Att analysera värderingar bakom inforamtionssäkerhet Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se
Agenda 1. Bakgrund varför studera värderingar? 2. Hur VBC-method 3. Hur kan resultatet från analyser användas för att förbättra användarnas regelföljande och designa mer användarvänliga säkerhetspolicys?
Bakgrund 3. SS-ISO/IEC 27002:2005 - en av huvudsakliga källor till säkerhetskrav [ ] är organisationens socio- kulturella miljö ytterligare en källa är de särskilda principer, mål och verksamhetens krav på informationsbehandling som en verksamhet har utvecklat för att stödja sin verksamhet - en av de kritiska framgångsfaktorer för informationssäkerhet är informationssäkerhetspolicy, mål och aktiviteter som avspeglar verksamhetsmål 4. Tyvärr stör säkerhetsregler och procedurer användarnas dagliga jobb
Value-based Compliance (VBC) method 1. Analys av regelföljande (compliance) samt anledningar till icke-regelföljande (noncompliance) 2. Utgångspunkt: 1. Användaren är en resurs 2. Viktigt att säkerhetsregler och procedurer stör användarnas dagliga arbete så lite som möjligt 3. Regelföljande baserat på gemensamma värderingar
Value-based compliance method
Några exempel från metodanvändning på ett sjukhus
Value-based compliance method
Steg 3: Analys av handlingsföreskrifter Exempel: P1 All viktig information om patienten måste omedelbart dokumenteras i journalen P2 Patientinformation skall dokumenteras omedelbart efter mötet med patienten. P3 Lösenord ska vara minst 8 tecken långt. Det [lösenordet] sak innehålla gemener, versaler och/eller siffror. Undvik namn, födelseår, bilnummer
Steg 5: Analys av designrationalitet Exempel: P1: All viktig information om patienten måste omedelbart dokumenteras i journalen G1: Att föra patientjournal (återfinns i Patientdatalagen) Detta mål är i sin tur förankrat i två värden: V1: fullständighet, dvs att det är viktigt att informationen är fullständig, V2: tillgänglighet, dvs att det är viktigt att informationen är tillgänglig för behöriga personer. Båda dessa värden kan spåras till Patientdatalagen och till ISO-27 000 standarden.
Exempel: Steg 7: Identifiera faktiska informationssäkerhetshandlingar A1 Om informationen inte leder till någonting, några åtgärder, eller att det inte finns någon som är i behov av den så tycker jag man kan vänta med att dokumentera. För dokumentera i journalen ger extra arbete för sekreterarna A2 Man är försiktig med vad man skriver i journalen. Man kanske inte vill bryta ett förtroende med patienten genom att skriva något känslig för du vet att andra kan läsa det. Därför skriver du familjeproblem istället för det exakta problemet.
Exempel: Steg 7: Identifiera faktiska informationssäkerhetshandlingar A3 På väggen häftar man listor med alla patienter som kommer till mottagningen den dagen. En lista [papper] per doktor, eller sjuksköterska. På listerna står namn och personnummer A4 Jag brukar göra så att jag har ett ord och sedan lägger jag på en siffra som blir sen löpande i nya versioner av lösenordet, men jag vet inte om det är så säkert.
Steg 8: Analys av användningsrationalitet Exempel: A2 Man är försiktig med vad man skriver i journalen. Man kanske inte vill bryta ett förtroende med patienten genom att skriva något känslig för du vet att andra kan läsa det. Därför skriver du familjeproblem istället för det exakta problemet. A2 visar en kurator som ibland inte dokumenterar känslig patientinformation i journalen. Rationaliteten grundar sig i målet G5: att inte avslöja patientens privatliv Det är i sin tur baserat på en värdering V5:Det är viktigt att garantera patientens integritet.
Steg 9: Analys av regel- och värdeföljande Exempel: Det finns en konflikt mellan P1 och A2 P1 All viktig information om patienten måste omedelbart dokumenteras i journalen A2 Man är försiktig med vad man skriver i journalen. Man kanske inte vill bryta ett förtroende med patienten genom att skriva något känslig för du vet att andra kan läsa det. Därför skriver du familjeproblem istället för det exakta problemet. Bakom denna konflikt finns skillnader i rationalitet. Den föreskrivna handlingen är grundad i ett fullständighetsvärde (V1) och ett tillgänglighetsvärde (V2). Dessa värden står i konflikt med integritetsvärdet (V5) som styr den medicinska personalens handlande (A2)..
SM 39. " Nödvändigheten av hög sekretess förutsätter en säker identifiering av patienter som utnyttjar interaktiva tjänster IT-dokument Säker behörighetskontroll SM-M-39 Då ny personal ges behörighet i datorjournalen på enhetsnivå bestäms, utifrån ovanstående regler, vilken behörighet vederbörande skall få, eller vid förändring av behörighet i datorjournalen Melior (rutiner instuktion/datorjournal behörighet melior flik 3, avsnitt 5) SM-M-USJUK9(+), SM-M-SJUK3A9(+), SM-M- SJUK3A10(+), SM-M-SEKCH12(+) (+)SM- M_CA1a_31, (+)SM-M-AC22, (+)SM-M-AC23, (+)SM- M-AC24, (+)SM-M-AC25 (+) SM-M_SSK_14, (+) SM- M_AC3C_17 SM 28 "En ansvarsförbindelse vid [distansbarbete] ska upprättas mellan arbetstagaren och ÖLL.", När man får inloggning till våra system så måste man skriva på ett avtal ISS dokument, KL IT SM-M-SEKCH7(+) SM-M_MC_10(+) (+) SM- M_CS_13, (+) SM-M_CS_15, (+) SM-M_AC3C_20 SM-M-35 Då personal slutar på kliniken skall de registrerats inaktiva mot enheten och databasen. Denna rutin syftar till att säkerställa den inaktivieringen. (rutiner instuktion/datorjournal inaktivering av personal som slutat flik 3, avsnitt 4) (+)SM-M_CA1a_10 SM-M-37 Avdelningschef/motsvarande gör persoenen ianktiv mot enhet., sänder ett mail med personen Öllid till Mlioransvarig på Itenheten som gör personen inaktiv mot databas. SM 36. "I landstingets infrastruktur ska byggas in möjlighet till säker elektronisk identifiering, elektronisk signering och insynsskydd" "Elektronisk identifiering är en fundamental förutsättning för att kunna åstadkomma god informationssäkerhet. IT-dokument SM 21. "Det finns inloggning till systemet ISS dokument, KL management (+) SM-M_SSK_16, (+) SM- M_SSK_25 SM 66. Känslig information ska skyddas mot obehörig åtkomst med behörighetssystem och, om så krävs, i krypterad form ISS dokument (+)SM-M_CA1a_8, (+)SM-M_SSK_12, (+)SM-M_SSK_13, (+)SM- M_SSK_14, (+) SM-M_AC3C_18, (+) SM-M_AC3C_17 SM-M-38 I datorjournalsystemet Melior finns olika behörigheter för tillgång till journalerna. Syftet med denna rutin är att klargöra vilka behörigheter som finns och vilka personalgrupper som är tilldelade de olika behörigheterna (rutiner instuktion/datorjournal behörighet melior flik 3, avsnitt 5) SM-M-USJUK9(+), SM-M-KUR5(-), SM-M- KUR8(+), SM-M-SJUK3A9(+), SM-M-SJUK3A10(+), SM-M-LÄK48(+) (+)SM-M_CA1a_23, (+)SM-M- AC20, (+)SM-M-AC23, (+)SM-M-AC24,(+)SM-M- AC25, (+)SM-M-AC26 +SM-M-AC21, +SM-M-AC22 (+) SM-M_SSK_12, (+)SM-M_SSK_13, (+) SM-M_AC3C_17, (-) SM- M_AC3C_18, (+) SM-M_SSK_14 SM 20. För att bli behörig krävs din chefs godkännande ISS dokument SM-M-SEKCH12(+), SM 43. Om du lämnar arbetsplatsen skall du låsa PC:n med "Ctrl-Alt-Del" alternativt logga av, även om det bara är för en kortare stund. Dessutom bör din skärmsläckare ha lösenordsfunktionen aktiverad ISS dokument SM-M-SJUK3A28(-), SM-M-SJUK3A29(-), SM-M-LÄK2(+), SM-M-LÄK3(+), SM-M-LÄK5(-) (-)SM-M-OBM9, (-)SM-M-1A-OB11, (-)SM-M-3A-OB6 (+) SM- M_CS_28
Steg 9: Analys av regel- och värdeföljande -compliance Typ av IS-regel Exempel på IS-regel Typ av IS-handling Exempel på IShandling Regel som syftar till säker lösenordshantering SM3. "Du skall byta lösenordet minst var 90:e dag SM2. Lösenord ska vara minst 8 tecken långt. Det [lösenordet] sak innehålla gemener, versaler och/eller siffror. Undvik namn, födelseår, bilnummer. Handlingar som illustrera säker lösenordhantering SM-M_CS_26: Sen måste man byta lösenordet varje tredje månad. Då ändrar man samtidigt på alla system. SEKCH13: Det ska ingå ett visst antal bokstäver och siffror och det ska vara sex eller åtta tecken. Det kontrolleras av systemet. Regel om att utskrifter från skrivare eller fax inte läses av obehöriga SM 67. Utskrift skall endast ske till skrivare där behöriga ar rätt att ta del av innehållet. ISS dokument Handlingar för att utskrifter från skrivare eller fax inte läses av obehöriga SM-M-KUR27: Det är viktigt att informationen kommer rätt [vid faxning (SM-M- KUR26)] eftersom den inte är avkodad. Man ringer innan för att meddela att man ska skicka faxet och efteråt för att försäkra sig att faxet har kommit fram.
Steg 9: Analys av regel- och värdeföljande non-compliance Typ av IS-regel Exempel på IS-regel Typ av IS-handling Exempel på IShandling Regel om att registrera information i journalen SM 174 "Alla viktiga uppgifter om patienter ska antecknas i journalen", "Allt viktigt måste stå i journalen SM 175 Så fort man är med en patient så måste man dokumentera Handlingar som motverkar tillgänglighet men stödjer effektivitet SM-M-LÄK2: Om patienter ligger längre och stannar kvar över helgen så brukar jag göra en sammanfattning [diktering] på torsdag SM-M-LÄK19: Om inte informationen leder till någonting, till någon åtgärd eller någon har behov av den så tycker jag man kan vänta med det [skriva i journalen] för att det genererar extra arbete för sekreterarna, utan att den har nytta i längden.
Resultat Analysera non-compliance. Fel på regelverket, Okunskap Dåliga säkerhetslösningar.. Resultat: Ändring av regler Fokuserad utbildning (konkreta verksamhetssituationer, value-copliance, varför)