Datensicherheit im Ausführungsrecht des EPDG

Transkript

1 Swiss ehealth Summit 2016 Risiken und Nebenwirkungen Datensicherheit im Ausführungsrecht des EPDG Walid Ahmed Leiter a.i. Sektion Innovationsprojekte

2 3-Faktor Authentisierung 2

3 but a process! Bruce Schneier Security Guru Security is a not a product, 3

4 RISIKEN UND BEDROHUNGEN 4

5 Gesundheitsdaten als Ziel Quelle: IBM X-Force Research 2016 Cyber Security Intelligence Index 5

6 Gesundheitsdaten als Ziel «Top Target 2015: Healthcare*» «5 of 8 of the largest healthcare security breaches during Jan-Jun 2015!*» (since 2010; >1 Mio. records compromised) * Quelle: IBM X-Force Research 2016 Cyber Security Intelligence Index 6

7 Warum Gesundheitsdaten? vergleichsweise schwach geschützt; (lebens-)wichtig für Patienten und Leistungserbringer; viele weitere persönliche Daten enthalten (Namen, Adressen, Sozialversicherungsdaten, Zahlungsinformationen,...) geeignet für: gezielte Phishing-Angriffe; Profiling; Erpressung (Patienten, Leistungserbringer); Identitätsdiebstahl; Leistungs-/Abrechnungs-Betrug; wertvoll (bis zu $ 1 000) v.a. USA 7

8 Bleibt die Schweiz verschont? vielleicht... Identitätsdiebstahl und Betrug sind v.a. in den USA lukrativ. hoher Reputationsverlust bei illegaler Nutzung durch Arbeitgeber/Versicherungen aber... keine Meldepflicht in CH; viele Daten hoher Nutzen; Quelle: Gemalto Studie zum Breach Level Index Annual Report 2015 Cybercrime kennt keine Grenzen. 8

9 WIRKUNGEN 9

10 Datenschutz und Datensicherheit - Ziele Vertraulichkeit Verfügbarkeit Integrität Nachvollziehbarkeit Eintrittswahrscheinlichkeit und Schadensausmass für Schadensereignisse verringern. 10 Icons 2013

11 Strategien Schulung / Awareness; Systeme patchen/härten; 2-Faktor-Authentifizierung; Zugriffsrechte; Anomalien erkennen; Sicherheit kontinuierlich managen. plan, do, check, act! Prävention Reaktion Detektion «a priori» «a posteriori» «in tempore» 11

12 «Privacy Silver Bullets» privacy by design; Dezentralisierung; Verschlüsselung bewegter... und ruhender Daten penetration-testing; containment; awareness. Prävention Reaktion Detektion «a priori» «a posteriori» «in tempore» 12

13 Ausgangslage Risiko-/Bedrohungsanalyse EPD Vertrauen in Datenschutz und Datensicherheit kritisch für die Akzeptanz (Patienten und GFP). Bedrohungslage allgemein sehr hoch. Abwägung zwischen Wirtschaftlichkeit, Sicherheit und Benutzbarkeit zentral für das Entstehen von Gemeinschaften. Risiko- und Bedrohungsanalyse als Basis für Zertifizierungsvoraussetzungen der EPDV. Stakeholderpartizipation: Datenschützer, Umsetzer, Anwender, Pat.-Organisationen, Experten, «white hat» Hacker; 13

14 14

15 Generischer Bedrohungskatalog Höhere Gewalt G1 Personenausfall G2 Systemausfall, Netzausfall (WAN), Klimaanlage, Heizung G3 Feuer, Wasser, Blitz, Lawinen, Sturm, Temperatur, Feuchtigkeit, Staub G4 Technische Katastrophe, benachbarte Gebäude, KKW Unfall, Magnetfelder, Licht G5 Grossveranstaltungen, Demonstrationen, Krawalle Organisatorische Mängel G6 Fehlende Betriebsmittel G7 Fehlende Kontrollen, Tests, Auswertungen G8 Fehlende oder unzureichende Schulung, Komplexität von Systemen und Komponenten G9 Fehlende Regelungen oder Prozesse G10 Mangelhaftes Management bei Änderungen G11 Prozess wird nicht gelebt oder Verstoss gegen gültige Regelung G12 Unbefugter oder schlecht geschützter Zutritt Menschliche Fehlhandlungen G13 Fahrlässigkeit, unbeabsichtigte Beschädigung G14 Fehlerhafte Administration G15 Fehlverhalten Benutzer G16 Gefährdung durch Fremdpersonal G17 Nichtbeachtung von Vorschriften Technisches Versagen G18 Ausfall von Sicherheitskomponenten / nicht funktionierende Sicherheitskomponenten G19 Datenverlust G20 Hardwaredefekt G21 Softwareschwachstelle G22 Versorgungsausfall oder Beeinträchtigung durch Netzausfall, DB Ausfall, Stromausfall usw. Vorsätzliche Handlungen G23 Abhören, Auswerten, Analysen, Hacken, Spoofing G24 Bösartige Software, Trojanische Pferde und Viren G25 Gefälschte Daten, Integritäts- und Vertraulichkeitsverlust G26 Manipulieren, kompromittieren, vortäuschen G27 Missbrauchen von Konten, Zutritten, Berechtigungen usw., Erpressen von Mitarbeitern G28 Schwachstellen ausnutzen G29 Unberechtigte Handlungen, Diebstahl (auch z.b. defekte HD), Betrug G30 Vandalismus, Anschläge, Sabotagen 15

16 Von der ISO zur TOZ Vorgehen: Vorlage ISO 27001/27002 («Rahmenwerk») Expertenmandat und «peerreview» Risiko- und Bedrohungsanalyse EPD Risiko- und Bedrohungsanalyse EPD lieferte die Grundlage für das spezifische «Tailoring» der ISO-Anforderungen für die EPD-Zertifizierung ISO27001/2 Experten + Peer-Review Risiko- und Bedrohungsanalyse TOZ 16

17 AUSWIRKUNGEN 17

18 Sicherheit durch dezentrale Architektur ext. Zugangsportal Zentrale Abfragedienste (Art. 14): Gemeinschaften & ext. Zugangsportale Gesundheitsfachpersonen Gesundheitsorganisationen Metadaten (inkl. «Rollen») Objektidentifikatoren (OID) UPI-DB der ZAS (Art. 4) Stammgemeinschaft Stammgemeinschaft EPD- Vertrauensraum Icons 2013 Gemeinschaft

19 Datenschutz- und Datensicherheitsmanagementsystem «Gemeinschaften und Stammgemeinschaften müssen ein Datenschutz- und Datensicherheitsmanagementsystem betreiben» 19 Icons 2013

20 Managementsystem zur Umsetzung von Vorgaben Richtlinien und Prozesse bzgl. einzuhaltender Sicherheitsmassnahmen müssen: definiert/dokumentiert; umgesetzt/kommuniziert; eingehalten ( Sanktionen); und weiterentwickelt werden. Vorgaben müssen lückenlos, d.h. auch für Dritte (Lieferanten und Sub-Unternehmen) gelten. 20

21 Governance Datenschutz und Datensicherheit Zertifizierung prüft fordert ein Gemeinschaft stellt sicher DSDS-Mgmt. & -verantwortliche(r) Technik (HW/SW) Organisation (Policies) informiert & verpflichtet Ges.- Einrichtung informiert & verpflichtet stellt sicher Technik (HW/SW) Organisation (Policies) Ges.- Fachperson stellt sicher Technik (HW/SW) Verhalten 21

22 Überprüfung der Vorgaben durch Zertifizierung Audit prüft im Wesentlichen: Existenz und Zweckmässigkeit der Prozesse und des Prozessmanagements; Umsetzung der Vorgaben und Wirksamkeit der Prozesse durch Stichproben; 22

23 Eckpunkte des Ausführungsrechts

24 Datenhaltung / Datenübertragung Querschnittsanforderungen: 2-Faktor Authentifizierung aller Anwender. Integrität und Authentizität von Nachrichten muss gewährleistet sein. Verschlüsselung ruhender und bewegter Daten; Dokumentenablagen Isolierte Ablagen für EPD-Dokumente; nur bestimmte Dateiformate möglich; Art. 9 EPDV Kap. 2 TOZ 24

25 Datenschutz und Datensicherheit (Art. 11 EPDV) - Kernelemente (1/2) Datenschutz und Datensicherheitsverantwortlicher: unabhängig; verfügt über die erforderlichen Kompetenzen und Ressourcen. Elemente des Datenschutz und Datensicherheits- Managementsystem u.a.: Risikokatalog und Risikobehandlungsplan; Inventar: Datenbestände; Betriebsmittel; Verantwortlichkeiten; 25

26 Datenschutz und Datensicherheit (Art. 11 EPDV) - Kernelemente (2/2) Elemente des DSDS-Managementsystem u.a.: Richtlinien, Verfahren/Prozesse, Massnahmen z.b.: Erkennen von, und Umgang mit Sicherheitsvorfällen (SIEM) System-Monitoring, Fraud Detection Prozesse, Verantwortlichkeiten, Containment-Massnahmen Schutz vor Schadcode Massnahmen (Schutz, Erkennen, Entfernen) Reak-tion Prävention Detektion Umgang mit Sicherheitsschwachstellen Aktives Schwachstellen-Management Penetration-Testing «a priori» «a posteriori» «in tempore» 26

27 Datenschutz und Datensicherheit (Art. 11 EPDV) «IT-Grundschutz» (TOZ ) Anforderungen an: Verwaltung schützenswerter Daten und Systeme; angeschlossene Einrichtungen, GFP und Endgeräte; das (nicht-gfp-) Personal und an Dritte; Meldepflicht für Sicherheitsvorfälle; Lifecycle-, Change- und Konfigurationsmanagement: im Betrieb; bei Anschaffung, Entwicklung und Instandhaltung. 27

28 Datenschutz und Datensicherheit (Art. 11 EPDV) Besonderheiten Patienten-Hoheit über die Daten; Umfassende Protokollierung; Verschlüsselte Kommunikation und Datenspeicherung; keine Zwischenspeicher/Intermediäre; Datenspeicher unter Schweizer Rechtshoheit; Notfallzugriff erfordert zusätzlichen Sicherheits-Schritt; «rate limits» für den Abruf/Download; Offline-Archivierung; «Not-Aus» via Sperren des CPI-Eintrags; 28

29 NEBENWIRKUNGEN 29

30 Wirkungen und Nebenwirkungen 30

31 Nebenwirkungen Investment Return Kosten Privacy/ Security Personal Vertrauen Usability Rechtssicherheit 31

32 FAZIT Bedrohungslage ist hoch und wird weiter zunehmen Verlust von Privacy im Bereich Gesundheit ist nicht kompensierbar! Für viele Organisationen im Gesundheitswesen ist der Sprung hoch, aber (längst) fällig!... und machbar Innovationen für Sicherheit und Usability; Alle sitzen «im gleichen Boot Vertrauensraum». Vertrauen ist die Basis für einen nachhaltigen Erfolg des EPD. Nutzen des EPD nicht aus den Augen verlieren. 32

33 Herzlichen Dank

34 BACKUP-FOLIEN 34

35 Datenschutz und Datensicherheit (Art. 9 EPDV) Art. 9 Datenhaltung und Datenübertragung 1 Gemeinschaften müssen sicherstellen, dass: a. die von den Gesundheitsfachpersonen im elektronischen Patientendossier erfassten Daten nach 10 Jahren vernichtet werden; b. bei einer Aufhebung des elektronischen Patientendossiers nach Artikel 20 Absatz 1 sämtliche Daten vernichtet werden; c. Daten des elektronischen Patientendossiers nur in Ablagen gespeichert werden, die ausschliesslich dafür vorgesehen sind. 2 Sie haben auf Verlangen der Patientin oder des Patienten: [...] c. bestimmte auf diese oder diesen bezogene Daten aus dem elektronischen Patientendossier zu vernichten. 3 Das EDI legt die weiteren Vorgaben für die Verwaltung und die Übertragung der Daten des elektronischen Patientendossiers fest. Es regelt insbesondere: [...] d. die zu verwendenden Integrationsprofile; e. die Vorgaben betreffend die Protokolldaten. 4 [...] 5 Das Bundesamt für Gesundheit (BAG) kann die Vorgaben nach Absatz 3 dem Stand der Technik anpassen. 35

36 Datenschutz und Datensicherheit (Art. 11 EPDV) Art. 11 Datenschutz und Datensicherheit 1 Gemeinschaften müssen ein Datenschutz- und Datensicherheitsmanagementsystem betreiben. Dieses muss insbesondere folgende Elemente umfassen: a. die Benennung eines oder einer Datenschutz- und Datensicherheitsverantwortlichen; b. ein System zur Erkennung von und zum Umgang mit Sicherheitsvorfällen; c. ein Verzeichnis der Datenablagen; d. ein Verzeichnis der angeschlossenen Primärsysteme; e. die Datenschutz- und Datensicherheitsvorgaben für die angeschlossenen Gesundheitseinrichtungen und deren Gesundheitsfachpersonen; f. die Datenschutz- und Datensicherheitsanforderungen an das Personal und Dritte. 2 Sie müssen die im Datenschutz- und Datensicherheitsmanagementsystem als sicherheitsrelevant eingestuften Vorfälle der Zertifizierungsstelle und dem BAG melden. 3 Das EDI legt die Anforderungen in Bezug auf Datenschutz und Datensicherheit fest. 4 Die Datenspeicher müssen sich in der Schweiz befinden und dem Schweizer Recht unterstehen. 36

37 EPD Big Picture 37

38 Bezug zu ISO 27001, 27002, ISO Rahmenwerk («Zielkatalog») für die Zertifizierung nach EPDG. ISO liefert «Controls» die im Rahmen der Zertifizierung geprüft werden können («... shall...»). ISO «Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002» unterstützt und definiert was Ges.-spezifisch erforderlich ist («... must...»); 38

39 Ziel: Virtuelles elektronisches Patientendossier