Nyhetsbrev om sikkerhet for SMO, januar 2009
Fjerntilgang til din PC
Om tilgang utenfra og inn i helsenettet, samt fra de som er inne i helsenettet og ut.
All kommunikasjon inn mot sikker sone på legekontoret er sikret mot uautorisert tilgang fra andre brukere av helsenettet og fra eksterne brukere. Dette gjør at en oppkobling mot legekontoret initiert fra f.eks. Internett og inn mot legekontorets nett ikke er mulig. Det første hinderet finnes i ruteren som er utplassert av Norsk Helsenett. Denne ruteren er satt opp med en brannmur som i utgangspunktet hindrer all trafikk inn mot legekontoret. Eneste unntak er åpninger som er gjort på grunnlag av en bestilling fra legekontoret selv. En slik åpning gjøres kun av Norsk Helsenett, og kun mot betrodde parter tilkoblet helsenettet.
I tillegg til dette er det flere sikkerhetsbarrierer ut mot Internett der kontroll mot innbrudd og overvåking er to eksempler. Altså er helsenettet sikret mot tilgang fra eksterne brukere og inn i nettet. Så er det fra innsiden og ut. Her har alle brukere av helsenettet forpliktet seg til å risikovurdere sin bruk av tjenesten. Tredjeparts tilgang til brukerens PC er kun mulig ved at en tiltrodd bruker inne i helsenettet åpner for slik tilgang, og man åpner derfor for en risikofylt operasjon. For å få til dette må brukeren først laste ned spesifikk programvare fra nevnte tredjepart, så må brukeren bevisst åpne for tilgang fra denne til sin PC. Man må forutsette at en bruker som gjør dette, er bevisst de konsekvensene dette kan ha.
I veileder for fjernaksess til helsenettet står det blant annet at brukere med avtale med Norsk Helsenett skal benytte slik fjernaksess kun mot supportleverandører som er brukere av helsenettet. Den beskrevne handlingen ovenfor er derfor ikke i tråd med anbefalinger i veileder til ”Norm for informasjonssikkerhet i helsesektoren” (Bransjenormen). Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet finnes her.
Som kjent er et effektivt sikkerhetsarbeid bygget på så vel organisatoriske som tekniske tiltak. Alle brukere i helsenettet er databehandlingsansvarlige for sine helseopplysninger. Denne rollen er ifølge både Lov om behandling av personopplysninger og Helseregisterloven tillagt et betydelig ansvar også mht. informasjonssikkerheten. Som kunde av Norsk Helsenett har en sagt seg ansvarlig for å ha implementert krav i Bransjenormen og at en følger denne. Det er også utviklet et sett med faktaark og veiledere som nærmere beskriver kravene i normen. Med andre ord – som bruker i helsenettet er det forutsatt at en kjenner til og etterlever et sett med krav om informasjonssikkerhet.
Et stort antall tekniske sikkerhetsbarrierer er innført i helsenettet slik at uvedkommende ikke skal få adgang til helsenettet. For hver barriere blir det ført logger, og det blir initiert alarmer dersom forsøk på uautorisert adgang blir avdekket.
Tilkobling til Internett fra legekontor eller andre
Fra tid til annen avdekker vi at noen finner egne løsninger for tilgang til Internett utenom helsenettet.
Dersom dette skjer fra en PC som samtidig er tilknyttet helsenettet er dette brudd på avtalen som er inngått med Norsk Helsenett, og det har ingen betydning hvordan man eventuelt har sikret tilgangen til Internett med brannmurer e.l. Vi vil på det sterkeste advare mot at brukere finner slike kreative løsninger. Sikkerheten i helsenettet er ikke sterkere enn det svakeste ledd. Dersom brukere bevisst omgår tiltak som er rettet mot sikring av nettet, vil dette kunne øke risikoen for alle brukere i nettet. I tillegg er det ikke tillatt i henhold til Bransjenormen å koble seg til Internett fra sone hvor helseopplysninger behandles. Våre tjenester NHN-Flex og NHN-Term er laget nettopp for å åpne for en sikker tilgang til Internett fra helsenettet.
Om trusler i programvare på PC
De fleste av oss har faste rutiner for oppdatering av Windows og antivirusprogramvare. Undersøkelser viser at det på PC-en også befinner seg en rekke andre program som representerer sikkerhetstrusler for brukeren.
Nylige undersøkelser viser at langt på vei de fleste PC-er har ett eller flere program som representerer en sikkerhetstrussel. Det kan være at programmet har en sårbarhet som det er utviklet ondsinnet kode for å utnytte. Ved bruk av programmet kan man risikere at ondsinnet programkode blir lastet ned på PC-en. Konsekvensene kan i mange tilfeller bli alvorlige.
Utfordringen er å vite når et installert program representerer en trussel for deg. Her har bl.a. SECUNIA utviklet et program/ en tjeneste som er svært nyttig, PSI. De har etablert en database som inneholder oversikt over foreliggende sårbarheter, samt informasjon om når angjeldende program finnes med rettelser. Vi anbefaler brukere å laste ned en prøveversjon av dette programmet. De fleste vil nok bli overrasket over hvilke sårbarheter de har på sin PC.
For mer informasjon, se http://www.SECUNIA.COM
Praktiske tips til etterlevelse av ”Norm for informasjonssikkerhet i helsesektoren”
Normens avsnitt 6.3 Avvikshåndtering
Sitat fra normen:
”Virksomhetens ledelse, eller det organ ledelsen bemyndiger, skal behandle avvik med det formål å gjenopprette normal tilstand, fjerne årsaken til avviket og å hindre gjentagelse. Avviksbehandlingen iverksettes ved sikkerhetsbrudd og/eller når behandling av helse- og personopplysninger er utført i strid med gjeldende regelverk, retningslinjer eller prosedyrer. Avviksbehandling kan også iverksettes ved tilfeller av manglende eller uhensiktsmessige rutiner.”
Som vi ser av normen, er hovedmålet å gjenopprette normal tilstand når avvik inntreffer. Dette kan medføre at tiltak skjer på en annen måte enn normal prosedyre beskriver. Det er da svært viktig at man dokumenterer hvilken aksjon som blir gjort.
Mange glemmer å analysere avviket etter at normal tilstand er gjenopprettet. Ved hjelp av en slik analyse skal man finne ut hvorfor situasjonen oppsto, og vurdere om en lignende situasjon kan oppstå på nytt senere. Dersom det er overveiende sannsynlig at dette kan skje igjen, må man iverksette tiltak for å hindre/redusere sannsynligheten for dette. Etter at tiltakene har vært i bruk en tid, må man vurdere om tiltaket har vært hensiktsmessig. Først på dette tidspunkt kan avviket lukkes helt.
Mange glemmer også å ta vare på dokumentasjon om hva som blir gjort i de forskjellige steg i prosessen. Fordelen med god dokumentasjon er at man kan dra nytte av dette ved senere avvik av lignende art. Et godt system for avvikshåndtering sikrer at alle avvik blir dokumentert og registrert i en journal. Dette kan være en database eller til og med et regneark.
Det er viktig at avviksbehandling ikke får et negativt fokus. Se heller på et avvik som en mulighet til forbedring. På denne måten hindrer man at medarbeidere forsøker å skjule avvik for hverandre.
Vi kan i denne sammenheng vise til ”Trinnvis” som et nyttig hjelpemiddel til å etablere gode avviksrutiner.
