Frågor och svar. Frågor kring åtkomstlösning

Transkript

1 Frågor och svar Frågor kring åtkomstlösning Vad innebär åtkomstlösningen för mig som aktör? o Åtkomstlösningen innebär två saker: Du behöver göra tekniska anpassningar i dina system Du behöver bli medlem i federationen Sambi. Vad innebär ett medlemskap i federationen Sambi? o Som medlem i Sambi ska du uppfylla ett antal krav på säkerhet. Det gäller främstpå hanteringen av elektroniska identiteter och behörigheter. Tanken med Sambi är att säkerhetsnivåerna ska höjas inom hälsa, vård och omsorg. Bland annat ska Sambi bidra till att skyddet för den personliga integriteten hamnar i linje med svensk och europeisk lagstiftning. Behöver jag som apoteksaktör vara e-identitesutfärdare? o Nej, så länge utfärdandet sker i enlighet med Sambis krav kan du antingen utfärda egna e-identiteter eller använda underleverantörer. Vilka e-identitetslösningar finns det att tillgå för mig som apoteksaktör? o AB Svenska Pass är en godkänd e-identitetslösning. Ytterligare leverantörer har sina lösningar inne för granskning (juni 2017). E-legitimationsnämnden granskar och godkänner identitetsutfärdare. Kan jag som vård- eller apoteksaktör vara både en användarorganisation och IdP (identity provider)? o Ja, det är möjligt Vilka av mina tjänster behöver genomgå tillitsgranskning av Sambi? o De tjänster som ehälsomyndigheten kräver ska vara med i Sambis metadata. Vilka avtal behöver jag som aktör ingå i inom ramen för detta arbete? o Alla aktörer behöver ha ett giltigt avtal med ehälsomyndigheten samt teckna ett anslutningsavtal med Sambi i samband med tecknande av medlemskap. Dokumentnamn: Frågor och svar om säker åtkomst 1/6

2 Vilka anpassningar krävs av apoteks- och vårdaktörernas egna system? o Vilka IdP:er finns det idag? o I dagsläget finns två godkända utfärdare av e-identiteter, Svenska pass AB och Huddinge kommun. Fler aktörer är på väg att godkännas som utfärdare. Beskrivning av ombudsförfarande SAMBI-godkända ombud", vad är det? Vad är det tänkt att lösa? Vad löser det inte? o Syftet med ett Sambi-ombud är att förenkla förfarandet för den användarorganisation som ska ansöka om anslutning till Sambi. Ombudet kan själv eller tillsammans med underleverantörer tillhandahålla en färdig paketlösning för Användarorganisationens identitetshantering. Sambiombudet ska bistå Användarorganisationen med hjälp för att säkerställa att Användarorganisationen lever upp till kraven i Sambis Tillitsramverk. Detta omfattar lösningar och tjänster för uppföljning av informationssäkerhet, eid, attributkatalog, identitetsintygsutgivning, incidenthantering, rapportering, övervakning samt medlemsansökning för Sambi. o Genom att anlita ett Sambiombud behöver en Användarorganisation inte själv organisera och anskaffa tjänster och lösningar från flera olika parter. Sambiombudet ska tillse att de tjänster som erbjuds Användarorganisationer är godkända av Sambis tillitsgranskningstjänst. Dessa kan sedan Användaorganisationen referera till i sin egen tillitsdeklaration. Hur ser processen ut för att få till ombudsavtalet? o Den som vill bli ett Sambiombud måste teckna ett avtal med federationsoperatören. Innan avtalet tecknas ska det blivande Sambiombudet ha granskats av Sambis Tillitsgranskningstjänst med godkänt resultat och godkänts av Sambis styrgrupp. Sambiombudet granskas årligen av Sambis Tillitsgranskningstjänst. Hur långt har vi kommit? Hur ser tidplanen ut? Dokumentnamn: Frågor och svar om säker åtkomst 2/6

3 o Under hösten kommer ett praktiskt arbete starta för att få fram Sambiombud. Vilka ombud som finns (nuläget) o Det finns i nuläget inget godkänt ombud då avtalet ännu inte är klart. Så fort det är klart kommer denna text att uppdateras med godkända ombud. Kan alla aktörer använda ett ombud? o Tanken med Sambiombuden är i huvudsak att underlätta arbetet när väldigt små aktörer blir medlemmar i Sambifederationen. Frågor kring åtkomstlösning Vad är en e-legitimation o Begreppet e-legitimation (ibland även e-leg, eid) är en förkortning av elektronisk legitimation. E-legitimationen motsvarar en vanlig idhandling, t.ex. ett nationellt id-kort, och används t.ex. för att identifiera sig när man använder tjänster över Internet Beskrivning av e-legitimationsutfärdare, IdP o En e-legitimationsutfärdare, förkortat IdP, är helt enkelt en organisation som ger ut e-legitimationer Vilka e-legitimationsutfärdare finns idag? o I juni 2017 finns två stycken e-legitimationsutfärdare som har rätt att ge ut Svensk e-legitimation baserat på e-legitimationsnämndens krav Hur ser framtiden ut? o I juni 2017 har ett antal blivande e-legitimationsutfärdare sina e- legitimationslösningar inne hos e-legitimationsnämnden för godkännande Kan jag som aktör utfärda egna e-legitimationer? o Vem som helst som uppfyller e-legitimationsnämndens krav kan bli utfärdare av e-legitimationer Dokumentnamn: Frågor och svar om säker åtkomst 3/6

4 Exempelfall olika aktörer IT-säkerhetsansvarig på ett landsting Fråga: Jag arbetar som IT-säkerhetsansvarig på Landstinget XYZ. I vår verksamhet använder vi oss av journalsystemet Vårdsystemet och vi använder SITHS-kort. Jag har förstått att det systemet använder sig av ehälsomyndighetens e- recepttjänster. Behöver vi på landstinget göra något när det nu blir en ny säkerhetslösning hos er? I så fall, vad behöver vi göra? Är det bara leverantören av systemet som behöver ta något i beaktande? Ja Landstinget XYZ ska ansöka om medlemskap i Sambifederationen. Här kan du läsa mer om hur man blir medlem i Sambi. För att bli medlem i Sambi behöver ni gå igenom en så kallad tillitsgranskning. Är ni en liten organisation kan ni använda er av ett så kallat Sambiombud för att ta er igenom processen.. Som organisation ansvarar ni för att funktionerna e-legitimationsutfärdare, attribututgivare och identitetsintygsutgivare följer regelverket, antingen genom att ni själva eller en underleverantör tillhandahåller funktionerna. Resultatet av tillitsgranskningen kommer att visa på om ni på landstinget behöver vidta några ytterligare åtgärder. I grunden handlar det om mognadsgraden på er riskhantering och ert säkerhetsarbete. Nej, både ni på landstinget och systemleverantören behöver vidta åtgärder. Er systemleverantör behöver dock inte vara medlem i Sambi. Däremot måste de göra tekniska anpassningar av Vårdsystemet. Vad detta innebär kan du läsa mer om i avsnittet som beskriver systemleverantörens roll. Produktansvarig hos en vårdsystemleverantör Fråga: Jag arbetar som produktansvarig hos systemleverantören Vården framförallt AB. Vårt journalsystem Vårdsystemet används hos ett antal landsting. Det används också hos några privata vårdaktörer, då i en något nerskalad version. Vi kommer nu att behöva göra tekniska anpassningar för er nya säkerhetslösning. Vad innebär de tekniska anpassningarna, hur mycket arbete kan det röra sig om? Dokumentnamn: Frågor och svar om säker åtkomst 4/6

5 Var kan vi få hjälp med de tekniska anpassningarna när vi har frågor, vilken typ av hjälp kan vi få, och var kan vi läsa mer om vad som krävs? Sedan är det väl så att vi inte behöver vara med i Sambi, det är landstinget som använder Vårdsystemet som behöver vara det? För en systemleverantör innebär de tekniska anpassningarna två saker, dels att kommunikation ska ske över kanal med dubbelriktade certifikat (Mutual TLS) och dels att de attribut som tidigare fanns i biljetten flyttas ner till payloaden. Specifikationer över detta finns att tillgå i release notes för den externa uppgraderingen 17.1 som finns pubilcerade på ehälsomyndighetens externa kundyta. För att få tillgång till kundytan behöver du kontakta oss. Hur mycket arbete det rör sig om för att genomföra de tekniska anpassningara är svårt att svara på och beror till stor del på hur det specifika systemet är utformat. För att få hjälp med de tekniska anpassningarna rekomenderar vi först och främst att ni deltar i våra kostnadsfria utbildningar, specifikt kurs 3 som är en teknisk workshop. Kursen innehåller ett teknikpass om federationsteknink, integration och SAML och är till för dig som är utvecklare eller arkitekt. Det går också bra att kontakta oss för att få hjälp med att förstå de tekniska kraven. IT-säkerhetsansvarig på ett apotek Fråga: Jag arbetar som IT-säkerhetsansvarig på Apoteket ABC. I vår verksamhet använder vi oss av receptexpeditionssystemet E-receptet och vi utfärdar idag själva våra identitetskort. Jag har förstått att systemet använder sig av ehälsomyndighetens e- recepttjänster. Behöver vi på apoteket göra något när det nu blir en ny säkerhetslösning hos er och i så fall vad? Eller är det bara vår leverantör av systemet som behöver ta något i beaktande? Apoteket ABC ska ansöka om medlemskap i federationen Sambi och gå igenom en så kallad tillitsdeklaration. Här kan du läsa mer om hur man blir medlem i Sambi. Är ni en liten organisation kan ni använda er av ett så kallat Sambiombud för att ta sig igenom processen. Som organisation ansvarar ni för att de tre funktionerna e- legitimationsutfärdare, attribututgivare och identitetsintygsutgivare följer Dokumentnamn: Frågor och svar om säker åtkomst 5/6

6 regelverket, antingen genom att ni själva eller en underleverantör tillhandahåller detta. Resultatet av tillitsdeklarationen kommer att visa på om Apoteket ABC behöver vidta några ytterligare åtgärder. I grunden handlar det om mognadsgraden på er riskhantering och ert säkerhetsarbete. Här kan du läsa mer om hur en tillitsdeklaration går till. Er systemleverantör behöver inte vara medlem i Sambi men måste däremot göra tekniska anpassningar av receptexpeditionssystemet E-receptet. Vad detta innebär kan ni läsa mer om i avsnittet som beskriver systemleverantörens roll. Produktansvarig hos en apotekssystemleverantör Fråga: Jag arbetar som produktansvarig hos systemleverantören Apoteket framförallt AB. Vårt receptexpeditionssystem E-receptet används hos ett antal apotek. Vi kommer nu att behöva göra tekniska anpassningar för er nya säkerhetslösning. Vad innebär de tekniska anpassningarna, hur mycket arbete kan det röra sig om? Var kan vi få hjälp med de tekniska anpassningarna när vi har frågor, vilken typ av hjälp kan vi få, och var kan vi läsa mer om vad som krävs? Sedan är det väl så att vi inte behöver vara med i Sambi, det är apoteket som använder systemet E-receptet som behöver vara det? För en systemleverantör innebär de tekniska anpassningarna två saker, dels att kommunikation ska ske över kanal med dubbelriktade certifikat (dvs. Mutual TLS) och dels att de attribut som tidigare fanns i biljetten flyttas ner till payloaden. Specifikationer över detta finns att tillgå i release notes för den externa uppgraderingen 17.1 som finns publicerade på ehälsomyndighetens externa kundyta. För att få tillgång till kundytan behöver du kontakta oss. Hur mycket arbete det rör sig om för att genomföra de tekniska anpassningara är svårt att svara på eftersom det till stor del beror på hur det specifika systemet är utformat. För att få hjälp med de tekniska anpassningar rekomenderar vi först och främst att ni deltar i våra kostnadsfria utbildningar, specifikt kurs 3 som är en teknisk workshop. Kursen innehåller ett teknikpass om federationsteknik, integration och SAML och är till för dig som är utvecklare eller arkitekt. Det går också bra att kontakta oss för att få hjälp med att förstå de tekniska kraven. Som systemleverantör behöver ni inte vara medlem i Sambi. Dokumentnamn: Frågor och svar om säker åtkomst 6/6