Kommentar: Datasikkerhed i regioner er pakket ind i ubrugelige selvfølgeligheder

Fluffy’e udsagn, fyldt med selvfølgeligheder og blottet for konkrete målbare anvisninger. Det er indtrykket, der står tilbage når man har læst et nyt udspil ‘Fællesregional Informationssikkerhedspolitik’, som er udarbejdet i et samarbejde mellem de fem regioner.

I regionerne arbejder man dagligt med de måske mest følsomme data, som overhovedet findes om borgerne: Nemlig sundhedsdata, som kan vise om vi f.eks. har psykiske sygdom, kræft eller demens.

Læs også: Offentlige medarbejdere kigger i fortrolige oplysninger af nysgerrighed

Derfor er det oplagt, at regionerne skal behandle de mange data på en måde, ‘som sikrer borgerne fortsatte tillid til regionerne’, som det lyder i it-sikkerhedspolitikken.

Der skal ikke herske tvivl om, at det er prisværdigt, at regionerne øger fokus på området og har som ambition at passe godt på vores data.

Læs også: Kommunale it-chefer efter boom i cybercrime: Brugerne må opdrages til bedre it-sikkerhed

Den udfærdigede sikkerhedspolitik er en udmøntning af en overordnet politisk linje for informationssikkerhed, vedtaget af Danske Regioners bestyrelse.

Så man kunne forvente, at her var et konkret redskab til at gå i gang med. Men det er det fællesregionale udspil ikke. Faktisk virker tonen så belærende, at man må frygte for reaktionen i de regionale it-afdelinger.

10 eksempler på tekster, som absolut ikke holder til ikke-testen - eller banalitetstesten. (Vores parenteser)

  • Medarbejdernes adfærd i dagligdagen har (IKKE) stor betydning for informationssikkerheden. Det er (IKKE) centralt, at alle medarbejdere er bevidste om, hvordan deres adfærd påvirker informationssikkerheden.

  • Det handler både om, hvordan medarbejderne håndterer teknik og it-udstyr, og om hvordan de omgås følsomme personoplysninger. Medarbejderne skal derfor (IKKE) have kendskab til lovgivning, regionernes egne politikker, retningslinjer og instrukser - og selvfølgelig også overholde dem. Ledelsens prioritering af området er (IKKE) også vigtig.

  • Derfor bør regionerne (IKKE) sikre en organisation, der prioriterer informationssikkerhed, så medarbejdere og ledelse har gode betingelser for at arbejde med følsomme personoplysninger.

  • Regionernes brug og håndtering af følsomme og fortrolige oplysninger skal (IKKE) foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse.

  • Regionerne skal (IKKE) sikre, at relevante lov- og kontraktkrav overholdes i det daglige arbejde.

  • Der er (IKKE) vigtigt, at borgere, patienter, virksomheder, samarbejdsparter og andre interessenter kan have tillid til, at regionerne har etableret nødvendige tiltag til at sikre borgernes oplysninger, og at regionerne forvalter deres følsomme personoplysninger sikkert og forsvarligt.

  • For at sikre at behandling og opbevaring af følsomme personoplysninger lever op til lovens krav er det vigtigt at indrette sin organisation på en måde, der gør det naturligt i praksis at efterleve informationssikkerhedsreglerne. Dette arbejde starter (IKKE) med en forankring i topledelsen.

  • Det er (IKKE) topledelsens ansvar at træffe den endelige beslutning om et sikkerhedsniveau, der er afstemt efter risiko og væsentlighed og offentlighedens interesser. Niveauet skal overholde relevante lov- og kontraktkrav.

  • … enhver behandling af følsomme personoplysninger foregår efter en risikobaseret tilgang og (IKKE) i overensstemmelse med gældende lovgivning

  • Regionernes håndtering af informationssikkerhed skal (IKKE) sikre, at patienterne får den bedste behandling samtidig med, at deres oplysninger er i trygge hænder.

Alt for mange læk af sundhedsdata

Version2 har alene i efteråret beskrevet mange eksempler på ringe datasikkerhed i sundhedsvæsenet. En borger fik i august svar på en aktindsigt i Sundhedsdatastyrelsen, som indeholdt ikke alene egne, men også en anden borgers personfølsomme oplysninger, herunder om CPR-nummer, patienttype, behandlingssted, behandlingstidspunkt, sengedage og diagnosekoder.

I august i år kom en læge i Styrelsen for Patientsikkerhed under et forsøg på at omgå en genstridig PDF-viewer til at sende følsomme patientdata fra syv patientklager i hænderne på kriminelle.

Og i efteråret kritiserede Rigsrevisionen, at mangelfuld styring og kontrol af udvidede administratorrettigheder betød, at personer uretmæssigt kunne få adgang til it-systemer og data hos den daværende styrelse National Sundheds-it.

Så udover en række sætninger i den regionale nye it-sikkerhedspolitik - som det kan være svært at se andet end noget banalt i - kunne man forvente klare beslutninger om, hvordan de mange gode intentioner skal implementeres.

Men de findes altså bare ikke.

Det er uoplyst, hvor mange kroner og timer der er afsat til implementering af ‘registrering af brud eller mulige brud på informationssikkerheden’, ‘dokumenteret systematisk logopfølgning’ og til at ‘udarbejde og vedligeholde et SoA 3 dokument (Statement of Applicability)’.

Altså følger der nogle penge med? Eller er der i det mindste gennemført en vurdering af, hvor mange ressourcer det koster at implementere de konkrete tiltage, der trods alt lægges op til i dokumentet?

Eller hvad med en vægtning af forskellige hensyn. I begyndelsen af dokumentet fremgår det, at ‘den politiske linjer lægger vægt på, at ’informationssikkerhed og brugervenlighed går hånd i hånd’

Hvad betyder det så? At sikkerhedsniveauet skal være så lavt, at brugerne ikke bliver generet, eller er det omvendt?

For normalt bliver høj brugervenlighed og høj sikkerhed jo betragtet som to modsatrettede størrelser. Men de regionale politikere har måske knækket nøden? I så fald hører vi gerne svaret.

Der står i den sammenhæng også, at den politiske linje lægger vægt på, at regionerne samarbejder og lærer af hinanden. Det lyder smart, hvordan skal det så foregå? Er der taget initiativ til erfagrupper, så Region Hovedstaden ringer til Region Sydjylland, når sundhedsplatformen eller andre EPJ-systemer lækker data, eller hvad menes der?

Det står også at læse, at den politiske linje lægger vægt på, at regionerne stiller krav til leverandører. Man må da håbe, at det allerede sker i dag.

Chrome advarer brugeren om, at der er noget galt med den sikre forbindelse, hvis man forsøger at tilgå 'Fællesregional Informationssikkerhedspolitik' under Region Nordjyllands domæne.

I papirets afsluttende målsætningsafsnit fremgår det, at regionerne skal ‘sikre udarbejdelse og vedligeholdelse af et katalog over identificerede trusler’, ‘identificere de mest sårbare og kritiske systemer og skabe bevidsthed om sikkerhed i organisationen’. Desuden skal der sker 'overholdelse af tekniske krav til logning, autorisation og rollestyring.'

Det er for så vidt gode ambitioner.

Men bare regionerne er opmærksomme på, at ord på papir ikke i sig selv nogen som helst garanti for vores følsomme data - det hele afhænger af hvordan og med hvilken professionalisme det udføres.

Foreløbig står det faglige udspil til politisk vedtagelse i regionsrådene.

I øvrigt er det værd at bemærke, at 'Fællesregional Informationssikkerhedspolitik'-PDF'en i Region Nordjylland ligger på et domæne, der foregiver at levere en sikker HTTPS-forbindelse. Alligevel advarer Googles udbredte Chrome-browser ved et besøg på siden brugeren om, at 'This page is insecure (broken HTTPS).'

Forklaringen er, at Google anser SHA-1-algoritmen som et kommende sikkerhedsproblem, og derfor advarer Chrome-browseren i de tilfælde, hvor en side anvender et SHA-1-certifikat, som først udløber 1. januar 2017 eller senere.

SHA-1-certifikatet udløber i dette tilfælde i marts 2018.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (10)

Anne-Marie Krogsbøll

... at udsætte udspillet for "ikke-testen". Det afslører til fulde, at der er tale om tomme kalorier. Det ville undre mig, om ikke man ville kunne finde nogenlunde de samme pæne hensigter rundt om i programerklæringer i det offentlige for 15 år siden.

Kim Kaos

Det mest skræmmende er at det rent faktisk er nogle af vores egne "kollegaer" der er medvirkende, med deres lige dele sjusk og ligegyldighed til opretholde, udvikle og designe disse uigennemtænkte sikkerhedsprocedurer.

Mads Hjorth

"For normalt bliver høj brugervenlighed og høj sikkerhed jo betragtet som to modsatrettede størrelser"

Hvis den genstridige pdf-viewer havde været mindre genstridig... eller webserverens begrænsninger i valg algoritmer til https var mere tydelige...

Jeg tror nu at høj sikkerhed ofte kommer af høj brugervenlighed.

Det virker lidt tamt at slynge så generelle udsagn ud i en artikel der påtaler det som et problem hos andre.

Betyder det så at utilfredshed blandt brugerne af sundheds-it er tegn på høj sikkerhed?

Thomas Hedberg

Artiklen afslører kun uvidenhed om ISO27001 standardens opbygning og funktion. Den er et ganske normalt eksempel på en overordnet politik som skal afspejle bl.a. strategien og ansvarsplacering. Som tillæg til denne overordnede politik skal man yderligere lave mere specifikke politikker for f.eks. adgangskontrol, informations klassifikation, fysisk sikkerhed, backup, slut bruger sikkerhed, kryptering m.m.

Alt dette bestemmes igennem ens risiko styring og det samme gør valget af sikkerheds kontrollerne.

Her kan så vælge at være mere eller mindre specifik. Man kan sagtens holde sig i vendinger som:

"Der skal være antivirus på alle servere som skal holdes opdateret dagligt" fremfor "Symantec Antivirus 10.6.7 installeres på alle maskiner og opdateres hver dag kl. 17”.

Sidstnævnte bidrager ikke med andet end at binde indkøb og drift på hænder, fødder og kræve en masse løbende vedligehold. Det kræver naturligvis at nogle tager en beslutning om, hvilket anti-malware program der skal købes og konfigurationen af det. Men det er fagfolk forhåbentligt også bedre til end regions politikere.

Det kan gøres endnu mere generisk ved at kræve, at der kun kan køre autoriseret software på platformen og dermed åbne for, at man kan vælge et whitelisting produkt fremfor et blacklisting produkt. Hvilket stadig harmonerer med intentionen i det oprindelige krav, men man sikrer fleksibilitet i teknologi valg.

MJK SEC

The Version2 link to the policy PDF is valid SHA256 encrypted. So some confusion as to the statement made below. Could it not be possible that the writer is behind a proxy server that is performing some sort of SSL teardown?
I could not replicate the issue. I wouldn't run a domain wildcard on 5 different external facing systems though.

Jakob Møllerhøj Journalist

The Version2 link to the policy PDF is valid SHA256 encrypted. So some confusion as to the statement made below. Could it not be possible that the writer is behind a proxy server that is performing some sort of SSL teardown?

As explained in the article, it is because Google sees SHA-1 certificates as a future security problem, so Chrome warns then user, when a certificate is encountered that expire after 2016. Jakob - V2

EDIT: I see now, that the certificate has been changed, since we wrote the article. So Chrome no longer gives out a warning.

Morten Nielsen

Det er altid morsomt at læse en artikel, hvor journalisterne udviser totalt manglende forståelse for, hvad de læser og går ud fra en præmis, der er fuldstændig skudt ved siden af.

Det giver meget lidt mening, men underholdende det er det da :-)

"Så man kunne forvente, at her var et konkret redskab til at gå i gang med." <-- der opstod misforståelse, for svaret er nej, det kan man lige netop ikke.

Log ind eller opret en konto for at skrive kommentarer

Partnernyheder

Welcome to a seminar on tools that help you become GDPR compliant!

Getting GDPR compliant by May 2018 implies a lot of activities covering the legal aspects, internal business processes, data management, and security technology.
28. feb 2017

Maja Rosendahl Larsen ansat hos Affecto

24. jan 2017

Introduction to Jedox – Affecto Seminar, Copenhagen

12. jan 2017