Ledelsen har hele tiden hevdet av utenlandske IT-arbeidere ikke får tilgang til sensitiv informasjon. Sannheten er en helt annen

[Anders Jensen]

Her er kanskje en av de problemstillingene som burde skremme dere mest; Hva slags audit log tror dere det blir av at en DBA eller lagrings-administrator mapper opp raw disk device til pasient journal databasen eller enda bedre den ukrypterte backupen av databasen og eksporterer den til et annet sted? Null, nix og nada er svaret. Hele arkivet kan eksporteres av en infrastruktur operatør uten at noen HSØ har noen som helst mulighet til å spore det.

 

"Hva vil du det skal stå i loggen?" som vi pleier å si på drift...

 

Man kan jo lure på om det er inkompetanse eller uærlighet i HSØ styret som er grunnlaget for at de satte ut "grunnmuren" i systemet? Hva slags rådgivere er det dette styret har omgitt seg med for å komme til denne forkvaklede konklusjonen?

 

PS jeg har bare historisk kunnskap om systemene, men om de i ettertid har kommet opp med en måte for å sikre dette så skulle jeg gjerne sett den dokumentert. Det er jo teknisk mulig, men virker på meg som fullstendig uoverkommelig med typisk nivå av teknisk gjeld i denne type systemer.

Endret 4. mai 2017 av Anders Jensen

[RaymondHW]

Er det ikke påfallende hvor lite oppmerksomhet denne saken har fått, nesten ingen aviser på nett har rapportert en så viktig sak, eller laget en større artikkel. Det er nok noe sterke politisk krefter som ikke ønsker at denne saken skal få så mye oppmerksomhet.

[uname -i]

Det er bare morsomt, og litt skremmende, å se dette kjøret for å sette ut drift til India og andre lavkostland. Mens trenden andre steder i verden er å rasjonelt vurdere en slik utsetting og hva og hvor mye, så henger vi her på berget etter og ser på utsetting som et mål i seg selv og ikke et middel. Enhver rasjonell motforestilling blir møtt med en dyp skepsis og mistillit for motforestillinger fremsettes jo bare av folk som ønsker å beholde jobben sin her, ikke sant? Så da er det best at ledere som knapt vet bak fram på en datamaskin gjør disse beslutningene i fred uten å belemres med "støy" fra erfarne teknologer. 

 

Jeg vil tippe helsesektoren ikke skiller seg vesentlig fra andre sektorer og at IT-systemene er overmodne for standardisering, konsolidering, effektivisering og automatisering. Potensialet for besparelser og hevning av kvaliteten ligger i første rekke her. Men dette potensialet blir jo mange størrelsesordener vanskeligere å ta ut når man bare tar eksisterende driftskonsepter og sprer dem "as is" for alle vinder og gjerne til personer som bare har en høyst rudimentær forståelse for hva de drifter. Resultatet er i praksis statiske driftskonsepter som snurrer og går inntil samtlige har fått nok og så etterfølges av en desperat og kjempekostbar "fork lift upgrade" som en gang for alle skal løse alle problemer. Repeat.

[Gloria1]

Hadde det vært seriøst drevet, hadde ledelsen måttet tatt sin hatt å gå...på dagen. Makan!

[SectorONE]

Forsvinner det en toppleder nå?(Kathrine M. Lofthus)

 

Norm for informasjonssikkerhet i helse og omsorgstjenesten

PERSONOPPLYSNINGSFORSKRIFTEN

...

§10-3. Straff

Den som forsettlig eller grovt uaktsomt unnlater å følge reglene i kapitlene 2 til og med 7, samt §§8-2, 8-3, 8-4 andre til sjette ledd eller §8-5 i forskriftenher straffes med bøter eller fengsel inntil ett år eller begge deler.

...

[Bolson]

Er det ikke påfallende hvor lite oppmerksomhet denne saken har fått, nesten ingen aviser på nett har rapportert en så viktig sak, eller laget en større artikkel. Det er nok noe sterke politisk krefter som ikke ønsker at denne saken skal få så mye oppmerksomhet.

 

NRK, Aftenposten og DN har alle omtale. Og det var NRK som laget saken opprinnelig. Her ligger mye av grunnen til at du ikke ser den hos mange andre, man "kopierer" ikke saker fra "konkurrenter" - samt at saker av denne type krever kompetanse som mangler i mange mediehus. Dagbladet, VG, TV2 etc har jo ikke en profil som passer med slike tunge saker (om de ikke selv er opphavet).

[7QYPZ69R]

 

Helse Sør Øst har valgt å ikke kryptere noen av databasene med helseopplysninger, så alle med root tilgang eller tilgang til Windows/Linux filsystem kan fritt kopiere hva de vil av databasefiler, og lese innholdet i fred og ro et annet sted, uten noen form for audit. Det er ikke noe problem å stjele en kopi av EPJ, PAS, PACS, RIS uten audit, når du har full tilgang til Windows/Linux.

 

 

Stemmer det du sier der? Ingen logging av inn/utsjekk eller kopiering?

Ikke på filnivå. All aksess i databasen logges, men om du kopierer ut filer, stjeler en backup el. så er det ingen logg.

 

I avtalen mellom HSØ og HPE krever HPE root tilgang, noe HSØ vet at står i avtalen, dermed er det fritt fram, og ledelsen i HSØ som har signert avtalen har visst om det siden avtalen ble inngått.

[Emancipate]

I avtalen mellom HSØ og HPE krever HPE root tilgang

For de uinvidde, dette betyr at HPE har full tilgang til alt som er på serveren, selv det som er "passordbeskyttet". De kan både lese informasjon, legge til informasjon og overskrive informasjon.

 

Edit: Uten at det kan vises på logger - for de kan også overskrive loggene.

Endret 4. mai 2017 av Emancipate

[Nobunaga]

 

 

Helse Sør Øst har valgt å ikke kryptere noen av databasene med helseopplysninger, så alle med root tilgang eller tilgang til Windows/Linux filsystem kan fritt kopiere hva de vil av databasefiler, og lese innholdet i fred og ro et annet sted, uten noen form for audit. Det er ikke noe problem å stjele en kopi av EPJ, PAS, PACS, RIS uten audit, når du har full tilgang til Windows/Linux.

 

 

Stemmer det du sier der? Ingen logging av inn/utsjekk eller kopiering?

Ikke på filnivå. All aksess i databasen logges, men om du kopierer ut filer, stjeler en backup el. så er det ingen logg.

 

I avtalen mellom HSØ og HPE krever HPE root tilgang, noe HSØ vet at står i avtalen, dermed er det fritt fram, og ledelsen i HSØ som har signert avtalen har visst om det siden avtalen ble inngått.

 

 

Samme driftsmodell som pølsebu altså.

 

Det der er jo helt fullstendig useriøst! Uansett om det driftes fra Norge eller India. Når de vet dette – for det MÅ de jo nødvendigvis gjøre – er det loddrett løgn og forbannet dikt det de har servert helseministeren.

 

Det kan ikke bortforklares uansett hvor gode kommunikasjonsrådgivere de har.

[bojangles]

Formålet helliger middelet. Så lenge formålet med tilgangen er i tråd med og følges opp i henhold til de IT sikkerhetskrav som gjelder så er dette i utganspunktet ingen skandale, men i verste fall mangel på kontroll med at tilgangene skulle være midlertidig, muligens for bred, men ikke bredere enn de HSØ's egne driftsfolk og i mange tilfeller også eksterne leverandører (feks. DIPS) har hatt lenge. Skrikene som kommer fram i kommentarene her er mer uttryk for motstand mot outsourcing generelt og utenlandsk sådann spesielt.

 

 

Du bommer fullstendig. Det er soleklart at det er enklere å sikkerhetsklarere og faktisk også å straffeforfølge personer som gies administrativ tilgang til personvernskritiske IT systemer om disse personen er norske statsborgere. Hvordan skal en sikkerhetsklarere folk i andre land, og hvem skal gjøre den biten? Det med manglende sikkerhetsklarering alene er mer enn god nok grunn til å ikke outsource tjenester med sensitive data til utlandet. 

 

Norge kommer relativt greit ut på undersøkelser rundt korrupsjon. Men selv her forekommer det. I veldig mange andre land er korrupsjon og stor svart økonomi en del av både kulturen og ikke minst så innarbeidet at korrupsjon nærmest har blitt en nødvendighet for at hjulene skal gå rundt. Dette med korrupsjon og svart økonomi er ikke noe man kan lukke øynene for, spesielt ikke i IT prosjekter hvor data kan kopieres uten at vedkommende trenger tenke på strafferammer i Norge og evt hva som skjer skulle database tyveriet oppdages, og med tanke på denne aktuelle saken så kan jo en komplett backup av databasen stjeles uten tyven etterlater spor. Do the math.  

 

Når det er sagt så er jeg personlig imot å outsource over en lav sko, det gjelder både IT men også på mer generelt grunnlag. Der det faktisk er mulig bør vi forsøke å klare å levere tjenester og produkter skapt ,utviklet og produsert i landet. Det har både med langsiktighet i forhold til å sikre nødvendig kompetanse og utvikling av kompetansen lokalt, slik det er nå så har vi ikke store fagmiljøer med lang fartstid på drift av komplekse løsninger. Denne type kompetanse må skapes over tid, og må stadig fornyes for å møte fremtidige krav til sikkerhet, skalerbarhet og kompleksitet. 

 

Vi ser at det er nærmest blitt en de facto standard at offentlige IT prosjekter sprekker, eller har brister enten mtp på stabilitet, at systemene og maskinpark ikke er rett dimensjonert til å ta topper eller at sikkerhetsbrister avdekkes. 

 

Hvordan kan vi løse dette? Primært tror jeg det eneste vi kan gjøre er å bygge opp kompetanse og ekspertise lokalt i Norge. Når vi så har kompetanse og også fått IT representert på høyeste nivå i organisasjonene dvs at IT er representert både i styrerom og på øverste strategiske ledernivå så kan en lettere ta avgjørelser som har rot i virkelighetens verden. Der både ledelse og styret er informert om hvilke hindringer og utfordringer endringer på IT vil skape. 

 

Vi kan ikke kjøpe oss ut av problemene ved å outsource drift, helt uten tanke for sikkerhet, stabilitet og ikke minst geopolitiske og kulturelle forskjeller. 

Endret 5. mai 2017 av bojangles

[bojangles]

Ja da er førstemann ut døra i HSØ. Styreleder i Sykehuspartner HF og teknologidirektør i HSØ Thomas Bagley går av som teknologidirektør og avslutter sitt styreverv. 

 

Hvem andre enn Bagley har vist om dette? Og hvor lenge? Det har jo kommet forskjellige versjoner fra flere i HSØ, kan det virkelig være at Bagley er den enste som har kommet med feil informasjon eller er det flere som nå bør ta ansvar og gå av eller få hjelp ut døra?

Endret 5. mai 2017 av bojangles