docKoncernkontoret Årlig rapport till Regionstyrelsen
download 
Report Transcription
Koncernkontoret Årlig rapport till Regionstyrelsen
Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Kontaktperson Informationssäkerhetschef Johan Reuterhäll Tfn: 046-17 10 39 johan.reuterhall@skane.se Årlig rapport till Regionstyrelsen om informationssäkerhetsarbetet Denna rapport utgör den rapport som enligt gällande lagstiftning1 och enligt Region Skånes riktlinjer för informationssäkerhet en gång om året ska lämnas till vårdgivaren med uppgift om vilka 1. granskningar och skyddsåtgärder av större betydelse som har gjorts i enlighet med informationssäkerhetspolicyn 2. riskanalyser som har utförts avseende informationssäkerheten, och 3. förbättringsåtgärder som har vidtagits Rapportens mottagare är vårdgivaren vilket i Region Skånes fall utgörs av Regionstyrelsen. Regionstyrelsen ska också fastställa det förslag till handlingsplan som följer med denna rapport. Denna rapport och medföljande förslag till handlingsplan har som syfte att sätta fokus på brister i ledningssystemet för informationssäkerhet som Region Skåne tillämpar för att uppnå ett kontinuerligt förbättringsarbete och skapa förutsättningar för god styrning och kontroll. Johan Reuterhäll Informationssäkerhetschef 1 1 kap. 3§ Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälsooch sjukvård Adress: S-291 89 KRISTIANSTAD Besöksadress: Kioskgatan 17, LUND Organisationsnummer: 23 21 00-0255 Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Innehåll Årlig rapport till Regionstyrelsen om informationssäkerhetsarbetet ......................................... 1 Sammanfattning och förslag till handlingsplan ...................................................................... 3 Beslut om nya riktlinjer för informationssäkerhet ............................................................. 3 Beslut om införande av informationsägare ........................................................................ 3 Riskbedömningar med informationsklassning ................................................................... 3 Genomförande av tidigare beslut om införande av system för automatiserad logganalys . 3 Inledning................................................................................................................................. 4 Mål ..................................................................................................................................... 4 Omfattning ......................................................................................................................... 4 Innebörd ............................................................................................................................. 4 Överensstämmelse med krav och mål .................................................................................... 5 Problem i nuvarande IT-miljö ............................................................................................ 5 Nu gällande riktlinjer för informationssäkerhet ................................................................. 5 Riskbedömningar och informationsklassning .................................................................... 6 Ansvar och befogenheter .................................................................................................... 7 Uppföljning av tidigare beslut ................................................................................................ 7 Beslut om införande av verktyg för logganalys ................................................................. 7 Granskningar och skyddsåtgärder .......................................................................................... 8 Externa granskningar.......................................................................................................... 8 Interna granskningar ........................................................................................................... 8 Genomförda riskanalyser ....................................................................................................... 9 Förbättringsåtgärder ............................................................................................................. 10 Informationssäkerhetsorganisationen ............................................................................... 10 Samverkan med andra regioner inom informationssäkerhetsområdet (G4) ..................... 10 Informationsinsatser ......................................................................................................... 10 Utbildningsinsatser ........................................................................................................... 10 IT-säkerhet ....................................................................................................................... 11 Övrigt ............................................................................................................................... 11 IT-incidenter under 2014 ...................................................................................................... 11 Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Sammanfattning och förslag till handlingsplan Beslut om informationssäkerhetspolicy Regionstyrelsen beslutar att AKS får i uppdrag att ta fram en informationssäkerhetspolicy samt göra en översyn av övriga styrande dokument i syfte att harmonisera, modernisera och om möjligt minska det totala antalet dokument. Beslut om införande av informationsägare Regionstyrelsen beslutar att informationsägare införs som en ny roll inom Region Skåne. Ansvar och befogenheter definieras närmare i informationssäkerhetspolicyn och övriga styrande dokument. Den av Medicinsk service förvaltade styr- och förvaltningsmodellen för IT- och MT-system kompletteras med denna roll och informationsägarskap utses för varje informationsmängd inom Region Skåne i den takt som är möjlig och med prioritet för de stora journalsystemen och kvalitetsregistren samt i harmoni med införandet av övriga roller inom ramen för nämnda styrmodell. Riskbedömningar med informationsklassning Regionstyrelsen beslutar att AKS får i uppdrag att definiera processerna för riskbedömningar och informationsklassning och besluta om vilket eller vilka verktyg som ska användas inom hela Region Skåne för inventering, informationsklassificering, uppföljning och dokumentation av informationssystem och tillhörande skyddsåtgärder. Genomförande av tidigare beslut om införande av system för automatiserad logganalys Regionstyrelsen beslutar att ge Regiondirektören i uppdrag att ge förvaltningen Medicinsk service ett förnyat uppdrag att ge verksamhetsansvariga, som har skyldighet att genomföra kontroll av loggar i journalsystem, tillgång till ett automatiserat logganalysverktyg i enlighet med Regionstyrelsens tidigare beslut. Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Inledning Medborgarna ska kunna få insyn i Region Skånes verksamhet och vara förvissade om att den information som Region Skåne lämnar är korrekt samt att den information som samlas in får tillräckligt skydd. Information är en av Region Skånes viktigaste tillgångar och utgör en förutsättning för att kunna bedriva verksamhet. Våra informationstillgångar ska därför behandlas och skyddas på ett tillfredsställande sätt mot de risker som förekommer. Avbrott i tillgången till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser inom hälso- och sjukvården, kollektivtrafiken och inom Region Skånes övriga ansvarsområden. Mål Målet för Region Skånes informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för Region Skånes verksamheter att uppnå sina mål. En god informationssäkerhet inom Region Skåne främjar verksamheternas funktionalitet, kvalitet och effektivitet, patientsäkerhet, medborgares rättigheter och personliga integritet. Det stärker också Region Skånes förmåga att förebygga och hantera allvarliga störningar och kriser samt förtroendet för Region Skånes informationshantering och IT-system. Omfattning Informationssäkerheten omfattar alla informationstillgångar oavsett om de behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö de förekommer. Informationssäkerhetsarbetet styrs med hjälp av Region Skånes verksamhetsledningssystem som implementerar standarden för ledningssystem för informationssäkerhet, SS-ISO/IEC 27000 och utifrån organisationens verksamhetskrav samt gällande lagar och föreskrifter. Ledningssystemet ger en struktur för ledning och styrning av informationssäkerheten på både övergripande nivå och på verksamhetsnivå. Innebörd Informationssäkerhetsarbetet innebär att värdera all information efter sin känslighet och med hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när den behövs, att den är korrekt, att obehöriga inte kan få tillgång till den samt att förändringar är spårbara. Skyddet av informationstillgångar och informationssystem ska vara utformat så att verksamhetens krav på dessa säkerhetsaspekter uppfylls. Detta gäller även när Region Skånes information eller informationssystem hanteras av extern part. Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Överensstämmelse med krav och mål Problem i nuvarande IT-miljö Vårdsystem Det är väl känt att det finns problem med flera av de IT-stöd som används inom vården i Region Skåne. Ur informationssäkerhetsperspektiv handlar problemen framförallt om att krav från nuvarande lagstiftning är bristfälligt implementerat eller att kraven inte uppfylls i ITstöd. Ett problem är att Region Skånes vårdsystem i förekommande fall saknar stöd för att hantera flera vårdgivare, sammanhållen journalföring. Det innebär att Region Skåne i vissa applikationer inte kan använda sig av sammanhållen journalföring eller att spärrar av journaler mellan vårdgivare måste lösas på att sätt som är till nackdel för patientsäkerheten. I vissa informationssystem där kraven från Patientdatalagen har implementerats så har utformningen varit till en nackdel för vårdpersonalen där de tvingas till onödiga arbetsmoment samt att viktig information inte kommer behörig vårdpersonal tillgodo, vilket i sämsta fall kan riskera patientsäkerheten. Vårdregister och uppföljningsverksamhet Utveckling av verktyg för uppföljning av kvalitet och produktionsresultat går i snabb takt framåt. Även informationsmängderna som genereras ur vårdsystemen med syftet att följa upp verksamheten och förbättra kvaliteten ökar snabbt. Det finns risker med detta som bör belysas. Det finns en icke obetydlig risk att nya informationsmängder med patientuppgifter och andra känsliga personuppgifter framställs utifrån samkörningar av data från flera källor och att denna information hanteras på ett sätt som kan vara ett hot mot patientintegriteten. Det gäller dels förvaringen av informationen, dels att säkerställa att endast behöriga kommer åt den. Det är även i vissa fall inte klarlagt vem som äger den nya informationen som genererats och som kan svara på hur den ska klassificeras vilket i sin tur styr bland annat hanteringsregler och åtkomst till informationen. Verktygen som används saknar även behörighetshantering och möjlighet att följa upp loggar i den utsträckning som följer av Patientdatalagen. Med anledning av ovan identifierade problemområden understryks vikten av att aktivt arbeta med informationssäkerhet. Nedan följer ett antal förslag till åtgärder för att förbättra det proaktiva arbetet och förtydliga ansvaret för Region Skånes informationstillgångar. Nu gällande riktlinjer för informationssäkerhet Region Skånes styrande dokument för informationssäkerheten är ”Riktlinjer för informationssäkerhet i Region Skåne, beslutat av Regionstyrelsen 2009-05-12. Den utgör en komplettering av säkerhetspolicyn, fastställd av Regionfullmäktige, beslutad 2003-06-18. I korthet anger riktlinjer för informationssäkerhet att informationssäkerhetsarbetet ska bedrivas förebyggande och inriktas mot att eliminera brister och att det så långt som möjligt Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 ska bedrivas enligt Svensk Standard2 för informationssäkerhet och vara en integrerad del av verksamheten och följas vid planering, utveckling, ackreditering och upphandling. Det ska finnas rutiner för risk- och avvikelsehantering. Arbetet med informationssäkerheten ska genomföras organiserat, med rätt bemanning och med rätt kompetens och utbildning ska genomföras systematiskt och regelbundet. Uppföljning av efterlevnad ska ske systematiskt och regelbundet och rapportering av större händelser och åtgärder ska ske en gång per år av informationssäkerhetschefen till Regionstyrelsen. Nuvarande riktlinje för informationssäkerhet ställer krav på hur arbetet med informationssäkerhet ska bedrivas. Den ligger i linje med hur andra regioner och landsting arbetar med frågorna och i linje med gällande lagstiftning. Riktlinjen brister dock i en del avseenden och detta bör ändras i ett nytt beslut där en informationssäkerhetspolicy ersätter nuvarande riktlinje för informationssäkerhet och därmed utgör det högsta styrande dokumentet. Att det bör vara en policy kommer av att det i 2 kap. 1§ i Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) anges att vårdgivare ska ha en informationssäkerhetspolicy. Utöver beslut om informationssäkerhetspolicy bör även samtliga övriga styrande dokument i form av riktlinjer och anvisningar ses över och harmoniseras så långt som möjligt med motsvarande styrande dokument som finns i Stockholms läns landsting och Västragötalandsregionen då vi går mot en ökad användning och utveckling av gemensamma system. Förslag till beslut: Regionstyrelsen beslutar att AKS får i uppdrag att ta fram en informationssäkerhetspolicy samt göra en översyn av övriga styrande dokument i syfte att harmonisera, modernisera och om möjligt minska det totala antalet dokument. Riskbedömningar och informationsklassning Av nuvarande riktlinjer görs tolkningen att riskbedömningar ska genomföras då arbetet ska bedrivas förebyggande och det ska finnas rutiner för riskhantering. Bedömningen i nuläget är att riskbedömningar inte genomförs systematiskt, i tillräcklig omfattning och med den kvalitet som bör eftersträvas i Region Skåne som hanterar en stor mängd skyddsvärd information i ett stort antal system. Avsaknaden av riskbedömningar ökar avsevärt risken att informationssystem utvecklas eller vidareutvecklas utan att lagkrav och verksamhetens egna krav omhändertas vilket kan leda till att systemen måste modifieras i efterhand med stora kostnader som följd och att Region Skåne under tiden i sämsta fall bryter mot lagkrav. Att verksamhetens krav inte omhändertas kan leda till system som inte är anpassade efter verksamhetens behov. Detta innebär i sin tur onödiga kostnader då det ofta leder till ineffektivitet, onödiga arbetsmoment och svårigheter att uppfylla ingångna avtal. Riskbedömningens grund ligger i informationsklassning, d.v.s. värdera informationsmängder, identifiera krav på dem och i slutändan bestämma rätt skyddsåtgärder. Ett processorienterat synsätt är nödvändigt och ytterst bör genomförandet av riskbedömningar ses som en del av 2 Svenska standarder för informationssäkerhet är 1. Ledningssystem för informationssäkerhet - Krav (SSISO/IEC 27001:2014, fastställd 2014-02-26), och 2. Riktlinjer för informationssäkerhetsåtgärder (SS-ISO/IEC 27002:2014, fastställd 2014-02-26). Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Region Skånes kvalitetsarbete och en viktig del i att bidra till ändamålsenliga stöd till verksamhetsprocesserna. Med rätt kompetens i deltagandet vid riskbedömningen är den ett mycket bra sätt för olika aktörer som exempelvis informationsägare, verksamhetsansvariga, systemansvariga och driftleverantörer att samverka på ett medvetet sätt kring säkerheten i informationshanteringen och i tidigt skede ta höjd för de krav som finns och fatta väl underbyggda beslut kring skyddsåtgärder. Förslag till beslut: Regionstyrelsen beslutar att AKS får i uppdrag att definiera processerna för riskbedömningar och informationsklassning och besluta om vilket eller vilka verktyg som ska användas inom hela Region Skåne för inventering, informationsklassificering, uppföljning och dokumentation av informationssystem och tillhörande skyddsåtgärder. Ansvar och befogenheter Väl fungerande rutiner och verktyg är en nödvändighet för att en organisation ska kunna arbeta effektivt och systematiskt med informationsklassning. Den mest centrala delen i detta är att det måste finnas ett utpekat ansvar med tillhörande befogenheter för informationstillgångarna. Ansvaret för informationen i en verksamhet ligger på den som leder verksamheten. I en myndighet som Region Skåne är det oftast en verksamhetschef som är informationsägare men för mer övergripande system kan informationsägarskapet finnas på en högre nivå. Informationsägarskapet är i dagsläget inte definierat inom Region Skåne och det saknas även i den beslutade styr- och förvaltningsmodellen3 som finns framtagen och som förvaltas av Medicinsk service. Det bedöms som mycket angeläget att komplettera styr- och förvaltningsmodellen med rollen informationsägare och definiera ansvar och befogenheter för denna roll. Med ett tydligt definierat informationsägarskap får informationstillgångar inom Region Skåne en ägare som kan formulera och besluta om krav på konfidentialitet, tillgänglighet, riktighet och spårbarhet. Förslag till beslut: Regionstyrelsen beslutar att informationsägare införs som en ny roll inom Region Skåne. Ansvar och befogenheter definieras närmare i informationssäkerhetspolicyn och övriga styrande dokument. Den av Medicinsk service förvaltade styr- och förvaltningsmodellen för IT- och MT-system kompletteras med denna roll och informationsägarskap utses för varje informationsmängd inom Region Skåne i den takt som är möjlig och med prioritet för de stora journalsystemen och kvalitetsregistren samt i harmoni med införandet av övriga roller inom ramen för nämnda styrmodell. Uppföljning av tidigare beslut Beslut om införande av verktyg för logganalys Beredningen för integritetsfrågor initierade 2012 en övergripande uppföljning av hur förvaltningarna levde upp till kravet på uppföljning av loggar4 samt hur dataintrång hanteras. 3 Verksamhetsstyrd styr- och förvaltningsmodell för IT- och MT-system, daterad 2014-08-07 4 kap. 3 § Patientdatalagen (2008:355) samt 11§ punkt 4 i SOSFS 2008:14 om informationshantering och journalföring inom hälso- och sjukvården. 4 Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Stora brister och skillnader i arbetssätt konstaterades. En rapport lämnades till Regionstyrelsen som fattade beslut5 om att ge Regiondirektören i uppdrag att införa verktyg för logganalys som stödjer, underlättar och förbättrar verksamhetschefens systematiska och återkommande stickprovskontroller av loggar, samt verka för att arbetet med centralisering av loggar fortskrider. Regiongemensamma instruktioner togs fram med anledning av detta och blev klara i oktober 2013. Samtidigt initierades ett arbete med framtagande av ett verktyg för logganalys av Medicinsk service. Under 2014 pågick ett projekt inom Medicinsk service med målet att införa ett sådant system men projektet avslutades under senare delen av 2014 utan att något system införts. Region Skåne ska genomföra uppföljning av loggar och i den beslutade instruktionen som reglerar detta anges att cirka 10 % av personalen slumpmässigt ska väljas ut varje månad för kontroll. Loggarna, avseende de personer som slumpats fram, ska därefter granskas under en tidsperiod på 24 timmar. I dagsläget genomförs inte detta så som instruktionen anger och i de fall det sker så är det ett ineffektivt sätt där sannolikheten att hitta olaga dataintrång är mycket liten. Kontrollen är också mycket tidsödande då den sker helt manuellt och tar därför tid från den ordinarie verksamheten. Förslag till beslut: Regionstyrelsen beslutar att ge Regiondirektören i uppdrag att ge förvaltningen Medicinsk service ett förnyat uppdrag att ge verksamhetsansvariga, som har skyldighet att genomföra kontroll av loggar i journalsystem, tillgång till ett automatiserat logganalysverktyg i enlighet med Regionstyrelsens tidigare beslut. Granskningar och skyddsåtgärder Externa granskningar Datainspektionen (DI) genomförde under 2014 en uppföljande tillsyn6 efter ett beslut från den 31 mars 2013 som konstaterade att Region Skåne inte följer PDL i det avseendet att det inte går att spärra vårdinformation med teknisk funktion i ett flertal system. Region Skåne föreläggs att omgående införa tekniska funktioner för spärrar i de IT-system som saknar spärrar och som behandlar vårdinformation. Region Skåne beslutade med anledning av detta att initiera utveckling av stöd för yttre spärr (sammanhållen journalföring) i Melior. Utvecklingsarbetet pågår för närvarande hos leverantören och ett införande planeras till vintern 2015/2016. Eftersom Melior inte har ett generellt stöd för begreppet vårdgivare innebär det att spärrar manuellt måste administreras på varje vårdkontakt. Antalet patienter med spärrade uppgifter i Melior är mellan 700-800 stycken av det totala antalet patienter som är lite drygt 800 000 stycken. Interna granskningar Revisionskontorets granskning av distansarbete ur patientsäkerhetsperspektiv Region Skånes revisionskontor har under 2014 granskat7 om distansarbete inom Region Skåne sker på ett sätt som uppfyller gällande beslut, riktlinjer och policys. Den samlade bedömningen är att gällande policys och riktlinjer för distansarbete idag inte inkluderar patientsäkerhetsperspektivet på ett tydligt sätt. Granskningen har med den information som varit tillgänglig kunnat dra några slutsatser kring huruvida distansarbete sker på ett 5 § 127 Uppföljning av efterlevnad av anvisningar för logguppgifter och dataintrång, dnr 1202435 Region Skånes diarienummer 1302395 7 Revisionskontoret PM Nr 4/2014 samt Rapport nr 19, 2015-02-17 6 Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 patientsäkert sätt. Granskningen ger bland annat förslag till förbättring av sekretess och patientsäkerhet vid distansarbete. Revisionskontorets granskning av IT-verksamheten Revisionskontoret har granskat8 om Region Skånes IT-verksamhet organiseras, planeras och genomförs av medborgare och patienter utifrån Region Skånes politiska beslut. Ur informationssäkerhetsperspektiv är två iakttagelser i rapporten av intresse. Det gäller dels kunskapen när det gäller rutiner för backup som är låg ute i verksamheten. Beställningar av backup sker godtyckligt och det finns inte alltid kunskap om vilka backupintervall som är optimala för respektive system. Granskningen konstaterar också att rutinerna för utbildning av personal i nya IT-system är otillräcklig. Systemen kan skapa missnöje och framstå som otillräckliga och inte användarvänliga när det egentligen beror på okunskap hos personalen. Det finns alltså anledning att se över rutiner för lagring och backup av journaler och patientinformation samt rutinerna för utbildning av personal i nya IT-system vilket även är granskningens slutsats. Regionarkivets granskning av utskrifter från journalsystem Regionarkivet utövar bland annat tillsyn över Region Skånes arkiv och genomförde en undersökning under 2014 över hur sjukvårdsförvaltningarna hanterar utskrivna journalhandlingar på papper. Man konstaterar att det skrivs ut stora mängder pappersremisser och journalutskrifter och att detta leder bland annat till att omfattande resurser läggs på journalskanning. Ur ett informationssäkerhetsperspektiv är undersökningen intressant då pappershantering innebär en ökad risk för att känsliga personuppgifter hanteras felaktigt och att spårbarheten minskar. Undersökningen ger ett antal rekommendationer som bland annat innefattar att ta fram regiongemensamma instruktioner för hur journalutskrifter och journalkopior ska hanteras samt en rekommendation om att införa elektronisk remisshantering mellan regionens vårdenheter. Genomförda riskanalyser Region Skåne genomförde under slutet av 2013 en riskanalys9 avseende informationssäkerhet med anledning av outsourcing av delar av driften till molntjänst. Riskanalysen är senast uppdaterad 2013-12-20 men har varit aktuell under 2014 och genomförandet av outsourcingen pågår för närvarande. Riskanalysen är allmän och inte inriktad på ett specifikt system men tar upp de risker som finns generellt med outsourcing med viss inriktning mot vårdinformationssystem. Riskanalysen pekar på ett antal risker som bör hanteras innan information som kräver skydd flyttas till molntjänster. Förutom vårdinformation som omfattas av sekretess kan detta röra sig om uppgifter om egna anställda som i vissa fall också omfattas av sekretess. Kommentar: Den flytt av information och tjänster till molntjänster som sker efter riskanalysens upprättande visar att riskanalysens förslag till åtgärder inte tagits i beaktande. Det saknas tillräckligt väl genomförda riskanalyser för de enskilda system som flyttas vilket innebär att skyddsvärd information och infrastruktur riskerar att placeras i en miljö som inte uppfyller lagkrav och Region Skånes egna krav. 8 9 Revisionskontoret Nr 7, september 2014 Riskanalys – Infrastruktur som molntjänst, daterad 2013-10-15 Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Förbättringsåtgärder Informationssäkerhetsorganisationen Informationssäkerhetsorganisationen försvagades under 2014 p.g.a. den tidigare omorganisationen där enheten för informationssäkerhet minskade bemanningen med en medarbetare samt att enheten upplöstes. Även sjukdom under året minskade aktiviteten inom området. Inom förvaltningarna prioriterades informationssäkerhetsarbetet i många fall ner som en konsekvens av genomförandet av Skånevård 2.0. Upparbetade arbetssätt upphörde och kommunikationsvägar blev mindre tydliga vilket bidrog till att arbetet inte kunde utföras på ett effektivt sätt. Den negativa utvecklingen bröts under slutet av 2014 då samverkan intensifierades mellan AKS, Regionarkivet och enheten för juridik vilka alla fyller mycket viktiga funktioner inom informationssäkerhetsområdet. Den 1 januari 2015 flyttades informationssäkerhetschefen till Området för ambulans, krisberedskap och säkerhet (AKS) vid Koncernstab kansli från enheten för juridik och den 1 februari 2015 anställdes en ny informationssäkerhetschef. Regionarkivet tillsatte, som ett resultat av förändringen, en informationssäkerhetshandläggare som under början av 2015 även utsågs till Koncernkontorets informationssäkerhetssamordnare. För närvarande pågår ett intensivt arbete med att stärka hela informationssäkerhetsorganisationen där informationssäkerhetssamordnarna i varje förvaltning har en mycket viktig roll att fylla. Inom förvaltningen Skånevård Kryh framställdes under hösten 2014 ett förslag till intern struktur för informationssäkerhet. Organisationen beslutades i februari 2015. Syftet är att utgöra ett bättre stöd till verksamheten inom området. Samverkan med andra regioner inom informationssäkerhetsområdet (G4) Region Skånes har under 2014 samverkat med Västragötalandsregionen, Stockholms läns landsting, Region Östergötland samt Inera AB för att ta fram gemensamma krav på informationssäkerhet. Uppdraget gavs ursprungligen av Regiondirektörerna i de fyra regionerna. Samverkansgruppen kallas G4 och utgörs av informationssäkerhetscheferna samt Inera AB:s informationssäkerhetschef. Målet med gruppens arbete är att informationssäkerhetskraven som ställs ska vara så lika som möjligt mellan de fyra regionerna. Detta är av mycket stor betydelse när exempelvis gemensamma system ska upphandlas eftersom våra krav då inte skiljer sig åt. Kraven som tas fram baseras på den standard som finns för informationssäkerhet och som anges i patientdatalagen som den standard som regionerna ska följa. Informationsinsatser Region Skåne har uppdaterat anvisningar avseende rätten att ta del av patientuppgifter samt hantering av patientuppgifter för kvalitetssäkring inom vård och behandling. Utbildningsinsatser Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 Inom förvaltningen Medicinsk service har man under 2014 genomfört ett stort antal utbildningar inom bland annat informationssäkerhet med rubriken ”Mitt regelverk”. IT-säkerhet Segmentering av nätverket Ett arbete med nätverkssegmentering för att förbättra IT-säkerheten genom att dela upp nätverket i olika delar beroende på skyddsvärde påbörjades under 2014. Nätverkssegmentering innebär att nätverket delas in i logiska delar där varje indelning kan ha olika typer av skydd. Det skapar möjlighet att lägga känsliga och sårbara system för medicinskteknisk utrustning i ett segment och administrativa stödsystem i ett annat segment. Segmentering innebär att man får större kontroll över vad som kopplas in i nätverket och kan förhindra att utbrott av virus sprider sig i hela organisationen. X-projektet Med målet att endast godkänd utrustning får anslutas till Region Skånes nätverk så påbörjades under 2013/2014 ett arbete för att höja säkerhetsnivån i det här avseendet. Att endast godkänd IT-utrustning får anslutas till nätverket minskar risken att skadlig utrustning ansluts vilket minskar risken för virusutbrott och dataintrång. Övrigt Förvaltningen Medicinsk service har, under år 2014, aktivt medverkat i en nationell utredning med namnet ”Patientdatalagen i den kliniska vardagen ‐ Vilka krav ställs på medicintekniska produkter?”. Utredningens fokus är på informationssäkerhet och medicintekniska produkter och om regelverken avseende skyddet av patientens personliga integritet respektive patientsäkerhet ur ett tekniskt/fysiologiskt perspektiv. Utredningens syfte är framförallt att ge vägledning för personal verksam inom landsting och regioner om hur de ska förfara i den kliniska vardagen. IT-incidenter under 2014 Informationssäkerhetschefen ska enligt gällande riktlinjer för informationssäkerhet minst en gång per år rapportera till Regionstyrelsen om händelser av större betydelse. Nedan redogörs för incidenter som under 2014, av Medicinsk service, bedömts vara av allvarligare karaktär då berörda system var otillgängliga under en längre tid. Flera av incidenterna orsakades av störningar i nätverkskommunikationen och problem med underdimensionerade system. Det förhållandevis stora antalet incidenter med telefonisystem berodde på att TeliaSonera bytte databas under första kvartalet. Detta i kombination med nätverksproblem har bidragit till det större antalet incidenter. 23 januari: Strömavbrott vid SUS i Malmö i kombination med trasig reservkraft innebar att växeltelefonin inte fungerade under 40 minuter. Sjukhusets reservtelefoni aktiveras under tiden. Den trasiga UPS:en har bytts ut. 28 januari: All växeltelefoni vid Ängelholms sjukhus slås ut p.g.a. hårdvarufel i växeln. Sjukhusets reservtelefoni aktiveras under tiden. Den defekta hårdvaran är utbytt. Koncernkontoret RAPPORT Ambulans, Krisberedskap och Säkerhet 2015-09-14 Dnr: 1502668 3 mars: Under 5 timmar är det avbrott i Telias nummertjänst vilket innebär att CallGuide-telefoni samt viktiga nummertjänster så som 020, 0771 samt sjukhusens huvudnummer upphör att fungera. Orsaken är fel i den centrala plattformen hos Telia och felet påverkade hela landet. Skydd för överbelastning av systemet infördes den 30:e april. 22 april: Under cirka 3 timmar är det avbrott i Telias nummertjänst vilket innebär att CallGuide-telefoni samt viktiga nummertjänster så som 020, 0771 samt sjukhusens huvudnummer upphör att fungera. Orsaken är fel i den centrala plattformen hos Telia och felet påverkade hela landet. Skydd för överbelastning av systemet infördes den 30:e april. 22 maj: I samband med ett prov av reservkraften så bröts nätverkskommunikationen på delar av SUS i Malmö och lasarettet i Trelleborg. 26 maj: Störningar förekommer på e-postservrarna där användarna upplever att eposten tidvis är otillgänglig. Åtgärder sätts in och normal drift återupptas den 10:e juni. Orsaken till störningarna var att den tekniska miljön var underdimensionerad i förhållande till det ökande antalet smarta telefoner och läsplattor. Juni: Ett ökat antal användare medförde kraftig störning i VDI-miljön som är det system som används av privata vårdgivare för åtkomst till Region Skånes system för exempelvis journalsystemet PMO. Störningarna upplevdes av användarna som seghet och tidvis otillgängliga system. Störningarna upphörde efter att kapaciteten ökades genom att komplettera med mer hårdvara. 28 november: Under 2 timmar var det problem med Region Skånes nätverk som orsakade lång svarstid internt och svårigheter för externa användare att ansluta till Region Skånes nätverk. 11 december: Avbrott i telefoni för sjukvårdsrådgivningen 1177 och CallGuide under cirka 2,5 timmar p.g.a. nätverksproblem. Felet påverkar också Lync och PMO.
