Veiledning i informasjonssikkerhet ved bruk av e-post Versjon 0.4 19. oktober 1999 KITH Rapport X/99 ISBN 000-00-000-00
KITH-rapport Tittel Veiledning i informasjonssikkerhet ved bruk av e-post Forfatter(e) Arnstein Vestad Oppdragsgiver(e) SHD Rapportnummer R X/98 ISBN 000-00-000-00 Godkjent av URL http://www.kith.no/rapportarkiv/kortnavn.pdf Dato Antall sider Kvalitetssikret av 19. oktober 1999 Sideant. Bjarte Aksnes, Tor O. Grøtan Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7005 Trondheim Besøksadresse Sverresgt 15, inng G Telefon 73 59 86 00 Telefaks 73 59 86 11 e-post firmapost@kith.no Foretaksnummer 959 925 496 Prosjektkode S-SV Gradering Adm. direktør Sammendrag Tilgang til bruk av e-post er et stadig tiltagende krav også i institusjoner i helsevesenet. Innføring av e-post har til nå hatt liten utbredelse i helseinstitusjoner. En av årsakene er at IT-systemene i helsevesenet i utstrakt grad behandler sensitive personopplysninger, og de krav som dermed har blitt stilt til informasjonssikkerhet. Denne veiledningen søker å konkretisere og klargjøre kravene til sikker informasjonsbehandling som er gitt i Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og hvordan disse kan forstås for e-post spesielt. Målet er klargjøre rammevilkårene for e-post slik at et nyttig verktøy lettere kan tas i bruk.
Innhold INNLEDNING... 1 TILGANG TIL E-POST I SENSITIV SONE... 3 Begrensing av klipp og lim 4 MELDINGSSIKKERHET OG TTP-TJENESTER... 5 Digital signatur 6 TTP-tjenester 6 TTP-tjenester og digital signatur ved bruk av e-post 7 BRUKERPOLICY FOR E-POST... 8 VEILEDNING: E-POST I HELSESEKTOREN... 10 i
VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Kapittel 1 Innledning Tilgang til bruk av e-post er et stadig tiltagende krav også i institusjoner i helsevesenet. Innføring av e-post har til nå hatt liten utbredelse i helseinstitusjoner. En av årsakene er at ITsystemene i helsevesenet i utstrakt grad behandler sensitive personopplysninger, og de krav som dermed har blitt stilt til informasjonssikkerhet. Denne veiledningen søker å konkretisere og klargjøre kravene til sikker informasjonsbehandling som er gitt i Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og hvordan disse kan forstås for e-post spesielt. Målet er klargjøre rammevilkårene for e-post slik at et nyttig verktøy lettere kan tas i bruk. Denne veiledningen inngår i en serie av veiledninger fra KITH som tar utgangspunkt i Datatilsynets Retningslinjer og som har som hensikt å muliggjøre tilstrekkelig helsefaglig funksjonalitet og etterleve helselovgivningens krav samtidig som Datatilsynets krav til informasjonssikkerhet etterleves. Bruk av e-post handler av natur om utveksling av informasjon, og det er derfor naturlig at innføring av en slik tjeneste byr på utfordringer i et miljø med så stor tetthet av sensitiv informasjon som helsevesenet. Rent teknisk knytter hovedproblemene seg til såkalte datadrevene angrep, dvs. ondsinnede programmer som overføres som del av meldingene, og også faren for utilsiktet utlevering av informasjon, eksempelvis ved at informasjon sendes til en e-postgruppe og ikke til en enkeltperson eller valg av feil vedlegg ved utsendelse. Det vil også være utfordringer på organisatoriske områder. Dette kan bl.a. være hvordan e-post skal inngå i organisasjonens arbeidsflyt og hvilke retningslinjer som skal etableres for privat bruk av e-post. For å løse disse problemene kreves det en strukturert prosess hvor behov og nytte veies opp mot de utfordringer som reises. Kapitel 2 vil drøfte noen tekniske løsninger for å kunne tilby tilgang til e- post for brukere som befinner seg i det Datatilsynet kaller sikret sone, altså den sonen hvor sensitive personopplysninger kan behandles. Disse løsningene er ment å gi systemteknisk sikring mot utilsiktet utlevering. Kapittel 3 beskriver mekanismer for å tilby meldingssikkerhet, dvs. kryptering og digital signatur, samt såkalte tiltrodde tredjepartstjenester. Kapittel 4 gir råd om elementer som bør inngå i utformingen av en brukerpolicy for e-post. 1
INNLEDNING Selve veiledningen er plassert i Vedlegg A, og er bygd opp etter mal fra Datatilsynets Retningslinjer. 2
VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Kapittel 2 Tilgang til e-post i sikker sone Det er et uttrykt ønske fra flere hold å ha tilgang til å lese e- post også fra sikker sone som definert av Datatilsynet. En trussel ligger i muligheten for utilsiktet utlevering av informasjon. Dette kan foregå på flere måter, men det som nevnes oftest knyttes til klipp og lim-funksjonalitet. Andre trusler i denne forbindelse kan være dårlig kontroll på mottakeradresser i e- post utsendelser, samt ondsinnet programvare som virus og lignende som når aktivert kan sende ut informasjon. Ulike tekniske løsninger kan tenkes for å gi en mest mulig fleksibel tilgang som likevel gir delvis beskyttelse mot disse truslene, hver med sine fordeler og ulemper, og vi vil her gi noen forslag. E-postklient uten sendetilgang Internettbasert e-post benytter seg typisk av to ulike tjenester for å laste ned og å sende e-post. (Henholdsvis POP/IMAP og SMTP). Det er dermed mulig å tillate bruk av protokoll for nedlasting/lesing av e-post uten samtidig å tillate bruk av sendeprotokollen. Dette kan foregå rent konfigurasjonsmessig på flere måter: Alt 1.: For sikker sone settes e-postklienten opp med kun server for mottak av e-post. Et annet oppsett benyttes så i intern sone og med mulighet for å sende e-post. Svakheter med denne løsningen er at det vil være lett (og sannsynligvis fristende) å skrive inn adressen også til SMTPtjeneren, så framt dette er mulig. Det vil videre være viktig å holde e- postkassene synkronisert, noe som vil være vanskelig med POP, men som lar seg gjøre med IMAP. Det vil heller ikke være tilstrekkelig å kun nekte selve sendingen av e-postmeldingen mens brukeren er i sensitiv sone, hvis dette medfører at meldingen blir lagt i meldingskøen og sendt ved første anledning. En mer effektiv metode ville derfor være å tilby en egen e-postklient som kun tillater lesing, og ikke sending. Alt. 2.: Operativsystemet stenger for bruken av TCP-porten som benyttes ved sending av e-post, når brukeren befinner seg i sensitiv sone. Også her vil det være mulig for klientprogrammet å legge meldingen i en kø for sending senere, og dermed omgå sikkerhetsmekanismen. Terminal-løsninger Andre løsninger vil kunne innebære å skille e-postklient fra arbeidsstasjonen som brukeren benyttes ved hjelp av en såkalt terminal-løsning, 3
TILGANG TIL E-POST I SIKKER SONE hvor programmet kjører på en sentral tjenermaskin og kun skjermbilde og tastetrykk overføres mellom tjenermaskin og arbeidsstasjon. Denne løsningen krever kontinuerlig oppkobling mellom tjenermaskin og arbeidsstasjon. Hvis løsningen implementeres på en slik måte at klipp og lim ikke er mulig mellom fjernapplikasjonene og de lokale programmene, vil man være sikret mot utilsiktet utlevering av klipp og lim-typen, og det burde derfor også være relativt uproblematisk å tillate også sending av e-post. Hovedproblemet vil først og fremst ligge i tilgangen til vedlegg og nedlastede filer, både når slike skal sendes og mottas, da disse i utgangspunktet kun havner på tjenermaskinen. Det vil likevel som oftest være mulig å etablere enkelte begrensede kanaler for overføring av vedlegg eller nedlastede filer, f.eks. gjennom nettverkskataloger som kan nås fra begge sonene. Vi vil også vise til Datatilsynets Veiledning ved bruk av tynne klienter. Begrensing av klipp og lim Enkelte tilgjengelige produkter tilbyr begrensing av klipp og lim funksjonaliteten slik at klipp og lim fra enkelte forhåndsdefinerte programmer ikke lar seg gjøre. En slik løsning forutsetter bruk av tredjeparts programvare, men kan være en effektiv løsning på sitt begrensede område. Denne løsningen fjerner likevel ikke hele problemet med utilsiktet utlevering, slik utlevering kan likevel skje gjennom mekanismer som vedlegg til e-post. Det vil derfor være en avveining hvorvidt sikkerheten med en slik løsning er på et akseptabelt nivå. En annen metode for å forhindre klipp og lim er at det enkelte program krypterer innholdet som legges på utklippstavlen, slik at innholdet kun er forståelig for det aktuelle programmet. Denne løsningen forutsetter at alle applikasjoner som behandler sensitive opplysninger er modifisert for å gjøre dette. 4
MELDINGSSIKKERHET OG TTP-TJENESTER Meldingssikkerhet og TTP-tjenester Kapittel 3 Feltet meldingssikkerhet omfatter i hovedsak fire sikkerhetsaspekter, konfidensialitet, integritet, autentisitet og ikkebenekting. Kort sakt betyr dette å sikre at utenforstående ikke kan lese en melding eller endre en melding uten at dette oppdages, samt garantere at opphavet av en melding er den vi tror det er og at opphavet til meldingen ikke kan benekte å ha sendt meldingen. Valg av hvilke av disse tjenestene som skal benyttes må avgjøres ut fra kommunikasjonens formål, behov og trusselbilde. Rent teknisk sikres disse egenskapene ved bruk av kryptografiske teknikker. Kryptografiske teknikker kan deles inn i to hovedgrupper, symmetriske og asymmetriske, også henholdsvis kalt delt nøkkel og offentlig nøkkelbasert kryptografi. Symmetrisk kryptografi baserer seg på at kommunikasjonspartene deler en hemmelig nøkkel, som i kombinasjon med en kryptografisk algoritme benyttes til å beskytte meldingen. Når kommunikasjonsmønstrene er enkle og partene er kjent på forhånd kan denne type beskyttelse være tilstrekkelig, men metoden byr på store problemer når kommunikasjonsmønstrene blir mindre forutsigbar eller man ønsker å kommunisere med parter som man ikke nødvendigvis har et eksisterende forhold til. Symetrisk kryptografi forutsetter altså at hemmelige nøkler deles mellom kommunikasjonspartene, og meldingsbeskyttelsen avhenger av at nøkkelen holdes hemmelig for alle andre. Sikkerheten i slike systemer avhenger derfor av rutinene for håndtering av nøkkelmaterialet. Asymmetrisk kryptografi ble introdusert i 1976 som et svar på problemet med nøkkeldistribusjon. Disse systemene har to hovedformål, kryptering og digitale signaturer, og med et slikt system får hver bruker to nøkler, en offentlig og en privat. Den offentlige nøkkelen kan spres til alle, mens den private holdes hemmelig, og behovet for hemmelig utveksling av nøkler forsvinner dermed. Sikkerheten i dette systemet hviler dermed på at kun den private nøkkelen forblir hemmelig. I et system basert på offentlige nøkler sikres meldingenes konfidensialitet ved at meldingen krypteres med mottagers offentlige nøkkel. Integritet og autentisitet sikres ved at meldingen signeres med avsenderens hemmelige nøkkel. 5
MELDINGSSIKKERHET OG TTP-TJENESTER Kryptering Kryptering benyttes for å beskytte meldingers konfidensialitet. I de fleste tilfeller kombineres symmetrisk og asymmetrisk kryptering i det som ofte kalles hybrid kryptering, dette fordi asymmetrisk kryptering er mer tidkrevende enn symmetrisk kryptering. Selve meldingen krypteres derfor symmetrisk med en tilfeldig nøkkel som igjen krypteres asymmetrisk og legges ved meldingen. Digital signatur En digital signatur benyttes for å realisere autentisering, integritet og ikke-benekting. En digital signatur legges ved meldingen ved at det først beregnes en såkalt hash-verdi av meldingen. Dette er en verdi som er unik for denne meldingen (mer korrekt, hvor det vil være meget tidkrevende å finne en annen melding som vil føre til samme hash-verdi, særlig en melding som gir mening). Denne verdien krypteres så med avsenderens private nøkkel, og legges ved meldingen. På denne måten knytter den digitale signaturen meldingens innhold til innehaveren av den hemmelige nøkkelen som signerte meldingen. Det vil derfor ikke være mulig å kopiere signaturen og benytte den på et annet dokument, ei heller å endre dokumentet uten at signaturen ødelegges. En digital signatur sikrer dermed mot forfalskning av dokumentet både av mottaker og avsender, og den sikrer at avsender ikke kan benekte å ha signert dokumentet. For å kontrollere signaturen dekrypteres så den krypterte hash-verdien med avsenderens offentlige signaturnøkkel. Hash-verdien for den mottatte meldingen beregnes og sammenlignes med den dekrypterte signaturen. Hvis disse to er like kan man konkludere med at meldingen er uendret og er signert av innehaveren av den hemmelige nøkkelen. TTP-tjenester Tiltrodde tredjeparter er aktører som tilbyr et sett av tjenester i forbindelse med bruk av offentlige nøkler. Disse tjenestene er i hovedsak ment å sikre: - At de offentlige nøkler som er i omløp er entydige, ekte, gyldige og knyttet til en enkelt identifisert person eller virksomhet og at dette kan verifiseres av den som mottar en offentlig nøkkel. - At det på en enkel og sikker måte er mulig å få tak i en bestemt persons eller virksomhets offentlige nøkkel. Tjenestene som understøtter sikkerheten i meldingssystemet tilbys av uavhengige tredjeparter som kan anses som objektive i forhold til de kommuniserende partene, og på en slik måte at alle som benytter tjenesten kan ha en tilstrekkelig tiltro til at alle aspekter ved sikkerheten og funksjonaliteten er ivaretatt i tråd med de krav som brukere, myndigheter og regelverk stiller. 6
MELDINGSSIKKERHET OG TTP-TJENESTER En av hovedtjenestene som TTPer tilbyr er signering av såkalte sertifikater. Sertifikater er den normale måten å gjøre offentlige nøkler kjent på, og de består som et minimum av en offentlig nøkkel, eierens identitet og TTPens signatur. Dette gjør at man kan kontrollere alle sertifikater som blir tilsendt ved å kontrollere TTPens signatur. TTPens identitet og offentlige nøkkel må være kjent på forhånd (dette foregår ofte ved at f.eks. web-lesere og e-postprogrammer som benytter slike systemer kommer med en del TTP-nøkler ferdig installert). En hovedarena for utprøving av TTP-tjenester i stor skala innen det norske helsevesenet er SESAM-prosjektet. Prosjektet vil fokusere på å ta i bruk standardiserte TTP-og sikkerhetsløsninger og bygge på eksisterende applikasjoner for web, e-post og EDI. TTP-tjenester og digital signatur ved bruk av e-post De nevnte mekanismene (kryptering, digital signatur og TTP-tjenester) kan benyttes på all form for meldingskommunikasjon og egner seg derfor godt for e-post. For å sikre interoperabilitet mellom ulike e-postsystemer, kreves det standardisering av hvordan kryptert og signert informasjon skal overføres. Ingen standard har til nå utkrystallisert seg som vinner i dette kappløpet, men favorittene er S/MIME og OpenPGP. For helsevesenet finnes det en europeisk prestandard, prenv 13608, som er kompatibel med S/MIME. Kryptering og signering utenfor e-postklient I den grad de ulike partene i kommunikasjonene ikke har e-postsystemer som støtter kryptering og digital signatur, eller dette kun er tilgjengelig hos en av kommunikasjonspartene, er det også mulig å benytte separate programmer som kan kryptere og/eller signerer de aktuelle filene som skal oversendes, for så å legge disse ved som vedlegg. 7
BRUKERPOLICY FOR E-POST Brukerpolicy for e-post Kapittel 4 Før bruk av e-post tillates i en organisasjon må det defineres en brukerpolicy for akseptabel bruk og gis retningslinjer og veiledning i hvordan e-post skal brukes. Policyen må klart formulere hva som er tillatt og ikke tillatt og konsekvenser ved brudd, men bør også gi veiledning i korrekt bruk av e-post. Det er viktig at det gis klare retningslinjer for hvilke rettigheter og plikter den enkelte har overfor organisasjonen. Det bør gjøres et tydelig skille mellom absolutte krav (hvor avvik vil ha alvorlige konsekvenser) og anbefalinger (som skikk og bruk ved e- post, netikette osv.) Noen eksempler på elementer som bør inngå i en policy for bruk av e- post kan være: Hvorvidt e-post kun kan brukes til tjenstlige formål Tips om hva e-post kan brukes til, som: Beskjeder og korte meldinger Generell informasjonsspredning Påminnelser og bekreftelser Møteinnkallinger og møtereferater Hva e-post ikke kan / skal brukes til, som: Sensitiv informasjon (ukryptert) Kontrakter som krever bindende signatur Regler omkring mottak av vedlegg, som Forbud mot å kjøre programmer som blir oversendt Obligatorisk viruskontroll og lignende forebyggende tiltak Hvilke typer informasjon som kan sendes over e-post Regler for hvorvidt sensitiv informasjon kan sendes, og i hvilken form (f.eks. kryptert / signert). Advarsel om at ukryptert e-post kan sammenlignes med å sende åpent postkort, fortrolig informasjon bør derfor ikke sendes slik. Etiske retningslinjer 8
BRUKERPOLICY FOR E-POST Akseptabel/anbefalt oppførsel ved bruk av e-post, som Ikke spre virusvarsel som mottas uten at det er klarert med systemansvarlige Ikke bruk e-post til tidskritiske meldinger uten å være sikker på at mottaker leser e-post jevnlig Send meldinger til færrest mulig mottakere. Send ikke unødvendige kopier. Bruk godt språk, sjekk rettskrivning og grammatikk. Skriv kort og klart. Vis særlig aktsomhet ved bruk av e-postlister, da informasjon lett kan spres til personer som ikke skulle hatt den. Send aldri sensitiv informasjon til e-postlister. Vær forsiktig med å spre e-postadressen på f.eks. websider eller diskusjonsgrupper for å unngå uønsket reklame e-post ( spam ) Det bør informeres om hva som logges, og hva loggen benyttes til Rutiner rundt passord til e-postsystemet Lengde og kvalitet på passord At samme passord ikke skal benyttes på Internett Hvorvidt videresending av e-post til eksterne e-posttilbydere tillates (f.eks. tjenester som Hotmail, Yahoo Mail ol.) Hvorvidt e-postboks kan anses som privat område For kommunikasjon med pasienter må det alltid være avtalt på forhånd (tlf. eller personlig, helst skriftlig) om e-post er akseptabel kommunikasjonsform, også for ikke-sensitiv informasjon. Mulige sanksjoner ved brudd på retningslinjene må være klart definert og tydelige (f.eks. tap av tilgang, oppsigelse, anmeldelse osv). Utforming av policy for e-post (og andre sikkerhetspolicyer) er en prosess som bør utføres i samråd med de den skal gjelde for. En slik prosess bør derfor ha deltagere som kan representere de ulike gruppene av ansatte, ledelsen og IT-personell. Etter at policyen er utarbeidet må den spres til alle den berører, og den kan f.eks. kreves undertegnet før tilgang til bruk av e-post gis. 9
VEILEDNING I INFORMASJONSSIKKERHET VED BRUK AV E- POST Vedlegg A Veiledning: e-post i helsesektoren 1 Definisjoner OpenPGP: Standard for sikker meldingsutveksling, basert på filformatet til programmet Pretty Good Privacy. PrENV 13608-2: S/MIME kompatible standard for sikker meldingsutveksling. Europeisk prestandard for helsevesenet. S/MIME: Standard for sikker meldingsutveksling basert på X.509 sertifikater og PKCS standarder for kryptografiske filformat fra RSA Labs inc. 2 Formål Dette dokumentet veileder helseinstitusjoner i informasjonssikkerhet ved bruk av e-post for meldingsutveksling. Veiledningen er en utdypning av Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, og bør leses sammen med dette dokumentet. Veiledningen gir anbefalinger for hvordan helseinstitusjoner kan oppfylle Datatilsynets Retningslinjer. Anbefalingene er ment å gjøre det lettere å innføre e-posttjenester som kan nyttes i tråd med Retningslinjene, men er ikke å betrakte som absolutte krav. Helseinstitusjonene kan velge andre måter å oppfylle Retningslinjene på, men da må det sannsynliggjøres at disse løsningene gir like god informasjonssikkerhet. E-post kan ikke vurderes uavhengig av den totale organisatoriske og tekniske sammenhengen det skal benyttes i. Denne veiledningen behandler kun hvordan Retningslinjer for informasjonssikkerhet kan forstås i forhold til e-post. Det forutsettes at den øvrige behandlingen av både sensitive og andre personopplysninger foretas innen rammen av de tillatelser som virksomheten har for dette. E-post kan ikke forstås som kun de meldinger som sendes igjennom vinduet i en e-postklient, men må heller forstås som en tjeneste for formidling av ustrukturerte meldinger i hovedsak fra person til person. Dette er en definisjon som kan skille e-post fra f.eks. EDI og lignende meldingstjenester som formidler strukturert data fra applikasjon til applikasjon. Dette perspektivet vil sannsynligvis bli tydeligere etter hvert som e-post i større og større grad sendes også fra ulike applikasjonsprogrammer som tekstbehandler o.l. eller gjennom web-klienter. Perspektivet har også betydning ved utforming og håndhevelse av sikkerhetspolicyer, da det i mindre grad lar seg gjøre f.eks. å håndheve disse gjennom begrensninger i e-postklienten. 10
VEILEDNING Del II Ledelsens ansvar 3 Ansvar Helseinstitusjonens ledelse har ansvaret for at personopplysningene er tilfredsstillende sikret også ved bruk av e-post. Dette omfatter ansvaret for tilfredsstillende sikkerhet i de deler av informasjonssystemet som inngår i e-postløsningen, som nødvendige sikringstiltak i helseinstitusjonens egen infrastruktur. Ledelsen skal definere en policy for bruk av e- post i organisasjonen som bør underskrives før brukerne gis tilgang. Ledelsens ansvar omfatter også at det årlig avsettes tilstrekkelig ressurser til at til at nødvendig informasjonssikkerhet kan opprettholdes. 4 Sikkerhetsmål Bruk av e-post må inngå som en integrert del av organisasjonens informasjonssikkerhet, hvor hovedmålsettingen er å bevare organisasjonens behov for konfidensialitet, integritet og tilgjengelighet til informasjon. Ved bruk av e-post vil dette særlig være: Å muliggjøre effektiv og sikker informasjonsspredning Å unngå utilsiktet utlevering Å beskytte integritet og konfidensialitet under overføring Å beskytte mot datadrevene angrep og at organisasjonens informasjonssystemer benyttes for videreformidling av slike eller andre angrep. 5 Sikkerhetsstrategi For å oppfylle sikkerhetsmålene må en sikkerhetsstrategi defineres. Den skal beskrive alle valg og overordnede tiltak nødvendig for å benytte e- post i samsvar med sikkerhetsmålene. Sikkerhetsstrategien skal angi ansvars- og myndighetsforhold, forholdet til partnere/leverandører, samt organisatoriske og tekniske sikkerhetstiltak. Sikkerhetsstrategien må ta hensyn til organisasjonenes særskilte behov og bruksmønster for e-post, som hvorvidt e-post skal kunne sendes og/eller mottas fra sensitiv sone. 6 Personopplysninger Hvis e-post-systemet skal benyttes til overføring av personopplysninger må disse kartlegges og klassifiseres etter grad av sensitivitet, og nødvendige sikkerhetsmekanismer må tilpasses dette. 11
VEILEDNING 7 Risikoanalyse De ulike risikomomentene ved bruk av e-post må kartlegges og være forstått, og en risikoanalyse må utføres som fokuserer på potensielle trusler og om sikringstiltak er tilstrekkelige. Ulike risikomomenter som bør drøftes er bl.a.: Hvorvidt e-post skal være tilgjengelig i sensitiv sone Risikoen for utilsiktet utlevering, herunder feiladressering (avhenger bl.a. av beslutningsstøtten i e-postprogrammet) Utro tjenere får mulighet til å utlevere større mengder sensitiv eller kritisk informasjon Risiko for at meldingen endres under overføring (integritet) Risiko for at meldinger eksponeres for uvedkommende under overføring (konfidensialitet) Risiko for at meldinger eller kvitteringer aldri kommer frem eller kommer frem sterkt forsinket (tilgjengelighet) Risiko knyttet til import at ondsinnet programvare Det bør vurderes om sikringstiltakene er tilstrekkelige til å beskytte mot at ondsinnet programvare i form av makrovirus, javascript og java applets, Active X komponenter, programfiler med virus og trojanske hester osv. kan spre seg i systemet. Risikoen for hackerinnbrudd eller mailbombing (denial-ofservice). Dette er særlig en risiko hvis e-postsystemet er kontinuerlig oppkoblet mot et eksternt nettverk. Uautorisert fysisk tilgang - Det må også vurderes hvorvidt systemet er tilstrekkelig beskyttet mot at uvedkommende får fysisk tilgang. 8 Egenkontroll Rutinene for bruk av e-post må gjennomgås som del av helseinstitusjonens jevnlige egenkontroll. Egenkontrollen må omfatte vurdering av hvorvidt policyer for e-postbruk overholdes og søke å finne årsak til eventuelle brudd på policy. 9 Ledelsens gjennomgang Ved ledelsens jevnlig gjennomgang må mål, strategi og organisering som danner grunnlaget for bruken av e-post i organisasjonen vurderes. Gjennomgangen skal vurdere hvorvidt bruk av e-post kan rettferdiggjøres ut fra behov og hvorvidt sikkerhetsmålsettingene er tilstrekkelige og i tråd med organisasjonens overordnede behov. Videre må det avklares hvorvidt sikkerhetsstrategiene er tilstrekkelige og fremdeles stemmer overens med trusselbildet. 12
VEILEDNING Del III Organisering 10 Organisasjon E-post må inngå i organisasjonens helhetlige sikkerhetsorganisering. Dette betyr at ansvaret for e-postsystemet deles i to hovedlinjer, den ene med ansvar for drift og vedlikehold av e-postsystemet, den andre med ansvar for informasjonssikkerheten. Disse funksjonene bør i den grad det er mulig delegeres til to forskjellige medarbeidere med ulike rapporteringslinjer til organisasjonens ledelse. 11 Konfigurasjon Utstyr og programvare som benyttes til e-post må konfigureres slik at tilfredsstillende informasjonssikkerhet kan oppnås. E-postklientene må konfigureres slik at de sikkerhetsrelevante innstillingene er konfigurert på en mest mulig trygg måte. Med dette menes f.eks. at programmet ikke er satt opp til å gjøre ting bak brukerens rygg, noe som kan skape forvirring. (Dette kan være at informasjon som krypteres også krypteres til bedriftens egen offentlige nøkkel, en funksjon som kan være nyttig, men bør foregå eksplisitt, eller at klienten er satt opp til å benytte en e- posttjener utenfor organisasjonens grenser.) 12 Administrative og tekniske rutiner Bruk av e-post ved tjenstlige behov må utføres på en slik måte at krav til saksgang og postrutiner oppfølges. Det må avklares hvorvidt e-posten skal skrives ut, loggføres og arkiveres og hvorvidt det finnes andre krav som kan være av betydning for bruken av e-post så som krav til innsyn etter offentlighetsloven eller arkivregler. Det bør også klargjøres hvor mottatt e-post (spesielt vedlegg) skal lagres. Hvis sensitiv informasjon skal sendes med e-post skal dette kun foregå etter på forhånd avtalte rutiner. Det er viktig at det er enighet mellom sender og mottaker av sensitiv informasjon om hvordan den overførte informasjonen skal behandles, og sensitiv informasjon må ikke overføres med mindre dette er avklart. Dersom e-post skal benyttes for rutinemessig overføring av strukturerte meldinger med sensitiv informasjon bør dette organiseres i henhold til veiledning for EDI i helsesektoren. Det må utarbeides en egen rutine for hvordan pasientsensitiv informasjon mottatt fra avsendere som man ikke har avtale om slik kommunikasjon med, skal behandles. Eksempel på rutiner for mottak av sensitiv informasjon: Sensitiv informasjon mottatt fra avsendere som man ikke har avtale om slik kommunikasjon med, skal behandles som vanlige journalnotater, og arkiveres i tilknytning til vedkommendes journal. 13
VEILEDNING Avsender gis melding (per e-post) om at informasjonen er mottatt og arkivert i journal, men at fremtidig kommunikasjon av sensitiv informasjon må foregå på annet vis. Eventuelt må pasienten gi sitt samtykke til at informasjonen utveksles på e-post, vedkommende må i tilfelle gjøres oppmerksom på at informasjonen utsettes for en sikkerhetsrisiko under overføring. Den mottatte informasjonen slettes fra e-post-systemet (både fra innboks og eventuelle andre mapper der den er lagret). 13 Beredskapsplanlegging Hvis organisasjonen er avhengig av kommunikasjonen over e-post må tilstrekkelig ressurser avsettes til å kunne sikre kontinuerlig drift. I tillegg bør det avklares alternative manuelle rutiner som utskrift og bruk av post eller faks. 14 Avviksbehandling Brudd på informasjonssikkerheten som skyldes bruk av e-post må behandles i samsvar med helseinstitusjonens rutine for avviksbehandling. Slike avvik kan være: uautorisert bruk av e-post utilsiktet utlevering av sensitiv informasjon over e-post viktige meldinger som ikke kommer frem til oppgitt mottaker (også innkommende) svikt i rutinene omkring bruken av e-post for sensitiv informasjon Videre bør det kartlegges i hvilken grad det har vært nødvendig å overstyre eventuelle anbefalinger e-postprogrammet gir i forhold til sensitiv informasjon. Del IV Partnere og leverandører 15 Partnere og leverandører For leveranser av utstyr og programmer og innleie av arbeid i forbindelse med e-post, skal leverandører/partnerenes kompetanse og muligheter for oppfølging og vedlikehold av leveransen over tid vurderes. I leveransen bør det inngå: dokumentasjon av implementering, drift og vedlikehold uttesting av e-postløsningen opplæring av helseinstitusjonens medarbeidere oppfølging og vedlikehold 14
VEILEDNING dokumentering av eksisterende informasjon/arkiv i e-postsystemet og avgjørelser tatt omkring dette Personell ansatt hos partnere eller leverandører skal alltid undertegne taushetserklæring og informeres om betydningen av denne. Del V Sikkerhet 16 Personellsikkerhet Tilstrekkelig brukeropplæring er grunnstenen for sikker bruk av e-post. Det bør derfor stilles krav til tilstrekkelig kompetanse og opplæring før e- post kan benyttes. Denne opplæringen bør være spesielt rettet mot en bevisstgjøring om når e-post kan benyttes og hva som er risikomomentene ved bruk av e-post. Opplæringen bør være integrert i annen opplæring i datasystemer og informasjonssikkerhet. 17 Fysisk sikkerhet Hvis e-postsystemet er del av en sone hvor personopplysninger behandles vil kravet til fysisk sikring være høyt, da uautorisert tilgang vil kunne medføre stor fare for spredning av informasjon. Nødvendige tiltak vil f.eks. være adgangskontroll til dører, skjermsparere med passord og lignende. E-posttjeneren må plasseres slik at den bare er tilgjengelig for autoriserte personer, f.eks systemansvarlige. 18 Systemteknisk sikkerhet Systemteknisk sikkerhet kan kun gå en del av veien når e-post skal benyttes i miljøer hvor sensitiv informasjon behandles. Så lenge det er teknisk mulig å overføre sensitiv informasjon til e-postprogrammet vil ikke tekniske sikkerhetsløsninger som skal regulere denne informasjonsflyten være verken tilstrekkelig eller ønskelig, da de med stor sannsynlighet kun vil medføre at brukerne av systemet søker å unngå mekanismene framfor å arbeide innenfor dem. Hovedfokuset må derfor ligge på å bidra til å støtte bruken av e-post på en slik måte at viktige faremomenter unngås og at brukeren blir gjort oppmerksom på dem, samt at brukeren gis myndighet til å gjøre bevisste og forsettlige overføringer når det er behov for slike. Støttefunksjoner i e-postklienten Den viktigste utfordringen når det gjelder utilsiktet utlevering av informasjon ligger i utformingen av brukergrensesnittet, og dagens e- postprogrammer har lite (ingen) funksjonalitet for å beskytte brukeren mot feil som kan medføre f.eks. feiladressering av e-post. Hovedproblemene som kan identifiseres er: 15
VEILEDNING vanskelig å holde oversikt over hvem meldingen sendes til, spesielt ved bruk av e-post-lister for lett å legge ved feil vedlegg Det siste skyldes kanskje først og fremst at det av og til kun er (korte) filnavn å støtte seg på når man skal velge vedlegg, og det ikke gis den samme oversikten som man får ved å legge ved papirvedlegg. Typisk vil en slik gjenkjenning av mulig sensitiv informasjon ta utgangspunkt i: hvorvidt klipp og lim er benyttet, og evt fra hvilket program klippet stammer fra hvorvidt meldingen har vedlegg, evt. hvor vedleggene stammer fra størrelsen på meldingen Dette medfører naturligvis en god del falske alarmer, og nytten må derfor vurderes opp mot det merarbeid som fører med disse. E-postbrannmur E-post kan også sikres ved organisasjonens grenser i den eksterne sikkerhetsbarrieren. Dette kan gjøres ved bruk av en aktiv brannmur som ser igjennom inngående og utgående e-post og søker etter virus eller etter innhold som ikke skal gå utenfor organisasjonens grenser. Blant annet kan en slik brannmur blokkere for nedlasting av java-applets og active-x komponenter som kan følge med e-post. Samtidig kan det søkes etter ord og setninger som kan avsløre at sensitivt materiale blir sendt i klartekst, men utfordringen her ligger i å finne ord og kombinasjoner som karakteriserer sensitive meldinger. Meldingene kan deretter arkiveres eller et varsel kan gå til brukeren og/eller en administrator. Et slikt produkt kan særlig være til nytte hvis de sensitive opplysningene som organisasjonen behandler har lett (automatisk) gjenkjennelige trekk. Det er også mulig å legge inn gjenkjennelige elementer i maler. Det bør også vurderes om mulighet for videresending av e-post skal være avslått på e-posttjeneren, slik at denne funksjonaliteten ikke misbrukes. Viruskontroll Bruk av e-post medfører at en ny kanal for overføring av virus åpner seg. Virusfaren kommer særlig ved bruk av vedlegg til e-post. Tidligere har den største trusselen vært virus som har kommet med programfiler, men dette ser nå ut til å endre seg. I stadig større grad benytter virus seg av makrofunksjonaliteten i moderne tekstbehandlere. Viruskontroll bør om mulig foregå på to steder, både på e-post-tjeneren og på alle klientmaskinene. 16
VEILEDNING Meldingssikkerhet Kryptering og signering er hovedteknikkene som benyttes for å sikre meldinger under overføring. Kryptering sikrer at meldingen kommer fram til mottakeren uten at uvedkommende får innsyn, men signering sikrer at meldingen ikke endres underveis og at den kommer fra den som er oppgitt som avsender. For sikring av e-post er det særlig prenv 13608-2 som er aktuell. Før sikker e-post kan tas i bruk i stor skala er det nødvendig med en fungerende infrastruktur for nøkkelsertifikater og såkalte Tiltrodde Tredjeparter el. TTPer. TTPer er nødvendig for å utstede sertifikater til alle som har behov for det, samt være ansvarlige for å holde lister over tilbakekalte nøkler. Kommunikasjon med e-postkontor Brukere av Internett e-post kommuniserer normalt med e-posttjeneren gjennom protokollene IMAP eller POP. Disse kommuniserer både passord og selve e-posten på en usikret måte, men varianter finnes som kan sikre disse protokollene. Så lenge krypteringen ligger i e-postklienten er det lite fare forbundet med at meldingene ikke krypteres av kommunikasjonsprotokollen, men overføring av passord i klartekst er et mer alvorlig problem. Passordet som benyttes til e-post er ofte det samme som benyttes for pålogging til det lokale nettverket og andre tjenester, og problemet er særlig kritisk hvis passordet må gå over et ubeskyttet nettverk. Det finnes flere ulike løsninger på problemet, men alle har sine problemer. En løsning er APOP, en versjon av POP som benytter en autentisering som ikke sender passord i klartekst. Denne er dessverre lite utbredt, selv om den er standardisert. Et alternativ er å gjennomføre all kommunikasjon med e-posttjeneren over en kryptert forbindelse. Dette er en løsning som er relativt utbredt, men siden hele forbindelsen med e- posttjeneren er kryptert medfører den en stor belastning for tjeneren. En slik løsning kan benytte VPN-funksjonalitet, men en del e-postklienter støtter også bruk av SSL for å skape en kryptert tunnel til e-posttjeneren. Del VI Dokumentasjon 19 Registreringer Hendelser av betydning for sikkerheten bør registreres. Dette kan være: Overstyring av sikkerhetsråd fra e-postklienten Forsøk på utsendinger i strid med regler implementert i brannmur Evt. registrering av sendt/mottatt e-post. 17