Ledelsen har hele tiden hevdet av utenlandske IT-arbeidere ikke får tilgang til sensitiv informasjon. Sannheten er en helt annen

[404415]

Hvorfor var det nødvendig å gi slik tilgang under opplæring? Merkelig.

[BjartmarO]

Problemet i Helse Sør-Øst, som i alle andre offentlige IT-organisjoner, er at ledelsen ikke skjønner IT.

 

Det er en slags catch 22 for ledelsen... De vil jo ha IT-forståelse i ledelsen, og de skjønner jo at det er dette som er det ønskelige. Samtidig er det slik at IT-forståelse i ledelsen vil stille deler av den (ikke teknisk-kompetente) ledelsen på sidelinjen i IT-spørsmål. Dette ønsker de ikke. De vil beholde makten.

 

Det ledelsen i Helse Sør-Øst gjør, til liks med ledelsen i de aller fleste andre offentlige IT-organisjoner, er at de ser etter muligheter til å "kjøpe seg ut" av dilemmaet. De ser etter muligheter for outsourcing, så de kan gjøre dette til "noen andre sitt problem", og slik at de selv kan slippe å forholde seg til IT-politikk og strategi.

 

Det er utelukkende maktpsykologiske grunner til at dette skjer, etter min mening. Det handler om at man har teknisk inkompetent ledelse i utgangspunktet, og at denne ledelsen ser, ikke etter de beste IT-tekniske løsningene for organisasjonen, men etter de IT-tekniske løsningene som gjør at de selv ikke mister makt eller posisjon...

[Tastaturskriver]

Teknisk sett kan man kryptere både data i databasen, eventuelle fiildata osv.

Ja det sier seg selv

 

Driftspersonell vil med all sannsynlighet også da ha tilgang til nødvendig kode for å dekryptere - så lenge de har tilgang til servere.

Kun helsepersonell og personen selv trenger tilgang til selve journalen. Koden for å dekryptere må gjerne de utenlandske IT-arbeiderne ha tilgang til. Nøkkelen trenger de ikke.

[Gjest Slettet-GnAistlz]

Formålet helliger middelet. Så lenge formålet med tilgangen er i tråd med og følges opp i henhold til de IT sikkerhetskrav som gjelder så er dette i utganspunktet ingen skandale, men i verste fall mangel på kontroll med at tilgangene skulle være midlertidig, muligens for bred, men ikke bredere enn de HSØ's egne driftsfolk og i mange tilfeller også eksterne leverandører (feks. DIPS) har hatt lenge. Skrikene som kommer fram i kommentarene her er mer uttryk for motstand mot outsourcing generelt og utenlandsk sådann spesielt.

Endret 3. mai 2017 av Slettet-GnAistlz

[Tore Hagen]

Svarene som er gitt av de som har vedtatt å outsource, viser en grunnleggende mangel på teknologisk forståelse. Denne problematikken gjelder alle selskaper som setter ut drift av teknisk infrastruktur. Jeg vil gjerne se/høre om det infrastruktur laget i offentlige Norge, hvor de som er satt til å administrere, har "begrenset" tilgang til data. Det Måtte i så fall kreve disk og kommunikasjons -kryptering. Antar det er kun Forsvaret og dets like som har tatt i bruk dette.

Et annet aspekt er det at det virker tannlaust å ikke satse på Norsk kompetanse, men velge den minste motstands vei. Det bygger ikke nasjonen i noen grad! Attpåtil viser det hvilke verdier ledere har i forhold til personlig kortsiktig gevinst. Ikke særlig ærbart spør du meg!

[bjoped]

Helse Sør-øst flytter alskens servere utenlands og innbiller seg at innholdet i databaser (SQL-server) er sikre mot innsyn. I Bulgaria går det bare noen dager før personer på IT-drift skaffer seg tilgang både til MS-serveren og database-tjenestene. De vil kunne kopiere alt de ønsker og mange vil være interessert i å kjøpe innholdet. Dette kan selvsagt også skje i Norge, men korrupsjonskulturen er antakelig svakere her. Å lokalisere sensitive helsedata i utlandet må nå bli absolutt forbudt.

Hva er det Helse Sør-øst tenker på, er alle komplett inkompetente der? Har dessuten helsedepartementet godkjent en slik avsindig outsourcing av sensitive helseopplysninger? Og enda merkeligere, har Datatilsynet godkjent dette?

Hodene bør nå rulle, og ikke bare ved at en eller annen inkompetent sjef "tar ansvar" og blir sittende som om ingenting har skjedd.

[*F*]

Det er vel slik at jeg som ikke er bilmekaniker gjerne kan finne på å outsource bilverkstedet mitt til eksterne mekanikere, men hardnakket hevde at dem ikke trenger tilgang til bagasjerommet for å fikse bilene. Så jeg låser bagasjerommet, men ettersom jeg ikke er mekaniker kjenner jeg ikke til at det er mulig å komme inn i bagasjerommet dersom man har tilgang til de vanlige bildørene. Jeg kjenner heller ikke til at man nødvendigvis trenger tilgang til bagasjerommet derom man f.eks skal skifte lyktene bak på bilen.

 

 

Jeg er ikke mekaniker, men likevel skjønner jeg dette. Når det gjelder IT på dette nivået blir det enda mer komplekst, det er ikke rart at ledelse uten teknisk bakgrunn (eller politikere for den slags skyld) tenker at dette er null stress. Men uten teknisk kompetanse hadde det sikkert vært lurt å hørt på dem som hadde den.

 

Det er det jeg har å si om denne saken.

[XIFXEGLO]

 

Teknisk sett kan man kryptere både data i databasen, eventuelle fiildata osv.

Ja det sier seg selv

 

Driftspersonell vil med all sannsynlighet også da ha tilgang til nødvendig kode for å dekryptere - så lenge de har tilgang til servere.

Kun helsepersonell og personen selv trenger tilgang til selve journalen. Koden for å dekryptere må gjerne de utenlandske IT-arbeiderne ha tilgang til. Nøkkelen trenger de ikke.

 

 

Så du mener at isteden for at koden skal styres av en håndfull sikkerhetsklarerte personer i olso, så kan vi slippe adminitratorrettigheter fritt rundt, bare det implementeres kostbare og obfuskerende funksjoner?

 

Det er omtrent det som skisseres av ledelesen HSØ, så i disse dager lages det vel til ett tilbud som er treigere, mindre driftssikkert og dyrere enn orginalt bestilt. (men med krypterte data, så da er alle fornøyd; for vi vet jo alle at kryptering er alltid helt trykt, iallefall når man skal beskytte dataene fra de samme som implemeter krypteringen. Helt bombesikker den løsningen...) 

 

Men ledelsen i HSØ kan si til mediene at de har tatt grep. Ryddet opp. Så de blar opp.

 

Og IT-konsulentene ler hele veien til banken.

[XIFXEGLO]

Helse Sør-øst flytter alskens servere utenlands og innbiller seg at innholdet i databaser (SQL-server) er sikre mot innsyn. I Bulgaria går det bare noen dager før personer på IT-drift skaffer seg tilgang både til MS-serveren og database-tjenestene. De vil kunne kopiere alt de ønsker og mange vil være interessert i å kjøpe innholdet. Dette kan selvsagt også skje i Norge, men korrupsjonskulturen er antakelig svakere her. Å lokalisere sensitive helsedata i utlandet må nå bli absolutt forbudt.

Hva er det Helse Sør-øst tenker på, er alle komplett inkompetente der? Har dessuten helsedepartementet godkjent en slik avsindig outsourcing av sensitive helseopplysninger? Og enda merkeligere, har Datatilsynet godkjent dette?

Hodene bør nå rulle, og ikke bare ved at en eller annen inkompetent sjef "tar ansvar" og blir sittende som om ingenting har skjedd.

 

Man kan selge forsvarmateriell som er verd millioner for en ferietur og en flaske wiskey uten at noen stiller en til ansvar, så er man høyt nok oppe i det offentlige kan man gjøre som man vil i dette landet.

 

Man bare sier til media at man har ryddet i interne rutiner, så er alle synder tilgitt.

[Fluor1]

Og det er vel helt umulig å be om å få slettet sin digitale journal og resept historikk. Disse helsetoppene aner ikke hva de prater om..

[7QYPZ69R]

Helse Sør Øst har valgt å ikke kryptere noen av databasene med helseopplysninger, så alle med root tilgang eller tilgang til Windows/Linux filsystem kan fritt kopiere hva de vil av databasefiler, og lese innholdet i fred og ro et annet sted, uten noen form for audit. Det er ikke noe problem å stjele en kopi av EPJ, PAS, PACS, RIS uten audit, når du har full tilgang til Windows/Linux.

[Nobunaga]

Helse Sør Øst har valgt å ikke kryptere noen av databasene med helseopplysninger, så alle med root tilgang eller tilgang til Windows/Linux filsystem kan fritt kopiere hva de vil av databasefiler, og lese innholdet i fred og ro et annet sted, uten noen form for audit. Det er ikke noe problem å stjele en kopi av EPJ, PAS, PACS, RIS uten audit, når du har full tilgang til Windows/Linux.

 

 

Stemmer det du sier der? Ingen logging av inn/utsjekk eller kopiering?

[Dr.B]

Da dette dukket opp i media for en stund tilbake ble jeg først opprørt, men nå i ettertid har jeg tenkt at jeg ikke forstår problemet.

 

De har profesjonelle ansatte i andre land utenfor Norge også. Samtidig finnes det nok av eksempler på utro tjenere i norske bedrifter.

 

Jeg fikk selv kjenne det på kroppen da Santander i fjor sendte meg et brev hvor det stod at en tidligere ansatt hadde tatt med seg informasjon om flere hundre norske kunder. Stod ingen ting i media om det, men hadde det vært noen indere som hadde tatt med seg filen ville det blitt blåst opp i hver eneste riksdekkende avis for å svartmale outsourcing.

[Bolson]

Da dette dukket opp i media for en stund tilbake ble jeg først opprørt, men nå i ettertid har jeg tenkt at jeg ikke forstår problemet.

 

De har profesjonelle ansatte i andre land utenfor Norge også. Samtidig finnes det nok av eksempler på utro tjenere i norske bedrifter.

 

Jeg fikk selv kjenne det på kroppen da Santander i fjor sendte meg et brev hvor det stod at en tidligere ansatt hadde tatt med seg informasjon om flere hundre norske kunder. Stod ingen ting i media om det, men hadde det vært noen indere som hadde tatt med seg filen ville det blitt blåst opp i hver eneste riksdekkende avis for å svartmale outsourcing.

 

Hadde neppe blitt blåst opp om det var en inder heller. At ansatte har tatt med seg kundeinformasjon i det omfanget har skjedd i alle fall så lenge jeg har vært aktiv i yrkeslivet. Litt lettere i dag - om man har de rette tilgangene. Men flere hundre kunder, ikke særlig stort omfang.

 

Klart at de har profesjonelle ansatte i land utenfor Norge også - det er faktisk ikke det saken gjelder. Det saken gjelder er at pasientinformasjon på det nivået vi snakker om er omfattet av personopplysningsloven (personvern), og trolig også forhold knyttet til rikets sikkerhet (helseinformasjon om kongehus, forsvarsmakt osv). Det er også omfattet av "arkivlovverk".

 

For ansatte/norske selskaper kan vi bruke lovverket, dvs nødvendige taushetsavtaler, sikkerhetsklareringer osv - noe vi faktisk er fraskåret for for ansatte i HPE fra Bulgaria, Malaysia etc. Det er også et faktum at man i andre land har annen lovgivning knyttet til dette - og et annet risikobilde i forhold til utpressing, korrupsjon osv.

 

Outsourcing - også av systemer av denne typen er uproblematisk teknisk og juridisk så lenge det "er" under et lovmessige regime som gir nødvendig sikkerhet og mulighet for rettslig oppfølging.

 

Et like stort problem er tiltro/omdømme.

[Vice]

Da dette dukket opp i media for en stund tilbake ble jeg først opprørt, men nå i ettertid har jeg tenkt at jeg ikke forstår problemet.

 

De har profesjonelle ansatte i andre land utenfor Norge også. Samtidig finnes det nok av eksempler på utro tjenere i norske bedrifter.

 

Jeg fikk selv kjenne det på kroppen da Santander i fjor sendte meg et brev hvor det stod at en tidligere ansatt hadde tatt med seg informasjon om flere hundre norske kunder. Stod ingen ting i media om det, men hadde det vært noen indere som hadde tatt med seg filen ville det blitt blåst opp i hver eneste riksdekkende avis for å svartmale outsourcing.

Dette ble omtalt i media ifjor:

https://www.nrk.no/norge/kundeopplysninger-i-santander-bank-pa-avveie-1.12923321

Ellers er det vel vanskelig å vite hvordan dette skjedde om man ikke har tilgang til detaljerte data? Hvem og hvor? Kan man feks. utelukke outsourcing?

Endret 4. mai 2017 av Vice

[Gjest Slettet+2534]

Problemet i Helse Sør-Øst, som i alle andre offentlige IT-organisjoner, er at ledelsen ikke skjønner IT.

 

Det er en slags catch 22 for ledelsen... De vil jo ha IT-forståelse i ledelsen, og de skjønner jo at det er dette som er det ønskelige. Samtidig er det slik at IT-forståelse i ledelsen vil stille deler av den (ikke teknisk-kompetente) ledelsen på sidelinjen i IT-spørsmål. Dette ønsker de ikke. De vil beholde makten.

 

Det ledelsen i Helse Sør-Øst gjør, til liks med ledelsen i de aller fleste andre offentlige IT-organisjoner, er at de ser etter muligheter til å "kjøpe seg ut" av dilemmaet. De ser etter muligheter for outsourcing, så de kan gjøre dette til "noen andre sitt problem", og slik at de selv kan slippe å forholde seg til IT-politikk og strategi.

 

Det er utelukkende maktpsykologiske grunner til at dette skjer, etter min mening. Det handler om at man har teknisk inkompetent ledelse i utgangspunktet, og at denne ledelsen ser, ikke etter de beste IT-tekniske løsningene for organisasjonen, men etter de IT-tekniske løsningene som gjør at de selv ikke mister makt eller posisjon...

Her tror jeg du setter fingeren på selve hovedårsaken til at slike ting forekommer så ofte i det offentlige. Spesielt den delen om at de ansvarlige virker til å se på muligheter til å kjøpe seg ut av vanskelige situasjoner. Men det er jo hele hensikten med et offentlige byråkrati: å ha et system slik at man ikke kan stille enkeltmennesker til ansvar, kun systemet.

[Tastaturskriver]

Så du mener at isteden for at koden skal styres av en håndfull sikkerhetsklarerte personer i olso, så kan vi slippe adminitratorrettigheter fritt rundt, bare det implementeres kostbare og obfuskerende funksjoner?

Ja og nei. Mye av vår kode ligger for øvrig fritt på github, hvor vi slipper folk som ikke er sikkerhetsklarert fritt rundt.

Endret 4. mai 2017 av tommelfingerregel2

[ism_InnleggNO]

 

Nå skal jeg ikke kommentere om det er lurt å outsource drift av IT-systemer til utlandet.

 

Men kan noen si meg forskjellen på å la utenlandske arbeidere ha tilgang til data og å la norske arbeidere ha tilgang? Er det mer sannsynlig at noe lekkes hvis arbeiderne er utenlandske? Er det større sannsynlighet at "russland" kan kjøpe data fra utenlandske arbeidere?

 

Med norske arbeidere kan vi rettslig forfølge personer. Med utenlandske arbeidere må vi rettslig forfølge bedrifter. Noe mer som er forskjellig?

 

Ved utvikling/vedlikehold av sensitiv informasjon, så må man sikkerhetsklareres. Da sjekkes det om du har vært i politiets søkelys etc. Jeg har selv blitt klarert i forbindelse med konsulentoppdrag. Å ikke gjøre dette med helseopplysninger synes jeg er uansvarlig, og totalt respektløst med tanke på pasientene. Det sier seg selv at det er utfordrende å sikkerhetsklarere personer som bor i India etter våre rutiner.

Det er ikke lenger "vårt" ansvar å sikkerhetsklarere de ansatte. Dette dekkes nok av en databehandleravtale som sier i hvilken grad selskapet skal sikkerhetsklarere sine ansatte, lage taushetserklæringer osv.

[ism_InnleggNO]

 

– Jeg er positiv til å konkurranseutsette denne typen ikke-medisinske tjenester. Helse Sør-Øst vurderer at en slik avtale vil gi raskere modernisering og lavere driftskostnader.

Helse Sør-Øst har feilvurdert. Dette har mange, blant annet de ansatte, påpekt mange ganger. Og når i helvete ble våre medisinske journaler en ikke-medisinsk tjeneste?

 

Å kvitte seg med IT-ansatte og tro at ting blir bedre er like idiotisk som det var å kvitte seg med vaktmesterne (og dermed vedlikeholdet) på 80-tallet.

[Boeing]

 

 

Nå skal jeg ikke kommentere om det er lurt å outsource drift av IT-systemer til utlandet.

 

Men kan noen si meg forskjellen på å la utenlandske arbeidere ha tilgang til data og å la norske arbeidere ha tilgang? Er det mer sannsynlig at noe lekkes hvis arbeiderne er utenlandske? Er det større sannsynlighet at "russland" kan kjøpe data fra utenlandske arbeidere?

 

Med norske arbeidere kan vi rettslig forfølge personer. Med utenlandske arbeidere må vi rettslig forfølge bedrifter. Noe mer som er forskjellig?

 

Ved utvikling/vedlikehold av sensitiv informasjon, så må man sikkerhetsklareres. Da sjekkes det om du har vært i politiets søkelys etc. Jeg har selv blitt klarert i forbindelse med konsulentoppdrag. Å ikke gjøre dette med helseopplysninger synes jeg er uansvarlig, og totalt respektløst med tanke på pasientene. Det sier seg selv at det er utfordrende å sikkerhetsklarere personer som bor i India etter våre rutiner.

Det er ikke lenger "vårt" ansvar å sikkerhetsklarere de ansatte. Dette dekkes nok av en databehandleravtale som sier i hvilken grad selskapet skal sikkerhetsklarere sine ansatte, lage taushetserklæringer osv.

Bedriften kan ikke sikkerhetsklarere sine ansatte, dette gjøres av politiet. På skjemaet må man svare på en del spørsmål som er konfidensielt dvs. at arbeidsgiver ikke skal se dem. Jeg legger så skjemaet i en forseglet konvolutt som sendes direkte til den aktuelle myndighet (politi). Dvs. at de som jobber med IT-system innen helse ikke er sikkerhetsklarert, noe som viser at det ikke er så nøye med helseopplysninger.