Løser Datatilsynets e-postproblem i helsevesenet

"Trusted Mail" fra Thales lar Helse Øst implementere en felles e-postinfrastruktur med Datatilsynets velsignelse, forteller Andreas Aasen.

Det gamle forsvarsteknologimiljøet som Alcatel overtok etter STK, lever videre som Thales Communications AS, altså den norske avdelingen av Thales-gruppen, tidligere benevnt Thomson-CSF. 250 medarbeidere i Oslo og Trondheim utgjør kjernen i Thales-konsernets satsing på sivile og militære sikkerhetsløsninger. Thales-folk liker å nevne krypteringssystemet mellom Det hvite hus og Kreml som bidro til freden under den kalde krigen, og Natos bruk av selskapets IP-krypto.

Andreas Aasen representerer dette miljøets sivile side, som utvikler sivile sikkerhetsprodukter for datakommunikasjon, i en avdeling kalt Thales e-Security.

- Det vi satser på, er gjenbruk av militære løsninger til sivilt bruk, innen for eksempel helse og offentlig forvaltning der det er klare sikkerhetsbehov, forklarer Aasen.

Ordet "Trusted" er blitt et slags varemerke for Thales e-Security. I fjor kom løsningen Trusted VPN. I år viser Thales fram Trusted Mail, en løsning som skal kombinere brukervennlighet med sikkerhet.

- Trusted Mail gjør det enkelt å forholde seg til sikkerheten, fordi produktet avlaster brukeren for ansvar, samtidig som det skjerper brukerens bevissthet rundt IT-sikkerhet.

Mens sikkerhet ofte oppfattes som sterkest mulig sperrer mot alle tenkelige former for bevisst misbruk, har Thales valgt å legge et annet prinsipp til grunn for Trusted Mail: Å hindre utilsiktet utlevering av fortrolige opplysninger.

- Vi hadde helsevesenet i kikkerten da vi så for oss hvordan Trusted Mail skulle virke. Dette er et miljø der faren ikke først og fremst er bevisst misbruk, men slendrian. Sikkerhetsprodukter for et slikt miljø skal ikke betrakte brukerne som misbrukere, men støtte dem i ønsket om en korrekt behandling av informasjon. Derfor innrettes Trusted Mail mot å hindre utilsiktet utlevering. Systemet hjelper brukerne sørge for at informasjon beskyttes og bare sendes dit den skal, og det avverger feilforsendelser og uoverveide utsendelser. Vi har lagt inn visse sperrer, men vi har ikke gjort det umulig å trå utenfor reglene. Det som er umulig, er å bryte reglene uten å være klar over at det er nettopp det man gjør.

Alle har opplevd hvor lett det er å sende e-post til andre enn den adressaten man egentlig hadde tenkt seg. I helsevesenet og andre miljøer som håndterer fortrolige opplysninger, oppleves dette som særdeles skadelig. På den andre siden kan det tenkes tilfeller hvor det å ikke få fram opplysninger innebærer større skade enn om noen skulle kopiere dem underveis.

Trusted Mail krever at all e-post deles inn i to kategorier, "sensitiv" og "ikke-sensitiv". Ikke noe e-post kan sendes uten å være kategorisert, og kategorivalget skal alltid skje aktivt. Man skal aldri kunne nøye seg med å klikke "OK" til et forhåndsvalg.

"Sensitiv" e-post skal bare kunne sendes til spesielt autoriserte mottakere. Pasientjournaler skal for eksempel bare kunne gå fra lege til lege. Velger du å sende en kopi av en journal til en hjelpepleier, vil systemet nekte å sende e-posten.

"Sensitiv" e-post stiller også krav til befordringen. Den kan sendes utenom et definert nettverk, men bare til autoriserte brukere med for eksempel VPN-forbindelse.

Reglene håndteres og defineres sentralt. En lokal agent sørger for at de implementeres av den enkelte. Selv om reglene under visse betingelser kan overstyres av brukeren, kan de ikke endres.

Hvis en autorisert bruker ser seg nødt til å bryte reglene, velger hun et modus kalt "blålys". Da er alt tillatt. Men det skal skrives en kort begrunnelse, og bruken blir nøye loggført.

Trusted Mail virker gjennom eksisterende e-postklienter som Outlook. Brukergrensesnittet endres noe, i tråd med sikkerhetssystemet. Skjermbildet nedenfor viser hva som skjer når man skal sende et vedlegg, hentet fra et dokumentområdet som ifølge systemet er klassifisert som sensitivt.

- Fordi vedlegget er et fortrolig dokument, foreslår systemet at e-posten klassifiseres som sensitiv. Det innebærer at brukeren ikke lenger kan klassifisere den som sensitiv, men har kun valget mellom "blålys" og sensitiv. Her har brukeren valgt sensitiv som endelig klassifisering. Det innebærer at e-posten automatisk krypteres og signeres, slik det framkommer av at valgene for kryptering og signering er i lysegrått på skjermbildet.

Trusted Mail har også mekanismer som reagerer når man limer inn tekst fra et dokument som i systemet er definert som sensitivt.

- Limer du inn fra en pasientjournal, vil systemet foreslå at e-posten klassifiseres som sensitivt, for å hindre at brukeren glemmer at den inneholder følsomme opplysninger og slik risikerer å la være å gi den en korrekt klassifisering. Men det reageres ikke på liming fra dokumenter som ikke er klassifisert i systemet. Det innebærer en mulighet for misbruk, for eksempel ved at du kopierer fra journalen til Word, og derfra til e-posten. Men går du denne omveien, kan vi anta at det dreier seg om et forsøk på bevisst omgåelse av sikkerheten, og det er ikke den primære hensikten med Trusted Mail å avverge slikt.

Systemets oppførsel innebærer at det etterkommer Datatilsynets prinsipielle skille mellom følsom og åpen informasjon.

- Det ideelle kravet fra Datatilsynet har hittil vært at to fysisk atskilte systemer. Vi mener det er unødvendig med to infrastrukturer, og vi har trukket tilsynet med når vi har laget denne løsningen. På seminarer opplever vi nå at Datatilsynet forteller at konseptet vårt er bra. Trusted Mail innebærer at sykehus kan fokusere på sikkerhet selv om de har en felles infrastruktur for all e-post.

Den første kunden er Helse Øst, med 10.000 brukere.

- Vi startet hos Helse Øst med et pilotprosjekt med 20 brukere. I dag har vi 50 brukere på Lillehammer og 50 på Ullevål. Det vil ta et par år å få alle 10.000 brukerne over på Trusted Mail. I tillegg er vi i dialog med alle helseregionene.

Til toppen