<udkast> Strategi og arkitektur for Effektiv Systemadgang

Transkript

1 <udkast> Strategi og arkitektur for Effektiv Systemadgang Ver. 1.4 Marts 2012 Region Syddanmark 1/26

2 INDHOLDSFORTEGNELSE 1. Introduktion Baggrund Indledning Strategiperspektiv Afgrænsning Beskrivelse af den nuværende situation Mål for effektiv adgang til it-systemer Konceptuel arkitektur Elementerne i den konceptuelle arkitektur Logon/ogoff Brugerstyring og administration Digital signatur Klinisk arbejdsplads Det samlede billede Andre Forhold Timeout Privacy og biometri Processen videre Andre forbedringstiltag Forkortelser og definitioner Bilag 1 - Teknisk beskrivelse Digital signatur Bilag 1 - Løsningsmodeller/teknologi SSO Referencedokumenter Dokumentlog /26

3 1. INTRODUKTION 1.1 Baggrund Nærværende dokument tager udgangspunkt i et tilsvarende dokument udarbejdet af Region Hovedstaden, som indgår i regi af Regionernes Sundheds-it organisation (=RSI). Dokumentet er tilpasset Region Syddanmarks arkitektur og infrastruktur. 1.2 Indledning Region Syddanmark oplever stadig stigende udfordringer med, at imødekomme brugernes ønsker om hurtig, let og smidig adgang til relevante kliniske systemer samtidig med, at adgangskrav og rettighedskrav til såvel funktionalitet som data håndhæves. Der bruges for meget tid på login-processen i løbet af arbejdsdagen, og adgangen til de helt nødvendige systemer hæmmes af, at der kræves mange forskellige passwords. Disse passwords skal ofte skiftes med forskellige intervaller, hvilket gør det yderligere vanskeligt for brugerne. Endvidere er klinikernes daglige arbejde præget af stor mobilitet, hvilket medfører, at klinikeren ofte benytter forskellige arbejdsstationer i løbet af en dag. De nuværende løsninger på adgangen til de kliniske systemer udgør en barriere for medarbejdermobiliteten. En af konsekvenserne af denne situation er, at klinikere i nogle situationer deler password og har samme bruger logget ind i lang tid, så de på den vis opnår en mere effektiv adgangssituation. Situationen omkring adgang til it-systemer er således også problematisk i forhold til at leve op til Regionens sikkerhedsforskrifter. Den problematik forstærkes af, at det er besluttet at indføre det fælles medicin kort (FMK), som kræver flere logins og som samtidig er baseret på anvendelse af en digital signatur. Det betyder, at der skal stilles nye krav til regionens infrastruktur mht. håndtering af indlogning, forskellige passwords og aktivering af den digitale signatur, hvor hensigten er, at dette håndteres i én arbejdsgang. Ud over at give klinikerne hurtig adgang til de kliniske systemer via single sign-on er det samtidig nødvendigt at understøttelse automatiseret oprettelse/nedlæggelse af brugeradgange til relevante systemer, som er baseret på ansættelsesoplysninger. Der er i arbejdet med denne strategi og arkitektur identificeret en lang række tekniske løsningselementer. Nogle løsningselementer er nødvendige (fx digital signatur), hvorfor opgaven er at få disse indarbejdet bedst muligt i den kliniske arbejdsplads. Andre kan mere frit til-/fravælges, og fokus har været at sikre, at arkitekturen er åben, så det er et åbent valg, og at vi senere kan tage disse dele ind (fx smart Card, biometri). 1.3 Strategiperspektiv Dokumentet forholder sig til ét af RSI s pejlemærker, som omhandler den kliniske itarbejdsplads. Pejlemærket omhandler bl.a. SSO (Single sign on), og Region Syddanmark er forpligtet til inden udgang af 2013 at give nem og hurtig adgang til de væsentlige systemer fra den kliniske it-arbejdsplads (bl.a. single sign on). 3/26

4 Figur 1 - RSI pejlemærker Rent strategisk og arkitekturmæssigt vil dokumentet også beskrive de yderligere tiltag, som er nødvendige for at få en effektiv klinisk it-arbejdsplads. Her tænkes bl.a. på, brugerstyring (=Identity Management), som bl.a. omhandler oprettelse og nedlæggelse af brugere samt muligheden for anvendelsen af Virtuelle Desktops. 1.4 Afgrænsning Det er ikke strategiens mål at gå ind i valg af særlige adgangsteknologier som biometriske løsninger (fingeraftryksaflæsning, irisscanning mm.) og/eller token-/smart Card-løsninger, der kan give adgang til it-systemer uden at brugeren behøver at huske passwords. Strategien og arkitekturen skal dog ikke forhindre senere udbygning i denne retning, hvorfor emnet adresseres. Strategien beskæftiger sig ikke med relaterede områder som effektiv adgang til f.eks. patientinformation og lignende. Strategiens primære fokus er effektiv adgang, når brugeren fysisk er på eksempelvis et sygehus i Regionen. Mekanismer til at give brugeren adgang til Regionen fra en ekstern lokation inddrages ikke. Strategien er tilsvarende rettet mod adgang via regionens it-udstyr. Der udpeges i strategien ikke sikkerhedsmæssige tiltag. Emnet behandles, da senere tilpasning (forhøjelse) af sikkerhedsniveauet ikke forhindres, men det er ikke en målsætning for strategien at ændre på sikkerhedsniveauet. 1.5 Beskrivelse af den nuværende situation Generelt set er den nuværende situation vedrørende adgange til it-systemer ikke tilfredsstillende. Særligt er der store udfordringer i den kliniske arbejdssituation, der er præget af behov for mobilitet, specielle arbejdssituationer (fx brug af handsker), fokus på hygiejne, osv. altså en 4/26

5 markant anden arbejdssituation end fx kontorarbejde. Dette stiller specielle krav til de itløsninger, der understøtter det kliniske personale Mange forskellige it-systemer I hverdagen har klinikerne brug for en lang række forskellige applikationer. Centrale behov er: Væsentlige kliniske applikationer PAS EPJ RIS /PACS Laboratoriesystem osv. Mail Outlook Web-mail Administrative applikationer Økonomi osv. Fil-drev Printere Etc. Systemerne fremstår som et uensartet sæt, der er udviklet af forskellige leverandører på forskellige tidspunkter og med forskellige forudsætninger for adgang og brugerstyring. Ofte har systemerne deres egen interne brugerstyringssystem / brugerdatabase Forskellige måder for adgang til it-systemer Adgang til systemerne er forskellig på tværs af Regionen. Nogle brugere anvender primært egen arbejdsstation, mens rigtig mange benytter fælles arbejdsstationer. For at forbedre brugeroplevelsen har man flere steder indført login til arbejdsstationen med en generisk bruger. Dette reducerer login-tiden, da arbejdsstationen så er klar, når brugeren begynder at anvende maskinen Sessionsfastholdelse og kontekststyring Et typisk brugsmønster er, at man primært anvender det samme sæt af applikationer hen over dagen, og at man ønsker at fortsætte arbejdet, hvor man tidligere slap det, fx efter møde eller frokost. Dette brugsmønster understøttes med såkaldt sessionsfastholdelse. Sessionsfastholdelsen kan udvides med kontekststyring (skiftes patient slår dette igennem flere steder), hvilket regionen anvender i forhold til visse integrationer og ser som et element i fremtidige løsninger Digital signatur Digital signatur skal fremover anvendes bredt også indenfor for sundhedssektoren. I dag anvendes den primært til Sundhedsstyrelsens Elektroniske Indberetning (SEI) og FMK. Grundet tekniske og arbejdsgangsmæssige problemer er brugerne dog ikke specielt glade for løsningen. Blandt andet giver det problemer, at den digitale signatur stiller krav om selvstændigt login. Anskaffelsen er også en manuel proces, som dog nogle steder understøttes af semiautomatiserede processer. 5/26

6 1.5.5 Autentifikation Til autentifikation (verificering af identitet) af brugere anvendes AD, samt applikationernes egne brugeradministrations + login-løsninger. Dette betyder, at man har ganske mange forskellige brugerid'er + passwords. Regionen arbejder fremadrettet på, at samle disse i ét fælles AD, hvorved antallet af bruger id/passwords reduceres SSO løsninger De kliniske brugere i Region Syddanmark, som dagligt benytter mange forskellige systemer, har længe haft ønske om at få single sign-on (=SSO). SSO kan kort udtrykkes som én autentifikation og derefter fri adgang til de ønskede systemer og data Brugeradministration / brugerstyring Brugeradministration eller brugerstyring defineres som oprettelse, nedlæggelse og tildeling af roller og rettigheder. I dag kan der gå forholdsvis lang tid fra, at en afdeling bestiller en brugeroprettelse (eks. nyansættelse) med tilhørende adgange til relevante kliniske systemer, til at disse oprettelser er gennemført i praksis. Det skyldes, at visse oprettelser stadig er baseret på manuelle arbejdsgange, og ventetiden kan ofte være lang Sikkerhedsmæssige konsekvenser Den eksisterende situation har nogle sikkerhedsmæssige konsekvenser. Det er kendt, at der deles login mange steder i regionen. Denne problemstilling forværres af, at der nogle steder er mange brugere pr. arbejdsstation, så det for alle parter er nemmest, at adgange lånes. Forskellige bruger-id er og passwords fx til digital signatur er også et stort irritationsmoment. Mange kan ikke huske passwords, da de sjældent anvendes. Da det samtidig er langsommeligt at generhverve sin signaturadgang, ved vi, at der sker deling af passwords, hvilket er problematisk. 1.6 Mål for effektiv adgang til it-systemer Det overordnede mål for effektiv adgang til it-systemer i Region Syddanmark er, at regionens brugere kan få adgang til it-systemerne hurtigt ved brug af så få adgangskoder som muligt. Dette skal føre til, at brugernes arbejdsgange understøttes af adgangsteknologierne, hvilket kan specificeres således: Brugere skal let kunne autentificere sig (begrænset antal koder) Indlogning skal ske hurtigt (max. 5 sek.) Mobilitet imellem de kliniske applikationer skal være understøttet (session- og kontekst fastholdelse) Brugere skal hurtig kunne oprettes/nedlægges i de kliniske systemer Sikkerhed ved adgang skal være i overensstemmelse med lovgivning og regionens sikkerhedspolitikker. For at understøtte dette, opstilles følgende delmål: Der skal ske en reduktion af tiden fra brugeren logger på til denne har den nødvendige adgang (max. 5 sek.). Der skal ske en reduktion af antallet af gange der logges på såvel: o interne applikationer som 6/26

7 o eksterne applikationer og services Der skal ske en forbedring af login-oplevelsen ved at: o Indføre ét brugernavn og password. Dette er selvsagt lettere at huske og derfor også sikrere (ingen gule sedler med passwords), og vil give administrative lettelser. o Åbne for en fremtidig effektivisering af adgangsprocessen eksempelvis ved hjælp af smartcards, biometri, etc.. Enkel og brugervenlig tilgang til nationale services via anvendelse af den digitale signatur, hvilket fordrer: o Den digitale signatur kobles til regionens brugerstyringssystem. o Tæt integration af den digitale signatur og den interne login. En bruger skal få adgang til signaturen uden eksplicit at blive gjort opmærksom på det. o Certifikater kan straks-udstedes, så vikarer kan sættes i arbejde med det samme. o Mobilitet understøttes, så den digitale signatur er løsrevet fra den enkelte arbejdsstation. Koordinering af sikkerhed og arkitektur i overensstemmelse med lovgivning mv. Mobilitet så brugerne kan flytte sig fra arbejdsstation til arbejdsstation, mens session og patientkontekst fastholdes. Oprettelse, ændring og nedlæggelse af brugere skal ske hurtigst muligt. Design for fremtidig tilpasning, så sessionerne deaktiveres når brugeren er fysisk borte fra arbejdsstationen, og ikke som i dag ud fra at der er gået et bestemt stykke tid uden aktivitet. Da Regionens sygehuse på nuværende tidspunkt har et stort antal forskellige teknologiske udgangspunkter for adgange til systemer, som ikke kan ændres på kort sigt, er det et krav, at de udpegede løsninger løbende kan indarbejdes (organisk udvikling), og ikke kræver big bang udskiftninger. 2. KONCEPTUEL ARKITEKTUR Målet er at effektivisere og fjerne brugerens bevidsthed om teknik i sin tilgang til regionens systemer, men dette dokument vil også have et teknisk fokus. Figur 2 skitserer en konceptuel arkitektur for den kliniske it-arbejdsplads baseret på heterogene systemer og med adgang til eksterne applikationer via webapplikationer og web services gennem anvendelse af blandt andet den digitale signatur. 7/26

8 Gøres tilgængelig Autentificering Autentificering Launcher Kalder Sæt kontekst Figur 2 - Konceptuel arkitektur De konceptuelle elementer i arkitekturen er følgende: Logon/logoff. For at få adgang til den kliniske arbejdsplads kræves det, at brugeren autentificerer sig. Klinisk arbejdsplads. Den digitale arbejdsplads, som klinikeren benytter. Interne Kliniske Applikationer. EPJ, PAS, Laboratoriesystem, blodbanksystem, etc. Eksterne applikationer kan både være applikationer, herunder web baserede applikationer kliniske applikationer (eks: FMK, SEI, Sundhed.dk) eller services (eks: FMK) hos nationale myndigheder, f.eks. Sundhedsstyrelsen, Lægemiddelstyrelsen eller kommuner, andre regioner. Klinisk Portal: Et rammeværk, der kan indlejre brugergrænsefladen fra kliniske applikationer eller linker til disse. Giver mulighed for at skabe en samlet indgang til den kliniske it-arbejdsplads. Kontekststyring. Arbejdspladsen er sammensat af en række it-systemer, som arbejder med relateret patientinformation, men som i udgangspunktet ikke samarbejder. At holde disse applikationer koordinerede til fx samme patient vil være attraktivt både for at reducere fejl og for at forbedre arbejdsgangen. AD. Regionens fælles AD som anvendes til autentifikation (=verificering af brugerens identitet) Brugeradministration. En betegnelse for regionens brugerstyringsmodul, som opretter og nedlægger brugere i både AD og de kliniske systemer. Administration af brugerin- 8/26

9 formation foretages decentralt, så byrden med vedligehold mindskes. Dette er en del af brugeradministrationskomplekset Digital signatur. Den infrastruktur, der skal til for at gøre brugerens digitale medarbejdersignatur tilgængelig på den kliniske it-arbejdsplads, samt til administration af denne. 3. ELEMENTERNE I DEN KONCEPTUELLE ARKITEK- TUR Det følgende afsnit uddyber formålet med de enkelte arkitekturelementer og diskuterer mere konkret, hvordan målene kan realiseres i praksis. 3.1 Logon/ogoff I forbindelse med klinikerens logon og logoff ønsker Region Syddanmark at understøtte følgende: Klinikeren skal kunne let autentificere sig og hurtigt opnå adgang til arbejdspladsen. Klinikeren skal kunne arbejde fra en vilkårlig arbejdsstation på arbejdspladsen (mobilitet). Den kliniske it-arbejdsplads skal både give adgang til interne kliniske systemer i Region Syddanmark samt en række nationale applikationer/services (SEI, FMK etc.) uden for Region Syddanmark, som kræver digital signatur. I logon-processen skal der skabes en hurtig adgang til den kliniske it-arbejdsplads samtidig med, at det bliver muligt at fastholde brugerens session på tværs af arbejdsstationer dvs. fastholdelse af kørende applikationer fra et logon til det næste. Endelig skal antallet af gange, som brugeren skal afgive brugerakkreditiver (=brugernavn og password) for at logge på, mindskes betydeligt Klasser og typer af akkreditiver Autentifikationsprocessen, dvs. det at identificere sig over for et it-system, kan varetages med forskellige klasser af akkreditiver. Disse opdeles traditionelt i 3 grupperinger: 1) noget du ved (brugernavn / password, pinkode) 2) noget du er (fingeraftryk, stemme, iris) og 3) noget du har (id-kort, token). Traditionelle autentifikationsmekanismer baserer sig på den første model og typisk med et brugernavn/password. En sådan model kendes som weak authentication, bl.a. fordi akkreditivet er relativt let at stjæle, og fordi der kun anvendes en af de 3 grupperinger. Stærk autentifikation kan opnås ved at kombinere flere grupperinger af autentifikation, så der fx både skal anvendes et token og et password. Biometriske akkreditiver, dvs. noget du er som f.eks. et fingeraftryk, din stemme, dit ansigt, iris i dine øjne etc., har den store fordel, at de altid er nærværende og at man ikke skal huske noget for at kunne bruge dem. Grupperingen er dog noget mere krævende at håndtere, da der skal installeres specielt udstyr ved alle terminaler. I den kliniske arbejdssituation kan biometri også 9/26

10 være problematisk at anvende grundet behovet for renlighed og anvendelse af special udstyr (handsker, maske, kikkertbrille, osv.). Token-løsninger, dvs. noget du har som et usb-token, et smartcard o. lign., giver ofte stærk autentifikation af sig selv, idet de i reglen kræver en pinkode eller lignende for at blive aktiveret. Da klinikerne i dag allerede anvender kort ifm. den fysiske adgang til sygehuse og afdelinger, vil det være oplagt at inddrage dette kort i forbindelse med login til de kliniske applikationer. Sikkerhedsløsninger er oftest en balance mellem sikkerhedsniveau og tilgængelighed/brugbarhed. Indførsel af højere sikkerhedsniveau vil normalt medføre besværliggørelse af adgangen. Forhøjelse af sikkerhedsniveauet kræver, at løsningen og konsekvenserne gennemtænkes. Nedenstående er blot udpluk af ting, der skal tages højde for ifm. eksempelvis anvendelse af tokens (Smart Card): Ved valg af tokenløsning skal gøres muligt temporært eller permanent at erstatte en token (der er glemt eller tabt). Dette kan nemt gøres, hvis indholdet er meningstomt fx et løbe-nr. Vælges det fx at lægge den digitale signatur ned på kortet, bliver det straks langt sværere at understøtte en hurtig udskiftning. Tages tokens i anvendelse, skal det bemærkes at det behov, der uvægerligt er for udskiftning af token, betyder, at det vil være nødvendigt at etablere lokal infrastruktur og arbejdsgange til understøttelse af dette. Trådløse tokens, som bruger eksempelvis RFID, indebærer en risiko for at interferere med hospitalsudstyret. Denne problemstilling kan umuliggøre nogle løsninger Single Sign-on (=SSO) Et af løsningselementerne i klinikernes logon/logoff er Single Sign-On, hvilket kort kan udtrykkes som én autentifikation og derefter fri adgang til de ønskede systemer og data. Der findes forskellige løsninger og teknologier til dette som Kerberos, SAML, HL7 CCOW, som i bilag 2 gennemgås ganske kort. Visse af disse teknologier understøttes allerede i dag i et vist omfang, da Kerberos benyttes ifm. AD og SAML i forbindelse med den digitale signatur. I den ideelle verden, hvor alle de kliniske og administrative systemer understøtter disse teknologier og løsninger, vil det være muligt at opnå SSO. Det er en stor opgave både implementeringsog tilpasningsmæssigt samt økonomisk og vil på den korte bane ikke at være den rigtige vej, men på den længere bane er det en interessant løsning som skal understøttes. Det er derfor nødvendigt på den korte bane at anvende et klient-baseret SSO produkt. Klientbaseret SSO produkt Figur 3 skitserer de overordnede principper af en klientbaseret SSO. Brugeren logger via SSO-klienten ind i Region Syddanmarks sikkerhedsdomæne via regionens AD. Herefter har brugeren adgang via single sign-on til en række udvalgte kliniske systemer. Når brugeren samtidig logger på, vil det på sigt være muligt at koble den digitale signatur til brugerens login og password, hvorefter det er muligt at tilgå nationale applikationer og tjenester, som kræver en digital signatur. Hensigten er, at koblingen imellem login-procedurerne og den digitale signatur skal være transparent for brugeren. 10/26

11 Figur 3 - Klientbaseret SSO Se uddybning af SOSI, STS og session-id i bilag 1. Det bør bemærkes som en potentiel problemstilling, at brugeren med klient-sso kan miste kendskab til sine forskellige brugerid er og passwords (Visse klient-sso-programmer tilbyder automatisk at tage sig af passwordskift). Dette er særdeles problematisk, hvis klient-ssosystemet går ned. Endvidere er det et problem, at får en tredje person adgang til SSO-klienten, får vedkommende automatisk adgang til en lang række kliniske applikationer. Et klient SSO program skal understøtte de forskellige løsninger, der vil være i Region Syddanmark i en periode: VDI adgang, fælles-bruger pc er og egne pc er uden VDI, understøttelse af CCOW og SAML, herunder understøttelse af digitale signatur. 11/26

12 3.1.3 VDI Et andet løsningselement i klinikernes logon/logoff er Virtual Desktop Infrastructure (VDI) teknologi, hvor hver bruger får tildelt sin egen virtuelle maskine med eget operativ-system på serveren og skærmbilledet sendes så til arbejdsstationen, hvilket er illustreret på figur 4. Figur 4 VDI I VDI-scenarierne er det muligt at anvende en såkaldt tynd klient -enhed. Den tynde klient forbinder sig dermed direkte til serveren. Dette giver mulighed for f.eks. at afvikle operativsystemet på en central server i stedet for en personlig workstation. Der kan opnås mange fordele gennem virtualiseringen. Helt centrale værdier er sessionsflytning og muligheden for at anvende tynde klienter, men også fx centraliseret vedligehold (mens brugeren er offline) indgår som vigtige parametre ved VDI. Fordelene er kort opsummeret nedenfor: Mobilitet, herunder fastholdelse af session o VDI kan tilgås fra en vilkårlig maskine fra en tynd klient over fælles arbejdsstation og til egen maskine. Administrative lettelser o Udstilling af desktop-pakker o Opdatering og applikationsudrulning Grøn it o Tynde klienter giver mindre med strømforbrug Driftsikkerhed o Klienter kan flyttes mellem servere Problemstillinger ved VDI: Ved valget af løsning til sessionsbevarelse skal det overvejes, om der er risiko for reduktion af driftsstabiliteten. Går den valgte VDI-løsning ned, er alle klinikere lukket ude fra de kliniske applikationer, hvilket naturligvis er uacceptabelt. Det skal derfor overvejes, om der er brug for opretholdelse af et antal tykke klienter til nødadgang. Kræver en driftsorganisation og processer, der kan håndtere 24/ Tilslutning af eksterne enheder via USB som eksempelvis mikrofon, der anvendes i forbindelse med lægelig diktering. Udrulning af VDI kan foregå trinvist og det vil være muligt langsomt at overgå fra andre løsninger til VDI. Regionen vil have arbejdsstationer og maskiner med tilkoblet udstyr samt specielle 12/26

13 maskiner (fx PDA er), hvor det ikke nødvendigvis er hensigtsmæssigt at implementere en virtualiseringsløsning eller hvor dette teknologisk først kan ske på et senere tidspunkt. Det betyder at virtualiserede maskiner og ikke-virtualiserede maskiner skal sameksistere. Det skal også sikres, at VDI-løsningen kan køre på et bredere sæt af klienter og ikke kun Windows-operativsystemet. Selvom størstedelen af klienterne i dag er baseret på Windows, anvendes der også andre maskiner. 3.2 Brugerstyring og administration Den overordnede målsætning med brugerstyring og administration er at muliggøre, at en medarbejder, efter at være blevet oprettet som bruger af en brugeradministrator, umiddelbart har adgang til alle de applikationer, brugeren skal anvende i forbindelse med sin arbejdsfunktion. Herefter skal brugeren i de kliniske applikationer tildeles roller og rettigheder, som varetages og vedligeholdes af de lokale brugeradministratorer. Det er således IKKE ambitionen, at brugerstyringsmodulet skal overtage de kliniske systemers brugerdatabase (eks. EPJ, labsystem etc.). Det skyldes, at roller og rettigheder i disse systemer ofte er meget komplekse og finmaskede og bedst administreres og varetages lokalt på de enkelte sygehuse/afdelinger. Der er tidligere i regi af Region Syddanmark udarbejdet en rapport Brugerstyring i Region Syddanmark fra 2006, hvor mange rapportens anbefalinger stadig er relevante [Brugerstyring]. Rapporten peger blandt andet på, at et brugerstyringsmodul med tiden skal sikre, at masterdata omkring brugere samles og opdateres dette ene sted. Disse data kan så forefindes i andre systemer som en kopi af masterdata. I regi af dette skabes én fælles identitet per bruger, hvor figur 5 forenklet illustrerer, hvilke attributter der kan være tilknyttet en bruger. Figur 5 - Brugeridentiteter Figur 6 illustrerer arkitekturen og de elementer, som danner fundamentet for regionens fælles brugerstyringsmodul. Brugerstyringsmodulet er bindeleddet og danner afkoblingen mellem de administrative systemer og datakilder (eks, lønsystem, SOR) i venstre side af figuren, og så modtagerapplikationerne (EPJ, PAS, RIS, laboratoriesystem etc.), AD og signaturserver som vist i figurens højre side. 13/26

14 Brugerstyring i Region Syddanmark Brugerstyringsmodul Slut bruger Administrator Browser Browser Selvbetjening Ændre password Glemt password Etc. Administratinsgrænsefalde Opret/nedlæg bruger Oprettelse af workflow Konfiguration af integration Opsætning sikkerhed Bruger/rolle administration Oprettelse af bruger Opdatering/nedlæggelse af bruger Kliniske og administrative applikationer EPJ Lokal brugerdatabase LIMS Lokal brugerdatabase SOR Økonomisystem Lokal brugerdatabase Personale system Brugerdatabase Person Rolle konfiguration politikker Accounts Oprettelse/nedlæggelse af bruger Password synkronisering AD Windows 2008 domain Revisor DanID Browser Rapportering Oprettelse af digital signatur Standard eller tilpasset raporter Figur 6 - Brugerstyringsmodul Brugerstyringsmodulet kan indeholde forskellige elementer, hvor de vigtigste er: Brugerdatabase: En regional konsolideret fælles bruger- og organisationsdatabase, hvor hver bruger registreres med de mest fundamentale stamdata (eks. navn, cpr-nr.), organisatorisk reference (en relation mellem personen og en organisatorisk enhed), information om personens rolle (f. eks. chef, medarbejder, læge, politiker, konsulent). Det må forventes, at der i det videre forløb bliver behov for en betydelig videreudvikling og præcisering af disse begreber. Bemærk, at dette ikke er én endelig fastlæggelse af indholdet i brugerdatabasen, ej heller hvilke attributter og evt. rolle den enkelte medarbejder skal have, da dette kræver en analyse og ofte er grobund til stor diskussion. Nærværende arkitektur anviser blot, at der skal etableres en fælles regional brugerdatabase, der anvendes på tværs og udgør den autoritative database mht. regionens brugere. Administration En vigtig del af brugerstyringsmodulet er inddatering og opsamling af data om personalet i forbindelse med ansættelse, flytning eller ophør. Det er således her, at nye brugere oprettes, nedlægges og tildeles basale rettigheder Erfaringsmæssigt er implementering og udvikling af et brugerstyringsmodul tidskrævende og skal ikke tænkes ind som et stort projekt, men opdeles i mindre iterationer og implementeres gradvist. Det skal overvejes fra system til system, om det giver klinisk og økonomisk værdi at 14/26

15 lave en integration, hvor brugere automatisk overføres og dermed oprettes eller nedlægges i systemet. Forudsætninger for etablering og igangsætning af brugerstyring i Region Syddanmark er følgende: Samle alle regionens brugere i ét fælles brugerkatalog. Beslutning, anskaffelse og implementering af relevante brugerstyringsprodukter og værktøjer. Etablere et fremtidigt integrationspunkt for provisionering af bruger- og rettighedsdata. Der findes ingen nemme løsninger kun teoretisk, og det er derfor vigtigt at holde tingene simple fra start. 3.3 Digital signatur Oprettelse og nedlæggelse samt udrulning af digitale signaturer til sundhedsfaglige medarbejdere skal kobles til de administrative opgaver (f. eks. bestil eller nedlæg digital signatur). Det betyder for det første, at regionens brugerstyringsmodul indgår til oprettelse og nedlæggelse, og for det andet at den digitale signatur skal kobles med SSO klienten på de kliniske arbejdsstationer. På denne måde kommer signaturen til at blive endnu en identitet for brugeren, uden at den opleves unødigt belastende for hverken administratorer eller ansatte. Der er brug for en udvidelse til de signatur-løsninger, der findes på markedet, for at give Regionen mulighed for at knytte den digitale signatur og den interne autentifikationsløsning så tæt, at brugeren ikke oplever genen ved at have flere autentifikationsmekanismer. 3.4 Klinisk arbejdsplads Kliniske applikationer De kliniske applikationer udgør i arkitekturen de programmer, der anvendes af klinikeren til at udføre de daglige arbejdsopgaver. Det drejer sig f.eks. om EPJ, Laboratoriesystemer, RIS/PACS, etc Eksterne applikationer For at kunne tilgå personfølsom information eller overføre/indtaste kliniske data på nationale applikationer og services (SEI, FMK) kræves en digital signatur. Sundhedssektorens nationale sikkerhedsarkitektur anvender i stigende omfang webservices til system-system integration. Modellen benyttes, når der ønskes en tættere integration af den kliniske funktionalitet direkte ind i de lokale kliniske applikationer, så f.eks. viden om den aktuelle patient bliver sat Klinisk portal Ved den kliniske portal forstås en applikation, der er installeret på de kliniske arbejdsstationer og som gør det muligt at samle brugergrænsefladen for mange forskellige kliniske applikationer under et. Resultatet er, at hvad der i virkeligheden er mange forskellige applikationer, kommer til at fremstå som én. For at muliggøre denne oplevelse, stiller den kliniske portal nogle tjenester til 15/26

16 rådighed, herunder single-sign-on. Denne mekanisme gør det muligt for portalen at tilbyde en enkelt log-in-boks og derpå videregive akkreditiver til andre applikationer. Portalens SSOimplementering er relativt simpel og består primært i evnen til at videregive brugernavn og password. Det kan være COSMIC EPJ eller IPJ, der opfattes som portal, eller det kan være en reel anskaffelse/implementering af en klinisk portal Sessionsfastholdelse og kontekststyring Et typisk brugsmønster er, at man primært anvender det samme sæt af applikationer hen over dagen, og at man ønsker at fortsætte arbejdet, hvor man tidligere slap det, fx efter møde eller frokost. Dette brugsmønster understøttes med såkaldt sessionsfastholdelse. Sessionsfastholdelsen kan udvides med kontekststyring (skiftes patient, slår dette igennem flere steder), hvilket udgør et element i Regionens fremtidige løsninger. Der kan være forskellige indgange til kontekststyring i Regionen, da visse sygehuse via eksempelvis COSMIC overfører patientkontekst via et link til andre kliniske applikationer. CCOW er rettet mod kontekststyring, men giver også løfte om SSO. Som HL7 standard er den kandidat til udbredelse i Region Syddanmark, hvilket fremadrettet skal tænkes ind ved anskaffelser af nye kliniske applikationer. 4. DET SAMLEDE BILLEDE For at opnå den gode brugeroplevelse på sigt, vil det samlede billede se ud som på nedenstående figur. Gøres tilgængelig Autentificering Autentificering Autentificering Rettigheder Launcher Kalder Indlejrer Sæt kontekst Den gode brugeroplevelse er baseret på adgang via Smart Card, hvorpå brugeren logges på SSO-klienten, hvorved VDI vil aktiveres. Det skal naturligvis være muligt at logge ind fra en vilkårlig computer (tynd klient, fælles arbejdsstation, egen maskine). Når klient-sso-programmet 16/26

17 aktiveres, vil brugerens adgange til digitale signatur, eksterne applikationer/tjenester og den kliniske portal være tilgængelig. Dette vil give følgende fordele: Brugeren kan frit skifte arbejdsplads, og arbejdspladsen fremstår, som da den blev forladt. Det er meget hurtigt at tilgå arbejdspladsen, hvorfor det bør være muligt at standse den nuværende sikkerhedsmæssigt uforsvarlige deling af samme bruger-id/password blandt flere brugere. Der er kun et bruger-id/password og kun et log-on (+ et ekstra når en fælles maskine åbnes med fælles bruger). Når der er logget på, opleves skellet mellem lokale og nationale applikationer og services ikke. Dette vil give en god og flydende oplevelse i samspil med FMK, samt af tilsvarende fremtidige løsninger. Med VDI-strukturen bliver vedligeholdelse af arbejdsstationerne markant lettere. Modellen åbner for generel anvendelse af tynde klienter. Når en ny applikation tages ind, skal klient SSO-programmet udvides med dette program. Udfordringer: Ejerskab for VDI-servere, styring af klienter osv. Problemstillingen med timeout (se afsnit 5) skal løses. 17/26

18 5. ANDRE FORHOLD 5.1 Timeout It-systemer, der kræver identifikation af brugeren, fordi de giver adgang til følsom information, har brug for at vide, om brugeren fortsat er bag skærmen. Dette forsøger man at sikre ved at logge aktivitet, dvs. musebevægelser, tastetryk, etc. Ved tilpas lang tids inaktivitet antager systemet, at brugeren er gået og logger derfor vedkommende af. Kunsten er at finde en værdi for tiden uden aktivitet, der er passende høj til, at brugeren ikke skal logge på hele tiden, og tilpas lav til at der sjældent vil nå at komme uautoriserede personer forbi, mens systemet står åbent. Mekanismen, der kendes som timeout, er implementeret i mange af vores applikationer. Det er derfor ikke nok at implementere single-sign-on ved initialt- log-on, men det er også nødvendigt at finde en model for håndtering af den situation der opstår, når en applikation logger brugeren af pga. timeout. Ideelt set vil vi gerne betragte alle it-systemer i arbejdspladsen som et samlet hele, og log-on og log-off skal derfor ske for hele arbejdspladsen på en gang. Den eksisterende situation, hvor nogle systemer timer hurtigt ud (15 min), andre efter 1 time eller længere, må betragtes som generende i hverdagen. Overgår Regionen til en VDI-infrastruktur, hvor klinikeren kan gå til frokost eller møde og efterfølgende genoptage arbejdssituationen, vil applikationstimeout opleves som et væsentligt irritationsmoment. Optimalt kunne systemet sikre, at klinikeren var ved skærmen. Herved kunne vi helt fjerne timeouts og låse hele arbejdspladsen, når maskinen blev forladt. Teknologisk er dette i tiltagende grad realistisk. Biometri (fx ansigtsgenkendelse) eller såkaldte nea-rfield tokens (kort med signaturer, der kun kan aflæses når de er tæt på) danner teknologisk grundlag for opnåelse af denne situation. Disse teknologier betragter vi dog ikke på nuværende tidspunkt som modne til denne styring. På kort sigt kan man overveje, om det ikke med den eksisterende teknologi er muligt at fjerne time-out-behovet ved brug af fx RFID tags (monteret på medarbejderkort) eller anvendelse af smartcard. Det skal også indtænkes i en timeout-løsning, at der anvendes forskellige adgang til den kliniske it-arbejdsplads. Det er derfor nødvendigt at kunne fastlægge timeout ud fra adgangsvejen. Er det en traditionel bruger id/password-adgang er det nødvendigt at opretholde timeout dog helst for hele arbejdsfladen og ikke kun for den enkelte applikation. Der er stor forskel på de miljøer, hvorfra arbejdspladsen tilgås. I et ambulatorium arbejder fx 1-2 klinikere sammen i et lukket rum, og risikoen for at andre overtager brugerens session er derfor lav. På en stuegang vil en maskine derimod kunne tilgås af mange mennesker, og risikoen for misbrug er højere. Indtil der introduceres en løsning, som fjerner timeoutproblematikken, bør det tilstræbes at styre sessions-time-out baseret på den fysiske maskines placering, så arbejdssituationer med lav risiko for misbrug tilgodeses. Konklusionen omkring timeout er, at Regionen har brug for kontrol over timeout-styringen. 18/26

19 Det skal være muligt at fastlægge time-out for sessionen ud fra ud fra brugerens autentifikations-mekanisme (nearfield-token ingen timeout, bruger id / password på fælles pc kort timeout). Det bør være muligt at operere med forskellige timeouts afhængig af, hvorfra arbejdspladsen tilgås (dvs. afhængig af risikovurdering). Det skal være muligt at samle timeoutstyringen for hele den kliniske it-arbejdsplads. Vi skal have en løsning, der er åben for forskellige autentifikationsmekanismer og løbende fremtidig tilpasning. Sidst skal det noteres, at nogle SSO-klienter kan generere en aktivitet, der holder programmer i live. 5.2 Privacy og biometri Når der arbejdes med biometri, er det nødvendigt at inddrage privacy-overvejelser. Biometrien tilbyder en ny og let identifikationsmekanisme, men det sker ved anvendelse af en identifikationsnøgle, som ejeren er bundet til for livet. Stjæles et bruger id/password, kan det blokeres og et nyt udleveres. Efterlignes et biometrisk id, giver sletning/nyudstedelse ingen mening. OECD, EU, m.fl. har derfor udstedt regler for anvendelse og håndtering af biometriske data (og disse regler er tiltrådt af Danmark). For at øge behandlingssikkerheden er det værd at overveje at registrere patientens biometriske data, fx fingeraftryk, til sikring af patientidentitet inden medicinudlevering. Her bliver opbevarings- og håndteringsreglerne endnu skarpere. Samtidig kan det forventes, at nogle privacybevidste patienter ikke ønsker registrering af biometriske data. Privacy er et væsentligt debatemne for tiden, og det kan derfor være problematisk at få både ansatte og patienter til at tillade registrering af de biometriske data. Grundet de biometriske datas permanente tilknytning til brugeren er der juridiske forbehold for både opbevaring, anvendelse og sletning. Løsningens tekniske sikkerhed og kravet om sletning er altså komplicerende faktorer som gør, at inddragelsen af biometriske løsninger skal ske efter nøje overvejelse af konsekvenserne. Vælger regionen at ibrugtage biometriske virkemidler, må det ske på basis af en nærmere analyse af jura, infrastrukturelle konsekvenser (hvordan oprettes, aflæses, fjernes data, hvad stiller det af krav til udstyr og hvad kræver det af bemanding fx til oprettelse af vikar om natten) og kvalitetssikring af sikkerhedsniveauet omkring løsningen. Det skal til biometri bemærkes, at nogle biometriske data med ganske få midler lader sig kopiere herunder fingeraftryk. Disse data vil dermed aldrig kunne stå alene, og afvejning mellem gevinst/privacy problematikken er derfor væsentlig. 6. PROCESSEN VIDERE Strategien afdækker et stort antal løsningselementer, som skal analyseres/afprøves i større detalje, bindes sammen, løsninger anskaffes og implementeres. Nedenstående figur skal give overblik over sammenhænge og dermed afklare behandlingsrækkefølgen/implementeringssti. 19/26

20 Figuren skal læses på den måde, at Effektiv adgang til vores kliniske applikationer medfører, at vi skal o bruge fælles regionalt AD til at autentificere brugerne o skal bruge en klient SSO løsning til at åbne adgange (automatisk), o skal bruge en brugerstyringsløsning til at oprette og nedlægge brugere, o samt gennemføre en timeout analyse og tilretning. VDI o giver et grundlag for at tage tynde klienter i brug o nødvendiggør at timeoutproblematikken behandles osv. For at ovenstående proces implementeringsssti kan gennemføres, er det nødvendigt med nedenstående tiltag: Den nuværende signaturserver-løsning, der håndterer digitale signatur i Region Syddanmark, skal forbedres, da løsningen ikke er transparent for brugerne. Af hensyn til FMK/SOSI-løsningen haster denne opgave meget. Det ville være yderst relevant at gå ind og afdække VDI området både driftsmæssigt og økonomisk. Dialog om med sygehusene om strategien. 20/26

21 Indplacering og prioritering af strategien og herunder afklaring af business cases og pris, samt efterfølgende etablering af projekter og herunder produktvalg. Plan for udrulning af en løsning, herunder en faseinddeling med opgaver, der kan løses på den korte bane f.eks. SSO-opsætning af applikationer, og på den længere, f.eks. opsætning af virtualiseringsløsning. 7. ANDRE FORBEDRINGSTILTAG Etablering af den her beskrevne løsning åbner for yderligere forbedringstiltag, som kort beskrives i det følgende. Man kan med VDI infrastrukturen vælge at tilbyde patienter pc-adgang patienten kan blot få et smartcard/lignende, og der skal så åbnes et generisk vindue, der kun tilbyder adgang til internettet. Herved kan patienten via en digital signatur (som er mobil i den kommende version) logge sig på sundhed.dk og her tilgå sine sundhedsoplysninger, sin netbank eller hvad der ønskes. Med den lavere pris i kraft af tynde klienter synes dette realistisk. Den mest administrativt tunge opgave for it-service-funktionerne er nulstilling af password. Den planlagte effektivisering og password-reduktion vil antageligt reducere denne opgave markant, men man kan yderligere reducere denne opgave ved at indføre selvadministration. Dette gøres typisk gennem 5 personlige spørgsmål. Kontekstbevarelse af eksempelvis patient har høj fokus i Region Syddanmark, og da de øvrige regioner også vil fokusere på dette behov, er det sandsynligt, at der tages beslutning om en national løsningsmodel, som Region Syddanmarks løsninger skal tilpasses til. Det skal undersøges, om SSO-klienten kan håndtere kontekstbevarelse på tværs af applikationer. Anskaffer Regionen SSO-løsninger, kliniske applikationer eller portaler, skal denne håndtere kontekstbevarelse og indgå i den nationale løsningsmodel, hvor kravet er HL7 CCOW. 21/26

22 8. FORKORTELSER OG DEFINITIONER AD FMK Kontekstdeling HL7/CCOW MOCES RFID RIS RSI SAML SEI SOSI SOSI - STS SSO VDI Active Directory, produkt fra Microsoft. Det Fælles Medicinkort, et nationalt projekt der skal give alle sundhedsfaglige med passende rettigheder adgang til hele landets patienters aktuelle medicinering 1/ Ved patientkontekstdeling forstås det, at en bruger fremfinder en patient i forbindelse med adgang til et IT værktøj og at denne patient automatisk er fremfundet, når brugeren tilgår øvrige it-systemer, der benyttes i samme session. Dermed undgår brugeren at skulle fremfinde patienten igen i de forskellige it systemer. Herved opnås det, at brugeren ikke ved en fejl kommer til at se på to forskellige patienter i to forskellige it systemer. Healthcare Level 7 / Clinical Context Object Workgroup, en protokol designet til at lade forskellige programmer indgå i SSO og udveksle kontekstinformation på runtime. I klinisk sammenhæng kunne dette være den aktuelle patient. Medarbejder OCES. Et OCES X.509 certifikat, der repræsenterer en medarbejder i en dansk virksomhed. Radio Frequency Identification. En teknologi, der tillader små, billige computer-chips at blive aflæst og skrevet til via radiosignaler. Kan anvendes til identifikation eller til genkendelse af varekoder i f.eks. et supermarked. Røntgen Informations System. En klinisk applikation, der anvendes af radiologer. Regionens Sundheds-it Organisation. Security Assertion Markup Language. En XML specifikation til at udveksle sikkerhedsoplysninger om f.eks. en person. Sundhedsstyrelsens Elektroniske Indberetningssystem, en tjeneste til digital indberetning af en række blanketter herunder tvang i psykiatrien, dødsattester, mm. Service-Orienteret System Integration forankret hos National Sundheds-it (NSI), der sigter på at afprøve SSO mod mange web services med digitale signaurer og SAML. Service-Orienteret System Integration Security Token Serice. Central identitetsservice (web service), der kan validere og sige god for sundhedsfaglige brugere Single Signon. Det, at logge på et antal systemer med kun én enkelt afgivelse af akkreditiver f.eks. brugernavn og password. Virtual Desktop Infrastructure Se kapitlet om klient virtualisering 22/26

23 9. BILAG 1 - TEKNISK BESKRIVELSE DIGITAL SIGNA- TUR Sundhedssektorens nationale sikkerhedsarkitektur anvender i stigende omfang web services til system-system integration. Modellen benyttes, når der ønskes en tættere integration af den kliniske funktionalitet direkte ind i de lokale kliniske applikationer. Sikkerhedsmodellen i SOSI bygger på SAML 2.0 over SOAP, hvor der udstedes et token (en billet ) til de nationale tjenester [SSO-SOSI]. Dette token skabes lokalt hos regionen og underskrives digitalt med klinikerens digitale signatur. Under denne proces afgiver brugeren sit password. Region Syddanmark anvender et sæt af lokale produkter, udviklet i regi af Danske Regioner / SDSD, der håndterer autentifikation mod eksterne webservices baseret på Den Gode Webservice / SOSI. Produkterne er hhv. SOSI Gateway til udstedelse af SAML tokens, samt SOSI DCC til afkobling af synkrone / asynkrone kald. Disse produkter sikrer web service adgang til den logiske arkitektur, hvilket er skitseret på overordnet niveau nedenfor. Den skitserede gateway (SOSI-Gateway) har til formål at centralisere kommunikationen med den eksterne nationale identitetsservice (SOSI-STS) og opbevare de udstedte digitale ID-kort på betryggende vis, se nedenstående figur: 23/26

24 Endelig udgør SOSI-GW komponenten også en logisk afkobling mellem regionens systemer og de nationale tjenester for så vidt angår sikkerhedsmekanismer. HL7-CCOW CCOW er rettet mod kontekststyring, men giver også løfte om SSO. Som HL7-standard er den kandidat til udbredelse i sundhedssektoren. Det skal undersøges, om HL7 CCOW kan bruges bredt i Region Syddanmark. Indtil flere applikationer understøtter standarden, vurderes det dog ikke, at standarden skal behandles dybere. 24/26

25 10. BILAG 1 - LØSNINGSMODELLER/TEKNOLOGI SSO Kerberos Windows operativsystemet implementerer understøttelse af Kerberos autentifikationsprotokollen til at sikre single-signon mellem applikationer. Kerberos kan anvendes lokalt mellem applikationer i samme Windows-instans samt mellem applikationer i et netværk og på tværs af domæner. Protokollen sigter som sådan efter at skabe single-signon bredt. Kerberos kan kobles sammen med en Active Directory-server, som den der anvendes i Region Hovedstaden, og kan anvende en sådan til at verificere brugernavn og password. Efter succesfuld autentifikation vil Kerberos infrastrukturen skabe en ticket granting ticket, som er en slags generel billet. Med den generelle billet i hånden kan en klient her den lokale Windows-instans bede Kerberos om at få en specifik billet til et konkret program, en service ticket. Ved at præsentere en service ticket over for et program, kan programmet udlede brugerens identitet og logge vedkommende på. Billetterne er kun gyldige inden for et fast tidsrum, som standard på Windows 10 timer, hvorefter de ikke længere vil kunne bruges. Logger brugere af, slettes alle udstedte billetter fra den lokale cache på Windows. Kerberos er interessant som teknologi til at give single-signon mellem en Windows-bruger og regionens kliniske it-applikationer. Der vil som udgangspunkt desværre næppe være nogle af de eksisterende applikationer, som er i stand til at modtage en service ticket, og der må påregnes udviklingstimer, hvis en sådan vej vælges. SAML SAML er en SSO-teknik, som minder stærkt om Kerberos. SAML er den teknik, som ITST har valgt som national standard for adgang til webservices (profil DK-SAML 2.0), og det er den valgte standard for adgangen til nationale webservices på sundhedsområdet (se beskrivelse af SOSI under Webservice adgang ). SAML er altså en SSO-teknik, som vi med sikkerhed kommer til at anvende i de kommende år. For at få udstedt en SAML-token skal man først være logget på den digitale signatur (altså 2 logons på vejen til SSO). Der er beklageligvis forskel på de to SAML modeller (SOSI og DK-SAML), der anvendes til hhv. webservice og browseradgang. Denne problemstilling bearbejdes mellem ITST og SDSD, hvorfor vi forventer en integration. HL7-CCOW CCOW er rettet mod kontekststyring, men giver også løfte om SSO. Som HL7-standard er den kandidat til udbredelse i sundhedssektoren. Opus Arbejdsplads har ifølge leverandøren understøttelse for kontekststyring via CCOW, men det skal undersøges, om dette kan bruges bredt. Indtil flere applikationer understøtter standarden, vurderes det dog ikke, at standarden skal behandles dybere. 25/26

26 11. REFERENCEDOKUMENTER Reference [CCOW] [Brugerstyring] [SSO-SOSI] Dokument Clinical Context Object Workgroup, Brugerstyring i RSD rapport 1.0.pdf DOKUMENTLOG Version Dato Forfatter Bemærkninger / Region Hovedstaden Oprettet / Jakob Karlsen Tilpasset RSD forhold / Jakob Karlsen Tilpasset i forhold til ESA workshop med OUH, SLB, SVS og SHS d. 23/ / Jakob Karlsen Input Jonas Granlie og Henning Markussen / Jakob Karlsen Tilretning VDI afsnit 26/26