Beskyttelse av pasientinformasjon i en dynamisk hverdag, Situasjonsavhengig tilgangskontroll Inge Os Sales Consulting Director Oracle Inge.os@oracle.com IKT usikkerhetens mange ansikter Forskjellige former for økonomisk vinning Generelt er risiko lav/gevinst høy Fra Danmark «Se og Hør sagen» Sony Adobe New York Times 1
En enorm kapasitet Unit 61398 Folkets Frigjøringshær Misbruk av helseopplysninger Forsikringsbransjen Politiske svertekampanjer Ansettelser Private Etterforskere Økonomisk vinning Karriere/konkurranse Forskning/forskningsresultater 4 2
Hvilke kontroll mekanismer er på plass? Sikkerhets-trekanten, K.I.T Konfidensialitet Integritet Tilgjengelighet Konfidensialitet Sensitiv informasjon vises til kun de som har saklig grunn til å se/endre den Integritet Informasjonen er korrekt. Informasjonen er den den utgir seg for å være Tilgjengelighet Informasjonen er tilgjengelig når den skal 3
Sikkerhets-trekanten, K.I.T Integritet Konfidensialitet Konfidensialitet Sensitiv informasjon vises til kun de som har saklig grunn til å se/endre den Helse personell skal ha enkel og sikker tilgang til pasientopplysninger Basert på tjenstlig behov Tilgjengelighet Integritet Informasjonen er korrekt. Informasjonen er den den utgir seg for å være Tilgjengelighet Informasjonen er tilgjengelig når den skal Innsyn, kontrolltiltak Almen preventive Synliggjøre i organisasjonen effekt av tiltak Systematisk preventive Som regel tekniske løsninger, f. eks. aksess kontroll løsninger Avdekkende Loganalyse, innsynslogg Administrative Sikkerhets opplæring, holdningsarbeidet, ansvarliggjøring 8 4
Motivasjon og organisasjon av sikkerhetsarbeid Motiveres ofte av lovgiver/tilsyn Hovedmotivasjon, «dette er noe vi er pålagt» Kommer i konflikt med andre budsjettmessige hensyn IKT sikkerhet skal forankres i foretakets ledelse, et systematisk kontinuerlig program 9 Helseopplysninger, utfordringer Lovverket Visjon om at journal følger pasient Deling av opplysninger på tvers av HF/HR, Primær helsetjeneste Eierskap til data, ansvarlig behandler, overførsel av eierskap Kompleksitet, system diversitet Tilgjengelighet overstyrer alt. Cloud/Sky tjenester og nye leveransemodeller. Mobile løsninger 10 5
Kompleksitet noen eksempler 11 Vanlige sikkerhetsmodeller Den klassiske måten å modellere sikkerhet på er gjennom klassifisering av data med tilhørende nettverkssegmentering Hvilken sikkerhets klasser er EPJ? Aksess fra ethvert nettpunkt i et sykehus Rolle basert aksesskontroll Klassisk tankegang for administrasjon av dataaksess Klient basert sikkerhet Viruskontroll, tilgang til PC/Enhet 12 6
Rollebasert aksess kontroll Lege AHUS Behandler Omsorg Portør Helse personell Rolle Ressurs 13 Rolle basert aksess kontroll (RBAC) En rolle en logisk gruppering av aksessrettigheter En ansatt har tildelt en eller flere roller En rolle gir tilgang til en eller flere ressurser (applikasjoner, web sider ) En ansatt får dermed tilgang til en eller flere applikasjoner gjennom medlemskap i rollen. 14 7
Roller og pasientinformasjon En ansatt kan ha flere roller Overlege på en avdeling på dagtid Bakvakt på en annen avdeling på kveldstid Akuttmottak i helgen Rollen må dynamisk tilpasses den aktuelle kontekst den brukes i Pasientforløpet er dynamisk Aksess til pasient data må gis basert på helsepersonellets kontekst i kombinasjon med behandlingsforløp. 15 Automatisert rolletildeling Exchange/ AD Provisioning targets Access Policies Provisioning Platform Certification/ Analytics Workflow Auditor HR/ turnus 8
Roller og pasientinformasjon Skalerbarhets utfordringer Helsepersonell ender opp med å ha for mange roller RBAC fanger ikke dynamikken Hovedprinsippet, tjenstlig behov og «need to know» overholdes ikke 17 Attributt basert aksess kontroll (ABAC) For dynamiske miljø har attributt basert adgangskontroll vokst fram som et supplement til roller Attributt basert adgangskontroll er en mekanisme som evalueres i kjøretid Moden modell for ABAC er OASIS s XACML extensible Access Control Markup Language XACML er et sett av definisjoner for Arkitektur API er Detaljert policy modellering 18 9
ABAC vs RBAC RBAC er en statisk modell hvor endringer tradisjonelt provisjoners ut før subjekter kan aksessere objektet ABAC evaluere i sann tid om subjektet skal få tilgang til objektet ABAC kombinerer ofte dynamisk rolle autorisasjon med attributt baserte autorisasjonsbeslutninger ABAC er en sentralisert autorisasjonstjeneste med sentralisert forvaltning og logging 19 XACML arkitektur PAP Policy Administration Point PEP Policy Enforcement Point PDP Policy Decision Point PIP Policy Information point PRP Policy Repository Point 10
Tilgang for behandlere (leger) 21 Autorisasjon bør bygge på gjeldende relasjon mellom behandler og pasient Inneliggende på behandlers avdeling Telefon fra fastlege Bakvakt poliklinikk Bruk av pasient-opplysninger er styrt utfra et tjenstlig behov. Dette behovet er svært dynamisk Denne dynamikken vedlikeholdes av EPJ 22 11
EPJ som det sentrale autorisasjonssystemet 23 EPJ som det sentrale autorisasjonssystemet 24 12
EPJ som det sentrale autorisasjonssystemet EPJ Fagsystem Brukerrolle Beslutning AppServer Tilgangsstyring Oracle DB DIPS ARENA XACML Sporingsdata AppServer Tilgangsstyring Oracle DB RIS Sentralisert autorisasjonstjeneste, prosjekt Autorisasjon tilbys som en tjeneste fra sentral EPJ gjennom XACML Autorisasjon konsumeres av fagsystem gjennom XACML Kan kravstille nye fagsystemer -> må konsumere XACML Enkle policy, logikk ligger i EPJ Utskifting av EPJ, transparent for fagsystemet Sentral forvaltning Sentral innsamling av all sporings informasjon 13
Oppsummering IKT sikkerhets modenhetsnivå og forvaltning varier Mange fagsystemer, ingen sentral forvaltning av dynamiske aksess regler Rolle bytte gjennom regel motor skalerer ikke XACML basert sentral tjeneste kan være en vei å gå 27 Oracle Confidential Internal/Restricted/Highly Restricted 28 14