NTB - digi Skrevet 30. november 2017 Del Skrevet 30. november 2017 Rapport: private leverandører i helsesektoren kan ivareta informasjonssikkerhet Lenke til kommentar
Bolson Skrevet 30. november 2017 Del Skrevet 30. november 2017 Nå har jeg ikke lest rapporten, men på meg virker dette nesten som et bestillingsverk for å kunne outsource all IKT innen spesialisthelsetjenesten. Og som Trond Markussen sier, dette er ikke nok - en veileder gir ikke tilstrekkelig trygghet. Rapporten er 158 sider og finnes her, https://ehelse.no/Documents/E-helsekunnskap/Informasjonssikkerhet%20ved%20bruk%20av%20private%20leverand%C3%B8rer%20i%20helse%20og%20omsorgstjenesten.pdf Jeg er også forundret at man ikke ser at "helseopplysninger" knyttet til personer ansvarlig for nøkkelfunksjoner i det norske samfunn kan brukes på en slik måte at det skaper betydelig sårbarhet og risiko for nasjonal sikkerhet. Jeg skal ikke utdype dette i stor grad, men tenk på alle som bekler nøkkelfunksjoner knyttet til fundamental infrastruktur i Norge. Informasjon av denne typen brukes og er historisk brukt til formål som vil være i strid med nasjonal sikkerhet. Det kan godt hende at det ikke er forbud mot å bruke leverandører utenfor Norge, men et spørsmål som faller meg inn er hvordan kan eventuelle brudd mot norsk personvern eller annet lovverk rettsforfølges. Slik jeg ser det vil en IT-arbeid i f.eks Vietnam kunne selge et "komplett" sett med pasientjournal uten å risikere annet enn oppsigelse. Denne type data har for legemiddelselskap, etterretningsorganisasjoner og forsikringsselskap stor verdi - faktisk vil "helseinformasjon" ble meget verdifullt framover. Det er også skuffende at rapporten ikke tar opp behovet for lovendringer og klargjøring av lov- og forskriftsverk. Jeg ser NITO peker på det samme. Slik jeg ser det tar heller ikke rapporten opp i seg at bare det å få opp en "sikkerhetsbevisthet" i Helse-Norge som gjør at vi som pasienter kan være trygge vil ta tid. Bare pga det burde man "pr" dato klart sagt at outsourcing utenfor Norge ikke kan gjøres før man er trygg på intern ledelse og systemer. Personlig vil jeg heller at "digitaliseringen" går litt langsommere - enn at vi skal risikere personvern og eventuelt nasjonal sikkerhet. På alle områder ser det ut til at vi digitaliserer først, og så prøver vi å løse personvern, sikkerhet etc i ettertid - er det ikke på tide at vi løser sikkerhet etc først. 5 Lenke til kommentar
1J7HHBGW Skrevet 30. november 2017 Del Skrevet 30. november 2017 Bukken har betalt for en rapport om havresekken. Norge trenger en sterk ekstern og uavhengig organisasjon som får hele ansvaret for å ivareta personvernet. De kan avgrense hva som er ok eller ei - så får helseforetak og andre bare se å rette seg etter et generelt men tydelig og strengt regelverk. Som fungerer. Med sanksjonsmuligheter. Bolsons kommentar tiltredes uten forbehold. 2 Lenke til kommentar
missi Skrevet 1. desember 2017 Del Skrevet 1. desember 2017 Da er spørsmålet, hvor protesterer en høylydt? Og hvor finnes journalister og mediehus med tynge og vett nok til å rive dette bestillingsverket i filler? Lenke til kommentar
Bolson Skrevet 2. desember 2017 Del Skrevet 2. desember 2017 Da er spørsmålet, hvor protesterer en høylydt? Og hvor finnes journalister og mediehus med tynge og vett nok til å rive dette bestillingsverket i filler? NRK Ytring er en mulig kanal for å kommentere dette. Journalister og mediehus tror jeg ikke eksisterer som kan håndtere dette, - dessverre. Slik jeg ser det er nesten alle journalister som kan mye om "digitalisering" etc så fanget i teknologiens fortreffelighet at de ikke evner å se de negative sidene. Lenke til kommentar
1J7HHBGW Skrevet 4. desember 2017 Del Skrevet 4. desember 2017 Da er spørsmålet, hvor protesterer en høylydt? Og hvor finnes journalister og mediehus med tynge og vett nok til å rive dette bestillingsverket i filler? NRK Ytring er en mulig kanal for å kommentere dette. Journalister og mediehus tror jeg ikke eksisterer som kan håndtere dette, - dessverre. Slik jeg ser det er nesten alle journalister som kan mye om "digitalisering" etc så fanget i teknologiens fortreffelighet at de ikke evner å se de negative sidene. Dessverre har "Du vil ikke tro blablabla" og lignende spredd seg til nesten alle digitale media, og det er spesielt ille mht forbrukerelektronikk beregnet på kommunikasjon. Man kan f.eks som hovedregel aldri stole på en test av nye produkter. Enten er testene linket til f.eks prisjakt eller lignende som i praksis er rene salgskanaler, eller så er de helt avhengig av reklameinntekter fra leverandørene de tester produkter fra. Dårlig omtale kan godt bety færre annonsekroner. Terningene ser ut til å ha bare 2-3 sider :o) Problematisering av teknologien er helt underordnet i hele kjeden fra tjeneste til dings til brukerens lomme. Det er svært mange offentlige institusjoner som burde hatt meget strenge begrensninger på hva de kan bruke av smartdingser og tjenester, og dette problemet er "platformuavhengig". Men når det er sagt: En kan si så mye vettugt som man vil hvor man vil inkludert NRKs ytring, men det er knapt noen lesere som løfter et øyebryn :o) Lenke til kommentar
2XXVCTNO Skrevet 4. desember 2017 Del Skrevet 4. desember 2017 Stusset over hvor lite mediaomtale dette har fått. Likevel er rapporten ryddig og redegjør en del begreper som gjør at også andre en teknisk interesserte kan forstå en del av innholdet. Jeg vil derimot utfordre dette utsagnet av Nard Schreurs: "- Det er enighet om at ikke teknologien er problemet". En floskel det er enkelt å være enig i, men det som beskrives ganske godt i rapporten er at det nettopp er teknologien som er kjernen i problemet. Alle områdene (Basisdrift, Applikasjonsdrift, Applikasjonsforvaltning og Applikasjonsutvikling og -innføring) krever tilgang til produksjonsdata i en eller annen situasjon. Hvorfor er egentlig teknologien laget slik at det er nødvendig? Man lærer jo tidlig å skille mellom prosessering og data, men det er i teorien og kanskje mindre systemer. I stor skala teknologier gjør optimaliseringer og andre ytelseshensyn at eksekvering gjøres avhengig hva slags data som behandles. Det logges og det mellomlagres brukerdata. SQL eksekveringsplaner krever realistiske data for å bli relevante, også for en feilsøkingssituasjon. Man tar kort sagt en restore av siste backup til en test server (kanskje med slakkere rettighets regime) for å ha gode data å feilsøke på. Oppdaterte produksjonsdata er det beste utgangspunktet for å identifisere problemet. Dessverre tror jeg ikke dette lar seg kompensere godt nok for med strengere rettighets-management. Når systemet får problemer, deles det ut rettigheter over en lav sko for å unngå omdømmetap for lang nedetid. Men så glemmer man å rydde opp i rettigheter og datafiler i ettertid. Og kanskje tok den som skulle finne feilen en ekstra kopi av backup fila for sikkerhets skyld... Før teknologien i praksis lar seg drifte, feilsøke og utvikle uten produksjonsdata, kan man heller ikke skille drifts teknikere og utviklere fra produksjonsdata. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå