Nr
2 2004- Årgang 33
Trusler mot dataSIKKERHETEN ved legekontor
AV EVA HENRIKSEN / EVA SKIPENES
NST - Nasjonalt Senter for Telemedisin, Tromsø
DAG NORDVÅG
Sentrum Legekontor, Tromsø
Våren 2003 gjennomførte Nasjonalt senter for telemedisin (NST) i samarbeid med Sentrum legekontor i Tromsø en risikovurdering av informasjonssikkerheten på et legekontor som er tilknyttet et regionalt helsenett. I denne artikkelen vil vi framheve noen viktige trusler og sårbarheter ved datasystem, nettverk og prosedyrer ved tilknytning til eksterne nett (f.eks. helsenett) og viktige tiltak for å sikre tilfredsstillende informasjonssikkerhet.
Viktige trusler
og sårbarheter
Helseforetak og andre institusjoner som behandler personopplysninger er gjennom
personopplysningsforskriften pålagt å gjennomføre risikovurdering
(§ 2-4). Resultatet av risikovurderingen vil gjøre det enklere å
definere riktig nivå på sikkerhetstiltakene, og vil derfor fungere
som et beslutningsunderlag for de som er ansvarlig for at sikkerheten blir ivaretatt.
En forutsetning for å få oversikt over hvilke risikoer legekontoret utsettes for med hensyn til informasjonssikkerhet, er at det finnes et dokumentert styringssystem/kvalitets- system for informasjonssikkerheten. I et slikt system skal mål og strategi for informasjonssikkerhet defineres, og det skal beskrives hvordan sikkerhets-målene søkes oppnådd gjennom rutiner, tekniske installasjoner mm.
En annen forutsetning for å oppnå tilfredsstillende in- formasjonssikkerhet er at det gjennomføres en risikovurdering som avdekker risikonivået og behovene for tiltak. Ved gjennomføring av en risikovurdering er det viktig å tenke på ulike typer trusler.
I risikovurderingen vi gjennomførte så vi spesielt på trusler fra Internett, trusler fra andre aktører i helsenettet, trusler mot nettverkstilknytningen mellom legekontoret og helsenettet, trusler internt på legekontoret, trusler fra omgivelsene (strømbrudd, brann, etc) og trusler gjennom applikasjoner (f.eks. program for utveksling av pasientinformasjon med andre aktører).
Risikovurderingen avdekket
at de største truslene for et legekontor med tilknytning til et regionalt
helsenett er følgende:
o Avsløring av pasientinformasjon (brudd på taushetsplikten)
oved mangelfull kryptering av informasjon som utveksles elektronisk (over eksternt
nett)
odersom uvedkommende får tilgang til server eller skjerm med pasientinformasjon
ohvis virus som ikke oppdages og fjernes av antivirussystemene sender pasientinformasjon
til uvedkommende
ohvis andre enn autoriserte leverandører gis fjerntilgang (via nettet)
til server med pasientinformasjon
oved bruk av "social engineering"
oved å utnytte eventuelle svakheter i nettverket eller interne systemer
oved å bryte sikkerhetsbarrierer
o Tilgjengelighetstrusler
ohvis andre enn autoriserte leverandører får fjerntilgang til server
med pasientinformasjon og forårsaker sletting/ødelegging av pasientinformasjon
(f.eks. gjennom virus eller annen skadelig kode)
ohvis server med pasientinformasjon eller viktige program krasjer og man ikke
har gode backup-rutiner
Eksempel på en gjennomført risikovurdering finnes på NSTs hjemmesider (http://www.telemed.no/cparticle84896- 4259.html).
Anbefalinger for
tiltak
Følgende tiltak bør være implementert på legekontoret
for å redusere risikoen for sikkerhetsbrudd.
| Anbefalt tiltak | Begrunnelse |
| To barrierer mot eksterne nettverk driftet av eksperter | Krav om
to barrierer (brannmurer) mot eksterne nett. Dette gjelder også mot
helsenettet, som har mange aktører som ikke skal ha tilgang til informasjon på ditt lege kontor. Brannmurene bør driftes av personell med nødvendig kompetanse, f.eks. fra helsenett- leverandøren. |
| Gode antivirussystem lokalt, med fortløpende oppdatering fra profesjonell leverandør | Selv om
helsenettet sjekker all e-post og internett-trafikk for virus, og fjerner
kjente virus, kan de ikke sjekke krypterte forbindelser. Krypteringen hindrer gjenkjenning av innholdet for utenforstående (inkludert helsenettoperatørene). Virus kan derfor ikke gjenkjennes i slike forsendelser, før dekryptering er foretatt hos mottaker. Krav om anti- virussystem på legekontoret, og jevnlig oppdatering (minst daglig) fra relevant kilde (eksempelvis helsenettleverandøren). Server og alle pc-er på legekontoret må ha antivirusprogram installert. |
| Rutinemessig oppgradering av operativsystem | Operativsystem
(f.eks. fra Microsoft) inneholder en rekke ukjente sikkerhetshull. Når et hull blir oppdaget gir leverandøren ut en sikkerhetspatch (lite dataprogram) som skal reparere hullet. Samtidig begynner hackere å lage nye virus som skal utnytte det annonserte sikkerhetshullet. Hvis man er blant de første som får inn de nye virusene vil ikke antivirussystemet kjenne igjen virusene, og de vil slippe gjennom. Hvis operativ- systemet ikke har blitt oppgradert med sikkerhetspatchen før de nye virusene spres står man i fare for å blir angrepet. Oppgradering av sikkerhetspatcher innen 1 mnd etter at de blir annonsert vil som regel gi tilstrekkelig sikkerhet mot disse angrepene. |
| Kryptering av pasient-informasjon som kommuniseres eksternt | Pasientinformasjon
som sendes over eksternt nett skal krypteres i henhold til Data- tilsynets krav (minimum 128 bits nøkkellengde). Legekontoret må forsikre seg om at tjenestene som benyttes for ekstern kommunikasjon ivaretar krypteringskravet. Dette gjelder både for e-postlignende tjenester og web-baserte tjenester. |
| Ekstern kommunikasjon tillates ikke initiert utenfra | All ekstern
kommunikasjon skal initieres fra legekontoret og ikke fra aktører
utenfra, for å hindre uautorisert tilgang til datasystemene på legekontoret. Unntak for filialer (utekontor) og hjemmekontor. Unntakene forutsetter kontrollerte hull i brannmuren og krever spesielle sikkerhetstiltak. Dette må administreres/driftes av personell med tilstrekkelig kompetanse |
| Gode prosedyrer for sikkerhetskopiering (backup) | Mangelfulle
backup-systemer kan forårsake tap av hele eller deler av informasjonen i journalsystemet. |
| Gode passordprosedyrer | Bør
ha to sett med passord for å få tilgang til applikasjoner/program
med pasient- informasjon slik at ikke datadriftspersonale trenger å få tilgang til pasientinformasjon når de vedlikeholder systemene. To sett med passord gjør det også vanskeligere å bryte seg inn i systemene. |
| Opplæring av ansatte om sikkerhetstrusler | Krav om
opplæring av ansatte i bruk av datasystemene og om sikkerhetsrisiko
knyttet til å bruke systemene og tjenester over nett. Aktuelle sikkerhetstrusler er virus via e-post eller Internet, bruk av samme passord på Internet som på legekontorets systemer, trusler ved fjerndrift av systemene, tilgang til server, skriver eller skjerm med pasient- informasjon for publikum, rengjøringspersonale, datadriftspersonale, vaktselskap e.l. Ansvaret for opplæringen hviler på virksomheten ved daglig leder (ved mangel på formelt utnevnt daglig leder hviler ansvaret på styreleder for aksjeselskap og den enkelte lege for kontorfellesskap) |
En god backup-prosedyre
bør inneholde følgende:
| Rutine | Utdypning |
| Daglig backup | Hvem utfører
daglig backup, hvordan utføres den, hvilket medium lagres backup på, hvor oppbevares backup (eksempelvis brannsikker safe), hvor ofte byttes backup-medium, etc. |
| Ekstern lagring av backup | Hvor ofte
(eksempelvis hver 3., 4. eller 6.mnd), hvem utfører ekstern lagring, hvor (bankboks eller annen sikker oppbevaring) |
| Testing av backup | Testing av at data blir lagret på backup-mediet backup slik det skal |
| Testing av restore/tilbakelegging av backup | Testing
av at det lar seg gjøre å legge backup tilbake på server på en kontrollert måte. Hvor lang tid tar det? Hvilken kompetanse kreves? Hvilket utstyr kreves? |
En god passordprosedyre bør oppfylle følgende krav:
| Krav | Begrunnelse |
| Personlige passord (alle brukere har forskjellig passord) | Den enkelte
bruker er ansvarlig for det den gjør i datasystemene. Systemene må derfor kunne skille mellom hvem som til enhver tid er inne. |
| Passord holdes hemmelig | Ingen skal kunne gjøre noe i en annens navn |
| To sett med passord for å nå pasientdata | Ett passord
for å logge seg på pc eller lokalnett og ett ekstra for å
logge seg på pasient- systemer gjør det mulig for driftspersonale og andre å logge seg på systemet uten å få tilgang til pasientinformasjon. To sett med passord gjør det også vanskeligere å bryte seg inn i systemer med pasientinformasjon. |
| Krav til lengde og format på passord | Gratis
programvare som på få sekunder knekker passord som er utformet
som ord i ordbøker er tilgjengelig på Internet. Passord bør derfor inneholde kombinasjon av bokstaver, tall og evt. andre tegn, og vi anbefaler minimum 7 tegn. |
| Forbud mot å bruke lokalt passord på Internett | Noen Internett-steder
er opprettet for at eierne skal samle brukernavn og passord som kan brukes til å trenge inn i datasystemene til kundene. Passord som brukes på lege kontoret bør derfor ikke benyttes andre steder. |
Regelmessig bytte av passord |
Passord
bør skiftes, helst flere ganger årlig, i tilfelle noen har
klart å gjette/få tilgang til passordet ditt uten at du har oppdaget det. |
| Rutinemessig sletting av bruker-navn og passord for brukere som slutter | Personer
som ikke jobber ved legekontoret skal ikke ha brukernavn og passord som
gir tilgang til systemene. |
Vi anbefaler alle legekontor
å gjennomføre en lokal risikovurdering av sikkerhetstruslene nevnt
i denne artikkelen, dersom dette ikke allerede er gjort. Vi anbefaler også
at det gjøres en gjennomgang av alle rutiner og prosedyrer som har betydning
for datasikkerheten.
Har du kommentarer, reaksjoner eller spørsmål om artikkelen?Inspirerer
den deg til å skrive noe selv? Ansvarlig redaktør for denne artikkelen
har vært Jannike
Reymert. Kontakt henne på jannike.reymert@c2i.net
Instituttets hovedside
UiBs
Hovedside
Institutt for samfunnsmedisinske fag,
Oppdatert 12.04..2004
John Leer