It-revision af Sundhedsdatanettet 2015 15. januar 2016



Relaterede dokumenter
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Informationssikkerhedspolitik for Region Midtjylland

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Procedure for tilsyn af databehandleraftale

Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Informationssikkerhedspolitik. Frederiksberg Kommune

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Sikkerhed i cloud computing

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

KOMBIT sikkerhedspolitik

Kl Indledning v. Lone Strøm, Rigsrevisor

Bilag 1 Databehandlerinstruks

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Retsudvalget REU Alm.del Bilag 364 Offentligt

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Overordnet informationssikkerhedsstrategi

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Rigsrevisionens notat om beretning om styring af it-sikkerhed hos it-leverandører

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Statsrevisorernes Sekretariat Folketinget Christiansborg 1240 København K FORSVARSMINISTEREN. 2. september 2014

Notat til Statsrevisorerne om beretning om tilsyn med det psykiske arbejdsmiljø. Juni 2015

Faxe Kommune. informationssikkerhedspolitik

Front-data Danmark A/S

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Tilmelding til Sundhedsdatanettet (SDN)

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Tabulex ApS. Februar erklæringsår. R, s

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Leverandørstyring: Stil krav du kan måle på

Rapport Intern Revision. It-revision af ændringsstyring. Direktørområdet SKAT IT. Modtager Direktør Jesper Rønnow Simonsen, SKAT

Tabulex ApS. Februar erklæringsår. R, s

hos statslige myndigheder

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf Sagsnr: Doknr: april 2009

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

frcewtfrhousf(wpers ml

Produktbeskrivelse for. Min-log service på NSP

IT-SIKKERHEDSPOLITIK UDKAST

Ballerup Kommune Beretning om tiltrædelse som revisor

Årshjul for persondata. v/henrik Pors

Vejledning i informationssikkerhedsstyring. Februar 2015

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

Faxe Kommune Revision af generelle itkontroller

Underbilag Databehandlerinstruks

Underbilag 14 C: Afprøvningsforskrifter til prøver og tests

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Transkript:

MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen har i oktober-november 2015 foretaget en it-revision af Sundhedsdatanettet (SDN) hos MedCom. SDN s øverste myndighed er MedComs styregruppe, som består af parterne bag MedCom med repræsentanter fra stat, regioner og kommuner m.fl. Sundheds- og Ældreministeriets departement varetager formandskabet. Kontor: 16. kontor J.nr.: 2015-6070-7 Til orientering for: Sundheds- og Ældreministeriets departement 2. SDN udgør en vigtig del af den it-infrastruktur, der understøtter digitaliseringen af Sundhedsvæsenet i Danmark. Læger og andre sundhedsfaglige personer anvender bl.a. SDN til at udveksle sundhedsdata, som har betydning for patienters liv og helbred. SDN består af SDN-netværket, Aftalesystemet og støttesystemer. SDN-netværket er den del, hvor data transmitteres, hvilket er SDN s kerneopgave. Aftalesystemet styrer, hvem der, via SDN-netværket, kan kommunikere og udveksle forskellige typer af information med hinanden. Støttesystemerne er den del af SDN, der bl.a. sikrer, at der tages backup og opsamles statistik om oppetider mv. SDN-netværket er alene et transportnet, og hverken Aftalesystemet eller støttesystemerne indeholder patientdata. Formål, indhold og omfang 3. Formålet med it-revisionen har været at undersøge og vurdere, om MedComs ledelse har en tilfredsstillende styring af it-sikkerheden i og omkring SDN. It-revisionen af SDN har omfattet: Ledelsens styring af it-sikkerheden, herunder også o Leverandørstyring o Adgangsstyring o Drift og vedligeholdelse Revisionen er tilrettelagt ud fra en vurdering af væsentlighed og risiko og er udført ved besøg hos MedCom og driftsleverandøren, gennemgang af relevant materiale samt ved observationer, forespørgsler og en vurdering og stikprøvevis efterprøvelse af den modtagne information. Revisionskriterierne er baseret på ISO 27001 og god it-sikkerhedspraksis. 1/6

4. Resultaterne af den detaljerede gennemgang af revisionsområderne og de tilknyttede observationer er beskrevet i vedlagte revisionsrapport. Konklusion 5. Rigsrevisionen vurderer, at ledelsens styring af it-sikkerheden på de undersøgte områder samlet set er ikke tilfredsstillende. Vurderingen er begrundet i, at revisionen har vist, at der er en række mangler i styringen af it-sikkerheden i og omkring SDN, som vi har redegjort for i det følgende, og som vi anbefaler, at MedComs ledelse tager stilling til. Ledelsens styring af it-sikkerheden 6. Vi har undersøgt, om organiseringen af styringen af SDN er hensigtsmæssig, og om MedCom har etableret effektive styringsværktøjer til at understøtte varetagelsen af SDN s it-sikkerhed. Ledelsens styring 7. Revisionen har vist, at MedCom ikke udarbejder en årlig risikovurdering af SDN. Vi finder, at når ledelsen ikke tager stilling til en risikovurdering, vil it-sikkerhedsinitiativer, som vedrører SDN s it-sikkerhed (tilgængelighed, fortrolighed og integritet) være baseret på et mangelfuldt grundlag eller overladt til den enkelte medarbejders eller leverandørens egen prioritering og vurdering. Ledelsen har ligeledes ikke sikret, at der i forlængelse af en risikovurdering er blevet udarbejdet en beredskabsplan. Vi vurderer, at en manglende beredskabsplan for SDN øger risikoen for, at et nedbrud på SDN kan få alvorlige konsekvenser fx for patienters liv og helbred. Endelig har revisionen vist, at MedCom ikke har udarbejdet politiker og retningslinjer mv. for SDN i forhold til fx leverandørstyring, adgangsstyring og ændringsstyring. Vi vurderer, at uklarhed om hvilke regler der gælder, betyder, at de enkelte medarbejdere er henvist til at løse opgaverne på egen udokumenterede og potentielt uens måde. Systemejerskab og SDN-brugergruppe 8. MedComs ledelse har nedsat en SDN-brugergruppe, som er sammensat af repræsentanter fra de forskellige tilsluttede institutioner, som sammen med Med- Com skal sikre den tekniske og sikkerhedsmæssige videreudvikling af SDN. Vi har konstateret, at SDN-brugergruppen kun mødes en enkelt gang om året, og ikke kan træffe bindende beslutninger. Vi vurderer, at SDN-brugergruppen i praksis ikke har mandat til at træffe beslutninger, hvilket efter vores vurdering, svækker MedComs muligheder for at varetage systemejerskabet for SDN og ansvaret for it-sikkerheden. Dataansvarlige og databehandler 9. Revisionen har vist, at de tilsluttede institutioner er dataansvarlige og har ansvaret for at sikre fortrolighed og integritet af egne data, der transmitteres via 2/6

SDN-netværket. MedCom er databehandler og stiller SDN til rådighed for de tilsluttede institutioner. MedCom har ansvaret for SDN s tilgængelighed, integritet og fortrolighed. Revisionen har vist, at MedCom har udarbejdet en standardiseret databehandleraftale, men at kun en mindre del af de dataansvarlige institutioner har tilsluttet sig databehandleraftalen med MedCom. Vi finder, at alle de dataansvarlige institutioner bør tilslutte sig databehandleraftalen, så der kan etableres et fælles grundlag for it-sikkerheden i og omkring SDN. Leverandørstyring 10. Vi har undersøgt, om MedCom har stillet relevante it-sikkerhedskrav til leverandørens drift af SDN, og om MedCom følger op på it-sikkerheden. Kontrakt og databehandleraftale med leverandør 11. Revisionen har vist, at MedCom har stillet overordnede sikkerhedskrav til leverandøren, som fremgår af kontrakten fra 2009, og MedCom har også indgået en databehandleraftale med leverandøren i 2015, hvori der ligeledes er beskrevet en række krav til leverandøren, fx at leverandøren skal implementere informationssikkerhedsstandarden ISO 27001. MedCom har ikke fulgt op på, hvordan leverandøren konkret overholder disse sikkerhedskrav, og har derfor ikke mulighed for at vurdere det reelle sikkerhedsniveau i og omkring SDN. Vi vurderer, at MedComs manglende konkretisering af it-sikkerhedskrav til leverandøren samt manglende opfølgning på leverandørens overholdelse af it-sikkerhedskravene øger risikoen for, at MedCom lever med en falsk tryghed, og at væsentlige sikkerhedsopgaver kun delvis udføres eller slet ikke udføres. Fx har Med- Com ikke sikret, at leverandøren tester sin beredskabsplan regelmæssigt. Revisorerklæringer 12. Revisionen har også vist, at MedCom modtager to revisorerklæringer årligt, henholdsvis en revisorerklæring ISAE 3402 type 2 om leverandørens driftsydelser generelt, som er blevet afgivet uden forbehold, og en ISAE 3000 erklæring om leverandørens overholdelse af relevante forhold relateret til Persondataloven i forbindelse med driften af SDN. Vedrørende det sidstnævnte har MedComs ledelse taget stilling til revisorerklæringens bemærkninger til svagheder vedrørende sikkerhedsopdateringer og logning af Aftalesystemet, hvilket vi finder positivt. Adgangsstyring 13. Vi har undersøgt, om MedCom, som systemejer og ansvarlig for brugeradministrationen, har taget stilling til hvilke medarbejdere hos institutionerne og leverandøren, der må have adgang til SDN, og om MedCom fører en løbende kontrol hermed. 14. Revisionen har vist, at MedCom tildeler godkendte medarbejdere hos de tilsluttede institutioner administratoradgang til Aftalesystemet i SDN. De pågældende er herefter SDN-administratorer på deres institution og varetager opgaven med at tildele lokale brugere adgang til SDN. 3/6

Vi har konstateret, at MedCom ikke fører kontrol med SDN-administratorerne. Vi har ligeledes konstateret, at MedCom ikke kontrollerer, at SDN-administratorerne følger op på deres lokale brugeres adgang til SDN. 15. Revisionen har også vist, at leverandøren har tildelt omkring 24 it-medarbejdere samt direktøren administratorrettigheder til SDN-netværket og adgang til de bagvedliggende systemer. Disse medarbejdere kan tilgå alle dele af SDN både logisk og fysisk, hvilket øger risikoen for, at ukrypterede patientdata kompromitteres eller krypterede patientdata hackes. Rigsrevisionen er opmærksom på, at MedCom ikke har ansvaret for de data, som bliver sendt over SDN, men MedCom har ansvaret for at godkende leverandørens adgangsrettigheder. Ifølge den seneste revisorerklæring har leverandøren etableret gode kontroller vedrørende den generelle adgangsstyring i driftscentret, men MedCom har ikke taget stilling til hvem hos leverandøren, som har et arbejdsbetinget behov for adgang til SDN. 16. Vi vurderer, at MedComs manglende kontrol med, hvilke medarbejdere der har adgang, kan medføre en øget risiko for uautoriseret adgang til SDN. Drift og vedligeholdelse 17. Vi har undersøgt, om MedCom har sikret en hensigtsmæssig ændringsstyring og passende vedligeholdelse af SDN. Vi har endvidere undersøgt, om MedCom har sikret en tilstrækkelig backup, logning og overvågning af SDN, og om netværket er sikkerhedstestet. Ændringsstyring 18. Revisionen har vist, at driftsleverandøren har en hensigtsmæssig ændringsproces, men ikke altid informerer MedCom om opdateringer og ændringer af støttesystemernes bagvedliggende platform, hvilket kan medføre, at ændringer, som MedCom ikke er bekendt med, kan påvirke Aftalesystemet og støttesystemerne, og derved driftsstabiliteten. Teknisk løsning 19. Vi har gennemgået SDN s tekniske løsning, og vi vurderer generelt, at SDN s centrale komponenter er tidsvarende. Revisionen har dog vist, at leverandøren anvender forældede versioner af den software, der understøtter støttesystemerne som fx overvågning og backup. Vi vurderer, at den manglende tekniske vedligeholdelse af støttesystemerne kan medføre en risiko for SDN s tilgængelighed, fx hvis backuppen ikke bliver gennemført korrekt. Backup 20. Revisionen har vist, at MedCom har sikret, at leverandøren foretager en dækkende backup af konfigurationerne på netværksudstyret, som er den del, der sammen med Aftalesystemet styrer kommunikationen mellem de tilsluttede institutioner. Overvågning og logning 21. Vi har gennemgået overvågning og logning af henholdsvis SDN-netværket og støttesystemerne. Revisionen har vist, at MedCom har sikret en tilstrækkelig over- 4/6

vågning og logning af SDN-netværket, men ikke af støttesystemerne, hvor vi vurderer, at der mangler en tilstrækkelig overvågning og rapportering af oppetid og tilgængelighed, samt information om støttesystemernes kapacitet. Vi har endvidere konstateret, at MedCom ikke har sikret, at leverandøren har etableret en funktionsadskillelse i adgangen til log-filer. Disse forhold øger risikoen for, at uautoriserede ændringer eller sikkerhedshændelser ikke kan opdages eller opklares. Netværkssikkerhed 22. Endelig har vi undersøgt, om MedCom har identificeret og taget stilling til de risici, som kan forekomme i forbindelse med SDN s eksponering mod internettet. Revisionen har vist, at MedCom ikke har identificeret sårbarheder og sikret en sikkerhedstest af alle grænseflader til de støttesystemer, der eksponerer SDN mod internettet. Vi vurderer, at der er en risiko for, at en hacker, via den delvist internet eksponerede overvågningsserver (støttesystem), kan opnå uautoriseret adgang til SDN-netværket. Vi vurderer også, at det kan medføre en risiko for, at fortrolighed eller integritet af data, der transmitteres via SDN, kan blive kompromitteret. Anbefalinger 23. Formålet med Rigsrevisionens skriftlige anbefalinger er at bidrage til, at virksomhederne opnår større it-sikkerhed og en mere effektiv it-styring. Rigsrevisionen forventer, at virksomhederne tager stilling til anbefalingerne. Nedenstående tabel viser en oversigt over de reviderede områder, samt hvilke anbefalinger Rigsrevisionen har givet i forbindelse med it-revisionen af SDN. Oversigt over revisionsområder og -resultater Nr. Omhandler Opfyldt Prioritet Anbefaling Ikke opfyldt, Delvist opfyldt, Opfyldt Ledelsens styring af it-sikkerheden 2015-1 Hensigtsmæssig it-sikkerhedsorganisation 1 X 2015-2 Årlig risikovurdering af SDN 1 X 2015-3 Dækkende beredskabsplan for SDN 1 X 2015-4 Relevante politikker, retningslinjer og procedurer 2 X 2015-5 Databehandleraftale indgået med dataansvarlige 1 X Leverandørstyring 2015-6 Databehandleraftale indgået med leverandør 2015-7 Relevante it-sikkerhedskrav til leverandør 2 X Adgangsstyring 2015-8 Sikring mod uautoriseret adgang til SDN 1 X Drift og vedligeholdelse 2015-9 Hensigtsmæssig ændringsstyring 2 X 2015-10 Tidssvarende teknisk løsning 2 X 2015-11 Tilstrækkelig backup af SDN 2015-12 Tilstrækkelig overvågning og logning af SDN-netværket 2015-13 Tilstrækkelig overvågning og logning af SDN s støttesystemer 2 X 2015-14 Identificerede risici i.f.b. med SDN s eksponering mod Internettet 2 X Note: Prioritet angives som 1,2 eller 3, hvor 1 er mest væsentlig. 24. Rigsrevisionen anmoder om MedCom s ledelses kommentarer til rapportens konklusioner og anbefalinger. Rigsrevisionen skal anmode om et svar senest den 15. februar 2016. 5/6

Med venlig hilsen Anina Oksbjerg Specialkonsulent Claus Bobjerg Juul It-revisor 6/6

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback