It-revision af Sundhedsdatanettet januar 2016

Transkript

1 MedCom Forskerparken Odense M Landgreven København K Tlf [email protected] It-revision af Sundhedsdatanettet januar Rigsrevisionen har i oktober-november 2015 foretaget en it-revision af Sundhedsdatanettet (SDN) hos MedCom. SDN s øverste myndighed er MedComs styregruppe, som består af parterne bag MedCom med repræsentanter fra stat, regioner og kommuner m.fl. Sundheds- og Ældreministeriets departement varetager formandskabet. Kontor: 16. kontor J.nr.: Til orientering for: Sundheds- og Ældreministeriets departement 2. SDN udgør en vigtig del af den it-infrastruktur, der understøtter digitaliseringen af Sundhedsvæsenet i Danmark. Læger og andre sundhedsfaglige personer anvender bl.a. SDN til at udveksle sundhedsdata, som har betydning for patienters liv og helbred. SDN består af SDN-netværket, Aftalesystemet og støttesystemer. SDN-netværket er den del, hvor data transmitteres, hvilket er SDN s kerneopgave. Aftalesystemet styrer, hvem der, via SDN-netværket, kan kommunikere og udveksle forskellige typer af information med hinanden. Støttesystemerne er den del af SDN, der bl.a. sikrer, at der tages backup og opsamles statistik om oppetider mv. SDN-netværket er alene et transportnet, og hverken Aftalesystemet eller støttesystemerne indeholder patientdata. Formål, indhold og omfang 3. Formålet med it-revisionen har været at undersøge og vurdere, om MedComs ledelse har en tilfredsstillende styring af it-sikkerheden i og omkring SDN. It-revisionen af SDN har omfattet: Ledelsens styring af it-sikkerheden, herunder også o Leverandørstyring o Adgangsstyring o Drift og vedligeholdelse Revisionen er tilrettelagt ud fra en vurdering af væsentlighed og risiko og er udført ved besøg hos MedCom og driftsleverandøren, gennemgang af relevant materiale samt ved observationer, forespørgsler og en vurdering og stikprøvevis efterprøvelse af den modtagne information. Revisionskriterierne er baseret på ISO og god it-sikkerhedspraksis. 1/6

2 4. Resultaterne af den detaljerede gennemgang af revisionsområderne og de tilknyttede observationer er beskrevet i vedlagte revisionsrapport. Konklusion 5. Rigsrevisionen vurderer, at ledelsens styring af it-sikkerheden på de undersøgte områder samlet set er ikke tilfredsstillende. Vurderingen er begrundet i, at revisionen har vist, at der er en række mangler i styringen af it-sikkerheden i og omkring SDN, som vi har redegjort for i det følgende, og som vi anbefaler, at MedComs ledelse tager stilling til. Ledelsens styring af it-sikkerheden 6. Vi har undersøgt, om organiseringen af styringen af SDN er hensigtsmæssig, og om MedCom har etableret effektive styringsværktøjer til at understøtte varetagelsen af SDN s it-sikkerhed. Ledelsens styring 7. Revisionen har vist, at MedCom ikke udarbejder en årlig risikovurdering af SDN. Vi finder, at når ledelsen ikke tager stilling til en risikovurdering, vil it-sikkerhedsinitiativer, som vedrører SDN s it-sikkerhed (tilgængelighed, fortrolighed og integritet) være baseret på et mangelfuldt grundlag eller overladt til den enkelte medarbejders eller leverandørens egen prioritering og vurdering. Ledelsen har ligeledes ikke sikret, at der i forlængelse af en risikovurdering er blevet udarbejdet en beredskabsplan. Vi vurderer, at en manglende beredskabsplan for SDN øger risikoen for, at et nedbrud på SDN kan få alvorlige konsekvenser fx for patienters liv og helbred. Endelig har revisionen vist, at MedCom ikke har udarbejdet politiker og retningslinjer mv. for SDN i forhold til fx leverandørstyring, adgangsstyring og ændringsstyring. Vi vurderer, at uklarhed om hvilke regler der gælder, betyder, at de enkelte medarbejdere er henvist til at løse opgaverne på egen udokumenterede og potentielt uens måde. Systemejerskab og SDN-brugergruppe 8. MedComs ledelse har nedsat en SDN-brugergruppe, som er sammensat af repræsentanter fra de forskellige tilsluttede institutioner, som sammen med Med- Com skal sikre den tekniske og sikkerhedsmæssige videreudvikling af SDN. Vi har konstateret, at SDN-brugergruppen kun mødes en enkelt gang om året, og ikke kan træffe bindende beslutninger. Vi vurderer, at SDN-brugergruppen i praksis ikke har mandat til at træffe beslutninger, hvilket efter vores vurdering, svækker MedComs muligheder for at varetage systemejerskabet for SDN og ansvaret for it-sikkerheden. Dataansvarlige og databehandler 9. Revisionen har vist, at de tilsluttede institutioner er dataansvarlige og har ansvaret for at sikre fortrolighed og integritet af egne data, der transmitteres via 2/6

3 SDN-netværket. MedCom er databehandler og stiller SDN til rådighed for de tilsluttede institutioner. MedCom har ansvaret for SDN s tilgængelighed, integritet og fortrolighed. Revisionen har vist, at MedCom har udarbejdet en standardiseret databehandleraftale, men at kun en mindre del af de dataansvarlige institutioner har tilsluttet sig databehandleraftalen med MedCom. Vi finder, at alle de dataansvarlige institutioner bør tilslutte sig databehandleraftalen, så der kan etableres et fælles grundlag for it-sikkerheden i og omkring SDN. Leverandørstyring 10. Vi har undersøgt, om MedCom har stillet relevante it-sikkerhedskrav til leverandørens drift af SDN, og om MedCom følger op på it-sikkerheden. Kontrakt og databehandleraftale med leverandør 11. Revisionen har vist, at MedCom har stillet overordnede sikkerhedskrav til leverandøren, som fremgår af kontrakten fra 2009, og MedCom har også indgået en databehandleraftale med leverandøren i 2015, hvori der ligeledes er beskrevet en række krav til leverandøren, fx at leverandøren skal implementere informationssikkerhedsstandarden ISO MedCom har ikke fulgt op på, hvordan leverandøren konkret overholder disse sikkerhedskrav, og har derfor ikke mulighed for at vurdere det reelle sikkerhedsniveau i og omkring SDN. Vi vurderer, at MedComs manglende konkretisering af it-sikkerhedskrav til leverandøren samt manglende opfølgning på leverandørens overholdelse af it-sikkerhedskravene øger risikoen for, at MedCom lever med en falsk tryghed, og at væsentlige sikkerhedsopgaver kun delvis udføres eller slet ikke udføres. Fx har Med- Com ikke sikret, at leverandøren tester sin beredskabsplan regelmæssigt. Revisorerklæringer 12. Revisionen har også vist, at MedCom modtager to revisorerklæringer årligt, henholdsvis en revisorerklæring ISAE 3402 type 2 om leverandørens driftsydelser generelt, som er blevet afgivet uden forbehold, og en ISAE 3000 erklæring om leverandørens overholdelse af relevante forhold relateret til Persondataloven i forbindelse med driften af SDN. Vedrørende det sidstnævnte har MedComs ledelse taget stilling til revisorerklæringens bemærkninger til svagheder vedrørende sikkerhedsopdateringer og logning af Aftalesystemet, hvilket vi finder positivt. Adgangsstyring 13. Vi har undersøgt, om MedCom, som systemejer og ansvarlig for brugeradministrationen, har taget stilling til hvilke medarbejdere hos institutionerne og leverandøren, der må have adgang til SDN, og om MedCom fører en løbende kontrol hermed. 14. Revisionen har vist, at MedCom tildeler godkendte medarbejdere hos de tilsluttede institutioner administratoradgang til Aftalesystemet i SDN. De pågældende er herefter SDN-administratorer på deres institution og varetager opgaven med at tildele lokale brugere adgang til SDN. 3/6

4 Vi har konstateret, at MedCom ikke fører kontrol med SDN-administratorerne. Vi har ligeledes konstateret, at MedCom ikke kontrollerer, at SDN-administratorerne følger op på deres lokale brugeres adgang til SDN. 15. Revisionen har også vist, at leverandøren har tildelt omkring 24 it-medarbejdere samt direktøren administratorrettigheder til SDN-netværket og adgang til de bagvedliggende systemer. Disse medarbejdere kan tilgå alle dele af SDN både logisk og fysisk, hvilket øger risikoen for, at ukrypterede patientdata kompromitteres eller krypterede patientdata hackes. Rigsrevisionen er opmærksom på, at MedCom ikke har ansvaret for de data, som bliver sendt over SDN, men MedCom har ansvaret for at godkende leverandørens adgangsrettigheder. Ifølge den seneste revisorerklæring har leverandøren etableret gode kontroller vedrørende den generelle adgangsstyring i driftscentret, men MedCom har ikke taget stilling til hvem hos leverandøren, som har et arbejdsbetinget behov for adgang til SDN. 16. Vi vurderer, at MedComs manglende kontrol med, hvilke medarbejdere der har adgang, kan medføre en øget risiko for uautoriseret adgang til SDN. Drift og vedligeholdelse 17. Vi har undersøgt, om MedCom har sikret en hensigtsmæssig ændringsstyring og passende vedligeholdelse af SDN. Vi har endvidere undersøgt, om MedCom har sikret en tilstrækkelig backup, logning og overvågning af SDN, og om netværket er sikkerhedstestet. Ændringsstyring 18. Revisionen har vist, at driftsleverandøren har en hensigtsmæssig ændringsproces, men ikke altid informerer MedCom om opdateringer og ændringer af støttesystemernes bagvedliggende platform, hvilket kan medføre, at ændringer, som MedCom ikke er bekendt med, kan påvirke Aftalesystemet og støttesystemerne, og derved driftsstabiliteten. Teknisk løsning 19. Vi har gennemgået SDN s tekniske løsning, og vi vurderer generelt, at SDN s centrale komponenter er tidsvarende. Revisionen har dog vist, at leverandøren anvender forældede versioner af den software, der understøtter støttesystemerne som fx overvågning og backup. Vi vurderer, at den manglende tekniske vedligeholdelse af støttesystemerne kan medføre en risiko for SDN s tilgængelighed, fx hvis backuppen ikke bliver gennemført korrekt. Backup 20. Revisionen har vist, at MedCom har sikret, at leverandøren foretager en dækkende backup af konfigurationerne på netværksudstyret, som er den del, der sammen med Aftalesystemet styrer kommunikationen mellem de tilsluttede institutioner. Overvågning og logning 21. Vi har gennemgået overvågning og logning af henholdsvis SDN-netværket og støttesystemerne. Revisionen har vist, at MedCom har sikret en tilstrækkelig over- 4/6

5 vågning og logning af SDN-netværket, men ikke af støttesystemerne, hvor vi vurderer, at der mangler en tilstrækkelig overvågning og rapportering af oppetid og tilgængelighed, samt information om støttesystemernes kapacitet. Vi har endvidere konstateret, at MedCom ikke har sikret, at leverandøren har etableret en funktionsadskillelse i adgangen til log-filer. Disse forhold øger risikoen for, at uautoriserede ændringer eller sikkerhedshændelser ikke kan opdages eller opklares. Netværkssikkerhed 22. Endelig har vi undersøgt, om MedCom har identificeret og taget stilling til de risici, som kan forekomme i forbindelse med SDN s eksponering mod internettet. Revisionen har vist, at MedCom ikke har identificeret sårbarheder og sikret en sikkerhedstest af alle grænseflader til de støttesystemer, der eksponerer SDN mod internettet. Vi vurderer, at der er en risiko for, at en hacker, via den delvist internet eksponerede overvågningsserver (støttesystem), kan opnå uautoriseret adgang til SDN-netværket. Vi vurderer også, at det kan medføre en risiko for, at fortrolighed eller integritet af data, der transmitteres via SDN, kan blive kompromitteret. Anbefalinger 23. Formålet med Rigsrevisionens skriftlige anbefalinger er at bidrage til, at virksomhederne opnår større it-sikkerhed og en mere effektiv it-styring. Rigsrevisionen forventer, at virksomhederne tager stilling til anbefalingerne. Nedenstående tabel viser en oversigt over de reviderede områder, samt hvilke anbefalinger Rigsrevisionen har givet i forbindelse med it-revisionen af SDN. Oversigt over revisionsområder og -resultater Nr. Omhandler Opfyldt Prioritet Anbefaling Ikke opfyldt, Delvist opfyldt, Opfyldt Ledelsens styring af it-sikkerheden Hensigtsmæssig it-sikkerhedsorganisation 1 X Årlig risikovurdering af SDN 1 X Dækkende beredskabsplan for SDN 1 X Relevante politikker, retningslinjer og procedurer 2 X Databehandleraftale indgået med dataansvarlige 1 X Leverandørstyring Databehandleraftale indgået med leverandør Relevante it-sikkerhedskrav til leverandør 2 X Adgangsstyring Sikring mod uautoriseret adgang til SDN 1 X Drift og vedligeholdelse Hensigtsmæssig ændringsstyring 2 X Tidssvarende teknisk løsning 2 X Tilstrækkelig backup af SDN Tilstrækkelig overvågning og logning af SDN-netværket Tilstrækkelig overvågning og logning af SDN s støttesystemer 2 X Identificerede risici i.f.b. med SDN s eksponering mod Internettet 2 X Note: Prioritet angives som 1,2 eller 3, hvor 1 er mest væsentlig. 24. Rigsrevisionen anmoder om MedCom s ledelses kommentarer til rapportens konklusioner og anbefalinger. Rigsrevisionen skal anmode om et svar senest den 15. februar /6

6 Med venlig hilsen Anina Oksbjerg Specialkonsulent Claus Bobjerg Juul It-revisor 6/6