ENISA risikoanalyserapport: “At være diabetiker i 2011”


enisa-logo  enisa-pilot

ENISA – European Network and Information Security Agency har udviklet et omfattende analyseværktøj til identificering og vurdering af kommende og fremtidige risici, som er scenarie baseret og som består af bestemte faser til formulering og analysering af scenario, mobilisering af den nødvendige ekspertise (HR) med henblik på vurdering og analyse af disse scenario og for at forbedre ledelsens evne til at indsamle og distribuere  evalueret information (f. eks. scenarie beskrivelser, trusler, svagheder, værdier, virkninger, risici osv.)

ENISA har haft til hensigt at validere risici i forbindelse med netværk og informationssikkerhed indenfor de næste 3 år og da temaet er relativt nyt har EU agenturet etableret et såkaldt EFR Stakeholder Forum af særlige fageksperter på området, herunder fra branchen, forskningsverdenen og regeringsembedsværket.

Rapporten, der offentliggøres i dag, repræsenterer resultatet af den pilot om kvalitativ risikovurdering, som er blevet gennemført og koordineret af ENISA teamet i 2008 vedrørende et specifikt scenarie om fjernmonitorering og –behandling  i sundhedssektoren (telemedicin). 

Piloten er gennemført med henblik på at teste og tilvejebringe ”proof-of-concept” af det analyseværktøj, om er udviklet.

EU Kommissionen har udarbejdet en e-health aktionsplan i 2004 og i juli 2008 en rekommandation om grænseoverskridende interoperabilitet for EPJ systemer, så læger kan få adgang til vital information om patienter fra andre medlemslande som er under deres behandling. E-health influerer som applikation og kommunikationsteknologi alle funktioner indenfor sundhedssektoren, som repræsenterer en større og større andel af EU landenes budgetter. E-health kan være med til at begrænse omkostninger og øge produktiviteten og samtidig mindske fejlbehandling. Ikke desto mindre er e-health stadig kontroversiel og en af de største udfordringer for en implementering er at overbevise offentligheden om, at de elektroniske patientjournaler er sikre og at kun autoriseret personale kan få adgang til patientdata. På denne baggrund har det været relevant at vælge et scenario med relation til e-health.

Piloten har to formål:

1. at identificere kommende og fremtidige risici mht fjernmonotorering
2. at få feedback på analyseværktøjet med henblik på ajourføring og forbedring

Det blev besluttet at identificere alle væsentlige it komponenter på højt eller strategisk niveau og gruppere disse i generiske kategorier. Som tillæg til rapporten er udarbejdet en skabelon for scenariets applikationer.

Rapporten begynder med en samtale mellem Ralph som går ind for et e-health system og Fred, som er opponent ogm er baseret på den forberedte skabelon for scenariets applikationer og giver et kort overblik over de risici og udfordringer, som er identificeret i forbindelse med implementeringen af programmer for fjermonotorering og fjernbehandling. De næste to sektioner præsenterer de væsentligste risici, som er identificeret i forbindelse med piloten og de konkrete værdier. Til slut konkluderer rapporten med et kort overblik over den anvendte metodologi, dvs. værktøjet med henblik på at identificere og analysere de pågældende risici. De to bilag omhandler skabelonen for scenariets applikationer samt rapporten om risikovurderingen udarbejdet af eksperter fra Logica Ebios.

I den gengivne samtale rejses relevante spørgsmål som f.eks.:

1. hvem skal have adgang til den elektroniske patientjournal ?
2. den uundgåelige risiko for ændring af data (snigende mission, snigende funktion, utilsigtet brug)
3. informationsbaseret patientakcept er et minefelt i sig selv   
4. at give patienten ret til at vælge hvem der skal have adgang er problemfyldt
5. at fæste lid til at personer kan sikre præcise data er en ufuldstændig strategi. At udvikle en algoritme, som kan checke nøjagtigheden er en god ide, men som en sikker løsning dog højst tvivlsom. 
6. ethvert system lider under risikoen for ydre påvirkninger
7. overinformation er ingen garanti imod systemfejl. At teste de værste scenarie er ikke det samme som at være i stand til at håndtere dem
8. risikoen for interessekonflikter
9. fjernmonitorering og -behandling ved brug af speciel teknologi, som f.eks. en vest med biosensorer, er teoretisk en god ide, men der bør også tages højde for omkostninger for patienten
10. fjernmonitorering og -behandling kan ikke eliminere alle risici. Patienten skal også yde sin andel

Rapporten oplister herefter mere specifikt de identificerede risici og hændelser baseret på risikoniveau (høj), påvirkning samt sandsynlighed.

1. manglende compliance med lovgivning om informationsbaseret patientakcept
2. manglende compliance med lovgivning om databeskyttelse
3. databrud
4. ændring eller utilsigtet brug af data
5. patienten kan blive kompromitteret
6. udstyret kan blive beskadiget
7. systemet kan lide under funktionsfejl eller være udsat for sammenbrud
8. tyveri
9. utilstrækkelig tilgængelighed af den medicinske service
10. menneskelige fejl i forbindelse med nødstilfælde
11. patienten kan misforstå data.
12. det lægelige personale kan misforstå, modificere eller slette patientdata
13. patienten følger ikke instruktionerne
14. dataovervågning og profiling

Rapportens næste afsnit identificerer de værdier, som man forsøger at beskytte mod de førnævnte risici. Disse kan være både håndgribelige så vel som uhåndgribelige, ejet af både patienten (in casu Ralph) eller hans læge, hospitalet, det medicinske call center eller andre. Værdier omfatter også enhver device, teknologi, applikation, processer, data eller en hvilken som helst værdi for patienten, organisationen eller samfundet. Nogle værdier er selvfølgelig mere værdifulde end andre og de kan variere over tid og/eller i henhold til kontekst. Et glas vand synes ikke at have stor værdi for de fleste af os, men for omstrejferen i ørkenen kan den have enorm værdi. Risici kan have indflydelse på forretningsoperationer som resultat af uautoriseret offentliggørelse, modifikation eller afvisning af information samt utilgængelighed eller destruktion af information eller service. Baseret på en række diskussioner i arbejdsgruppen sigter scenariet at beskytte følgende:

• sundhed og liv
• menneskerettigheder og sociale værdier
• autonomi
• det nationale sundhedssystem
• mobilitet
• persondata
• sundhedskort
• monitoreringsudstyr
• personligt it udstyr
• data centre og call centre
• elektronisk patient journal (EPJ)
• sygejournal
• elektroniske recepter
• offentlige forskningsdata
• hospitalets it systemer
• netværk

metodologi

Figuren viser et overblik over det anvendte analyseværktøjs opbygning.

Scenariet er excellent. Det er aktuelt og præsenterer de teknologiske muligheder i det offentlige sundhedssystem, der har et unikt globalt potentiale. Det er vigtigt, at man er i stand til at udtænke modeller, som fra start indbygger robust privacy og security (“baked in”). Ved brug af intelligente risiko- og sårbarhedsanalyser vil man kunne medvirke til at sikre den tillid og tryghed for brugeren, som er nødvendig, men også en forudsætning for en hensigtsmæssig teknologik udvikling. Risikoanalyse-værktøjet vil i det hele taget kunne finde anvendelse i forbindelse med implementering og udvikling af  it-projekter af enhver art, større eller mindre, offentlige eller private. Eksempelvis vil det være en oplagt del af processen og kravene, at der udover en privacy feasibility- og konsekvensanalyse principielt indgår en omfattende kvalitativ og kvantitativ risiko- og sårbarhedsanalyse af både security og privacy, når Danmark  på et tidspunkt skal indføre et borgerservicekort.

Man vil bemærke, at det rådgivende forum var stærkt repræsenteret af privacy eksperter og formidlere. Samtlige medlemmer gav udtryk for bekymring for krænkelse af privacy og databeskyttelse, hvilket på forskellig vis er kommet til udtryk i den endelige rapport. Hermed markerer ENISA også en opprioriteret fokus på netop privatlivs- og databeskyttelse. Det er hensigten at yderligere piloter med anvendelse af analyseværktøjet vil finde sted i 2009.

Download hovedrapporten her
Download bilag 1 her
Download bilag 2 her

Læs i øvrigt interview med Barbara Daskala, ENISA Information Security Risk Management ekspert, en af hoverkræfterne bag rapporten, om dens perspektiver her

Reklamer

Når informationssiloerne falder


silos

Øer af information
Automatisering af forretningsprocesser har i årtier og lige fra de tidlige mainframedage været det primære fokus for forretningsapplikationer. Typisk afgrænses en applikations funktionalitet af et bestemt funktionsområde: ERP-systemer til regnskabsaktiviteter, CRM til at holde styr på kunderne, CMS til håndtering af dokumenter, etc. Hvert system har sædvanligvis en brugerrettet grafisk grænseflade, forretningslogik der implementerer forretningsprocesserne og et lager i form af en database hvor forretningsdata gemmes. Typisk er det også, at stort set alle systemer indtil for ganske nylig blev bygget uden tanke på at skulle indgå i en større sammenhæng, de var og er øer af information: siloer.

Men forretningsprocesser kan ikke altid meningsfyldt lokaliseres til et enkelt geografisk eller funktionelt område og data der skabes i et system skal ofte bruges i et andet. Et økonomisystem kan f.eks. være det sted nye ansatte først registreres i virksomheden inden de skal tildeles rettigheder i Identity Management Systemet (IDM), der evt. igen har brug for at skubbe oplysninger om brugeren ud til lokale systemer som ikke kan trække disse centralt fra. Tilsvarende kan virksomheden være geografisk opdelt f.eks. som følge af tilkøb og information om virksomhedens kunder, produkter mm. derfor være lige så spredt.

Integration og distribuerede data
Af disse årsager har der længe været fokus på integration først i form af Enterprise Application Integration (EAI) og sidenhen i form af det nu allestedsnærværende akronym SOA, kort for Service-Orienteret Arkitektur. Uanset modellen betyder en succesfuld integration, at data der før var isoleret i en silo, nu bliver gjort tilgængelige for en anden og siloerne smuldrer. Fra et forretningsmæssigt synspunkt er konsekvenserne til at få øje på i form af forsvundne dobbeltindtastninger, færre fejl, reduceret arbejdstid og hvad deraf følger af øget arbejdsglæde og økonomiske gevinster.

Men tager man de mørke informationssikkerhedsbriller på er sikkerhedsrisici der førhen var isolerede til et enkelt system nu potentielt langt større fordi mængden af data er vokset betragteligt. Et distribueret økonomisystem kan pludselig angribes fra flere lokationer og en angriber få adgang til måske hele koncernens financielle data.

Et geografisk distribueret system er langt mere sårbart end en lokal informationssilo.

Integration i offentlige virksomheder
Retter vi blikket mod den offentlige sektor og landskabet efter en nyligt gennemført, omfattende kommunalreform er behovet for systemintegration stort som aldrig før. Opgaver der før boede i 14 amter er fordelt på 5 regioner, hvis de da ikke er fisioneret ud til en af de 98 kommuner der er tilbage efter sammenlægning af 271. Med andre ord er der på fundamentet af tidligere, geografisk spredte organisationer blevet skabt nye endnu større enheder der i sagens natur har brug for at dele data.

Offentlige virksomheder databehandler i stor stil information om landets borgere, data der er mere eller mindre personfølsomme og som i de forkerte hænder kan misbruges til f.eks. afpresning, samt til at skade personers helbred eller anseelse. I en situation hvor informationssiloer brydes op og kobles sammen er der derfor også et udtalt behov for at sikre data mod misbrug. Hver evig eneste lille kobling af informationsstrømme må og skal nødvendigvis underlægges en analyse af hvorvidt den overhovedet er nødvendig og hvis den er, hvilke informationer der da bør flyde og i hvilken retning.

Foruden en nidkærhed i kontrollen med datastrømme skal adgangen til data håndhæves i endnu strammere grad. Et system, der f.eks. tidligere kun gav mulighed for at en læge kunne se oplysninger om patienter der havde været indlagt på samme sygehus, men som nu kan trække på oplysninger om alle patienter i hele landet, har næppe per se en sikkerhedsmodel der kan stå mål med risikoen for at data falder i uvedkommendes hænder.

Den unikke nøgle
Vi har i Danmark et centralt personregister (CPR), der entydigt – hvis man lige ser bort fra nogle få specialtilfælde – identificerer en borger her i landet. CPR-nummeret er nøglen der gør det muligt at hægte alskens information på en borger lige fra bankkonti til sygehistorik. Indenfor sundhedssektoren er CPR-nummeret pt. den mekanisme der sikrer at det er praktisk at fremsøge patientinformation med stor præcision. Havde vi ikke haft CPR-nummeret, ville de enkelte enheder, regioner, sygehuse opfinde egne koder og det ville være langt vanskeligere at udveksle information på tværs.

Men hvor en entydig fælles nøgle giver unikke fordele i tværgående kommunikation åbner den også en stor sikkerhedsrisiko. Brud på sikkerheden i et enkeltstående system, hvor personfølsomme oplysninger falder uvedkommende i hænde kan være slemt nok. Men når systemet er ophørt med at være en ø og giver adgang til oplysninger fra andre systemer er et brist langt værre. Udfordringen forstærkes desuden af det faktum at den entydige nøgle, CPR-nummeret, ikke er specielt hemmeligt.

Udfordringen
Jo flere systemer der binder data sammen med CPR-nummeret som nøgle desto større risiko for at store mængder information om en person falder de forkerte i hænder. Morgendagens systemer må derfor ikke bare skabes med hovedet under armen ved at koble eksisterende datasiloer sammen uden videre.

Der er i allerhøjeste grad behov for at få tegnet skarpe modeller for hvornår data må flyde, hvad der må flyttes, i hvilken retning, samt at få fundet realistiske alternativer til at bruge en global unik nøgle som alle kender i forvejen. Der er brug for at definere solide sikkerhedsmodeller som kan bruges til at evaluere og stramme op på siloer inden de integreres og et sådant arbejde kunne med fordel varetages fra centralt hold så den dybe tallerken ikke skal opfindes i alle landsdele og i øvrigt bliver ensartet på tværs af den offentlige sektor, endnu en forudsætning for succesfuld integration.

Systemerne bindes sammen uanset hvad der sker, så det er nu der skal handles!