View
2
Download
0
Category
Preview:
Citation preview
Sichere Identitäten für‘s EPDAaron Akeret, Health Info Net AGRotkreuz, 7. Juni 2018
Agenda
© Health Info Net AG 2018 2Sichere Identitäten für‘s EPD
Person behauptet X zu sein
Identifikationsprovider (IDP)verifiziert die Authentizität der Person
Person erhält Identifikationsmittel, welches sie als X ausgibt
Person authentisiert sich mit der ID für einen Zugang
Frau Müller, Ärztin
Ausweiskontrolle, Medizinalberuferegister
elektronische ID und ein 2. Faktor (Zertifikat)
Login beim Portal für Gesundheitsfachpersonen der Stammgemeinschaft
Eine kurze generelle Einführung in die Begriffswelt der Authentisierung
© Health Info Net AG 2018 3Sichere Identitäten für‘s EPD
Die eID von HIN erfüllt die EPD-Anforderungen, ist weit verbreitet, gut verankert und für alle Berufsgruppen erhältlich
§ 22’000 Gesundheitsfachpersonen verfügen über eine HIN Identität
§ 800 Institutionen sind angeschlossen
§ 70 Anwendungen sind sicher per single sign-on erreichbar
© Health Info Net AG 2018 4Sichere Identitäten für‘s EPD
Als Identitätsprovider betreibt HIN ein Informationssystem und eine Reihe von Prozessen
Kern ist die Identitätsverwaltungmit diversen Attributen für
§ Personen§ Institutionen§ Maschinen/Devices
Relevante Prozesse§ Registrierung§ Support§ Revokation§ Authentisierung§ Informationssicherheitsmanagement
© Health Info Net AG 2018 5Sichere Identitäten für‘s EPD
Die HIN eID wird auf diverse Arten - immer mit 2-Faktor-Authentisierung - für viele Services eingesetzt
© Health Info Net AG 2018 6
Nutzertypen
Produkte / Zugangsarten
2. Faktor
Diverse Anwendungen(Beispiele)
Sichere Identitäten für‘s EPD
OTP App
Es gibt viele 2. Faktoren mit unterschiedlicher Verlässlichkeit und Kosten
Mögliche Faktoren• Kategorie: Wissen• Kategorie: Sein• Kategorie: Haben
© Health Info Net AG 2018 7
Verlä
sslic
hkei
t, Si
cher
heit
Hig
hLo
w
HighLow
Kosten, Aufwand
Passwort
PIN
Venen-scan
Finger-abdruck
Gesichts Erk.
StimmErk.
Unter-schrift
SmartCard
Secure Token
RFID Tag
Zertifikat
mTAN
Sichere Identitäten für‘s EPD
Der Zugang zum EPD bedingt elektronische Identitäten eines zertifizierten Identitätsproviders
eID - EPDG Art 7.Patienten und Gesundheitsfachpersonen müssen für den Zugriff über eine sichere elektronische Identität verfügen.
IDP - EPDG Art 11.Herausgeber von Identifikationsmitteln müssen zertifiziert sein.
© Health Info Net AG 2018 8Sichere Identitäten für‘s EPD
Die Anforderungen betreffen den gesamten Lebenszyklus und bedingen eine Erhöhung der Sicherheitsmassnahmen
© Health Info Net AG 2018 9
Lebenszyklus der eID (gemäss eHealthSuisse)
§ Identifikation: persönliches Vorweisen eines Ausweises oder Videoidentifikation
§ Überprüfung der Berufsqualifikation (Register...)§ 2 Faktoren aus unterschiedlichen Kategorien§ Geregelte Gültigkeitsdauer 5 Jahre
Sichere Identitäten für‘s EPD
HIN setzt auf eine elektronische Registration verbunden mit einer Videoidentifikation
© Health Info Net AG 2018 10Sichere Identitäten für‘s EPD
ü Elektronische Registrierungü Step-Up Prozess für bestehende eIDs
Im EPD werden Gesundheitsfachpersonen und Hilfspersonen unterschieden, beide dürfen zugreifen
© Health Info Net AG 2018 11
Hilfsperson (HIP)
§ benötigen eine eID für den Zugriff
§ werden durch die GLN identifiziert
§ können in mehreren Gruppen vorkommen (Abteilung, Klinik etc.)
§ erben die Berechtigungen der «vorgesetzten GFP» (auch mehrere)
§ werden im HPD der Gemeinschaft eingetragen
Gesundheitsfachperson (GFP)
§ benötigen eine eID für den Zugriff
§ werden durch die GLN identifiziert
§ können in mehreren Gruppen vorkommen (Abteilung, Klinik etc.)
§ können durch den Patienten für den Zugriff berechtigt werden.
§ können HIP beauftragen
§ tragen die Verantwortung
§ werden im HPD der Gemeinschaft eingetragen
§ werden im zentralen Dienst (national) eingetragen
Sichere Identitäten für‘s EPD
Die Registrierung für eine eID erfolgt idealerweise in Kombination mit bestehenden HR-Prozessen
© Health Info Net AG 2018 12
Wichtige Punkte/Fragen§ Welche GFP/HIP registrieren?§ Registrierung durch Person selber§ GLN-Nummer muss bekannt sein§ Ergänzung bestehender Prozesse§ Datenhaltung im ERP/IAM/AD§ Synchronisation mit HIN und der SG
Sichere Identitäten für‘s EPD
Akteure und deren Beziehung im Umfeld der EPD-Stammgemeinschaft mit Fokus auf Authentisierung
© Health Info Net AG 2018 13
Betriebs-gesellschaft
Stamm-gemeinschaft
HIN als IDP für GFP
IDP für Patienten
GFP
Gesundheits-einrichtung
GFP oder HIP in
EinrichtungPatient
betreibt AD
hat EPD bei SG
ist Kunde und hat eID
Authentisiert Patienten
ist Mitglied
ist Mitglied
arbeitet in
ist Kunde und hat eID
ist Kunde und nutzt Gateway
§ Gesundheitsfachpersonen registrieren sich direkt bei HIN (Eigner der Identität)
§ GFP oder Gesundheitseinrichtung finanziert die eID bei HIN (Sponsor der Identität)
§ HIN authentisiert GFPs für die Stammgemeinschaft (Portalanschluss)
§ HIN verifiziert die Identität und die Berufsqualifikation
hat eID
Authentisiert GFP
Sichere Identitäten für‘s EPD
Der HIN Gateway nutzt die internen Authentisierungs-mittel beim Zugriff auf externe Anwendungen
© Health Info Net AG 2018 14
Beim Zugriff auf das EPD ist zusätzlich die XUA-Assertion bei jeder Transaktion notwendig
© Health Info Net AG 2018 15
Cross-Enterprise User Assertion (XUA)§ Normal oder Notfall§ Rolle (Patient, GFP, HIP, Stv.)§ Patientendossier (EPD-PID)§ Zugreifer (Auth-Token)
© Health Info Net AG 2018 Sichere Identitäten für‘s EPD 16
Sicherheit im digitalisierten Gesundheitswesen braucht einen ganzheitlichen Ansatz
Sichere Kommunikation
Sichere Authentisierung (Identifikation und Anmeldung)
Sichere Arbeitsgeräte (Endpoint Security)
Eine hohe Awareness der Fachpersonen
© Health Info Net AG 2018 17
Der Endpoint Security Service bietet Endgeräten einen ganzheitlichen Schutz vor Bedrohungen
§ Abwehr von Schadsoftware bereits vor Erreichung des Geräts
§ Erkennung von ausgeführter Schadsoftware, Viren-Infektionen oder Ransomware
§ Beratung und Unterstützung beim Entfernen von Schadsoftware durch Spezialisten
§ Monitoring der Endgeräte in Bezug auf sicherheitsrelevante Aspekte
§ Die Schutzsoftware aktualisiert sich automatisch
Sichere Identitäten für‘s EPD
© Health Info Net AG 2018 18
HIN Awareness Portal: eLearning Informations-sicherheit für Gesundheitsfachpersonen
§ Awareness-Videos, interaktive WBTs und Online-Prüfungen stärken die menschliche Firewall
§ Hohe Benutzerakzeptanz, so macht Awareness Spass
§ Spezifisch für das Schweizer Gesundheitswesen mit allen relevanten Themen zur Informationssicherheit
§ Erfüllt die Anforderungen der Mitarbeiter-aufklärung für eine Zertifizierung nach ISO 27001, VDSG und EPDV
Die Awareness von Gesundheitsfachpersonen hat oberste Priorität - nicht nur für das EPD!
Sichere Identitäten für‘s EPD
HIN der Identifikationsprovider für das Schweizer Gesundheitswesen
© Health Info Net AG 2018 19
ü HIN als IDP erfüllt die gesetzlichen Anforderungen des EPDG
ü Der Gateway erlaubt Zugriffe auf externe Systeme mit einer eID
ü HIN unterstützt mit Stammdaten und übernimmt die Identifikation der Person
ü HIN verifiziert die Berufsqualifikation ü HIN schützt Endgeräte und bietet
Awareness-Schulungen
Sichere Identitäten für‘s EPD
Danke für Ihre Aufmerksamkeit!
© Health Info Net AG 2018 Sichere Identitäten für‘s EPD 20
aaron.akeret@hin.ch, Hotline: 0848 830 740
Recommended