Ny ét-sekunds login-løsning sparer lægerne kostbar tid
Danske læger har været ved at rive håret af i frustration over, hvor lang tid de skal bruge på at vente på adgang til de mange it-systemer på hospitalerne. Sidste år anslog en læge på Gentofte Sygehus således, at han brugte 45 minutter ud af en normal arbejdsdag på at komme igennem login-procedurerne, der kunne tage op mod 10 minutter pr. arbejdsstation.
Men hjælpen er på vej. På Bispebjerg Hospital har it-folkene målrettet arbejdet på at skære login-tiden ned. Ved hjælp af tynde klienter og et personligt, mobilt login til alle systemer på én gang har hospitalet over de seneste tre år fået login-tiden ned på typisk 15 sekunder, afhængigt af belastningen. Og nu tester hospitalet et nyt system, der nok engang skal skære ventetiden drastisk.
»Vi har fået tvunget login-tiden endnu længere ned, til ét sekund, eller måske et par sekunder, når der kommer flere maskiner på,« forklarer læge og it-chef på Bispebjerg Hospital Martin Sølvkjær.
Forbedringen sker via tynde klienter og et personligt adgangskort. Når lægerne bevæger sig fra rum til rum, stikker de blot kortet i en kortlæser og får næsten øjeblikkeligt adgang til samme skærmbillede og programmer, som de havde åbent ved sidste login. Er der gået mere end for eksempel 15 minutter siden sidste login, skal man dog bruge et kodeord, for at beskytte mod misbrug af tabte kort.
Ingen grund til at snyde
Udover at spildtid minimeres har et hurtigt login også den fordel, at ingen fristes over evne og overtræder reglerne.
»Det gør, at folk nemmere overholder registerforskrifterne. Der er nogle steder i Danmark, hvor man bruger hinandens login, fordi man ikke gider at vente. Men her er der slet ingen argumenter for at gøre den slags, fordi det er så hurtigt,« siger Martin Sølvkjær.
Bispebjerg Hospital skal nu i gang med at teste det nye login-system, og med en tre-måneders test-periode forventer Martin Sølvkjær, at forsøget kan evalueres i marts og derefter sandsynligvis rulles ud til hele hospitalet.
Hvad der skulle kunne sætte en stopper for udrulningen kan Martin Sølvkjær ikke lige se, udover at hans erfaring er, at det nogle gange kan være upopulært at vælge andre løsninger end Microsoft.
»Det ser man nogle gange, at nogen har noget imod. Det er så en religiøs problemstilling og udfordring,« siger han uden at ville uddybe nærmere, hvem der kunne være imod.
Sparer penge samtidigt
Teknologien bag det hurtige login er fra Sun Microsystems og kaldes Sun Ray, og Martin Sølvkjær har måttet lede grundigt for at finde noget, han kunne bruge.
»Der er ikke rigtig andre producenter, der har haft fokus på behovet på et hospital. De forestiller sig, at folk sidder med deres egen computer, men sådan er det ikke i vores verden. Her går man rundt mellem mange forskellige computere i løbet af dagen,« forklarer it-chefen.
Udover muligheden for det hurtige login, er han begejstret for økonomien ved at de tynde klienter. I forhold til normale pc'er spredt over hospitalet koster det kun omkring en tredjedel at købe og drifte de tynde klienter. Og så forbruger hver arbejdsstation cirka 30 watt mindre, sammenlignet med en pc. Selve boksen, som skærm og tastatur skal sluttes til, bruger nemlig kun 2 watt.
»Hvis vi får skiftet alt ud med tynde klienter, kan vi gange besparelsen op med 2.000 for vores hospital, og mange af computerne er tændt det meste af døgnet. Det løber op,« siger Martin Sølvkjær.
Kommentarer (34)
Det er folks personlige sundhedsdata vi taler om. Er det virkelig nok kun at bruge et smart kort som sikkerhed? Jeg ville nok kræve password til alle tider, og også gerne noget biometri.
Men jeg håber da at brugerne kan lide systemet og hvis det er godt så skal det da udbredes på alle hospitaler.
-
0 -
0
Kortet giver formentlig kun adgang til en citrix-agtig løsning, så brugeren er logget ind på "sit" skrivebord med adgang (shortcuts) til diverse kliniske systemer. Jeg vil tro at der stadig er tale om at man skal logge ind i de enkelte systemer. Men at man så kan gemme sin session på tværs af lokation, så man ikke skal logge ind manuelt i det kliniske system hver gang man tilgår en ny arbejdsstation.
På det kliniske system jeg kender til låses applikationen efter et givet timeout. Det kræver autentifikation for at man kan gå videre, men man slipper for rettighedscheck samt at starte applikationen op igen inkl hentning af data, hvilket også kan være tidskrævende.
-
0
-
0
Så har man jo sikkert også adgang til læges kliniske systemer, for du sørger jo selvfølgelig for at du logger hurtigt ind lige efter at du har stjålet kortet fra lægen ved at tage hans opmærksomhed lige før frokost, og så opdager han det først senere...
Fordelen er vel Sun-Ray er vel at lægen kun skal autorisere sig en gang. Derefter så skal lægen vel ikke igen logge ind i systemerne? Det ville jo være dobbelt arbejde, og så tager det mere end 1 sekund før lægen kan taste data ind.
-
0
-
0
Rigtigt at der i første omgang er tale om login til en citrix-løsning. Man skal dog ikke logge ind i de forskellige programmer, da der er indført SingleSign on. Desværre er det langsomt og ikke så velegnet til vores brug, bla fordi det ikke intuitivt kan håndtere det beklagelige faktum, at de enkelte applikationer har timeouts, som gør at man skal logge ind igen. Men istedet for at irriteres over fejl, kan man jo også glæde sig over de - opmend små- fremskridt der også er sket.
-
0
-
0
Driftsmæssigt har der været en del problemer, som vi håber er ved at være bragt i orden efter et længere forløb med driftsleverandøren.
Desværre er der også nogen træghed i indlæring af systemerne, hvor jeg på en afdeling oplevede at vejledninger ikke blev fulgt, hvorved man kan garantere logintider på mere end 1 min. Ærgerligt, hvis det på en god dag kun behøver at tage 15 sek og at man kan fortsætte hvor man slap overalt i huset.
Det gør, at vi må foretage en eller anden form for re-implementering af funktionerne og repetition i brug af journalvisning, laboratoriesystem, røntgenbilleder og andet. Medicinsystmet ser dog ud til at blive brugt godt.
Men konklusionen er ikke uventet: det er et komplekst spil mellem hardware, software, wetware og ledelse.
-
0
-
0
Er sikkerheden god nok - spørges der?
En Citrix-model kan ikke sikres fordi kontrollen ligger på en server der koncenterer risici og ikke har noget forsvar når misbrugerne kommer bag firewallen.
Dvs. alt hvad der ligger på serverne skal være sikret i bunden på forhånd og det vil sige pseudonymiseres og krypteres. Det forudsætter at kontrollen ligger client-side hvilket den ikke kan med tynde clienter alene.
Jeg kender ikke de kort der bruges specifikt, men det er reelt ligegyldigt fordi der ikke er nogen måde at sikre det setup på - hverken for patienten, lægen eller systemejer.
-
0
-
0
Noget sikkerhed må vige for funktionaliteten.. Men det er rigtigt at tynde klienter måske har problem med kryptering af ind- og output - der kan vel køres scan på citrixniveau istedet ? - desuden vil finger scan være sikrere end et kort - der skal lidt mere til at stjæle en finger...
-
0
-
0
Når du nævner fingerscan altså biometri, så er jeg bekendt med, at netop en løsning med smart card og integreret fingerscan (med mobil lagring af nøglekode) er med i overvejelserne for fremtidige testforsøg under RH.
-
0
-
0
På DTU har vi efterhånden rigtig mange SunRays og hvad angår login, så bruger vi ofte en kombineret Smart Card + passwords; hvorved haves en meget hurtig login (1-3 s.) med en meget høj sikkerhed. En yderligere fordel er, at data kun findes i en sikret data-center, så uanset om klienten stjæles, går i stykker, mv., så mister vi aldrig data.
Man kan naturligvis også umiddelbart skifte fra en klient til en anden, og i et hospitalsmiljø må det minimere risikoen for spredning af sygdomme at der ikke skal flyttes rundt med en laptop e.lgn. - men kun et smart card.
Yderligere er det en stor fordel, at alle de applikationer som sidst blev anvendt, befinder sig i nøjagtig den tilstand som da de blev anvendt sidst.
Man kan også bruge SunRays til at blande Microsoft applikationer med open source applikation som eksempelvis afvikles på en central linux server e.lgn. Denne platform giver derfor en perfekt mulighed for en glat overgang til open source løsninger o.lgn. Og vi undgår udgifter til Citrix.
-
0
-
0
Noget sikkerhed må vige for funktionaliteten.. Men det er rigtigt at tynde klienter måske har problem med kryptering af ind- og output
Nej - logisk set KAN du ikke sikre på citrix niveau eftersom det er uden for den personlige kontrol. Det skal ske client-side.
Den eneste måde at sikre en server er at sikre at serveren selv IKKE har adgang til informationen. Taler vi persondata, så må serveren ikke vide HVEM vedkommende er.
-
0
-
0
En yderligere fordel er, at data kun findes i en sikret data-center, så uanset om klienten stjæles, går i stykker, mv., så mister vi aldrig data.
Det er en logisk fejl. Det eksisterer ikke "sikre" data-centre. Hvis man tror at man sikrer noget ved at maksimere risikoen i et single souce of failure, så har man fejldesignet sikkerhedsmodellen.
Det er fint at man har fysisk backup, men det bliver ikke meget mere sikret af at blive f.eks. lukket inde bag en ståldør.
Tværtimod sikrer du serveren ved at kontrollen ligger client-side. Sikring af client-side er et revokation spørgsmål, dvs. så du kan revoke kortet og de enkelte nøgler som ligger på kortet if forhold til trusselsbilledet.
Hvis serveren er brudt, så lukker du nøglen til serveren. Hvis kortet er stjålet så lukker du kortet. Hvis brugeren er påvist kriminel, så lukker du certifikaterne.
-
0
-
0
Henrik Madsen har jo faktisk været til inspiration for os - tak for det !
-
0
-
0
Jeg er bange for at teoretiske problemstillinger har det med at gøre løsninger noget upraktiske. Der er altid ricisi. Hvis de kun vurderes med tekniske briller, vil der være snedige mennesker, som finder på metoder, hvor de kan springe over hvor gærdet er lavest. Det mest ultimative er, at man ikke bruger systemet. Hvilket kan medføre ineffektivitet (=lange ventetider for andre patienter) eller kvalitetsproblemer (=lange ventetider og lidelser). Jeg er blevet så gammel at jeg ikke tror på perfekt sikkerhed og perfekt brug. Jeg er træt af dårlig sikkerhed og dårlig brug.
Den smukke balance er at få fornuftig sikkerhed, der tilskynder til fornuftig brug.
-
0
-
0
Problemet er at man dermed aldrig stiller spørgsmål ved gamle dårlige vaner og bliver ved med at gentage den fejl, der skaber stadigt større problemer.
-
0
-
0
Biometri er god til komfort, men har ikke noget med sikkerhed at gøre.
Læs evt. kommentarerne til denne artikel:
http://www.computerworld.dk/art/40137?a=block&i=189
Se hvor let det er at snyde en fingeraftrykslæser på denne video fra den tyske tv-kanal ARD:
http://www.youtube.com/watch?v=aBm-WsJ2U1c
-
0
-
0
Undskyld mig, men det er en alt for overfladisk tilgang til biometri,som du lægger for dagen.
Lad mig give den korte version på denne site med at slå fast, at det er uomtvisteligt, at biometri er den mest sikre måde til at linke en ekstern til den menneskelige krop. Nå det er sagt, så er øvelsen herefter en nøje overvejelse af brugen af biometri. I tilfældet EPJ anbefales biometri alene til at sikre beskyttelsen af de personlige nøgler, som ligger på kortet. Den den biometriske template anvendes kun på et eneste tidspunkt, nemlig i forbindelse med førstegangsregistreringen at linke den pågældende person til kortet,hvorefter templaten slettes for altid og erstattes af såkaldte pseudonymer.
Man vil herved konstatere, at biometri i denne sammenhæng ikke er et spørgsmål om bekvemmelighed, men om at opnå den højeste grad af privacy.
-
0
-
0
Er fingeraftryksaflæsning en god løsning til behandskede personer, eller når man lige har vasket hænder ?
Folk der har en bærbar med fingeraftrykslæsere vil have opdaget at de ikke virker særlig godt, når man lige har vasket hænder.
-
0
-
0
Indtil for nylig har det været vanskeligt at anvende fingeraftrykslæsere i hospitalsmiljøer af hygiejniske grunde. Men der er nu kommet på markedet læsere,som kan anvendes selv med oprationshandsker. Læserne forfines hele tiden og det gælder også for så vidt angår aflæsningsnøjagtigheden. For visse scanners vedkommende er det dog stadig en god ide, at indfedte sin finger med noget ansigtsfedt inden brug, såfremt aflæsningen skulle give problemer.
-
0
-
0
Der er helt givet problemer med kun at stole på biometri og det var også derfor jeg skrev om 3 faktor sikkerhed, nemlig:
noget du ved - kodeord
noget du er - biometri
noget du har - smartkortet
-
0
-
0
...der skal lidt mere til at stjæle en finger...
Ja, en blank genstand du har haft fingeren på (f.eks. kortet eller et glas), sekundlim, en microbølgeovn og noget silicone.
Den anden udgave (lidt mere grusom): 5 min. med dig, en sav, og en beholder med kvælstof... og derefter igen silicone.
Hvor mange gange skal vi blive ved med at sige at fingeraftryk er omtrent lige så sikre som WEP ???
-
0
-
0
Enig. En sådan 3 faktor løsning med (krypteret)biometri vil give den brugerkontrol (ikke kun brugerbeskyttelse) som vil skabe tillid og tryghed. Løsningen ligger også i kortene (sic!) for et fremtidigt dansk borgerservicekort. Et af de vigtige opgaver, som et visionsråd for et borgerservicekort har, er netop at indhøste erfaringer fra EPJ. Bispebjerg Hospitals-projektet er overordnet set et spændende bidrag i den sammenhæng.
-
0
-
0
Der findes andre former for biometri. Forhåbentligvis er der nogle af dem som er sværer at kopiere.
-
0
-
0
Disse hackertilfælde vil ikke udgøre en risiko for den løsning, som vil komme på tale for et sikkert logon, eftersom den biometriske template slet ikke vil ingå i verifikationen,men derimod såkaldte speudonymer i kombination med et password. Det er det der forstås ved krypteret biometri. I øvrigt kan du intet foretage dig uden at have selve smartkortet i din besiddelse, eftersom fingerscanneren befinder sig på selve kortet og dermed forudsættes hele tiden at være i brugerens besiddelse og kontrol.
-
0
-
0
Det største problem med biometri, som jeg ser det, er at man stiller ganske store forventninger til dens ubrydelighed. Det betyder, at man i en situation hvor et login er blevet misbrugt, pålægger den (om jeg så må sige) identitetsberøvede en skyld vedkommende ikke har. For: "en biometrisk signatur er jo unik". Der skal jo nok komme en fingersnild person en dag, som finder ud af at lidt lightergas og en barbiedukkerumpe med gaffatape omkring, kan snyde en fingeraftrykslæser til at gentage sidste scanning eller noget tilsvarende forrykt á la forne tiders famøse Captain Crunch fløjte. Hvordan skifter man så lige kodeord?
Jeg elsker min fingeraftrykslæser, for det er nemt. Og det er derfor jeg bruger den.
-
0
-
0
Når biometri bliver inddraget så er det oftest for at slippe for et password og det var det jeg prøvede at aflive.
-
0
-
0
Når biometri bliver inddraget så er det oftest for at slippe for et password og det var det jeg prøvede at aflive.
Det er der også alt mulig grund til at gøre. Biometri kan dårligt stå alene som den eneste garant for identificering.
Men sammen med et kodeord og/eller et smartcard kan det øge sikkerheden ud over hvad de ting kan gøre alene.
-
0
-
0
Jon skrev:
Det er der også alt mulig grund til at gøre. Biometri kan dårligt stå alene som den eneste garant for identificering.
Vi begynder først at tale sikkerhed, når man erkender at det IKKE drejer sig om at identificerer men kun om at authentificere med minimum disclosure i forhold til den specifikke sammenhæng.
Et system som bygger på at servere og specielt databaserserveren har administrator-rettigheder kan ikke sikres - der vil altid være bagdøre og de bliver allerede misbrugt.
Et sikkerhedsdesign for den digitiale tidsalder antager at administratoren er angriberen eller agerer for angriberen - bevidst eller ubevidst.
Samtidig vil identifikation af lægen gøre det nemmere for en angriber at stjæle lægens identitet.
Det bedste eksempel er det destruktive pas uder udbud som svarer til at give Rasmus Trads værktøjer til at BEVISE at han er Andre Lublin hvis blot han kan forfalske Lublins fingeraftryk eller anden biometri.
Ikke blot ødelægger man interfaces ved at opkræve biometri (så man skaber legacy og blokerer for interoperabilitet), samtidig gør man det nemt for en angriber at angriber og skaber endda værktøjer så han kan angriber hvorsom helst du accepterer bioemtri som "sikkerhed".
ENESTE LØSNING er at erkende at BIOMETRI SVÆKKER SIKKERHEDEN og KUN KAN bruges præcis til at SKABE BINDING mellem dig og din device.
Formålet er IKKE at tro at det er sikkert, men dels et ekstra password for at forsinke en angriber ved tab/tvyeri af nøgledevice indtil revocation-mekanismerne kan træde i kraft og dels mere vigtigt at ANDRE KAN SE dig autentificere biometrisk mod dit eget nøgledevice så din formålsspecifikke nøgle kan bindes til din person UDEN at identificere dig.
P.S: Nogen synes at at misforstå dobbelbetydningen ironisk/reel i overskriften.
1) Hvis man prioriterer ventetid med en dårlig sikkerhedsmodel, så kan man lige så godt fjerne illusionen og dermed optimere ventetiden.
2) Man kan ikke kun sikre et system uden bagdøre.
-
0
-
0
Vi begynder først at tale sikkerhed, når man erkender at det IKKE drejer sig om at identificerer men kun om at authentificere med minimum disclosure i forhold til den specifikke sammenhæng.
For at kunne autorisere, så må man vel også have en ID som kan autoriseres. Denne ID behøver dog nok ikke at være så entydig og detaljeret at man kan knytte ET menneske til den, bare at kun et menneske kan påstå at de har den ID.
Jeg kan godt lide din ide med at man kun bruger biometri til et smart card som vel så indeholder en public/private key?
-
0
-
0
For at kunne autorisere, så må man vel også have en ID som kan autoriseres. Denne ID behøver dog nok ikke at være så entydig og detaljeret at man kan knytte _ET_ menneske til den, bare at kun et menneske kan påstå at de har den ID.
Autorisere til hvad? DU antager implicit her at kontrollen ligger server-side og dermed at serveren selv har total adgang til data.
Jeg antager at serveren ikke kan noget som helst fordi den allerede er hacket og misbrugeren har total kontrol med systemet. Og systemet skal virke alligevel.
Du skal skelne mellem at certificere (validere en sandhed) og delegere, dvs. skabe og dele en adgang.
Jeg kan godt lide din ide med at man kun bruger biometri til et smart card som vel så indeholder en public/private key?
Det er en hel del mere end en ide. Det er en fundamental analytisk konklusion som man har arbejdet professionelt med i mindst 7-8 år.
Den skal ikke indeholde EN public/private key, men support for en striben af nøglesystemer og muligehden for nye, samt ALLE dine MANGE nøgler OG muligheden for at lave nye.
Hvor mange nøgledevices tror du, at du skal have?
Hvor mange interfaces kan et menneske håndtere?
-
0
-
0
Autorisere til hvad? DU antager implicit her at kontrollen ligger server-side og dermed at serveren selv har total adgang til data.
Det mener jeg ikke at jeg gør. Men hvis du bruger et public/private key-par så er det vel det key-par som er ID'en.
-
0
-
0
Det mener jeg ikke at jeg gør. Men hvis du bruger et public/private key-par så er det vel det key-par som er ID'en.
Hvem siger at det overhovedet drejer som om "ID'en"?
Du kan bruge public/private key-par til kryptering og til at bære specifikke credentials UDEN at ID'e.
Det er selve PKI-tanken man skal stille spørgsmålstegn ved server-side. Identifikation af brugere hører som grundregel KUN HJEMME CLIENT-side menneske-menneske, aldrig server-side.
SSO er en client-side fuktionalitet hvis det skal give nogen former for sikkerhedsmæssig mening.
-
0
-
0
Jon
Læs denne bog hvis du vil videre og forstå hvor dybt det går.
http://www.amazon.com/Rethinking-Public-Infrastructures-Digital-Certific...
Jeg advarer med det samme - der er en del kryptographi-relateret matematik. Men når du har forstået hvad man kan og set alle de andre teknologier som arbejder med sikkerhed på det logisk semantiske niveau, så ser du anderledes på forældet makværk som DanId.
-
0
-
0
Tak, jeg vil føje den til listen af bøger jeg skal have læst.
-
0
-
0
