Læger kan spare oceaner af tid på tynde klienter

Stephan Engberg skrev:
Man må tage sig til hovedet når offentlige myndigheder udviser en så letsindig omgang med deres basale ansvar


"Sikkerheden er dårligere på stationær pc
Han er ikke nervøs for sikkerheden i de tynde klienter, der heller ikke har knirket det halve års forsøgstid."

Sikkerheden er teoretisk UMULIG på en tynd client, så uanset udfordringerne med at få sikret nøglerne på clienterne, så er det IKKE EN TEORETISK MULIG MODEL AT GIVE TYNDE CLIENTER ADGANG TIL ELEKTRONISKE PATIENTJOURNALER.

Det er som at låse dørene op på vid gab og smide nøglerne væk. Dernæst er der kun eskalerende misbrug og kriminalitet at vente.

Stephan Engberg skrev:
Sikkerheden er teoretisk UMULIG på en tynd client, så uanset udfordringerne med at få sikret nøglerne på clienterne, så er det IKKE EN TEORETISK MULIG MODEL AT GIVE TYNDE CLIENTER ADGANG TIL ELEKTRONISKE PATIENTJOURNALER.

Stephan Engberg skrev:
Man må tage sig til hovedet når offentlige myndigheder udviser en så letsindig omgang med deres basale ansvar


"Sikkerheden er dårligere på stationær pc
Han er ikke nervøs for sikkerheden i de tynde klienter, der heller ikke har knirket det halve års forsøgstid."

Sikkerheden er teoretisk UMULIG på en tynd client, så uanset udfordringerne med at få sikret nøglerne på clienterne, så er det IKKE EN TEORETISK MULIG MODEL AT GIVE TYNDE CLIENTER ADGANG TIL ELEKTRONISKE PATIENTJOURNALER.

Det er som at låse dørene op på vid gab og smide nøglerne væk. Dernæst er der kun eskalerende misbrug og kriminalitet at vente.

Stephan Engberg skrev:
Man må tage sig til hovedet når offentlige myndigheder udviser en så letsindig omgang med deres basale ansvar

Stephan Engberg skrev:
Administratorer ser kun få måneder frem og fokuserer derfor på let tilgængelige løsningsmodeller.

Stephan Engberg skrev:
Det er selvfølgelig hårdt og stilistisk sat op. Administrators problemer er reelle, men det nytter ikke at se disse valg isoleret og kortsigtet.

Erik Trolle skrev:
Det sidste tror jeg du har ret i, for jeg kan ikke rigtigt kende det fra min virkelighed.

Stephan Engberg skrev:
Du ser den lige i øjenene - valget af tynde clienter er et klasseeksempel på kortsigtede beslutinger der blokerer for langsigtede hensyn og sikkerhed.

Ingen tynd client kan få adgang til personhenførbare EPJ-data uden at sætte sikkerheden over styr.

Erik Trolle skrev:
Men terminalserverens sikkerhed er eksakt lige så usikker som en PC.

Men blander du ikke begreberne lidt jeg så du skrev om cloud til Nicolas, men det er jo lige min forståelse som virtuel desktops.

Til det med SaaS/PaaS og hvad det hedder, der tror jeg du har ret i at man skal holde tungen meget lige i munden.

Stephan Engberg skrev:
Egentlig ikke - hvis jeg skal sikre min EPJ, så skal den krypterers end-to-end til min læge uden nogen 3. part har nogen form for adgang. Det kan du ikke, hvis lægen ikke kan dekryptere lokalt.

Stephan Engberg skrev:
Egentlig ikke - hvis jeg skal sikre min EPJ, så skal den krypterers end-to-end til min læge uden nogen 3. part har nogen form for adgang. Det kan du ikke, hvis lægen ikke kan dekryptere lokalt.

Lige så snart data ligger på serveren i en organisation ligger de i princippet online.

Erik Trolle skrev:
Jeg ved ikke hvad det er for nogen systemer du taler om, og jeg kan slet ikke forstille mig dem. Jeg vil da sagtens kunne
køre krypteret fra end to end på en tynd klient løsning.

Der er da ingen man in the midle!

Helt ærlig jeg forstår slet ikke hvad du taler om.

Stephan Engberg skrev:
End-to-end til borgeren og de direkte involverede - person-til-person, client-to-client.

Ikke til serveren - serveren er et stort blødende sikkerhedshul.

Nicolas Olszowski skrev:
Udover at der er en tendens til at tale i vest og argumentere i øst så glmmer du regnestykket: PC'er (som også er sikkerhedshuller contra et par servere der er nemmere at overvåge (af profesionelle)

Nicolas Olszowski skrev:
Som Erik siger bør alle løsninger have et vist snit af relativitet og virkelighed over sig.

Erik Trolle skrev:
Hvis det du siger er rigtigt, vil enhver flerbruger maskine og server løsning indgå.

Martin Sølvkjær skrev:
.. onsite, at sikkerheden er kompromitteret.

Martin Sølvkjær skrev:
Og demonstrere alternativet, der giver klinikere adgang på få sekunder og sikrer mobilitet / fortsæt-hvor-du-slap.
Dvs et system, der ikke er ubrugeligt i praksis.

Stephan Engberg skrev:
Ingen skal bilde sig ind eller tro at jeg siger at applikationsstruktur og sikkerhed på et hospital er et simpelt problem.
Men det er evident at alternativet ikke er noget andet quick-fix - det er jo dels applikationsproblemer og dels mobile enheder til at bære selve grundfunktionen som kobler sig på forskellige enheder efterhånden som man flytter sig rundt. Eftersom lægen har fortrolig adgng til patienternes data er kravene så meget desto større.
Men Cloud og EPJ sikkerhed fungerer slet ikke sammen.

Stephan Engberg skrev:
Tjahh. Hvad med denne
https://www.sam-data.dk/ (...)

Jeg kender ikke AFaria. Og eftersom ingen EPJ i Danmark er blot tilnærmelsesvist godt nok sikret vil der helt sikkert være store problemer.

Men i forhold til tynde clienter er det forskellen mellem et forsigtigt skridt frem eller 2 tilbage.

Martin Sølvkjær skrev:
Nordjylland er nok langt foran os med brug af håndholdte enheder, men jeg mener ikke at det skaber overblik over patientens situation - blot indblik.
Snakker vi overhovedet om det samme ?
Jeg taler om sikker (brugbar i dagligdagen), hurtig (få sekunder), mobil adgang til patientdata (ikke noget man skal slæbe med sig rundt), hvor der kan skabes overblik (store skærme).

Stephan Engberg skrev:
Martin - du definerer successkritierierne i forhold til dit projekt.

Hvorfor i alverden skulle lægen ikke have en mobil enhed? Formfaktoren betyder selvfølgelig en del, men det er netop hvad han skal.

Hvad i alverden skulle forhindre den mobile enhed i at bruge storskærme?

Du taler IKKE om "sikker", men om legitimering, dvs. at skabe illusionen af sikkerhed.

Men vi skal skelne mellem den kortsigtede ageren i kaos (og kaos er slemt i dag) og arbejden frem mod en vision.

Tynde clienter er ikke en vision - det er bare endnu et problem som skal ryddes op igen. og hvem skal betale anden gang?

Problemet er at strukturerne i Danmark forhindrer behovene i at trække udviklingen. Problemstillingerne reduceres ned til nogle simple aspekter.

Martin Sølvkjær skrev:
Kan dine ideer det som klinikernes arbejde og deraf følgende krav udstikker.
Der er mere i denne verden end teoretisk datasikkerhed f.eks. praktisk patientsikkerhed.
Eller der der blot tale om et ideologisk felttog i retning af endnu et ubrugeligt koncept ?

Stephan Engberg skrev:
Selvfølgelig kommer patientsikkerhed før datasikkerhed, jeg kan ikek se at jge på noget tidspunkt skulle have givet indtryk af noget andet. Men det behøver ikke være modsætninger.

Selvom jeg absolut ikke bryder mig om at høre helt basale principper omtalt som "ideeer", så er svaret helt sikkert ja. Vi har ingen grund til at mene at det skulle være nødvendigt at gå på kompromis.

Men det er også klart at man ikke kan rydde op fra den ene dag til den anden.

Stephan Engberg skrev:
Tynde clienter vil maksimere risici ved at fjerne nøglekontrollen fra de eneste som kan håndtere den.

Stephan Engberg skrev:
Ebbe

Din intution snyder dig. Central = usikker. Risikoen er koncenteret uden mulighed for at reducere/isolere, dem som rammes har ikke kontrollen og angrebsmulighederne og -interesserne vokser eksponentielt. Endnu værre når - og ikke hvis - det centrale system ryger så skalerer angrebene i de modeller man pt. arbejder med.

Som det er i dag er Digital Forvaltning et nul-sikkerheds system. "Sikkerhedstiltag" såsom nem-login underminerer sikkerheden fordi det udvikles med ugangspunkt i at kontrollere brugerne istedet for at sikre nogen.

Tynde clienter vil maksimere risici ved at fjerne nøglekontrollen fra de eneste som kan håndtere den.

Christian Nobel skrev:
Og kunne du så ikke være så venlig at komme med en explicit og koncis forklaring på hvorfor der er forskel på nøglekontrollen på en tynd klient vs en tyk?

/Christian

Stephan Engberg skrev:
En tynd klient flytter kontrollen til serveren som ikke kan sikres. Eksplicit kryptering/dekryptering af data.
En tynd klient betyder at de kritiske funktioner er online.

Stephan Engberg skrev:
En tynd klient flytter kontrollen til serveren som ikke kan sikres. Eksplicit kryptering/dekryptering af data.
En tynd klient betyder at de kritiske funktioner er online.

Stephan Engberg skrev:
Ebbe

Denne problemstilling er langt værre og vigtigere end du reducerer den til.

En ting er at man lokalt er overladt til halvdesparate tiltag for blot at få hverdagen til at fungere minimalt. Det er en situation som mange uden egen skyld er presset ud i og det kan man ikke klandre dem for.

En anden og utilgivelig problemstilling er hvis man begynder at berettige disse halvdesparate tiltag med at det er langsigtede investeringer mod et hodlbart mål.

Det gør 2 ting galt - for det første fjerner man presset på dem som har indflydelse til at gøre noget ved problemerne. For det andet så skaber det en tilstand af selvbedrag hvor man ikke tager problemerne alvorligt og ikke planlægger efter at løse dem.

Tynde klineter sætter alle under administration og ligger kontrollen hos de eneste som helt sikkert ikke kan håndtere den.

Dernæst går man i gang med sikkerhedsmæssigt tåbelige tiltag som "rolle-baseret" adgang og "nem-login" som fuldstændigt fjerner al sikkerhed - fordi dem som tilranede sig kontrollen erkender at de ikke kan håndtere den.

Så beklager - jeg ved at det ikke er nemt. Men man skal ikke bidrage til at gøre ondt værre.

Kim Jensen skrev:
Skal man kigge rent praktisk på et hospital, så vil der være en række forskellige enheder der hver især har brug for en differentieret tilgang til patientens informationer;

Med dette som argumentation, vil jeg påstå at en tynd klient vil være en fordel fremfor en tyk klient - da en central desktop server ikke har behov for backups (ingen data), og dermed vil der ikke være en sikkerhedsmæssig risiko forbundet med denne løsning sammenlignet med de tykke klienter der netop vil have lokal gemning af data (disk/hukommelse).

Kan du derfor redegøre for hvorledes man sikkerhedsmæssig kan forbedre dette setup, uden at det bliver endnu en ubrugelig teoretisk løsning ?

Stephan Engberg skrev:
Hej Kim.

Ja, der er meget forskellige behov og - endnu værre - så er de ekstremt dynamiske på et hospital. Men samtidig er kravene eksponentielt stigende herunder også sikkerhedskravene. Man er nødt til at erkende at begge dele sker samtidig.

Jeg kan ikke redegøre for alle de mange varianter i et debatforum. Og jeg vil ikke tages i at promovere en bestemt løsning når man diskuterer principper.

For nu at tage et simpelt aspekt så er der ikek den store forskel på backup og varme data - du er under alle omstændigheder nødt til at have redundans og klienterne kan under ingen omstaædnigheder gemme kopier af alle data (alene rongtenbillederne kan jo fylde selv den største PDA). Men NØGLERNE til den enkelte EPJ skal være klient-side - ikke server-side.

Stephan Engberg skrev:
Ebbe

Denne problemstilling er langt værre og vigtigere end du reducerer den til.

En ting er at man lokalt er overladt til halvdesparate tiltag for blot at få hverdagen til at fungere minimalt. Det er en situation som mange uden egen skyld er presset ud i og det kan man ikke klandre dem for.

En anden og utilgivelig problemstilling er hvis man begynder at berettige disse halvdesparate tiltag med at det er langsigtede investeringer mod et hodlbart mål.

Det gør 2 ting galt - for det første fjerner man presset på dem som har indflydelse til at gøre noget ved problemerne. For det andet så skaber det en tilstand af selvbedrag hvor man ikke tager problemerne alvorligt og ikke planlægger efter at løse dem.

Tynde klineter sætter alle under administration og ligger kontrollen hos de eneste som helt sikkert ikke kan håndtere den.

Dernæst går man i gang med sikkerhedsmæssigt tåbelige tiltag som "rolle-baseret" adgang og "nem-login" som fuldstændigt fjerner al sikkerhed - fordi dem som tilranede sig kontrollen erkender at de ikke kan håndtere den.

Så beklager - jeg ved at det ikke er nemt. Men man skal ikke bidrage til at gøre ondt værre.

Michael Nielsen skrev:

Hmm, jeg opfatter nu et andet problem med din løsning, da dataerne ikke er direktet til en indviduel person, men til mange personer, læger, portøere eller hvad det nu er (Alle sammen har brug for adgang til data segmenter, for at kunne udføre deres job), så skal der oprettes et ufattelig nummer af nøgler til forskellige formål. Altså da du ikke har kun EN læge, eller kun EN portør associeret til en patient, eller så skal der oprettes grupperinger med deres egne nøgler, så systemet bryder sikkerhedsmæssigt sammen fordi at når så mange skal havde adgang til krypteret data, så begynder systemet at data lække. Desuden skal der være et kopi af data per nøgle, ellers skal folk dele nøgler for at kunne dekryptere data, deler man nøgler mellem brugere, så svækkes sikkerheden igen.

Stephan Engberg skrev:
Må¨vi bede om kammertonen her. De sidste 2 indlæg er rent nonsens.

Stephan Engberg skrev:
Noget af nøglehåndteringen kan ske i tamperresistente spaces, men ikke alt fordi man ikke kan loade applikationer i et borgerkort uden at kompromitere borgerkortet. Håndtering af personhenførbare data i applikationer er derfor ekslusivt klient-side i fede klienter, dvs. KAN IKKE HÅNDTERES AF EN TYND KLIENT.

Stephan Engberg skrev:
Christian

Vi stopper her - jeg gider ikke at debatere når man ikke kan opretholde en ordentlig debattone men vedbliver med FUD-argumenter såsom at kalde klokkeklare argumenter for "tågesnak".

Forskellen på en tynd og tyk klient er om applikationen kører klient-side, dvs. indenfor brugeren kontrol eller server-side, dvs. online og UDENFOR brugerens kontrol.

Kim Jensen skrev:
Servere kan beskyttes, det kan klienter ikke - simpelt faktum. Da data allerede ligger på servere, vil en centralisering af behandlingen netop øge både sikkerheden og data integriteten, da den ikke spredes til offentligt tilgængelige enheder.

Kim Jensen skrev:
Men, ved at inddrage borgerkort i diskussionen kan man se at du ikke forholder dig til artiklens lyd men diskuterer udfra et irrelevant teoretisk problem.

Stephan Engberg skrev:
Jeg siger ikke at vi kan få perfekt sikkerhed, men at vi kan minimere skaden ved at distribuere kontrollen.

Stephan Engberg skrev:
Artiklen er bare en langt gentaget markedsføringshistorie som ikke tager ansvar for de destruktive konsevenser.

Erik Trolle skrev:
Du nærmer mig en hvis tele kommentator her på CW, "jeg har sagt det er sådan" Oraclet har talt. Ingen er blevet klogere.

Jeg syntes ellers du plejer at være fornuftig, men her kan jeg kan slet ikke følge med.

Martin Sølvkjær skrev:
Har du use-cases, som kan give et billede af hvordan din model vil virke ?

Stephan Engberg skrev:
Logon til en windows-session er ikke en use-case. Det er væsentligt mere kompliceret som så. Man skal jo have arbejdsfunktionen in mente.

ebbe hansen skrev:
Jeg troede netop ikke vi snakkede et konkret system?
Hvis det er windows, så findes der altid et hack, der kan sætte sikkerheden ud af funktion

Og jeg er altså ikke rolig ved din model. Der er plads til alt for mange menneskelige fejl. Også fejl der får patienten på forsiden af EB.

Stephan Engberg skrev:
Du retter kritikken mod den forkerte.

I Artiklen fremgår:
Det skyldes, at de på fem af hospitalets afsnit har kunnet logge på enhver tynd klient på tre sekunder med et smart card og derefter få deres personlige Windows XP-skrivebord frem.

Stephan Engberg skrev:
Og jeg er altså ikke rolig ved din model. Der er plads til alt for mange menneskelige fejl. Også fejl der får patienten på forsiden af EB.

ebbe hansen skrev:
Løber du så skrigende væk når jeg fortæller dig, at du ikke kan regne med dine brugere(s edb-skills)?

Martin Sølvkjær skrev:
Kære Stephan
Det glæder mig at du kan fortælle mig at der er forskel på lægers adgang - jeg kan så fortælle at det er der også for sygeplejerskers og andre sundhedsaktøreres. Hvis det er så komplekst, kunne det være at beskrivelser kunne lette overgangen fra det teoretisk tvivlsomme til det, som kan bruges praktisk. Citat (MS2009): bedre at løse noget godt på et år end at løse det perfekt i løbet af 100 år.
Hvis man ikke kan beskrive din models løsning af adgangsforholdene for klinikere fx som systematiske UseCases eller arbejdsgangsanalyser, finder jeg at din model er et tvivlsomt værktøj i sundhedsvæsenet.

Stephan Engberg skrev:
Igen - jeg diskuterer ikke "min model" af en lang række årsager, men forskellen mellem bruger-centrede og systemcentrerede modeller som sådan. Og systemcentrede modeller kan og må ikke overleve i en digital verden.

a) Du logger på dit nøglekort som overtager kontrollen med PDA-klienten.
b) Afhængig af kontekst (og dermed valg af nøgler evt. oprettelse af rene sessionkeys) sætter du dit PDA-environment op. Typisk arbejder du på en patient og henter data efter behov.
c) Afhængig af valg af funktioner kan nogen services køres klient-side og nogen kan køre serverside med adgang til det subset af data som de må kunne se - styret af Nøglekort/PDA.

Serveren ser aldrig personhenførbare data.
PDAen kan bære styringen mobilt og tilkoble sig nye neheder fleksibelt afhængigt af den funktion man har kørende. Selvfølgelig aldrig med genbrug af nøgler og aldrig ved at identificere lægen overfor en server.

Lægen kan sagtens give informationer til sygeplejersken eller overføre uden at serveren er trusted. Det er ikke problemet, kryptering er opfundet.

Problemet er de stærkt dynamiske forhold hvor nye mennesker hele tiden træder til. Så snart indlæggelse er overstået kan man lukke alle midlertidige konstruktioner helt ned. Det problem er helt uafhængig af tynde/tykke klienter bortset fra at tynde klienter selvfælgelig ikke kan løse det.

"udefra" er en ukendt størrelse i den digitale verden. Der er ikke meget længere fra min PDA til den den nærmeste server eller fra min PDA til den fjerneste - heller ikke en angriber hvad enten det er en ekstern cracker, en intern administrator eller som det mest sandsynlige en emsig embedsmand.

Håndtering af store datamængder er ikke et problem da de typisk ikke er personhenførbare i sig selv og dermed ikke nødvendigvis skal isoleres til klient-side. F.eks. røntgenbilleder kan sagtens tænkes at gøre som en serverside session mens al håndtering af persondata relativt til samme kører klient-side. Den telemedicinske billeddiagnostiske vurdering har ikke nytte af at vide hvem patienten er og vi kan relativt let etablere asymmetrisk viden mellem den behandlende læge og den kliniske ekspert som vurderer f.eks. en tumor på billedet.

Selvfølgelig er interferens en kritisk problemstilling - ikke mindst efter at vi har set det første nærdødsfald fordi en pacemaker satte ud grudnet interferens i et brusebad. Men hvis nogen tror at et hospital ikke bliver trådløst så kan du glemme alt om ambient computing og små sensor devices som samler data til monitorering - selvfølgelig bliver der trådløs kommunication og selvfølgelig bliver hovedparten af kommunikationens trådløs - men man skal gå meget forsigtigt frem.

Som sagt er argumenter imod den specifikke UseCase ikke i nærheden af at redde tynde klienter. Det er der intet som kan - det er ganske enkelt teoretisk umuligt.

Stephan Engberg skrev:
Problemet er de stærkt dynamiske forhold hvor nye mennesker hele tiden træder til. Så snart indlæggelse er overstået kan man lukke alle midlertidige konstruktioner helt ned. Det problem er helt uafhængig af tynde/tykke klienter bortset fra at tynde klienter selvfælgelig ikke kan løse det.

"udefra" er en ukendt størrelse i den digitale verden. Der er ikke meget længere fra min PDA til den den nærmeste server eller fra min PDA til den fjerneste - heller ikke en angriber hvad enten det er en ekstern cracker, en intern administrator eller som det mest sandsynlige en emsig embedsmand.

Håndtering af store datamængder er ikke et problem da de typisk ikke er personhenførbare i sig selv og dermed ikke nødvendigvis skal isoleres til klient-side. F.eks. røntgenbilleder kan sagtens tænkes at gøre som en serverside session mens al håndtering af persondata relativt til samme kører klient-side. Den telemedicinske billeddiagnostiske vurdering har ikke nytte af at vide hvem patienten er og vi kan relativt let etablere asymmetrisk viden mellem den behandlende læge og den kliniske ekspert som vurderer f.eks. en tumor på billedet.

Som sagt er argumenter imod den specifikke UseCase ikke i nærheden af at redde tynde klienter. Det er der intet som kan - det er ganske enkelt teoretisk umuligt.

Stephan Engberg skrev:
Marc

Jeg har snart besvaret de samme spørgsmål mange gange.

Problemet er forhåbentligt mere modstand mod forandring fordi folk ikke stiller spørgsmålstegn ved deres egne implicitte antagelser. Men et aspekt er også at særinteresserne overvinder fornuften.

Først og fremmest er det en ren illusion at servere er sikrere end klienter. Prøv at gange op med konsekvensen af brud og muligheden for at siker - så ændres billedet 100%

Ja, der sker flere brud på klienter fordi de bruges mere forskelligt til flere opgaver og ingen laver værktøjer til at sikre brugerne.

F.eks. staten interesserer sig mere for at kontrollere og overvåge borgerne end at sikre dem. Klienter skal sikres ved at adskille brugerens nøglekontrol fra den klient som loader programmer, dvs. i 2 adskilte enheder. IKKE ved at fjerne kontrollen FRA brugeren.

Samtidig er servere et risikomæssigt minefelt fordi man maksimerer risikoen og ikke har nogen fallbackmekanismer. Databaser kan ikke sikres ved at udbygge perimerterkontrollen, men ved at FJERNE kontrollen fra databasen, dvs. kryptere DATA.

BORGEREN er de sårbare - men servere indrettes på at beskytter ejerintereserene i profit og magt. Den eneste kendte måde i en digital verden at sikre borgeren er at undgå at tage magten fra hende i første omgang.

a) Tynde klienter betyder at kontrollen ALDRIG ligger hos hverken patient eller læge/behandler - de eneste som har legitim adgang til data kan ikke kontrollere adgangen eller beskytte mod 3. part.

Pseudonymisering er blot den velkendte måde at muliggøre service uden at skabe sårbarheder. Men en central løsning (herunder tynde klienter) kan IKKE pseudonymiseres fordi det forudsætter at styringen over personhenførbarheden ligger hos de sårbare parter dvs. borgerne og deres modparter læger/sygeplejersker.

Hvis lægen ikke kan beskytte patienten i hans ende, så blotlægges patienten som den sårbare part der angribes af interesser.

Hvis man skal sikre et system med tynde klienter så må der ikke eksistere personhenførbare data på et hospitel - tror du selv på den?

b) Det drejer sig ikke om hvem vi frygter men men om ikke at stole på nogen uden det er enten nødvendigt eller ønsket. Patienten er nødt til at stole på egen læge og sygeplejersken, men ingen andre - sundhedsdata er ekstremt værdifulde og angriberne kommer fra mange sider.

c) En midlertidig løsning er f.eks. at man henter alle data på en patient til en lokal server under en operation med batteribackup for at forebygge strømafbrydelser etc. Det er SPECIFIKT, ISOLERET og VELKALKULERET i fordhold til den specifikke konsekven ved ikke at gøre det.

Sådanne specifikke formålsbestemte sårbarheder er selvfølgelig INTET i forhold til de sikkerhedsløse tynde klienter som gør alle sårbare over for alle andre ved at efterlader systemerne fulde af bagdøre.

Men selvfølgelig - det er teoretisk tågesnak at der skulle være nogle risici mod mennesker i en digital verden - og at mennesker er samfundets vigtigste aktiv.

Vrøvl siger jeg bare - det er intersserne som taler og ignorere fornuften.

Stephan Engberg skrev:
Lad os nu holde det konkret. Det andet er blot det sædvanlige skyden budbringeren for at kunne ignorere problemet.

a) Sikkerhedsproblemet er IKKE den behandlende læge og sygeplejerske. Det er alle de andre med adgange som misbruges af dem selv eller andre - bevidst eller ved fejl. Problemet er at man ikke har isoleret adgangen til dem som faktisk er involveret.

Eftersom vi diskuterer risici, dvs. ex ante, så er der subjektive aspekter af trusselsbilledet. Som udgangspunkt er det ikke så interessent hvem der er farligt (Google, Centraladministrationen, hackere eller andre) hvis man blot fjerner bagdørene.

Men f.eks. dette ville ikke være teknisk muligt i et sikkert system.
http://ing.dk/ (...)

b) Ja, der sker brud på klienter, men de store, målrettede og systematiske brud sker på servere.

Klienterne kan ikke sikres perfekt, men langt hovedparten af problemerne kan klares ved at flytte den kritiske nøglehåndtering væk fra applikationen og netværkslaget.

Problemet er derimod at yderligere koncentration af risici på serveren blot forværrer situationen.

c) Rent sikkerhedsmæssigt er en tynd klient nærmest en joke. Ja, du krypterer måske kommunikationslinjen og du gør store anstrengelser for at identificere brugeren - men serveren er det store sikkerhedshul og netop identifikationen (af bruger og patient) og specielt genbrug af nøgler skaber sårbarhederne.

Når alt det er sagt er det meningsløst at holde noget som nærmest kan karakteriseres som worst case op mod forsøg på at skabe security by design - der er masser af modellen mellem disse 2 yderpunkter. At man ikke kan lave perfekte løsninger betyder ikke at man ikke kan lave det meget bedre.

Man kan f.eks. starte med at fjerne de brede administrator adgange og løse problemet med Emergency overridde så alle ikke har adgang til alt.

Men man skal huske på at vi arbejder ind i et moving target - ambient computing, telemedicin, egenomsorg, grænseoverskridende, på tværs af sektorer, de meget stærke interesse i at kommecialisere sundhed, gen/DNA, biomwtri etc. Alt det kan skabe værdi, men pt. sker det på beskostning af et hastigt faldende sikkerhdsniveau.

Igen bliver jeg nødt til at spørge ind til relevansen for en klient/server løsning på et hospital?

Hvis man starter med at lægge kontrollen i skyen, så har man afskrevet muligheden for at lave løsninger. Det er by design gået galt.

I skyen? Vi taler her om fysiske servere de selv har fuld kontrol over over ikke noget der er i en sky et eller andet sted.

Stephan Engberg skrev:
Marc

Høfligst.

Min ENESTE pointe her er at servere fejler skalerbart, dvs. man MÅ IKKE flytte de kritiske operationer til servere.
Problemet er at sær-interesserne overrule fornuften og rettighederne.

1) Du bilder dig ind at servere kan sikres på trods af den konstante dokumentaton af det modsatte - Joint Strike Fighter, Kreditkortsystemer og DNA Biobank for nu blot at nævne nogle få som ikke MÅ fejle men alligevel gør det.

Ja, klienter er også sårbare, men de kan isoleres og de tunge nøgler fjernes fra klienterne, så brud ikke kan skalere som det sker på servere.

2) Du påstår at at sygehus er "lukket, centralt kontrolleret system" på trods af at det åbenlyst er det stik modsatte. Der er online eller klient-side - ikke noget ind imellem, det er en illusion. Specielt den naive tillid til "det offentlige intranet" - perimetersikkerhed dør, accepter det og indret dig efter det.

3) Jeg afviser din dæmonisering af behandlende læge og sygeplejerske som "sælger af information" som værende et kritisk problem hvorefter du svarer i vest.
Problemet er at det er så nemt og gratis at misbruge søgbare data i centrale databaser.
Rent datasikkerhedsmæssigt ville det være mere sikkert at lade EPJ forblive papirbaseret, men behovet for adgang og opdatering kræver at man tager diskussionen nu.

Resten af dit indlæg er en cirkelargumentation - du antager din konklusion om at kun administratorer kan sikre noget.

Så længe du ikke tør erkende at administratorerne ikke kan beskytte deres adgang mod misbrug og reelt ikke engang kan administrere den i det komplekse system et hospital udgør (hvorfor man forfalder til "rollebaseret" sikkerhed, SSO m.m.), så er man ikke engang begyndt at diskutere sikkerhed.

Det bliver kun til et spørgsmål om interesser.

Stephan Engberg skrev:
Ad 2) Korrekt det var Ebbe som fremlagde central-strategien. Den er stærkt fejlbehæftet, men det er i det mindste et forsøg på rationel argumentation.

Bortset derfra er det væsentligt nemmere at sikre 2000 klienter end 50 servere når man inddrager forståelse for risiko og konsekvens. Klienter kan isoleres så brud forebygges, ikke skalerer og man kan sikre revoery med minimal konsekvens - det kan serverside kontrol ikke, det fejler typisk stort og skalerende.

Men det er applikationerne i bred forstand som skal indrettes så brugerne kan kontrollere dem fremfor det nuværende fokus på at detailkontrolere brugere og borgere mens man maksimerer risici.

Marc Munk skrev:
Hvis du seriøst mener at du kan sikre 2000 klienter bedre end ~ 50 servere er der vist ikke nogen grund til at spilde mere tid på den her debat.

Marc Munk skrev:
Det ville pynte hvis du istedet for at lukke en masse varm luft ud faktisk tog dig tid til at svare på spørgsmål og evt kom med noget dokumentation for dine påstande.

Stephan Engberg skrev:
Korrekt, du lytter ikke.

Man KAN IKKE sikre servere fordi der ikke er nogen nøgler at sikre imod som kan sikres mod misbrug.

Klienter KAN sikres ved at isolere kontrollen helt ud til brugeren og låse den til brugerens nøglestyring. Og ved at flytte kontrollen VÆK fra de brede bagdøre TIL de SPECIFIKKE adgange sikrer man samtidig serverne.

Det er dokumenteret, men som sagt lytter du ikke. Spørg konkret uden at forvente at man skal sikre hele sundhedssektoren på en gang med et trylleslag.

Tynde klienter på Bisbebjerg betyder blot at ingen persondata kan sikres på Bispebjerg. Andre
sikkerhedssystemer burde simpelten karakterisere Bispebjerg som usikkert og nægte at udlevere data for di der ikke er nogen måde at sende data fortroligt til en læge.

Marc Munk skrev:
Nej det er selvfølgelig meget bedre at skulle administrer 2000 maskiner med data på. 2000 maskiner som alskens folk har fysisk adgang til.

Marc Munk skrev:
Men for at dit system skal kunne føres ud i livet er 2000 maskiner jo ikke nok. Så skal hver patient have sin egen maskine som kan følge med rundt på de forskellige afdelinger.

Justitsministeriet skrev til Retsudvalget:
Domstolen finder, at opbevaring af celleprøver, dna-profiler og fingeraftryk udgør et indgreb i retten til respekt for privatlivet i EMRK's artikel 8's forstand.

I den forbindelse fremhæver Domstolen bl.a., at celleprøver indeholder følsomme oplysninger om den pågældende persons helbred, og at celleprøver indeholder en unik genetisk kode, der er af stor betydning for såvel det pågældende individ som hans eller hendes pårørende (præmis 72).

Domstolen finder, at også opbevaring af fingeraftryk vedrørende et identificeret eller identificerbart individ udgør et indgreb i retten til respekt for privatlivet (præmis 85-86). "

Stephan Engberg skrev:
En masse...

Stephan Engberg skrev:
Få nu noget fornuft ind i debatten. Du slås med dine egne vejrmøller.

Er data krypterede er sikkerheden isoleret den samme på klienter og servere. Servere er gode til backup og adgang fra mange steder, så det skal de selvfølgelig bruges til.

Sikkerheden er så afhængig af hvem der har nøglerne til at åbne (dekyptere) data.

Distribuering af risikoen ved at have mange nøgler som hver især kun er i stand til at have adgang til få patienters data dekrypteret client-side giver en rimelig sikkerhed hvis NØGLERNE IKKE er online, dvs. tilgængelige for en attacker og en attacker ikke kan målrette angrebet. Dvs. nøglekontrollen skal selvfølgelig væk fra online og kontrolleres af brugeren. Det umuliggør ikke brud på klienten, men gør brud isolerbare og ikke skalerbare.

Problemet er som utallige eksemplar dokumenterer er at sikkerheden bryde sammen hvis nøglerne er online og specielt hvis risikoen er koncentreret så få nøgler giver adgang til mange data. ADMIN MÅ f.eks. IKKE have adgang til at kunne dekryptere data eller skabe nøgler som kan.

Ligesom servere ikke må kunne få adgang til personhenførbare data. Mange applikationer i dag er fejldesignede baseret f.eks. på at bruge cpr-nummer som søgenøgler i databaserne hvorefter onlinesystemer er totalt blotlagt fordi angriberne selvfølgelig kan få tilgang til databasen.

Tynde klienter er datahåndteringsmæssige 100% online, dvs. ryger samtidig med serveren.

Er data ukrypterede er det håbløst at sikre dem. Så er det blot et spørgsmål om tid fordi perimetersikkerheden ryger.

Der er nogen som forsøger at skabe en illusion om det offentligt som et "lukket" system - det er rent vrøvl og Security by Obscurity.

Selvom hver patient selvfølgelig skal have nøglekontrol for at sikkerhed giver mening i en online verden, dvs. en form for nøglekontrol, så har du ikke behov for en fysisk maskine per patient.

Ligesom det forhold at borgeren har nøglekontrol under normale forhold heller ikke løser problemet under indlæggelse hvor patienten ikke kan åbne data hver gang, der må¨nødvendigvis finde delegering sted til læger og sygeplejersker.

Problemet er at tynde klineter ikke bare forværrer sikkerheden, det gør det samtidig umuligt at sikre applikationerne fordi nøglehåndteringen flyttes fra client-side hvor den kan isoleres til serverside hvor den bryder sammen.

Hvis diskussionen ikke bliver bedre end dette tåbelige "hvad administrator kan sikre", så er sammenbrud det eneste sikre. En Administrator kan IKKE sikre noget, han kan højst begrænse skaden når det går galt og reetablere systemet. Angriberne er langt væk når han opdager problemet. Det store problem er de strukturelle angreb iværksøt fra centralt hold hvor specielt de planøkonomiske centralisering og styringsprojekter er de værste med DNA Bionbanken som et helt oplagt eksempel på et centralt angreb uden lovhjemmel.

http://www.ft.dk/ (...)

Bemærk "identificeret eller identificerbart" - fjerner du identificerbarheden og flytter den klient-side (til patient og behandlende læge) fjerner du riskoen og dermed også problemet.

Marc Munk skrev:
Og hold nu op med dit DNS biobank pjat. Det er jo på ingen måde relevant for den her debat...

Marc Munk skrev:
Hvem skal så generer nøglerne? Vil du lade den enkelte patient selv generere en nøgle på den tykke klient som du på ingen måde kan sikre på samme måde som en tynd klient?

Marc Munk skrev:
Og netop fordi vi skal stole på disse folk har vi balladen. Så bliver vi nødt til at lave et system som både kan bruges i det daglige men det skal sørme også kunne bruges i nødsituationer hvilket fordrer en bagdør.

Stephan Engberg skrev:
Marc

Du fremturer med påstande, men prøv nu selv at checke logikken i stedet for.

?? Du har af gøre med åbenlyst og systematisk ulovligt misbrug af centrale nøgler til centrale databaser. Langt fra det eneste eksempel, men så tydeligt det kan blive. Det burde være teknisk UMULIGT.

Denne centralistiske kontrolmani er i øvrigt også årsagen til at den offentlige sektor systematisk bliver dyrere og dårligere, men det er en anden diskussion bortset fra at sikkerheden undermineres af særinteresser som ikke er taqer hensyn til borgeren og samfundet.

Eksemplet er præcis det mest relevante man kan tænke sig, men du kan sagtens få flere. Det vælter jo med sikkerhedsproblemer og centralisme i den offentlige sektor.

Som jeg har skrevet masser af gange. Nøgler bør genereres i klient-side nøglekort selvfølgelig adskilt fra klienten, så en given transaktion kun ser selve krypteringsnøglen men ikke resten. Serverene kan generere alle de nøgler og dobbeltkryptere alt de vil, men det gavner ikke sikkerheden væsentligt.

Her du tager fuldstændigt fejl.

For det første er egen læge og de direkte involveret i behandlingen de ENESTE som har legitim (lovlig) og af patienten ønsket adgang. Dvs. truslen mod den enkelte patient er isoleret til at en direkte involveret i behandlingen svigter mens en fejl af en anden bruger ikke rammer den pågældene patient, dvs. man kan isolere risikoen og håndtere problemet hvis det skulle gå galt.
Mens centrale modeller betyder at alt svigter når det svigter, jf. biobanken eller de typiske hackerproblemer.

For det andet kan "bagdøre" sikres som åbne engangsfordøre uden at give generelle adgange til andre end den eksplicit involverede behandler - jeg har selv påvist og publiceret en model hertil fordi det tjente formålet at bevise det (SHI2007).

Stephan Engberg skrev:
Marc

Alle computere som er forbundet med nettet og loader programmer fejler. Det gælder fede klienter og det gælder servere.

Så længe du insisterer på ikke at gange sandsynligheden op med konsekvens, trussel om skalering og mulighed for effektiv reaktion, så ser du kun på din umiddelbare opfattelse men kommer slet ikke ned i materien.

Klient-side kan du isolere så skaden er lille og ikke kan skalere. Det kan du ikke serverside hvor de store brud sker.

Ja, klienterne skal sikrs meget bedre bla. ved at flytte nøglerne. Men det "chipkort" som man her taler om er ren overflade, mens man ødelægger muligheden for at isolere.

Tilbage er kun at vente på at bagdørene misbruges - af de ansatte, af hackere, af ministeriet, ved fejl eller hvem der nu vil. I langt hovedparten af tilfældene hører man selvfølgelig aldrig om det fordi ligesom med bankerne netbanker aner man det formentlig slet ikke.

Jeg har lært en ting af denne debat - administratorer har ekstremt svært ved at se sig selv som truslen og man nægter at overveje muligheden for at man ikke kan beskytte sin egen hovedadgang mod angribere - Så er det nemmere bare at kalde alt for "varm luft" og hvilke andre pseudo-argumenter der er fremturet med.

Det er netop disse hovedadgange og tilsvarende store brede adgange inkl. specivi er nødt til at afskaffe. Så er det nemmere bare at kalde alt for "varm luft" og hvilke andre pseudo-argumenter der er fremturet med.

Stephan Engberg skrev:
Marc

Jeg stopper her. Du er efter min opfattelse ikke kommet 2 skridt videre i din forståelse når du kan skrive "Brug serveren til at generer de nøgler ud fra oplysninger fra det chipkort brugeren har med sig."

Det gælder kun netværkslaget og har meget lidt med sikkerhed at gøre.

Stephan Engberg skrev:
Klient-side kan du isolere så skaden er lille og ikke kan skalere. Det kan du ikke serverside hvor de store brud sker.

Stephan Engberg skrev:
Søren

Min kompliment - du er begyndt at tænke selv fremfor blot at tage centralpropagandaen for gode varer, det er præcis det vi mangler.

Jesper Larsen skrev:
Er det helt rigtigt? Nu er jeg ikke sikkerhedsekspert, men der er da mange angrebsvektorer på klienter som skalerer. De fleste botnets er vel for eksempel skabt ved et skalerbart angreb på klienter. Find selv andre eksempler