Sichere Identitäten für‘s EPDAaron Akeret, Health Info Net AGRotkreuz, 7. Juni 2018

Agenda

© Health Info Net AG 2018 2Sichere Identitäten für‘s EPD

Person behauptet X zu sein

Identifikationsprovider (IDP)verifiziert die Authentizität der Person

Person erhält Identifikationsmittel, welches sie als X ausgibt

Person authentisiert sich mit der ID für einen Zugang

Frau Müller, Ärztin

Ausweiskontrolle, Medizinalberuferegister

elektronische ID und ein 2. Faktor (Zertifikat)

Login beim Portal für Gesundheitsfachpersonen der Stammgemeinschaft

Eine kurze generelle Einführung in die Begriffswelt der Authentisierung

© Health Info Net AG 2018 3Sichere Identitäten für‘s EPD

Die eID von HIN erfüllt die EPD-Anforderungen, ist weit verbreitet, gut verankert und für alle Berufsgruppen erhältlich

§ 22’000 Gesundheitsfachpersonen verfügen über eine HIN Identität

§ 800 Institutionen sind angeschlossen

§ 70 Anwendungen sind sicher per single sign-on erreichbar

© Health Info Net AG 2018 4Sichere Identitäten für‘s EPD

Als Identitätsprovider betreibt HIN ein Informationssystem und eine Reihe von Prozessen

Kern ist die Identitätsverwaltungmit diversen Attributen für

§ Personen§ Institutionen§ Maschinen/Devices

Relevante Prozesse§ Registrierung§ Support§ Revokation§ Authentisierung§ Informationssicherheitsmanagement

© Health Info Net AG 2018 5Sichere Identitäten für‘s EPD

Die HIN eID wird auf diverse Arten - immer mit 2-Faktor-Authentisierung - für viele Services eingesetzt

© Health Info Net AG 2018 6

Nutzertypen

Produkte / Zugangsarten

2. Faktor

Diverse Anwendungen(Beispiele)

Sichere Identitäten für‘s EPD

OTP App

Es gibt viele 2. Faktoren mit unterschiedlicher Verlässlichkeit und Kosten

Mögliche Faktoren• Kategorie: Wissen• Kategorie: Sein• Kategorie: Haben

© Health Info Net AG 2018 7

Verlä

sslic

hkei

t, Si

cher

heit

Hig

hLo

w

HighLow

Kosten, Aufwand

Passwort

PIN

Venen-scan

Finger-abdruck

Gesichts Erk.

StimmErk.

Unter-schrift

SmartCard

Secure Token

RFID Tag

Zertifikat

mTAN

Sichere Identitäten für‘s EPD

Der Zugang zum EPD bedingt elektronische Identitäten eines zertifizierten Identitätsproviders

eID - EPDG Art 7.Patienten und Gesundheitsfachpersonen müssen für den Zugriff über eine sichere elektronische Identität verfügen.

IDP - EPDG Art 11.Herausgeber von Identifikationsmitteln müssen zertifiziert sein.

© Health Info Net AG 2018 8Sichere Identitäten für‘s EPD

Die Anforderungen betreffen den gesamten Lebenszyklus und bedingen eine Erhöhung der Sicherheitsmassnahmen

© Health Info Net AG 2018 9

Lebenszyklus der eID (gemäss eHealthSuisse)

§ Identifikation: persönliches Vorweisen eines Ausweises oder Videoidentifikation

§ Überprüfung der Berufsqualifikation (Register...)§ 2 Faktoren aus unterschiedlichen Kategorien§ Geregelte Gültigkeitsdauer 5 Jahre

Sichere Identitäten für‘s EPD

HIN setzt auf eine elektronische Registration verbunden mit einer Videoidentifikation

© Health Info Net AG 2018 10Sichere Identitäten für‘s EPD

ü Elektronische Registrierungü Step-Up Prozess für bestehende eIDs

Im EPD werden Gesundheitsfachpersonen und Hilfspersonen unterschieden, beide dürfen zugreifen

© Health Info Net AG 2018 11

Hilfsperson (HIP)

§ benötigen eine eID für den Zugriff

§ werden durch die GLN identifiziert

§ können in mehreren Gruppen vorkommen (Abteilung, Klinik etc.)

§ erben die Berechtigungen der «vorgesetzten GFP» (auch mehrere)

§ werden im HPD der Gemeinschaft eingetragen

Gesundheitsfachperson (GFP)

§ benötigen eine eID für den Zugriff

§ werden durch die GLN identifiziert

§ können in mehreren Gruppen vorkommen (Abteilung, Klinik etc.)

§ können durch den Patienten für den Zugriff berechtigt werden.

§ können HIP beauftragen

§ tragen die Verantwortung

§ werden im HPD der Gemeinschaft eingetragen

§ werden im zentralen Dienst (national) eingetragen

Sichere Identitäten für‘s EPD

Die Registrierung für eine eID erfolgt idealerweise in Kombination mit bestehenden HR-Prozessen

© Health Info Net AG 2018 12

Wichtige Punkte/Fragen§ Welche GFP/HIP registrieren?§ Registrierung durch Person selber§ GLN-Nummer muss bekannt sein§ Ergänzung bestehender Prozesse§ Datenhaltung im ERP/IAM/AD§ Synchronisation mit HIN und der SG

Sichere Identitäten für‘s EPD

Akteure und deren Beziehung im Umfeld der EPD-Stammgemeinschaft mit Fokus auf Authentisierung

© Health Info Net AG 2018 13

Betriebs-gesellschaft

Stamm-gemeinschaft

HIN als IDP für GFP

IDP für Patienten

GFP

Gesundheits-einrichtung

GFP oder HIP in

EinrichtungPatient

betreibt AD

hat EPD bei SG

ist Kunde und hat eID

Authentisiert Patienten

ist Mitglied

ist Mitglied

arbeitet in

ist Kunde und hat eID

ist Kunde und nutzt Gateway

§ Gesundheitsfachpersonen registrieren sich direkt bei HIN (Eigner der Identität)

§ GFP oder Gesundheitseinrichtung finanziert die eID bei HIN (Sponsor der Identität)

§ HIN authentisiert GFPs für die Stammgemeinschaft (Portalanschluss)

§ HIN verifiziert die Identität und die Berufsqualifikation

hat eID

Authentisiert GFP

Sichere Identitäten für‘s EPD

Der HIN Gateway nutzt die internen Authentisierungs-mittel beim Zugriff auf externe Anwendungen

© Health Info Net AG 2018 14

Beim Zugriff auf das EPD ist zusätzlich die XUA-Assertion bei jeder Transaktion notwendig

© Health Info Net AG 2018 15

Cross-Enterprise User Assertion (XUA)§ Normal oder Notfall§ Rolle (Patient, GFP, HIP, Stv.)§ Patientendossier (EPD-PID)§ Zugreifer (Auth-Token)

© Health Info Net AG 2018 Sichere Identitäten für‘s EPD 16

Sicherheit im digitalisierten Gesundheitswesen braucht einen ganzheitlichen Ansatz

Sichere Kommunikation

Sichere Authentisierung (Identifikation und Anmeldung)

Sichere Arbeitsgeräte (Endpoint Security)

Eine hohe Awareness der Fachpersonen

© Health Info Net AG 2018 17

Der Endpoint Security Service bietet Endgeräten einen ganzheitlichen Schutz vor Bedrohungen

§ Abwehr von Schadsoftware bereits vor Erreichung des Geräts

§ Erkennung von ausgeführter Schadsoftware, Viren-Infektionen oder Ransomware

§ Beratung und Unterstützung beim Entfernen von Schadsoftware durch Spezialisten

§ Monitoring der Endgeräte in Bezug auf sicherheitsrelevante Aspekte

§ Die Schutzsoftware aktualisiert sich automatisch

Sichere Identitäten für‘s EPD

© Health Info Net AG 2018 18

HIN Awareness Portal: eLearning Informations-sicherheit für Gesundheitsfachpersonen

§ Awareness-Videos, interaktive WBTs und Online-Prüfungen stärken die menschliche Firewall

§ Hohe Benutzerakzeptanz, so macht Awareness Spass

§ Spezifisch für das Schweizer Gesundheitswesen mit allen relevanten Themen zur Informationssicherheit

§ Erfüllt die Anforderungen der Mitarbeiter-aufklärung für eine Zertifizierung nach ISO 27001, VDSG und EPDV

Die Awareness von Gesundheitsfachpersonen hat oberste Priorität - nicht nur für das EPD!

Sichere Identitäten für‘s EPD

HIN der Identifikationsprovider für das Schweizer Gesundheitswesen

© Health Info Net AG 2018 19

ü HIN als IDP erfüllt die gesetzlichen Anforderungen des EPDG

ü Der Gateway erlaubt Zugriffe auf externe Systeme mit einer eID

ü HIN unterstützt mit Stammdaten und übernimmt die Identifikation der Person

ü HIN verifiziert die Berufsqualifikation ü HIN schützt Endgeräte und bietet

Awareness-Schulungen

Sichere Identitäten für‘s EPD

Danke für Ihre Aufmerksamkeit!

© Health Info Net AG 2018 Sichere Identitäten für‘s EPD 20

aaron.akeret@hin.ch, Hotline: 0848 830 740