Hvor sikkert er FMK?

Hvilke udfordringer ligger der i at få decentrale regioner med egen sikkerhedspolitik til at få en sikker adgang til et centralt system?

ved Jan Riis, jri@lakeside.dk

Hvem er jeg?

·  Jan Riis, stiftende partner i Lakeside A/S ·  Datalog fra Århus Universitet ·  Involveret i diverse infrastrukturrelaterede projekter i

sundhedssektoren –  SOSI (Ribe Amt / RSD / Danske Regioner / SDSD) –  OCES2 i regionerne (Danske Regioner / RSI) –  Sign-On projektet (SDSD) –  FMK infrastruktur (NSI)

Hvorfor er sikkerhed særlig vigtig i FMK?

·  Paradigmeskift, vi danner skole for fremtiden

·  Data indleveres til Lægemiddelstyrelsen … og deles med sundhedsfaglige ud over hele landet

·  LMS er ansvarlig for data … og retmæssig adkomst til dem

Stigende K

ompleksitet

Identitetssikring ”Hvem er du?”

Autorisation ”Hvad må du?”

Behandlingsrelation ”Hvilken relation

har du til patienten?”

Samtykke / Frasigelse

Relevans

”Hvad siger patienten?”

”Er adgangen relevant?”

Retmæssig adkomst (generelt)

Sikre bedst mulig it-teknisk understøttelse

Identitetssikring Bevis at du er den du udgiver dig for! (NemID / Digital Signatur)

Autorisation

Behandlingsrelation

Spørg myndigheder! Uddannelse – spørg SST Lokalt tildelte rettigheder – spørg regionen (f.eks.)

Registre - Generel, Historisk, Henvisning Er du valgt som praktiserende læge for pt.? Har du tidligere været i kontakt med pt.? Er der henvist til dig?

Eksempler på it-kontroller

Lad os zoome ind på Identitetssikring

·  Hvordan kan LMS sikre sig, at du er den du udgiver dig for? ·  Fremlæg almenkendte akkreditiver

–  ”Flerfaktor autentifikation” –  F.eks. husk brugernavn+kodeord+adgang til ”dims” –  Eller Smartcard, Near-Field teknologi , Biometri

·  Sikre at akkreditiver er udstedt ”sikkert” –  Administrationsprocedurer –  Var brugeren fysisk tilstede ved bestilling/udlevering –  Blev der vist billedlegitimation?

Regulering af teknologi og procedurer

·  National Institute of Standards and Technology (NIST) –  Special Publication NIST 800-63 –  Autentifikationsniveauer (1 til 4) –  Det er en betydelig opgave at leve op til niveau 3 (FMK).

·  OCES (Digital Signatur / NemID i Danmark) –  Opfylder NIST niveau 3 både på teknologi og procedurer –  Underlagt meget skrappe revisionskrav

Så hvor sikkert er FMK?

·  NIST niveau 3 vha. Digital Signatur (OCES) ·  Autorisation

–  Sundhedsfaglig autorisation kontrolleres (autorisationsregistret) –  Evt. bemyndigelse kontrolleres gennem egen mekanisme

·  Behandlingsrelation –  På vej gennem FMKi projektet

·  Samtykke / Privatmarkering –  Kontrolleres gennem egen mekanisme

·  Systemer certificeres

Hvad skal der til for at f.eks. regionerne kan få adgang på anden vis?

·  Først og fremmest skal LMS overbevises om det smarte i at lukke op for andre mekanismer end OCES

·  Dernæst skal der implementeres teknologi og procedurer, der lever op til NIST niveau 3 –  Flerfaktorautentifikation –  Sikre administrationsprocedurer –  Revisionsprocedurer skal ligeledes overholde kravene i NIST-3

·  Dele af ovenstående kan være dækket af eksisterende sikkerhedspolitikker

Spørgsmål ?

Kontakt: Jan Riis Lakeside A/S tlf. +45 21607252 email: jri<at>lakeside.dk