Dagens positive: Sådan blev det fælles medicinkort en it-succes

It-udfordringen: Det fælles medicinkort skal give alle læger og patienterne selv overblik over, hvilken medicin patienten får for at undgå livsfarlige fejl. Systemet skal integreres med mange forskellige journalsystemer, og det har været en stor udfordring.

Den forkerte blanding af medicin kan give livstruende komplikationer for patienter. Derfor skal læger og sygehuse nu have adgang til et nyt fælles it-system, som skal give både lægerne og patienterne mulighed for at se, hvilken medicin patienten tager.

Det centrale system til det Fælles Medicinkort, FMK, er nu på plads, og næste fase bliver implementeringen hos læger og sygehuse i regionerne. Det bliver i første omgang i Region Nordjylland og Region Sjælland. I den første fase, som nu er overstået, har først Lægemiddelstyrelsen og senere Digital Sundhed stået for projektet.

Projektchef Ivan Lund Pedersen og konsulent Morten Thomsen fra Digital Sundhed fortæller her om udviklingen af FMK.

Hvad er målet med projektet?

Målet er at tilvejebringe et fælles overblik over en patients medicinering, som er tilgængeligt for de professionelle, der har med patienten at gøre og også give patienten overblik. I stedet for at sende oplysningerne til hinanden, så deler man medicinlisten med hinanden og patienterne. På den måde skyder man genvej, så man er samme sted, når man ankommer til enten sin praktiserende læge eller til sygehuset.

Hvad går projektet ud på?

Præmissen har været, at brugerne skulle have adgang fra det system, de har på det pågældende sted. Det vil sige EPJ (elektronisk patientjournal) på sygehusene og praksissystemet hos lægerne.

Nu er den centrale service bygget og kørende, og nu venter vi på lovgrundlaget, så det også bliver åbent for patienter via en webside. Den gældende lov var specifik for receptsystemet. Nu er der en ændring i høring, som er mere generisk. Den regner vi med vil træde i kraft den første juni.

Vi har arbejdet det sidste års tid på at få lavet integrationen til tre EPJ-systemer og tre praksissystemer. Det er lykkedes, og resten kommer på plads i løbet af i år og næste år. Det har ikke været let, men vi har vist, at konceptet godt kan lade sig gøre.

Hvad har jeres roller været i projektet?

Ivan har været styregruppeformand siden september 2008. Morten har været projektleder i Lægemiddelstyrelsen, og blev det siden under Digital Sundhed. Men der er mange, der skal på takkelisten, når vi kommer i mål næste år. Det havde ikke kunnet lade sig gøre uden Lægemiddelstyrelsen, Lægeforeningen og Region Syddanmark, der har været meget engageret i pilotfasen.

Hvilken teknologi bygger projektet på?

De centrale services er et Java-kompleks, som er open source. Sikkerhedskomponenterne og opslagene i receptserveren er også open source, som vi har fået henvendelser fra blandt andet Sverige om. De vil være færdige i løbet af tre år, og det må vi sige, lyder ambitiøst.

På de decentrale dele er der rigtigt mange forskellige platforme. Det er der, nogle af udfordringerne har ligget, især med de små leverandører af praksissystemer til de praktiserende læger.

Det hele bygger på webservice-teknologi, hvor vi bruger XML-skemaer. Al open source bliver publiceret på softwarebørsen. Det er leverandørerne af praksissystemerne og EPJ, der selv leverer koden til integrationen.

Hvilke problemer har I oplevet?

Med leverandørerne af systemerne til sygehusene har de kunnet lave aftaler med kunderne om, hvordan det skulle se ud, hvad det skulle kunne. På praksissiden er kunden mere diffus med 3.000 praktiserende læger, som ikke kan sidde med ved bordet alle sammen. Der skal leverandøren træffe en beslutning for dem. Der har vi haft en konkret udfordring. Nogle af leverandørerne er ikke særligt store og har et begrænset kundegrundlag, så deres overskud til at investere i sådan et projekt er begrænset. De skal hente pengene hjem fra de praktiserende læger.

Et andet problem har været, at man skulle gå fra bare at kunne sende begrænsede data til at kunne dele data, så de ligger samme sted. Der har vi brugt lang tid på at blive enige om, hvad man forstår ved det. Det med det begrebsmæssige og procesmæssige har vi brugt lang tid på i starten.

Undervejs har det også været en udfordring at bruge en ny teknologi blandt så mange leverandører. Det har leverandørerne nu fod på, så næste gang bliver det nemmere.

Vi har også haft nogle udfordringer med ydelsen, som vi har måttet løse med noget replikering af data. Når det er sygehuse, så stiller det også skrappere krav til, hvornår servicen er oppe, end når det bare var apotekerne.

Da vi havde systemet oppe at køre, hvordan fik vi så fat i de rigtige patienter? Vi har haft nogle frivillige, som vi sendte rundt mellem praktiserende læger og sygehusene, men det har været en udfordring at få tilstrækkelige livedata fra akutpatienter til at teste systemet.

De næste udfordringer bliver at lagt en tilstrækkelig governance-struktur ned omkring ændringsønsker til systemet. Hvem træffer beslutningerne? Det er vi godt på vej til. Så er der setup'et vedrørende sikkerhed. Hvem er den nationale sundheds-it-driftsherre? Lægemiddelstyrelsen står for den centrale service, men det er ikke naturligt, at Lægemiddelstyrelsen skal drive sikkerheden.

Hvilke gode råd kan I give videre?

Vi betragter medicinkortet som frontløber. Vi har en tyk erfaringslog. En af erfaringerne er, at vi har brugt mange kræfter på at skaffe finansieringen. Når man kommer med noget nyt, så skal man arbejde for at få finansieringen plads.

Når det er et frivilligt samarbejde med mange leverandører, så er det godt at få en fælles deadline. Det har vi gjort ved at lave fælles testsessioner, hvor leverandørerne har kunnet komme med en pc under armen og nogle gange med en læge. Det har givet godt at lade en praktiserende læge stå bag en sygehuslæge for at se, hvordan de bruger systemet.

Vi har kørt med en form for agil udviklingsmetode. Der er det vigtigt, at du har dine superbrugere med hele vejen. Det er vigtigt, at du finder gode eksemplarer af superbrugere, i det her tilfælde klinikere som har en god forståelse for it.

Offentlige it-projekter har en anden udfordring end private projekter. Nogle gange kunne vi godt dyrke noget mere at have en målsætning for, hvornår vi skulle være færdige. Det Fælles Medicinkort skal være udbredt i regionerne i 2011, men vi kunne godt tænke os en tydeligere bagkant. Det er vigtigt at have en vilje, der også rækker op til beslutningstagerne. Hvem sætter foden ned, når det ikke går hurtigt nok?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

Uden at beklage at man forbedrer håndteringen mod fejlmedicinering og uden at forklejne problemet med at man fra andre dele af centraladminsitrationen har forsømt opgaven med at sikre borgerne nøglekontrol, så er det også klart at dette projekt er karakteriseret ved et nærmest totalt fravær af sikkerhed.

De centrale systemer er pivåbne og databaserne usikrede, dvs. der udestår en næsten total omlægning af systemet så kontrollen flyttes ud til borgeren.

Hvornår sker det? Eller retter hvad er planen?

Problemet er - hvis ikke engang helt nye systemer som udvikles fra bunden uden nogen form for legacy eller bundne forhold kan udvikles med respekt for sikkerhedskravene i en digitalt integeret verden; hvordan i alverden skal vi så nogensinde få styr på EPJ?

Systemet fremstår udfasningsmodent inden det overhovedet er taget i brug.

  • 0
  • 0
#2 Anders Sørensen

nu har jeg ikke den viden som du, Stephan Engberg, men at de centrale systemer er pivåbne og databaserne usikker, er skidt. Når sikkerheden er så dårlig vil der også blive lavet noget om. F.eks. ku' du da sende til større nyhedssider at de centrale systemer og databaser er usikker, og så er jeg da sikker på at de vil ta' historien op. Alt andet vil være mærkeligt, nu da disse systemer håndtere mennesker i danmarks data. Hvis de ikke vil ta sagen op, må det være en mørklægning fra regerings side, og burde den fratrade. Umiddelbart, vil jeg også mene at nyhedersider andre steder i verden, som kunne se en historie i at skrive hele danske it struktur inden for sygevæsnet, bruger piv åbne centrale systemer og databasen er usikker.

  • 0
  • 0
#3 Marc Munk

Umidlbart så vil jeg mene at Stephan skriver som han gør fordi man som udgangspunkt skal designe sine systemer som om de allerede er kompromitterede. Og i denne situation ville det medføre at en hel del personhenførbare data ville blive lækket.

  • 0
  • 0
#4 Anonym

Anders

Hvad der burde ske og faktisk sker i Danmark er 2 forskellige ting.

Men man skal passe på at undervurderere udfordringen i sundhedsektoren - efterspørgslen specielt relativt itl finansieringsevnen stiger meget meget hurtigere end det nuværende system kan følge med, it-kompleksiteten er betragtelig, sikkerhedsmodellerne groft umodne specielt i forhold til graden af integration, koncentration og den tiltagende sårbarhed etc. etc.

Sundhedssektoren er et system, hvor der er mange hensyn som skal håndteres samtidig - og hvis man ikke passer meget på så vil håndteringen af et hensyn skade andre hensyn betragteligt.

Der skal tænkes helt nyt - og det haster. Ikke bare på sikkerhedsområdet, men også på den økonomiske styring, fokus på at flytte sytringen til point-of-care, selfcare og forebyggelse, en væsentligt opgradering af fleksibiliteten og tilpasningsevnen (først og fremmest i systemerne - de ansatte gør meget for at kompensere for dårlige it-systemer).

Man skal huske på at alting er meget værre og vigtigere i sundhedssektoren. Indflydelsen på en enkelte borgeres helbred, sikkerhed og samfundsøkonomien er enorm - forskellen på en borger i behandling og en skattebetalende bidrager til samfundet er måske 0,5-5 mio kroner om ÅRET. Sm forbedringer har stor betydning - varige forbedringaf af dynamikken har enorm betydiing.

På den ene side er der ikke tvivl om at den nuværende tilgang er udholdbar. På den anden side er der mindre tvivl om at udgangspunktet er endnu mere uholdbart. Man er på mange måder dels tvunget til handling på utilstrækkeligt grundlag og dels nødt til at sikre at man ikke graver sig endnu længere ned i moradset.

Medicinkortet og medicinprofilen er et eksempel på hvordan velmende løsning af et hensyn gør det meget vanskeligere for ikke at sige umuligt at håndtere andre aspekter.

Og som vi så med akut-casen er der lagt i kakkeloven til alvorlige følgefejl.

Hvad går galt?

Rent økonomisk er betegnelsen planøkonomi - tilgangen til sikkerhed drejer sig om at skabe magtinstrumenter til de forkerte og fjerne barrier for samme fremfor at forebygge og sikre at systemet tilpasser sig til behovene. Man tænker borgere som klienter og ting der skal reparares fremfor som kunder og subjekter med egen ret og den bedste til at håndtere de mange samtidige behov (herunder "valg" af behandler).

Systemerne optimeres efter hvad man kan centralt fra og ikke efter behovet, sikkerheden eller tilpasningensevnen. Det er som sådan ikke så underligt folk laver systemer med udgangspunkt i deres egen verdensforståelse og uden modspil ender man med at optimere verden i egeninteresse.

Igennem historien har vi kaldt det mange ting Taylorisme, Informationsteoretisk, Facisme, Kommunisme, Statskonservatisme og nu bør den rette betegelse vel være "Bureaukratisme".

Det er ikke nødvendigvis ond vilje, men konsekvenserne er alvorlige. Medicinprofile/kortet kan næppe siges at være en af de grimme eksempler, men det er et iområde hvos vi burde være gået den stik modsatte vej og flyttet kontrollen ud til borgeren. Nu bliver det i stedet til en stor investering i forværring af fortidens fejl.

Marc

Nej, vi taler ikek bare noget teori.

Perimetersikkerheden eroderes hurtigt - og den offentlige sektor gør alle mere, ikke mindre, afhængig af ren perimetersikkerhed.

"Fællesoffentlig brugerstyring" er ikke andet end placebosikkerhed som trækker sikkerheden væk fra applikationerne som er det eneste sted den kan håndteres og kontrollen væk fra behovet er den eneste som kan afgøre kvalitet og value-for-money.

  • 0
  • 0
#6 Anonym

Marc

"som om de er kompromiterede" kan læses om om det er en teoretisk worst case.

Det er delvist rigtigt - min pointe er at sandsynligheden for kompromiering, interessen i kompromitering og konsekvensen af kompromiotering alle er hastigt stigende. Fordi det designes sådan.

Og det er før vi ser på den triste pointe at misbruget allerede er inden for dørene. Startende med den dyreste, den planøkonomiske - at man tror man kender behovet fordi man tolker nogle data taget ud af kontekst.

  • 0
  • 0
#7 Kim Sørensen

@Anders

Helt enig! Hvis det er korrekt, det Stephan påstår, må det formidles til den brede offentlighed - hellere før end senere! Ja jeg vil sådan set sige medierne har en moralsk forpligtelse til at tage historien op, såfremt den holder vand. Så hvor er Version2's dækning af Stephans vinkel? Hvor er DR's, Politikens, Berlingskes, TV2's osv. osv. osv.???

@Stephan

Har du henvendt dig til medierne, med din historie? Hvis den holder synes jeg den almindelige borger har ret til at høre din historie.

  • 0
  • 0
#8 Anonym
  • 0
  • 0
#9 Kim Sørensen

Stephan

Jo, jeg følger skam med. Det er sådan set derfor jeg spørger som jeg gør. For dækningen af det fælles medicinkort er positiv, ja nærmest rosende over hele linjen - selv på et IT-orienteret medie som Version2, man ellers skulle tro ville kaste sig frådende over mangler i offentlige IT-systemer. Her taler jeg naturligvis om de få større medier, der overhovedet har brugt spalteplads på medicinkortet. Hvilket ikke rigtigt afspejler din fremstilling af sagen. Så jeg undrer mig bare over hvordan det kan være? Hvorfor er der ikke nogle medier, der tager fat i din vinkel? Vi ved jo alle at der ikke er noget som fejl og mangler, fra det offentliges side, der kan sælge aviser... så hvis din fremstilling afspejler virkeligheden vil det jo være en smal sag at få medierne til at samle historien op - særligt for en som dig, der jo åbenbart allerede har journalisternes øre (hvilket din "tilfældige" selektion jo tydeligt viser du har).

  • 0
  • 0
#12 Anonym

@ Marc

Spot on - der er andre vigtige hensyn i frohold til både sikkerhed, safety og innovation, men det er så langt det kritiske.

Problæemet her er ikke at løsningen ikke er perfekt (no such thing), men at den arbejder os i en klart forkert retning - man flytter styringen væk fra borgeren.

@ Kim

Tjahh .. you tell me. Men nu er samfundets evne til at håndtere komplekse spørgsmål ikke god. Så snart det bliver politisk er der en tendens til at det går galt - specielt hvis det bliver embedspolitisk.

Jeg står af "sensationsjournalistisk" - det løser ingen problemer at gå efter manden.

@ Anders

Nu var spørgsmålet meget præcis på "min vinkel", men jeg tog flere links for at påpege bredere at MAN faktisk forsøger at rejse en kritisk problemstilling på mange fronter.

  • 0
  • 0
#13 Kim Sørensen

Komplekst? Du skriver at de centrale systemer er pivåbne og databaserne er usikrede. Sådan en påstand er jo ret nem at forstå og forholde sig til, selv for den almindelige borger. Så hvis der er hold i din påstand kan jeg overhovedet ikke se noget problem med at få medierne til at tage sagen op. Det ville f.eks. være oplagt at indeværende artikel havde en helt anden udformning. Men istedet vælger man at kategorisere det som "Dagens positive" - det er mildest talt mærkværdigt.

Så spørgsmålet er: Hvad holder dig tilbage? Holder din påstand vand synes jeg borgerne har krav på at høre den.

Vi kan jo også stille et åbent spørgsmål til Version2: Hvorfor tager i ikke Stephans vinkel op?

  • 0
  • 0
#14 Anonym

Kim

Overvågning klarer jo alle sikkerhedsproblemer - ikke?

Fjernsynet i min stue er også usikret og døre og vinduer står pivåbne. Det betyder ikke at tyvene vandrer frit i stuerne - men mine børn ser for meget fjernsyn.

Derimod kan man se et lovforslag som dette som tilsyneladende beskytter DNA http://www.ft.dk/dokumenter/tingdok.aspx?/samling/20091/lovforslag/L90/s...

være rent på skrømt når man ser det i betragtning af denne fra 2003 som påpeger hvor usikkert PKU-registeret er http://www.bitconomy.dk/default.asp?articleid=3059

hvorefter det forudsigeligt går galt http://vtu.dk/nyheder/pressemeddelelser/2009/danmark-faar-national-bioba...

og udnyttes http://politiken.dk/politik/article382467.ece

Dvs. vi er nu fakto i den situation at du må regne med at enhver blodprøve optaget i sundhedssystemet er en del af den database, som i henhold til lovdiskussionen kun må omhandle dømte kriminelle.

Når man så påpeger det og samtidig påpeger hvordan man kunne håndtere det, får man spinsvar tilbage som fornægter virkeligheden http://www.ft.dk/dokumenter/tingdok.aspx?/samling/20091/lovforslag/l90/s...

Så vi følger op igen og ser hvor det ender http://www.ft.dk/dokumenter/tingdok.aspx?/samling/20091/lovforslag/l90/b...

  • 0
  • 0
#15 Kim Sørensen

Jeg forstår stadigvæk ikke hvorfor journalisterne ikke er som myrer på journalistiske marmelademad historien er, hvis den holder vand. Hvis systemet vitterligt er så elendigt, som du bruger så meget energi på at påstå det er, så ville samtlige journalister i DK jo have fråde om munden. Men historien er jo ikke taget op...end ikke herinde. Dvs. Version2 har taget den op og udråbt systemet til "Dagens positive" - hvilket Dagens Medicin i øvrigt også har gjort. Men der er ikke nogen der har taget fat i din historie. Og det, Stephan, synes jeg ærligt talt er mærkeligt. Hvorfor henvender du dig ikke til medierne direkte? Det er jo tydeligt du brænder for emnet - ellers ville du ikke lægge så meget energi i at skrive indlæg om det her. Så det undrer mig at du tilsyneladende er tilfreds med at befinde dig her i kommentarsporet under radaren?

Hvis der er hold i din historie fortjener den almindelige borger at høre om det...og hvis der er hold i den kan du nærmest frit vælge hvilken journalist du vil have til at formidle den - den slags historier er jo hvad Cavlingpriser er gjort af ;)

  • 0
  • 0
#16 Morten Thomsen

@Stephan

dette projekt er karakteriseret ved et nærmest totalt fravær af sikkerhed

Nogle af de elementer, der indgår i sikkerheden i det Fælles Medicinkort (FMK), er:

a)For at medarbejdere i Sundhedssektoren kan få adgang til FMK via deres eget medicinmodul skal de have et OCES medarbejdercertifikat.

b)Medarbejdernes sundhedsfaglige autorisation bliver checket inden de får adgang.

c)System-til-system kommunikationen foregår på det lukkede Sundhedsdatanet

d)På det centrale system er der lavet mekanismer der skal imødegå systematisk tømning

e)Alt adgang registreres centralt og alle borgere kan på deres egen web-adgang til FMK se hvilke medarbejdere i sundhedssektoren der har haft adgang til deres FMK-oplysninger

f)Alle indikationer på misbrug efterforskes af Lægemiddelstyrelsen og konstateret misbrug politianmeldes

g)Medarbejdere har kun adgang til borgere, de aktuelt har i behandling (1).

h)En borger kan bede en læge (typisk den læge som ordinerer lægemidlet) om at få skjult en lægemiddelordination på FMK. Når andre sundhedspersoner herefter slår op på borgerens medicinkort på FMK, vil den skjulte lægemiddelordination ikke fremgå, derimod vil det fremgå, at der af hensyn til borgerens privatliv er lægemiddelordinationer som er skjulte. Sundhedspersonen kan bede om borgerens samtykke til, at få adgang til den skjulte information. Hvis en borger ikke er i stand til at udtrykke samtykke eller ej, fx hvis en borger bringes bevidstløs ind til et hospital, kan en læge lave et ”akut ekstraordinært opslag” og få adgang til skjulte lægemiddelordinationer på FMK, hvis lægen vurderer det nødvendigt i forhold til at skulle behandle borgeren.

(1) Digital Sundheds arkitektur og sikkerhedsfunktion arbejder på en løsning, der skal kunne håndhæve dette princip systemteknisk. På sygehusene sker det i dag fx ved at medarbejdere kun kan lave opslag på patienter, der er registreret i deres EPJ system, som indlagte patienter.

@Stephan

De centrale systemer er pivåbne og databaserne usikrede

De centrale systemer og databaserne er beskyttet af et yderst professionelt og kompetent hostingcenter – på vegne af/under kontrol af Lægemiddelstyrelsen.

@Stephan

sikkerhedskravene i en digitalt integeret verden

JA, det er vel et godt spørgsmål hvor man finder sikkerhedskravene i en digitalt integreret verden?, jeg ville nok starte med at kigge hos datatilsynet, ISO 27001, OASIS, CERT og NIST. Og min vurdering er, at vi i Danmark sandsynligvis er ret godt med. Dog på et punkt har vi sikkerhedsmæssigt en akilleshæl ift. andre lande: Cpr-nummeret.

@Stephan

Der skal tænkes helt nyt - og det haster. Ikke bare på sikkerhedsområdet, men også på den økonomiske styring, fokus på at flytte sytringen til point-of-care, selfcare og forebyggelse, en væsentligt opgradering af fleksibiliteten og tilpasningsevnen (først og fremmest i systemerne - de ansatte gør meget for at kompensere for dårlige it-systemer).

Enig.

@Stephan

tilgangen til sikkerhed drejer sig om at skabe magtinstrumenter til de forkerte og fjerne barrier for samme fremfor at forebygge og sikre at systemet tilpasser sig til behovene

IT-sikkerheden i de fleste organisationer (private som offentlige) følger i stor stil ”best-practice”, som man har kunne følge i udviklingen af BS7799, ISO17799, DK484, ISO27001 og gode råd fra leverandører af sikkerhedskomponenter og deres konsulenter og når ledelsen ønsker at gardere sig – supplerer man med en risikovurdering. I mit arbejde med it-sikkerhed gennem de sidste 10 år har jeg i Danmark INTET sted mødt organisationer, der ønskede it-sikkerhedskomponenter som et ”magtinstrument” – TVÆRTIMOD har jeg støt på organisationer, der har fravalgt it-sikkerhedskomponenter fordi de overfor medarbejderne kunne virke, som om ledelsen ville indføre et ”magtinstrument”.

It-sikkerhed bygges til at dække de it-sikkerhedsmæssige behov. I nogle tilfælde vil man kunne argumentere at it-sikkerhedstiltag ikke bygges for at dække ”privacy-behov”.

@Stephan

min pointe er at sandsynligheden for kompromiering, interessen i kompromitering og konsekvensen af kompromiotering alle er hastigt stigende. Fordi det designes sådan

sandsynligheden for kompromittering = (størrelsen af en trussel) * (hvor godt du har sikret dig) – dvs. du har delvist ret

interesse i kompromittering er uafhængigt af hvordan et system designes, men afhængigt af hvad ”jeg kan få ud af det”

Konsekvensen af en kompromittering kan være afhængigt af system design.

@Kim

Har du henvendt dig til medierne, med din historie?

Computerworld og Dagens Medicin har tidligere interesseret sig for sikkerheden: http://www.version2.dk/artikel/8837-da-sundheds-it-moedte-den-skarpe-jou...

Hvis du vil have de store nyhedsmedier (TV2, DR, EB, etc) til at interessere sig for ”sagen”, skal der ”lig på bordet”.

M.v.h. Morten Thomsen, Devoteam Konsulent på FMK for Digital Sundhed

  • 0
  • 0
#18 Kim Sørensen

Hvis du vil have de store nyhedsmedier (TV2, DR, EB, etc) til at interessere sig for ”sagen”, skal der ”lig på bordet”.

Jeps - hvilket var den slet skjulte pointe jeg forsøgte at komme frem til ;)

Du skal i øvrigt have tak for du tog bolden op. Som Peter skriver er det dejligt, at få nogle fakta på bordet - nu kan debatten måske antage en mindre skinger tone (uden vilde beskyldninger om facisme og kommunisme).

  • 0
  • 0
#19 Anonym

Morten

Positivt at du kom på banen - det er vigtigt at få antagelserne og forestillingerne bag det perimeterbaserede overvågningsparadigme gjort konkrete.

Jeg uddyber i et efterfølgende indlæg hvorfor den fremstillede model er uholdbar. Der er mange tangenter, som kan forvirre uden at blive konstruktive.

Lad os starte med at konstatere / påpege

a) Vi er øjensynligt enige om at den nuværende tilgang ikke holder !? Man forsøger at lappe, men det er ikke fremtidssikret. Det erkender et stigende antal deltagere, men vi er ikke over kritisk masse endnu.

b) Ingen kan forsvare at stoppe projektet med patient safety som parameter uden alternativer - det koster navngivne lig (som medierne elsker at svælge i).

Jeg er IKKE ude i artikler om at stoppe Medicinkortet/profilen som vi f.eks. ser omkring NemId(DokumentBoks (der skal stoppes helt fordi det ingen berettigelse har).

c) Omvendt kan ingen forsvare ikke at arbejde på alternativer (fordi det koster unavngivne lig som alle vasker hænder overfor).

Præcis fordi den opgave syltes (har endnu ikke set en seriøst problematiserende agenda/der er ingen process) er det nødvendigt at tage den op her indtil processen får et formelt liv.

d) Mit oplæg er konkret at betragte modellen som en midlertidig nødløsning som skal overtages af både tungere (status er en del af EPJ) og mere dedikerede (akut kræver forberedte nødsystemer) løsninger med et helt andet sikkerhedsniveau og forandringsberedskab.

Modellen er udfasningsmoden allerede inden den er færdigimplementeret og skal håndteres som sådan, dvs. at enhver adgangen skal pakkes ind så den ikke skaber legacy.

Hvis det ikke var fordi den offentlige sektor har en stærk tendens til at gøre midlertidige dårlige løsninger permanente ville jeg have det fint med det. Desværre er truslen at vi skal lide under dette system i mange år fremover - og det er IKKE i orden. SUP er et skræmmende eksempel herpå.

e) Interesserne.

Du siger

I mit arbejde med it-sikkerhed gennem de sidste 10 år har jeg i Danmark INTET sted mødt organisationer, der ønskede it-sikkerhedskomponenter som et ”magtinstrument”

En ting er at du ikke vil sige det - fint. Men du kan ikke tillade dig at være så naiv. Det er gældende overalt og man møder det konstant. Ikke-legitime krav (primært om kontrol og sekundært misbrug uden sikkerhed) misbruges til at skævvride sikkerhedsmodellerne, mens de legitime krav underprioriteres ved ikke at sætte tal og konsekvenser på.

Men du ser det ikke hvis du antager magtparadigmet fra starten, fordi så befinder du dig allerede indenfor den sfære. Der er jo ingen som vil argumentere på den måde - man formulere interessen indirekte, men sikrer at sikkerhedssystemet indrettes så ens egne interesser tilgodeses på borgernes og samfundets bekostning.

DanId er PBSs forsøg på at eje din nøgle for at kunne kommercialisere adgang til dig. eBoks det samme på indholdssiden. eIndkomst er den uforsvarlige bureaukratiserende centralisering af hele løn/indtægtssiden. Hele "Adgang til Data" er et planøkonomisk datamisbrugsprojekt som dikterer at man centralt fra skal kunne tilgå alle data på cpr-nummer og dermed sammenkøre bag om ryggen på borgeren.

Den offentlige sektor svømmer over med krav om central indrapportering og kontrolfunktioner som tjener til at føde de planøkonomiske styringsmodeller. I sundhedssektoren er EPJ/sundhed.dk projekter der har magt som primær kriterium bl.a. fordi man bilder sig selv ind at central magt gavner effektivisering/sundhed

f) Nej, central registrering af behandler relationer vil forværre problemerne uden at løse nogen. Det er blot mere lap på lap på lap. Det skaber blot et jagtregister som gør det farligt at delegere sensitive adgange til lægen.

Faktisk skal vi den stik modsatte vej og kunne garantere at man IKKE centralt fra KAN vide hvem din læge er. Fordi det er nødvendigt for at kunne åbne pseudonyme data for sikret sekundær genbrug.

Så langt så godt - jeg kommer efterfølgende med et indlæg om konkret kritik af den overvågnings-centrede "sikkerheds"forståelse, du fremlægger ovenfor. Den skaber risici, legacy og flaskehasle uden at forebygge eller sikre.

  • 0
  • 0
#20 Morten Thomsen

@Stephan

Vi er øjensynligt enige om at den nuværende tilgang ikke holder !?

En ting vi ved med sikkerhed er at intet varer evigt ;o). Jeg tror på den nuværende tilgang holder tilstrækkeligt til, at vi kan komme i luften på nationalt plan. Det gode er, at vi har med et forholdsvist løst koblet systemkompleks at gøre, så vi ikke er i fuldstændig ”lock in” mht. (fremtidige/ændrede) it-sikkerhedstiltag.

@Stephan

Omvendt kan ingen forsvare ikke at arbejde på alternativer

Jeg synes, det er berigende med alternative ideer, metoder og tilgange.

@Stephan

En ting er at du ikke vil sige det - fint. Men du kan ikke tillade dig at være så naiv. Det er gældende overalt og man møder det konstant. Ikke-legitime krav (primært om kontrol og sekundært misbrug uden sikkerhed) misbruges til at skævvride sikkerhedsmodellerne, mens de legitime krav underprioriteres ved ikke at sætte tal og konsekvenser på

Det er temmelig standard at designe it-sikkerhed ud fra CIA-kravene (Confidentiality, Integrity og Availability) og prioriterer indsatsen ud fra ”risk management”: http://en.wikipedia.org/wiki/Information_security

Der hvor skævvridningen kommer ind er når konsekvensen ved et sikkerhedsbrud vurderes "stor" for den enkelte borger (som det går ud over) og konsekvensen vurderes "lille" for den organisation der skal prioritere sikkerhedstiltagene. Som jeg ser det, handler det ikke primært om at skulle kontrollere, men om at effektivisere.

vh/Morten

  • 0
  • 0
#21 Anonym

Morten

Din gennemgang er fin, men afspejler hvor værdiløs den offentlige sikkerhedstænkning omkring en generel access kontrol baseret på identifikation reelt er.

Det offentlige "sikre net" er tynd overvågningsbaseret perimetersikkerhed. En sikkerhedsbombe som kun venter på at eksplodere - og der er intet inde bag forhænget, ingen forebyggelse, ingen isolering og ingen fallback.

1) For det første er der ingen basissikkerhed.

Databaserne er ukrypterede og data er fuldt personhenførbare. Data ligger pivåbne og enhver som har eller kan misbruge en adgang som har adgang bag om access kontrollen er et åbent sikkerhedshul. Uanset om det er bevidst eller ved en fejl.

"tømingen" som du kalder sker i masser af centrale processer uden revokation mekanismer - når sikkerheden brydes, brydes den totalt.

Enhver af de mange systemer som kører direkte på data og specielt access control systemerne er blødende sikkerhedssår i samme sekund noget ikke fungerer perfekt - og det er ikke engang teoretisk muligt i en verden hvor der altid er for få ressourcer så test og udviklingskvalitet nedjusteres for hurtige resultater.

2) For det andet lækker systemet data i ethvert access punkt. F.eks. har apotekekere intet behov for personhenførbarhed. Der er for meget interesse-styret nice-to-have.

Enhver access skaber nye sårbarheder og nye personhenførbare data som ikke beskyttes.

3) For det tredje er central identitetsbaseret access kontrol en flaskehals som skaber et utal af nye sikkerhedsproblemer. Alene administrationen skaber barrierer som man omgår med laveste fællesnævnter (f.eks. negativ samtykke som det seneste håblse påfund).

Modellen er næsten per definition alt for unuanceret til at kunne rumme virkeligheden, hvorved man ender i disse rollebaserede access modeller, hvor alle læger, apotekere etc. har alt for megen adgang, dvs. adgang til for meget viden om for mange patienter samtidig med at medarbejderen også lækker data.

4) Den naive tro på logning forudsætter at alt logges på trods af vi alle ved det ikke sker - selve logsystemet kan omgås.

Log-systemet rummer i sig selv tonsvis af viden som kan misbruges af en angriber. Hvis loggen er identitetsbaseret, så kan en angriber se hvilken medarbejder som man skal angribe for at få en adgang som "ser" legitim ud. Dvs. du kan se Statsministerens Læge og dermed vide hvor du skal angribe hvis det var det som var målet. Du kan se hvem som bruger hvilken medicin og gå baglæns og se hvor du skal påvirke.

At borgeren kan se loggen er nærmest værdiløst og ren placebo-sikkerhed - loggen indeholder ikke alle adgange, det siger intet om hvad der sker med de data som er hentet, borgeren kan ikke gennemskue om adgangen er berettiget og endelig er det illusorisk at forestille sig at borgerne kan holde øje med adgange i stedet for by design at forhindre andre end borgerne og borgerens behandlere adgang.

Den tankegang tjener kun et formål - at skabe illusionen af at overvågning sikrer fordi man selv vil overvåge og kontrollere.

4) For det fjerde er nøglekontrollen klient-side alt for dårlig til at man kan give identitetsbaseret adgang. Som vi så for nylig i akut-casen er vi reelt ned på at sikkerhedsbarrieren er et spoofet fingeraftryk.

Når man alligevel laver nøglekort, hvorfor gør man så ikke som i Tyskland, Polen, Schwitz eller andre lande hvor man i det mindste er gået lidt af vejen og rent faktisk bruger kortet nøglekontrol til at kontrollere adgangen, dvs. BÅDE krypteringen og henførbarheden!?

5) Metoden er ikke bedre end holdningen.

Det som du kalder CIA-modellen er ikke mere værd end dem som implementerer den - man manipulerer risikoevalueringen så det passer projektet og interessen istedet for at tage udgangspunkt i realiteterne og de faktuelle forhold.

Havde man brugt metoden hensigtsmæssigt, havde man afvist den identitetsbaserede model, dvs. løsningen beviser metodens huller.

Bruger man metoden som i Danmark, starter man med at ødelægge sikkerheden ved at gøre enhver access sårbarhedssekabende og umuliggøre sikre og isolerede forbindelser. Næsten på samme måde som Google - interessen i datamisbrug dikterer ethvert systemdesign - og derefter spilder man en masse ressourcer på at skabe illusioner om det modsatte.

Det absurde er videre at man designer it-systemerne uden central sikkerhed på en måde så en masse medarbejderne er åbne sikkerhedshuller, hvorefter man spilder en masse ressourcer på at overvåge medarbejdernes access i stedet for at forebygge hullerne.

Økonomisk laver man en stiv one-size-fits-all model som både mangler basal sikkerhedsforståelse (formålsspecifikation, isolering, fallback etc.) og samtidig er ufleksibel ude af stand til at tilpasse sig med forandringerne (du kan ikke lave f.eks. en rent administrativ en ikke-identificeret access hverken for borgerne eller medarbejderne).

Enhver access har maksimal risiko til et grundliggende usikret system uden fallback mekanismer andet end mere risikoskabende overvågning.

Forestil dig man smider dette i cloud - sikkerhedshullerne eskalerer i alle retninger.

Jeg gentager - min pointe er ikke at systemet skal stoppes, men det er ikke designet for fremtiden. Det er udfasningsmodent allerede fra starten og bør behandles som sådan.

Problemerne ligger både i manglende overblik over applikationen og dårligt teknologidesign. Men det skyldes at det er de ikke-legitime særinteresser som styrer processen fremfor hensynet til borgernes ret og samfundets behov.

De offentlige systemer generelt og sundhedssektoren specifikt har simpelthen grundliggende behov for en kraftig restruktuering af hele arkitekturen.

Fjern perimetersikkerheden og konstater at den stærkt ideologiske It-kejser i Finansministeriet ikke har klæder på. Det hele bygger på stærkt fejlbehæftede antagelser og falske diktomier for at pleje navnlig centraladministrationens egeninteresser i at iscenestætte sig selv som bureaukratisk elite.

De effektiviserer ingenting - de bureaukratiserer og detailstyrer så alting bliver mere og mere ineffektivt og (rets)sikkerheden er det første offer for deres hærgen.

Hvorfor pokker tror du at den offentlige sektor bruger stadigt flere ressourcer på at producere mindre og mindre !? Fejlen ligger ikke i ejerskabet, men i tilgangen, strukturen og navnlig holdningen.

Men igen, igen - jeg ville ikke starte et opgør med det massive og akkumulerende ressourcespilde med et projekt som er gjort kritisk for patientsikkerheden uden en modnet erstatning. Jeg vil dog kræve og insistere på at man erkender at det er en midlertidig konstruktion.

  • 0
  • 0
Log ind eller Opret konto for at kommentere