Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm
Sundhedsdatanettets Anatomi UNI-C Router Organisation A Router Router Organisation B Firewall Firewall
Linjesikkerhed Ukrypteret linje Data passerer gennem en IPSec krypteret tunnel Organisation A UNI-C Firewall Router Router Fælles nøgle Routing tabel: Hvem kan se hvem?
Hvor høj sikkerhed kan jeg regne med? Hjemmearbejdsplads Sundhedsdatanettet Internettet Organisation Trådløs Netadgang (wifi) Arbejdsplads Brugerdatabase
Tilslutningsaftale Skal sikre egne net mod indtrængende udefra Varetage drift af SDN Opgradere SDN efter behov Sørge for nok ipadresser Overholde krav og vejledninger fra MedCom Organisation der tilsluttes SDN MedCom http://www.medcom1-4.dk/mc4/inet/download/opkoblingsaftale.pdf
Vejledninger DS-484 Standard for informationssikkerhed, anvendt bla. i staten. Sikkerhed i lægepraksis Praktisk vejledning Krav og råd til sikring af lægepraksis http://www.medcom.dk/dwn554 Best practice ved opkobling til Sundhedsdatanettet Råd til sikring af amtslige net http://www.medcom.dk/dwn555 Sundhedsdatanettet: Sikkerhed og ansvar Generelle sikkerhedskrav ved brug af Sundhedsdatanettet http://www.medcom.dk/dwn608
Tilstrækkelig sikker dataudveksling? Skal data videre ad andre (usikre) kanaler? Er data personfølsomme? Hvor god er afsenderens sikkerhed? Hvor god er modtagerens sikkerhed? A B Skal jeg kende identiteten af afsenderen? Hvad er sker der hvis data falder i forkerte hænder?
Når data er personfølsomme Vær sikker på hvem der får adgang til data! Personfølsom Afskærm data mod Uvedkommendes blik. Information Gem beviser for at data er blevet tilgået Registrér hvem der faktisk tilgår data
Case: Web Services Service Provider XML Service Consumer XML
Den Gode Webservice (DGWS) Profil for udveksling af data via web services Webservice kuvert Sundhedsfaglige oplysninger Brugeridentifikation Systemidentifikation Beskedidentifikation og gruppering Hjælp til serviceudbydere Guidelines til snitflader (WSDL) Timeout niveauer Brugsmønstre Punkt-punkt, mange-mange Signon og single-signon Retransmission Simple sessioner Anvendelse af standarder Internationale (WS-*) Nationale (OCES, OIO,...)
DGWS adresserer en række egenskaber Autentifikation (Login) Autorisation (Rettigheder) Uafviselighed Sikkerhed Konfidentialitet (Kryptering) Integritet
Start med en risikoanalyse Trin 1 2 3 4 Beskrivelse Hvad sker der hvis data går tabt for service udbyder, aftager og andre parter? Match identificerede risici mod niveau af autenticitetssikring Vælg teknologi til sikring ifht. eksisterende sikkerhedsforanstaltninger Validér og revurder løbende Kilde: http://oio.dk/files/horing.b.st.niv.autentisitetssikring.v3.pdf
Potentielle risici ved tab af data Grad af tillid til påstået identitet 1 2 3 4 Ulempe, kval eller tab af anseelse Lille Moderat Moderat Stor Økonomisk tab eller ansvarspådragelse Lille Moderat Moderat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser - Lille Moderat Stor Ikke-autoriseret frigivelse af sensitiv information - Lille Moderat Stor Fysisk personskade - - Lille Moderat Stor Mulighed for at begå/modvirke opklaring af ulovligheder - Lille Moderat Stor Kilde: http://oio.dk/files/horing.b.st.niv.autentisitetssikring.v3.pdf
Mulige akkreditiver Niveau 1 2 3 4 Hard crypto token One time password device Soft crypto token Passwords and pins Kilde:http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf
Public Key Infrastructure: Certifikater og Nøgler Certifikat med oplysninger om ejeren Data låst med den private nøgle kan åbnes med den offentlige Offentlig nøgle Privat nøgle Digital signatur fra certifikat udstederen Offentlig nøgle Data låst med den offentlige nøgle kan åbnes med den private
Autentifikation (at logge på) Sikkerhedsniveau 1 2 3 4 Akkreditiv Intet Brugernavn & password VOCES Signatur af id-kort MOCES Signatur af id-kort
Oplysninger om brugeren i DGWS Id-kort Version: 1.0.1 ID: QYZ1234 Gyldig: 25/10-2006 - 26/10/2006 Udsteder: EPJQ 3.0 System: EPJQ 3.0 Organisation: Region X Indehaver: S.Miley Autorisationsnr: 5678 CPR: 0101121234 Email: def@abc.dk Stilling: Læge
Id-kort udstedelse og føderation 1) Bruger logger på med digital signatur Identity Provider SOSI ID-Kort Version: 1.0 ID: QYZ1234 Gyldig: 25/10-2006 - 26/10/2006 Udsteder: EPJQ 3.0 Type: User System: EPJQ 3.0 Organisation: Region X Organisation ID: 1234 Indehaver: S.Miley Autorisationsnr: 5678 Rolle: Kirurg CPR: 0101121234 Email: s.miley@abc.dk Stilling: Læge 2) Id-kort udstedes SOSI ID-Kort Version: 1.0 ID: QYZ1234 Gyldig: 25/10-2006 - 26/10/2006 Udsteder: EPJQ 3.0 Type: User System: EPJQ 3.0 Organisation: Region X Organisation ID: 1234 Indehaver: S.Miley Autorisationsnr: 5678 Rolle: Kirurg CPR: 0101121234 Email: s.miley@abc.dk Stilling: Læge Web service consumer 3) Id-kort medsendes Web service provider
Autorisation Tildeling af rettigheder Udløbet? Læge? Tandlæge? SOSI ID-Kort Version: 1.0 ID: QYZ1234 Gyldig: 25/10-2006 - 26/10/2006 Udsteder: EPJQ 3.0 Type: User System: EPJQ 3.0 Organisation: Region X Organisation ID: 1234 Indehaver: S.Miley Autorisationsnr: 5678 Rolle: Kirurg CPR: 0101121234 Email: s.miley@abc.dk Stilling: Læge Gyldig organisation?
Konfidentialitet DGWS kræver krypteret transport Sundhedsdatanettet (VPN) eller SSL
Integritet: At data ikke er ændret undervejs SDN sikrer datas integritet under transport! Digital signering af beskeden sikrer integritet før, under og efter transport.
Uafviselighed: At beskeden beviseligt kommer fra afsenderen! SDN giver data origin authentication. Giver mulighed for uafviselighed i transporten. Digital signering af beskeden giver ligeledes mulighed for uafviselighed.
Summa summarum Sundhedsdatanettet Lægemiddelstyrelsen? Region? Vejledninger Anden Anden aktør?? aktør Ekstra Sikkerhedstiltag LPS Leverandør Tilslutningsaftale Afgørende at alle led er sikrede!
Spørgsm rgsmål