Nyhetsbrev om sikkerhet for SMO, juni 2008

Norsk Helsenett – en sikret elektronisk samhandlingsarena

Ett av motivene for å opprette et felles helsenett for hele helse- og sosialsektoren i Norge var behovet for å etablere et sikret nettverk for å utveksle helse- og personopplysninger. I det følgende vil vi beskrive noen av de elementene som etter vår mening bidrar til en slik sikret samhandlingsarena. Vi skriver også om uheldig bruk av DES-nøkler, og til slutt utdyper vi litt om Normens krav til sektoren.

Den elektroniske samhandlingsarenaen

Felles rammeverk

Ett av kriteriene for å kunne knytte seg til helsenettet er at kunden i sin avtale bekrefter at han/hun vil implementere og etterleve ”Norm for informasjonssikkerhet i helsesektoren”. Brudd på avtalen kan i ytterste konsekvens medføre utestenging fra helsenettet. Ingen lenke er som kjent sterkere enn det svakeste ledd, og dette betyr at vi forventer at våre brukere tar kravene i Normen på alvor, og etablerer tilfredsstillende sikkerhet.

Styrt tilgangskontroll

Norsk Helsenett åpner kun for virksomheter som har et legitimt behov for tilgang til helsenettet. Dette betyr at vi etablerer et sterkt bransjepreget nettverk.

Overvåking

Det er etablert kontinuerlig overvåking av trafikken i nettet, slik at man reduserer risikoen for at ondsinnet aktivitet får utfolde seg. Dette gjelder både ondsinnet kode som virus, trojaner eller ormer, og ondsinnet aktivitet, som for eksempel tjenestenektingsangrep.

Standardisert oppsett

All tilgang til nettet blir styrt av standardiserte komponenter som konfigureres sentralt av ansvarlig, autorisert personell i Norsk Helsenett. Dette reduserer risiko for at utstyr settes opp med feil som kan åpne for uautorisert adgang.

Nasjonal krypteringstjeneste

Norsk Helsenett jobber, sammen med helseregionene, med implementering av nasjonal krypteringstjeneste. Dette vil gi brukerne mulighet til ende-til-ende kryptering på nettverksnivå, ved sending av sensitive helse- og personopplysninger. Fra før har SMO-segmentet krypterte linjer fra egen lokasjon fram til helsenettet.

Uheldig bruk av DES-nøkler

Norsk Helsenett har hørt at noen av våre brukere benytter faste DES-nøkler til kommunikasjon mellom flere parter. Vi er usikre på om dette stemmer, men velger likevel å si noe om det her, da det i så fall er en uheldig praksis. Det betyr at flere kan ha kunnskap om den valgte nøkkel, og dersom en melding for eksempel blir feilsendt, kan dette føre til at uvedkommende får innsyn i sensitive helse- og personopplysninger.

Nå vil handtering av DES-nøkler erstattes av det nye rammeverket som implementeres over alt, og som også har fokus i det nye nasjonale prosjektet ”Meldingsløftet”. Det er stor nasjonal enighet om at ebXML for meldingsutveksling og PKI er veien å gå for å få til mange-til-mange kommunikasjon på en enkel og sikker måte. Vi vil i denne sammenheng vise til KITH på www.kith.no og deres informasjon om ebXML som standardisert rammeverk for utveksling av elektroniske meldinger.

Praktiske tips til etterlevelse av ”Norm for informasjonssikkerhet i helsesektoren”

Gjennom avtalen med Norsk Helsenett er alle kunder forpliktet til å følge ”Norm for informasjonssikkerhet i helsesektoren”. Normen inngår som del av avtaleverket. Vi vil i dette, og etterfølgende nyhetsbrev, ta opp noen sentrale krav i normen, og beskrive hvordan vi mener kravet best kan møtes.

Normens krav 4.1 - Styringssystem for informasjonssikkerhet

Virksomhetens ledelse skal etablere et styringssystem for informasjonssikkerhet som en del av virksomhetens internkontrollsystem. Dette styringssystemet angir aktiviteter for å rettlede og styre virksomheten når det gjelder informasjonssikkerhet, og skal som et minimum omfatte:

1. Organisering og styring av informasjonssikkerhet

• Ansvarsforhold beskrives slik at det er tydelig hvem som er ansvarlig på ulike nivåer og hva de er ansvarlige for.
• Formål med behandling av helse- og personopplysninger beskrives slik at det er tydelig hva helse- og personopplysningene benyttes til.
• Mål for informasjonssikkerhet defineres. På grunnlag av målene skal det fastsettes et nivå for akseptabel risiko (akseptkriterier), slik at det er mulig å kontrollere om sikkerhetsmålene nås.
• Sikkerhetsstrategi for å nå sikkerhetsmålene utarbeides. Strategien skal vise valg og prioritering av sikkerhetstiltak.

2. Gjennomføring

• Det skal føres oversikt over helse- og personopplysninger som behandles i virksomheten. I oversikten skal hjemmelsgrunnlaget for behandlingen angis, og tidspunkt for når melding, ev. konsesjonssøknad, er sendt Datatilsynet.
• Oversikt over partnere og leverandører skal dokumenteres. Virksomheten skal etablere klare ansvarsforhold mellom partnere og leverandører som beskrives i en særskilt avtale.
• Konfigurasjonskart og beskrivelse av den IT-tekniske løsningen skal utarbeides.
• Prosedyrer for informasjonsbehandlingen skal dokumenteres og innføres.

3. Kontroll og oppfølging

• Risikovurderinger skal gjennomføres for å kartlegge risikoområder, og klarlegge sannsynligheten for og konsekvens av uønskede hendelser.
• Risikovurdering skal som minimum gjennomføres før:

- etablering av nye informasjonssystemer, eller registring som inneholder helse- og personopplysninger, 

- organisatoriske endringer som kan påvirke informasjonsbehandlingen,

- større konfigurasjons- og systemendringer. Ledelsen skal utarbeide og vedta en plan for risikovurderinger i virksomheten.

• Sikkerhetsrevisjoner skal gjennomføres jevnlig og minimum årlig iht. plan.
• Avvikshåndtering iverksettes ved sikkerhetsbrudd, og/eller når oppgaver utføres i strid med gjeldende prosedyrer eller ”vanlig praksis”. Virksomheten skal ha en egen prosedyre for håndtering av avvik.
• Ledelsens gjennomgang skal gjennomføres minimum årlig. Formålet med ledelsens gjennomgang er å avdekke om sikkerheten ivaretas iht. mål, strategier og prosedyrer, og å beslutte handlingsplaner for det videre sikkerhetsarbeidet.

Vi ønsker alle våre brukere en riktig god sommer!