ENISA risikoanalyserapport: “At være diabetiker i 2011”


enisa-logo  enisa-pilot

ENISA – European Network and Information Security Agency har udviklet et omfattende analyseværktøj til identificering og vurdering af kommende og fremtidige risici, som er scenarie baseret og som består af bestemte faser til formulering og analysering af scenario, mobilisering af den nødvendige ekspertise (HR) med henblik på vurdering og analyse af disse scenario og for at forbedre ledelsens evne til at indsamle og distribuere  evalueret information (f. eks. scenarie beskrivelser, trusler, svagheder, værdier, virkninger, risici osv.)

ENISA har haft til hensigt at validere risici i forbindelse med netværk og informationssikkerhed indenfor de næste 3 år og da temaet er relativt nyt har EU agenturet etableret et såkaldt EFR Stakeholder Forum af særlige fageksperter på området, herunder fra branchen, forskningsverdenen og regeringsembedsværket.

Rapporten, der offentliggøres i dag, repræsenterer resultatet af den pilot om kvalitativ risikovurdering, som er blevet gennemført og koordineret af ENISA teamet i 2008 vedrørende et specifikt scenarie om fjernmonitorering og –behandling  i sundhedssektoren (telemedicin). 

Piloten er gennemført med henblik på at teste og tilvejebringe ”proof-of-concept” af det analyseværktøj, om er udviklet.

EU Kommissionen har udarbejdet en e-health aktionsplan i 2004 og i juli 2008 en rekommandation om grænseoverskridende interoperabilitet for EPJ systemer, så læger kan få adgang til vital information om patienter fra andre medlemslande som er under deres behandling. E-health influerer som applikation og kommunikationsteknologi alle funktioner indenfor sundhedssektoren, som repræsenterer en større og større andel af EU landenes budgetter. E-health kan være med til at begrænse omkostninger og øge produktiviteten og samtidig mindske fejlbehandling. Ikke desto mindre er e-health stadig kontroversiel og en af de største udfordringer for en implementering er at overbevise offentligheden om, at de elektroniske patientjournaler er sikre og at kun autoriseret personale kan få adgang til patientdata. På denne baggrund har det været relevant at vælge et scenario med relation til e-health.

Piloten har to formål:

1. at identificere kommende og fremtidige risici mht fjernmonotorering
2. at få feedback på analyseværktøjet med henblik på ajourføring og forbedring

Det blev besluttet at identificere alle væsentlige it komponenter på højt eller strategisk niveau og gruppere disse i generiske kategorier. Som tillæg til rapporten er udarbejdet en skabelon for scenariets applikationer.

Rapporten begynder med en samtale mellem Ralph som går ind for et e-health system og Fred, som er opponent ogm er baseret på den forberedte skabelon for scenariets applikationer og giver et kort overblik over de risici og udfordringer, som er identificeret i forbindelse med implementeringen af programmer for fjermonotorering og fjernbehandling. De næste to sektioner præsenterer de væsentligste risici, som er identificeret i forbindelse med piloten og de konkrete værdier. Til slut konkluderer rapporten med et kort overblik over den anvendte metodologi, dvs. værktøjet med henblik på at identificere og analysere de pågældende risici. De to bilag omhandler skabelonen for scenariets applikationer samt rapporten om risikovurderingen udarbejdet af eksperter fra Logica Ebios.

I den gengivne samtale rejses relevante spørgsmål som f.eks.:

1. hvem skal have adgang til den elektroniske patientjournal ?
2. den uundgåelige risiko for ændring af data (snigende mission, snigende funktion, utilsigtet brug)
3. informationsbaseret patientakcept er et minefelt i sig selv   
4. at give patienten ret til at vælge hvem der skal have adgang er problemfyldt
5. at fæste lid til at personer kan sikre præcise data er en ufuldstændig strategi. At udvikle en algoritme, som kan checke nøjagtigheden er en god ide, men som en sikker løsning dog højst tvivlsom. 
6. ethvert system lider under risikoen for ydre påvirkninger
7. overinformation er ingen garanti imod systemfejl. At teste de værste scenarie er ikke det samme som at være i stand til at håndtere dem
8. risikoen for interessekonflikter
9. fjernmonitorering og -behandling ved brug af speciel teknologi, som f.eks. en vest med biosensorer, er teoretisk en god ide, men der bør også tages højde for omkostninger for patienten
10. fjernmonitorering og -behandling kan ikke eliminere alle risici. Patienten skal også yde sin andel

Rapporten oplister herefter mere specifikt de identificerede risici og hændelser baseret på risikoniveau (høj), påvirkning samt sandsynlighed.

1. manglende compliance med lovgivning om informationsbaseret patientakcept
2. manglende compliance med lovgivning om databeskyttelse
3. databrud
4. ændring eller utilsigtet brug af data
5. patienten kan blive kompromitteret
6. udstyret kan blive beskadiget
7. systemet kan lide under funktionsfejl eller være udsat for sammenbrud
8. tyveri
9. utilstrækkelig tilgængelighed af den medicinske service
10. menneskelige fejl i forbindelse med nødstilfælde
11. patienten kan misforstå data.
12. det lægelige personale kan misforstå, modificere eller slette patientdata
13. patienten følger ikke instruktionerne
14. dataovervågning og profiling

Rapportens næste afsnit identificerer de værdier, som man forsøger at beskytte mod de førnævnte risici. Disse kan være både håndgribelige så vel som uhåndgribelige, ejet af både patienten (in casu Ralph) eller hans læge, hospitalet, det medicinske call center eller andre. Værdier omfatter også enhver device, teknologi, applikation, processer, data eller en hvilken som helst værdi for patienten, organisationen eller samfundet. Nogle værdier er selvfølgelig mere værdifulde end andre og de kan variere over tid og/eller i henhold til kontekst. Et glas vand synes ikke at have stor værdi for de fleste af os, men for omstrejferen i ørkenen kan den have enorm værdi. Risici kan have indflydelse på forretningsoperationer som resultat af uautoriseret offentliggørelse, modifikation eller afvisning af information samt utilgængelighed eller destruktion af information eller service. Baseret på en række diskussioner i arbejdsgruppen sigter scenariet at beskytte følgende:

• sundhed og liv
• menneskerettigheder og sociale værdier
• autonomi
• det nationale sundhedssystem
• mobilitet
• persondata
• sundhedskort
• monitoreringsudstyr
• personligt it udstyr
• data centre og call centre
• elektronisk patient journal (EPJ)
• sygejournal
• elektroniske recepter
• offentlige forskningsdata
• hospitalets it systemer
• netværk

metodologi

Figuren viser et overblik over det anvendte analyseværktøjs opbygning.

Scenariet er excellent. Det er aktuelt og præsenterer de teknologiske muligheder i det offentlige sundhedssystem, der har et unikt globalt potentiale. Det er vigtigt, at man er i stand til at udtænke modeller, som fra start indbygger robust privacy og security (“baked in”). Ved brug af intelligente risiko- og sårbarhedsanalyser vil man kunne medvirke til at sikre den tillid og tryghed for brugeren, som er nødvendig, men også en forudsætning for en hensigtsmæssig teknologik udvikling. Risikoanalyse-værktøjet vil i det hele taget kunne finde anvendelse i forbindelse med implementering og udvikling af  it-projekter af enhver art, større eller mindre, offentlige eller private. Eksempelvis vil det være en oplagt del af processen og kravene, at der udover en privacy feasibility- og konsekvensanalyse principielt indgår en omfattende kvalitativ og kvantitativ risiko- og sårbarhedsanalyse af både security og privacy, når Danmark  på et tidspunkt skal indføre et borgerservicekort.

Man vil bemærke, at det rådgivende forum var stærkt repræsenteret af privacy eksperter og formidlere. Samtlige medlemmer gav udtryk for bekymring for krænkelse af privacy og databeskyttelse, hvilket på forskellig vis er kommet til udtryk i den endelige rapport. Hermed markerer ENISA også en opprioriteret fokus på netop privatlivs- og databeskyttelse. Det er hensigten at yderligere piloter med anvendelse af analyseværktøjet vil finde sted i 2009.

Download hovedrapporten her
Download bilag 1 her
Download bilag 2 her

Læs i øvrigt interview med Barbara Daskala, ENISA Information Security Risk Management ekspert, en af hoverkræfterne bag rapporten, om dens perspektiver her

Reklamer

11 responses to “ENISA risikoanalyserapport: “At være diabetiker i 2011”

  1. Interessant rapport om et af vor tids vigtigste emner.

    Desværre så åbenlyst en katastrofe.

    4 aspekter slår den opmærksomme læser øjeblikkeligt.

    a) Ikke en af projektdeltagerne kan siges at have bare et minimum af viden om de sikkerhedsteknologiske muligheder. Der er et par velmenende deltagere (f.eks. Mireille Hildebrandt som har været en gennemgående figur i FIDIS med fokus på jura og filosofi) men – så vidt jeg kan vurdere – ingen som umiddelbart kan nedbryde en sikkerhedskontekst til dens elementer og designe værdiskabelsen med forebyggelse og viden om alternative løsningsmodeller.

    b) Man farer vild fra starten ved at tro at “informed consent” har meget med EPJ-spørgsmålet at gøre. Allerede med denne antagelse har man ødelagt rapporten fordi man tager udgangspunkt i en antagelse af at data kontrolleres af en server uden sikkerhed fremfor at tage udgangspunkt i at sikre systemet med samtidig udgangspunkt i borgerens helbred (safety), sikkerhed (security) og effektivitet (økonomi).

    c) Tonen slås straks an som at “nu skal vi bare se at have centraliseret alle data for at redde liv”. I virkeligheden lader man særinteresserne drive designet uden at tilgodese hensynet til hverken borger eller samfund. Man stiller ikke spørgsmålstegn ved dette paradigme, men tager det blot for givet.

    d) Man inddrager end ikke kendt og publiceret viden. Kompetente sikkerhedsfolk kunne pege på mindst 3-4 helt centrale fokusområder som burde have været inddraget.

    Velmenende smagsdommeri uden videnskabelig indsigt er farligt fordi det pseudo-legitimerer forkerte beslutninger og fremmer særinteressers systematiske manipulering af systemet.

    Denne rapport vil blive misbrugt til mere EU-teknokrati – at banke alle EU-borgere på plads i et stadigt mere centralt styret planøkonomisk misbrugssystem. Den er et glimrende eksempel på systemets fiasko – ikke på rettidig omhu eller noget som blot er i nærheden af at repræsentere visioner for fremtiden.

    Og det er før vi begynder at se på privacy-problemstillingerne.

  2. En metodisk kommentar.

    Metoden fejler i brug fordi den ikke forebygger og undgår at skabe risici, men blot prøver at beskytte “aktiver” uden at leverere en konsistent analytisk model til at identificere de vigtigste aktiver og sammenhængene mellem design og etablering af risici.

    Problemet er operationelt at man ikke definerer selve borgeren som det primære aktiv og data relateret til borgeren som mindre sekundære aktiver som truer det primære aktiv. Dermed når man ikke frem til at stille spørgsmålstegn ved selve dataskabelsen hvor risici opstår.

    For både et demokrati og et markedsystem gælder det et at INDIVIDET er det primære aktiv og som subjekt og slut-forbruger i alle værdikæder den eneste som kan definere kvalitet.

    Rent økonomisk er der også en række andre problemer. F.eks. stiller man ikke spørgsmålstegn ved den typiske planøkonomiske fejlantagelse at standard og one-size-fits-all skulle være det samme som interoperabilitet eller effektivitet. Dagens standard er morgendagens legacy.

  3. Jeg synes du helt misser rapportens pointe, nemlig at sætte fokus på selve ideen om at fremme risikoanalyse- og risikostyringsmetoder, så vi bedre vil være i stand til at håndtere trusler mod informationssikkerheden. Det er helt op til det pågældende projekts samarbejdspartnere nærmere at konkretisere værdier, hændelser og risici.

    Det rådgivende panel er, som det fremgår af rapporten, fremkommet med synspunkter om konkrete værdier, hændelser og risici, som man bør være opmærksom på i forhold til det konkrete scenarie. Der er givetvis flere forhold der kunne fremdrages. Jeg gjorde iøvrigt selv opmærksom på, at en klientbaseret løsning er at foretrække. Ligeledes anbefalede jeg oprettelsen af et uafhængigt råd, som skulle overvåge alle 3. parter (service- og call center) samt en mere specifik patientkontrol-model. At det ikke er kommet med implicit, betyder ikke, at metoden er ubrugelig.

    Hverken vi, de øvrige samarbejdspartnere eller ENISA, har eller skal have nogen som helst indflydelse på de konkrete beslutningsprocesser. Så dine konklusioner om rapporten må stå for helt din egen regning.

    Dine betragtninger om metoden kan jeg ikke se der er belæg for i rapporten.

    Jeg er enig i, at patientens data skal være i centrum. Det tror jeg alle er enige om. Vi må blot ikke forledes til at tro, at total patientdatabeskyttelse er et enten eller. Det vi kan og skal gøre er at finde den rette balance mellem effektiv patientbehandling og patientdatabeskyttelse. I sidste ende er liv mere værd end privatliv.

  4. Frederik.

    For det første er der så absolut belæg for metodekritikken – hvis man laver en risikoanalyse uden at identificere risikoen er det lidt svært at få øje på formålet.

    For det andet indgår virtualisering, pseudonymisering eller andre af de kendte løsningsmodeller end ikke i rapporten, dvs. man er langt fra at beskæftige sig med risikostyring.

    For det tredje er Emergency Care uden bagdøre et løst problem, dvs. det er en falsk diktomi.

  5. Jeg vil mene, at adskillige risici er identificeret. Men jeg vil da ikke udelukke at der er flere. Men igen, det er ikke det væsentligste. Det er de konkrete samarbejdspartneres ansvar.

    Rapporten er opmærksom på ukrypteret datalagring som en sårbarhed.

    Du misforstår rapportens scope. Den har ikke til formål at opstille abstrake løsningsmodeller, men at forholde sig til et helt specifikt scenarie. Virtualisering, pseudonymisering, cloud computing, quantum cryptography mm. indgår i ENISA´s kommende arbejdsprogram for analyse af konkrete scenarie og fremtidige risici. Jeg har tidligere gjort opmærksom på, at analyse-værktøjet vil indgå i flere piloter med henblik på videreudvikling og “proof-of-concept”.

    Jeg er overrasket over din negative fokus. Det fortjener temaet bestemt ikke.

  6. Skulle man på god akademisk vis have kritiseret opgaven, så ville man sige at både problemvalg og metodevalg som sådan er ok, men at man ikke forstod at applikere metoden på problemet. Det blev til en masse snak som cirklede rundt om problemet uden at komme ind til problemets kerne.

    Hvis formålet – som du siger det – er metodebeskrivelse, så er det en dårlig måde at eksemplificere på. Grundproblemet består, men nu skal det blot hedde sig at det er håndteret fordi man har brugt en “metode”. Informeret samtykke er last resort for at forsøge at reducere skaden – ikke et mål i sig selv fordi det antager at skaden er sket og personhenførbare data registreret uden sikkerhed.

    Hvis formålet er – som du også siger det – er løsning af et specifikt scenarie, så lykkes det slet ikke.

  7. Problemet med diskussionen er at hensigten ikke er nok, hvis midlerne ikke virker.

    Privacy er sikkerhed fra en enkelt interessents synspunkt – ikke viden om hvor slemt overgrebet er, dvs. hvis det ikke forebygger, så virker det ikke.

  8. Jamen jeg går da sandelig ud fra, at man forholder sig de risici eller “huller” i privacy og/eller security, der afdækkes ved analysen inden et projekt implementeres. Men det er jo helt op til projektets samarbejdspartnere at afgøre, hvilken konsekvens risikoanalysen skal have. En anden ting er, at der er behov for, at persondataloven, som bygger på et EU direktiv tilbage i 1995, trænger til et generelt serviceeftersyn. I den forbindelse kunne man passende se på mulighederne for en særskilt patientretsbeskyttelse, der bygger på princippet om en udvidet patientkontrol over egne data.

  9. Problemet er at det er sjældent/aldrig at man “forholder sig (til) de risici eller “huller” privacy og/eller security, der afdækkes ved analysen inden et projekt implementeres”.

    Nævn 3 danske eksempler. Jeg vil blive overrasket hvis du kan nævne et.

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out /  Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out /  Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out /  Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out /  Skift )

w

Connecting to %s