Samordnad identitetshantering i Norrköpings kommun

Transkript

1 OK! Förstudie kring Samordnad identitetshantering i Norrköpings kommun

2

3 Förstudie kring samordnad identitetshantering i Norrköpings kommun Secure State

4 Secure State AB är ett oberoende konsultbolag som har som affärsidé att hjälpa beslutsfattare att hantera informationssäkerhetsfrågor på ett strukturerat sätt. Företaget har lång erfarenhet av att arbeta med informationssäkerhet inom organisationer med höga säkerhetskrav t.ex. inom försvarssektorn, bank- och finans samt hälso- och sjukvården. Arkitektkopia, Norrköping 2007, 2:a upplagan

5 Innehållsförteckning 1 Sammanfattning 6 2 Inledning Bakgrund Syfte och målsättning Metodik Intervjupersoner Referenser Avgränsningar Bilagor 8 3 Kravbild för Norrköpings kommun Krav på informationssäkerhet Krav på samverkan med andra organisationer Krav på samordning inom kommunen 10 4 Analys och rekommendationer Förbättring av informationssäkerheten Utökad extern samverkan Förbättrad intern samordning och multifunktionalitet Förslag på fortsatt arbete 14 5 Informationssäkerhet och identitetshantering Informationssäkerhet Informationsklassning Hot och risker Säker elektronisk identifiering Certifikat Public Key Infrastructure (PKI) 19 6 Nationell och regional samverkan Nationell IT-strategi för vård och omsorg Nationella aktörer Regionala aktörer 23 7 Norrköpings kommun Organisation Övergripande styrning av informationssäkerhet inom kommunen Nulägesbeskrivning av verksamheter Verksamhetsbehov och önskemål Strategisk inriktning 34 8 Referenser och hänvisningar Intervjupersoner Referenser 38

6 1 Sammanfattning Denna förstudie har genomförts på uppdrag av Norrköpings kommun. Syftet har varit att kartlägga förutsättningar och behov inom kommunens förvaltningsorganisation för att kunna samordna identitetshanteringen. Kommunens målsättning med denna samordning är höja informationssäkerheten vid inloggning i IT-system, samordna inpasseringslösningarna till förvaltningens lokaler samt visuellt kunna identifiera kommunens personal. Förstudien är baserad på intervjuer med representanter från olika delar av kommunens verksamheter, och på en genomgång av kommunens dokumentation relaterad till informationssäkerhet. Vissa intervjuer har också genomförts med representanter för några externa aktörer som är aktiva i förverkligandet av den nationella IT-strategin, såsom Sveriges Kommuner och Landsting, Sambruk, Carelink och Landstinget i Östergötland. Utifrån genomförda intervjuer har nuläge och verksamhetens krav på en samordnad identitetshantering identifierats. De olika verksamheternas krav och önskemål har sedan sammanställts i en övergripande kravbild för Norrköpings kommun. Kravbilden kan sammanfattas i tre huvudområden: Krav på informationssäkerhet Norrköpings kommun behöver höja säkerheten vid inloggning i IT-system med hjälp av ytterligare en faktor utöver lösenord (så kallad stark autentisering). Detta gäller i första hand system som hanterar sekretessbelagd eller på annat sätt känslig information. Kommunen har även behov av att utbilda personalen i informationssäkerhet och att utveckla den centrala styrningen av informationssäkerhetsarbetet så att alla verksamheter har ett väl avvägt skydd i förhållande till varje verksamhets krav. Krav på extern samverkan Norrköpings kommun har ett omfattande behov av informationsutbyte med externa organisationer, t.ex. samordnad vårdplanering med Landstinget i Östergötland enligt inriktningen i den nationella IT-strategin. Krav på intern samordning Norrköpings kommun har behov av att minska den administrativa komplexiteten inom de tre områdena inloggning i IT-system, inpassering och visuell identifiering. Idag finns ingen samordning mellan dessa områden vilket medför att kommunens personal får använda en mängd lösenord, nycklar, kort och koder i den dagliga verksamheten. Stora resurser läggs också ner på att administrera dessa lösningar utan att verksamhetsnytta tillförs. Förstudien ger utifrån ovanstående tre övergripande krav förslag och rekommendationer på hur kommunen kan arbeta vidare för att möta den identifierade kravbilden. Förstudien identifierar den befintliga nationella säkerhetsinfrastrukturen SITHS (Säker IT inom Hälso- och Sjukvården), som den enda lösning som möter kommunens hela kravbild. SITHS bygger på identitetshatering med smarta kort och tjänstecertifikat och används bland annat inom landstingen. Rekommendationen är därför att Norrköpings kommun på kort sikt bör fortsätta och utöka påbörjade projekt inom Vård- och omsorgskontoret och ITenheten så att kommunen kan ansluta till SITHS och långsiktigt utnyttja denna säkerhetslösning för hela kommunens förvaltning. Genom SITHS-anslutning skapas även förutsättningar för förbättrad intern samordning genom användning av ett multifunktionskort för visuell identifiering och inpassering. Utöver detta ger förstudien förslag på hur kompetensnivån hos kommunens personal kan höjas med avseende på informationssäkerhet. Förstudien ger vidare även förslag på hur den centrala styrningen av informationssäkerheten kan förbättras.

7 2 Inledning Denna förstudie genomfördes under perioden januari mars 2007 på uppdrag av Norrköpings kommuns säkerhetschef och IT-strateg. Förstudien innehåller en kartläggning av nuläge och framtida behov av en samordnad identitetslösning för Norrköpings kommun samt en analys av huruvida det nationella SITHS-arbetet utgör en lämplig utgångspunkt för en sådan identitetslösning. Förstudien innehåller även informativa avsnitt där viktiga begrepp, modeller och nationellt arbete inom identitetshantering presenteras. Förstudien utmynnar i förslag och rekommendationer för hur det fortsatta arbetet med en samordnad identitetslösning kan bedrivas 2.1 Bakgrund Norrköpings kommun har i dagsläget en mängd olika sätt för identifiering av personal vid inloggning i IT-system, inpassering och tillträde till lokaler. Det finns idag ingen samordnad infrastruktur för hantering av identiteter för personal vilket medför stora administrativa kostnader. Norrköpings kommun har behov av en identitetslösning som: IT-mässigt höjer säkerheten vid inloggning mot kommunens IT-system med en strävan mot single-sign-on (SSO), dvs. att en inloggning ger tillgång till flera system kan användas för tillträde och inpassering till lokaler på ett enhetligt sätt (idag används olika typer av tekniska lösningar och kort) visuellt identifierar kommunens personal (för legitimering av kommunens personal vid t.ex. utförande av tjänster till kommuninvånare). 2.2 Syfte och målsättning Syftet med denna förstudie är att kartlägga behovet av en enhetlig identitetslösning för Norrköpings kommun. Målsättningen för uppdraget har varit att ta fram ett beslutsunderlag för Norrköpings kommun med rekommendationer kring vilken identitetslösning som ska väljas och hur det fortsatta arbetet kan bedrivas. 2.3 Metodik Förstudien är baserad på en sammanställning och analys av befintlig dokumentation, både kommunens interna dokument och externa dokument från andra aktörer på området, samt intervjuer med dels uppdragsgivarna, dels företrädare för olika delar av kommunens förvaltningsorganisation, gjorda utifrån en intervjuguide. Resultaten från denna informationsinhämtning ligger till grund för förstudiens slutsatser och rekommendationer. 2.4 Intervjupersoner Intervjuer har genomförts främst med företrädare för Norrköpings kommuns förvaltning och företrädare för vissa nationella aktörer. Intervjuresultaten för kommunens företrädare finns sammanställda i 7.3. De personer som medverkat presenteras i kapitel 8.

8 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State 2.5 Referenser De dokument och det informationsmaterial som använts redovisas i kapitel Avgränsningar Förstudien är inriktad på kommunens förvaltningsorganisation. Den politiska organisationen omfattas inte av förstudien. Medborgarperspektivet, dvs. kommuninvånares användning eller nytta av en samordnad identitetshantering, berörs endast kortfattat. De verksamheter inom kommunen som omfattats av förstudien är följande: Vård- och omsorgskontoret Utbildningskontoret Kultur och fritidskontoret Tekniska kontoret Brandförsvaret Lokalförsörjningskontoret (LFE) GIS-enheten IT-enheten Förstudien innehåller endast en kortfattad beskrivning av tekniska lösningar för identitetshantering. 2.7 Bilagor Ett utkast på projektplan för fortsatt arbete redovisas i bilaga 1. En detaljerad beskrivning av SITHS PKI-lösning redovisas i bilaga 2.

9 3 Kravbild för Norrköpings kommun Norrköpings kommun har ett tydligt behov av att förändra identitetshanteringen för personalen. Genomförda intervjuer har visat att liknande problem och brister återkommer inom flera olika verksamheter med olika inriktning. En sammanställning av intervjuerna och identifierade behov återfinns i kapitel 7. Verksamhetens kravbild kring identitetshantering kan delas in i tre huvudsakliga kravområden; informationssäkerhet, extern samverkan med andra organisationer samt intern samordning inom kommunen. Förklaringar till termer och begrepp som används i detta kapitel återfinns i kapitel 5 och Krav på informationssäkerhet Inloggning i IT-system Idag är det bara ett system inom kommunen som utnyttjar stark autentisering. Övriga system använder endast lösenord. Kortsiktigt behöver alla system som hanterar sekretessbelagd information och andra skyddsvärda system, t.ex. fakturaattesteringen, övergå till starka autentiseringslösningar med hänvisning bland annat till Datainspektionens tydliga krav på detta område. Långsiktigt finns ett behov av att låta alla fleranvändarsystem övergå till stark autentisering för att möjliggöra upprätthållandet av god informationssäkerhet. Den stora mängden lösenord, där vissa användare kan behöva upp till tio olika inloggningar, upplevs som krångligt i ett användarperspektiv. Intervjuerna har visat att det är vanligt förkommande att användarna sparar lösenord på lappar i anslutning till datorerna, har samma lösenord i olika applikationer eller till och med delar inloggningsuppgifter med varandra. Nästan alla medverkande intervjupersoner har uttryckt önskemål kring en förenkling av lösenordshanteringen. Ett införande av stark autentisering skulle, utöver den förbättrade säkerheten, skapa förutsättningar för kommunen att långsiktigt helt eller delvis övergå till engångsinloggning (SSO) med hänsyn till användarvänligheten Kunskapsnivån hos användarna Flera intervjupersoner har beskrivit kunskapsnivån beträffande informationssäkerhet bland personalen som skiftande. Eftersom ett väl utvecklat informationssäkerhetsmedvetande hos användarna kanske utgör den viktigaste faktorn för ett fungerade informationssäkerhetsarbete, har Norrköpings kommun ett behov av att generellt höja kompetensen hos personalen på detta område. Utbildningsinsatser har nyligen genomförts men behöver upprepas bland annat för att dessa utbildningstillfällen inte varit obligatoriska Central styrning På den övergripande nivån har flera arbeten påbörjats för att förbättra den övergripande styrningen och uppföljningen av informationssäkerheten inom kommunen. Den pågående revideringen av de styrande dokumenten för informationssäkerhet och den nybildade Informationssäkerhetsgruppen utgör bra exempel. Behovet av att fortsätta arbeta med dessa initiativ och samtidigt involvera fler delar av verksamheten i informationssäkerhetsarbetet framstår tydligt. Aktiv medverkan och delaktighet från verksamheten är en mycket viktigt för att uppnå god informationssäkerhet Inpassering i lokaler Inpassering till kommunens lokaler sker vid många verksamhetsställen utan spårbarhet. Eftersom många informationssäkerhetsåtgärder är verkningslösa om man inte har kontroll över den fysiska mil-

10 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State jön finns ett behov av att på dessa platser förbättra inpasseringslösningarna och personalens rutiner. I första hand gäller det lokaler där sekretessbelagd information hanteras och lokaler där incidenter med hotfulla besökare förekommit Visuell identifiering Personalen inom vissa verksamheter har behov av att identifiera sig visuellt vid kontakter med både kommuninvånare och internt inom kommunen. Identifieringsbehovet kräver inte SIS-godkända identitetskort för de flesta verksamheter, även om vissa verksamheter (IT-enheten och Brandförsvaret) redan har sådana. Flera verksamheter har dock framhållit att SIS-godkända identitetskort är önskvärda med hänvisning till att tilliten till korten då ökar. 3.2 Krav på samverkan med andra organisationer Behovet av samverkan över organisationsgränser är mycket tydligt för Norrköpings kommun. Detta gäller framför allt Landstinget i Östergötland men även andra aktörer på både regional och nationell nivå, t.ex. Försäkringskassan och andra kommuner. Riksdagens och regeringens tydliga inriktning på ökad samordning över organisationsgränser i den nationella IT-strategin medför att en stor mängd nationella projekt på detta område kommer att ta fart de närmaste åren. I första hand gäller detta vårdoch omsorgssektorn där flera konkreta lösningar redan finns i drift. Men behoven av samverkan över organisationsgränser sträcker sig över i stort sett hela den kommunala verksamheten. Norrköpings kommun har redan aktivt bidragit i flera samverkansprojekt. Meddix, KOMPÖS och projekten inom Sambruk är goda exempel på hur samverkan över organisationsgränser kan fungera och skapa långsiktig nytta både i ett verksamhets- och ett medborgarperspektiv. Det nystartade regionkatalogprojektet är ytterligare ett exempel på behovet och nyttan av ökad samverkan mellan organisationer Landstinget Landstinget i Östergötland är ett av de landsting som kommit längst när det gäller förverkligande av den nationella IT- strategin. LiÖ har bl.a. anslutit sig till SITHS och HSA, och flera andra projekt pågår kring de andra insatsområdena. Norrköpings kommun har därför stora möjligheter att dra nytta av arbete som redan genomförts inom landstinget Andra organisationer Nödvändigheten av utökad samverkan med andra organisationer utöver LiÖ framgår t.ex. genom Vård- och omsorgskontorets informationsutbyte med Försäkringskassan där handläggarna idag tvingas använda personliga e-legitimationer för att hämta uppgifter från Försäkringskassan. 3.3 Krav på samordning inom kommunen Norrköpings kommun behöver minska den administrativa komplexiteten inom de tre områdena inloggning i IT-system, inpassering och visuell identifiering. Idag finns ingen samordning mellan dessa Figur: Nödvändigheten av ökad samverkan mellan organisationer är uppenbar, bl.a. mellan landsting och kommun. 10

11 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun områden vilket medför att kommunens personal måste använda en mängd lösenord, nycklar, kort och koder i den dagliga verksamheten. Stora resurser läggs också ner på att administrera lösenord, dela ut nycklar, inpasseringskort och koder utan att verksamhetsnytta tillförs Verksamhetssamordning och multifunktionalitet Den bristande samordningen av identiteter för inloggning i IT-system medför en omfattande administration av både identiteter och tillhörande behörigheter/lösenord. Även när det gäller inpassering finns ett behov av samordning. Idag styr respektive verksamhet själva över val av inpasseringssystem och drift/underhåll av dessa. Detta innebär att floran av inpasseringslösningar är omfattande. Flera lösningar bedöms ha låg säkerhet med bristande eller obefintlig spårbarhet. De för samtidigt med sig omfattande administration och stora underhållskostnader, t.ex. vid låsbyten när nycklar försvunnit. Man riskerar också att fastna i leverantörsberoenden då systemen som ska underhållas och förvaltas är ålderdomliga. Behovet av centrala riktlinjer med metoder och processer för att identifiera olika verksamheters skyddsbehov, som nämns i avsnitt 3.1.3, blir därför också viktiga i ett kostnadsperspektiv. Visuell identifiering av kommunens personal är nödvändig i många av kommunens verksamheter, både internt inom kommunen och externt vid kontakter med kommuninvånare och företag. Idag utformas kommunens identitetskort på olika sätt inom de olika verksamheterna utan central samordning. Norrköpings kommun behöver därför samordna utformning och anskaffning av dessa kort. Behoven på områdena inloggning i IT-system, inpassering och visuell identifiering behöver alla tillgodoses i en multifunktionell lösning så att den administrativa komplexiteten minskar. En sådan multifunktionslösning skulle också vara positiv ur ett användarperspektiv Användarvänlighet Intervjuerna har visat att många användare upplever de många inloggningsförfarandena och lösenordshanteringen betungande. Ur ett användarperspektiv finns det därför behov av att införa engångsinloggning mot IT-system. Både den omfattande lösenordsadministrationen och komplexiteten i inpasseringslösningarna inom kommunen har tagits upp av flera intervjupersoner, och det finns en utbredd frustration kring detta hos personalen. Särskilt gäller detta personal som använder många IT-system eller flera olika kort, koder och nycklar för att ta sig in i sin enhets olika lokaler. 11

12 4 Analys och rekommendationer Detta kapitel innehåller en analys av kravbilden utifrån intervjuresultat och identifierade behov, och ger rekommendationer kring hur Norrköpings kommun bör arbeta vidare för att möta denna kravbild. 4.1 Förbättring av informationssäkerheten Behovet av stark autentisering är tydligt både med avseende på informationssäkerhet och omvärldskrav från styrande myndigheter vid hantering av känslig information. Kommunen har tre alternativa lösningar för detta som är likvärdiga i ett säkerhetsperspektiv där man uppnår kraven på säker identifiering, oavvislighet, spårbarhet och insynsskydd, se avsnitt Det är dock bara lösningen med hårda certifikat lagrade på smarta kort som uppfyller både informationssäkerhetskraven och kravet på multifunktionalitet. De andra lösningarna kräver extra ID-kort, inpasseringskort, taggar eller liknande för personalen. För att förbättra informationssäkerheten bör Norrköpings kommun därför välja en identifieringslösning för inloggning i IT- system som bygger på smarta kort med certifikat. Smarta kort kan även utformas som visuella identitetskort. Huruvida kortytan på ett sådant kort ska vara SIS-godkänt eller inte bör utredas vidare tillsammans med de olika verksamheterna. Om det smarta kortet dessutom förses med funktioner för säker inpassering bidrar detta till förbättrad informationssäkerhet samtidigt som man skapar förutsättningar för samordning av identitets- och inpasseringslösningar inom kommunen. När det gäller användarkompetensen bör Norrköpings kommun ta fram ett utbildningspaket om informationssäkerhet som kan användas både vid nyanställning och som utbildningsunderlag anpassat för de olika verksamheternas behov. Det bör vara obligatoriskt för all personal inom kommunen att genomgå en informationssäkerhetsutbildning. Det arbete som redan inletts med att förbättra den centrala styrningen av informationssäkerheten bör fortsätta. Det är viktigt att få med alla delar av verksamheten i detta arbete då olika verksamheter har olika behov och förutsättningar. Genom att skapa ramverk och processer för informationsklassning och bedömning av olika verksamheters skyddsbehov kan man inom kommunen skapa styrmedel för strukturerad informationssäkerhet utifrån verksamhetens behov. Sådana ramverk och processer kan med fördel utgå ifrån Krisberedskapsmyndighetens riktlinjer och verktyg. Ett sådant ramverk skulle troligtvis även förenkla förhållandet mellan verksamheterna som beställare och IT-enheten som serviceorganisation. 4.2 Utökad extern samverkan I ett samverkansperspektiv behöver Norrköpings kommun en identitetslösning som möjliggör informationsutbyte över organisationsgränser, framförallt med landstinget. Att använda personliga e-legitimationer i detta syfte är inte lämpligt med tanke på de anställdas personliga integritet. De alternativ som återstår är då identitetslösningar baserade på de anställdas tjänsteidentitet. Att utveckla en egen intern säkerhetsinfrastruktur för detta utgör dock inget alternativ eftersom kommunens behov av extern samverkan då inte kan uppfyllas. Landstinget i Östergötland har nyligen gemensamt med de andra landstingen beslutat att senast i december 2008 införa SITHS och HSA som grundläggande nationell infrastruktur för samverkan över organisationsgränser. Kommunerna i landet har ännu inte gjort motsvarande vägval, men ur ett 12

13 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun samhällsekonomiskt perspektiv är det inte kostnadseffektivt att kommunerna utvecklar en separat lösning för nationell samverkan, som i sin tur måste integreras med landstingens. Troligtvis skulle en kommunal motsvarighet till SITHS få byggas upp på i stort sett samma sätt, med onödigt dubbelarbete och integrationskostnader som följd. SITHS utvecklades ursprungligen för vård- och omsorgsverksamhet men det finns goda förutsättningar även för kommunernas övriga verksamheter att använda denna redan befintliga nationella infrastruktur. Flera pilotprojekt, motsvarande KOMPÖS, pågår i olika delar av landet där kommuner testar samverkan med landstingen med hjälp av SITHS. Dessa projekt visar att SITHS är en framkomlig väg i förverkligandet av den nationella IT-strategin. Norrköping bör därför fortsätta att utveckla och utöka KOMPÖS-projektet och samtidigt verka för att SITHS ska kunna användas i annan kommunal verksamhet. SITHS-lösningen skulle även uppfylla kraven på informationssäkerhet och intern samordning inom Norrköpings kommun. 4.3 Förbättrad intern samordning och multifunktionalitet Behovet av att samordna inloggningen mot IT-systemen inom kommunen kräver en centraliserad hantering av identiteter, tvåfaktorautentisering och tekniskt anpassade system för detta. Kommunens pågående metakatalogprojekt för centralisering av information om användarna på ett ställe, skapar förutsättningar för en effektivare och säkrare elektronisk identitets- och behörighetshantering. Det är viktigt att denna katalog innehåller korrekta och uppdaterade uppgifter om anställda så att informationen kan användas som underlag för säkerhetslösningar. Norrköpings kommun bör därför fortsätta det påbörjade arbetet med metakatalogen och säkerställa att verksamheten kan ha stor tillit till att informationsinnehållet är korrekt och uppdaterat. Pågående katalogprojekt bör också anpassas till HSA, t.ex. genom regionkatalogprojektet, om Norrköpings kommun vill utfärda tjänstecertifikat inom ramen för SITHS. Det finns förutsättningar för en utveckling av identitets- och behörighetshanteringen inom inpasseringsområdet så att ett kommungemensamt kort kan utgöra grund för flera inpasseringssystem. Detta skulle ge en bättre förhandlingsposition gentemot leverantörer vid exempelvis upphandling av inpasseringssystem. I det långa perspektivet skulle detta kort kunna användas i alla kommunens inpasseringssystem. Ett sådant kommunkort skulle också göra det möjligt att samordna utformning och anskaffning av de olika verksamheternas identitetskort 13

14 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State och dessutom utgöra ett multifunktionskort för hela Norrköpings kommun. 4.4 Förslag på fortsatt arbete Det kan konstateras att den kravbild som identifierats för Norrköpings kommun kan mötas med hjälp av den nationella SITHS-lösningen. Det finns ingen annan lösning som uppfyller kraven på extern samverkan utan att personalen tvingas använda personliga e-legitimationer. Användning av SITHS skulle möjliggöra: förbättrad informationssäkerhet genom tvåfaktorsautentisering effektivt informationsutbyte och samverkan med landstinget vid t.ex. samordnad vårdplanering förbättrad intern samordning genom användning av ett multifunktionskort för visuell identifiering och inpassering. Sammantaget gör detta SITHS till en mycket attraktiv lösning för Norrköpings kommun. Norrköpings kommun rekommenderas därför att på kort sikt arbeta för ett införande av SITHS PKI-infrastruktur för Vård- och omsorgskontorets verksamhet och på lång sikt arbeta för att hela kommunens verksamhet ska kunna använda SITHS. Förslag på lämpliga aktiviteter utifrån denna förstudies rekommendationer: Koordinera pågående katalogprojekt så att Norrköpings kommun kan anslutas till HSA. Ta fram en projektplan för Norrköpings kommuns arbete med införande av SITHS i olika faser, med pilotdrift för Vård och omsorg i första fasen. Utkast till denna projektplan redovisas i bilaga 1. Ta upp diskussioner med andra kommuner om användning av SITHS elektroniska tjänstelegitimationer även för andra kommunala tjänster. Ta fram utbildningspaket för informationssäkerhet inom Norrköpings kommun och utbilda personalen. Arbeta in riktlinjer och processer för central styrning av informationssäkerheten inom kommunen, inklusive stöd för klassificering av information och verksamheter samt riskanalyser. Utveckla ett ramverk för central styrning av inpasseringslösningar utifrån verksamhetens behov av olika säkerhetsnivåer, med riktlinjer och anvisningar kring utformning och anskaffning av sådana system. Ramverket bör utvecklas i samarbete med kommunens verksamheter och LFE. 14

15 5 Informationssäkerhet och identitetshantering 5.1 Informationssäkerhet Informationssäkerhet är den samlade effekten av åtgärder ämnade att minimera risker som riktar sig mot olika informationsmängders sekretess, tillgänglighet, riktighet och spårbarhet. Hantering av informationssäkerhet definieras i ett flertal olika modeller, metoder och standarder. Den internationella standarden ISO/IEC , Ledningssystem för informationssäkerhet 1, populärt benämnd LIS, utgör ett referensverk inom området. I Sverige har Krisberedskapsmyndigheten (KBM) tagit fram rekommendationer med stödjande verktyg och mallar i Basnivå för informationssäkerhet (BITS) som ligger i linje med LIS. Dessa rekommendationer är främst avsedda för samhällsviktiga system inom myndigheter, kommuner och landsting men kan användas för alla system med krav på informationssäkerhet. Avsikten med dessa ramverk är att ge stöd för att kunna arbeta strukturerat med informationssäkerhet genom att bl.a.: fastställa informationssäkerhetspolicy och riktlinjer för hur information ska hanteras inom organisationen fastställa organisation och ansvarsfördelning när det gäller informationssäkerhetsfrågor skapa ramverk och processer för att bedöma informationens värde (informationsklassning) definiera metoder och processer för uppföljning av informationssäkerheten. 5.2 Informationsklassning I kommunal verksamhet hanteras både offentlig och sekretessbelagd information. Där finns information som är kritisk beträffande både tillgänglighet och riktighet men även information som inte är kritisk beträffande tillgänglighet eller riktighet. Därför måste informationen analyseras och klassas så att den får ett väl avvägt skydd. Det finns olika tillvägagångssätt för att klassificera information, ofta utgår man från de konsekvenser som bristande sekretess, tillgänglighet, riktighet eller spårbarhet medför för verksamheten eller en individ. 5.3 Hot och risker I takt med att IT-stödet blir alltmer integrerat i kommunens verksamhet blir risker i IT-systemen till risker för verksamheten och/eller individen. Generellt brukar brister i organisation och ansvarsfördelning samt kunskapsbrist hos personalen bedömas medföra de största riskerna. Kunskapsbristen gäller ofta både IT-system och informationssäkerhet, vilket brukar bero på att användarna endast använder systemen i begränsad omfattning och att möjligheterna till utbildning är begränsade. Beroendet av några få nyckelpersoner för att IT-stödet ska fungera är också en vanlig företeelse. Flera rapporter visar dessutom att interna överträdelser av personer med behörighet i systemen, så kallade insiders, är mycket vanligare än externa intrång. En vanlig siffra som nämns är att 80 % av alla hot är relaterade till insiderproblematiken och 20 % är relaterade till externa hot. 1 Standarden kommer att döpas om till ISO/IEC under

16 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State Den öppna miljö som följer med ökad interaktion, både inom en organisation och mellan olika organisationer, ökar risken för att obehöriga ska kunna ta del av information eller att personal obehörigt överskrider sina rättigheter. 5.4 Säker elektronisk identifiering Säker elektronisk identifiering av användare i ITsystem är en fundamental förutsättning för att kunna åstadkomma god informationssäkerhet eftersom andra informationssäkerhetsrelaterade tjänster, såsom loggning och behörighetskontroll, blir meningslösa om inte användarens identitet säkert kan fastställas Identitets- och behörighetshantering Identitetshantering, identity management, används för att beskriva hur man hanterar elektroniska identiteter. Behörighetshantering, access management, definierar hur dessa identiteter ska användas för att ge åtkomst till olika resurser, t.ex. IT-system, applikationer eller lokaler. Figuren nedan visar skillnaden mellan identitetshantering och behörighetshantering där identitetshanteringen svarar på frågan vem användaren är och behörighetshanteringen svarar på frågan vad användaren har behörighet att göra. Identitetshantering är alltså ett samlat begrepp för att beskriva en användares hela livscykel inom en verksamhet, från det man anställs, via förändrade arbetsuppgifter, till anställningens avslutande. Behörighetshantering reglerar därmed de åtkomsträttigheter en användare har till resurser vid en viss tidpunkt Kataloger och metakataloger För att få en samlad bild av användaridentiteter kan man samla dessa i någon form av elektronisk katalog inom organisationen. Katalogen fungerar då som en slags identitetsdatabas där uppgifter om anställda och organisationens verksamheter och enheter lagras. För att skapa en helhetsbild av en specifik användare kan man använda sig av en metakatalog där uppgifter om användaren från flera olika system synkroniseras. Exemplet i figuren på nästa sida visar en metakatalog som lagrar information om användare på en central plats där andra system antingen föder metakatalogen med uppgifter, t.ex. personalsystemet där anställningsnummer skapas, eller använder information från metakatalogen, exempelvis ekonomisystemet som nyttjar anställningsnummer. Detta ger en lägre administrativ kostnad och effektivare rutiner för identitetshantering, vilket i sin tur kan medföra förenklad och säkrare behörighetsadministration Effektiv identitets- och behörighetshantering Ofta är IT-system inom en organisation uppbyggda utan samordning och det är mycket vanligt med flera databaser och katalogtjänster. I ett användarperspektiv medför detta att man får logga in med flera olika lösenord i olika applikationer. I ett administrativt perspektiv medför denna diversifiering en omfattande administration av både identiteter och tillhörande behörigheter och lösenord. Komplexiteten medför ofta också brist på övergripande kontroll och överskådlighet som i sin tur kan medföra bortglömda konton som aldrig tas bort. Användare Identifiering Vem? Behörighet Vad? Applikationer IT-system Genom att samla information om användaren på ett ställe, t.ex. i en metakatalog, skapas förutsättningar för en effektivare identitetshantering. Detta skapar även förutsättningar för att effektivisera behörighetshanteringen, t.ex. genom så kallad engångsinloggning (SSO). För att detta ska fungera krävs dock att varje behörighetssystem anpassas för att kunna kopplas till samma identitet. Figur: Identitets- och behörighetshantering. Inpassering Engångsinloggning påverkar dock informationssäkerheten eftersom en enda inloggning ger tillgång till all den information en användare har åtkomst till. 16

17 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun Personalsystem Förnamn Efternamn Titel Anställningsnummer Enhet Anställningsdatum Slutdatum Etc... Förnamn Efternamn Anställningsnummer Användarnamn E-postadress Etc... Active Directory ( katalog) Metakatalog Förnamn Efternamn Titel Anställningsnummer Enhet Anställningsdatum Slutdatum Användarnamn E-postadress Förnamn Efternamn Anställningsnummer Etc... Användarnamn E-postadress Etc... Ekonomisystem Applikation X Figur: Exempel på en metakatalog Därför ställs högre krav på att säkerställa en användares identitet med hjälp av stark autentisering Stark autentisering Behovet av att minska risken för obehörig åtkomst till information har ökat i takt med den tekniska utvecklingen. Tidigare räckte det med att användaren angav sitt användarnamn och lösenord för att verifiera sin behörighet. Genom att ställa krav på användaren att konstruera svåra lösenord 2 bedömdes detta som tillräckligt säkert. Eftersom användarvänligheten i att komma ihåg svåra lösenord är låg, särskilt om man ska komma ihåg flera olika lösenord till olika system, skapar användaren ofta svaga lösenord som är lätta att komma ihåg eller tillgriper andra osäkra metoder som att förvara kom ihåg-lappar under tangentbordet. Detta, i kombination med att det numera finns allmänt tillgängliga verktyg för att snabbt knäcka lösenord, innebär att endast lösenord för autentisering bedöms som osäkert. Användning av endast lösenord för inloggning medför även att tilliten till 2 Rekommenderad utformning för ett starkt lösenord är 8 15 tecken (ej ord i ordlista) med blandade stora och små bokstäver, siffror och specialtecken. spårbarhet i systemen blir lägre. Datainspektionen har gjort flera nedslag mot kommuner som endast nyttjar lösenord för åtkomst till känsliga personuppgifter [se ref 23]. För att förstärka autentiseringen brukar man kombinera lösenordet (något som användaren vet) med antingen någon typ av utrustning som användaren har (smart kort, koddosa eller annat engångslösenord) eller något annat som unikt verifierar vem användaren är (t.ex. fingeravtryck). Genom att kombinera två av ovanstående faktorer, så kallad tvåfaktorsautentisering, uppnår man betydligt högre säkerhet eftersom man måste komma över både lösenordet och det användaren har, eller är. I princip finns det tre möjliga varianter av lösningar för tvåfaktorautentisering: Engångslösenord som kan skapas med hjälp av koddosa, koder som skrapas fram eller skickas via SMS till en mobiltelefon. Certifikat antingen ett mjukt certifikat installerat på den dator användaren använder för att logga in eller ett hårt certifikat lagrat på något fysiskt media skilt från datorn. Certifikat och infrastrukturen för att hantera dessa beskrivs i nästa kapitel. 17

18 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State Biometri identifiering med hjälp av unik biologisk egenskap hos användaren (t.ex. fingeravtryck, irisavläsning eller röstigenkänning). Alla dessa lösningar har sina för- och nackdelar och val av lösning styrs av befintlig teknisk infrastruktur, verksamhetens behov och ekonomiska förutsättningar. 5.5 Certifikat Ett certifikat kan bestå av olika datamängder, men ett minimum är att det ska tala om vem certifikatsinnehavaren är, innehavarens publika nyckel, vem som utgivit certifikatet och hur länge det är giltigt. Dessutom bör certifikatet innehålla uppgifter om vilken policy för utgivning av certifikat som följts. Privata och publika nycklar beskrivs i avsnitt Mjuka och hårda certifikat Certifikat betecknas antingen som mjuka eller hårda beroende på den fysiska bäraren av de privata nycklarna. Ett hårt certifikat innebär att de privata nycklarna är lagrade på ett fysiskt medium skilt från övrig datorutrustning, t.ex. på smarta kort. De mjuka certifikatens privata nycklar är istället lagrade på en datafil som sedan kan lagras på hårddisken. Mjuka certifikat anses ha en lägre säkerhetsnivå än hårda certifikat eftersom den privata nyckeln kan kopieras. Certifikatsmängd E-legitimationer Certifikat som identifierar ägaren personligen, t.ex. med namn och personnummer, benämns personliga e-legitimationer. Dessa består vanligtvis av en certifikatsmängd bestående av dels ett identifieringscertifikat som används för autentisering, dels ett signeringscertifikat som används för signering. De båda certifikaten har olika nyckelpar vilket innebär att en användare har en certifikatsmängd (se figuren). Denna uppdelning medför att användaren använder olika certifikat vid signering och identifiering. Detta gör att det tydligt framgår för användaren när denne är i färd med att signera något som kan vara juridiskt bindande. Separation av dessa aktiviteter sker därmed på samma sätt i den fysiska världen t.ex. på ett postkontor där man först identifierar sig med sitt körkort, sedan undertecknar ett mottagningsbevis eller dylikt. Certifikat som identifierar ägaren i sin tjänsteutövning, t.ex. med anställningsnummer istället för personnummer, benämns elektronisk tjänstelegitimation eller tjänstecertifikat. Dessa certifikat gör det möjligt för anställda att använda en elektronisk tjänsteidentitet vid t.ex. signering av dokument. Elektroniska tjänstelegitimationer kan fungera som sekundärcertifikat baserade på t.ex. en personlig e-legitimation. Detta gör det möjligt för anställda att identifiera sig både i egenskap av privatperson och i egenskap av tjänsteutövare. En organisation kan alltså använda olika typer av e-legitimationer för sina anställda: 1. Personlig e-legitimation lagrad på kort Detta alternativ medför att den anställde identifierar sig och signerar dokument med sin personliga e-legitimation och sitt personnummer. Detta kan upplevas som integritetskränkande, t.ex. om identiteten används i tjänsteuppdrag där användaren inte vill att personnumret ska framgå. Identifieringscertifikat Signeringscertifikat Figur: Certifikatsmängd med identifieringscertifikat och signeringscertifkat. 2. Tjänstelegitimation lagrad som sekundärcertifikat på kort Detta alternativ medför att användaren både har en personlig e-legitimation, som kan användas för privata syften, och en tjänstelegitimation, som 18

19 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun Primärcertifikat Certifikatsmängd För att kunna utfärda och hantera certifikat krävs en teknisk och administrativ infrastruktur. Denna infrastruktur går under namnet PKI, Public Key Infrastructure. Har organisationen dessutom behov av att utbyta certifikat och kommunicera med andra organisationer krävs även en gemensam överenskommelse och tilltro till den organisation som hanterar certifikaten. Identifieringscertifikat Identifieringscertifikat Sekundärcertifikat Certifikatsmängd Signeringscertifikat Signeringscertifikat Figur: Certifikatsmängder med personlig e-legitimation och tjänstelegitimation lagrat som sekundärcertifikat. kan användas för att identifiera sig i tjänsten. Alternativet med tjänstelegitimationen som ett sekundärcertifikat gör det även enkelt att administrera förändrade anställningsförhållanden eftersom endast tjänstelegitimationen behöver förändras. 3. Tjänstelegitimation lagrad som primärcertifikat på tjänstekort Detta alternativ medför att användaren bara har en tjänstelegitimation lagrad på kortet, ingen personlig e-legitimation. Användaren kan alltså bara identifiera sig med sin tjänsteidentitet. 5.6 Public Key Infrastructure (PKI) PKI är en infrastruktur bestående av teknik och administration som gör det möjligt att med hjälp av asymmetrisk kryptering öka informationssäkerheten vid utbyte av information. Asymmetrisk kryptering innebär att en krypteringsalgoritm som bygger på att ett nyckelpar med en privat och en publik nyckel används. Det som krypteras av den privata nyckeln kan bara dekrypteras av den publika nyckeln och vice versa. Den privata nyckeln finns bara tillgänglig för den som ska identifiera sig och den publika nyckeln används av den part som ska verifiera/autentisera den uppgivna identiteten. En PKI-infrastruktur bygger på att en betrodd, oberoende organisation, kallad Certification authority (CA), förpackar de publika nycklarna tillsammans med information om nyckelinnehavaren, t.ex. namn, i certifikat. CA:n garanterar att uppgifterna om nyckelinnehavaren är korrekta och giltiga genom att signera certifikatet med sin egen privata nyckel och genom att tillhandahålla information om spärrade certifikat i en spärrlista. I en öppen PKI-infrastruktur är det viktigt att certifikat och publika nycklar är lätta att komma åt, dessa kan t.ex. lagras i en elektronisk katalog. SITHS är ett exempel på en öppen PKI-infrastruktur framtagen för vård och omsorg som använder en nationell katalog (HSA). SITHS beskrivs närmare i bilaga 2. 19

20 6 Nationell och regional samverkan I detta kapitel redovisas några nationella och regionala initiativ för att öka samverkan inom den offentliga förvaltningen. 6.1 Nationell IT-strategi för vård och omsorg År 2005 tillsatte Socialdepartementet en nationell ledningsgrupp för IT i vård och omsorg bestående av representanter för Socialdepartementet, Sveriges kommuner och landsting (SKL), Socialstyrelsen, Läkemedelsverket, Apoteket AB och Carelink. Gruppens arbete utmynnade 2006 i en nationell IT-strategi för vård och omsorg som ska fungera som ett stöd för det lokala och regionala arbetet och lägga grunden till en fördjupad samverkan på nationell nivå Framtidens vård och omsorg Den nationella IT-strategin utgår ifrån att det behövs ett nytt grundläggande synsätt på IT inom vården ett strategiskt verksamhetsperspektiv. Det konstateras att IT erbjuder stora möjligheter till förbättring av patientsäkerhet, vårdkvalitet och tillgänglighet inom vård och omsorg, liksom till ökad individualisering. Det senare ligger i linje med den pågående utvecklingen inom vården där målen för verksamheten alltmer utgår ifrån patientens behov och möjligheter En vision för IT-användningen inom vård och omsorg Den nationella IT-strategin innehåller en vision i tre delar: Medborgare, patienter och anhöriga ska enkelt kunna komma åt kvalitetssäkrad information om vård och hälsa, samt få personligt anpassad information om sin egen vård och hälsosituation. De ska också kunna kontakta vården via Internet för att få service, rådgivning och hjälp till egenvård. Vårdpersonal ska ha tillgång till ett IT-stöd som underlättar det dagliga arbetet samtidigt som det garanterar patientsäkerheten. Mindre administration ger mer tid för patientmöten, och med korrekt information minskar risken för felbehandlingar. Ansvariga för vård och omsorg ska med hjälp av IT kunna följa upp patientsäkerhet och kvalitet, och använda tekniken vid verksamhetsstyrning och resursfördelning Sex insatsområden för det gemensamma arbetet IT har hittills inte kunnat utnyttjas till sin fulla potential eftersom det inte har funnits några större samordnade IT-stöd. IT-användningen skiftar mellan landstingen och kommunerna och olika system för hantering av information har gjort det svårt att utbyta information. Insatser behöver därför sättas in och det arbete som behöver uträttas gemensamt är uppdelat i sex insatsområden. De tre första utgörs av grundförutsättningar för IT-användning, de resterande tre handlar om att förbättra IT-stödens användbarhet och nytta. Insatsområdenas arbete syftar till att medborgare och patienter ska komma åt information och vårdtjänster via en portal. Vårdpersonalen behöver också en samlad ingång till alla informationssystem och processtöd som används i det dagliga arbetet. Det ska vara möjligt att lätt komma åt all relevant information om en patient, oavsett var eller när den registrerats. 20

21 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun Utveckling pågår redan på flera av dessa områden, bl.a.: Socialdepartementets Patientdatautredning om behandlingen av personuppgifter (insatsområde 1). Samordning av nationella kvalitetsregister (insatsområde 2). Införande av SITHS för möjliggörandet av säker identifiering inom vård och omsorg (insatsområde 3). HSA-katalogen (insatsområde 3). Nationell Patientöversikt som gör väsentlig medicinsk information om enskilda personer tillgänglig i hela Sverige (insatsområde 5). Projekten Vården på Webben och Vårdråd per telefon (insatsområde 6) Implikationer för kommuner och landsting Den fortsatta utvecklingen kräver nationell samordning, och en central beställarfunktion som ska sköta kravställning och upphandling av system och teknik har upprättats i regi av Sveriges Kommuner och + Medborgare Vårdpersonal Ingång Portal Insatsområde 6 Tillgänglighet för medborgare Informationssystem och processtöd Journalsystem Administrativa stödsystem Besl utstöd Förskrivarstöd Nationell patientöversikt Insatsområde 5 Åtkomst över organis ationsgränser Insatsområde 4 Verksamhetsstöd och samverkande IT -stöd Förbättring av IT-stödets nytta och användbarhet Infrastrukturella stödtjänster Kommunikationsnät Elek troni sk katalog Identifiering Behörighetsk ontroll Samtyckeshantering Loggning Informati onsstruktur Standarder Insatsområde 3 Teknis k infrastruktur Insatsområde 2 Informationsstruktur Grundförutsättningar Regelverk Lagar och förordningar Insatsområde 1 Lagar och regelverk Figur: Insatsområden inom den nationella IT-strategin 21

22 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State Landsting. Huvuddelen av arbetet med att effektivisera IT-användningen måste dock utföras av huvudmännen inom vård och omsorg, dvs. de enskilda landstingen, kommunerna och privata vårdgivarna. Ett förankringsarbete bedrevs därför under 2006 för att få dessa att gemensamt ta ställning till ett antal frågor som rör vårdens framtida utveckling. De tog då också ställning till det faktum att den del av arbetet som måste föras gemensamt på nationell nivå till stor del kommer att behöva finansieras av landstingen och kommunerna. Landstingen tog under 2006 fram en handlingsplan för samordningen som omfattade frågor om organisation, finansiering och prioritering. Större delen av arbetet med den nationella IT-strategin kommer att bedrivas av landstingen, men det är nödvändigt att kommunerna också medverkar i det nationella IT-samarbetet. Samordningen av IT-stödet inom vård och omsorg innebär att lokala verksamhetssystem kan användas som tidigare men behöver anpassas om de ska anslutas till nationella lösningar. En rad nya system kommer också att tillföras för att öka vårdens transparens, kvalitet och tillgänglighet. Arbetet med att implementera den nationella IT-strategin påbörjades årsskiftet 2006/ Nationella aktörer Nedan presenteras några av de nationella aktörer som på olika sätt är involverade i arbetet med den nationella IT-strategin Sveriges kommuner och landsting (SKL) Sveriges kommuner och landsting (SKL) är en intresse- och arbetsgivarorganisation för landets 290 kommuner, 18 landsting och de två regionerna Skåne och Västra Götaland. Förbundet är en politiskt styrd organisation vars medlemmar utövar sin beslutanderätt genom kongresser som väljs på fyra år. SKL driver frågor med sina medlemmars intressen som utgångspunkt och erbjuder dem även rådgivning och service. Man arbetar även för att ge kommuner och landsting bättre förutsättningar för självstyre, utveckling och samarbete, och vill fungera som nationell politisk arena för kommun- och landstingsfrågor. SKL verkar för en nationell samordning av IT, inte minst i linje med den nationella IT-strategin för vård och omsorg. För att styra detta arbete har en särskild beställarorganisation bildats bestående av landstingsdirektörer från sex landsting samt en representant vardera från SKL och kommunerna. Pågående arbeten omfattar bl.a. förändringar av regelverk för att underlätta samverkan över organisationsgränser, offentlig upphandling och informationsutbyte. En anpassning av de juridiska förutsättningarna ser SKL som ett mycket centralt område och man har därför tillsatt en juridisk arbetsgrupp. SKL håller även på att bygga upp en projektorganisation med uppdrag att implementera och förankra den nationella IT-strategin inom kommunerna. Arbetet med den nationella IT-strategin för vård och omsorg utgör en av SKL:s prioriterade frågor för Ambitionen är att samtliga landsting och hälften av kommunerna ska ha börjat tillämpa den nationella IT-strategin för vård och omsorg vid årets utgång Sambruk Projektet Sambruk är ett initiativ från ett antal kommuner vilka skapat en gemensam grund för att utveckla kommunala e-tjänster. Målsättningen med Sambruk är att ge medborgare och företag service 24 timmar om dygnet och samtidigt sänka kommunernas kostnader för utveckling och drift av e-tjänster och även minska utvecklingstiden för dessa e-tjänster. Dessa mål ska uppnås genom att erbjuda de deltagande kommunerna möjligheten att dela kostnaderna för framtagning av gemensamma e- tjänster. Ett exempel på en sådan gemensam e-tjänst är Öppen teknisk plattform (ÖTP). Norrköpings kommun är medlem i Sambruk och deltar i några av de projekt som drivs. Kultur- och fritidskontoret deltar t.ex. i ett projekt som syftar till att medborgare ska kunna boka och betala kommunens uthyrningslokaler via webben, se avsnitt

23 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun Carelink Verksamheten i Carelink AB styrs av en intresseförening bestående av medlemmar från landsting, kommuner och privata vårdgivare samt Apoteket. Carelinks arbete är främst inriktat på organisationer med ansvar för vård och omsorg. Carelink initierar, driver och förvaltar nationella ITprojekt i nära samarbete med sina medlemmar och andra intressenter för att åstadkomma en utbyggd teknisk infrastruktur, en enhetlig informationsstruktur samt vissa ändringar i lagstiftningen. Detta sker inom flera av de utpekade fokusområdena i den nationella IT-strategin. Några av de projekt och verksamheter med koppling mot den nationella ITstrategin som Carelink leder eller förvaltar är: RIV Regelverk för elektronisk interoperabilitet inom vård och omsorg. Projektet ska ta fram ett gemensamt regelverk för att säkerställa interoperabilitet mellan olika vård- och omsorgssystem, både semantiskt interoperabilitet avseende informationens innehåll och struktur, och teknisk interoperabilitet som avser säkerhet och kommunikation. Sjunet Ett gemensamt kommunikationsnät och vägarna för datakommunikation mellan olika organisationer, främst inom vård och omsorg. Det gemensamma nätet främjar samverkan och möjliggör förenklade rutiner för kommunikation mellan organisationer. Samtliga landsting, ett antal kommuner, ett antal privata vårdgivare, Skatteverket, Försäkringskassan, samt ett tjugotal leverantörer, inklusive Apoteket, är idag anslutna till Sjunet. HSA En nationell elektronisk katalog innehållande kvalitetssäkrade uppgifter om personal- och verksamhetsinformation för vård- och omsorgsaktörer. HSA används idag som underlag för säkerhetslösningar (t.ex. SITHS) och fungerar som Gula sidorna för vård och omsorgsaktörer. SITHS En nationell PKI-infrastruktur för vård- och omsorgsaktörer som bygger på att anställda inom vård och omsorg utrustas med smarta kort med elektroniska tjänstelegitimationer. Utförligare beskrivning av SITHS återfinns i bilaga 2. Nationell patientöversikt (NPÖ) En nationell lösning för vårdinformation som ska innehålla patientuppgifter och kritisk vårdinformation. Informationen ska kunna tas fram oberoende av var patienten söker vård. Upphandling av NPÖ pågår. Nationell ordinationsdatabas (NOD) med syftet att samla all information som hör samman med en patients läkemedelsbehandling på ett och samma ställe Verva Verket för förvaltningsutveckling (Verva) är ett centralt ämbetsverk som har till uppgift att förenkla och utveckla den offentliga förvaltningen. Verva bildades 1 januari 2006 och tog då över delar av Statskontorets verksamhet och den verksamhet som fanns i E-nämnden och 24-timmarsdelegationen m.m. Verva upphandlar bl.a. IT för hela den offentliga sektorn och ger stöd för inköp och användning av tekniken. Verva utvecklar och tillhandahåller också utbildningar och utarbetar modeller för myndigheternas strategiska kompetensförsörjning. Verva ansvarar för befintliga ramavtal kring e-legitimationer i offentlig förvaltning, bl.a. eid 2004 och Infratjänst Verva kan också finansiera startpaket för eid inom offentlig förvaltning samt ge projektbidrag till applikationer som använder e- legitimationer för att effektivisera myndighetstjänster (e-förvaltning). En förstudie för en förnyad upphandling av tjänster kring eid pågår. 6.3 Regionala aktörer Landstinget i Östergötland (LiÖ) Landstinget i Östergötland (LiÖ) deltar i flera av de nationella samarbetena inom ramen för den nationella IT-strategin, man har bl.a. anslutit sig till den nationella HSA-katalogen och SITHS säkerhetsinfrastruktur för identifiering av anställda. LiÖ är en av de aktörer som ingår i G9-gruppen och i denna konstellation tecknat avropsavtal om tjänsten att kontrollera giltig e-legitimation mot spärrlista till fast pris. LiÖ arbetar även med flera projekt, både inom länet och nationellt, för att skapa möjligheter för informationsöverföring mellan enheter inom landstinget och andra vårdgivare och huvudmän, t.ex. kommuner. 23

24 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State Några av dessa utvecklingsprojekt är: Patientjournal08 En elektronisk patientjournal är upphandlad och ska införas under Avsikten är att skapa större effektivitet, ökad patientsäkerhet och ökad tillgänglighet till vården genom att alla verksamheter och yrkeskategorier samlar information om patienten i en datoriserad journal. Information om patienten finns därmed alltid tillgänglig för berörda vårdgivare inom LiÖ och en sammanhållen bild kan ges av patientens hälsotillstånd och vård. Mottot för projektet är En patient En journal. Meddix Ett IT-stöd för samordnad vårdplanering som idag används i samband med att en patient skrivs ut från sjukhus och annan vårdgivare övertar vårdansvaret. I denna planeringsprocess deltar vårdgivare från slutenvård, primärvård samt kommunal vård och omsorg. KOMPÖS Ett pilotprojekt tillsammans med Norrköpings kommun inriktat på att ge kommunal vårdpersonal tillgång till digital information från landstingets patientöversikt. Tolv medicinskt ansvariga sjuksköterskor ifrån Norrköpings kommun har tilldelats tjänstecertifikat ifrån landstinget (SITHS-certifikat) och har därigenom kunnat logga in i landstingets system. Projektet beskrivs närmare i avsnitt Regionkatalogprojektet Ett projekt som syftar till att bygga upp en gemensam regionkatalog för LiÖ och kommunerna i regionen. Norrköpings kommun deltar i arbetet med denna uppbyggnad. 24

25 7 Norrköpings kommun Detta kapitel beskriver på en övergripande nivå Norrköpings kommun och de verksamheter som omfattas av förstudien. Nuläge, behov och de olika verksamheternas syn på identitetshantering baseras på genomförda intervjuer med verksamhetsrepresentanter. 7.1 Organisation Förvaltningen inom kommunen är indelad i ett antal kontor som i sin tur är indelade i flera mindre enheter. Vård- och omsorgskontoret står tillsammans med Utbildningskontoret för ca 80 % av kommunens budget. Modellen på nästa sida visar hur organisationen ser ut. Verksamheter som bidragit till förstudien är markerade med asterisk i figuren på s Övergripande styrning av informationssäkerhet inom kommunen Nedan sammanfattas den övergripande styrningen av kommunens informationssäkerhetsarbete Styrande dokument Kommunens IT-verksamheten regleras i e-program och IT-infrastrukturprogram där övergripande långsiktiga mål anges för användningen av IT inom kommunen. Kommunens säkerhetsarbete regleras genom en styrande säkerhetspolicy på övergripande nivå och nedbrytningar av denna policy i riktlinjer för t.ex. informations- och IT-säkerhet, e- posthantering, användning av trådlösa nätverk mm. Flera av dessa styrande dokument är under bearbetning och nya versioner kommer att fastställas under våren Dokumentationsförteckning återfinns i kapitel Säkerhetsorganisation och ansvarsfördelning Kommunens policy är att säkerhetsansvaret följer verksamhetsansvaret vilket innebär att det är cheferna inom respektive verksamhet som ansvarar för säkerhetsfrågor. Kommunens säkerhetschef utgör en kontrollerande och stödjande funktion för detta arbete. Säkerhetschefen sitter i Kommunstyrelsens stab och ansvarar för att styra och leda det övergripande säkerhetsarbetet inom kommunen (brand, personsäkerhet, krishantering, försäkringsfrågor, informations- och IT-säkerhet m.m.). Till sin hjälp har säkerhetschefen ett samarbetsorgan, Säkerhetsgruppen, med representanter från bl.a. Utbildningskontoret, LFE, Vård- och omsorgskontoret, Brandförsvaret, Tekniska kontoret, IT-enheten och arbetsmiljöansvarig. Vid behov kan även representanter från andra verksamheter kallas in. Säkerhetsgruppen är i sin tur indelad i mindre arbetsgrupper, t.ex. krisledningsutskott, försäkringsgruppen och informationssäkerhetsgruppen som samverkar inom respektive specialområde. I Säkerhetsgruppen planeras och utvärderas det säkerhetsarbete som bedrivs inom de olika verksamheterna. Gruppen ansvarar även för riskhantering på kommunövergripande nivå med fokus på samhällsnyttiga funktioner (elavbrott, stora olyckor, katastrofer m.m.) och kontinuitetsplanering för kommunens funktioner. Den nybildade informationssäkerhetsgruppen har börjat arbeta för en samverkan kring informationssäkerhetsrelaterade frågor. Medlemmarna i gruppen består av personal från IT-enheten, IT-strategen och säkerhetschefen. Kommunens personal har utvecklat en egen databas för att hantera incidenter centralt. Vid en anmälan om t.ex. skadegörelse på en skola tas information 25

26 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State Kommunfullmäktige Kommunrevisionen Kommunstyrelsen Utskott Kommunstyrelsens kontor* Planeringskontoret Näringslivskontoret Personalkontoret Administrativa kontoret Nämnder och kontor Arbetsmarknads- och vuxenutbildningsnämnden Arbetsmarknadskontoret Flykting- och invandrarkontoret Försörjningsstödkontoret Utbildningskontoret* Utbildningskontoret* Barn- och ungdomsnämnden Byggnads- och miljöskyddsnämnden Brandförsvaret* Byggnadsnämndskontoret Lantmäterikontoret Miljö- och hälsoskyddskontoret Kommunala bolag Hyresbostäder i Norrköping AB Norrköping vatten AB Norrköpings kommunala fastighets AB Norrköpings Transportcentrum AB Stiftelsen Östergötlands Länsteater AB Norrköpings Idrottspark Destination Norrköping KB Marknadsföringsbolaget Nya Norrköping AB Louis De Geer Fastighetsaktiebolag Gymnasienämnden Utbildningskontoret* Kollektivtrafiknämnden Stadsbyggnadskontoret Kultur- och fritidsnämnden Kultur- och fritidskontoret* Socialnämnden Socialkontoret Stadsplaneringsnämnden Stadsbyggnadskontoret* Tekniska nämnden Tekniska kontoret* Valnämnden Verksamhetsstyrelse för symfoniorkestern Symfoniorkester Vård och omsorgsnämnden Vård och omsorgskontoret* Överförmyndaren Överförmyndarenheten Förklaring: Politisk org Förvaltningsorg * = Medverkat i förstudien Figur: Norrköpings kommun organisationsskiss. emot av säkerhetschefen som sedan hanterar polisanmälan, väktarinstruktioner eller kontakter med försäkringsbolag osv Centrala verksamhetsställen Kommunens verksamhet bedrivs i en mängd olika lokaler spridda geografiskt över kommunen. Stora centrala verksamhetsställen för förvaltningen är Rådhuset, Rosen samt Vård- och omsorgskontoret där flera enheter och verksamheter är samlokaliserade. Inpasseringssystemet i Rådhuset består av ett elektromekaniskt spärrsystem med nycklar för beröringsfri eller mekanisk användning. Lokalen är sektionerad så att nyckel måste användas mellan våningsplan och i korridorer. Rosen och Vård- och 26

27 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun omsorgskontoret har ett inpasseringssystem med koder och traditionella nycklar. Allmänhetens tillträde till lokalerna är begränsat och kräver besöksanmälan i respektive reception. Kommunens personal bär inga identifieringskort på dessa verksamhetsställen. Inpasseringssystemet vid Rosen ses över och är eventuellt föremål för ombyggnad. Övriga verksamheter har en mängd olika typer av inpasseringssystem. Inpasseringssystemen för de verksamheter som ingår i denna förstudie redovisas under respektive rubrik. 7.3 Nulägesbeskrivning av verksamheter Nedan sammanfattas nuläget när det gäller inloggning i IT-system, inpassering och visuell identifiering för ett antal verksamheter inom kommunen Vård- och omsorgskontoret Vård- och omsorgskontoret arbetar främst med kommunens äldre invånare och personer som har funktionshinder. Verksamheten omfattar äldreboenden, vårdboenden, boenden för personer med behov av särskilt stöd, hemtjänst, personliga assistenter, biståndshandläggning m.m. Verksamheten bedrivs på ett stort antal verksamhetsställen spridda runt om i kommunen. Informationen som används inom vård och omsorg består av dels offentliga handlingar, dels sekretessbelagd information om brukare 1 (patientjournaler, tillsynsärenden etc). Informationen är ofta lagrad i olika former av register. Riktighets- och tillgänglighetskraven är även dessa höga då det rör sig om medicinsk information kring brukarna som personalen måste ha stor tillit till. Att kunna följa personalens aktiviteter i IT-systemen (spårbarhet i loggar) är också ett verksamhetskrav, bland annat vid revisioner. Informationsutbyte med andra enheter inom kommunen sker bl.a. med Socialkontoret, lokaltrafiken, vuxenutbildningen, Barn och ungdom, LFE och Informationskontoret. Extern informationssamverkan sker i stor omfattning med Landstinget (främst 1 Inom vård och omsorg definieras de nieras vård vård och omsorgsta omsorgsta gare som brukare. Vrinnevisjukhuset och vårdcentraler). Informationsöverföringen som görs när patienter flyttas mellan sjukhuset och kommunala boenden är omständlig idag och sker till stor del genom manuell eller muntlig överlämning. Med avsikt att förbättra informationsöverföringen har Vård- och omsorgskontoret tillsammans med Landstinget i Östergötland drivit pilotprojektet KOMPÖS under Projektet har inneburit att tolv medicinskt ansvariga sjuksköterskor inom kommunen haft tillgång till landstingets patientöversikt och provsvar genom att läggas upp i landstingets identitetshanteringssystem (katalog) och tilldelas smarta kort med elektroniska tjänstelegitimationer utfärdade av landstinget (SITHS-kort). Genom KOMPÖS har de medverkande sjuksköterskorna haft möjlighet att läsa sammanfattningar av olika vårdtillfällen (epikriser), både historik och planerade återbesök. KOMPÖS har använts i skiftande omfattning eftersom informationen varit begränsad men medverkande sjuksköterskor har upplevt systemet positivt. Detta gäller både tidsvinster när man sluppit att leta information och användningen av själva korten. Störst fördelar har man upplevt när brukare kommit direkt hemifrån eftersom det även gått att läsa vårdcentralernas anteckningar. Projektet KOM- PÖS kommer att utvidgas under 2007 med ytterligare ett 30-tal sjuksköterskor och utökat användningsområde. Logganalys över hur systemet använts kommer också att genomföras. Det finns även diskussioner kring att försöka sprida information åt andra hållet, dvs. att landstinget får tillgång till information skapad inom kommunen (t.ex. läkares veckokontakter med äldreomsorgen, anhöriginformation m.m.). Vård- och omsorgskontoret är även inblandade i det webbaserade vårdplaneringsstödet Meddix för samordnad vårdplanering mellan kommun och landsting. Vård- och omsorgskontorets verksamhetsstödjande IT består av systemet Sofia som innehåller omvårdnadsjournaler, sociala akter, individuella vård- och utvecklingsplaner. Behörigheter tilldelas via IT-enheten till vårdpersonalen utifrån verksamhetsbehov. Inloggning sker med användarnamn och lösenord. Lösenordshanteringen har blivit mindre omfattande då flera applikationer numera kan nås med samma 27

28 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State inloggningsuppgifter. Lösenordsadministrationen vid bortglömda lösenord skapar en del frustration mellan vårdpersonal och IT-enhet. Det förekommer att personal delar på inloggningsuppgifter eller att lösenord skrivs ned på lappar i anslutning till datorerna. För närvarande använder fem handläggare på debiteringsenheten personliga e-legitimationer i tjänsten för att hämta inkomstuppgifter från Försäkringskassan. Dessa e-legitimationer har införskaffats på privat väg. Kunskapsnivån hos personalen inom vård och omsorg vad gäller informationssäkerhet bedöms som god, dock skulle ytterligare utbildning behövas kring Personuppgiftslagen, enligt intervjupersonerna. Behörighetsadministrationen är omfattande inom vård och omsorg. Mycket personal cirkulerar mellan olika verksamhetsställen och vikarier används i stor utsträckning. Sju olika inpasseringssystem med kodlås eller nycklar används. Administrationen, det vill säga utlämning av koder och nycklar, sköts av egen personal och medför stora kostnader. Mängden nycklar och koder upplevs inte som användarvänligt. Det är relativt vanligt med oavsiktligt utlösta larm och glömda eller borttappade nycklar, med stora kostnader för bl.a. låsbyten som följd. Incidenter med obehöriga personer i korridorer och stölder under dagtid har förekommit. Detta beror troligtvis på att nycklar eller koder är på drift. Dessa incidenter har medfört viss otrygghet hos personalen. Inriktningen är att vid ombyggnad av lokaler använda taggar (se Kultur- och fritidskontoret) eller kodlås för det yttre skalskyddet i större omfattning. Hanteringen av nycklar till enskilda brukares lägenheter sköts på några ställen via särskilda nyckelskåp som registrerar uttag och återlämning av nycklar på individnivå. Visuell identifiering sker idag inom hemtjänsten som har identitetskort med foto, namn och enhet. Korten bärs alltid av personalen vid hembesök eller andra kontakter med brukare. IT-enhetens SIS-godkända identitetskort ses som ett föredöme Utbildningskontoret Utbildningskontoret är det gemensamma förvaltningskontoret för de olika delarna av utbildningssystemet och innefattar verksamhet inom förskolan, grundskolan, gymnasieskolan samt arbetsmarknadsoch vuxenutbildningen. Kontoret är indelat i tre områden, ett för grundskola, förskola, skolbarnomsorg och fritidsgårdar, ett för gymnasie- och vuxenutbildning samt ett område för elevomsorg och särskola. Kontorets uppgift är att förbereda beslutsärenden till nämnderna, svara för verkställigheten av besluten och göra uppföljningar och utvärderingar av verksamheten. Inom kontoret finns en stödfunktion för att i ett brett perspektiv arbeta med arbetsmiljöoch säkerhetsfrågor genom bl.a. riskinventeringar. Arbetet sker i samarbete med LFE, upphandlade entreprenörer för nyckelhantering och inpasseringssystem, Kommunväktaren samt de olika rektorerna. Kunskapsnivån när det gäller informationssäkerhet hos personalen bedöms av intervjupersonerna som skiftande. Inloggning för personal på Utbildningskontoret sker idag mot kommunens administrativa nät och skolnätet med verksamhetsapplikationer. För betygsättning används systemet Dexter som nås via ett webbgränssnitt. Dexter är en påbyggnad till det skoladministra- ID Figur: Idag används en rad olika metoder för inloggning i IT-system, inpassering och visuell identifiering. 28

29 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun tiva systemet Extens som hanterar elevinformation. Dexter nås via en identifieringsportal där lärarna använder koddosa med engångslösenord för att logga in i systemet från valfri plats. Varje skola ansvarar för sin egen nyckelhantering och inpasseringsadministration, till största delen används traditionella nycklar. Nyckelhanteringen är idag ett stort problem för skolorna med stora administrativa kostnader som följd. Flera så kallade lärarnycklar som ger tillgång till hela skolor är på drift. Varje borttappad eller försvunnen lärarnyckel innebär ofta att yttre lås på en hel skola måste bytas ut. Skadegörelsen inom skolan är omfattande och kostade drygt två miljoner kronor Även regelrätta sabotage med omfattande vattenskador till följd efter obehörigt intrång har inträffat. Användningen av vanliga nycklar innebär mycket begränsade möjligheter att återskapa händelsekedjor vid t.ex. inbrott Kultur- och fritidskontoret Kultur- och fritidskontoret ansvarar för kultur- och fritidsfrågor inom kommunen. Verksamheten omfattar biblioteken, friluftsanläggningar, föreningsbidrag, idrottsanläggningar, kommunens muséer, kulturskolan, friluftsliv m.m. Kultur- och fritidskontoret sköter uthyrning av kommunens idrotts- och gymnastikhallar till privatpersoner och föreningar. Detta sker i nära samarbete med LFE som ansvarar för driften av lokalerna. I dagsläget hyrs 14 större hallar och 30 gymnastiksalar ut till föreningar, privatpersoner och företag. Uthyrningen sker utanför skoltid och tider bokas för en säsong i taget (vår/höst). Inpassering till uthyrda lokaler sker antingen med traditionella nycklar eller med hjälp av ett programmeringsbart system med så kallade taggar. Tag-systemet har varit i bruk sedan mitten på 90-talet och finns idag på tre skolor. En tag köps av hyresgästen (100 kr) och systemet programmeras sedan för de tider som bokats. En förening kan ha flera aktiva taggar. Den stora fördelen med tag-systemet enligt Kulturoch fritidskontoret är möjligheten att styra tillträde till lokalerna mer detaljerat då taggen endast fungerar under den bokade tiden. Borttappade taggar kan dessutom spärras vid behov utan att låset behöver bytas ut. Kultur- och fritidskontoret skulle gärna se att ytterligare skolor använde tag-system för att minska administrationen med nyckelhantering och återkommande låsbyten. Skadegörelse är ett återkommande problem i och kring de lokaler som hyrs ut. Skadegörelse på tag-avläsare har förekommit Den som bokar en tid får antingen kvittera ut nycklar eller taggar på plats hos Kultur- och fritidskontoret. Arbetsbelastningen med nyckeladministration är därför hög i början av varje säsong. Bokning av lokaler sker i systemet Booking. Detta system används även av Kultur- och fritidskontoret för utbetalning av föreningsbidrag och fakturering av lokalhyra, 4 miljoner kronor fakturerades Inloggning i bokningssystem sker idag med användarnamn och lösenord. Systemet används av två personer och driften sköts av IT-enheten. Kultur- och fritidskontoret deltar inom Sambruk i ett pågående projekt kopplat till 24-timmarsmyndigheten för att skapa möjligheter för kommuninvånare att själva boka lokaler via Internet med hjälp av systemet Interbook. Avsikten är att ta fram och upphandla en gemensam lösning som sedan kan utnyttjas av medverkande kommuner. Projektet är under utformning med pilotverksamhet i bl.a. Stockholm och det finns flera möjliga användningsområden, allt från att kunna se lediga tider och lämna bokningsönskemål till kommunens handläggare, till att medborgaren själv gör sin egen bokning och betalar via Internet. Systemet ska även kunna användas av föreningar för bokning, adressändringar och kontroll av bidragsutbetalningar Lokalförsörjningsenheten Lokalförsörjningsenheten (LFE) är den enhet inom Stadsbyggnadskontoret som ansvarar för lokalfrågor för kommunens verksamheter. Enheten fungerar som kommunens interna hyresvärd gentemot övriga verksamheter som hyresgäster/brukare 2. Lokalerna som nyttjas består både av kommunens egna och av inhyrda fastigheter. De huvudsakliga arbetsuppgifterna innefattar ett strategiskt bestäl- 2 Inom FE de nieras brukare som den hyresgäst (enhet Inom LFE definieras brukare som den hyresgäst (enhet inom kommunen) som disponerar en lokal. 29

30 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State larperspektiv genom planering av lokalfrågor och operativa uppgifter inom fastighetsförvaltning/byggande och upphandling av byggentreprenörer. När det gäller IT använder LFE de kommungemensamma systemen. Man har inget verksamhetsunikt system. Upp till tio olika system används av varje handläggare inom enheten. Kunskapsnivån när det gäller informationssäkerhet bedömer LFE som växlande. LFE har en projekteringssamordnare som sköter planering och upphandling av lösningar för kommunens övriga verksamheter i dialog med byggföretag och brukare. Detta innefattar att beställa och installera skalskydd och inpasseringssystem till byggnader efter verksamhetens krav. Riktlinjer i form av kvalitetsnivåer och ansvarsfördelning för detta arbete finns beskrivet i LFE:s projekteringsanvisningar och lathund för ansvarsfördelning. I dessa dokument är kraven på inpasseringssystem och skalskydd relativt kortfattade jämfört med krav på andra områden och samordning av krav mellan olika verksamheter saknas. För närvarande används flera olika leverantörer av inpasserings- och nyckelsystem (Låssmeden, Lisu, Bewator, Solid m.fl.). Administrationen av inpasseringssystem sköts av respektive verksamhet. LFE har intrycket att denna administration inte fungerar tillfredsställande på alla ställen eftersom t.ex. incidenter med obehöriga inne på äldreboenden har förekommit. Då det inte finns någon samordning av inpasseringslösningar används ett brett spektra av lösningar och system för detta. Från traditionella nycklar, nycklar med inbyggd tag, taggar, kort med magnetremsa och kodlås. Stora kostnader är förknippade med inpasseringssystem då elektriska låsanordningar på dörrar medför kostnader på minst 1 miljon kronor. En dörr med elektriskt lås kostar ca kronor. På det nybyggda äldreboendet Granen har man nyligen installerat en tag-lösning tillsammans med koder för inpasseringen. Även anhöriga har tillgång till taggar och koder. Lägenheterna har så kallad hotellåsning, vilket innebär att det går att öppna inifrån även om det är låst. Hotellåsningen har krävt vissa justeringar för att fungera. Anpassning sker på liknande sätt av flera äldreboenden. Även flera skolor kommer att byggas om under de närmaste åren. Visuell identifiering med egentillverkat kort har tidigare använts. Dessa kort har dock passerat giltighetstid och används inte längre Tekniska kontoret Tekniska kontoret ansvarar för kommunens stadsmiljö, naturvård, vägar och trafik inklusive kollektivtrafik, färdtjänst och skolskjuts samt kommunens avfallshantering. Arbetet sker i samarbete med LFE, Kultur- och fritidskontoret samt enheterna inom Stadsbyggnadskontoret, t.ex. GIS-enheten. Extern samverkan sker bland annat med de lokala fastighetsbolagen, idrottsföreningar, koloniområdesföreningar och privatpersoner kring byggnation, markberedning etc. Ingen sekretessbelagd information hanteras inom verksamheten. Man har relativt höga riktighetskrav vad gäller t.ex. kartinformation. Kommunens regelverk för informationssäkerhet är känt bland personalen men efterlevnaden upplevs ha vissa brister. IT-stödet består av kommungemensamma system och några verksamhetssystem där driften sköts av IT-enheten. Tekniska kontoret är placerat i Rosen och dess inpasseringssystem används. Incidenter med obehöriga besökare som uppträtt hotfullt har förekommit. Kontorets personal har många kontakter med allmänheten genom uppsökande verksamhet på fältet. Eftersom hot och även handgemäng förekommit får personalen inte åka ensam på sådana uppdrag. Ingen visuell identifiering används och personalens identitet har ifrågasatts vid flera tillfällen Brandförsvaret Brandförsvaret ansvarar för räddningstjänsten i kommunen samt den kommunala beredskapsplanläggningen. Brandpersonal finns placerad på sju olika brandstationer i kommunen. Samarbete sker främst med byggnadsnämndskontoret, miljö- och hälsoskyddskontoret samt allmänheten (företag 30

31 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun och privatpersoner). Många kontakter sker via e- post. Informationen som hanteras av Brandförsvaret innehåller ingen sekretess. Man har dock höga riktighetskrav och tillgänglighetskrav då systemet används för informationsinhämtning vid utryckning. IT-systemen som används utgörs av de kommungemensamma systemen plus verksamhetssystemet Core som hanterar utryckningsverksamheten, förebyggande informationsmaterial, insatsrapporter, information om objekt och uppföljning av insatser. Uppgifter i systemet används även i viss mån som debiteringsunderlag vid fellarm. Inpassering till brandstationerna för personalen sker med kort (magnetremsa) dagtid och kort plus kod övrig tid. Man har traditionella nycklar för innerdörrarna. En brandstation kommer att inom kort övergå till tag-system för inpassering. Kortadministrationen är relativt omfattande eftersom systemen är gamla. Inpassering ute på objekt (lokaler inom kommunen) sker antingen med vanliga nycklar som förvaras på brandstationen eller genom särskilda nyckelskåp för elektroniskt styrd nyckel (samma system som Rådhuset) i anslutning till objekten. Varje utryckningsfordon är försett med en huvudnyckel till dessa nyckelskåp, vilket förkortar utryckningstiderna. De elektroniskt styrda nycklarna har spårbarhet och minskar risken för att fel nycklar används av Brandförsvaret. För närvarande har ett 80-tal objekt nyckelskåp och ytterligare ca 120 skåp planeras i ett första skede för privatägda objekt. Brandförsvarets förhoppning är att även kommunägda objekt (ca st) ska förses med nyckelskåp. Frågan är under utredning på grund av försäkringsfrågor. Brandpersonalen har idag SIS-godkända ID-kort för identifiering GIS-enheten GIS-enheten producerar, underhåller, utvecklar och tillhandahåller geografisk information och geografiska informationssystem (GIS) i Norrköpings kommun. GIS-enheten ansvarar för kommunens geodetiska referenssystem med tillhörande mätpunkter och produktion av nybyggnadskartor samt utför mätningstekniska tjänster åt kommunen eller externa kunder. Informationen som hanteras är till största delen offentlig kartinformation, dock används en kommuninvånardatabas med personuppgifter i vissa sammanhang. Man har relativt låga riktighets- och tillgänglighetskrav med veckovis uppdatering av kartinformationen. Informationssäkerhetskunskaperna hos personalen bedöms av intervjupersonerna som tillräckliga. GIS-enheten nyttjar de kommungemensamma systemen plus egna kartsystem i verksamheten. Kartinformation till externa kunder levereras oftast i pappersformat eller vi e-post. Ibland läggs information till kunder upp på extern webbplats utanför kommunens brandvägg och nätverk. Enheten är placerad i Rosen och dess inpasseringssystem används. Obehöriga besökare förekommer i lokalerna men upplevs inte som ett stort problem. Mätpersonal i fält har egenproducerade identitetskort för identifiering i bruk idag. Man använder även privat legitimation för att identifiera sig vid till exempel inköp i butiker med hjälp av rekvisition IT-enheten IT-enheten inom Norrköpings kommun är organiserad som en serviceenhet inom kommunen med uppgift att stödja övriga verksamheter inom kommunen genom att tillhandahålla hög kompetens inom IT, kombinerat med kunskap om kommunal verksamhet. IT-enheten ansvarar för att driva, utveckla och förvalta de IT-system, applikationer och telefoni som används i hela kommunens verksamhet. Enheten består av ett 50-tal medarbetare och är placerad i Norrköping Science Park. IT-enheten deltar i flera utvecklingsprojekt på identitetshanteringsområdet, bl.a. Metakatalogprojekt, Regionkatalogprojekt och Boendeparkering för kommuninvånare. IT-enheten förvaltar även nuvarande system inom Utbildningskontoret för identifiering med hjälp av koddosa (Dexter). 31

32 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State Spårbarhet betraktar IT-enheten som en viktig aspekt av informationssäkerheten i kommunens ITsystem. Detta för att ha möjlighet att återskapa händelsekedjor vid incidenter och även knyta aktiviteter till enskilda individer. IT-enheten har idag egna SIS-godkända identitetskort med inbyggd kontaktlös inpasseringsfunktion (RFID) som används för inpassering till kommunens serverhallar och IT-enhetens egna lokaler. Dessa kort är även kopplade till tidrapporteringssystemet. Personalen identifierar sig visuellt vid service och underhåll ute i verksamheten genom att bära sina identitetskort synliga vid sådant arbete. SIS-godkända kort betraktas av IT-enheten som en nödvändighet. 7.4 Verksamhetsbehov och önskemål Nedan sammanfattas de behov och önskemål för identitetshantering som framkommit vid intervjuerna Vård- och omsorgskontoret När det gäller inloggning i IT-system finns inom Vård- och omsorgskontoret ett önskemål om att minska mängden inloggningar i olika applikationer. Lösenordshanteringen upplevs som betungande och det är vanligt förekommande att man skriver upp lösenord på lappar i anslutning till datorerna. Det finns också ett behov av att kunna signera elektroniskt lagrad information för att slippa pappershanteringen. Sådant signeringsbehov sträcker sig även utanför verksamhetssystemen, t.ex. för att skriva under avtal, attestera fakturor eller godkänna semesteransökningar. KOMPÖS-projektet har upplevts som ett stort steg framåt för vård och omsorg. Behovet av elektroniskt informationsutbyte med externa organisationer sträcker sig även utanför Landstinget. Exempelvis använder några handläggare inom debiteringen personliga e-legitimationer vid kontakter med Försäkringskassan. Internt inom kommunen finns behov av att samordna handläggningen t.ex. vid beräkning av barnomsorgsavgifter. Inpasseringen till verksamhetslokalerna behöver enligt personalen förändras. Dels för att höja säkerheten, dels för att förenkla för personalen eftersom ett stort antal nycklar är på drift och personalen tvingas ha flera uppsättningar nycklar, taggar och koder. Problematiken med obehöriga i lokalerna i kombination med att det inte går att följa upp inpasseringen är ett område som påverkar personalens arbetssituation negativt. Tag-systemet upplevs som smidigt, och man bedömer att taggar eller liknande system kan underlätta för verksamheten både vad gäller förenklad administration och uppföljning av t.ex. hembesök. Spårbarhet av när personal kommit och gått tycker personalen måste fungera smidigt. Nuvarande system med nyckelskåp och stora nyckelknippor är för krångligt samtidigt som spårbarheten inte är tillräcklig. Mängden vikarier och skiftande personal vid hembesök innebär ett tydligt verksamhetsbehov av att visuellt kunna identifiera sig i kontakt med brukarna. Vård och omsorgs inställning är att det är brukarperspektivet som ska avgöra hur ett sådant kort ska se ut. Det ses som viktigt att gamla och anhöriga lätt ska kunna se vad som står på kortet. Eventuell kortutformning bör därför förankras hos brukarna. Diversifieringen av inpasseringslösningar ser Vårdoch omsorgskontoret som det område som har störst förbättringspotential. Strävan mot färre system och enklare hantering ses som önskvärd Utbildningskontoret När det gäller systemet Dexter arbetar personalen med den långsiktiga inriktningen att Dexter ska överta uppgifter i Extens samtidigt som inloggningsfunktionen kan utnyttjas för flera system (SSO). Man vill också att föräldrar ska kunna logga in med personliga e-legitimationer för att få tillgång till uppgifter i systemet. Det finns vidare ett behov av att centralt kunna ta bort användare som slutar eller får förändrade behörigheter. Utbildningskontoret har behov att koordinera inpasseringssystemen mellan skolorna. Val av lösningar och administration av dessa sker distribuerat på varje enskild skola där de enskilda rektorerna ansva- 32

33 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun rar för verksamheten. Vid intrång och skadegörelse finns behov att kunna följa händelsekedjor och följa vem som gjort vad i olika lokaler (oavvislighet). Det finns ett visst behov för utbildningskontorets personal att internt kunna identifiera sig inför skolpersonal vi besök och inspektioner eftersom skolorna är stora enheter med mycket personal som inte alltid känner igen besökare från Utbildningskontoret. Vissa farhågor finns för den personliga integriteten i samband med loggning, inpassering och aktiviteter i IT-system. Detta bör enligt Utbildningskontorets personal tas upp med de fackliga organisationerna Kultur- och fritidskontoret Kultur- och fritidskontoret har behov av att kunna säkerställa hyresgästernas identitet vid uthyrning, t.ex. för att kunna stävja missbruk. Det finns även behov av att kontrollera när en hyresgäst lämnar en lokal. Man skulle gärna se en identitetslösning som även täcker in medborgarperspektivet så att bokningsadministrationen minskar. Sambruks initiativ Interbook ses som ett intressant projekt för att utveckla och underlätta verksamheten. Personalen vill också ha en smidig administration vid nyckelutlämning i samband med lokaluthyrning. Helst vill man komma ifrån de traditionella nycklarna eftersom dessa medför stora kostnader för administration och låsbyten. Spårbarhet är en viktig aspekt enligt Kultur- och fritidskontoret. Man kan t.ex. med tag-systemet få en historik över vilka taggar som använts i en lokal vid skadegörelse eller missbruk för att diskutera ansvarsfrågor med hyresgästerna. Man har också behov av att snabbt kunna styra tillträdet genom att uppdatera bokningsinformationen eller spärra taggar. Idag uppdateras bokningarna 2 ggr/vecka. Kultur- och frititdskontoret ser inget behov av visuell identifiering för sin personal Lokalförsörjningsenheten För Lokalförsörjningsenheten är det främst lösenordsadministrationen som upplevs som ett problem. Vissa användare har tio olika system att logga in i med olika lösenord. Detta upplevs som betungande och krångligt. Man skulle därför gärna se en samordning så att ett lösenord kan användas för flera applikationer. Generellt ser man stora brister i nyckelhanteringen med nycklar som inte går att spåra och svårigheter att skapa överblick över olika system, reservrutiner, hantering av nyckelskåp m.m. För att hantera dessa brister har verksamheten ofta skapat egna rutiner eller lösningar lokalt som fungerar men som inte är transparanta på övergripande nivå. LFE ser därför ett tydligt behov av att det tas fram centrala riktlinjer för hur säkerheten ska hanteras när det gäller inpassering. Det innebär att det behövs riktlinjer för hur olika verksamheter och lokaler ska bedömas i ett säkerhetsperspektiv (informationsklassning) samt vilka typer av inpasseringssystem som är lämpliga för respektive verksamhet och lokal. Sådana riktlinjer kunde sedan arbetas in i befintliga projekteringsanvisningar och investeringsplaner. Även centrala riktlinjer för hur systemen ska administreras så att försäkringskrav m.m. kan uppfyllas. De allt större enheterna för boenden innebär ökande säkerhetsrisker eftersom det är svårt att övervaka så att endast behöriga besökare finns i lokalerna. Samtidigt anser LFE att anhörigas tillträde till lokalerna måste fungera smidigt. LFE ser därför en nödvändighet i att förbättra inpasseringssystemen. LFE:s personal har behov av att visuellt kunna identifiera sig vid tjänsteutövning ute på skolor och förskolor. ID-handlingen behöver inte vara SIS-godkänd, huvudsaken är att det tydligt framgår att man tillhör kommunen. Man upplever dock att ett SIS-godkänt identitetskort skulle medföra större tillit till kortet samtidigt som användaren skulle vara mer aktsam om kortet eftersom det är en värdehandling Tekniska kontoret Personalen inom Tekniska kontoret upplever lösenordshanteringen som omständlig och önskar kunna nyttja samma lösenord för flera IT-system. Inpasseringssystemet och besökshanteringen på Rosen bör förbättras enligt personalen på Tekniska kontoret. Man vill helst komma ifrån användningen 33

34 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State av traditionella nycklar och även styra upp besökshanteringen så att oanmälda besök eller obehöriga intrång kan kontrolleras. Tekniska kontoret har ett starkt behov av att kunna legitimera sig vid uppsökande verksamhet och kontakter med allmänheten. Eftersom personalens identitet har ifrågasatts upplevs ett SIS-godkänt kort som önskvärt Brandförsvaret Brandpersonalen skulle gärna se en koordinering av antalet lösenord som används för inloggning så att användarvänligheten förbättras. Även inpasseringen skulle behöva koordineras eftersom alla brandstationer har olika system för detta. Flera funktioner samlade på ett inpasseringskort (multifunktion) skulle vara önskvärt. Central styrning för hela kommunen på detta område efterlyses av Brandförsvaret. Det finns också ett behov av att centralt kunna kontrollera exempelvis körkortsbehörigheter hos personalen. Det visuella identifieringsbehovet är klarlagt och SIS-godkända identitetskort används redan. Behovet omfattar att kunna identifiera sig vid t.ex. tillsyn eller larm. I vissa fall upplever man att yrkestitlar skulle vara bra att ha på kortet. Detta saknas på kortet idag GIS-enheten Förstärkt säkerhet vid inloggning är inte nödvändigt enligt GIS-enheten. Den säkerhetslösning som används idag bedömer man som tillräcklig. Att kunna logga in med samma lösenord till flera system är däremot något man gärna skulle vilja se. Möjlighet att dela information med externa kunder utan att behöva flytta kartinformation utanför brandväggen är ett önskemål. Inpasseringen i Rosen ser GIS-enheten gärna att man förbättrar och förenklar. Nuvarande system med nycklar och koder upplevs som föråldrat och skulle behöva bytas ut. Även besökshanteringen bör ses över så att man har bättre kontroll på besökare. GIS-enheten har ett starkt behov av visuell identifiering vid kontakter med allmänheten. SIS-godkända identitetskort är inget krav men uppfattas som positivt av GIS-personalen IT-enheten IT-enheten ser att ett långsiktigt behov finns av att förbättra säkerheten vid inloggning i IT-system med stark autentisering. IT-enheten har haft vissa diskussioner med verksamheten på förenklad lösenordshantering (SSO) men vill inte rekommendera en sådan lösning så länge inte stark autentisering används med hänvisning till försämrad IT-säkerhet. Man bedömer att det finns ett behov av utbildningsinsatser för kommunens personal när det gäller informations- och IT-säkerhet. IT-enheten har genomfört egna utbildningar för kommunens personal, med det finns inget krav på att personalen måste närvara vid dessa tillfällen, vilket man ser som en brist. Utbildning och information kring informationssäkerhet har även delgivits chefer inom kommunen 7.5 Strategisk inriktning Nedan redovisas långsiktiga behov identifierade av kommunens IT-strateg och säkerhetschef på områdena informationssäkerhet, nationell samverkan, kommunal förvaltning samt medborgartjänster Informationssäkerhetsperspektiv I ett långsiktigt perspektiv har Norrköpings kommun ett behov av att höja IT-säkerheten vid inloggning mot vissa av kommunens IT-system. Detta gäller särskilt system som hanterar känsliga uppgifter om individer t.ex. inom Vård- och omsorgskontoret, Socialtjänstkontoret och Utbildningskontoret. Informationssäkerhetsbehovet omfattar både åtkomst till information och spårbarnet kring hur information har hanterats. Redan idag bedömer man att användarnamn och lösenord inte är tillräckligt säkert om känsliga personuppgifter hanteras. Det är i nuläget endast Dexter som har tvåfaktorsautentisering bland kommunens system. Lösenordsadministrationen (vid tilldelning av lösenord, glömda lösenord etc.) beskrivs som omfattande och i behov av effektivisering. 34

35 Secure State Förstudie kring samordnad identitetshantering inom Norrköpings kommun OK! NORRKÖPINGS KOMMUN Figur: Att kunna använda ett enda kort för både inloggning i IT-system, inpassering, identifiering osv. är ett önskemål. Separation av information så att endast behöriga har åtkomst är även detta ett område där kommunen har ett behov av förändringar. Idag finns ingen logisk segmentering av kommunens nätverk utöver det som finns mellan skolnätverket och det administrativa nätverket. När det gäller riktighet är det främsta behovet att kunna ha tillit till att den information som presenteras av IT-systemet är aktuell och korrekt. Detta behov togs till exempel upp av Vård- och omsorgskontoret. Det finns även ett behov av att snabbare kunna ta bort behörigheter t.ex. när personal slutar, ett arbete som idag utförs manuellt. Tillgänglighetskraven inom kommunen skiftar. Högst krav på tillgänglighet har man inom vård och omsorg där det kan vara livsavgörande att ha tillgång till information vid akuta vårdinsatser. Spårbarhetskraven omfattar i första hand system med känsliga personuppgifter, t.ex. vårdsystem eller socialtjänstens system. Även fakturaattesteringen har krav på spårbarhet så att man kan återskapa vem som attesterat en viss faktura Nationellt perspektiv I ett nationellt perspektiv har Norrköpings kommun, på samma sätt som alla kommuner och landsting, ett stort omställningsarbete framför sig med utgångspunkt i den nationella IT-strategin. Lokalt har man ett mycket bra samarbete med Landstinget i bl.a. regionkatalogprojektet och KOMPÖS. Ett antal mindre nationella samverkansprojekt är redan igång och kommunen är inblandad i några av dessa, t.ex. Kultur- och fritidskontorets medverkan i lokalbokningsprojektet inom Sambruk. Omfattningen av sådana projekt med nationell samverkan mellan kommuner, landsting och andra organisationer bedöms öka kraftigt de närmaste åren Förvaltningsperspektiv Inom förvaltningen är det främst behovet av samordning mellan de olika verksamheterna när det gäller inpassering som är tydligt. Idag finns ingen samordning överhuvudtaget vilket medfört att varje enhet ansvarat för att anskaffa och administrera sina egna inpasseringslösningar. Detta medför att varje 35

36 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State lösning blir fristående och att man därmed riskerar att hamna i leverantörsberoende. Det finns inpasseringssystem där alla typer av förändringar, inklusive nya behörigheter, administreras av leverantören. Detta gäller särskilt de äldre inpasseringssystemen. Administrationen är idag även omfattande vad gäller nyckelhantering utan att man har tillräcklig spårbarhet för de nycklar som finns i bruk. Multifunktion, det vill säga att ett kort kan användas för både inloggning i IT-system och inpassering m.m., ses som en mycket attraktiv egenskap som skulle kunna minska komplexiteten runt identitetshanteringen. För närvarande kan personal som arbetar på olika verksamhetsställen ha en stor mängd nycklar, taggar, kort och/eller koder för att ta sig in i kommunens lokaler. I vissa fall finns även ett behov av att kommunens personal ska kunna identifiera sig internt när man besöker andra verksamheter eller arbetar inom stora enheter Medborgarperspektiv Inriktningen mot e-service och e-demokrati i ett framtidsperspektiv slås fast i kommunens e-program. De tjänster kommuninvånarna i dagsläget kan ta del av via webben är dock få. Det finns tankar på att bygga ut Dexter så att även föräldrar/elever ska kunna logga in med e-legitimation eller BankID för att ta del av t.ex. betygsuppgifter. Även Interbookprojektet är exempel på förvaltning med koppling mot medborgarperspektivet. 36

37 8 Referenser och hänvisningar 8.1 Intervjupersoner Följande personer har intervjuats eller på annat sätt bidragit med information till förstudien: Norrköpings kommun Bertil Wildt-Persson Roger Eriksson Susanne Stråhle Birgitta Samuelsson Gunilla Lundberg Pernilla Thunander Rolf Colveus Claes-Göran Hilding Johnny Erlandsson Jan Ekman Sofia Olsson Nordlund Mona U Svensson Stefan Strid Marcus Ygeby Anette Hammarborg Magnus Johansson Johan Lewander Håkan Dahm Per Johansson Björn Kjellander Mikael Daremo Fredrik Andersson Lars-Gösta Johansson Kommunstyrelsens kontor Planeringsenheten Vård- och omsorgskontoret Vård- och omsorgskontoret Vård- och omsorgskontoret Vård- och omsorgskontoret Utbildningskontoret Lokalförsörjningsenheten Lokalförsörjningsenheten Lokalförsörjningsenheten Kultur- och fritidskontoret Kultur- och fritidskontoret Kultur- och fritidskontoret GIS-enheten GIS-enheten GIS-enheten Tekniska kontoret Brandförsvaret Brandförsvaret Brandförsvaret IT-enheten IT-enheten IT-enheten Övriga Christer Haglund Lars Jervall Johan Zenk Jan Dicander Lars Johansson Fredrik Lindén SKL LiÖ LiÖ Sambruk Carelink Carelink 37

38 Förstudie kring samordnad identitetshantering inom Norrköpings kommun Secure State 8.2 Referenser Norrköpings kommun Ref Dokument Version/datum 1. Program för utveckling av elektroniska tjänster (E-program) IT-infrastrukturprogram för Norrköpings kommun Styrdokument för säkerhetsarbetet i Norrköpings kommun (Säkerhetspolicy) Övergripande riktlinjer för IS/IT-verksamheten Riktlinje för IT-styrning och IT-organisation Riktlinje för användning av kommunens kommunikationsutrustning Riktlinje för gemensamma system Riktlinje för trådlösa lokala nät Vägledning till chefer i fråga om kontroll av hur arbetstagare använder kommunens kommunikationsutrustning Ansvarsförändring vid inköp/förändring av IT-system Rapport Utredning stark autentisering hos Norrköpings kommun Riktlinjer för säkerhet vid distansarbete med datorutrustning (utkast) Riktlinjer för praktisk informationssäkerhet (utkast) Riktlinje för säkerhets- och riskhanteringsarbetet i Norrköpings kommun (utkast) Riktlinjer för informationssäkerhet (utkast) Anvisning för utformning av skalskydd (utkast) Beskrivning av styrande säkerhetsdokument (utkast) Ansvarsfördelning mellan förvaltare och brukare (utkast) Övrig dokumentation Ref Dokument Version/datum 19. Regeringens skrivelse 2005/06:139 Nationell IT-strategi för vård och omsorg Rutiner och överföring av information i samordnad vårdplanering Maj Rapport Nationell patientöversikt 2006, Information kommun-landsting (remiss) Ver 0.82/ Ramavtal eid 2004 Vägledning Ver 1.0/ Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

39

40 Secure State AB S:t Persgatan Norrköping Tel Fax