] Benytter ikke ikke-kvalifiserte sertifikater. Norsk Helsenett [31] Har behov for samordning. I tillegg har NHN opprettet en rot-ca for ikke-kvalifiserte sertifikater som benyttes for deler av sektoren. Trondheim kommune [34] Anvendelse av ikke-kvalifiserte sertifikater er gjerne noe som besluttes lokalt/regionalt. Arkitekturen bør tenkes langt nok frem med hensyn på bruk til andre formål i kommunen enn kun helse og omsorg. Det bør derfor være en viss frihetsgrad med hensyn på behov og lokal/raskere prosesser er rasjonalet for den regionale/lokale utøvelse. De av oss som har investert eller tenker å investere i egen PKI-infrastruktur som skal støtte flere anvendelsesområder bør imøtekommes med et design som viser hvordan man der kan samkjøre - samt oppnå gevinst på noen tema/anvendelsesområder. Oslo kommune [35] Har behov for samordning for de ikke-kvalifiserte sertifikatene. Identifisering av helsepersonell 39

41 4.3 Virksomhetssertifikater Her følger en oppsummering av spørreundersøkelsen for samordning av virksomhetssertifikatene: Samordning av PKI Virksomhetssertifikater Sentralt Delvis sentralt Lokalt/ Regionalt Utarbeide sertifikatpolicyer 8 Vedlikeholde sertifikatpolicyer 7 1 Utarbeide avtaleverk 8 Vedlikehold av avtaleverk 7 1 Utarbeide forvaltningsrutiner 6 2 Vedlikehold av forvaltningsrutiner Tabell 9 Oppsummering av etterspurte behov for samordning for virksomhetssertifikater. Helse Midt-Norge[30] Alle rutiner og prosesser er viktig å ha sentralt utarbeidet. En felles utvikling av rot-ca er viktig for å forenkle samhandling mellom partene i sektoren. Ved en eventuell samordning av virksomhetssertifikater er bytte av sertifikatene i aktuelle løsninger der det må gjøres tilpasninger. Helse Sør-Øst [27] Helse Sør-Øst har gjort de samme refleksjoner her som for de andre sertifikatene med hensyn på effekt av samordning og behov. Se forrige del-kapitlet for deres besvarelse. Helse Nord RHF [29] Samordning kan være en fordel for primærhelsetjenesten, som ikke nødvendigvis har kompetanse. RHF-et bistår i dag fastlegene og bruker en del ressurser for å få samhandling mellom spesialist og primær til å fungere godt. Helse Vest RHF [28] Det er behov for nasjonale føringer med hensyn på felles krav og rutiner for virksomhetssertifikater. I tillegg til det nasjonale nivået er det behov for å håndtere noen rutiner i det daglige på et lavere nivå, slik at blant annet forvaltningsrutiner kan tilpasses lokale forhold. Sentral samkjøring av oppgaver som i dag gjøres av mange i parallell er fordelaktig. NAV [32] Det er lite tilpasninger for virksomhetssertifikater ved en eventuell samordning. Norsk Helsenett [31] Norsk Helsenett som en virksomhet benytter ikke selv virksomhetssertifikater, men drifter og tilgjengeliggjør mekanismer for informasjon og validering av virksomhetssertifikatene gjennom Adresseregisteret [36]. I tillegg er NHN bestillingskontor for virksomhetssertifikater. Trondheim kommune [34] De ønsker sentral samordning, med unntak av lokalt tilpassede forvaltningsrutiner. Oslo kommune [35] De har behov for samordning av sertifikatpolicyer, avtaleverk og forvaltningsrutiner. 40 Nåsituasjon og samordning av PKI-løsninger

42 5 VIRKEMIDLER FOR Å SAMORDNE PKI Det finnes mange ulike definisjoner av begrepet «samordning». En ny rapport fra Direktoratet for forvaltning og IKT (Difi) «Mot alle odds? Veier til samordning i norsk forvaltning» [6] diskuterer primært samordning på tvers av sektorer i forvaltningen, men har også resultater som er relevante for samordning internt i helse- og omsorgssektoren. Rapporten velger å definere samordning som: «en prosess der ulike mål, verdier, aktiviteter, ressurser eller andre premisser blir sett i sammenheng, prioritert, avveid og tilpasset til hverandre». Det finnes ulike nivåer for ambisjonsnivået for samordning. For eksempel deler Difi-rapporten [7] ambisjonsnivået for samordning i fire nivåer: 1. Dele informasjon (lavt ambisjonsnivå), 2. Utvikle felles problemforståelse, 3. Unngå å svekke andres måloppnåelse, 4. Utvikle felles plan/tiltak. 5.1 Kategorier virkemidler Skal samordningen ha effekt må i hovedsak alle berørte virksomheter følge opp vedtaket. For at de berørte virksomheter skal følge opp vedtaket er det nødvendig med forskjellige typer virkemidler for å oppnå effekt av samordning. Videre må en skille på vertikal samordning som innebærer at overordnede myndigheter pålegger tiltak, og horisontal samordning der virksomheter på samme nivå blir enige om ansvarsfordeling, arbeidsprosesser og mekanismer. I Difis rapport [7] spesifiseres fire kategorier styringsvirkemidler. Med styringsvirkemidler menes virkemidler som primært brukes i vertikal samordning. De fire kategoriene er følgende: Juridiske virkemidler bestemmelser nedfelt i lover og forskrifter m.m. Organisatoriske virkemidler organisasjonsendringer m.m., Økonomiske virkemidler øremerking av midler over statsbudsjettet e.l., insentiver, Pedagogiske virkemidler informasjon og veiledning. Juridiske virkemidler har bindende virkning og er nært knyttet til vertikal samordning. Identifisering av helsepersonell 41

43 Økonomiske og organisatoriske virkemidler kan også knyttes til vertikal samordning når virkemidlene er fastsatt fra sentralt hold. Graden av bindende virkning av slike virkemidler kan variere avhengig av styringsstrukturen for de virksomhetene som omfattes av samordningen. Organisatoriske virkemidler kan også knyttes til horisontal samordning ved at virksomheter selv blir enige om endringer i organisasjonene uten at det finnes noe sentralt pålegg. Pedagogiske virkemidler er frivillig å etterleve, men de brukes primært i vertikal samordning ved at overordnede myndigheter veileder om forståelse av regelverk og andre formål. For horisontal samordning nevner Difi-rapporten i tillegg «frivillig tilpasning» som virkemiddel. Det vil si at virksomhetene selv blir enige om tilpasninger for å oppnå samordning og nå felles mål. 5.2 Styringsstruktur og vertikal samordning i sektoren Helse- og omsorgssektoren består av et stort antall virksomheter som er underlagt statlig, fylkeskommunal eller kommunal styring eller er under privat eierskap. Det gjør styringsstrukturen for sektoren kompleks. Et departement kan styre underliggende direktorater og liknende statlige organer gjennom tildelingsbrev og styringsdialog. På samme måte har HOD en viss styringsmulighet overfor regionale helseforetak, gjennom foretakenes oppdragsdokumenter som tilsvarer tildelingsbrev samt at Helseministeren er sykehuseier og i Foretaksmøtet kan gjøre beslutninger i saker som er av vesentlig betydning. RHF-ets Foretaksmøte tilsvarer slik en generalforsamling i et aksjeselskap. Staten og kommunene har begrenset styringsrom overfor private virksomheter i sektoren, selv om en del forhold reguleres med gjensidig avtaler. Det kommunale selvstyret begrenser statens adgang til å regulere kommunene, inkludert fylkeskommunene, uten at det foreligger hjemmel i lov. Dette er beskrevet i Meld. St. 12 ( ), «Stat og kommune styring og samspel» [4]. Difi publiserte i 2013 rapporten «Direktoratenes rolle i statens styring av kommunene» [4] med helse- og omsorgssektoren som ett av de områdene som ble studert. Her beskrives Helsedirektoratets rolle nærmere hvor direktoratets rolle er å iverksette vedtatt politikk, forvalte lov og regelverk innen sektoren, fordele tilskuddsmidler og være faglig rådgiver. Dette kan eksempelvis være gjennom veiledere og faglige retningslinjer. I rollen som faglig rådgiver kan Helsedirektoratet ha en normgivende rolle ved at veiledere og retningslinjer beskriver hvordan lovverket skal tolkes. Veiledere og retningslinjer er imidlertid ikke rettslig bindende. Stortingsmelding nr. 9 ( ), «Én innbygger én journal», peker på flere utfordringer i arbeidet for å kunne sikre helhetlig og forutsigbarhet av IKT-utvikling i helse- og omsorgssektoren, utfordringene som er nevnt i avsnitt 5.1 i meldingen [1] er: Standardisering basert på frivillighet og en viss grad av økonomiske tilskudd. Manglende krav til elektroniske løsninger i lov og avtaleverk. 42 Nåsituasjon og samordning av PKI-løsninger

44 Myndighetens føringer har ikke vært godt nok koordinert. Mange selvstendige aktører som i hovedsak foretar egne prioriteringer ut fra lokale behov og målsettinger. Mange selvstendige aktører og manglende krav gjør at det tar lang tid å få på plass. nødvendige endringer i IKT-systemene. Manglende nasjonal styring og koordinering av IKT-utviklingen. Opprettede koordinerende arenaer som for eksempel ehelsegruppen, Nasjonal IKT eller KommIT har ingen reell beslutningsmyndighet for IKT-prosjekter. Beslutningsansvaret ligger fortsatt hos virksomhetene som må prioritere ut fra egne mål. Gjennom stortingsmelding nr.9 ( ) «Én innbygger én journal» fra avsnitt 5.3 og 5.4 [1] vises det til at regjeringen ønsker å sikre en raskere måloppnåelse innenfor IKT i sektoren. De virkemidlene som tas opp i meldingen er: Krav til IKT systemer gjennom lov og forskrift Styrke arbeidet med standardisering og sertifisering Sentrale avtaleverk Bedre organisering og ressursutnyttelse Finansiering Bedre koordinering og felles målbilde Som et ledd i å kunne ivareta disse virkemidlene blir det opprettet nytt ett IKT direktorat for sektoren, Direktoratet for e-helse etableres 1. januar Styringsstruktur og horisontal samordning i sektoren Punktene i forrige avsnitt fra «Én innbygger én journal» peker på flere nasjonale arenaer som skal bidra til koordinering av IKT-utviklingen i sektoren, for eksempel e-helsegruppen, Nasjonal IKT og KommIT. Dette er koordinerende grupper der målet er å oppnå konsensus mellom berørte aktører om problemstillinger og løsninger. Slike koordinerende grupper brukes i stor grad i norsk forvaltning. Innen IT-området for hele offentlig sektor er Skate et eksempel på en slik nasjonal arena. Skate er et samarbeidsråd som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltning. Norm for informasjonssikkerhet i helse- og omsorgstjenesten (Normen) [17] er et annet eksempel på horisontal samordning. Normen forvaltes av en styringsgruppe som er bredt sammensatt av representanter fra offentlige og private aktører. Det er en underliggende forutsetning om at alle aktører i sektoren skal følge Normen, og dette er gjort til et kontraktfestet krav for å få lov til å kople en virksomhet til helsenettet. Identifisering av helsepersonell 43

45 5.4 Vertikal samordning og virkemidler for samordning av PKI Rettslige virkemidler for samordning av PKI Rettslige virkemidler er primært lover og forskrifter. Bestemmelser i lov og forskrift blir obligatoriske for alle virksomheter som er omfattet av den gitte lovgivingen, uavhengig av om disse er offentlige eller private. Rundskriv kan også karakteriseres som et rettslig virkemiddel. Et rundskriv kan blant annet betegne orienteringer fra en myndighet, typisk et departement eller direktorat, til berørte parter om tolkninger av lover og forskrifter. Rundskriv inneholder typisk bestemmelser som er rettet til hierarkisk lavere plasserte institusjoner. De utstedes med hjemmel i det bestående myndighets- og ansvarsforhold som gir overordnede adgang til å gi tjenstlige ordrer til underordnede. En kan tenke seg at samordning av PKI-løsninger hjemles i lov for sektoren. Ofte er det hensiktsmessig å utforme en lovbestemmelse så teknologinøytral som mulig. Dette fordi det er en tidkrevende og ofte tung prosess å endre bestemmelser i lover. Siden en lov bør utformes så teknologinøytralt som mulig, bør for eksempel begrepet «PKI» i tilfelle ikke brukes fordi det ofte kan forekomme endringer på området. Et annet eksempel er at man kan regulere et generelt krav til virksomhetene om å forholde seg til de krav departementet (HOD) oppstiller ved samordning av PKI-løsninger for sektoren. Bestemmelsen kan videre vise til at dette kravet utdypes nærmere i en egen kravspesifikasjon for sektoren. I et slikt tilfelle må man avgjøre hvilket «nivå» slike krav skal ligge på, om dette faller inn under tekniske spesifikasjoner eller også er mer organisatoriske krav. Behovet for å fastsette bestemmelser i lov eller forskrift må veies opp mot den effekten en eventuelt kan oppnå gjennom andre tiltak som beskrevet i det følgende. Spesielt vil det være nødvendig å avgjøre om felles spesifikasjoner for PKI gitt som «pedagogiske virkemidler» (veiledere og retningslinjer) vil være tilstrekkelig, eller om det er behov for rettslig regulering for at de felles spesifikasjonene skal få den ønskede effekt Økonomiske virkemidler for samordning av PKI, inkludert insentiver Sentrale økonomiske virkemidler for samordning kan for eksempel være bevilgning over statsbudsjettet. Dette kan være i form av øremerkede bevilgninger til de enkelte virksomhetene eller ved at det gis en bevilgning til en sentral instans (for eksempel nye etablerte Direktorat for e-helse pr 01. januar 2016) som i sin tur kan fordele dette på nødvendige tiltak sentralt eller i virksomhetene. Felles anskaffelsesavtaler eller rammeavtaler for anskaffelser i markedet kan også anses for å være et økonomisk virkemiddel siden formålet er å gjøre anskaffelser enklere og billigere for virksomhetene i sektoren. Virkemidler som bruker andre insentiver i kombinasjon med rent økonomiske virkemidler kan også tenkes brukt. 44 Nåsituasjon og samordning av PKI-løsninger

46 5.4.3 Organisatoriske virkemidler for samordning av PKI Samordning av PKI vil ikke alene medføre organisasjonsendringer i sektoren. Det kan imidlertid være ønskelig at forskjellige aktører i sektoren samarbeider om PKI-løsningene Pedagogiske virkemidler for samordning av PKI Et direktorat ha en normgivende rolle ved at veiledere og retningslinjer blir oppfattet som mer eller mindre obligatoriske. Veiledere og retningslinjer er imidlertid ikke rettslig bindende. Felles standarder og tekniske spesifikasjoner for sektoren vil være av kategorien «veiledere og retningslinjer» med mindre de er fastsatt ved forskrift. Dette vil da også gjelde en eventuell kravspesifikasjon for PKI i sektoren. Sektoren har lang erfaring med fastsettelse av felles spesifikasjoner på denne måten. 5.5 Horisontal samordning og virkemidler for samordning av PKI Det finnes en rekke samarbeidsorganer innen IKT i helse- og omsorgssektoren. Forankring av samordning av PKI i disse organene er viktig, men vil ikke alene gi nødvendige prioriteringer. Norm for informasjonssikkerhet i helse- og omsorgstjenesten (Normen) [17] står i en særstilling i sektoren når det gjelder «horisontal samordning». Normen er en samling krav og retningslinjer som skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet og i sektoren generelt. Videre er det en bransjenorm som omfatter hele helse- og omsorgssektoren, både offentlige og private virksomheter. Normen stiller krav som detaljerer og supplerer gjeldende regelverk [17]. 5.6 Avtaleverk for både vertikal og horisontal samordning Store deler av helse- og omsorgssektorens virksomheter er omfattet av diverse avtaleverk. Spesielt gjelder dette forholdet mellom private virksomheter, både primærhelsetjenesten og spesialisttjenester, og det offentlige som oppdragsgiver og betaler. Bestemmelser om samordning på IT-området, inkludert PKI, kan inntas i slike avtaler. Norsk helsenett (NHN) er et statsforetak etablert og eid av HOD. Oppdraget deres er å levere og videreutvikle en sikker, robust og hensiktsmessig nasjonal IKT-infrastruktur for effektiv samhandling mellom alle aktører i helse- og omsorgstjenesten. Norsk Helsenett drifter helsenettet, og for å få tilgang til helsenettet må aktørene inngå en tilknytningsavtale med NHN [18]. Et krav for å kunne inngå avtale med NHN og være tilknyttet helsenettet er at virksomheten oppfyller kravene til informasjonssikkerhet i Normen. Identifisering av helsepersonell 45

47 6 ANALYSE 6.1 Analyse av personsertifikatene (kvalifiserte og ikke-kvalifiserte) Bruk og anvendelse En eid sin private nøkkel må oppbevares på et sikkert bærermedium som er kontrollert av bruker og kan fraktes rundt for å være tilgjengelig for bruk. I dag benyttes smartkort som bærermedium for eid i sektoren. I tillegg pekes det på behov for bruk av andre eid-bærere som smarttelefon, nettbrett, trusted platform module (TPM) og andre mobile enheter i tjenesten. En av utfordringene med disse mobile enhetene er at de hittil har vært mest egnet for lagring av sertifikater lokalt på enheten, det vil si kun software-lagring. Kvalifiserte personsertifikater krever hardware-modul for å lagre den private nøkkelen. Nye mobile enheter får i større grad støtte for nye trådløse teknologier som over tid har mulighet til å kunne gi trådløs tilgang til sertifikatene. Dette vil kunne gi muligheter for bruk av smartkort i kombinasjon med nyere mobilenheter. Å utnytte dette vil kreve tilpasning i fagsystemene og mobilenhetene slik at de kan kommunisere med hverandre. Tiltak 1: Å stille krav rundt lagring av privat nøkkel (hardware/software) på ulike eid-bærere som smartkort, trusted platform module (TPM), nettbrett, mobiltelefon, USB-minnepinne og lignende Ved gjenglemt kort er det behov for lånekort for å få tilgang til systemene. Ulempen med kvalifiserte sertifikater er at det ikke er tillatt å utstede lånekort med kvalifiserte personsertifikater. Dette av hensyn til rettslig bindende signatur mulighet. Fordelen med ikke-kvalifiserte sertifikater er at en kan få utstedt lånekort med begrenset levetid. Dette gjøres blant annet i Helse Midt-Norge på St. Olavs hospital med en begrenset levetid på 72 timer av hensyn til helgevakter. For å forenkle anvendelsen av ikke-kvalifiserte sertifikater er det hensiktsmessig å samordne slike rutiner. Tiltak 2: Vurder å etablere felles krav for ikke-kvalifiserte personsertifikater for bruk av lånekort for hele sektoren. Flere institusjoner har begynt å anvende smartkortene til flere funksjoner. For eksempel ser Helse Nord for seg at det kan være flere funksjoner på et og samme kort innen et foretak og at de ulike foretakene vil ha egne kort med sine funksjoner. Blant annet er det ulike adgangssystem hos de ulike foretakene. Fordelen med samme type adgangssystem er at ambulerende helsepersonell vil kunne benytte samme smartkort for adgang på flere sykehus, samtidig som de får tilgang til systemene. Det bør vurderes om RHF-er bør gjøre dette for å øke brukervennligheten for helsepersonell. Dette er uavhengig av om sertifikatene er kvalifiserte eller ikke-kvalifiserte. Tiltak 3: Vurder om det er ønskelig med felles krav og standarder for systemer for anvendelse av smartkortene til adgangskontroll for å oppnå økt brukervennlighet. 46 Nåsituasjon og samordning av PKI-løsninger

48 I dagens situasjon med brukernavn og passord til de fleste systemer, har det flere steder utviklet seg en praksis der første bruker på vakt logger seg på og lar de andre bruke denne sesjonen så lenge vakten pågår. Dette på grunn av at gjentatte, nye autentiseringer mot forskjellige systemer og med ulike brukernavn og passord oppleves som en tidstyv, noe som ble påpekt i forstudierapporten [5]. Ulempen her er at dette er et sikkerhetproblem. Det gjør at en hverken kan kontrollere eller spore i ettertid hvem som har fått tilgang til å lese og endre helseopplysninger. Fordelen med bruk av ikke-kvalifiserte sertifikater er at de kan brukes til å forenkle pålogging og bevare sesjoner mellom terminalene. Dette gjør at en kan ta ut kortet fra en terminal og sette inn i en ny terminal for å fortsette der en slapp. Ved dette faller behovet for slik uønsket praksis bort. Ulempen med de kvalifiserte sertifikatene er at disse ikke gir denne muligheten, slik som enkelte PKI-leverandører har tilrettelagt sine løsninger. Det vil derfor være behov for å videreføre bruken av de ikke-kvalifiserte sertifikatene og etablere det for hele sektoren på et enhetlig vis. For å gjøre dette mulig er det nødvendig med følgende samordningstiltak: Tiltak 4: Etablering av felles teknologikrav for de ikke-kvalifiserte sertifikatene. Slik at det vil bli mulig å ha en felles og enhetlig etablering av PKI-infrastruktur på tvers i sektoren, som ivaretar nettverkspålogging med sesjonsbevaring og andre brukervennlige tjenester med link direkte til aktørenes AD-attributter. Organisering og etablering En helt grunnleggende funksjon i PKI er å utstede og administrere digitale sertifikater. Et digitalt sertifikat er et elektronisk legitimasjonsbevis som inneholder brukerens (sertifikatinnehaverens) identitet og offentlige krypteringsnøkkel (se vedlegg 1 for ytterligere introduksjon om PKI). For å gjenfinne rett person lager utsteder en identifikator som kan brukes ved oppslag. En slik identifikator kan kun knyttes opp til én person. Det betyr at en eid er entydig gjenkjennbar innenfor en leverandørs PKI-domene. PKI inneholder primært tre hovedkomponenter; CA, RA og CRL. Her vil vi analysere de ulike forholdene rundt disse PKI-komponentene. CA-komponenten er den som utsteder sertifikatene, RA-komponenten er der en registrerer all informasjon som er knyttet til et sertifikat og verifiserer at det er rett person eller virksomhet som vil kunne få et sertifikat. CRL er revokeringslisten som benyttes for å vurdere om sertifikatene er gyldige på det tidspunktet som de blir benyttet. Dette kan sammenlignes med sperrede eller utgåtte bankkort. Spørreundersøkelsen har kartlagt at det er etablert fem PKI-infrastrukturer i helse- og omsorgssektoren. Det er to PKI-infrastrukturer for kvalifiserte sertifikater og tre for ikke-kvalifiserte sertifikater. For å samordne PKI-infrastrukturer kan det organiseres gjennom tre mulige alternativer: Felles rot CA Kryss sertifisering Public key directory (helse-pkd) Fordeler og ulemper: Felles rot-ca: Fordel er at det skalerer godt, dersom rot-ca-en er plassert på et nivå som favner alle aktører. Ulempene er risiko for konkurransevridning ovenfor leverandører av kvalifiserte sertifikater. Disse leverandørene er videre lovpålagt selvstendig juridisk ansvar som ikke kan overdras til å bli underlagt én felles rot-ca. Denne løsningen er derfor ikke aktuell for de Identifisering av helsepersonell 47

49 kvalifiserte sertifikatene, men er derimot aktuell å se nærmere på for de ikke-kvalifiserte sertifikatene. Dette da de ikke er underlagt samme lovmessige regime. Kryss-sertifisering: Ulempen er at tilliten er mellom kun de to parter som kryss-sertifiserer, det betyr bilaterale avtaler. Bilaterale avtaler fungerer godt i små omgivelser med få aktører og avtaler. Mange bilaterale avtaler og tekniske løsninger gir unødvendig høy kompleksitet. Dette gjør at det skalerer dårlig i en sektor med mange PKI-infrastrukturer. Videre skalerer det ikke på tvers av landegrensene og tilrettelegger heller ikke for kommende behov for tjenester på tvers av landegrensene. Eksempler på dette er politiske målsetninger som bruk av e-resept, nettapotek og lignende som en kan se for seg er et behov å få over landegrensene. Det finnes allerede pilotprosjekter på slikt. Public key directory (helse-pkd): Fordelen kan være at den reduserer kompleksiteten for å muliggjøre validering på tvers av PKI-infrastrukturer og at det i stor grad vil ivareta allerede eksisterende investeringer i løsningene for PKI-infrastrukturene. Dette fordi den enkelte aktør vil kunne forholde seg til en valideringstjeneste, istedenfor flere valideringstjenester utgitt fra de ulike PKI-leverandører. Videre vil det skalere på en god måte til sektorens behov, til nasjonalt nivå og på tvers av landegrensene. Eksempel på planlagt bruk av PKD i andre sektorer er i validering av epass over landegrensene. En mulig ulempe er hvis forretningsmodellen til PKI-leverandører av kvalifiserte sertifikater avhenger av at valideringstjenesten ligger plassert i deres virksomhet. 1. CA-funksjonen De kvalifiserte sertifikatene blir utstedt av to PKI-leverandører. Fordelen er at de er ansvarlige for sertifikatpolicyer og avtaleverk, og at de begge er underlagt tilsynsmyndigheten NKOM. Det betyr at de er underlagt et veletablert regime med de nødvendige kontroller. Ulempen er at leverandørene ikke nødvendigvis har utarbeidet like sertifikatpolicyer. Det betyr at en i sektoren vil måtte forholde seg til to sertifikatpolicyer, og holde rede på hvilken av dem som gjelder for hvert sertifikat. PKI er ikke lagt opp slik at en skal forholde seg til mer enn et sett med regler og policyer. Det gjør det nødvendig med følgende samordningstiltak: Tiltak 5: Etablering av felles sertifikatpolicyer for alle kvalifiserte sertifikater. De ikke-kvalifiserte sertifikatene blir utstedt fra NHN, Trondheim kommune og Helse Vest. Her er det noe ulik praksis på hvem som utsteder og derav også ulike sertifikatpolicyer. Fordelen med bruk av de ikkekvalifiserte sertifikatene er at de kan benyttes til lånekort og enkelt kan lages for med støtte for ADintegrasjon. Slik at de kan brukes til å forenkle pålogging og sesjonsbevaring (utdypes under integrasjonspunktet nedenfor). Ulempen er at de ikke-kvalifiserte sertifikatene ikke kan benyttes til juridisk bindende signatur som kreves på for eksempel e-resept, sykemelding med videre. Norsk Helsenett har etablert en rot-ca som har flere underliggende CA-er, disse er hos Helse Midt-Norge, Ahus og hos NHN selv. Disse utsteder kun ikke-kvalifiserte sertifikater. Fordelen med denne tilnærmingen er at det er utarbeidet felles sertifikatpolicyer og avtaleverk innenfor NHN sitt PKI-domene. Ulempen er at den ikke er underlagt et kontroll- og tilsynsregime tilsvarende som for kvalifiserte sertifikater. Viktigheten 48 Nåsituasjon og samordning av PKI-løsninger

50 av et slikt kontroll- og tilsynsregime kommer av at disse sertifikatene benyttes til å styre tilgang til helseopplysninger. Videre er det en ulempe at det er flere PKI-domener for de ikke-kvalifiserte sertifikatene. De virker ikke nødvendigvis sammen på tvers av sektoren og er heller ikke underlagt en felles kontroll- og tilsynsfunksjon. For å forenkle organiseringen av alle CA-ene for de ikke-kvalifiserte sertifikatene, vil det være hensiktsmessig å samordne og etablere én felles rot-ca og tilhørende én felles statuskatalog (CRL/OCSP) for hele sektoren. Det er gjennom kartleggingsarbeidet pekt på behovet for en slik felles komponent. Det er store forskjeller på tilgang til ressurser for å etablere egne PKI-er i spesialist- versus primærhelsetjenesten. Gjennom kartleggingen er det pekt på tydelige behov for å samordne dette. Disse faktorene gjør følgende samordningstiltak nødvendige: Tiltak 6: Etablering av felles sertifikatpolicyer for de ikke-kvalifiserte sertifikatene Tiltak 7: Etablering av kontroll- og tilsynsregime for de ikke-kvalifiserte sertifikatene Tiltak 8: Etablering av en felles rot-ca for de ikke-kvalifiserte sertifikatene Tiltak 9: Etablering av én felles statuskatalog (CRL/OCSP) i tilknytning til rot-ca-en 2. RA-funksjonen RA-funksjonen blir også betegnet som ID-kontoret. For å kunne registrere opplysninger er det krav til personlig oppmøte for kvalifiserte sertifikater. Oppmøte skal kunne skje i tilstrekkelig geografisk nærhet for alle aktuelle sertifikatsøkere bosatt i Norge [14]. Flere av RHF-ene har etablert mobile RA-kontorer for å sikre tilgjengeligheten for oppmøte i sine geografiske områder. Kvalifiserte personsertifikater blir pr i dag utstedt fra to PKI-leverandører. Ulempen er at hver leverandør lager sine egne løpenumre 10. Det skjer uten koordinering leverandørene imellom. Det betyr at den unike ID-en i selve sertifikatet er en kombinasjon av løpenummeret og utsteder (det vil si PKI-leverandøren). Ulempen med dette er at det vil medføre behov for lagring av flere opplysninger (det vil si løpenummer og utsteder) for hvert av sertifikatene i fagsystemene, flere integrasjonspunkter, mer kompleksitet og økt risiko for feil. Alternativet, som beskrevet og analysert i forstudien [5], er bruk av en unik identifikator for personell 11 i sektoren, foreslått kalt HSP-nummer. Det tilsvarer det som gjøres i Sverige, med svenskenes såkalte HSAid. HSP-nummer kan så benyttes som den unike identifikatoren for personlig eid. Hovedfordelen med en unik identifikator i helse- og omsorgssektoren er at vi fjerner kompleksiteten som forårsakes av løpenummerproblematikken beskrevet i avsnittet over. En annen fordel er at vi fjerner dagens avhengighet av folkeregisteret 12 ved eid-utstedelse. Fjerning av denne avhengigheten er viktig for å kunne enklere utstede helse-eid for blant annet utenlandske helsepersonell. Forstudie-rapporten [5] peker på personsertifikater til utenlandske personell på korte engasjement som en utfordring. I tillegg utsteder Norsk Helsenett sine egne ikke-kvalifiserte sertifikater til 10 Det gjøres her oppmerksom på at fødselsnummer ikke kan benyttes som den unike ID i sertifikatene jamfør personopplysningsloven 12. Det betyr at en må benytte referanser mellom løpenummer og fødselsnumre i systemene. 11 ID må ivareta alt personell: Fast ansatte, vikarer, engasjement, utenlandske, studenter, frivillig arbeid og innleid personell fra vikarbyrå. 12 Folkeregisteret er i dag den eneste grunndatakilden som er godkjent brukt ved registrering og verifikasjon av data om innehaver av kvalifisert personsertifikat. Identifisering av helsepersonell 49

51 tekniske spesialister fra systemleverandørene når disse kommer fra utlandet og skal ha systemtilgang for å utføre feilsøking, service og vedlikehold på systemene Norsk Helsenett drifter for sektoren. Et viktig tiltak for samordning her er: Tiltak 10: Å ta beslutning om valg av personidentifikator for helse-eid i helse- og omsorgssektoren, basert på anbefaling fra forstudierapporten om HSP-nr [6]. Dette for å kunne stille krav til alle eid-leverandører som utsteder helse-eid (sertifikater) om bruk av denne. I tillegg til å ha en unik identifikator for sektoren, vil det også være behov for å ha tilstrekkelig og standardisert informasjon om brukeren (sertifikateieren). Dette fordi det er nødvendig å kunne spore hvem som har hatt tilgang til helseopplysninger. Det er ikke undersøkt om informasjonen som registreres i dag hos de ulike PKI-leverandørene er sammenfallende og heller ikke i hvilken grad den er det. For å samordne dette er det nødvendig med følgende tiltak: Tiltak 11: Etablering av felles krav til nødvendige data som registreres om en person for å sikre rett tilknytning mellom person og selve eid-en. Kravene må være i henhold til gjeldende lovverk[11], kravspesifikasjon [14] og forordning [12]. En av de andre viktige prosessene ved utstedelse av eid er oppmøte. I dag er det ulik praksis på dette området. Noen benytter postens PUM-tjeneste, andre fysisk oppmøte på RA-kontorene og enkelte fastleger oppgrader tippekortet. For kvalifiserte sertifikater er det krav til personlig oppmøte [14]. Både PUM-tjenesten og utlevering fra RA-kontoret baseres på personlig oppmøte med legitimasjonsplikt, men oppgradering av tippekort til kvalifisert sertifikat kan gjøres på nettsiden til leverandøren av tippekortene. Selve utstedelsen av tippekortet har ingen krav til personlig oppmøte slik det er kravstilt i forskrift om krav til utsteder av kvalifiserte sertifikater [15]. Dette da tippekortet ikke er definert som kvalifisert sertifikat og derav havner utenfor lovverket. Ulempen er at det opereres med ulike krav til oppmøte som igjen fører til ulike tillitsnivåer. For eksempel med et oppgradert tippekort, så vil en ha muligheten til å signere utlevering av e-resept på A-, B- og C-preparater Andre ulemper ved oppgradering av tippekortet er forvaltningen. For eksempel kjenner ikke alle fastlege til forvaltingsregimet ved bruk av eid. De vet ikke nødvendigvis at de selv må huske på når de må fornye sitt sertifikat og de får heller ikke varsel om utløpt sertifikat fra PKI-leverandøren dersom de bare benytter et oppgradert tippekort. For å bøte på dette er det nødvendig med følgende tiltak: Tiltak 12: Etablering av felles krav til oppmøte for kvalifiserte sertifikater. Kravene må ikke avvike fra gjeldende lovverk og forordninger [11], [12], [14] og [15]. 3. Tilbaketreknings-funksjon (CRL/OCSP) For at de som bruker sertifikater til sikker informasjonsdeling skal kunne validere sertifikatene, må PKIleverandørene levere statustjenester (OCSP og CRL) som både er lett tilgjengelig og har høy oppetid. Disse tjenestene må være allment tilgjengelig 24/7 via helsenettet. 50 Nåsituasjon og samordning av PKI-løsninger

52 Dersom disse kriteriene ikke blir nådd vil man risikere at sertifikater fra en gitt PKI-leverandør ikke kan valideres og derved ikke kunne gis den tillit som trengs for å åpne tilgang til sensitive data. Det betyr at berørt helsepersonell ikke vil få tilgang til nødvendig informasjon til bruk i pasientbehandling. Skjer dette i stor skala på et sykehus vil man risikere å måtte åpne blålystilgang for alle. Blålys innebærer at det gis tilgang uten validering og derved å potensielt gi uautoriserte personer tilgang til sensitive opplysninger. Alternativet vil være å la sykehusets virksomhet stoppe opp til valideringstjenesten er tilgjengelig. Med de kritiske konsekvenser det vil få for pasientene. I en konsekvensvurdering mellom ivaretakelse av informasjonssikkerhet kontra pasientsikkerhet vil blålys være det mest aktuelle scenariet. Derfor må valideringstjenestene alltid være tilgjengelig i helsenettet. Dette gjør følgende tiltak nødvendig: Tiltak 13: Stille krav til at statustjenester må ha 24/7 tjeneste og være tilgjengelig for alle i helsenettet Avtaleverk Slik situasjonen er i dag må den enkelte virksomhet selv inngå og håndtere avtaler og krav når de anskaffer kvalifiserte sertifikater fra leverandørene. I en del større virksomheter finnes ressurser til å håndtere disse, men det kan være en stor utfordring for de mindre virksomhetene, herunder eksempelvis de små kommunene. I tillegg bærer flere av avtalene preg av å være standardutformet av leverandør, samt at de policykravene som foreligger også er utarbeidet av leverandør. Ut fra det vi kan se er ikke kravene generelt sett utformet spesielt for den enkelte virksomhet. Å utarbeide felles avtaler for sektoren med overordnede krav kan ha flere fordeler. Det vil for eksempel kunne være en fordel for de små virksomhetene som i mange tilfeller ikke innehar like god kompetanse på området som de større virksomhetene gjerne har. En annen fordel er at en kan ivareta sektorens behov samtidig som man vil kunne «styre» innholdet i avtaleverket bedre. Virksomhetene i sektoren kan lettere få oppfylt sine behov og leverandørene forpliktes til å oppfylle de kravene og policyene som avtalen inneholder. Videre vil virksomhetene kunne spare ressurser og tid ved at de slipper egne anskaffelsesrunder. Kvaliteten på anskaffelsene vil også kunne bli bedre ved en felles ordning. Ved å legge ansvaret til et overordnet myndighetsorgan vil man kunne framforhandle gode vilkår for virksomhetene på for eksempel pris. Spesialisthelsetjenesten har opprettet felles innkjøpskontor for å kunne dra nytte av fordelene med storinnkjøp. Det er vanskelig å forstå hvorfor en ikke har vurdert felles storinnkjøp for PKI løsninger. Det er likevel viktig at man ved etablering av et slikt avtaleverk sørger for å ikke bidra til konkurransevridning og ekskluderer PKI-leverandører på en urettmessig måte og i strid med anskaffelsesregelverket. Utfordringen ved å i dag skulle etablere et felles avtaleverk for sektoren for anskaffelse av kvalifiserte sertifikater er at man pr i dag ikke har på plass en organisering som kan håndtere avtalene. Hvis man velger å etablere et slags avtale-nav er det nødvendig å få på plass et forvaltningsregime rundt dette. Identifisering av helsepersonell 51

53 Samtidig bør man se på om dette vil medføre mer ressursbruk for virksomhetene. Det er derfor nødvendig med følgende tiltak: Tiltak 14: Myndighetene inngår en felles avtale for alle virksomhetene i sektoren for kvalifisert sertifikat. Avtalen kan inneha overordne det krav som gjelder for sektoren. Ved en slik avtale må man da åpne opp for at hver virksomhet kan gjøre avrop på avtalen. Tiltak 15: Det etableres en felles forvaltning av de sentrale avtalene Drift Dersom drift av PKI infrastruktur skal tildeles hver av de enkelte virksomheter i helsesektoren på lokal basis vil det implisere et stort antall tekniske, administrative og avtalemessige integrasjoner virksomhetene i mellom. Det vil gi økt kompleksitet med påfølgende økning i antall faktorer som kan feile. Kompleksiteten vil kunne reduseres ved å etablere en felles sentral drift av de relevante PKIkomponenter. Det vil kunne forenkle den totale driften av infrastrukturen og kunne gi stordriftsfordeler av teknisk, administrativ og avtalemessig art. Basert på vurderingene gjort i forstudien [5] anbefales det å etablere en hierarkisk tillitsmodell (se figur 5 i vedlegg 1, tekst hentet fra forstudien [5]). Utfordringen er at vi har etablert flere PKI-infrastrukturer i sektoren for henholdsvis kvalifiserte og ikke-kvalifiserte sertifikater. Det å endre til én hierarkisk PKImodell vil ta tid da det medbringer store endringer fra dagens situasjon med hensyn på ansvarsmessige, juridiske, merkantile og tekniske forhold. Dette vil spesielt gjelde for kvalifiserte sertifikater som er underlagt lovverk, forordning og kontroll- og tilsynsregime. For de ikke-kvalifiserte sertifikatene har vi allerede påpekt behovet for å ha en felles rot-ca med felles sertifikatpolicyer og én statuskatalog (CRL/OCSP). En tilleggsgevinst ved dette er at en vil kunne hente ut stordriftsfordeler, samt at man får en høy grad av samordning. For å lykkes med dette må rot-ca spille sammen med AD løsningene i sektoren, i tillegg må CA-ene i sektoren signeres av den nye rot-ca-en. For eksempel har Helse Vest påpekt at det kan være nyttig med en rot-ca for helse- og omsorgssektoren, men forutsetter at det er mulighet for link direkte til deres egen AD. På bakgrunn av dette anbefales følgende tiltak: Tiltak 16: Etablering av drift av én felles rot-ca for alle underliggende PKI-infrastrukturer i sektoren som utsteder ikke-kvalifiserte sertifikater. Tiltak 17: Etablering av én felles drift for statuskatalog (CRL/OCSP) for å validere de ikke-kvalifiserte sertifikatene for hele sektoren. Når det gjelder kvalifiserte sertifikater, er det slik at hver og en som etablerer en PKI tjeneste har selvstendig juridisk ansvar for å håndtere dette i henhold til gjeldende lovverk. Ved en hierarkisk PKImodell vil det være Helse- og omsorgsdepartementet som vil inneha det juridiske ansvaret for alle underliggende PKI-infrastrukturer. En slik ansvarsoverføring vil naturlig ta tid. Det vil også medføre en del tekniske endringer i forhold til dagens situasjon. At det i dag er flere leverandører av kvalifiserte sertifikater gjør at det finnes flere status- og katalogtjenester som må tilgjengeliggjøres og driftes samtidig i helsenettet. Ulempen er at det i sin tur gir tilsvarende mange grensesnitt for oppslag som sektoren og systemleverandører må forholde seg til. For 52 Nåsituasjon og samordning av PKI-løsninger

54 eksempel har NAV klart påpekt ulempen med å ha to oppslag for valideringstjenesten OCSP. NAV mottar alle legeoppgjør, sykmeldinger etc. fra hele sektoren. De må validere gyldigheten av alle signaturer uavhengig av hvilken PKI leverandør som har utstedt legens eid. Tiltak for å ivareta dette området blir beskrevet i avsnittet for integrasjon nedenfor. Integrasjon For full utnyttelse av PKI vil fagsystemer i dag trenge integrasjon mot flere PKI-infrastrukturer og flere typer sertifikater. Dette som et resultat av fravær av sentrale løsninger og standarder. Dette fraværet har ført til at den enkelte virksomhet selv har vært henvist til å løse sine utfordringer med brukervennlighet kontra informasjonssikkerhet via PKI, uten noen felles samordning å støtte seg på. Det gjør at vi i dag sitter med unødvendige mange integrasjonsløsninger som hver trenger flere typer grensesnitt av fysisk og logisk art. For de kvalifiserte sertifikatene vil en trenge flere grensesnitt for signeringsmuligheter og autentisering i fagsystemene. Overordnet er dette grensesnitt som: Fysiske integrasjoner mot hver type bærermedium for sertifikat som for eksempel smartkort, USB-pinne, smarttelefoner, nettbrett og andre mobile enheter. Logiske integrasjoner mot oppslagstjenester for sertifikatstatusinformasjon. Protokollgrensesnitt for autentiseringsmekanismene mot sertifikatene. Protokollgrensesnitt for signeringsmekanismene mot sertifikatene. Lokale tilpasninger i virksomhetens nettverksgrensesnitt. For hver PKI-leverandører er det behov for å opprette en ny forekomst av samme sett med grensesnitt. Multipliserer en antall grensesnitt med antall PKI-leverandører og multipliserer dette med antall systemleverandører får man en indikasjon på hva dette får å si for kompleksiteten i integrasjonsløsninger. Figuren nedenfor illustrerer behovet for flere lokale integrasjoner og tilpasninger i et fagsystem. De ikke-kvalifiserte sertifikatene som benyttes til nettverkspålogging, sesjonsbevaring, ID-kort med fysisk adgangskontroll etc. har behov for flere av de samme grensesnittene beskrevet over. Identifisering av helsepersonell 53

55 Figur 5 Illustrasjon for integrasjoner i ett fagsystem for å kunne benytte sertifikat Bruk av leverandørers ikke-standard, proprietære, grensesnitt for å aksessere sertifikater er noe som gir behov for spesialtilpasning. Dette gjelder alle typer proprietære grensesnitt. Ulempen med dette er at spesialtilpasninger i en løsning øker kostnadene ved etablering og vedlikehold og øker samtidig sjansen for at noe går galt. Risiko og kostnader øker i takt med antall spesialtilpasninger. Høyt vedlikeholdsbehov er generelt ikke regnet som en positiv egenskap. Den store ulempen med proprietære grensesnitt for PKI er at de vanskeliggjør integrasjon mot AD/Windows. Derfor har flere aktører måttet etablere ikke-kvalifiserte sertifikater for dette formålet. Fordelen med dem er at de benytter standard grensesnitt for integrasjon. Det forenkler vedlikehold og drift og har gjort det mulig å bruke PKI som element i design av mer brukervennlige tjenester. For eksempel sesjonsbevaring mellom terminaler. For å ivareta behovene for forenkling av integrasjoner og vedlikehold er det nødvendig med følgende tiltak: Tiltak 18: Etablering av felles krav til integrasjonsløsninger for de ulike grensesnittene, både fysiske og logiske. For å redusere kompleksiteten ved oppslag for validering av sertifikatstatusinformasjonen er det mulig å etablere en felles katalog som inneholder oppdaterte offentlige nøkler og sertifikatstatusinformasjon fra alle PKI-leverandørene som tilbyr kvalifiserte sertifikater. Konseptuelt gjøres dette ved å opprette en Public Key Directory (PKD) for helse- og omsorgssektoren. PKD betyr her en felles katalogløsning for alle 54 Nåsituasjon og samordning av PKI-løsninger