Rune Røren Sikkerhet og Sårbarhet 2013 Trondheim, 7. mai 2013
Agenda Kort om kjernejournal Hvem får tilgang til hva? Hovedtruslene ifht. informasjon på avveie Hovedtiltakene 2
Behovet for kjernejournal (fase 1) Planlagt forløp Uplanlagt forløp Fastlege Sykehus Apotek Uplanlagt hendelse (2/3 av døgnopphold i spesialisthelsetjenesten starter uplanlagt) AMK / Legevakt / Akuttmottak??? Ingen elektronisk utveksling 3
Løsningen med kjernejournal (fase 1) Planlagt forløp Uplanlagt forløp Fastlege Sykehus Apotek Uplanlagt hendelse AMK / Legevakt / Akuttmottak Utleverte legemidler Folkeregisteret Fastlegeregisteret Kjernejournal Sikkerhet i i kjernejournal 4 4
Bruksscenarier Funksjonalitet og innhold Funksjonelt målbilde 1-2 år 3-5 år 5-10 år Helsepersonell i Akuttmedisinsk kjede, Fastlegekontor, Innbygger Personalia Fastlegeinfo Utleverte legemidler Forskrevne eresepter Kritisk informasjon Kontaktliste med helsetjenesten Kontaktpersoner og pårørende Pasientens felt Logg over bruk Helsepersonell i sykehus, sykehjem, hjemmetjenesten apotek (kun legemiddeloversikt) Referanse til epikriser Vedtak om kommunale tjenester med kontaktinfo til ansvarlig tjenesteyter Førstevalg behandling Merking av feil Utprøving felles legemiddeloversikt Mulighet for å reservere seg fra løsning Hovedregel: Samtykke ved bruk Personlig kvalifiserte sertifikater i portal Tilgang basert på regler om HPR og godkjennelse fra virksomhet Etablere varslings- og kontrollorgan Tilgangskontroll og personvern Helsepersonell med tjenstlig behov Referanse til prøvesvar Referanse til annen informasjon Felles legemiddeloversikt Fullmakt Sperringer Integrert sikkerhet med EPJ Portal, hovedsaklig lesetilgang Grensesnitt Portal, lese og skrive Tilgjengeliggjøre grensesnitt for integrasjon med fagsystem Integrert i fagsystem, men egne visninger for kjernejournal Nasjonal kjernejournal Pilot Nasjonal innføring Koordinert innføring, avhengig av blant annet eresept og Medikasjonstjenesteprosjektet Avhengig av innføring av nytt apoteksystem og eresept Innføring 5
Admin Brev Løsningsskisse Portal Helsesektor ID-porten ID-porten Borgerportal Helsenorge.no EPJ/PAS/ LMK Kommune Apotek m.fl.?? system PAS PAS HR HR Apotek? Apotek? Tjenestebuss Sikkerhet og kommunikasjon Kritisk info Reservasjon & Samtykke Autorisasjon Legemidler Reseptformidler Fastlegeregisteret Folkeregisteret Pasientens felter Logg Bruker Kontakt Helsevesen NPR HPR HER / Adr. register Ref. til Annen info Førstevalg behandling Kommunale vedtak Nytt register med kjernejournal KUHR Eksisterende sentrale registre Epikrise Epikrise Epikrise Epikrise Epikrise Prøvesvar Epikrise Epikrise Henvisning Epikrise Epikrise m.fl. 6
Tidsplan Pilot i Trondheim høsten 2013 Mai Innbyggere får informasjon om løsning og reservasjonsrett. HELFO kan ta i mot henvendelser fra innbyggerne Juni Forskrift vedtas August Innbyggere med folkeregistrert adresse i Trondheimsregionen får tilgang til kjernejournal via helsenorge.no. Automatisk innsamling av utleverte resepter starter November Helsepersonell tar løsningen i bruk i den akuttmedisinske kjeden Vi går ikke på luften hvis vi er usikre ifht. pasientsikkerheten, personvern og informasjonssikkerhet, eller lovverket Utvider pilot med Stavanger i 2014 Avhengig av at Trondheim blir vellykket Sikkerhet i i kjernejournal 7
Tilgang for innbygger Innbygger får tilgang til sine opplysninger på helsenorge.no Innbygger må autentisere seg på nivå 4 hos ID-porten Innbyggere uten fødselsnummer eller D-nummer får ikke kjernejournal Innbyggere med bostedsadresse utenfor innføringsområdet får ikke kjernejournal (ikke informert om løsningen) Trusselutsatte personer (kode 6 og 7) får ikke kjernejournal Barn under 16 år får ikke tilgang til helsenorge.no På sikt skal foreldre/de med fullmakt/verger får innsyn Innbyggere skal kunne reservere seg og sette sperring Innbyggere skal kunne fylle ut «pasientens felter» 8
Tilgang for helsepersonell Kun helsevirksomheter på Norsk Helsenett kan få tilgang Foreløpig gjelder tilgangen den akuttmedisinske kjeden (AMK-sentral, akuttmottak, legevakt) og fastlege Helsepersonell skal være autorisert i virksomheten for tilgang til kjernejournal, og de må ha gjennomgått opplæring Helsepersonell skal gi helsehjelp for å kunne slå opp Oppslag kan kun gjøres fra lokal EPJ (Elektronisk pasientjournal) Helsepersonell må autentisere seg på eid nivå 4 for å få tilgang Helsepersonell kan slå opp på alle innbyggere som finnes i lokal journal Helsepersonell kan foreløpig se alt i kjernejournal Alt helsepersonell kan hjelpe pasienten fylle ut sine felter Kun leger kan fylle ut kritisk informasjon 9
Tilgang for andre Brukerstøtte får tilgang til å hjelpe innbyggerne, men ikke tilgang til helseopplysninger Et fåtall saksbehandlere hos Helsedirektoratet får tilgang til innbyggernes kjernejournal for å kunne følge opp innsynskrav, retting og sletting, innsyn m.m. Driftspersonell skal ikke ha tilgang til helseopplysninger, men i teorien kan et fåtall få tak i det Utviklere skal ikke ha tilgang til helseopplysninger, men i teorien kan de legge inn «bakdører» i løsningen 10
Helhetlig fokus på sikkerhet Ledelse Innføring Teknisk løsning Drift Forvaltning Tydelig organisering og ansvar Finansiering «Levende» ROS Skape en god sikkerhetskultur Kartlegging og oppkobling av virksomheter Opplæring og godkjenning av helsepersonell Informasjon til innbyggere Sikkerhet i dybden Dedikerte sikkerhetsprodukter og teknologi Sjekklister og standarder Pen.tester og revisjoner Fysisk sikring Nettverkssikkerhet Redundans Overvåking Herding og patching Backup og restore Beredskap og øvelser Internkontroll Logganalyse Misbruksoppfølging Anmeldelser Krav (lov og forskrift, Normen, sikkerhetspolicy) Sikkerhet i i kjernejournal 11
Hovedtruslene Angrep fra internett Internett EPJ Norsk Helsenett Snoking DMZ Helsenorge.no portaler Helsepersonellportalen Utro medarbeidere tjenester datalager Andre registre / tjenester 12
Angrep fra Internett Forebyggende tiltak Informasjonsbegrensning Teknisk dybdesikkerhet mht. nettverk/transport, applikasjon og database Utstrakt bruk av sikkerhetsprodukter Sikkerhet som del av utviklingsmetodikken Patching og herding Penetrasjonstesting Oppdagende tiltak Kontinuerlig overvåking. Rask varsling Reagerende tiltak Beredskapsplaner og øvelse Rask «Lock down» Backup og restore Sikkerhet i i kjernejournal 13
Snoking Forebyggende tiltak Informasjonsbegrensning Avtale med virksomhet om bruk av løsning Tilgangskontroll for helsepersonell Opplæring og godkjenning av helsepersonell Svartelisting av helsepersonell Oppdagende tiltak Tilgangslogg tilgjengelig for pasient på Internett Automatisk logganalyse Stikkprøver Automatisk varsling til pasient ved oppslag (kommer senere) Reagerende tiltak Beredskapsplaner og øvelse Anmeldelser til Helsetilsynet Informere pasient om hendelsen Sikkerhet i i kjernejournal 14
Utro medarbeidere Forebyggende tiltak Informasjonsbegrensning Valg av drifts- og utviklingsleverandører Rolledeling, kryptering, pseudonymisering og splitting av data Sikkerhetsklarering Sikkerhet som del av utviklingsmetodikken Sikkerhetsrevisjon og kodegranskning Oppdagende tiltak Tilgangslogg tilgjengelig for pasient på Internett Automatisk logganalyse Stikkprøver Automatisk varsling til pasient ved oppslag (kommer senere) Reagerende tiltak Beredskapsplaner og øvelse Sparken 15
Informasjonsbegrensning Mange innholdselementer er tatt ut på veien Fullstendig journal Sykdomshistorikken Epikriser, prøvesvar, gravidekort m.fl. Blodtype, smittesykdommer m.fl.. Innholdselementene er tidsbregrenset Kritisk informasjon lagres kun så lenge det er relevant Medisiner lagres i 3 år Kontaktliste med primærhelsetjenesten lagres i 3 år Kontaktliste med spesialisthelsetjenesten lagres med full historikk Pasientens felter lagres så lenge pasienten ønsker 16
Sikkerhetskultur Sikkerhet var viktigste kriterium i anskaffelsen Fokus på sikkerhet i opplæring bl.a. med gjennomgang av trusselbildet og Normen Sikkerhetsklarering av tekniske ressurser «Levende» RoS med egen plass i ukentlig risikovurdering Åpenhet om sikkerhetsutfordringene (ledelsen eier problemet) 17
Sikkerhet som del av utviklingsmetodikken Planlegging Start Sprint Test Utrulling Definere initielle sikkerhetskrav Identifisere/definere sikkerhetskontrollnivå Definere funksjonelle og tekniske sikkerhetskrav Tolkning av lover og regler Avklaring av bruker-/funksjonelle krav Utarbeidelse av brukerhistorier Etablere initiell sikkerhetsplan og dokumentasjon Etablere Planlegge plan for sikkerhetstesting Bygge løsning & Designe og bygge sikkerhetskomponenter avklaringer Funksjonell A-test Utføre formalisert sikkerhetstesting Utføre Ekstern ekstern penetrasjonstest sikkerhetstesting Rulle ut kontrolltiltak Dokumentere og rulle ut løsning Oppdatere sikkerhetsdokumentasjon Klassifisere applikasjonsdata Klassifisering av data og initiel RoS Definere initiell risikoog sårbarhetsanalyse Overordnet sikkerhetsarkitektur Høynivå arkitekturgjennomgang Utvikle Detaljere konseptuelt Utføre Løpende løpende sikkerhetsdesign sikkerhetstesting Oppdatere risiko- og sårbarhetsanalyse Oppdatere risiko- og sårbarhetsanalyse Løpende vedlikehold av RoS-analyse Mitigere/akseptere risiko og sårbarheter Oppdatere risiko- og sårbarhetsanalyse Beslutte tiltak ifht RoS (inkludert akseptanse av risiko) Mitigere/akseptere risiko og sårbarheter Formelt akseptere restrisiko og overføre tiltaksplan Aksept av restrisiko ved risikoeier Gjennomgå proaktiv tiltaksplan 18
Teknisk dybdesikkerhet i løsningen Innbygger EPJ Helsepersonell Fysisk Datahall Lastbalansering Nettverk/transport Brannmurer SSL/sertifikater Helsenorge.no Internett DMZ portaler Norsk Helsenett Helsepersonellportalen Applikasjon Tilgangsstyring I&AM Inputvalidering Pseudonymisering Database Splitting av data Kryptering Rolledeling tjenester Drift Overvåkning datalager Andre registre / tjenester 19
Tilgang for helsepersonell er knyttet til tilgang i lokalt EPJ EPJ KJ EPJ OLA KJ OLA Virksomheten har mulighet til å kontrollere: - Ansettelsesforhold - Avdeling helsepersonell jobber ved - Avdeling pasienten er innlagt på KARI Snoking i kjernejournal medfører snoking i lokal journal 20
Sikkerhet i innføring Godkjenning av EPJ Tilgang skal skje gjennom lokal journal Oppkobling av virksomhet Kartlegging av sikkerhet Ansvarliggjøring av virksomhet og lokal administrator Opplæring av helsepersonell Opplæringsmaterialet fokuserer på konsekvensen av sikkerhetsbrudd Godkjenningstest krever kunnskap om sikkerhet Informasjon til innbyggere 21
Tiltak innbyggeren kan velge Forebyggende tiltak Reservasjon mot løsning helseopplysningene slettes, innsamling stopper Sperring mot internett fortsatt tilgjengelig for helsepersonell Sperring av opplysninger helsepersonell må be om samtykke eller bruke nødretten for å få tilgang Oppdagende/reagerende tiltak Følge med på innsynsloggen av og til Melde mulige sikkerhetsbrudd til HELFO som videresender saken til Helsedirektoratet 22
Spørsmål? 23