Hvor sikkert er FMK?
Hvor sikkert er FMK? Hvilke udfordringer ligger der i at få decentrale regioner med egen sikkerhedspolitik til at få en sikker adgang til et centralt system? ved Jan Riis, [email protected] Hvem er jeg? Jan Riis, stiftende partner i Lakeside A/S Datalog fra Århus Universitet Involveret i diverse infrastrukturrelaterede projekter i sundhedssektoren – – – – SOSI (Ribe Amt / RSD / Danske Regioner / SDSD) OCES2 i regionerne (Danske Regioner / RSI) Sign-On projektet (SDSD) FMK infrastruktur (NSI) Hvorfor er sikkerhed særlig vigtig i FMK? Paradigmeskift, vi danner skole for fremtiden Data indleveres til Lægemiddelstyrelsen 7 og deles med sundhedsfaglige ud over hele landet LMS er ansvarlig for data 7 og retmæssig adkomst til dem Retmæssig adkomst (generelt) Stigende Kompleksitet Identitetssikring ”Hvem er du?” Autorisation ”Hvad må du?” Behandlingsrelation ”Hvilken relation har du til patienten?” Samtykke / Frasigelse ”Hvad siger patienten?” Relevans ”Er adgangen relevant?” Sikre bedst mulig it-teknisk understøttelse Eksempler på it-kontroller Identitetssikring Bevis at du er den du udgiver dig for! (NemID / Digital Signatur) Spørg myndigheder! Autorisation Uddannelse – spørg SST Lokalt tildelte rettigheder – spørg regionen (f.eks.) Registre - Generel, Historisk, Henvisning Behandlingsrelation Er du valgt som praktiserende læge for pt.? Har du tidligere været i kontakt med pt.? Er der henvist til dig? Lad os zoome ind på Identitetssikring Hvordan kan LMS sikre sig, at du er den du udgiver dig for? Fremlæg almenkendte akkreditiver – ”Flerfaktor autentifikation” – F.eks. husk brugernavn+kodeord+adgang til ”dims” – Eller Smartcard, Near-Field teknologi , Biometri Sikre at akkreditiver er udstedt ”sikkert” – Administrationsprocedurer – Var brugeren fysisk tilstede ved bestilling/udlevering – Blev der vist billedlegitimation? Regulering af teknologi og procedurer National Institute of Standards and Technology (NIST) – Special Publication NIST 800-63 – Autentifikationsniveauer (1 til 4) – Det er en betydelig opgave at leve op til niveau 3 (FMK). OCES (Digital Signatur / NemID i Danmark) – Opfylder NIST niveau 3 både på teknologi og procedurer – Underlagt meget skrappe revisionskrav Så hvor sikkert er FMK? NIST niveau 3 vha. Digital Signatur (OCES) Autorisation – Sundhedsfaglig autorisation kontrolleres (autorisationsregistret) – Evt. bemyndigelse kontrolleres gennem egen mekanisme Behandlingsrelation – På vej gennem FMKi projektet Samtykke / Privatmarkering – Kontrolleres gennem egen mekanisme Systemer certificeres Hvad skal der til for at f.eks. regionerne kan få adgang på anden vis? Først og fremmest skal LMS overbevises om det smarte i at lukke op for andre mekanismer end OCES Dernæst skal der implementeres teknologi og procedurer, der lever op til NIST niveau 3 – Flerfaktorautentifikation – Sikre administrationsprocedurer – Revisionsprocedurer skal ligeledes overholde kravene i NIST-3 Dele af ovenstående kan være dækket af eksisterende sikkerhedspolitikker Spørgsmål ? Kontakt: Jan Riis Lakeside A/S tlf. +45 21607252 email: jri<at>lakeside.dk
© Copyright 2024