LAKESIDE. Sårjournalen. Afslutningsrapport for ændring af. sikkerhedsarkitekturen. Version juni 2016

Transkript

1 LAKESIDE Sårjournalen Afslutningsrapport for ændring af sikkerhedsarkitekturen Version juni 2016 LAKESIDE A/S Marselisborg Havnevej 32, 1. sal DK-8000 Aarhus C Denmark tlf info@lakeside.dk

2 Indholdsfortegnelse 1 INDLEDNING AFPRØVNINGSSCENARIER PASSIV SCENARIE PASSIV SCENARIE MED SOSI AKTIV SCENARIE / SIKKER BROWSER-OPSTART RESULTATER STANDARDISERING ETABLERET INFRASTRUKTUR OG SNITFLADER GENNEMFØRTE INTEGRATIONSTESTS UDESTÅENDER ANBEFALINGER TIL VIDERE FORLØB KONKLUSION REFERENCER LAKESIDE side 2 / 11

3 1 Indledning I MedCom regi er der fra august 2015 til juni 2016 gennemført et pilotprojekt, der havde til formål, at etablere og afprøve den i [SÅRJ-SIKKER] beskrevne løsning til en ny fødereret sikkerhedsarkitektur for Sårjournalen. Projektets styregruppe besluttede i sommeren 2014, at udvikle og etablere af en ny fødereret sikkerhedsarkitektur for Sårjournalen, samt at gennemføre en simpel teknisk test af sikkerhedsarkitekturen. Det var ikke indenfor projektets rammer, at omfatte regional og kommunal ibrugtagen af den nye sikkerhedsløsning, men det øgede sikkerhedsniveau bør anvendes af alle parter. Beslutningen om at anvende en fødereret sikkerhedsarkitektur for Sårjournalen harmonerede med initiativer hos både regioner og kommunernes om at anvende fødereret brugeradministration. Formålet med den nye sikkerhedsarkitektur er at kunne realisere en række gevinster, som kan give kvalitetsløft, effektiviseringer og besparelser hos de sundhedsfaglige aftagere af Sårjournalen, hvilket er kommunerne, regionerne og de privatpraktiserende læger. De mulige gevinster, der kan høstes, er her kort gengivet. En detaljeret gennemgang findes i de indledende afsnit i [SÅRJ-SIKKER]: A) Fra Brugerstyring i Sårjournalen til Lokal brugerstyring C) Fra Svag autentifikation til Fornøden stærk autentifikation D) Fra Kan ikke indgå i Single-Sign-On til Kan indgå i Single-Sign-On E) Fra Ingen sikkerhedssessionsoverførsel fra fagsystem til Sikkerhedssessionsoverførsel fra fagsystem F) Fra Ingen kontekstoverførsel fra fagsystem til Kontekstoverførsel fra fagsystem Selve pilotprojektets formål var at etablere den fornødne infrastruktur, profilere anvendte fællesoffentlige sikkerhedsstandarder til sundhedsområdet og afprøve de tre integrationsscenarier som sikkerhedsarkitekturen tilbyder. Som piloter deltog A-Data, Region Midtjylland og Odense Kommune i projektet. I det følgende gengives kort de tre integrationsscenarier for den nye fødererede sikkerhedsarkitektur. Derefter gennemgås de opnåede projektresultater og der sluttes af med anbefalinger for videre forløb til at modne og udbrede den fødererede sikkerhedsløsning. Dette dokument henvender sig primært til arkitekter, projektledere og andre parter med interesse i Sårjournalens fødererede sikkerhedsarkitektur. Der forventes, at læseren har et basalt kendskab til Sårjournal løsningen. LAKESIDE side 3 / 11

4 2 Afprøvningsscenarier Den nye fødererede sikkerhedsarkitektur for Sårjournalen muliggør tre forskellige integrationsscenarier, som er beskrevet i detaljer i [SARJ-SIKKER]. Scenarierne gengives her kort for at give læseren en bedre forståelse og kontekstualisering af de i projektet opnåede resultater, resterende udeståender og anbefalinger til videre forløb. 2.1 Passiv scenarie Organisationer som har etableret en Identity Provider (IdP) der overholder SAML standarden og som er integreret til organisationens brugerrettighedsstyringssystem kan med fordel forbindes til Sårjournalen via et af de to passive scenarier. I det simple passive scenarie, som her er illustreret i nedenstående figur, tilgår brugeren Sårjournalen direkte i sin browser 1 og bliver viderestillet til Sundhedsføderationens IdP (punkt 4). Sundhedsføderationens IdP indhenter brugerens rettigheder i forhold til Sårjournalen fra brugerens organisation (punkt 5) og lader brugeren stærkt autentificere sig hos NemLog-in (punkt 6). Efter en teknisk omveksling af NemLog-in billetten til et SOSI-, returner Sundhedsføderation en adgangsbillet til Sårjournalen (punkt 8). Sårjournalen validerer billetten og logger brugeren ind med de rettigheder der fremgår af billetten. I det simple passive scenarie etableres således også en login session for brugeren i såvel Sundhedsføderationen som NemLog-in føderationen. National Sundhedsføderation Fællesoffentlig føderation Lokalt sikkerhedsdomæne Security Service (SOSI STS) Rolle/Rettigheder (attributter) 7 1 Autentifikation + IdP / STS (f.eks. ADFS) 5 Rettigheder IdP/STS Ny NemLogin IdP 2 Browser 3 Sårjournalen Bruger Figur 1: Passiv scenarie 2.2 Passiv scenarie med SOSI Mange sundhedsfaglige benytter deres digitale medarbejdersignatur til at stærkt autentificere sig når de fra deres fagsystem tilgår det Fælles Medicinkort og andre nationale sundhedstjenester i SOSI føderationen. Under denne stærke autentifikation af brugeren udstedes et SOSI-, som er brugerens adgangsgivende billet til nationale sund- 1 I en anden variant af scenariet tilgår brugeren Sårjournalen fra et fagsystem, hvor der således er mulighed for at overføre brugerens patientkontekst i linket. LAKESIDE side 4 / 11

5 hedstjenester. SOSI-et anvendes efterfølgende til identitetsbaserede webservicekald for brugeren og caches typisk i en separat SOSI-Gateway komponent. De organisationer, som har en egen SAML IdP og hvor de sundhedsfaglige brugere også tilgår SOSI føderationen, kan med fordel integrere til Sårjournalen via det passive scenarie med SOSI. I det passive scenarie med SOSI kan brugerens allerede etablerede sikkerhedskontekst overføres fra SOSI føderationen til den nationale Sundhedsføderation. Brugeren skal dermed ikke re-autentificere sig selv med digital medarbejdersignatur i tilgangen til Sårjournalen. Nedenstående figur illustrerer det passive scenarie med SOSI. I forhold til ovenstående simple passive scenarie bortfalder autentifikation af brugeren hos NemLog-in og den efterfølgende tekniske omveksling af NemLog-in billetten til et SOSI kort. I stedet overføres brugerens SOSI- (i krypteret form) til Sundhedsføderationens IdP, som udsteder og returnerer adgangsbilletten til Sårjournalen, der validerer billetten og logger brugeren ind. I det passive scenarie med SOSI etableres der ligeledes en login session for brugeren i den nationale Sundhedsføderation. Der bemærkes, at adgangsbilletterne til Sårjournalen er identisk i de to passive scenarier. Det er således transparent for Sårjournalløsningen, om brugeren har autentificeret sig i NemLog-in føderationen eller SOSI føderationen. National sundhedsføderation Lokalt sikkerhedsdomæne Rolle/Rettigheder (attributter) 8 Rettigheder National IdP/STS Autentifikation + IdP / STS (f.eks. ADFS) 6 5 trust cache (fx. SOSI-GW) 7 SOSI STS Ny 2 Browser 3 Sårjournalen Bruger Figur 2: Passiv scenarie med SOSI 2.3 Aktiv scenarie / Sikker browser-opstart Integrationsmønstret fra det aktive scenarie henvender sig til organisationer uden IdP, men hvor brugerne også logger på SOSI føderationen det vil sige primært privatpraktiserende læger og mindre kommuner. For aftagerne af Sårjournalen kan det aktive scenarie relativt let realiseres ved at integrere med SOSI STS på NSP hvilket de fleste organisationer har erfaringer med fra deres integrationsarbejde i forbindelse med tilslutningen til nationale tjenester som FMK. LAKESIDE side 5 / 11

6 I det aktive scenarie overføres brugerens etablerede sikkerhedskontekst fra SOSI føderationen til Sårjournalen, ved at brugerens SOSI- fra fagsystemet veksles til en (krypteret) billet, der giver adgang til Sårjournalen. Som visualiseret i nedenstående figur, overføres billetten efterfølgende sammen med en eventuel patientkontekst til Sårjournalen via sikker browser-opstart mekanismen 2, som også Sundhedsjournalen og FMK-online understøtter. Der skal bemærkes, at Sundhedsføderation IdP en ikke indgår i scenariet og at der dermed ikke skabes nogen login-session i en føderation i det aktive scenarie. Lokalt sikkerhedsdomæne National sundhedsføderation Autentifikation (f.eks. AD / Kerberos) Rolle/Rettigheder (f.eks. AD / LDAP) 1 3 Rettigheder Bruger 2 Fagsystem 6 5 Security Service (SOSI STS) trust Browser 7 Sårjournalen Rettigheder Behandlings kontekst Figur 3: Aktiv scenarie / Sikker browser-opstart 3 Resultater Målet for projektet var at gennemføre en pilotafprøvning af de tre integrationsscenarier i produktion med kliniske brugere og rigtige patienter. Under udviklingsforløbet mødte leverandøren af Sårjournalen såvel tekniske som ressourcemæssige udfordringer, hvilket betød, at der til projektets afslutning kun kunne gennemføres de første hul-i-gennem integrationstests for de tre scenarier. En fuld integrationstest og en egentlig afprøvning i produktion udestår således. Ikke desto mindre lykkedes det under projektforløbet at profilere anvendte sikkerhedsstandarder til sundhedsområdet, samt at etablere infrastrukturen og systemsnitfladerne, der til sammen muliggjorde de afsluttende integrationstests. I det følgende gennemgås resultaterne inden for de tre områder standardisering, infrastruktur og integrationstest. 2 Som er en standard SAML unsolicited response LAKESIDE side 6 / 11

7 3.1 Standardisering I form af [OIOSAML-H] er der udarbejdet profiler til sundhedsområdet, der standardiserer billet-formater til kommunikation mellem: 1. Lokale sikkerhedsdomæner og Sundhedsføderationen 2. Sundhedsføderationen og web tjenester på sundhedsområdet (her Sårjournalen) Profilerne tager afsæt i den fællesoffentlige [OIOSAML] standard for adgangsbilletter og blandt andet udvider denne med håndtag til at angive sundhedsfaglige autorisationer og bemyndigelser. Til at udtrykke bemyndigelser blev der specificeret en model, der tager udgangspunkt i den fællesoffentlige [OIO-BPP] standard og udvider denne med muligheden for at udtrykke, at en sundhedsperson er blevet bemyndiget af en anden sundhedsperson til at udøve de angivne rettigheder på den andens vegne. De to profiler er fuld kompatible med OIOSAML-profilen i sikkerhedsmodellen for KOM- BIT rammearkitekturen. 3.2 Etableret infrastruktur og snitflader Sundhedsdatastyrelsen (SDS tidligere National Sundheds-it) har fået etableret Sundhedsføderationens IdP som en overbygning på Sundhedsvæsenets Elektroniske Brugerstyring (SEB). Sundhedsføderationens IdP og integrationerne til NemLog-in IdP og SOSI- STS er blevet sat op i både Test og Produktion miljøerne. Såvel piloterne Region Midtjylland og Odense Kommune er i Test miljøet blevet forbundet med Sundhedsføderationens IdP. Region Midtjylland har tilvejebragt en integration fra deres lokale IdP til SOSI-Gateway komponenten på den Nationale Service Platform (NSP). Integrationen blev realiseret i form af en plugin, der kan veksle brugerens SOSI- til en krypteret billet med indlejret SOSI-, der kan returneres til Sundhedsføderationens IdP. På NSP er såvel Sundhedsføderationen som Sårjournalen blevet oprettet som aftagere af krypterede adgangsbilletter disse indgår henholdsvis i det passive scenarie med SOSI og i det aktive scenarie. A-data har implementeret sikker browser-opstarts funktionalitet til at kunne tilgå Sårjournalen i gennem det aktive scenarie fra deres lægepraksissystem. I Sårjournalen er der tilføjet en SAML snitflade i Test, der kan modtage adgangsbilletter i såvel det aktive og de passive scenarier. Som en del af projektafslutningen er der gennemført en teknisk gennemgang af SAML snitfladen med henblik på at identificere udeståender. 3.3 Gennemførte integrationstests For alle tre integrationsscenarier lykkedes de at gennemføre en succesfulde integrationstests, der afprøvede et simpelt login til Sårjournalen. Passiv scenarie: Leverandøren af Sårjournalen, Dansk Telemedicin, gennemførte sammen med Lakeside en forsimplet login test til Sårjournalen med autentifikation hos Test NemLog-in IdP en. Efterfølgende blev der verificeret at adgangsbilletterne fra Sundhedsføderationen kunne dekrypteres i Sårjournalen og indeholdte de forventede attributter (SOSI-, sundhedsfaglige autorisation(er), mm.). Passiv scenarie med SOSI: Region Midtjylland afprøvede det passive flow med SOSI, hvor deres egen IdP returnerer en test-brugers SOSI- i indpakket og krypteret form til Sundhedsføderationen, der derefter udsteder adgangsbilletten LAKESIDE side 7 / 11

8 til Sårjournalen ud fra det modtagne. Igen blev der verificeret at adgangsbilletten kunne dekrypteres i Sårjournalen og indeholdte de forventede attributter. Aktiv scenarie: A-data afviklede en test for sikker browser-opstart, hvor der fra deres lægepraksissystem i Test miljøet blev vekslet et SOSI- til en adgangsbillet til Sårjournalen hos SOSI-STS en på NSP. Som i de andre to scenarier, blev der gennemført en manuel verifikation af at billetten kunne dekrypteres og havde det forventede indhold. For ingen af de tre scenarier blev en overførsel af behandlingskonteksten, overførsel af lokalt administrerede brugerrettigheder eller bemyndigelser afprøvet. For de to passive scenarier lykkedes det ikke at få logout til Sundhedsføderationen til at virke i test-opsætningen. 4 Udeståender Som nævnt i ovenstående, kom projektet i vanskeligheder på grund af tekniske og personelle udfordringer hos Sårjournal leverandøren og det lykkedes ikke, at komme helt i mål. Der udestår således en produktionsmodning af den nyetablerede SAML sikkerhedssnitflade i Sårjournalen og integrationen mellem Sårjournalen og Sundhedsføderationen, som indebærer: 1. Valideringer: Der skal indføres og ikke mindst testes at de fornødne sikkerheds-checks i Sårjournalen foretages i forbindelse med login. Herunder skal der sikres: a. At trust til SOSI føderationen og Sundhedsføderationen afgøres korrekt både i Test og Produktion b. At SOSI-et altid er til stede i adgangsbilletter og bliver valideret c. At signerende føderationscertifikater er gyldige og ikke revokerede d. At kun sundhedsfaglige brugere med sundhedsfaglig autorisation eller med en bemyndigelse får adgang til Sårjournalen i en behandlerrolle 2. Single Logout: Det skal sikres, at Single Logout fungerer korrekt. I det brugsscenarie, hvor brugeren starter Single Logout i Sårjournalen, skal der valideres, at brugeren logges korrekt ud af Sundhedsføderationen 3. I det brugsscenarie, hvor brugeren starter Single Logout processen ved at logge ud af en anden tjeneste i Sundhedsføderationen, skal der sikres, at brugeren logges ud af Sårjournalen Brugerrettigheder: Der mangler at blive specificeret en operationel model for brugerrettigheder til Sårjournalen, blandt andet for angivelse af læse-/skriverettigheder og styring af adgangen til patientgrupper. I modellen skal der fastlægges navn og semantik for rettighederne, så de kan administreres decentralt i organisationerne. Der bemærkes, at der i [OIOSAML-H] er fastlagt hvordan generiske rettigheder formateres i adgangsbilletterne for de passive scenarier. For det aktive scenarie skal der defineres et format for overførslen af rettigheder (se også afsnit 5 - Anbefalinger til videre forløb). Udover en fastlæggelse af brugerrettighedsmodel og -format, bør decentral brugerrettighedsstyring indgå i en pilotafprøvning, så der afdækkes hvordan fødereret adgang kan håndteres i praksis hos aftagerne af Sårjournalen. 3 Det kaldes SP-initiated logout i SAML standarden 4 Det kaldes IdP-initiated logout I SAML standarden LAKESIDE side 8 / 11

9 4. Behandlingskontekst: Der mangler ligeledes, at der bliver specificeret og implementeret en model for overførsel af behandlingskonteksten, således at Sårjournalen kan startes via et link fra et fagsystem. Der skal afdækkes, på hvilke niveauer behandlingskontekst skal kunne overføres, fx som specifik CPR nummer eller som patientliste. Overførsel af behandlingskonteksten bør være ens i såvel det aktive og de passive scenarier eneste forskel bør ligge i at der i det aktive scenarie medsendes adgangsbillet og eventuel brugerrettigheder. Sidst og ikke mindst mangler der at blive gennemført en egentlig pilotafprøvning af de tre scenarier i Produktion med kliniske brugere og rigtige patienter men det forudsætter, at ovenstående punkter til produktionsmodning er gennemført. 5 Anbefalinger til videre forløb Der ligger et stort gevinstmæssig potentiale i ibrugtagningen af den nyetablerede sikkerhedsarkitektur for aftagerne af Sårjournalen, se den indledende afsnit 1. Der anbefales derfor, at indlede et efterfølgende forløb til modning og udbredelsen af sikkerhedsløsningen i første omgang for Sårjournalen og på sigt også for andre web tjenester på sundhedsområdet. Som det fremgår at det foregående afsnit, bør der som det allerførste tages hånd om projektets udeståender og sikkerhedsarkitekturen bør derefter afprøves i pilotdrift med udvalgte organisationer. Efter endt pilotafprøvning anbefales der, at opsamle erfaringer og eventuel foretage effektmålinger. På den mellemlange bane kunne der med fordel iværksættes følgende tiltag: 1. Drejebog for nye anvendere: Til nye aftagere af Sårjournalen udarbejdes en drejebog, som for hvert af de tre integrationsscenarier beskriver de forudsætninger, aftageren skal opfylde og de integrationsaktiviteter aftageren skal gennemføre. Yderligere fastholdes fordele og ulemper for hvert integrationsscenarie, således at nye aftagere kan træffe valg af integrationsscenarie på et oplyst grundlag. 2. Tilslutning til Sundhedsføderation: Til integrationer via et af de passive scenarier udarbejdes tilslutningsvilkår til Sundhedsføderationen som aftagerorganisationen skal opfylde for at sikre en korrekt og sikker integration. Tilslutningsvilkårene kunne med fordel tage afsæt i eksisterende vilkår for SOSI-STS eller NemLog-in. Hvis ikke det allerede er en del af ovennævnte drejebog, udformes desuden en tilslutningsvejledning til Sundhedsføderationen, der skridt for skridt beskriver hvordan en lokal IdP tilsluttes føderationen og hvordan tilslutningen testes i detaljer, fx hvordan Single Logout skal håndteres i det passive scenarie med SOSI. 3. Rettigheder i det aktive scenarie: I pilotprojektet blev kryptografisk sikring af brugerrettigheder under overførsel i det aktive scenarie fravalgt og risikoen for kompromittering accepteret. Der bør udarbejdes og implementeres en model for hvordan rettigheder overføres sikkert dette indebærer formentlig ændringer i SOSI-STS på NSP. 4. Bred ibrugtagning: Efter en succesfuld pilotdrift med kliniske brugere i udvalgte organisationer iværksættes en migrering af de nuværende aftagere til den nye sikre snitflade på Sårjournalen, således at disse ligeledes får mulighed for at høste gevinsterne. LAKESIDE side 9 / 11

10 5. Udfasning af svag autentifikation: Efter endt migrering af aftagerne til den nye sikre snitflade lukkes der for den nuværende svage brugernavn/password baserede login mekanisme, således at personfølsomme patientdata beskyttes på den fornødne autentifikationsniveau. Som en del af udfasningen omlægges også Sårjournal app en til at anvende den nye sikkerhedsløsning. 6. Bemyndigelse: På NSP platformen findes der et bemyndigelsesregister, som ud over den hidtidige web GUI nu også tilbyder en service-snitflade. Denne servicesnitflade kan eksempelvis anvendes til decentral administration af bemyndigelser fra brugerorganisationer. Men servicen kan i særdelshed også benyttes til at lade Sundhedsføderations IdP berige adgangsbilletter med bemyndigelsesinformationer. Derved kan der etableres understøttelse for bemyndigelse i Sårjournalen. Det vil sige, at sundhedspersoner kan tilgå Sårjournalen med rettigheder, de er blevet bemyndiget til at udøve fra en anden sundhedsperson. Der skal bemærkes, at de i [OIOSAML-H] specificerede billetformater allerede kan rumme bemyndigelsesinformation. 7. Plugins til lokale IdP er: Som en del af projektet har Region Midtjylland udviklet en plugin til deres lokale (NetiQ) IdP, der kan omveksle en brugers SOSI- og opbygge en adgangsbillet, der overholder [OIOSAML-H] og indeholder det omvekslede SOSI-. Udvikling af lignende plugins til andre standard IdP er (AD FS, Safenet Identify m.fl.) kunne med fordel koordineres i fælles regi, således at udviklede plugins efterfølgende gøres tilgængelig for andre aftagere. 8. Udbredelse af konceptet: Andre web-tjenester indenfor sundhedsområdet kan med fordel overtage sikkerhedsløsningen. Derved kan de selv realisere nogle af de gevinster arkitekturen muliggør, nemlig at web-tjenesten undgår at skulle tilbyde håndtag til at aftagerene kan administrere brugere, rettigheder og bemyndigelser. For aftagerne forsimples integrationsopgaven, idet konceptet er standardiseret og kendt fra Sårjournalen. Til udbredelsen af konceptet kunne der etableres en ambassadørrolle, der står for at viderebringe sikkerhedsløsningens fortrinligheder. 9. Brugerstyring til mindre organisationer: Til mindre organisationer uden egen IdP etableres et fælles web-baseret brugerstyringssystem, hvor brugerrettigheder til alle web-tjenester der indgår i Sundhedsføderationen kan administreres centralt. Dette kunne med fordel realiseres som en overbygning på den nuværende SEB brugerkatalog. 6 Konklusion Under projektet til etablering af en ny sikkerhedsarkitektur til Sårjournalen blev der etableret den fornødne infrastruktur, anvendte fællesoffentlige standarder blev profileret til sundhedsområdet og simple integrationstests blev gennemført for de tre integrationsscenarier, som arkitekturen skal understøtte. Sikkerhedsarkitekturen er baseret på den udbredte internationale SAML standard, der understøttes af en lang række produkter og kodebiblioteker. De tekniske udfordringer som leverandøren af Sårjournal mødte lå således i at konfigurere det anvendte SAML produkt korrekt, hvilket kan være lidt vanskeligt uden forudgående kendskab af koncepterne i SAML. På samme måde som standard IdP produkter typisk skal udvides til at kunne integrere med KOMBIT sikkerhedsarkitekturen 5, vil integration af lokale IdP er med Sundhedsføderationen kræve mindre tilføjelser til standard produkter. Erfaringer fra Region Midtjyllands tilkobling til Sundhedsføderationen har vist, at der i etableringen ligger en forholdsvis begrænset udviklingsopgave. 5 Se fx for en plugin, der er udviklet til AD FS IdP en. LAKESIDE side 10 / 11

11 Der udestår en produktionsmodning af den nyetablerede sikkerhedssnitflade i Sårjournalen og en egentlig pilotafprøvning i klinikken med udvalgte parter. For at kunne realisere gevinstpotentialet, der ligger i den ny sikkerhedsarkitektur, anbefales der, at gennemføre denne produktionsmodning og den efterfølgende pilotafprøvning, for derefter at iværksætte de i denne rapport beskrevne tiltag. 7 Referencer [OIO-BPP] OIOSAML Basic Privilege Profile, Version [OIOSAML] OIO Web SSO Profile (OIOSAML), Version [OIOSAML-H] [SÅRJ-SIKKER] OIOSAML Attribute Profiles for Healthcare (OIOSAML-H), Version 0.93, MedCom Fås ved henvendelse til MedCom. Sårjournalen - Løsningsbeskrivelse til ændring af sikkerhedsarkitekturen, Version 1.0, MedCom, 4. juni 2015 Fås ved henvendelse til MedCom. LAKESIDE side 11 / 11