Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

Transkript

1 Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

2 Sundhedsdatanettets Anatomi UNI-C Router Organisation A Router Router Organisation B Firewall Firewall

3 Linjesikkerhed Ukrypteret linje Data passerer gennem en IPSec krypteret tunnel Organisation A UNI-C Firewall Router Router Fælles nøgle Routing tabel: Hvem kan se hvem?

4 Hvor høj sikkerhed kan jeg regne med? Hjemmearbejdsplads Sundhedsdatanettet Internettet Organisation Trådløs Netadgang (wifi) Arbejdsplads Brugerdatabase

5 Tilslutningsaftale Skal sikre egne net mod indtrængende udefra Varetage drift af SDN Opgradere SDN efter behov Sørge for nok ipadresser Overholde krav og vejledninger fra MedCom Organisation der tilsluttes SDN MedCom

6 Vejledninger DS-484 Standard for informationssikkerhed, anvendt bla. i staten. Sikkerhed i lægepraksis Praktisk vejledning Krav og råd til sikring af lægepraksis Best practice ved opkobling til Sundhedsdatanettet Råd til sikring af amtslige net Sundhedsdatanettet: Sikkerhed og ansvar Generelle sikkerhedskrav ved brug af Sundhedsdatanettet

7 Tilstrækkelig sikker dataudveksling? Skal data videre ad andre (usikre) kanaler? Er data personfølsomme? Hvor god er afsenderens sikkerhed? Hvor god er modtagerens sikkerhed? A B Skal jeg kende identiteten af afsenderen? Hvad er sker der hvis data falder i forkerte hænder?

8 Når data er personfølsomme Vær sikker på hvem der får adgang til data! Personfølsom Afskærm data mod Uvedkommendes blik. Information Gem beviser for at data er blevet tilgået Registrér hvem der faktisk tilgår data

9 Case: Web Services Service Provider XML Service Consumer XML

10 Den Gode Webservice (DGWS) Profil for udveksling af data via web services Webservice kuvert Sundhedsfaglige oplysninger Brugeridentifikation Systemidentifikation Beskedidentifikation og gruppering Hjælp til serviceudbydere Guidelines til snitflader (WSDL) Timeout niveauer Brugsmønstre Punkt-punkt, mange-mange Signon og single-signon Retransmission Simple sessioner Anvendelse af standarder Internationale (WS-*) Nationale (OCES, OIO,...)

11 DGWS adresserer en række egenskaber Autentifikation (Login) Autorisation (Rettigheder) Uafviselighed Sikkerhed Konfidentialitet (Kryptering) Integritet

12 Start med en risikoanalyse Trin Beskrivelse Hvad sker der hvis data går tabt for service udbyder, aftager og andre parter? Match identificerede risici mod niveau af autenticitetssikring Vælg teknologi til sikring ifht. eksisterende sikkerhedsforanstaltninger Validér og revurder løbende Kilde:

13 Potentielle risici ved tab af data Grad af tillid til påstået identitet Ulempe, kval eller tab af anseelse Lille Moderat Moderat Stor Økonomisk tab eller ansvarspådragelse Lille Moderat Moderat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser - Lille Moderat Stor Ikke-autoriseret frigivelse af sensitiv information - Lille Moderat Stor Fysisk personskade - - Lille Moderat Stor Mulighed for at begå/modvirke opklaring af ulovligheder - Lille Moderat Stor Kilde:

14 Mulige akkreditiver Niveau Hard crypto token One time password device Soft crypto token Passwords and pins Kilde:

15 Public Key Infrastructure: Certifikater og Nøgler Certifikat med oplysninger om ejeren Data låst med den private nøgle kan åbnes med den offentlige Offentlig nøgle Privat nøgle Digital signatur fra certifikat udstederen Offentlig nøgle Data låst med den offentlige nøgle kan åbnes med den private

16 Autentifikation (at logge på) Sikkerhedsniveau Akkreditiv Intet Brugernavn & password VOCES Signatur af id-kort MOCES Signatur af id-kort

17 Oplysninger om brugeren i DGWS Id-kort Version: ID: QYZ1234 Gyldig: 25/ /10/2006 Udsteder: EPJQ 3.0 System: EPJQ 3.0 Organisation: Region X Indehaver: S.Miley Autorisationsnr: 5678 CPR: [email protected] Stilling: Læge

18 Id-kort udstedelse og føderation 1) Bruger logger på med digital signatur Identity Provider SOSI ID-Kort Version: 1.0 ID: QYZ1234 Gyldig: 25/ /10/2006 Udsteder: EPJQ 3.0 Type: User System: EPJQ 3.0 Organisation: Region X Organisation ID: 1234 Indehaver: S.Miley Autorisationsnr: 5678 Rolle: Kirurg CPR: [email protected] Stilling: Læge 2) Id-kort udstedes SOSI ID-Kort Version: 1.0 ID: QYZ1234 Gyldig: 25/ /10/2006 Udsteder: EPJQ 3.0 Type: User System: EPJQ 3.0 Organisation: Region X Organisation ID: 1234 Indehaver: S.Miley Autorisationsnr: 5678 Rolle: Kirurg CPR: [email protected] Stilling: Læge Web service consumer 3) Id-kort medsendes Web service provider

19 Autorisation Tildeling af rettigheder Udløbet? Læge? Tandlæge? SOSI ID-Kort Version: 1.0 ID: QYZ1234 Gyldig: 25/ /10/2006 Udsteder: EPJQ 3.0 Type: User System: EPJQ 3.0 Organisation: Region X Organisation ID: 1234 Indehaver: S.Miley Autorisationsnr: 5678 Rolle: Kirurg CPR: [email protected] Stilling: Læge Gyldig organisation?

20 Konfidentialitet DGWS kræver krypteret transport Sundhedsdatanettet (VPN) eller SSL

21 Integritet: At data ikke er ændret undervejs SDN sikrer datas integritet under transport! Digital signering af beskeden sikrer integritet før, under og efter transport.

22 Uafviselighed: At beskeden beviseligt kommer fra afsenderen! SDN giver data origin authentication. Giver mulighed for uafviselighed i transporten. Digital signering af beskeden giver ligeledes mulighed for uafviselighed.

23 Summa summarum Sundhedsdatanettet Lægemiddelstyrelsen? Region? Vejledninger Anden Anden aktør?? aktør Ekstra Sikkerhedstiltag LPS Leverandør Tilslutningsaftale Afgørende at alle led er sikrede!

24 Spørgsm rgsmål