Kommentar: Datasikkerhed i regioner er pakket ind i ubrugelige selvfølgeligheder
Fluffy’e udsagn, fyldt med selvfølgeligheder og blottet for konkrete målbare anvisninger. Det er indtrykket, der står tilbage når man har læst et nyt udspil ‘Fællesregional Informationssikkerhedspolitik’, som er udarbejdet i et samarbejde mellem de fem regioner.
Baggrunden for Fællesregional Informationssikkerhedspolitik er, at Danske Regioners bestyrelse har vedtaget en politisk linje for informationssikkerhed (i-sikkerhed), som har affødt en række fællesregionale initiativer. Arbejdet med initiativerne sker under RSI-pejlemærket (RSI: Regionernes Sundheds It) om i-sikkerhed. To af initiativerne omhandler henholdsvis en fællesregional i-sikkerhedspolitik, samt årlig afrapportering af i-sikkerhed til regionsrådene i de fem regioner.Fællesregional Informationssikkerhedspolitik
I regionerne arbejder man dagligt med de måske mest følsomme data, som overhovedet findes om borgerne: Nemlig sundhedsdata, som kan vise om vi f.eks. har psykiske sygdom, kræft eller demens.
Derfor er det oplagt, at regionerne skal behandle de mange data på en måde, ‘som sikrer borgerne fortsatte tillid til regionerne’, som det lyder i it-sikkerhedspolitikken.
Der skal ikke herske tvivl om, at det er prisværdigt, at regionerne øger fokus på området og har som ambition at passe godt på vores data.
Den udfærdigede sikkerhedspolitik er en udmøntning af en overordnet politisk linje for informationssikkerhed, vedtaget af Danske Regioners bestyrelse.
Så man kunne forvente, at her var et konkret redskab til at gå i gang med. Men det er det fællesregionale udspil ikke. Faktisk virker tonen så belærende, at man må frygte for reaktionen i de regionale it-afdelinger.
10 eksempler på tekster, som absolut ikke holder til ikke-testen - eller banalitetstesten. (Vores parenteser)
Medarbejdernes adfærd i dagligdagen har (IKKE) stor betydning for informationssikkerheden. Det er (IKKE) centralt, at alle medarbejdere er bevidste om, hvordan deres adfærd påvirker informationssikkerheden.
Det handler både om, hvordan medarbejderne håndterer teknik og it-udstyr, og om hvordan de omgås følsomme personoplysninger. Medarbejderne skal derfor (IKKE) have kendskab til lovgivning, regionernes egne politikker, retningslinjer og instrukser - og selvfølgelig også overholde dem. Ledelsens prioritering af området er (IKKE) også vigtig.
Derfor bør regionerne (IKKE) sikre en organisation, der prioriterer informationssikkerhed, så medarbejdere og ledelse har gode betingelser for at arbejde med følsomme personoplysninger.
Regionernes brug og håndtering af følsomme og fortrolige oplysninger skal (IKKE) foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse.
Regionerne skal (IKKE) sikre, at relevante lov- og kontraktkrav overholdes i det daglige arbejde.
Der er (IKKE) vigtigt, at borgere, patienter, virksomheder, samarbejdsparter og andre interessenter kan have tillid til, at regionerne har etableret nødvendige tiltag til at sikre borgernes oplysninger, og at regionerne forvalter deres følsomme personoplysninger sikkert og forsvarligt.
For at sikre at behandling og opbevaring af følsomme personoplysninger lever op til lovens krav er det vigtigt at indrette sin organisation på en måde, der gør det naturligt i praksis at efterleve informationssikkerhedsreglerne. Dette arbejde starter (IKKE) med en forankring i topledelsen.
Det er (IKKE) topledelsens ansvar at træffe den endelige beslutning om et sikkerhedsniveau, der er afstemt efter risiko og væsentlighed og offentlighedens interesser. Niveauet skal overholde relevante lov- og kontraktkrav.
… enhver behandling af følsomme personoplysninger foregår efter en risikobaseret tilgang og (IKKE) i overensstemmelse med gældende lovgivning
Regionernes håndtering af informationssikkerhed skal (IKKE) sikre, at patienterne får den bedste behandling samtidig med, at deres oplysninger er i trygge hænder.
Alt for mange læk af sundhedsdata
Version2 har alene i efteråret beskrevet mange eksempler på ringe datasikkerhed i sundhedsvæsenet. En borger fik i august svar på en aktindsigt i Sundhedsdatastyrelsen, som indeholdt ikke alene egne, men også en anden borgers personfølsomme oplysninger, herunder om CPR-nummer, patienttype, behandlingssted, behandlingstidspunkt, sengedage og diagnosekoder.
I august i år kom en læge i Styrelsen for Patientsikkerhed under et forsøg på at omgå en genstridig PDF-viewer til at sende følsomme patientdata fra syv patientklager i hænderne på kriminelle.
Og i efteråret kritiserede Rigsrevisionen, at mangelfuld styring og kontrol af udvidede administratorrettigheder betød, at personer uretmæssigt kunne få adgang til it-systemer og data hos den daværende styrelse National Sundheds-it.
Så udover en række sætninger i den regionale nye it-sikkerhedspolitik - som det kan være svært at se andet end noget banalt i - kunne man forvente klare beslutninger om, hvordan de mange gode intentioner skal implementeres.
Men de findes altså bare ikke.
Det er uoplyst, hvor mange kroner og timer der er afsat til implementering af ‘registrering af brud eller mulige brud på informationssikkerheden’, ‘dokumenteret systematisk logopfølgning’ og til at ‘udarbejde og vedligeholde et SoA 3 dokument (Statement of Applicability)’.
Altså følger der nogle penge med? Eller er der i det mindste gennemført en vurdering af, hvor mange ressourcer det koster at implementere de konkrete tiltage, der trods alt lægges op til i dokumentet?
Eller hvad med en vægtning af forskellige hensyn. I begyndelsen af dokumentet fremgår det, at ‘den politiske linjer lægger vægt på, at ’informationssikkerhed og brugervenlighed går hånd i hånd’
Hvad betyder det så? At sikkerhedsniveauet skal være så lavt, at brugerne ikke bliver generet, eller er det omvendt?
For normalt bliver høj brugervenlighed og høj sikkerhed jo betragtet som to modsatrettede størrelser. Men de regionale politikere har måske knækket nøden? I så fald hører vi gerne svaret.
Der står i den sammenhæng også, at den politiske linje lægger vægt på, at regionerne samarbejder og lærer af hinanden. Det lyder smart, hvordan skal det så foregå? Er der taget initiativ til erfagrupper, så Region Hovedstaden ringer til Region Syddanmark, når sundhedsplatformen eller andre EPJ-systemer lækker data, eller hvad menes der?
Det står også at læse, at den politiske linje lægger vægt på, at regionerne stiller krav til leverandører. Man må da håbe, at det allerede sker i dag.
I papirets afsluttende målsætningsafsnit fremgår det, at regionerne skal ‘sikre udarbejdelse og vedligeholdelse af et katalog over identificerede trusler’, ‘identificere de mest sårbare og kritiske systemer og skabe bevidsthed om sikkerhed i organisationen’. Desuden skal der sker 'overholdelse af tekniske krav til logning, autorisation og rollestyring.'
Det er for så vidt gode ambitioner.
Men bare regionerne er opmærksomme på, at ord på papir ikke i sig selv nogen som helst garanti for vores følsomme data - det hele afhænger af hvordan og med hvilken professionalisme det udføres.
Foreløbig står det faglige udspil til politisk vedtagelse i regionsrådene.
I øvrigt er det værd at bemærke, at 'Fællesregional Informationssikkerhedspolitik'-PDF'en i Region Nordjylland ligger på et domæne, der foregiver at levere en sikker HTTPS-forbindelse. Alligevel advarer Googles udbredte Chrome-browser ved et besøg på siden brugeren om, at 'This page is insecure (broken HTTPS).'
Forklaringen er, at Google anser SHA-1-algoritmen som et kommende sikkerhedsproblem, og derfor advarer Chrome-browseren i de tilfælde, hvor en side anvender et SHA-1-certifikat, som først udløber 1. januar 2017 eller senere.
SHA-1-certifikatet udløber i dette tilfælde i marts 2018.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
