Arbeids- og reisevanene dine gjør at informasjonsflyten ikke kjenner noen grenser. Jobb og fritid flyter sammen fordi du omgir deg med nettbaserte enheter som forer deg med nyheter og oppdateringer.

Enhetene gjør det mulig for deg å skaffe informasjon, dele den og produsere ny. Forventningen om tilgang til alt hele tiden uansett hvor du er, rives raskt ned av sikkerhetsfolk. Jeg ønsker meg en ny sikkerhetskultur, gjør du? Pasientinformasjon blir ikke lenger produsert og lagret i sikre hvelv.

Pasienter og de som behandler dem har et arbeids- og reisemønster som gir oss en nøtt å knekke. Virkeligheten har truffet dem for lengst: Pasientene forventer at behandlende personell har tilgang til systemer og informasjon som kan redde liv. Uansett hvor i verden de befinner seg.

Dette var tema på OpenGroup sin konferanse i Madrid nå i mai, «Boundaryless Information flow». Jeg diskuterte deling av pasientinformasjon med medlemmene i Healthcare Forum og Security Forum. Jason Lee fra OpenGroup presenterte arbeidet de holder på med på høyt nivå i USA. Hva er de mest enige om? Sikkerhetsfolk må bidra til å realisere pasientenes forventninger, ikke knuse dem.

Nordmenn i føringen

En av foredragsholderne var Stig Hagestande, som er leder for virksomhetsarkitektur i Prosjekt Nytt Østfoldsykehus. Han er medlem av Healthcare Forum og en aktiv deltager OpenGroup. De jobber med felles arkitektur og felles informasjonsmodeller. Arbeidet lagres kontinuerlig i et felles bibliotek som skal danne grunnlaget for IKT og virksomhetsarkitektur i neste sykehusprosjekt,  Nytt Vestre Viken sykehus.

Sykehuset skal stå ferdig i 2022 og både IKT-sjef og sikkerhetsansvarlig ser et stort potensial i å lære av Østfoldprosjektet , slik at biblioteket for virksomhetsarkitektur i helsesektoren kan videreutvikles.

Relevant for alle

Hva har så et norsk sykehusprosjekt og noen amerikanske modeller å si for oss som jobber med informasjonssikkerhet og ikke med pasientinformasjon?  Denne tilnærmingen vil være effektiv for alle typer informasjon, ikke bare for pasientinformasjon.

Arbeidet som pågår benytter OpenGroup sin standard for modenhet og informasjonssikkerhet (O-ISM3) i kombinasjon med gode informasjonsmodeller. For meg er gevinsten åpenbar. Security Forum i OpenGroup jobber også tett sammen med SABSA Institute for å gjøre arbeid med informasjonssikkerhet virksomhetsnært.

Med dette menes i praksis at all investering og bruk av ressurser på informasjonssikkerhet skal rettferdiggjøres ut fra et behov virksomheten som sådan har. Ikke sikkerhet for sikkerhetens skyld, men som en fasilitator for god tilgjengelighet og fleksibilitet.

O-ISM3 sin tilnærming der sikkerhetsmål settes ut fra et virksomhetsmål, kombinert med informasjonsmodeller, gir oss to svært nyttige perspektiver

Arbeidet er godt i gang

Amerikanske myndigheter har allerede utarbeidet tidlige utkast til felles arkitektur og informasjonsmodell for pasientinformasjon. Arbeidet ledes av Federal Health Architecture (FHA), i tett samarbeid med OpenGroup. Dette er den mest sensitive informasjonen vi behandler og deler.

Dersom sikkerhetsmiljøene i Norge kan bidra og påvirke dette arbeidet, vil vi være med på å skape en trygg virksomhetsarkitektur for samhandling på tvers av etater og landegrenser. Klarer vi å dele pasientinformasjon på en trygg måte, klarer vi å dele alt annet.

Hva blir så det vanskeligste å endre i den kulturen sikkerhetsmiljøet i dag representerer? Jo, sikkerhetsfolk må lære seg å snakke med ledere. Ikke bare de som til daglig leder virksomheter, men det sitter mange i styrerommene som ikke forstår hva sikkerhetsfolk snakker om. Under et møte mellom direktører i Silicon Valley der de diskuterte datakriminalitet, oppsummerte en av dem dagens situasjon med tre ord ; Lost in translation.

Veiledere for sikkerhetsfolk

OpenGroup har derfor satt i gang et prosjekt for å gi sikkerhetsfolk konkrete veiledere i dette arbeidet. Disse kan vi være med å forme. Arbeidet skjer i samarbeid med store og internasjonale selskaper som investerer betydelige summer i informasjonssikkerhet og systemsikkerhet.

Vi kan ikke ha kontroll på alle enheter og systemer. Måten vi bedriver risikovurdering i dette arbeidet må endres radikalt. OpenGroup har overtatt en standard for analyse og vurdering av risiko. Jack Jones fra CXOWARE startet arbeidet for over 20 år siden og dette har resultert i OpenFAIR. Hva er hensikten med denne? Besvare noen enkle spørsmål:

  • Hvor mye risiko er vi utsatt for og hva er konsekvensene hvis de inntreffer
  • Hvor mye mindre risiko er vi utsatt for og hvor mye reduseres konsekvensene dersom vi investerer tid og penger i ulike tiltak

Vil du være med?

Med prosjekter som OpenPlatform 3.0TM, IT4ITTM, Internet of things, har sikkerhetsfolk en unik mulighet til å bidra i et globalt initiativ med konkrete leveranser som gjør oss godt beskyttet når vi er på farten, jobber hjemmefra eller skal dele informasjon på tvers av landegrenser og juridiske systemer.  Da kan vi utvikle en sikkerhetskultur der vi snakker et språk ledelsen forstår og setter pris på.

Blir sikkerhetsfolk kjent som mennesker med god innsikt i virksomheten og som til daglig bidrar i prosjekter som utvikler den, da har vi skapt en sikkerhetskultur som gir mening. Hvordan skal vi gå frem for å lykkes med dette? Vi må bli en del av løsningen, ikke problemet. Første møtet med et prosjekt eller hvilket som helst annet initiativ/møte: Spør; Hvordan kan jeg bidra til at dere får gjort det dere skal?

 

 

 

Forfatter

Thorbjørn Ellefsen
Thorbjørn Ellefsen
Thorbjørn Ellefsen er sikkerhetsarkitekt i seksjon for informasjonssikkerhet i Difi.

2 Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut

Kommentarer

Veldig bra artikkel om et vanskelig tema. Hvordan ser du/dere dette i forhold til EUs eHealth Interoperability Framework (http://ec.europa.eu/isa/actions/02-interoperability-architecture/2-12act...)?

Har også lyst til å peke til en blog post jeg gjorde for en stund siden som omhandler brukeraspektet og en internasjonal undersøkelse vi i EMC gjorde for en stund siden som omhandler samme tema: http://sparkblog.emc.com/2014/12/privacy-e-health-getting-balance-right-2/

Takk

Hei Rune og takk for bra innspill. DIFI er positive til EU arbeid på arkitektur og vi benytter oss av et slikt arbeid allerede. De har laget en referansearkitektur for Interoperability , se denne linken: https://joinup.ec.europa.eu/site/eia/EIRA/EIRA_beta_dev/HTML/model.html. Vi benytter oss av samme notasjoner(metamodell) på vår side(Archimate). Da kan sikkerhet bli innebygd, samt være med på å realisere målene. For meg handler det om at tilgjengelighet, integritet og konfidensialitet er attributter i en arkitektur. Archimate gjør oss i stand til å jobbe sammen om elementer og relasjoner, slik at vi kan måle kvaliteten i arkitekturen. Sikkerhet blir da et kvalitetsmål og bloggen din peker på noe svært viktig. Innbyggerne har forventninger til kvalitet. De er skattebetalere, pasienter, studenter, representanter for et privat selskap osv osv. De ønsker å sitte i førersetet. I en engelsk ordbok finner du ordet Primacy. Det er dekkende for det vi vil oppnå.