Strategi for informasjonssikkerhet i helse- og omsorgssektoren Sikkerhet og sårbarhet 7. mai 2013 Jan Gunnar Broch Helsedirektoratet Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013 1
Strategi og handlingsplan Informasjonssikkerhet for Helse- og omsorgssektoren For perioden 2013 2015: gi retning på informasjonssikkerhetsarbeidet gi en oversikt over konkrete tiltak Gjennom arbeidet skal Helsedirektoratets og Norsk Helsenetts roller og ansvarsområder i forhold til informasjonssikkerhet tydeliggjøres. Jfr. Statsbudsjettet, Meld. St. 9 Én innbygger én journal, og tildelingsbrev Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013 2
Fagdirektorat og myndighetsorgan Overordnet ansvar for oppfølging og realisering av nasjonale strategier for elektronisk samhandling og for standardisering flere nasjonale prosjekter Faglig og koordinerende rolle inn mot sektorovergripende felleskomponenter Statsforetak, eid av Helse- og omsorgsdepartementet Sørge for at det foreligger en hensiktsmessig og sikker infrastruktur for effektiv samhandling mellom alle aktører i helse- og omsorgstjenesten Ivareta nasjonale interesser knyttet til drift og utvikling av IKT-infrastruktur i sektoren Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013 3
Føringer, overordnede mål, utfordringer, teknologi og trusler colourbox.com Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.20134
Noen klipp fra andre strategier og meldinger tilgangsstyring Styrket Personvern samordning bør og logging inkluderes i i sektoren felles situasjonsforståelse skal styrkes, og sektoren by design») skal påvirkes til å bidra Robust mer og positivt sikker til IKTinfrastruktur Det skal mulighet settes i hele ned til et å eget ha dette individets samfunnet oversikt utvalg og som kontroll skal utrede med behovet for klientbasert opplysninger logging og om retten seg til selv innsyn skal i styrkes, Sterk og evne det til skal å håndtere disse loggene i de legges større bedre uønskede til rette IKT-hendelser for at individet kan benytte Elektronisk sine innsyn rettigheter for den Høy kompetanse og sikkerhetsbevissthet bør vurderes hele prosessen ved utvikling av nye systemer (såkalt «privacy Tilgang til systemer bør logges. offentlige og private registrene registrerte i egne opplysninger Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013 5
Nasjonale innsatsområder Kvalitetsindikatorer esaks Administrative registre Kjernejournal E-resept helsenorge.no «En journal» Meldingsutbredelse Informasjonssikkerhet (strategi, NORMEN, PKI/eID) Sikkert helsenett Standardisering Statlige felleskomponenter (ID-porten, Folkeregisteret osv)
En rekke meldinger og rapporter har definert ambisjonsnivået for e-helse og elektronisk samhandling 2008 2009 2010 2011 2012 2013
Overordnede mål Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger Innbyggerne skal ha tilgang på enkle og sikre digitale tjenester Data skal være tilgjengelig for kvalitetsforbedring, helseovervåkning og forskning 8 06.05.2013 8
Utfordringer De teknologiske mulighetene utnyttes ikke Mange selvstendige aktører Mange systemer, lite integrasjon Status og veien videre 06.05.2013 9
Teknologi http://www.alivecor.com/ https://skinvision.com/
Trusler
Colourbox.com Det handler om tillit til at helse- og omsorgstjenesten og forvaltningen behandler opplysninger på en sikker måte.
Strategier Felles tiltak for kompetanseheving innen informasjonssikkerhet Kompetente og bevisste brukere Teknisk sikkerhet Innebygd informasjonssikkerhet Felles løsninger Oppdage, varsle og håndtere IKThendelser I VIRKSOMHETENE NASJONALT Styring og kontroll Styring, koordinering Felles forståelse for og krav til informasjonssikkerhet
Colourbox.com Noen tiltak 06.05.201315
Felles forståelse for og krav til informasjonssikkerhet Eksempel: Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren
Normen Bransjenorm for helse-, omsorgs- og sosialsektoren Forvaltet av en bredt sammensatt styringsgruppe Juridisk bindende ved avtale I tillegg: faktaark og veiledere Betydelig opplæringsvirksomhet Eget strategiarbeid i regi av styringsgruppen pågår www.normen.no
18 Nye dokumenter under Normen Tilgjengelig nå Normen 2.1 Veileder sosiale medier (oppdatert) I løpet av en ukes tid Veileder i bruk av portalløsninger, SMS og e-post Til høsten Veileder formaliserte arbeidsfellesskap m/ avtaleverk Veileder videoopptak Veileder for psykologer, fysioterapeuter m.fl.
Utvikle og ta i bruk felles sikkerhetsløsninger: Forstudie: Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren Grunnmur for elektronisk samhandling og en forutsetning for en enhetlig og sikker deling av informasjon mellom IT-systemer i sektoren. De tre grunnelementene: 1. PKI 2. Autorative autorisasjonskilder Tilgangskontroll personvern 3. Helsenettet For å oppnå en sikker deling av informasjon må det tilrettelegges for sikkerhetstjenester i en sikkerhetsinfrastruktur som: Autentisering Samtykke Fullmakt Tilgangskontroll Sperring Loggføring Signering Reservasjonsrett Logganalyse (de)kryptering
Sikre sektorens evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser og sårbarheter HelseCSIRT nasjonalt sikkerhets- og monitoreringsenter for helse- og omsorgssektoren
Nasjonalt sikkerhets- og monitoreringsenter for helse- og omsorgssektoren - HelseCSIRT SektorCSIRT for helse- og omsorgssektoren Statsbudsjettet 2013: Norsk Helsenett SF har HelseCSIRT (Computer Security Incident Response Team) som skal være helse- og omsorgssektorens felles kompetansesenter for informasjonssikkerhet. Senteret skal spre kompetanse om IKTtrusler og beskyttelsesmekanismer, og kontinuerlig overvåke trafikken på helsenettet. Målet er å forebygge og avhjelpe uønskede IKT-sikkerhetshendelser og ondsinnede inntrengningsforsøk Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013 21
Et felles tiltak for kompetanseheving innen informasjonssikkerhet: Komp-iS Programmet er utviklet og eies av Helse Sør Øst Det er laget for helsepersonell, for å øke bevisstheten rundt informasjonssikkerhet KFE undersøkelse, før og etter gjennomført program Norsk Helsenett skal nasjonalt bre programmet ut til alle kommunene mål for 2013 = 200 kommuner Programmet består av verdifilm/ humorfilmer og åtte kjernebudskap. Det legges til rette for diskusjoner og refleksjoner på arbeidsplassen.
VERDIFILMEN
Humorfilmer med opplegg for refleksjon Skjer dette dette hos oss? Vil vi ha det sånn? Eller..?» Har du opplevd noe lignende som pasient/pårørende? Tre på topp for å forhindre? Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013 24
Colourbox.com Plan for ferdigstillelse av strategien Fokus på tiltak i det videre arbeid Sektorhøring med svarfrist til høsten Strategi med handlingsplan vedtas i oktober Innspill tas i mot! jangunnar.broch@helsedir.no Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013 25