Felles grunnmur for digitale tjenester Sikkerhetsinfrastruktur Normkonferansen 2017
Bygge grunnmur for bedre samhandling i sektoren Program Felles Infrastruktur og Arkitektur Samhandling Sikkerhetsinfrastruktur Pasientens legemiddelliste Arkitekturstyring «Bort med papir og doble rutiner» «Legge til rette for enkel og sikker tilgang» «Én oversikt som dekker alle behandlingsledd» «Koordinert og strategisk utvikling» Side 2
«Helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger» Dagens utfordringer Dagens informasjonsdeling understøtter ikke nye samhandlingsbehov Effekter Helsepersonell opplever at vesentlige pasient- og brukeropplysninger er lite tilgjengelig Visjon Mange systemer, og flere og ulike ofte tidkrevende pålogginger Høy kompleksitet, lav modenhet og lite samordning Enkel og sikker tilgang ved tjenstlig behov Holder ikke tritt med utviklingen og endringer i trusselbilde Kilde: Meld. St. 9 (2012 2013) Én innbygger én journal Side 3
Hva er gjort så langt? 2015 2016 2017 Hovedfokus Dele opp elefanten Skape trygghet før realisering Tett samarbeid Identitets- og tilgangsstyring for personell «Helsepersonell må forholde seg til mange systemer, og flere og ulike ofte tidkrevende - pålogginger for å få tilgang til nødvendig informasjon» FIA-programmet får i oppdrag å etablere en felles autentiseringstjeneste for helse- og omsorgssektoren Enkel og 1 Engangspålogging sikker pålogging 2 3 Helhetlig arbeidsflate Norsk Helsenett lanserer HelseID - en ny felleskomponent alle medlemmer av Helsenettet får tilgang til Side 4
Hva er HelseID? HelseID som er en felles påloggingsløsning Side 5
Hva er HelseID? Enkel og 1 2 Engangspålogging 3 sikker pålogging Sikring av tjenester HelseID som er en felles påloggingsløsning Side 6
Andre identitetstilbydere Identitetstilbydere helsetjenesten selv forvalter eller har avtale med Identitetstilbydere Difi forvalter eller har avtale med Egen PKI Active Directory FEIDE Buypass BankID Kommersiell PKI «Cloud» Commfides Andre Andre ID-porten Felles grunndata HelseID HPR PREG Klient Tjeneste Brukerorganisasjon Tjenesteeier Side 7
HelseID i hele helsetjenesten Nasjonal porteføljestyring Regional porteføljestyring Kommuner, legekontor m.fl. Direktoratet for e-helse tar i bruk HelseID i forbindelse med innføring av kjernejournal i kommunene, og Pasientens legemiddelliste. De regionale helseforetakene har innført eller planlegger å innføre PKI-basert e-id eller tilsvarende for lokal pålogging. Stort sett brukernavn og passord lokalt, det er ikke tilstrekkelig for bruk utenfor egen virksomhet. Ved å ta i bruk HelseID i alle nasjonale e-helseløsninger vil helsepersonell få én felles pålogging til disse. Normen åpner for redusert sikkerhetsnivå - helseforetakene må da inngå avtale med hver enkelt tjenesteeier. HelseID gjenbruker ID-porten for å tilby sikker pålogging, og kan enkelt integreres i fagsystemer. Innføring av HelseID i nasjonale løsninger forutsetter ikke at helsetjenesten trenger å gjøre vesentlige investeringer eller endringer. For at dette ikke skal bli en hindring for den enkelte virksomhet, er regionene tjent med å samarbeide om en felles tilnærming til risikovurdering og avtaleinngåelse. For denne gruppen er det viktig å få leverandørene på banen slik at EPJ blir tilrettelagt for pålogging med HelseID. Dette bør skje gjennom EPJløftet. 8
HelseID i hele helsetjenesten Nasjonal porteføljestyring Regional porteføljestyring Kommuner, legekontor m.fl. Direktoratet for e-helse tar i bruk HelseID i forbindelse med innføring av kjernejournal i kommunene, og Pasientens legemiddelliste. Ved å ta i bruk HelseID i alle nasjonale e-helseløsninger vil Én felles pålogging med helsepersonell få én felles pålogging HelseID i alle nasjonale e- til disse. helseløsninger Innføring av HelseID i nasjonale løsninger forutsetter ikke at helsetjenesten trenger å gjøre vesentlige investeringer eller endringer. De regionale helseforetakene har innført eller planlegger å innføre PKI-basert e-id eller tilsvarende for lokal pålogging. Normen åpner for redusert sikkerhetsnivå - helseforetakene må Med HelseID i regionene er da inngå avtale med hver enkelt én sikker pålogging lokalt tjenesteeier. nok For at dette ikke skal bli en hindring for den enkelte virksomhet, er regionene tjent med å samarbeide om en felles tilnærming til risikovurdering og avtaleinngåelse. Disse aktørene baserer seg på brukernavn og passord lokalt, det er ikke tilstrekkelig for bruk utenfor egen virksomhet. HelseID gjenbruker ID-porten for å tilby sikker pålogging, og kan enkelt Pålogging til EPJ med integreres i fagsystemer. HelseID gir engangspålogging For denne gruppen er det viktig å få leverandørene på banen slik at EPJ blir tilrettelagt for pålogging med HelseID. Dette bør skje gjennom EPJløftet. 9
Hvordan komme i gang med HelseID? www.nhn.no/helseid/ Side 10
Praktisk eksempel 1. Lege i HSØ forsøker å åpne nasjonal kjernejournal Nasjonal kjernejournal HelseID 2. Kjernejournal ser at brukeren ikke er autentisert og videresender brukeren til HelseID 3. HelseID ser at brukeren befinner seg i HSØ og sender ham direkte til HSØ sin STS Side 11
Praktisk eksempel Omdirigering Nasjonal kjernejournal HelseID Token HSØ STS Bruker Autentiseres AD DS 4. HelseID omdirigerer bruker til STS i HSØ 5. Autentisering av bruker skjer i HSØ ved at a) Bruker logger seg på, eller b) HSØ har konfigurert lokal bruk av SPNEGO som muliggjør gjenbruk av Kerberos ticket Side 12
Praktisk eksempel Relevante claims fra HSØ kopieres over til nytt token og signeres av Sentral STS Nasjonal kjernejournal Token signert av HelseID TOKEN HelseID 7. MRS mottar token fra sin STS, validerer signatur og slipper bruker inn i systemet 6. HelseID mottar token fra HSØ STS, transformerer tokens og omdirigerer nettleser tilbake til MRS sin STS Side 13
Planlagte leveranser 2017 Prosjektmål Beskrivelse Resultatmål 1: Felles autentiseringstjeneste for helse- og omsorgssektoren er satt i produksjon A. Forvaltningsmodell Identifisere og avtale forvaltningsmodellen. Forvaltningsmodellen definerer rollen og ansvaret til forvaltningsorganisasjonen. B. Forvaltningsorganisasjon Det må etableres en forvaltningsforvaltningsorganisasjon med ansvar for å håndheve forvaltningsmodellen, og forvalte den tekniske produksjonsløsningen. Forvaltningsorganisasjonen vil også ha et ansvar for avtaleregime, finansieringsmodeller, tjenestebeskrivelse med krav til de som skal ta tjenesten i bruk, og kontrollmekanismene for kravetterlevelse. C. Teknisk produksjonsløsning og dokumentasjon Tjenesteplattform som skalerer til nasjonale behov. Plattformen vil bestå av de tekniske løsninger som kreves for å tilby nødvendige mekanismer for autentisering og videreformidling av digitale identiteter. D. Implementasjonsguide Retningslinjer for hvordan løsningen skal brukes, som formaliseres gjennom en felles implementasjonsguide. Resultatmål 2: Innføringsstrategi for utbredelse av løsningen er besluttet E. Innføringsstrategi En innføringsstrategi for å sikre tilstrekkelig utbredelse i sektoren, og tjenester som bruker løsningen. F. Gevinstrealiseringsplan Med utgangspunkt i anbefalt innføringsstrategi og gevinstkartleggingen gjennomført av NIKT for prosjektet i 2016, bør det etableres en plan for uthenting av gevinster i sektoren. Resultatmål 3: Tiltak og prioriteringer for sikkerhetsinfrastruktur i helse- og omsorgssektoren er anbefalt G. Anbefalte tiltak og prioriteringer Det overordnede målet er at helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger gjennom hele behandlingsforløpet, uavhengig av hvor i landet pasienten og brukeren blir syk eller får behandling. Prosjektet skal levere en anbefaling om strategiske og taktiske tiltak og prioriteringer som adresserer utfordringene forbundet med identitets og tilgangskontroll på tvers av virksomheter og mellom IKT-systemer i helse- og omsorgssektoren. Side 14
Planlagte tiltak neste år Prosjektmål Beskrivelse Tilrettelegge identitets- og tilgangsstyringen for nye samhandlingsformer Utrede: Felles modell for tilgangskontroll og tillit på tvers av virksomhetsgrenser Felles enighet om tilgang mellom virksomheter kan bygge på lav eller høy tillit mellom virksomhetene Enighet om hvilke kilder som skal legges til grunn for tilgangskontroll En standardisert representasjon for tilgang Felles arkitektur Bistand til innføring av HelseID Nasjonale løsninger og fellesløsninger tar HelseID i bruk Leverandørmarkedet tilpasser sine produkter Helsetjenesten innfører HelseID lokalt Videreutvikling av HelseID for å møte nye behov Styrke arbeidet med informasjonssikkerhet og personvern Utrede: Behov for endringer i regelverk Felles juridisk fortolkning av regelverk Vurdere om det er behov for endringer i dagens regelverk Side 15
Masterplan for 2018-2022 ID LEVERANSE / AKTIVITET PB2018 2019 2020 Tilrettelegge identitets- og tilgangsstyring for nye samhandlingsformer 10 Utrede: Felles modell for tilgangskontroll og tillit på tvers Plan av virksomhetsgrenser #10.1 Beslutningsgrunnlag tillitsmodell og grunndata #10.2 Erfaringsrapport fra praktisk utprøving #10.3 Prosjektforslag 11 Grunndataløft for identitet og tilgangskontroll på tvers av virksomhetsgrenser 12 Utrede: Standard og tjenester for logging og logganalyse på tvers av virksomhetsgrenser 13 Bistand til innføring av HelseID (felles autentiseringstjeneste for helse- og omsorgssektoren) 14 Utrede: Pasientmedvirkning og informasjonsflyt Avslutte BP3 Gjennomføre Utredning Praktisk utprøving BP5 Plan BP3 Gjennomføre Avslutte BP4 BP5 Forberede gj.føring Plan Plan BP3 Gjennomføre Gjennomføre BP3 Styrke arbeidet med informasjonssikkerhet og personvern 15 Utrede: Behov for endringer i regelverk #15.1 Sluttrapport - behov for endringer i regelverk 16 Informasjonssikkerhetsstrategi for helse- og omsorgssektoren Plan BP3 Gjennomføre Utredning BP4 Avslutte BP5 Plan BP3 Gjennomføre BP4 Avslutte BP5 Side 16