Sikker elektronisk samhandling
på Aker sykehus
T
T
P
Du er
Dr. syk!
Iver
sen
Bruk av digitale
signaturer og offentlig
nøkkelkryptografi
Versjon 1.0
7. februar 2001
KITH Rapport 4/01
ISBN 82-7846-102-3
Sikker elektronisk samhandling på Aker sykehus
KITH-rapport
Tittel
Sikker elektronisk
samhandling på Aker sykehus
Bruk av digitale signaturer og offentlig
nøkkelkryptografi
Kompetansesenter for
IT i helsevesenet AS
Postadresse
Sukkerhuset
7489 Trondheim
Besøksadresse
Sverresgt 15, inng G
Telefon
73 59 86 00
Forfatter(e)
Telefaks
Bjarte Aksnes (KITH), Trond Gustavsen (Telenor), Eli Moen
(Aker), Lars Dyrkorn (Aker)
73 59 86 11
Oppdragsgiver(e)
firmapost@kith.no
SHD, AAD, NFR
Foretaksnummer
e-post
959 925 496
Rapportnummer
URL:
http://www.kith.no/rapportarkiv/sesam-aker.pdf
Prosjektkode
R 4/2001
ISBN
Dato
Antall sider
Kvalitetssikret av
Gradering
082-7846-102-3
7. februar 2001
22 + vdl
Arnstein Vestad
Ingen
SESAM
Godkjent av
Jacob Hygen
Adm. direktør
Sammendrag
På Aker sykehus har vi benyttet PKI-baserte (private key infrastructure) løsninger for sikker elektronisk
overføring av en sykepleierrapport. Det har vært et mål i prosjektet å benytte standard programvare med minst
mulig tilpassning. Løsningen er basert på en standard epost-klient med tilleggsprogramvare fra en PKIleverandør.
Pilotprosjektet har demonstrert at det er mulig å ta i bruk PKI-baserte løsninger for sikker elektronisk
samhandling i helsevesenet i Norge. Brukerne har gitt tilbakemelding om at løsningen bedrer samarbeidet og
kommunikasjonen mellom sykehus og bydel, slik at man kan tilby et raskere og bedre behandlingsopplegg til
pasientene.
Det har vært betydelige tekniske og organisatoriske utfordringer knyttet til å få løsningene til å fungere.
Tekniske utfordringer har spesielt vært knyttet til problemer med smartkort og drivere samt at første versjonen
av sikkerhetsklienten ikke fungerte med Windows NT. Med dagens modenhetsnivå på løsningene kan det se
ut som om det er lettere å få softwarebaserte løsninger til å fungere enn løsninger som baserer seg på bruk av
smartkort. Det har også vært knyttet utfordringer til det å benytte personlige sertifikater i kombinasjon med at
mange mottakere må ha mulighet for å motta samme melding. Dette ble løst ved at vi sendte meldingene til en
adresseliste, som inneholdt alle mottakerne på en avdeling.
De organisatoriske utfordringene har vært krevende i en helsevirksomhet, som det å få gjennomført
tilstrekkelig opplæring i en stresset arbeidssituasjon, manglende kontinuitet som følge av hyppig utskifting av
personale og ubesatte stillinger, samt problemer knyttet til håndtering av kort og sertifikater.
Vi ser allikevel et stort potensial for bruk av denne typen løsninger i offentlig sektor, og helsevesenet spesielt,
men vi anbefaler at man nøye vurderer hvilket sikkerhetsnivå man bør legge seg på ved innføringen av slike
løsninger. Dette gjelder f.eks. om man skal benytte kortbaserte eller softwarebaserte løsninger, prosedyrer for
kortutstedelse og krypteringsstyrke. Vi mener dessuten at en god integrasjon med eksisterende
helseinformasjonssystemer er nødvendig for å få til sikre og anvendbare løsninger.
2
Innholdsfortegnelse
Bakgrunn ........................................................................................................... 4
Beskrivelse av PKI-løsningene på Aker....................................................... 4
Organisasjonen ......................................................................................... 4
Sertifikatene .............................................................................................. 5
Programvare benyttet ............................................................................... 7
Teknisk oppsett ......................................................................................... 8
Sikkerhetsvurderinger................................................................................... 10
Hva er truslene........................................................................................ 10
Utfordringene ved bruk av PKI på Aker ..................................................... 13
Tekniske problemer ................................................................................ 13
Organisatoriske utfordringer ved innføring av PKI i en helsevirksomhet 16
Videre anbefalinger for Aker sykehus........................................................ 17
Skisse av en mulig fremtidig løsning....................................................... 17
Generelle erfaringer fra bruk av PKI-løsningene...................................... 19
Brukererfaringer ...................................................................................... 19
Spørreundersøkelser .............................................................................. 20
Konklusjon ...................................................................................................... 22
Vedlegg 1: Oppsummering fra TrustHealth2 ............................................ 23
Norwegian Demonstration Site Aker Hospital......................................... 23
Vedlegg 2: Spørreskjema til andre spørreundersøkelse ........................ 35
Vedlegg 3: Test av JetForm Filler i SESAM-piloten ................................. 40
Vedlegg 4: Brukerbeskrivelse...................................................................... 43
3
Sikker elektronisk samhandling på Aker sykehus
Bakgrunn
SESAM (Sikker elektronisk samhandling i helsesektoren) er et prosjekt som er støttet av
Norges Forskningsråd, Sosial- og helsedepartementet , Rikstrygdeverket og Arbeids- og
administrasjonsdepartementet med hovedmålsetning å legge til rette for sikker elektronisk
handel og kommunikasjon av sensitiv og ikke-sensitiv informasjon, og ta dette i bruk i
stor skala i helsesektoren. SESAM kom i gang i slutten av 1998, er planlagt å vare ut år
2000 og har tatt utgangspunkt i resultatene fra tidligere Norges forskningsråds-støttede
prosjekter på området TTP (tiltrodd tredjepart) og digitale signaturer i regi av bl.a. KITH
og Norsk EDIPRO, samt TrustHealth, og videreutviklet, demonstrert og evaluert
løsninger for sikker elektronisk samhandling/handel.
Hovedfokus for SESAM har vært:
•
•
•
Sikker EDI (Elektronisk meldingsutveksling)
Sikker e-post
Sikre web-tjenester
Prosjektet på Aker sykehus faller inn under området sikker e-post.
I det tidligere SITH-prosjektet som gikk i perioden 1996-97, ble det utviklet en løsning
for sikker elektronisk overføring av en strukturert e-post melding om en utskrivingsklar
pasient mellom en sykehusavdeling på Aker sykehus og bydelshelsetjenesten i Bjerke
bydel.
Aker sykehus har også vært pilotarena for prosjektet TrustHealth 2, som har vært et EUfinansiert prosjekt som har som målsetning å ta i bruk sikker IT-infrastruktur ved bruk av
digitale signaturer, kryptering og TTP-tjenester til kommunikasjon av helsemeldinger.
Dette prosjektet har pågått i perioden 1.6.98 –1.6.2000, og har oppnådd svært gode
resultater.
Målsetningene for prosjektet på Aker har vært:
• Utvikle og ta i bruk (minst) en løsning for sikker overføring av helsemeldinger
mellom 1. og 2. linjetjenesten.
• Ta i bruk og høste erfaringer fra bruk av helsepersonellkort (HPK) for signering,
autentisering og tilgangskontroll.
• Utrede og evaluerer brukernes erfaringer og holdninger som følge av bruken av
nye sikkerhetstjenester.
Beskrivelse av PKI-løsningene på Aker
Organisasjonen
Prosjektet er utført i samarbeid mellom Aker sykehus, Telenor og KITH. Bjarte Aksnes
har vært prosjektleder for SESAM-prosjektet, mens Eli Moen fra Aker sykehus (og Bjørn
Haraldsen frem til desember 1999) har vært delprosjektleder.
Operativ ansvar for informasjonssikkerheten i prosjektet har hele tiden vært tillagt en
sikkerhetskoordinator for prosjektet, Eli Moen. Ansvaret for driften av
informasjonssystemet som inngår i prosjektet har ligget hos IT-sjef ved Aker sykehus,
som rapporterer direkte til direktøren, mens IT-konsulent Lars Dyrkorn har tatt seg av
nettverket og den daglige driften av systemet. Telenor har levert digitale sertifikater og
programvare samt vært en viktig bidragsyter til implementeringen av løsningene.
4
Aker Hospital
Hospital unit
(Surgical ward)
Hospital unit
(Surgical ward)
Hospital unit
(Medical ward)
Printer connected
toparallellport
Printer connected
toparallellport
Printer connected
to parallellport
Connections made through existing fibre
Aker Hospital
IT department
Smartcard reader
Microsoft
Mail
(All mail messages will be stored encrypted and signed)
KIS
ISDN
All ISDN
set up as closed user
All information will be encrypted and signed
Bjerke Home Care
ISDN
ISDN router
Printer connected
toparallellport
ISDNrouter
TTPX.500
Certificate
directory
F
Sertifikatene
Sertifikatene er levert av Telenor og er tilpasset Entrust applikasjonene og bruk sammen
med Telenors TTP-tjeneste. Sertifikatene har i ugangspunktet ett års gyldighet. I
sertifikatene ligger navn, fødselsdato, avdeling og e-post adresse til innehaveren.
Utsteding av sertifikater
Telenor Bedrift har levert sertifikatene under en avtale om pilotbruk. Dette betyr at det
ikke har vært noen standard sertifikatpolicy knyttet til håndtering og bruk av sertifikatene.
Sertifikathåndteringen har foregått etter retningslinjer som prosjektgruppen er kommet
frem til. Nedenfor summerer vi opp hovedtrekkene i disse retningslinjene. Dette er
imidlertid ikke å forstå som en detaljert sertifikatpolicy.
Prosjektets sikkerhetskoordinator på Aker sykehus har hatt rollen som sertifikatansvarlig
(OSA) ved Aker sykehus. Brukerne som har fått utstedt sertifikater har registrert seg hos
OSA ved å oppgi følgende opplysninger
1.
Etternavn
2.
Forrnavn
3.
Helsepersonellnummer eller fødselsdato
4.
Organisasjon
5.
Avdeling
6.
Telefonnummer
5
Sikker elektronisk samhandling på Aker sykehus
OSA har foretatt nødvendig kontroll av personopplysninger. Disse opplysningene er så
sendt til Telenors registreringsautoritet (RA). Aker har så mottatt registrering og
autorisasjonskoder fra Telenor. Ved hjelp av katalogtilgang og disse kodene, er det
generert sikkerhetsprofiler til brukerne. I første del av prosjektet ble det kun brukt
smartkort for oppbevaring av brukernes sikkerhetsprofil. I prosjektets siste del ble det
også brukt programvarebaserte sikkerhetsprofiler. Sikkerhetsprofilene er blitt overbrakt til
OSA som har stått for distribusjon av disse til de respektive brukere. Brukerne har måttet
legitimere seg og skrive under på at de har mottatt sin sikkerhetsprofil.
Smartkortbaserte sikkerhetsprofiler kontra programvarebaserte
sikkerhetsprofiler
I utgangspunktet er smartkort den beste metoden for oppbevaring av brukerens
sikkerhetsprofil. Det er imidlertid klart mer krevende, både å sette opp og vedlikeholde
en løsning basert på smartkort. Den sikkerhetsmessige gevinsten ved bruk av smartkort
må derfor vurderes opp mot dette. I noen sammenhenger kan det derfor være mest tjenelig
å benytte programvarebasert oppbevaring av brukerens sikkerhetsprofil.
Svartelisting (Tilbakekalling)
Sertifikatansvarlig (OSA) ved Aker sykehus har vært ansvarlig for å avgjøre når
sertifikater skal svartelistes (tilbakekalles). Dette er blitt gjort når noen slutter i sin stilling
eller hvis sikkerhetsprofilen (smartkort) er gått tapt. Forespørsel om svartelisting er sendt
til RA.
X.509v3
Sertifikatene som er benyttet baserer seg på X.509v3 standarden slik den er implementert
av Entrust. Den første versjonen av X.509 ble publisert i 1988, versjon 2 i 1993 og
versjon 3 ble foreslått i 1994. Versjon 3 angir forbedringer når det gjelder fleksibilitet og
sikkerhet i forhold til versjon 1 og 2. Et X.509v3 sertifikat inneholder følgende felter:
Felt
Beskrivelse
version
Versjonnummer
serialNumber
Serienummer som identifiserer sertifikatet.
signature
Signaturalgoritme
Name
Utsteders navn
Validity
Tidsrom for sertifikatets gyldighet
subject
Data om brukeren av sertifikatethttp://www.logosec.de/ - Format
des X.500-DistinguishedNames:
subjectPublicKeyInfo Brukerens offentlige nøkkel
issuerUniqueID
Ikke obligatoriske felt
subjectUniqueID
extensions
Eventuelle utvidelser
I neste avsnitt går vi mer inn på hvordan navn er gitt i sertifikatene som er benyttet i
piloten.
6
Navnetyper
Følgende tabell angir benyttede navnetyper.
Nivå
Navneattributt
Navnekonvensjon/Verdi
1
Country (c=)
NO
2
Organisation (o=)
DigiSert-Pilot
3
Organisation Unit (ou=)
Aker
4
Organisation Unit (ou=)
TrustHealth Pilot
5
Common Name (cn=)
Fornavn Etternavn
Attributtet serialNumber angir brukerens fødslsnummer.
Programvare benyttet
Det har vært et mål i prosjektet å benytte standard programvare med minst mulig
tilpassing. Valget av løsninger gjenspeiler dette. Terminalene som er utplassert i hver
avdeling kjører Windows NT (eller Windows 98), Outlook 97, Word 97 og
Entrust/Enteligence. Som ett alternativ til Word/Outlook/Entrust/Enteligence har vi prøv
ut JetForm Filler hvor utfylling, signering, sending og mottak kan integreres i en
applikasjon. Hovedløsningen har imidlertid vært basert på Entrust/Enteligence, men i
prosjektets siste fase har JetForm blitt testet (se vedlegg 2) Denne applikasjonen er
imidlertid ikke testet ut i en situasjon med virkelige sykepleierrapporter.
Windows NT
Alle maskinene har installert Microsoft Windows NT 4.0 med Service Pack 5. På
Ortopedisk avdeling har Windows 98 vært benyttet. Grunnen til dette var et ønske om å
benytte Entrust/Enteligence versjon 5.0.
Outlook/Exchange
Alle maskinene har installert Outlook 97. e-post tjeneren har installert Microsoft
Exchange 5.0.
Entrust
Entrust Inc. er ledende på programvare for sikker kommunikasjon, og tilbyr en rekke
ulike løsninger. I forbindelse med TH2-piloten på Aker sykehus har vi vurdert tre
produkter
Entrust/Express
Entrust/ICE
Entrust/Enteligence
Det er felles innlogging for disse applikasjonene. En bruker logger seg inn ved hjelp av
sitt passord og eventuelle smartkort og kan deretter benytte løsningene uten å måtte angi
passord på nytt. Signering og kryptering kan utføres inntil brukeren logger seg av eller
automatisk blir logget ut.
Entrust/Express er en ”plugin” for Outlook som gir mulighet for å sende kryptert og
signert e-post. I Outlook er det som standard også innebygd muligheter for å sende
kryptert og signert e-post. Entrust/Express skiller seg fra Outlooks innebygde muligheter
7
Sikker elektronisk samhandling på Aker sykehus
ved en tettere integrasjon med tiltrodd tredjepart og muligheten for å benytte sertifikater
på smartkort.
Entrust/ICE er en løsning for kryptering av filmapper. Når Entrust/ICE er installert og
satt opp til å kryptere en mappe, vil alle filer som blir lagret her, bli kryptert. Dette skjer
uten at brukeren behøver å gjøre noe.
Entrust/Enteligence er å oppfatte som en utvidelse av Windows Explorer. Ved installasjon
av Entrust/Enteligence vil man få mulighet for signering og kryptering av filer som en
integrert del av Windows explorer.
Bruk av Entrust programvaren er beskrevet nærmere i vedlegg 2.
Signering og kryptering
Entrust benytter seg av offentlig nøkkel kryptografi. Når noe skal krypteres, må dette
derfor krypteres med den offentlige nøkkelen til de som skal kunne dekryptere. Dette gjør
at den som krypterer må ha tilgang til den offentlige nøkkelen til alle som skal kunne lese
meldingen. I Entrust er det to løsninger på dette problemet: adresseboken og
katalogtilgang.
Adressebok
Adresseboken er felles for Entrust-applikasjonene og lar brukeren importere sertifikater
(offentlig nøkkel) fra andre som man ønsker å kryptere innhold til. Det er her også mulig
å lage mottakerlister hvor man samler flere mottakere i en liste, hvoretter man kan
kryptere til alle disse på en gang.
Katalog
Hvis systemet har mulighet for oppkobling til sertifikatkatalogen, kan sertifikatene hentes
direkte fra katalogen. Katalogtilgang gir også mulighet for å påse at ugyldige sertifikater
ikke blir benyttet.
JetForm Filler
FormFlow2 fra JetForm er en samling av applikasjoner for å utvikle løsninger for
elektronisk skjemaflyt bassert på XML. En av applikasjonene som inngår, er
utfyllingsapplikasjonen JetForm Filler. I forbindelse med prosjektet JetRek som nå er
avsluttet ved Aker sykehus, er det utviklet en elektronisk versjon av sykepleier rapporten
for bruk med JetForm Filler. Vi har tatt utgangspunkt i dette og testet
sikkerhetsfunksjonaliteten i JetForm Filler. Dette er beskrevet i vedlegg 2. Legg merke til
at det er løsningen med Entrust/Enteligence som har vært testet i en virkelig situasjon og
det er denne løsningen som brukererfaringene er basert på. Testen av JetForm Filler er
gjort for å gi beslutningsgrunnlag for Aker sykehus når det gjelder videre satsning.
Fordelen med å bruke JetForm Filler er at denne applikasjonen integrerer med Entrust og
Exchange slik at brukere kan forholde seg til kun en applikasjon. Det er imidlertid viktig å
poengtere at JetForm benytter seg av Entrust for sikkerhetsfunksjonalitet., så selv om en
løsning med JetForm forekommer noe annerledes fra et brukerstandpunkt, er det akkurat
den samme sikkerhetsløsningen som blir benyttet.
Teknisk oppsett
PC
Det er en PC på hver avdeling. Det er derfor flere brukere på samme maskin. Det har
vært knyttet en rekke problemer til det faktum at flere brukere deler en maskin.
Sikkerhetsløsningene baserer seg på at brukerne har sin personlige sikkerhetsprofil. På
Windows NT har også hver bruker en brukerprofil med eget passord. Etter å ha diskutert
dette, kom man imidlertid frem til at det var mest formålstjenlig å ha en fellesbruker for
Windows NT for alle brukerne ved en avdeling. Dette rettferdiggjøres ved at flere brukere
må ha mulighet for å operere på samme data, siden dataene er knyttet til avdelingens
8
funksjon og ikke til de enkelte brukerne. Dette er imidlertid forskjelling fra mange andre
brukermiljøer, og det har vist seg å være en utfordring å kombinere dette med personlige
sikkerhetsprofiler.
Smartkortdrivere og verktøy
Smartkort og smartkortdrivere er levert fra Telenor Conax. Disse er tilpasset bruk
sammen med Entrust software. Hvis Entrust er installert vil installasjonen detektere dette,
og gjøre nødvendige konfigurasjoner for at smartkort skal fungere sammen med Entrust.
Bortsett fra at Entrust må være installert først, tar installasjonsprogrammene fra Telenor
Conax hånd om det som er nødvendig inkludert installeringen av MS Smart Card Base.
Smartkort pakken fra Telenor Conax inneholder flere verktøy: som ”PIN-utility” og
”Select Smart Card Reader”.
I piloten har det vært et problem knyttet til Smartkortdriverne. I visse situasjoner slutter
smartkortleserne å fungere. Dette problemet er under utbedring av Telenor Conax. Det er
også påvist innkompatibilitet mellom en bestemt del av programvaren inkludert med
Entrust 5.0 og driverne fra Conax.
Kirurgisk Post 1
Kirurgisk Post 4
Medisin Post 9
Trusthealth nettv.
Aker Sykehus
(Fysisk adskilt fra Akers datanett)
ISDN-router
NT Exchange mailserver
ISDN-router
Lukket brukergruppe
ISDN-router
ISDN-router
Bjerke bydel – Hjemmehjelp
Telenor X500 katalog
9
Sikker elektronisk samhandling på Aker sykehus
Nettverk
TH2-piloten benytter et eget lukket nettverk. Dette nettverket er beskrevet i figuren
ovenfor. Forbindelsen med Telenors X.500 katalog og forbindelsen mellom Aker sykehus
og Bjerke bydel benytter seg av en såkalt lukket ISDN brukergruppe.
Skriver
Det er knyttet en skriver til hver PC. Denne blir brukt til å skrive ut sykepleierrapporter.
Smartkortleser
Smartkortleserne er levert fra Telenor Conax og fungerer tilfredstillende. Smartkortleser
er kompatibel med smartkortene som benyttes. Smartkort og leser leveres under
betegnelse Conax-SurfCard, som er Telenor Conax varemerke. En del av problemene vi
har hatt, skyldes trolig at programvaren som er levert sammen med smartkortleserne ikke
alltid fungerer riktig.
Smartkort
Smartkort (Conax-SurfCard) er levert fra Telenor Conax. Kortene vi brukte har for liten
kapasitet til å takle oppdatering av nøkkelparet, men kortene har ellers fungert
tilfredstillende.
Word og maler
En elektronisk utgave av dagens sykepleierapport ble lagt inn som en mal i Word. Denne
malen ble satt til å være normal.dot, dvs. at når Word åpnes vises automatisk malen for
sykepleierapporten, og ikke et blankt ark. Det ble også meldt et behov for en uformell
henvendelse som kunne erstatte noen av telefonsamtalene mellom sykehuset og bydelen.
Et eget skjema ble lagd til dette og kalt uformelle henvendelser (ligger som en egen mal).
Da det er ønskelig å se hva som blir brukt mest av uformell henvendelse og
sykepleierapporten settes Word til automatisk å foreslå filnavnet på følgende format:
•
U pluss klokkeslett for uformell henvendelse (f.eks. U100400.doc)
•
S pluss klokkeslett for sykepleierapport (f.eks. S110400.doc)
og det lages et script som logger dette.
Sikkerhetsvurderinger
I dette avsnittet vil vi komme med noen bemerkninger rundt sikkerheten i piloten.
Vi gjør oppmerksom på at papirbasert oversendelse av sykepleier journalen har foregått i
parallell. I vurderingen nedenfor vil vi imidlertid kun se på SESAM-piloten, det vil si den
elektroniske oversendelsen.
Hva er truslene
Integritet til dataene ødelegges
Noen mulige trusler mot integriteten til dataene er:
Sykepleier går fra terminalen under journal skrivning. Noen forandrer på
journalen. Sykepleier kommer tilbake, men merker ikke at journalen er
forandret, signerer og sender denne.
Teknisk svikt i Word gjør at dokumentet blir korrumpert i det det lagres.
10
Teknisk svikt gjør at mottaker får dokumentet korrumpert i det det
åpnes/dekrypteres.
Dokumentene signeres før sending. Dette gjør at dokumentet ikke kan forandres
underveis uten at det kan oppdages. Hvis dokumentet endres før den kommer frem til
mottaker vil ikke signaturen kunne verifiseres. Signaturen verifiseres automatisk når
dokumentet åpnes hos mottaker. Dette betyr at systemet er sårbart for integritetsbrudd kun
før signering og etter at signaturen er verifisert.
Teknisk svikt vil som regel oppdages av brukeren, med mulighet for å skrive rapporten på
nytt.
Vi har satt ned tiden på skjermbeskytter til 10 minutter for å unngå at skjermen blir
stående ulåst i lengre tid. Vi anbefaler dessuten at man aktiverer skjermbeskytter dersom
terminalen forlates under skrivingen.
Autentisering av riktig person
En sykepleierrapport sendes til en avdeling, og krypteres til alle som arbeider på
denne avdelingen. Sykepleiere ved mottakeravdelingen må autentisere seg med
smartkort og passord for å kunne lese journalen.
Noen mulige trusler mot autentisering:
•
Felles brukernavn og passord til NT-stasjonen gjøres tilgjengelig for
uvedkommende.
•
Smartkort og passord gjøres tilgjengelig for uvedkommende.
•
For svakt passord gjør at uvedkommende får tilgang.
•
En annen person enn den som har signert dokumentet kan ha sendt det
Det er egentlig 3 nivåer av autentisering; Windows-pålogging (NT), Entrust-pålogging og
epostboks-innlogging. NT-stasjonene er beskyttet med passord, og det er en felles bruker
og et passord for hele avdelingen. For å kryptere eller signere filer må brukeren ha
smartkort og passord. Det er innehaver av smartkortet som autentiseres her, og det trenger
ikke ha sammenheng med hvilken NT-bruker som benyttes. Passordet må i
utgangspunktet oppfylle en passordpolicy som er forholdsvis streng. (f.eks. 8 tegn og
blanding av store og små bokstaver). Dette gjelder for Entrustprogramvaren. Imidlertid
følger det med smartkortdriverne en PIN-utility. Ved å bruke denne kan passordet endres
til et vilkårlig passord som da ikke trenger å tilfredstille passordpolicy som
Entrustprogramvaren benytter. Brukerne er opplært til å benytte Entrust når passordet skal
endres. Derfor vil de passord som benyttes vanligvis tilfredstille Entrusts passordpolicy.
Det tredje nivået av autentisering er autentisering for tilgang til epostboksen som benyttes
for sending eller mottak. Vi har i piloten benyttet en felles epost-bruker som er knyttet til
en felles NT-bruker, slik at brukeren ikke trenger å autentisere seg på ny for tilgang til
epost-systemet.
Ikke-benekting av signering
Journalene blir elektronisk signert. Teknisk kan derfor journalen knyttes til den som har
tilgang til smartkort og passord. Vi har ikke gjort noen avgrensning i forhold til hva
signaturen skal brukes til.
Kryptering og signering er i vår løsning uavhengig av selve sendingen, det er kun
dokumentet (filen) som signeres. Vi har derfor ikke realisert tjenestene ikke-benekting av
sending og mottak i løsningen.
11
Sikker elektronisk samhandling på Aker sykehus
Tilgjengelighet til system/informasjon:
Trusler mot tilgjengeligheten:
•
Glemt smartkort eller kode
•
Tekniske problem med PC, smartkortleser, katalog, programvare
•
Utgått eller svartelistet sertifikat
•
Treghet ved utstedelse av nye sertifikater
•
Teknisk trøbbel med infrastrukturen
Systemet og nettverket som er satt opp benyttes kun til formålet i piloten. Nettverket er
også et lukket nettverk. Dette gjør at forhold som kan føre til driftstans er betydelig
redusert i forhold til de fleste systemer. Bortsett fra noen mindre problemer med
smartkortdriverne, har det heller ikke vært meldt om driftsstans.
Eksponering av data til uvedkommende (Konfidensialitet)
Konfidensialitet er det sikkerhetsaspektet som har vært viet mest oppmerksomhet pga
opplysningenes sensitive natur. Noen mulige trusler mot konfidensialitet:
•
Sykepleier glemmer å kryptere sykepleierrapporten.
•
Uvedkommende klarer å knekke krypteringen.
•
Trojanske hester el. sender ut sensitiv informasjon automatisk
•
Uvedkommende får tak i smartkort og koder til en autorisert bruker
•
Tyveri av arbeidsstasjonen som benyttes
•
Sensitive data lagres på feil sted slik at andre kan få tilgang
Piloten bruker et lukket nettverk og kryptering av sykepleier rapporter og uformelle
henvendelser. Det er svært lite sannsynlig at uvedkommende klarer å knekke
krypteringen, da det benyttes sterk kryptering i piloten. Det er en viss mulighet for at
sykepleierne glemmer å kryptere meldingen(e), men fordi det benyttes et lukket nettverk
anser vi trusselen for utilsiktet utlevering som liten. I et åpent nettverk må det legges
større vekt på å lage brukervennlige løsninger som hindrer at slik utlevering kan skje.
Opplæring og bevisstgjøring er gjennomført for å sikre at brukerne tar nødvendige
forhåndsregler ved oppbevaring av smartkort og koder. Rapportene skal slettes
umiddelbart fra harddisk etter bruk, og dette vil redusere risikoen for eksponering av
sensitiv informasjon ved tyveri.
Sporbarhet
I piloten består sporbarheten i at den digitale signaturen gir mottaker mulighet til å vite
hvem som har signert rapporten. Det er ikke benyttet en juridisk logg for
meldingsoverføring i systemet (dvs. logging av alle meldinger). Av hensyn til
konfidensialitetsaspektet er det lagt opp til at konfidensiell informasjon slettes
fortløpende. Dette betyr at det ikke er sporbarhet av sending i ettertid, men kun i det
sykepleierapporten mottas hos mottaker.
12
Utfordringer ved bruk av PKI på Aker
Tekniske problemer
I dette avsnittet går vi nærmere inn på en del av de tekniske utfordringene og problemene
som er kommet opp. Vi går også nærmere inn på de tekniske aspektene rundt valg av
løsning. Vi skisserer de løsningene vi har funnet på problemene, og beskriver
begrensinger i løsningen.
En avsender, mange mottakere
I SESAM-piloten skal sykepleierapporter gå fra avdeling til avdeling (bydel). Det er en
personlig avsender, men det er avdelingen og ikke en bestemt person på avdelingen som
er mottaker. Det var likevel et ønske at avsender personlig skulle signere rapport. I
SESAM-piloten valgte vi å benytte helt personlige sertifikater for både signering og
kryptering. Et interessant alternativ ville være å benytte personlige nøkkelpar for
signering og rolle/gruppe nøkkelpar for kryptering.
Valg av Entrust løsning
Vi ønsket opprinnelig å bruke Entrust/Express slik at alle e-post meldinger som ble sendt
ville bli kryptert og signert. Denne løsningen ble sett på som fordelaktig på flere måter.
Blant annet ville det være enkelt å sende uformelle henvendelser med konfidensielle
opplysninger.
Som beskrevet i avsnittet under om maskinvare, er det plassert kun en PC på hver
avdeling. Det er derfor flere brukere av hver maskin. Når en melding eller journal sendes
er det ikke gitt hvem på mottaker avdelingen som skal lese meldingen. I utgangspunktet
må meldingen kunne leses av alle på den aktuelle avdelingen. Ved bruk av offentlig
nøkkel kryptografi betyr dette at meldingen må krypteres med den offentlige nøkkelen til
alle på den avdelingen meldingen sendes til. I Entrust er det funksjonalitet som gjør det
enkelt å sende samme melding til flere mottakere. Det er ikke praktisk å opprette en
konto for hver sykepleier verken som NT-bruker eller Outlook-bruker. Det har vært et
ønske at bruken og oppsettet av systemet skal være knyttet til avdelingen og ikke den
enkelte sykepleier. Det er imidlertid ett viktig unntak: signaturen på sykepleier journalen
skal være personlig. Dette gjør det nødvendig at alle sykepleierne har sitt personlige
sertifikat.
Selv om Entrust/Express håndterer sending av e-postmeldinger til flere mottakere, viste
det seg til slutt umulig å få dette til når alle mottakerne har samme e-postadresse.
Entrust/Express forutsetter at hver bruker har sin egen e-postadresse. Vi forsøkte å finne
måter å unngå dette på, og etter samtaler med den norske distributøren, så det en stund ut
som om dette skulle la seg gjøre. Til dette laget vi også en makro i Word som skulle
skrive ut sykepleierapporten i to eksemplarer, sende journalen og så slette den.
Når det viste seg at Entrust/Express ikke kunne gi den funksjonaliteten vi ønsker, ble det
bestemt å benytte Entrust/Enteligence. Ved hjelp av mottakerlister blir da et worddokument kryptert med den offentlige nøkkelen til alle på avdelingen hvortil
sykepleierapporten skal sendes samtidig som den signeres digitalt. Det krypterte
dokumentet blir så sendt som vedlegg i en e-post melding. Som beskrevet i kapittelet om
bruk, var vi litt redde for at denne løsningen skulle oppfattes som svært lite brukervennlig.
Imidlertid ser det ut til at brukerne har vært i stand til overvinne denne hindringen.
Valg av nettverksløsning
Før oppstarten av piloten under TrustHealth2 ønsket vi å bruke Entrust Express for å
kunne signere, kryptere og sende sykepleierrapporten rett fra e-postprogrammet. Noe som
senere i prosjektet skulle vise seg å by på andre problemer. Se foregående avsnitt.
Et problem som dukket opp var at On-Mail, som er Oslo kommunes standard e-post
program, ikke støttet Entrust Express plug-in. Telenors teknikere anbefalte oss da isteden
13
Sikker elektronisk samhandling på Aker sykehus
å bruke MS-Outlook med "vanlig" Internett e-post. Denne baserer seg på protokollene
POP/SMTP, i stedet for On-mail og den noe eldre X-400 protokollen. Vi måtte da også
ha en oppkobling mot OKDN (Oslo Kommunale Data Nettverk) og en mailserver for å
etablere kontakt med Bjerke bydel
Dette resulterte i en søknad til Oslo kommune. En søknad om dispensasjon til å bruke
MS-Outlook e-post program, en MS-Exchange mail-server og en åpning til OKDN under
prosjektets gang. Et avslag på søknaden kom etter 8 måneder.
Etter å ha fått avslag på søknaden ble det klart at vi ikke kunne bruke Aker sykehus LAN
til prosjektet. En mulighet det da ble sett på var å sette opp ISDN- lukkede brukergrupper
mellom avdelingene på sykehuset og bydelen(e). Problemet med denne løsningen var at
det ville bli dyrt både med tanke på innkjøp av ISDN- routere, installasjon og teleavgifter.
Etter samtaler med ElTele Øst som drifter nettverket på Aker sykehus kom vi frem til at
vi kunne koble opp et fysisk adskilt nettverk på Aker sykehus og bruke ISDN
oppkoplinger mot bydelen(e) og etter hvert mot Telenors X-500 katalog tjeneste.
Problemer med lukket ISDN brukergruppe og konfigurasjon av routere
Vi hadde en del problemer med å få koblet opp linja til Bjerke bydel, og siden også mot
X.500 katalogen.
Samtidig med bestillingen av prosjektets lukkede brukergruppe sattes det også opp en
lukket ISDN brukergruppe for IT-vakta på Aker sykehus noe som ble til et problem da det
ene abonnementet som skulle inngå i prosjektets lukkede ISDN brukergruppe isteden ble
meldt inn i IT-vaktas lukkedw brukergruppe. Da vi snakket med feilmeldingen på Telenor
så fant de ingen feil. Da vi omsider fikk rettet opp denne misforståelsen hadde vi også en
del problemer med scriptet på routerene.
Vi fikk også problemer da vi skulle koble opp linja mot X-500 katalogen. For å spare på
utgiftene var planen å dele de to numrene på den ISDN boksen som sto på Aker sykehus.
Det ene nummeret skulle gå mot Bjerke og det andre skulle gå mot katalogen. Da dette
omsider skulle gjøres i praksis fikk vi beskjed fra Telenor om at dette ikke var en tjeneste
man kunne bestille. Hvis det ene nummeret inngikk i en lukket brukergruppe måtte også
det andre nummeret gjøre det.
Etter å ha forsikret Telenor om at det nummeret som ikke skulle være med i lukket ISDN
brukergruppen var koblet til en ISDN-router, og at denne var konfigurert til å ikke ta imot
noen samtaler og kun kunne ringe et nummer (til X-500 katalogen) fikk vi meldt det ene
nummeret ut av den lukkede brukergruppen.
Konfigurasjon av PC
Etter at linja mellom Bjerke bydel og Aker sykehus var satt opp, hadde vi noen problemer
med oppsettet på NT-maskinen på Bjerke. Denne maskinen ble i utgangspunktet satt opp
på samme måte som NT-maskinene på Aker sykehus. Det vil si at de logget inn i et
domene der Exchange serveren var hovedserver. Dette var også stedet hvor de offentlige
nøklene og profilene lå.
Slik som routerene var programmert skulle de lukke linja hvis det ikke var noen trafikk,
men Bjerke-maskinen holdt linja oppe hele tiden. Da vi oppdaget dette la vi en kopi av
den lokale katalogen over på Bjerke og lot brukerne logge seg inn lokalt.
Bruk av piloten uten katalogtilgang
I første omgang ble piloten satt opp for bruk uten katalogtilgang.
Det er viktig å merke seg at Entrust er bygget opp med tanke på integrasjon mot TTPtjener. Denne integrasjonen er svært tett og er skjult for brukeren. Likevel ble piloten
startet opp uten oppkobling til katalogen. Dette gjør at sertifikathåndteringen må vies
ekstra omtanke. Vi har gått frem på følgende måte:
14
Profilene opprettes på maskin med oppkobling mot TTP-tjener. Profilene (både
den delen som er lagret i filer og den delen som er lagret på smartkort) flyttes
over til det lukkede nettverket.
Hver bruker må importere (den offentlige delen av) sertifikatene som han skal
sende til. Dette har blitt gjort på Aker.
Det er opprettet distribusjonslister (bjerke, med9, …). Disse er opprettet av Eli
Moen mens hun er logget på med sin egen profil. Listen må importeres av alle
brukerne (en operasjon) for hver bruker. Det kan siden gjøres endringer i listen
uten at brukerne må importere på nytt. Imidlertid må filen (eks: bjerke.srl)
flyttes manuelt til de andre maskinene.
”Svartelisting” kan ikke håndteres på en tilfredsstillende måte så lenge ikke
piloten har tilgang til katalogen (TTP-tjenere.) Vi har foreslått følgende
retningslinjer i håndteringen:
•
Når noen slutter leveres smartkortet tilbake til Eli Moen. Personen
slettes fra den aktuelle distribusjonslisten, og prosedyre for
oppdatering og distribusjon (se over) av distribusjonslistene følges.
Dette betyr at fremtidige dokumenter ikke vil være kryptert med
vedkommendes offentlige nøkkel. Personen som er sluttet kan
derfor ikke lese dokumenter kryptert til distribusjonslisten.
•
Når noen mister sitt kort benytter vi recover funksjonen i Entrust.
Katalogtilgang
Omtrent midtveis i pilotperioden ble det satt opp en egen ISDN-linje mot Telenors X.500
sertifikatkatalog. Det var flere problemer knyttet til dette, særlig knyttet til ISDN med
lukket brukergruppe, men det var også noen vanskeligheter knyttet til å sette opp IP
adresse og portnummer for katalogtjenesten. Her er det noen valgmuligheter på når det
gjelder konfigurasjon. Noen av disse mulighetene viste seg i praksis å fungere bedre en
andre, uten at det var mulig å klargjøre hvorfor. I et av oppsettene oppstod en feilsituasjon
der det gikk greit å logge inn i Entrust, men det var ikke mulig å få tilgang til katalogen.
Disse problemene ble forvekslet med feil på sertifikatene eller smartkortene før det viste
seg at problemene skyldtes portnummer på katalogtilgangen. Etter at dette ble rette var
det fortsatt problemer med å opprette nye sikkerhetsprofiler ved hjelp av katalogtilgangen.
Opprettelse av slike sikkerhetsprofiler skjer ved å benytte referansekoder og
autorisasjonskoder tilsendt fra Telenor. Klienten vil kople seg opp mot katalogen og
bruke disse kodene for å få opprettet en sikkerhetsprofil. Sikkerhetsprofilen bli så lagret
på smartkort eller fil hos klienten. Denne funksjonaliteten fikk vi ikke til å fungere
sammen med den dedikerte katalogtilgangen. En mulig forklaring på dette kan være at
det er begrensinger på port 309 eller 709 i forbindelse med den dedikerte forbindelse til
katalogen. Det er Nextra som har levert denne forbindelsen, og på skrivende tidspunkt har
det ikke vært mulig å få klarhet i dette.
Etter at piloten hadde vært i drift i en del måneder begynte noen av sertifikatene å gå ut.
Dette skjer ved at sertifikatets gyldighetsperiode overskrides. Det er også mulig å sette en
kortere gyldighetsdato for nøkkelpar på sertifikatet, slik at det kreves at nøklene
oppdateres etter en hvis tid. Når dette skjer vil det genereres et nytt nøkkelpar, og
brukerens sikkerhetsprofil vil oppdateres. I forbindelse med dette fikk vi opp følgende
melding gjentatte ganger:
15
Sikker elektronisk samhandling på Aker sykehus
Telenor Conax som har levert SurfCard som brukes i piloten oppgir at oppdatering av
nøkkelpar ikke er implementert i gjeldende versjon av SurfCard. I forbindelse med at
nøkkelparet skal skiftes ut (Såkalt ”rollover”), oppstår denne feilsituasjonen. Den private
nøkkelen skal bare oppbevares på smartkortet, men når det ikke er funksjonalitet for å
oppdatere dette på smartkortet rapporterer Entrust at nøkkelskiftet er mislykket.
Leverandør av sertifikatene oppgir imidlertid at dette egentlig ikke skal skje, siden det
ikke settes opp nøkkelbytte for smartkortbaserte sertifikater. Imidlertid er det mulig at det
er oppstått en misforståelse som har ført til uriktig konfigurasjon.
Samspill mellom Entrust, smartkort og operativsystem
Når piloten startet opp var Entrust 4.2 siste versjon av programvaren. Entrust 5.0 ble
lansert like etter oppstarten. På grunn av ny funksjonalitet i versjon 5.0 oppstod det et
ønske om å bruke denne når piloten skulle utvides. Fra Telenor og fra den norske
distributøren av Entrust, ble det gitt forsikringer om at dette skulle gå greit. I prinsippet
skulle versjon 4.2 og 5.0 fungere i det samme miljøet (Windows NT og smartkort fra
Conax). I praksis oppstod det imidlertid problemer når vi skulle benytte versjon 5.0. Det
alvorligste problemet oppstod under forsøk på å installere Entrust versjon 5 på Ortopedisk
avdeling under Windows NT. Det viste seg umulig å få dette til fordi software fra Conax
(Cnxsurf.dll) kom i konflikt med Entrust software, selv om både Entrust og Conax
smartkort software fungerte fint hver for seg på Windows NT. Dette problemet vil bli
utbedret i neste versjon av Conax SurfCard. I påvente av dette, ble problemet løst ved å
installere Windows 98!
Problemer med shared recipient list
Såkalt ”Shared recipient list” (heretter kalt mottakerliste) er en funksjonalitet i Entrust
som blir brukt i piloten. Denne funksjonaliteten muliggjør at et dokument kan krypteres
ved hjelp av den offentlige nøkkelen til alle på en mottakerliste. Dette gjør at alle på
mottakerlisten, men ingen andre, kan åpne og dekryptere dokumentet. Siden det ikke er
kjent hvilken person på avdelingen som skal lese sykepleierapporten i det den sendes, må
rapporten krypteres til alle på en avdeling.
Problemet med bruk av mottakerlistene er at disse må oppdateres hver gang det slutter
noen eller begynner noen nye ved en avdeling, og det er denne oppdateringen som har
vært vanskelig. For å ivareta sikkerheten er det i Entrust lagt inn en begrensning på hvem
som kan gjøre denne oppdateringen. I utgangspunktet er det kun den som har opprettet
listen som kan gjøre oppdateringer. Imidlertid virker det også som det er andre
sikkerhetsmekanismer som vi ikke har klart å finne ut av. Ved flere anledninger har
Entrust nektet å lagre en ny versjon av en liste, men uten at det gies noen form for
feilmelding. Dette er sannsynligvis en feil i Entrust, men dette har skapt så store
problemer at løsningen ikke kan benyttes i stor stil før dette er løst.
Problemer med innlogging og utlogging
I et miljø der det er flere brukere på hver arbeidsstasjon er det viktig at det er relativt
enkelt for en bruker å logge inn og ut. I piloten har dette bydd på enkelte problemer som
sannsynligvis skyldes smartkortløsningen levert av Telenor Conax. Imidlertid har vi
greid å jobbe oss rundt dette problemet, hvis vi er nøye med å logge ut av Entrust før
kortet taes ut. Problemene er rapportert til Telenor Conax som jobber med utbedringer.
Organisatoriske utfordringer ved innføring av PKI i en helsevirksomhet
Ansatte ved sykehusavdelinger og bydelshelsetjenesten har en stressende
arbeidssituasjon. Det er dessuten høy gjennomtrekk og problemer med å få besatt
stillinger, og mange blir værende kun en kort stund. Bruk av vikarer er dessuten utbredt.
Dette innebærer mange utfordringer ved innføring av den type IT-løsninger som vi har
benyttet i prosjektet.
Det er problematisk å få gjennomført opplæringen fordi det er vanskelig å ta folk vekk fra
arbeidet, uten at dette går ut over pasienter og gjenværende ansatte. Vaktordninger gir
ytterlige problem, da folk kan ha fri eller senvakter (ettermiddag eller natt) de dagene som
16
det kjøres kurs. Forkunnskapene innenfor IT generelt dårlig blant sykepleiere. I tillegg har
den store gjennomtrekken ført til at det stadig må læres opp nye personer. Vi fant ut at det
mest hensiktsmessige var å kjøre opplæringen i små grupper tilpasset den enkeltes
kunnskapsnivå, og at dette måtte kombineres med skriftlig prosedyrer og superbrukere på
avdelingen som det var mulig å spørre om hjelp.
Utskifting av personale fører også til at det må utstedes nye sertifikater og at gamle må
trekkes tilbake, noe som medfører en del ekstraarbeid. Ideelt sett burde dette ha vært
håndtert av personalavdeling el.
Ved bruk av PKI-løsninger og personlige sertifikater vet man vanligvis hvem mottakeren
er, og kan således velge vedkommendes sertifikat for kryptering. I en helsevirksomhet vil
det ofte ikke være mulig å vite hvem som skal behandle meldingen, det avhenger av hvem
som er på vakt den aktuelle dagen, og av hvordan arbeidsdelingen er. Vi fant det derfor
nødvendig at alle sykepleiere på avdelingen som skulle motta meldingen, måtte ha
mulighet for å lese denne. Dette medførte en del tekniske utfordringer. Vi måtte derfor
kryptere meldingen til alle mulige mottakere på avdelingen. Andre mulige løsninger
kunne ha vært å benytte avdelingssertifikater for kryptering, eller at en bestemt person
(f.eks kontorpersonale) tok imot og videreformidlet alle meldingene.
Enkelte steder kan også mangel på egnede plasser for plassering av PC-er og tilhørende
utstyr være et problem. Slikt utstyr kan ikke stå i korridorer eller steder som er lett
tilgjengelig for pasienter eller pårørende. Mangel på tidsmessig IT-utstyr og infrastruktur
er ofte et problem for helsevirksomheter, og dette gjør at investeringene for å ta i bruk nye
IT-løsninger blir ekstra høye, fordi man også må kjøpe nytt utstyr. Dette betyr også at
nytteverdien av å innføre slike løsninger må være tilsvarende høye for å gi en positiv
kost/nytte verdi. Men dette gir også muligheter for å se innføringen av flere ulike
systemer i sammenheng.
Det som gjør behovet for PKI løsninger spesielt stort innenfor helsevirksomheter er at
man behandler store mengder sensitive personopplysninger som må sikres
tilfredsstillende, samtidig med at det er behov for autentisering av brukerne og i enkelte
tilfeller signering av dokumenter med medisinsk innhold.
Videre anbefalinger for Aker sykehus
Skisse av en mulig fremtidig løsning
I dette avsnittet beskriver vi i korte trekk en mulig løsning basert på Entrust og JetForms
produkter. Løsningen som skisseres vil imidlertid kreve noe programutvikling og
tilpassing for å møte de særlige utfordringer som pilot-prosjektet har avdekket. Det har
imidlertid ikke vært mulig å få gjennomført denne utviklingen innenfor prosjektet. Dette
avsnittet er tatt med for å gi Aker sykehus beslutningsgrunnlag for videre prioriteringer.
Vi starter med å diskutere noen krav som det vil være rimelig å stille til en full skala
løsning. Deretter forsøker vi i noen grad å konkretisere hvordan en løsning som
tilfredstiller disse kravene, kan bygges opp.
Krav til løsning
Det må stilles krav til sikkerheten i løsningen. Ut fra erfaringer og evaluering av piloten,
mener vi at det er naturlig å legge en tilsvarende sikkerhetsløsningen i bunn. Løsningen
har hatt tilfredstillende sikkerhet ivaretatt av sertifikater og offentlig nøkkelkryptografi.
Den sikkerhetsmessig beste løsningen er derfor å videreføre dette.
På den andre siden viser erfaringene fra piloten at brukervennligheten ikke har vært så
god som man kunne ønske. Både bruk og administrasjon har et forbedringspotensial.
Imidlertid ser det ut til at det ikke er mulig å forbedre brukervennligheten og samtidig
17
Sikker elektronisk samhandling på Aker sykehus
benytte seg utelukkende av standard programvare. En videre tilpassning av
applikasjonene behøver imidlertid ikke å være veldig omfattende. Entrust tilbyr et
utviklingsverktøy som gjør det forholdsvis enkelt å gjøre slike tilpassninger.
For at applikasjonen skal være enkel og effektiv, mener vi at brukeren må kunne gjøre
følgende operasjoner innenfor en applikasjon:
•
Velge mellom ulike skjema.
•
Utfylling av skjema.
•
Signering av skjema
•
Kontroll av skjema med underskrift
•
Utskrift av skjema
•
Sende skjema ved å velge mottakeravdeling
Sannsynligvis bør det også være mulig å motta skjema i denne applikasjonen. Vi mener
her at det bør være enkelt å hente opp en ”Inbox” som viser alle skjema sendt til
avdelingen.
SESAM-piloten har ikke vært knyttet til andre systemer ved Aker sykehus. Piloten har
hatt et eget nettverk, egen e-posttjener og egen linje til Bjerke bydel. Arbeidsstasjonene
som er brukt i piloten har ikke vært benyttet til formål utenfor piloten. Problemstillinger
knyttet til integrasjon mot Aker sykehus andre IT-systemer eller integrasjon mot ITsystemer i bydelene, har derfor ikke blitt utredet i detalj. Dette er imidlertid en
problemstilling som må belyses hvis piloten skal danne grunnlag for å bygge ut
tilsvarende løsninger i større skala.
I kjølvannet av JetRek-prosjektet ser det ut som Aker sykehus vil ta i bruk programvare
fra JetForm for å håndtere et større utvalg av skjema ved Aker sykehus. Det er designet
utfyllingsmaler for en del skjema som brukes ved Aker sykehus. Dette inkluderer
sykepleierapporten som har vært benyttet i SESAM-piloten. Dette taler i retning av at en
løsning for sikker overføring av for eksempel sykepleierapporter bør ta utgangspunkt i
JetForm når det gjelder utfylling av sykepleierrapporten. Vi har derfor foretatt en test av
dette som er beskrevet i vedlegg 2.
Videre ser det også ut til at en løsning i større skala må tilpasses e-post løsningen som
velges i Oslo kommune.
Det vil også være et krav til løsningen at Telenors sertifikatkatalog er tilgjengelig enten
via en dedikert linje eller via Internett.
Konkretisering av løsning
I dette avsnittet vil vi konkretisere en anbefalt løsning nærmere.
Anvendelsesområde for en løsning i tråd med den som er testet i SESAM-piloten vil
sannsynligvis gå utover det å sende sykepleierapport mellom bydeler og avdelinger ved
Aker sykehus. En løsning i større skala bør ta sikte på å gjøre det mulig å sende flere
typer skjema mellom avdelinger på Aker sykehus og ulike deler av Oslo kommune.
Ut fra kravene anført i forrige avsnitt ser vi det som naturlig at en løsning bygges opp
omkring følgende tre teknologier:
•
Entrust sikkerhetsløsninger med sertifikater fra Telenor
•
JetForm for skjemahåndtering
18
•
Et e-post system som gjør det mulig å sende e-post meldinger til nødvendige
deler av Oslo kommune
Disse tre teknologiene må syes sammen ved hjelp av tilpassningsmulighetene i Entrust og
JetForm.
Brukergrensesnittet bør sannsynligvis ta utgangspunkt i brukergrensesnittet til JetForm
Filler. Tilleggsfunksjoner for å kryptere skjemaet til alle på mottakende avdeling kalles
ved hjelp av for eksempel knapper på skjemaet. Disse knappene aktiviserer programkode
i Visual Basic. Til dette bør det være mulig å benytte Entrust Development Toolkit for
Visual Basic. Kryptering skal skje ved at en programbit sørger for å finne alle personene
på en ønsket avdeling ved oppslag i Telenors sertifikat katalog. De offentlige nøklene til
disse personene hentes inn, og skjemaet krypteres til disse. Programbiten skal deretter
sende det krypterte dokumentet via e-post til den ønskede avdelingen.
Fra et brukersynspunkt vil bruken bli som følger ved utfylling og sending av skjema.
•
Brukeren åpner ønsket skjematype ved å klikke på riktig ikon.
•
Skjemaet fylles ut
•
Det påføres elektronisk signatur. Hvis brukeren ikke har logget inn i Entrust ved
å klikke på den gule nøkkelen på ”Taskbar”, vil Entrust be brukeren å logge seg
inn ved å angi sitt (Entrust-)brukernavn og passord.
•
Brukeren trykker på en knapp Sende på skjemaet.
•
Skjemaet sendes automatisk til riktig avdeling basert på opplysningene i
skjemaet.
For en bruker vil mottak av skjema skje på følgende måte:
•
Brukeren velger ”Inbox” for skjemaer ved å klikke på et eget ikon.
•
Brukeren får opp en liste med skjema som er kommet inn.
•
Ved å klikke på ønsket skjema, vil det aktuelle skjemaet dekrypteres. For å gjøre
dette må brukeren logge seg inn med sitt sertifikat.
•
Signaturen vil verifiseres og signaturdata vil vises på skjermen.
•
Skjemaet kan skrives ut eller prosesseres på annen måte.
Generelle erfaringer fra bruk av PKI-løsningene
Brukererfaringer
Opplæring
I forbindelse med oppgradering fra Windows 3.11 til Windows NT på sykehuset, fikk de
fleste sykepleierne tilbud om kurs i Windows NT. I tillegg har det blitt holdt et kurs i
Word. Telenor holdt 1 times foredrag om sikkerhet. Det var vanskelig for avdelingen å
sende flere enn 2-3 sykepleiere av gangen, derfor ble det lagd et ”PC-rom” med 3 PC’er
på avdelingen til gjennomføringen av den praktiske opplæringen. Det ble i tillegg lagd en
brukerveiledning.
I forbindelse med foredraget om sikkerhet, vurderte man underveis at brukerne burde få
den praktiske opplæringen før foredraget om sikkerhet. Ved utvidelsen ble det bestemt å
forklare enkelt hvilken sikkerhet som vi har valgt å bruke samtidig som man holdt den
praktiske opplæringen, og ikke kjøre et eget kurs i sikkerhet. Det vil bli vurdert om et eget
19
Sikker elektronisk samhandling på Aker sykehus
kurs angående sikkerhet vil bli holdt senere, når brukerne har fått litt mer
kjennskap/erfaring med løsningen.
Det er utarbeidet rutiner ved den enkelte sengepost/bydel som sier noen om hvem som har
ansvar for å sjekke for innkommet mail og hvor ofte dette skal gjøres.
Brukerstøtte
Foreløpig er det kun 2 personer ved IT-avdeling, Aker Sykehus som har ansvaret for
brukerstøtte, men på sikt vil Helpdesken overta.
I forbindelse med 1 ukes test mellom Medisin post 9 og Bjerke bydel, gruppe Årvoll var
det kun 2 henvendelser der brukerne trengte hjelp. Begge disse henvendelsene gjaldt
problemer med Conax driveren. Det har så langt vært lite tekniske problemer eller behov
for brukerstøtte etter at løsningen ble innført.
Brukernes erfaringer
Tilbakemelding fra Medisin post 9 har vært positiv. Det blir gitt uttrykk for at bruk av
løsningen har ført til bedre samarbeid mellom posten og bydel. Medisin post 9 føler de
kan tilby et bedre behandlingsopplegget til pasientene pga. tilgang på bedre og flere
opplysninger fra bydel . I prosjektet har vi benyttet standard sykepleierapport for Aker
Sykehus. Det ble imidlertid ytret et ønske om å utarbeide en bedre sykepleierapport enn
den vi bruker i dag. Det har ikke vært et mål for prosjektet å utarbeide et bedre skjema for
sykepleierapport enn den som benyttes i dag. Bjerke bydel avd. Årvoll sier opplæringen
har vært tilfredsstillende, utfra at flere av brukerne hadde lite PC-kunnskap på forhånd.
Årvoll synes også at systemet bedrer kommunikasjonen mellom bydelen og sykehuset.
Det er viktig med tilgang til veiledning når det trengs, og dette har fungert bra i prosjektet
så langt.
Erfaringer gjort underveis
Selv om brukerne (se spørreundersøkelse nr. 2) synes løsningen er brukervennlig, så
mener prosjektgruppen at brukervennligheten og sikkerheten kan økes ved en mer
tilpasset løsningen. Det bør være en kobling mellom mottakerliste (shared recipient list)
og e-post adresse, slik at man velger hvem det skal krypteres til samtidig med valg av epost adresse. Sett ut fra sikkerhetsmessige hensyn bør det ikke være mulig å sende e-post
uten at den er kryptert. Det er ønskelig at brukeren kan skrive sykepleierapporten,
signere/kryptere/sende den og motta e-post mens de er i den samme applikasjonen
På grunn av stor turnover har det vært et stort behov for kontinuerlig opplæring, sperring
og bestilling av nye kort. Det bør utarbeides retningslinjer for hvordan dette skal
håndteres.
Spørreundersøkelser
Det har vært gjennomført to spørreundersøkelser. Den første ble gjennomført før piloten
ble igangsatt (i Trusthealth 2-prosjektet), den andre etter at brukerne har testet løsningen.
Oppsummering første spørreundersøkelse
Se vedlegg 1 ”Oppsummering Trusthealth 2”
Oppsummering andre spørreundersøkelse
Kun 10 personer har deltatt i spørreundersøkelse nummer 2, . 2 fra bydelen og 8 fra
sykehuset.
Alle (10) mener at elektronisk kommunikasjon mellom bydelen og sykehuset er noe man
bør bygge videre på. Hele 8 synes systemet er brukervennlig (intuitivt å bruke) likevel
ønsker 9 mer opplæring. Hva de ønsker opplæring i varierer (forskjellige program som
Excel, PowerPoint, pasientadministrative systemet og noen sier generell opplæring).
20
Felles for deltagerne i spørreundersøkelsen er at de i liten grad benytter PC i det daglige
arbeidet og i fritiden. 6 oppgir at de bruker PC mellom 1-5 timer pr. uke, mens 4 sier
mindre enn 1 time pr. uke. 7 bruker ikke e-post/Internett privat. Alle svarer at de kun har
sendt mellom 0-5 sykepleierapporter i løpet av prosjektperioden. I bydelen oppgir de at
det stort sett er en person som har vært ansvarlig for å sende og motta sykepleierapporter.
4 av deltagerne i spørreundersøkelsen er i aldersgruppen 20-30 år, 4 er i aldersgruppen
31-40 år, og 2 i aldersgruppen 51-60 år.
I forbindelse med prosjektet ble alle tilbudt kurs i Windows, Word. De fleste ble også
tilbudt kurs i informasjonssikkerhet.
Oversikt over hvilke kurs deltagerne har gjennomgått:
Pasientadministrativt system
5
Windows (operativsystem)
5
Word (tekstbehandlingssystem)
4
Excel (regneark)
1
PowerPoint el.
1
Sikkerhetsopplæring ift. TH2
5
1 svarer i kommentarfeltet at de har gått på kurs, men usikre på hvilke kurs, men at de har
deltatt på prosjektets kursopplegg.
Oppfatning av, holdninger og tillit til informasjonssikkerhet
”Er, etter din mening, bruk av digital/elektronisk signatur (ved hjelp av et smartkort og
en PIN-kode) tilstrekkelig som identifikasjon?” Her svarer 5 at de er enig, 4 sier at de er
usikre og 1 svarer Vet ikke.
”Er det etter din mening greit å dele smartkort (og en PIN-kode) med andre for å lette
arbeidet?”
6 er uenig i dette, 3 er usikre, mens 1 er enig i utsagnet.
”Vil en digital/elektronisk signatur hindre at en e-postmelding kan leses av
uvedkommende?”
6 svarer Vet ikke, 3 svarer Ja og kun 1 svarer Nei.
7 oppgir at de vet hva som skal gjøres dersom de mister/blir frastjålet kort og/eller PINkode. 1 sier de ikke vet hva de skal gjøre. 2 har ikke svart på spørsmålet. Av de 7 som
oppgir at de vet hva som skal gjøres dersom de mister/blir frastjålet kort/kode sier alle at
de skal kontakte IT-avd (9) eller Telenor (1).
5 mener at bruk av systemet bidrar til en tryggere og sikrere utveksling av
sykepleieopplysninger mellom sykehuset og bydelen enn dagens ordinære rutiner. 3 sier
de er usikre, 1 er uenig i dette, mens 1 vet ikke.
5 vurderer sikkerheten i prosjektet (sett i forhold til å sende sensitive opplysninger med
vanlig postgang) som bra, og 5 er usikre eller de vet ikke.
Konklusjon fra andre spørreundersøkelse
Alle som deltok mener at en bør bygge videre på løsningen, og de var også godt fornøyd
med brukervennligheten til systemet; allikevel har de et stort ønske om mer opplæring.
21
Sikker elektronisk samhandling på Aker sykehus
Det er ikke en klar forståelse av forskjellen på en digital signatur og kryptering.
Halvparten av de spurte mener at systemet bidrar til en tryggere og sikrere utveksling av
sykepleieopplysninger mellom sykehuset og bydelen, og ingen av de spurte mente at
sikkerheten i prosjektet var dårlig.
Konklusjon
Pilotprosjektet har demonstrert at det er mulig å ta i bruk PKI-baserte løsninger for sikker
elektronisk samhandling i helsevesenet i Norge. Brukerne har gitt tilbakemelding om at
løsningen bedrer samarbeidet og kommunikasjonen mellom sykehus og bydel, slik at man
kan tilby et raskere og bedre behandlingsopplegg til pasientene. Det ble også uttrykt
ønsker om å videreføre denne typen løsninger.
Det har vært betydelige tekniske utfordringer knyttet til sikkerhetsløsninger, med hensyn
til smartkort, smartkortleser, nettverk og sikkerhetsprogramvare. Vi har erfart at deler av
PKI-løsningen som vi har benyttet ikke har vært tilstrekkelig moden. I tillegg har det vært
utfordringer knyttet til å tilpasse standard applikasjoner til anvendelsene i piloten.
Spesielle organisatoriske utfordringer har vært å få gjennomført tilstrekkelig opplæring i
en stresset arbeidssituasjon, manglende kontinuitet som følge av hyppig utskifting av
personale og ubesatte stillinger, samt problemer knyttet til utstedelse av kort og
sertifikathåndtering.
Ved en videreføring av løsningene på Aker sykehus anbefaler vi at man vektlegger en
bedre integrasjon med eksisterende helseinformasjonssystemer. I en videreføring bør
man dessuten legge bedre til rette for at pasientopplysninger ikke (utilsiktet) kan
overføres uten bruk av nødvendige sikkerhetsløsninger.
Vi ser et stort potensiale for bruk av denne typen løsninger i offentlig sektor, og
helsevesenet spesielt, men vi anbefaler at man nøye vurderer hvilket sikkerhetsnivå man
bør legge seg på ved innføringen av slike løsninger. Dette gjelder f.eks. om man skal
benytte kortbaserte eller softwarebaserte løsninger, prosedyrer for kortutstedelse og
krypteringsstyrke.
22
Vedlegg 1: Oppsummering fra TrustHealth2
Norwegian Demonstration Site Aker Hospital
Application Scenario before Introducing Security Services
Electronic communication has until now not been used to send reports containing nursing
and medical information between Aker University Hospital and the Home Care Units cooperating with the hospital. Up until now all reports have been send by mail. Reports
from the hospital to the Home Care Unit are often sent together with the patient. When a
patient who is receiving help from the Home Care Services is brought to the hospital there
is often no information about the sort of help the patient has received until then. This
means that the nurses at the hospital have to phone up and get the necessary information,
and so the healthcare workers use a lot of their time to get the correct information and to
communicate with each other.
Because of this the healthcare workers at Aker Hospital and in the care establishment are
not used to dealing with security services when sending nursing and medical reports to
each other.
Policy Description
We choose to use E-mail to transfer the reports containing patient information from the
hospital to the local city or v.v. E-mail is easy to operate and therefore needs minimal
training.
For identification we have decided to use smart cards and have installed smart card
readers. All information will be encrypted before sending. We will set up a connection to
the CA (Telenor) to check if the cardholder is registered.
The education has included 2 days divided into one day devoted to Windows NT and
Word and one day devoted to use of E-mail, security services and the TTP.
Application Scenario after Introducing Security Services
Nurses at Aker hospital will write their reports in predefined forms available in MS Word.
These reports will be secured (encrypted and signed) and sent by e-mail to the Home
cares of Bjerke and Sankthanshaugen, making use of MS exchange mail server and MS
Outlook mail clients including Entrust Express plug-ins for security. The demonstrator
will be implemented in a separate network. Each branch of the hospital will have their
own special purpose PC set up, which will be used by all nurses in that branch. Each
Home care unit will have a similar set up. The PCs will be set up with common user and
password for all users at a branch. However, all users of the system will receive their own
personal smart card to sign the outgoing messages and to decrypt incoming messages.
There will be set up a helpdesk for this project.
This project does not have the purpose of handling long term archiving in electronic
format. The reports will therefore be printed out in two copies at the hospital and signed
manually. These copies will be used for local archival and archival at the local Home
cares. However, the Home care units will be able to print out the reports when received by
e-mail to prepare for the reception of the patients, before receiving the official documents.
The reports will be deleted from local storage at Aker hospital after it has been sent by email and printed out. The reports will be deleted from local storage at the Home cares
when printed out. This is done to avoid storing sensitive information on these PCs for
longer time. The PCs must be discarded properly after the project due to the sensitive
information that has receded on the PCs during the project.
23
Sikker elektronisk samhandling på Aker sykehus
The scope of the project does not include a secure connection to the Internet. The project
has therefore used dedicated connections to separate the network from other networks to
avoid any legal conflicts. All information transferred will be encrypted and signed.
Description of the User Group(s) at the Demonstration Site
Demographics
The members of the Norwegian user group consists of nurses and secretaries from 3
hospital units (medical and surgical wards) at Aker University Hospital and 2 Home care
units. We have chosen to interview approximately 10 persons from each hospital unit and
all the nurses in the Home care units.
Table 0.1: Demographics - Sex
Sex
Female
Male
absolute
35
5
40
%
87,5
12,5
100.0
Only 12,5 % of the users evaluated are males. That is typical for this kind of Health
Professionals in Norway.
Table 0.2: Demographics - Age
Age
≤ 20 years
21-30 years
31-40 years
41-50 years
41-50 years
>60 years
absolute
0
26
8
6
0
0
40
%
0,0
65,0
20,0
15,0
0,0
0,0
100,0
65 % of the users are between 21 and 30 years, and this is typical for nurses working in
hospitals and home care in the big cities, not so typical for the countryside and smaller
cities. This is consistent with the fact that nearly 80 % are working at a non-management
level.
Education and Training
It was allowed to give more than one answer. Most of the users evaluated (92,5 % ) are
nurses. The rest (7,5 % ) are secretaries. Due to the fact that most of the nurses are young
(between 21 and 30) only a few have started and finished a university study.
Table 0.3: Education - Basic education
Education
University
University (not yet finished)
Advances College (Nursing School)
24
Abs.
2
8
37
%
5,0
20,0
92,5
Vocational / Professional Training
School-leaving(High school) Examination
2
1
5,0
2,5
More than 70 % of the Health Professionals (HPs) are working at the Aker Hospital (72,5
%). Aker Hospital is both a university and a community hospital. Only 27,5 % are
working at Home Care units. All of them are salaried workers (100 %).
Profession
Nearly 80 % of the users are not involved with management decisions in connection with
their job positions. This is not a surprise knowing that 65 % are between 21 and 30 years
old and only 5 % have finished university studies. We also see that 60 % of the males are
in the lower management level. This is typical for male nurses who earlier and more often
has a job that includes management decisions.
Table 0.4: Profession - Management Level
Management Level
Upper
Middle
Lower
No Management Level
abs.
0
1
8
31
40
%
0,0
2,5
20,0
77,5
100,0
For fields of activity, it was allowed to give more than one answer. 95 % of the users
interviewed link their daily work directly to clinical care or other care-related business.
Only 5 persons related their work to the administration field although 9 persons answered
that they worked in middle or lower management level.
25
Sikker elektronisk samhandling på Aker sykehus
Table 0.5: Profession - Fields of activity
Field(s) of Activity
Clinical care
Other care-related business
Administration
abs.
37
1
5
%
92,5
1,5
12,5
Grouping Types before and after Introducing Security Services
When grouping the health professionals we have decided to work with four groups
although there are only a few persons in some of the groups. There were nearly identical
scores for both nurses and secretaries, and we have placed them in the same group.
In grouping the 56 questions in the second part of the survey we have divided the
questions in three groups as explained in chapter 3.4.2.
Evaluation Results before Introducing Security Services
The evaluation results before introducing security services shows that we have a very
homogenous group. There is relative little difference between hospital and home care in
their responses.
Still there were a few differences:
Software/operating system too slow
Home Care
Hospital
33 %
Often/Very Often
66 %
I don’t know
65 %
Often/Very Often
9%
I don’t know
It seems that the users at the hospital find the system slower than the ones at home care
units. It is likely to believe that this may be a result of technical solutions or that the
network at the hospital is bigger and more complex than at the home care unit. This may
influence on how fast it is.
Lost data
Home Care
33 %
answer Never/seldom
66 %
answer I don’t know
26
Hospital
73 %
answer Never/seldom
27 %
answer I don’t know
There is probably a connection between lost data, little use of computer or the purpose of
why the computer is used. At the hospital most of the nurses use the computer only to get
result of blood samples, from a database. There is seldom use of saving data.
All of the users (100 %) find security valuable. Most of these found it hard to answer the
questions concerning security due to little computer-related work, knowledge of IT
terminology and computer competence. This gives a high level of “I don’t know”
answers.
Due to the answers of if computers make the job more enjoyable or not, the majority
replied positive.
Computers make the job more enjoyable
Home Care
100 % Agree absolutely/Agree
Hospital
78 %
Agree absolutely/Agree
Computer not available
Home Care
66 %
answer Never/seldom
Hospital
78 %
answer Never/seldom
In the need of a computer, most of the users find it available. This is not surprising since
they are in such little use.
Computer work requires more competence
Home Care
100 % Agree absolutely/Agree
Hospital
95 %
Agree absolutely/Agree
According to this, the users are motivated to increase their knowledge of how to use
computers in their daily work. Because of little use and competence of computers, it is
necessary to prepare an essential training to the users, before introducing the system. It is
also important that the system is made as user-friendly as possible.
27
Sikker elektronisk samhandling på Aker sykehus
Some examples from Norway;
The effort for security in information technology is exaggerated.
Home Care
33 %
66 %
Hospital
79 %
21 %
Disagree/Disagree absolutely
I don’t know
Disagree/Disagree absolutely
I don’t know
The integrity of electronic documents has to be guaranteed or verified uniquely
respectively.
Home Care
66 %
33 %
Hospital
Agree absolutely/Agree
I don’t know
95 %
Agree absolutely/Agree
5%
I don’t know
Medical data in computers systems are more and better protected than others
Home Care
33 %
66 %
Hospital
13 %
70 %
Agree absolutely/Agree
I don’t know
Agree absolutely/Agree
I don’t know
The safety of computer systems is high
Home Care
33 %
66 %
Agree absolutely/Agree
I don’t know
28
Hospital
30 %
53 %
Agree absolutely/Agree
I don’t know
Encryption of electronically stored medical data is incomprehensible and unclear
Home Care
Hospital
100 % I don’t know
95 % I don’t know
Electronically stored medical data are more secure than paper documents
Home Care
33 %
66 %
Hospital
13 %
70 %
Agree absolutely/Agree
I don’t know
Agree absolutely/Agree
I don’t know
Electronically stored medical data can be handled more confidential than papers
Home Care
33 %
66 %
Hospital
17 %
57 %
Agree absolutely/Agree
I don’t know
Agree absolutely/Agree
I don’t know
Passwords are secure enough
Home Care
33 %
66 %
Hospital
22 %
Agree absolutely/Agree
I don’t know
Agree absolutely/Agree
29
Sikker elektronisk samhandling på Aker sykehus
39 %
I don’t know
30
Information technology allows a higher security level for medical data
Home Care
100 % I don’t know
Hospital
83 %
I don’t know
I like to work with computers and network and use the extensive chances of
electronic communication
Home Care
100 % I don’t know
Hospital
78 %
Agree absolutely/Agree
The function of computers and software are not transparent
Home Care
Hospital
100 % Agree absolutely/Agree
82 % Agree absolutely/Agree
Computer work improves the information flow
Home Care
66 %
33 %
Hospital
Agree absolutely/Agree
I don’t know
95 %
Agree absolutely/Agree
5%
I don’t know
Electronic communication is more secure than regular mail or facsimile
Home Care
66 %
33 %
Hospital
26 %
Agree absolutely/Agree
I don’t know
Agree absolutely/Agree
31
Sikker elektronisk samhandling på Aker sykehus
60 %
I don’t know
You can trust your communication partner within a network
Home Care
66 %
33 %
Hospital
22 %
60 %
Agree absolutely/Agree
I don’t know
Agree absolutely/Agree
I don’t know
Communicating electronically it is important that the partners of the
communication authenticate each other specifically
Home Care
33 %
66 %
Hospital
Agree absolutely/Agree
I don’t know
83 % Agree absolutely/Agree
17 %
I don’t know
It must not be possible to deny that message was sent (non-repudiation of origin)
Home Care
33 %
33 %
Hospital
87 %
13 %
Agree absolutely/Agree
I don’t know
Agree absolutely/Agree
I don’t know
It must not be possible to deny that message was received (non-repudiation of
receipt)
Home Care
33 %
33 %
Agree absolutely/Agree
I don’t know
32
Hospital
87 %
13 %
Agree absolutely/Agree
I don’t know
Electronic documents have to be signed in an absolutely secure manner
Home Care
66 %
33 %
Hospital
Agree absolutely/Agree
I don’t know
91 %
Agree absolutely/Agree
9%
I don’t know
Remark: None of the users has knowledge of Health Professional Cards (HPC).
Evaluation Results after Introducing Security Services
The Norwegian demonstrator was not in full use until late in the project period, and so
there was not enough time to do a full evaluation of user experiences and the security
solutions effect on the attitudes and behaviour of the healthcare professionals using the
systems. In addition the department in which the solutions was implemented experienced
a high rate of employee turnover that impaired the possibility of studying the long term
effects. We have therefore chosen a more qualitative approach to the evaluation.
Feedback from the hospital department and the home care unit involved in the pilot has
been positive, and the users have expressed that the use of the solution has led to
improved co-operation between the department and the home care unit. The users at the
hospital department feel they are able to provide better care for their patients because they
are receiving better and more information from the healthcare unit. The users had no
problems to accept that the security in the solution was good enough for the purpose.
The Norwegian project had a large proportion of fairly young healthcare workers (61%
between 21 and 30 at the onset of the study). It is reasonable to assume that this is part of
the reason the use of the new system has been accepted as readily as it has.
33
Sikker elektronisk samhandling på Aker sykehus
Recommendations for Education and Training
Because few healthcare workers can spend much time away from their regular duties,
training should be held as locally as possible, and be efficient and focused on the practical
use of the system. In Norway, the training was held with small groups (2-3 persons) in an
ad hoc computer room established at the department.
Because of the often high turnover rate for healthcare workers establishing procedures to
ensure that new employees are trained in the system and procedures handling removal of
access rights when people quit or change organisational roles are very important. A
suggestion is to establish power users at the departments using the system to handle first
line user support and introducing new users to the system.
Recommendation for Medical Scenarios
In medical scenarios the security solutions should be kept as transparent and easy to use
as possible, so as to allow the healthcare workers to focus on their primary
responsibilities, patient care. In Norway, the project used a Word document template
modelled after an ordinary nursing report, thus easing the transition from paper to
electronic communication.
It is also important to stress the importance of using the genuine interest in using and
learning new methods of electronic communication that most healthcare workers display,
especially in the early stages of introducing these systems. This interest must be kept
alive, and not diminished by the experience of awkward and confusing user interfaces.
The use of security services and technology will be experienced as an empowering tool
with a valuable function as long as it is not seen as overly imposing on the practical use of
the system.
Conclusions
Introduction to and familiarity with security technology is a good way to build
understanding and positive attitudes to information security. The users in the pilot have
expressed that the use of the solution has led to improved co-operation between the
department and the home care unit. Users at the hospital department felt they were able to
provide better care for their patients because they received better and more information
from the healthcare unit, and they had no problems to accept the security of the solution.
Most of the healthcare workers in the Norwegian study was between 21 and 30 years of
age and one can assume that this facilitated the introduction and adoption of the new
solution somewhat. There was little resistance to introducing the system, and no one
reported any objections to the use and perceived security of the solution.
34
Vedlegg 2: Spørreskjema til andre spørreundersøkelse
BAKGRUNNSOPPLYSNINGER:
1. Hvilken aldersgruppe tilhører du (sett kryss) ?
20 - 30 år
31 - 40 år
41 - 50 år
51 - 60 år
over 60 år
2. Hvor arbeider du (sett kryss) ?
Hjemmesykepleien
Sykehusavdeling
IT -KOMPETANSE:
3. Hvilke datakurs/opplæring har du gjennomgått:
Pasientadministrativt system
Windows (Operativsystem)
Word (Tekstbehandlingssystem)
Excel (Regneark)
PowerPoint e.l.
Sikkerhetsopplæring ift. TH2
Annet............................................................................………….
4. Ønsker du mer opplæring?
Ja
□
35
Sikker elektronisk samhandling på Aker sykehus
Nei
□
Hvis Ja, hva ønsker du mer opplæring i?………………………………………………
5.
Bruker du e-post/Internett i fritiden? (sett kryss)
Ja
Nei
□
□
6.
Hvor mange timer pr. uke bruker du ved PC’en/datamaskinen (både på
arbeid og hjemme) (sett kryss) ?:
Mindre enn 1 time pr. uke
1 - 5 timer pr. uke
5 - 10 timer pr. uke
Over 10 timer pr. uke
OPPFATNING AV, HOLDNINGER TIL OG TILLIT TIL
INFORMASJONSSIKKERHET
Her er vi ute etter ditt syn på det å sende ulike opplysninger elektronisk.
Først vil du bli presentert for en del utsagn som du skal si deg enig eller
uenig i. Kryss av for det som passer best i forhold til hvert utsagn.
7.
Er, etter din mening, bruk av digital/elektronisk signatur (ved hjelp av
et smartkort og en PIN-kode) tilstrekkelig som identifikasjon?.
Enig
Usikker
Uenig
Vet ikke
Kommentarer:………………………………………………………………
…………………
8.
Er det etter din mening greit å dele smartkort (og en PIN-kode) med andre for
å lette arbeidet ?
Enig
Usikker
36
Uenig
Vet ikke
Kommentarer:………………………………………………………………
…………………
9.
Vil en digital/elektronisk signatur hindre at en e-postmelding kan leses av
uvedkommende?
□
Ja
□
Nei
Vet ikke
□
Erfaringer fra prosjektet TH2
10. Ca. hvor mange sykepleierapporter (i løpet av prosjektperioden) har du sendt
ved hjelp av e-post?
□
0-5
5-10
□
10-15
□
15-20
over 20
□
□
11. Synes du elektronisk kommunikasjon mellom bydelene og sykehuset er verdt å på
bygge videre på?
Ja
□
37
Sikker elektronisk samhandling på Aker sykehus
Nei
□
12.
Er systemet (bruk av Word/e-post/Smartkort) brukervennlig/intuitivt å
bruke?
Ja
Nei
□
□
Hvis nei, hva synes du er mest
ulogisk?……………………………………………………….
………………………………………………………………………………
………………….
13.
Vet du hva som skal gjøres dersom du mister/blir frastjålet ditt smartkort eller
PIN-koden?
Ja
Nei
Hvis ja, gi ytterligere
informasjon...........................................................……………………….
14. Bidrar, etter din mening, bruk av systemet (e-post, Word, kryptering, digital
signatur) til en tryggere og sikrere utveksling av sykepleieopplysninger mellom
sykehuset og bydelen enn dagens ordinære rutiner?
Enig
Usikker
38
Uenig
Vet ikke
15.
Hvordan vurderer du sikkerheten i dette prosjektet (sett i forhold til å sende
sensitive opplysninger med vanlig postgang)?
Enig
Usikker
39
Uenig
Vet ikke
Sikker elektronisk samhandling på Aker sykehus
Vedlegg 3: Test av JetForm Filler i SESAM-piloten
I dette kapittelet beskriver vi hvordan JetForm Filler kan brukes i stedet for Word til
utfylling av sykepleierapporten. Det beskrives også hvordan brukeren kan signere, sende
og motta rapporter direkte i JetForm Filler. Kapittelet er skrevet på bakgrunn av JetForm
Filler i piloten på Aker sykehus. Testen er imidlertid ikke utført i full skala.
Utfylling av sykepleierapport i JetForm Filler
For å kunne starte utfylling av et skjema i JetForm Filler må det være utformet en mal for
skjemaet. En slik mal ligger som en fil som er tilknyttet JetForm Filler, slik at brukeren
ved å dobbeltklikke på malen, får opp dette skjemaet og kan starte utfyllingen.
Utfyllingen av skjemaet er forholdsvis enkelt, og brukeren beveger seg mellom de ulike
feltene ved å bruke tabulator. Designeren av skjemaet kan legge inn restriksjoner og tester
på de ulike postene som sikrer integriteten av opplysningene som fylles inn i skjemaet.
Når rapporten er utfylt, kan rapporten lagres eller sendes. Et ferdig utfylt skjema kan
lagres i form av en fil eller sendes direkte. I begge tilfeller kan man velge å kryptere
og/eller signere.
Når skjema designes for JetForm er det også mulig å legge inn knapper direkte i skjemaet.
Disse vil ikke vises når skjemaet skrives ut, men kan være en grei måte å gjøre viktige
funksjoner lett tilgjengelig for brukeren.
40
Som ved lagring kan det velges å signere og/eller kryptere. Hvis signering velges fungerer
dette som ved lagring. Velges kryptering vil JetForm/Entrust/Exchange lete etter offentlig
nøkkel knyttet til mottaker. I piloten på Aker vil dette mislykkes, siden sertifikatene er
knyttet til personer og ikke e-post adresse. Problemstillingen her blir den samme som ved
bruk av Outlook/Express.
Åpning av lagret rapport og mottak av rapport som er sendt via e-post
Ved å klikke på et ikon eller ved å bruke Åpne dialogen, bringes en tidligere utfylt rapport
frem. Hvis denne er signert, og brukeren ikke er logget inn i Entrust, kommer Entrust
innlogging. Dette betyr at det er kun de som har sertifikat selv som kan verifisere
signaturer. Etter å ha logget inn, vil signaturen verifiseres, og det vil komme frem en
melding om dette. Ved å velge flere detaljer om signaturen, kommer følgende skjermbilde
opp:
41
Sikker elektronisk samhandling på Aker sykehus
Etter at brukeren har trykket ok, kommer rapporten frem. Det er også mulig å motta
rapporter som er sendt via e-post. Dette kan gjøres direkte i JetForm Filler. Ved å velge
Sjekk e-post.. under e-post menyen i JetForm Filler, sjekkes det om det er innkommende
rapport. Kun meldinger som er sendt fra JetForm Filler vises.
Ved å klikke på melding åpnes denne. Hvis rapporten er signert vil signaturen først
verifiseres på sammen måte som ved åpning av rapporter lagret på disk.
42
Vedlegg 4: Brukerbeskrivelse
43