Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård.

Transkript

1 BYT UT LOGGAN MOT DIN KOMMUNS LOGGA Dokumenttyp Mall, Informationssäkerhet, analys Sida Område Mobilitet 1 (11) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att användas vid identifiering av åtgärder för en kommun som överväger att införa ett mobilt arbetssätt med åtkomst till känsliga personuppgifter. Mallen utformades hösten 2014 som ett resultat av arbetet med ehälsa i Kalmar län. Metoden utgår från ett systematiskt informationssäkerhetsarbete och baseras på principer som bygger på svensk standard för informationssäkerhet SS-ISO/IEC Genom att identifiera och informationsklassa informationsmängder för att därefter genomföra en riskanalys upprättas förslag på er. Metoden förutsätter en identifierad beställare av analysen och uppföljande aktiviteter för att säkerställa ett verkligt genomförande. Dokumentet ska uppdateras så att det motsvarar varje kommuns egna förutsättningar. En del ska bort, annat ska läggas till. Uppgiften är att genomföra en egen informationsklassning, riskanalys och utifrån den metod som beskrivs i detta dokument. Allt som är GULMARKERAT ska ser över, uppdateras och kompletteras. Därefter ska den gulmarkerade texten avmarkeras. Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård. Innehåll 1. Grundinformation Deltagare Bakgrund Syfte Mottagare Avgränsning Informationsklassning Kriterier för informationsklassning Klassningsmodell Klassningsresultat Skyddsåtgärd per informationsklass Risk- och sårbarhetsanalys, RSA Skala för sannolikhet och konsekvens Riskanalys utifrån Scenario Nödvändiga åtgärder Resultat riskanalys och åtgärder... 6 Revisioner Revision: Datum: Beskrivning: Utförd av: Första utkast Stephen Dorch Redigering efter Stephen Dorch utvärdering av inlämnat underlag Skriv in er version Dokumentnamn: Systemkartläggning mobil åtkomst Utfärdat datum: Reviderat datum:

2 2 1. Grundinformation 1.1. Deltagare <Räkna upp alla deltagare i analysgruppen, namn, verksamhet och roll som varit delaktiga med arbetet från din kommun, ta därefter bort denna text> Namn Verksamhet Roll 1.2. Bakgrund Den kommunala Hälso- och sjukvården är i behov av säkra mobila tillämpningar då stor del av verksamheten sker utanför kontoret hemma hos brukare och patienter inom hemtjänst och hemsjukvård. Verksamheten hanterar känsliga uppgifter om enskildas personliga förhållanden och enskildas hälsotillstånd. Den mobila utvecklingen möjliggör åtkomst till känsliga personuppgifter med olika enheter som t.ex. surfplattor, bärbara datorer och telefoner. Denna hantering måste vara säker! Vid mobilitet uppstår nya risker och säkerhetsåtgärderna måste hela tiden anpassas därefter. Särskilda IT-säkerhetsåtgärder behöver vidtagas för att skydda uppgifterna, men det räcker inte med enbart IT-åtgärder. Andra åtgärder som utbildning, översyn av metodik, organisation och processer behöver ses över och anpassas för att möta den mobila utvecklingen. Dessa åtgärder är nödvändiga om vi vill införa ett mobilt arbetssätt utan att äventyra enskildas integritet eller säkerhet. I denna analys har vår kommun identifierat vilken typ av information som behöver vara åtkomlig mobilt. Vi har fastställt informationens värde, bedömt hotbilder och risker samt upprättat åtgärdsförslag. När dessa åtgärder är vidtagna finns förutsättningar för ett säkert mobilt arbetssätt Syfte Syftet med analysen är att identifiera nödvändiga åtgärder och klargöra vilka förutsättningarna är för att införa ett säkert mobilt arbetssätt inom Socialtjänsten i vår kommun Mottagare Mottagare av denna rapport är den verksamhetschef vars verksamhet avser att införa mobila lösningar Avgränsning Analysen avgränsas till hemtjänst och hemsjukvård.

3 3 2. Informationsklassning För att förstå vilka säkerhetsåtgärder som är nödvändiga behöver informationen klassificeras. Det är en bedömning av hur allvarligt det skulle vara för verksamheten om det t.ex. uppstår brister i sekretessen och obehöriga därmed får del av känslig information. Syftet med klassificeringen är att rätt säkerhetsåtgärd ska vidtas utifrån hur viktig informationen är. Varje nivå ska vara kopplad till konkreta säkerhetsåtgärder. All information i ett verksamhetssystem bör klassificeras Kriterier för informationsklassning Informationsklassningen fastställer informationens värde utifrån fyra kriterier. De fyra kriterierna är: Riktighet - att vi kan lita på att informationen är korrekt, inte manipulerad eller förstörd Konfidentialitet/Sekretess - att endast behöriga personer får ta del av den Tillgänglighet - att den finns där när vi behöver den Spårbarhet - att det går att följa hur och när informationen har hanterats och kommunicerats Att spårbarhet tas med bland de fyra kriterierna beror på krav om uppföljning, loggning och granskning i de legala krav 1 och författningar som gäller för hälso- och sjukvård Klassningsmodell Den modell som används baseras på Myndigheten för samhällsskydd och beredskap, MSB 2 rekommendationer. Den används av de flesta kommuner i landet. Modellen kommer att revideras under 2014, vår modell nedan är i skrivande stund inte reviderad då MSB ännu inte publicerat den nya klassningsmodellen. Säkerhetsaspekt Konsekvens 4 Allvarlig 3 Betydande 2 Måttlig 1 Försumbar Information där förlust av riktighet innebär allvarlig/katastrofal negativ betydande negativ måttlig negativ försumbar negativ på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av konfidentialitet/ sekretess innebär allvarlig/katastrofal negativ betydande negativ måttlig negativ försumbar negativ på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ betydande negativ måttlig negativ försumbar negativ påverka på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av spårbarhet innebär allvarlig/katastrofal negativ betydande negativ måttlig negativ försumbar negativ på egen eller annan organisation och dess tillgångar, eller på enskild individ. 1 Se bilaga A, Legala Krav 2 Version 1, , Publ-nr MSB:

4 Klassningsresultat Det som klassificeras är informationsmängden och inte informationssystemet. Ett tydligt exempel på detta är att det i ett journalsystem finns flera olika informationsmängder, t.ex. diagnos, insatser och personuppgifter. Det är alltså informationsmängden diagnos som klassificeras, och inte journalsystemet. I vår verksamhet har vi identifierat de i tabellen redovisade informationsmängderna och klassificerat dessa utifrån aspekterna Sekretess (konfidentialitet), Riktighet, Tillgänglighet och Spårbarhet. Uppdatera tabellen nedan med era informationsmängder och klassningsresultat. Tabellen nedan är endast exempel. Ni kan också välja att skapa flera tabeller, en för varje system som berörs av mobilitet. Tabellen nedan är systemoberoende.. Ta därefter bort denna kommentarsruta Säkerhetsaspekt Informationsmängd Sekretess Riktighet Tillgängligh et Spårbarhet Diagnos Hjälpmedelsförskrivning (att man kan göra själva beställningen) Personnummer/Namn - brukarens Vårdplan epost Läkemedelslista Brukarens insatser Epikris Uppmärksamhetssignal/ Observandum (Intern information, Intranät och filsystem) rutin som lagras på filsystemet eller publiceras på intranätet Journalanteckning Undersökningsresultat kalendern Personalschema Brukarens/patient adress

5 Skyddsåtgärd per informationsklass Nedanstående tabell ger förslag på generella informationssäkerhetsåtgärder per informationsklass. Säkerhetsaspekt Informationsklass Sekretess Riktighet Tillgänglighet Spårbarhet 4 din kommuns 3 din kommuns 2 din kommuns 1 din kommuns 3. Risk- och sårbarhetsanalys, RSA När informationen har klassificerats behöver en risk- och sårbarhetsanalys göras där man undersöker vilka risker som kan uppstå vid hantering av informationen. Riskanalysen görs för att bedöma risken för att ett möjligt hot inträffar. Risken värderas genom att ett riskvärde (RV) räknas fram, som består av sannolikhetens (S) gånger konsekvensen (K) enligt följande formel: S x K = RV Skala för sannolikhet och konsekvens Inför varje enskild analys är det viktigt att man tillsammans kommer överens om vilka skalor som ska gälla. Orden katastrof och ofta är relativa begrepp, som beroende på sitt sammanhang har olika innebörd. Vi har kommit överens om följande skalor i vårt arbete med riskanalysen, se tabellerna nedan. Konsekvens Värde Innebörd Katastrofal 4 t.ex. dödsfall, bestående el. mkt allvarlig personskada el. motsv. Allvarlig 3 t.ex. föreligger risk för personskada eller motsvarande Måttlig 2 t.ex. onödigt lidande Försumbar 1 t.ex. att händelsen inte har någon påverkbar betydelse Sannolikhet Värde Innebörd Ofta 4 t.ex. kan inträffa varje vecka Regelbundet 3 t.ex. kan inträffa varje månad Sällan 2 t.ex. kan inträffa någon gång per år Mycket sällan 1 t.ex. kan inträffa någon gång var tredje år

6 Riskanalys utifrån Scenario De flesta scenarier är utformade som en konsekvens av MSB vägledning för mobilitet 3. Denna vägledning har dessförinnan granskats av vår verksamhet och vår slutsats är att de krav som återfinns i vägledningen generellt sätt är relevanta och kan utgöra en form av börvärde. Resultatet av riskanalysen framgår i tabell i kap Nödvändiga åtgärder Utifrån de uppgifter som framkommit i analysen har vi identifierat förslag på nödvändiga åtgärder. Vi ger även förslag på den funktionen som bör få ansvaret för att genomföra åtgärden. Resultatet av åtgärdsförslagen framgår i tabellen i kap 3.4 nedan Resultat riskanalys och åtgärder De flesta scenarier är utformade som en konsekvens av MSB vägledning för mobilitet 4. Denna vägledning har dessförinnan granskats av vår verksamhet och vår slutsats är att de krav som återfinns i vägledningen generellt sätt är relevanta och kan utgöra en form av börvärde. Rensa och uppdatera grafen nedan med resultaten från riskanalysen nedan. Kommentera de allvarligaste scenarierna i texten bredvid grafen. Ta bort denna ruta. I grafen nedan kan man visuellt utläsa att det finns elva tänkbara scenarier som anses särskilt allvarliga med höga värden för både sannolikhet och konsekvens. Dessa scenarier består i huvudsak av: 1- täckning 5- stöld 7- uppdatering 11- funktionalitet 13, 23, - arbetsmiljö 18- förvaltning 21- användarvänlighet 24- hårdvarufel 25- bilkörning 29, 32- loggning Sannolikhet 4 1, 11, 18, 21, 23, 32, 3 2, 4, 22, 33, 5, , 26, 28, 31, , 30, 7, , 9, 16, 19, 13, 3, 12, 27, Ovanstående elva scenarier bör prioriteras vid planering av åtgärder Konsekvens I tabell för riskanalysen nedan finns samtliga scenarier identifierade med förslag på åtgärd och ansvarig. 3 Vägledning för mobila enheter, 4 Vägledning för mobila enheter,

7 7 Uppdatera tabellen nedan med era informationsmängder och resultat. Tabellen nedan är endast exempel. Ta därefter bort denna kommentarsruta ID Scenario S K RV Åtgärd Ansvarig 1 Gemensam kravställning IT-chef kan HSL-dokumentationen i om bättre mobil samordna journalen är inte täckning. Ta fram med övriga tillgänglig pga. dålig underlag och statistik, IT-chefer i täckning 2 Diagnos, utskrivningsplanering, vårdplan i Cosmic Link är inte tillgängligt pga. användarfel eller felaktigt handhavande 3 Patienter/brukare förväxlas pga. dåligt gränssnitt i den mobila enheten 4 Mobilt arbetssätt ger inte önskad effekt pga. fördyrande omständigheter. T.ex. dyra enheter, höga kommunikationskostnader och kostnader för IT-stödet. 5 Mobila enheter stjäls och att känslig information som är lagrad på enheten sprids pga. att enheten förvaras olåst och den är felaktigt konfigurerad 6 Känsliga samtal spelas in utan medgivande pga. att någon medvetet startat inspelningsfunktionen. 7 Den mobila enheten inte är korrekt uppdaterad pga. att det är inte är bestämt vem som har ansvaret att uppdatera enheten. 8 Stulna enheter har åtkomst till nätverket pga. att dessa inte anmälts försvunna och därmed inte spärrats använd täckningskollen Genomför utbildning, uppdatera riktlinjerna, se till att dessa kommuniceras ut, och att de är begripliga Låg sannolikhet, åtgärd bedöms ej nödvändig. Dock viktigt med tydliga gränssnitt. Utbildning, kontinuerlig samverkan med IT Utbildning, användare måste hantera enheten enl. rutin, konfiguration Kryptering, lösenord = IT-rutiner. Rutin för uppdatering, metoder/lathundar. Kunskapsrelaterat länet Ansvarig utbildning är v-chef, Ansvarig riktlinjer är ledningen Användarkrav vid utveckling, upphandling chef, projektansvarig Närmsta chef IT-chef IT-chefen Närmsta chef

8 8 ID Scenario S K RV Åtgärd Ansvarig 9 Jobbrelaterade adresser, Kunskapsrelaterat Närmsta chef telefonnummer sprids till obehöriga pga. att enheten har använts i sammanhang som inte är jobbrelaterade Kalendern, epost och lagring röjs pga. synkronisering inte sker med hjälp av VPN (kryptering). 11 HSL-dokumentationen i Journalen inte är tillgänglig pga. att den mobila enheten inte Kartläggning sopbil ställ krav på bättre täckning! Byt enheten kolla att Kommunledning har en roll som sköter att fungerar korrekt. den verkligen är trasig byta enh Utbildning. (BRA att det finns en specifik person/roll 12 Dokumentation i journalsystemet riskerar att hamna i molnet pga. att nedladdade appar med rättigheter i andra program exporterar uppgifterna utan användarens medvetenhet. 13 Patienter, brukare eller information förväxlas pga. stressande mobil arbetsmiljö. 14 Den mobila enheten läcker känslig information pga. dåligt lösenordsskydd, avsaknad av stark autentisering Tydligare riktlinjer (socialnämnd) för att ladda ner appar mm, rutiner (tjänsteman gk) Inköp MDM-verktyg. Joga, taktil massage Påminn om lagen! Handsfree Inför stark autentisering för detta) Socialnämnden Tjänsteman IT-enh. Socialanämnden Enhetschef chef ansv. för krav IT chef för verkställande

9 9 ID Scenario S K RV Åtgärd Ansvarig 15 Mobila enheter stjäls och känslig information sprids till anslutna pga. enheten försvaras olåst. 16 Enheten får skadlig kod pga. relevant skydd saknas. 17 Skadlig kod överförs från den mobila enheten till det fasta nätverket när information överförs eller synkroniseras 18 Regelverket för mobila enheter är svårtolkat och inaktuellt pga. uppföljning och revidering inte sker med fastställda perioder. 19 Avlyssning pga. enheten är ansluten till ett öppet trådlöst nät. 20 Man inte använder den mobila enheten pga. att det går för lång tid mellan synkronisering eller anslutning till nätverket 21 Man inte använder den mobila enheten pga. för krånglig inloggning och dålig användarvänlighet/ utbildning 22 Man tappar plattan i golvet pga. dåligt fodral. 23 Man inte kan läsa på skärmen pga. solljus eller dålig kvalité på skärmen Tydligare rutiner (t.ex. låsbara utrymme, avvikelse på att det inte följs), handhavande, egenansvar. Vanligt att projekt genomförs men vem följer upp att rutiner följs senare efter projekttiden? Befogenheter att genomföra åtgärder då rutiner inte följs? Kontinuerlig grupp med IT-verksamhet regelbundna träffar. Saknas generellt på alla scenario riktlinjer och rutiner Bra med träffar! Tänk på vid upphandling! chef Närmsta chef Saknas roll /funktion? PuL-ansv? Informationssäkerhetsperson? IT-strateg saknas för att tänka framåt

10 10 ID Scenario S K RV Åtgärd Ansvarig 24 Användaren är utan enhet - datorn går sönder, lång tid att få en ny pga. att lager saknas. 25 Man kör i diket, olycka, pga. använder enheten samtidigt att man kör Diagnos, utskrivningsplanering, vårdplan i Cosmic Link inte är tillgängligt pga. tekniskt fel på enheten, nätverksfel eller systemfel. 27 Journalinformation förväxlas pga. dåligt gränssnitt. 28 Sekretessen bryts pga. avlyssning för att kommunikation skett okrypterat. 29 Uppföljning av händelse kan inte genomföras pga. loggranskningsrutin inte omfattar mobilitet. 30 Ny användare kommer åt gammal information pga. rensningen vid ominstallationen inte fungerade korrekt. 31 Enheten blir kapad, dvs. förlorar kontrollen över enheten pga. användaren öppnar okänd mms, sms, länk. 32 Det inte går att följa upp vem som gjort vad på enheten och i enhetens appar/program pga. loggranskningsrutinen inte omfattar mobila enheter. 33 Användaren manipulerat grundinställningarna pga. hen vill ha mer funktionalitet Påtala behov av uppdatering eller åtgärd. Att det ska finnas tekniskt skydd, virusskydd, MDMverktyg. Uppgradera regelverk för loggrutiner, sprida info gm utbildning. Att det ska finnas tekniskt skydd, virusskydd, MDMverktyg. Uppgradera regelverk för loggrutiner, sprida info gm utbildning. Skapa rutin, MDM verktyg. IT-enh. lokalt Landstinget Cosmic link IT-chefen chef IT-chefen chef chef och IT-chef

11 11 ID Scenario S K RV Åtgärd Ansvarig 34 Användaren inte byter lösenord till de tjänster man normalt är ansluten till om enheten Rutiner måste förtydligats och kända av alla, öka utbildning, kunskap om att ta rutiner chef (HSL- SOL) / Förvaltningschef försvinner eller på allvar! kontouppgifter röjs pga. användaren inte har kunskap, insikt och verktygen att spärra