Syddanske hospitaler indrømmer: De ansatte deler passwords

De besværlige og tidskrævende logins på hospitalerne får de ansatte til at slække på sikkerheden og logge ind som hinanden. Det skriver Region Syddanmark i sit udbudsmateriale.

Om halvandet år skal de ansatte på hospitalerne i Region Syddanmark gerne have fået lynhurtig login gennem desktopvirtualisering og tynde klienter. Men indtil da må regionens it-folk slås med brugere, som blæser sikkerhedsreglerne et stykke, fordi det simpelthen er for besværligt at gøre alt efter reglerne.

Det fremgår direkte af det officielle udbudsmateriale for ordren på desktopvirtualisering til regionens hospitaler.

Med de nuværende systemer, der alle kræver selvstændigt login, spilder en læge eller sygeplejerske timevis på at vente på systemerne efter login, hvis det er nødvendigt at skifte computer tit. Det tager nemlig 2-3 minutter at logge ind, og nogle steder byder en arbejdsdag på 50 logins.

Derfor vælger de ansatte at lade være med at logge ud, så kolleger hurtigt kan overtage maskinen, eller bruger en generisk konto til fællesmaskinerne, fremgår det.

I udbudsmaterialet står der således:

»Den eksisterende situation har nogle sikkerhedsmæssige konsekvenser. Det er kendt, at der deles login mange steder i regionen. Denne problemstilling forværres af, at der nogle steder er mange brugere pr. arbejdsstation, så det for alle parter er nemmest, at adgange lånes.«

Med indførelsen af det landsdækkende Fælles Medicinkort, som kræver digital medarbejdersignatur, er problemet kun blevet større, lyder det i regionens beskrivelse af situationen. Her kan det nemlig tage noget tid at få adgang via digital signatur, hvis man er ny på afdelingen:

'Forskellige bruger-ID'er og passwords – fx til digital signatur – er også et stort irritationsmoment. Mange kan ikke huske passwords, da de sjældent anvendes. Da det samtidig er langsommeligt at generhverve sin signaturadgang, ved vi, at der sker deling af passwords, hvilket er problematisk.'

Se hele udbudsmaterialet her:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mads Randstoft

Typisk implementation af sikkerhed desværre. Gør det så besværligt at arbejde med systemet så alle finder en vej uden om sikkerheden for at kunne udføre deres arbejde. Jeg har set det mange steder, et sted havde nogen implementeres et system til adgang hvor passwords skulle være min 10 tegn, have bogstaver og tal, samt skulle skiftes hver måned og måtte ikke have mere end 4 tegn tilfælles med sidste password... Blandt dem der brugte denne maskine havde vi alle samme password, i december havde vi dec11dec11 og januar jan12jan12... Så kan man hurtigt finde ud af hvad "passwordet" var til systemet ved at kigge i kalenderen og man kunne logge andre ud hvis de havde glemt det og maskinen stod i "pause skærm", super sikkert og helt sikkert præcis det, der var meningen med denne password politik.

  • 8
  • 0
#2 Henrik Svendsen

Det drejer sig om langt mere end sikkerhed for sikkerhedens skyld. Desværre er der en holdning i det offentlige, og politiske, at man ikke vil bruge penge på sikkerhed, før det havner i pressen. En så stor og kompleks installation som dem regionerne fører, kræver et enormt fokus på sikkerheden. Desværre har det ikke fokus, som det tydeligt blev vist da Region Syddanmark nedlagde sin it-sikkerhedsafdeling i 2010. Der arbejdes med teoretisk sikkerhed, som aldrig får nogen egentlig effekt. Man er mere fokuseret på at kunne sende ansvaret videre, end at kunne se en egentlig effekt hos brugeren. Sikkerhed behøves ikke at være besværligt, man kan benytte tokens, og sms som password, hvorefter man med Single signon kun behøves et brugernavn og password til alt. Men det er dyrt, meget dyrt, og derfor halter sikkerheden. Hvis man vil sikre at ens patientdata ikke havner i "forkerte hænder" ved et uheld, bør man overveje at blive behandlet på et privathospital med en meget lille og simpel server struktur. her er der bedre odds for at data forbliver fortroligt. Det drejer sig ikke kun om passwords, men også om applikationer. Det kan til tider være svært at holde styr på de applikationer som benyttes, og så længe der ikke finden en koordineret indsats om at forbedre sikkerheden, er det umuligt at sikre sig imod sikkerhedsbrist. Et sikkerhedsorgan skal være både strategisk, men i særdeleshed teknisk, med muligheden for at kunne udlegerer arbejdet til enten andre i staben, eller eksterne konsulenter. IT-sikkerhed i dag, går ud på hvor mange blår vi kan stikke os selv i øjene... IT-Sikkerhed burde være i national interesse, og så længe man ikke har styr på den basale sikkerhed, bør man på intet tidspunkt begynde at snakke valg over nettet. vi er desværre nok nød til at opleve en kæmpe katastrofe, før det bliver taget alvorligt. /Henrik

  • 9
  • 0
#3 Jens Peter Jensen

God stil, at de både ser problemet, og tager det seriøst nok til at bestille en bedre løsning - ikke blot indskærpe sikkerhedsprocedurerne for personalet (=insistere på tidskrævende login hver gang). Iøvrigt: Da jeg gik på DTU, blev der brugt et system i databarerne (tynde klienter fra SUN), hvor du kunne tage sin session på serverne med sig på et smartcard, som man blot skulle sætte i en vilkårlig terminal, taste sit password, og på få sekunder var man tilbage, hvor man slap. Mon det er noget i den (hen-)retning, de eftersøger?

  • 6
  • 0
#4 anders kristiansen

@Jens Peter Jensen - jeg mener er SUNRAY du omtaler. Bispebjerg hospital har vist også forsøgt sig med denne løsning, men hospitalerne har flere perifærer enheder (diktafoner osv) som ikke virker særlig godt på tynde klienter.

  • 2
  • 1
#5 Lars Hansen

I mine øjne burde dem der deler deres logins til de systemer fyres på stedet, uden advarsel.

Hvis sikkerhed tager tid, må det tage den tid det skal tage, og er det et problem, må man bare acceptere, at man falder bagud med sit arbejde. Dette er i sidste instans ikke den enkelte ansattes ansvar, men derimod ledelsen, som derved bliver tvunget til at løse problemerne.

Hvis først 1 ansat deler sit login, spreder det sig hurtigt til alle andre, og så kan man ligesågodt droppe logins i det hele taget. Men, egentlig er det værre end det, fordi de ting man aflæser af sikkerhedsloggen bliver fuldstændig misvisende, og i yderste konsekvens kan det pege mistanken over på ikke skyldige imens skyldige undviger straf og mistanke.

Konsekvensen for borgeren bør selvfølgelig være i centrum. Der er mange ting aller og enhver ikke skal have indsigt i. Man kan f.eks. forestille sig, at en pige med pakistanske forældre (af religiøs ekstremistisk art) får foretaget en abort. Desværre er der en i hendes familie, der slår hendes journal op med et login de ikke burde have. Herefter går historien videre til forældrene, også er det æreskrænkelse o.s.v. der kommer i spil. Jeg er sikker på, at der er mange også endnu værre eksempler, og at antage, at den slags informationer ikke bliver misbrugt er stupidt og selve håndteringen er fuldstændig respektløs overfor de borgere det berører. Det kan ultimativt føre til, at man ikke kan stole på sundhedssektoren, og derfor holder sig fra den eller ikke vil være åben og ærlig overfor behandlere af frygt for ens fortrolighed.

Håber de sundheds folk arbejder som de bliver betalt for fremover, og følger deres anvisninger. Også selvfølgelig at de ansvarlige ledere erkender problemet og ikke mindst tager ansvar for at implementere en løsninger der fremover ikke er så tidskrævende / SSO samt sørger for at indskærpe hvorfor det ikke er acceptabelt at dele logins uanset situationen.

  • 2
  • 8
#6 Jon Bendtsen

@Jens Peter Jensen - jeg mener er SUNRAY du omtaler. Bispebjerg hospital har vist også forsøgt sig med denne løsning, men hospitalerne har flere perifærer enheder (diktafoner osv) som ikke virker særlig godt på tynde klienter.

Det er vel ikke alle ansatte på hospitalerne som har perifære enheder? Desuden så kunne de vel måske vælge nogle enheder som selv kunne uploade data direkte til den centrale server?

  • 1
  • 0
#9 Lars Hansen

Husk dét når du ligger på traumecenteret med blodet sprøjtende ud til højre og venstre...

Du må pænt vente indtil den langsommelige loginproces er overstået. Hvis du da overlever så længe.

Det er ærgeligt, men hvis deres inkompetence skal koste liv, så er det måske det der skal til.

Hvis ikke de kan holde sig et fornuftigt sikkerheds setup i sygehusvæsenet, så må man stille spørgsmålstegn ved, hvad de ellers ikke magter. Og, så tror jeg på langt sigt, det er bedre at bide i det sure æble, end det er at lade inkompetente ledere eller dårlige udviklingsprocesser bestå / opstå og gøre skade på langt sigt.

Første punkt er vel altid "Stop Ulykken", og hvis ulykken er, at man har gjort sig afhængig af IT systemer man ikke kan komme til, er det dér fokus skal ligges og ikke på workarounds.

Ja, det bliver mine sidste ord, når jeg ligger og forbløder "Neeej, ikke dele login!"

Et eller andet sted må der sidde nogen og vægte menneskeliv op imod et fungerende SSO, og det er dem der skal stå med det dilemma, og ikke folk på skadestuen.

  • 1
  • 4
#10 Rasmus Rask

Det tager nemlig 2-3 minutter at logge ind, og nogle steder byder en arbejdsdag på 50 logins.

Så er det måske der man skulle sætte kræfterne ind? På logon-tiden.

For mig lyder det som om hospitalerne har brug for User Environment Management løsning.

VirtuAll's VUEM bryster sig f.eks. af: "Around 10 seconds consistent login time on any type of desktop/workspace. Physical ones (good old and true Win 7, Win 8 and even XP locally installed) or virtual (XenApp published apps, published hosted desktop or VDI)" -- http://www.ctxblog.fr/2012/07/21/interview-pierre-marmignon-about-vuem/?...

Skal man tage det for gode varer, taler vi altså potentielt om at gå fra 50 x 3 min. = 2,5 time til 50 x 10 sek. = ~8 minutter.

Men der er mange andre UEM-muligheder, sikkert med lignende løfter. Se f.eks. http://www.brianmadden.com/blogs/rubenspruijt/archive/2012/01/23/user-en....

  • 0
  • 0
#13 Jon Bendtsen

Hvor lang tid er så ikke for lang tid? Det er immervæk en faktor 18 hurtigere.

Kan ikke umiddelbart komme på nogen af de steder jeg har arbejdet, hvor en logontid på 10 sekunder ikke ville være acceptabelt (eller stærkt værdsat!).

1, måske 2 sekunder, baseret på hvor lang tid folk gider vente på at dørene åbner i metroen fra toget holder stille. Det foregår således:

tiden er i sekunder:

t=0, toget stopper t=1, hov, toget er stoppet t=2, alle træder et skridt frem, og står dermed i vejen for dem som skal ud t=3, hvorfor åbner dørene ikke t=4, først nu åbner dørene

  • 3
  • 1
#14 Michael Hein

Hvorfor ikke bare bruge generiske afdelings logins på pc'erne - og så bruge brugernavn m.v. i applikationerne? Virker da fjollet at vente på at en maskine starter op, og hvis man står med en startet applikation og bare skal identificere sig, kan de da umuligt tage så lang tid som beskrevet..

Jeg mener det er da ikke svært at lave et skrivebord i "cafe" mode, og lade alle applikationer være åbne og så kun logge ind i det system man skal bruge. Man kunne vel endda sagtens lave en lille "login token" løsning der gav en bruger adgang til alle systemer uden at skulle taste forfra - indtil man trykker logud knappen i en applikation som så fjerner ens token.

Det virker i min optik at skyde helt over mål at starte med et kæmpe virtuelt setup, med tynde klienter og de potentielle problemer der så kan opstå, istedet for at starte med at kigge på de enkelte elemeter i tidsforbruget og så optimere derfra - medmindre jeg misforstår hvad de mener med opstartstid på 2 min..

  • 0
  • 0
#15 Thomas Gulmark

Lidt uddybning af hvad der kan menes med opstartstid og hvordan hverdagen er på en afdeling (Jeg arbejder i på et hospital i RSD):

Korrekt logon-procedure er: Log på Windows (et par minutter) Log på journalsystemet (Cosmic): ca. 20-30 sek. på en god dag. flere minutter på en dårlig. Fremsøg din afdeling: 10 sek. Fremsøg din patient: 2-60 sek. Åbn det relevante modul (journal, medicinadministration, whatever): 5-30 sek. Arbejd. Log af journalsystenet (få sekunder)

Log af Windows (>1minut)

I praksis: Ved dagens start: Log på Windows - evt. i et fælleslogin. Log på journalsystemet Fremsøg din afdeling + patient + modul. Arbejd. Log ud af journalsystemet. Det sidste skridt undlades hyppigt.

  • 1
  • 0
#16 Michael Hein

Men så lyder det da også til at problemet i langt højere grad er hastigheden i cosmic, end den egentlige tid et login tager. Det ændrer man vel ikke på ved at virtualisere desktoppen og bruge tynde klienter.

  • 2
  • 0
#17 Thomas Gulmark

Njah, Cosmic er for langsom (og kluntet), men at bruge flere minutter på at logge på og af Windows hver gang man skal tilgå en journal opleves som spild af tid. Husk at det er mange gange dagligt, f.eks. hver gang man skal give medicin at ovenstående procedure skal gennemføres. Hvis man kunne spare tiden på Windows-logon/off og samtidigt øge sikkerheden ville det vel isoleret set være et fremskridt. Jeg har ingen kvalificeret mening om evt. bøvl og faldgruber ved implementering af tynde klienter fraset en fantasi om, at det kunne belaste vores vist ikke just overdimensionerede netværk yderligere.

  • 0
  • 0
#18 Michael Hein

Lige netop - men det kunne jo også lynhurtigt implementeres på det eksisterende hardware, uden at gå i gang med et stort projekt. Er der problemer med at logge ind i windows med et afdelings brugernavn og bare lade den stå - hvis cosmic ellers bliver lukket efter brugeren forlader maskinen? Eller har alle brugere på afdelinen personlige skriveborde som de har brug for til det brug?

  • 0
  • 0
#19 Peter Stricker

Korrekt logon-procedure er: Log på Windows (et par minutter) Log på journalsystemet (Cosmic): ca. 20-30 sek.

Det besvarer jo ikke Michael Heins spørgsmål:

Hvorfor ikke bare bruge generiske afdelings logins på pc'erne - og så bruge brugernavn m.v. i applikationerne?

Så næste spørgsmål er så, om brugeren logger på Cosmic, eller om det er den identitet, der er logget på desktoppen, der logger på Cosmic.

Hvis det er det sidste, eller en kombination af begge, er det så ikke her, problemet ligger.

I forbindelse med logon på en typisk Windows maskine, sker der jo en hel masse ting, der ikke har nogen relevans for authentificering og authorisation.

Hvis dine tider er korrekte, så er der jo i hvert fald tre minutter sparet ved at undlade at logge på og af Windows. Og med 50 logins på en arbejdsdag, så er der pludselig frigivet et par timer til andre gøremål - herunder pauser.

  • 1
  • 0
#20 Michael Hein

Ja nemlig, og det ville man kunne implementere og teste uden at det kræver en investering i et helt nyt miljø, med de udfordringer der nu kan opstå af den vej - og uden at skulle investere i ny hardware.

Og viser det sig så at det i virkeligheden er Cosmic der er problemet, så ville hardware løsningen jo alligevel ikke ændre på andet end windows opstarts tiden. Og man kan ny at behandle det problem uden at man allerede har brugt sine penge på en stak tynde klienter og terminalservere.

  • 1
  • 0
#22 Thomas Gulmark

Jeg skal prøve at svare så godt jeg kan :-)

Så næste spørgsmål er så, om brugeren logger på Cosmic, eller om det er den identitet, der er logget på desktoppen, der logger på Cosmic.

Man logger på Windows, enten i generisk eller personligt login. Dernæst på Cosmic med personligt login. Der er altså ikke nødvendigvis sammenhæng mellem hvem, der er logget på desktoppen og hvem, der er logget på Cosmic.

Hvis det er det sidste, eller en kombination af begge, er det så ikke her, problemet ligger.

I forbindelse med logon på en typisk Windows maskine, sker der jo en hel masse ting, der ikke har nogen relevans for authentificering og authorisation.

Ja og nej. Det har ingen relevans for Cosmic. Men for at få adgang til intranet og lignende skal vi logge på Windows med personligt login. Dette giver også adgang til vores personlige Outlook samt et personligt netværksdrev.. Fra det generiske login kan man bruge Outlook pr. webinterface, men det er lidt begrænset.

Hvis dine tider er korrekte, så er der jo i hvert fald tre minutter sparet ved at undlade at logge på og af Windows. Og med 50 logins på en arbejdsdag, så er der pludselig frigivet et par timer til andre gøremål - herunder pauser.

Det er netop derfor at personalet bruger generiske login eller lader deres personlige desktop stå åben efter brug.

  • 0
  • 0
#23 Thomas Gulmark

Nu er dette jo en professionel site, og vi skal have solgt en Citrix farm ;-) Hvad med Suspend/Resume af en Cosmic session. Er det muligt? Så ryger der jo igen nogle sekunder fra regnestykket.

Suspend/resume er mulig, men ikke på tværs af arbejdsstationer. Vi har ikke personlige arbejdsstationer og jeg tænker heller ikke, at det vil være praktisk. Man flytter sig jo rundt på afdelingen i kraft af arbejdet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere