Sikkerhed i journalsystem: hvad Validi forsvarer jer mod

Et af de spørgsmål vi får, oftere end de fleste, fra klinikledere der overvejer et nyt journalsystem er det her: "Hvad sker der hvis I bliver hacket?"

Det er et fair spørgsmål. Og det er sjældent et spørgsmål der bliver besvaret konkret — de fleste leverandører nævner "ISO-certificering" og GDPR, og så er sættet væk fra bordet.

I dette indlæg går vi en anden vej. Vi tager nogle konkrete situationer, som vi enten har set eller forberedt os på, og fortæller hvad der står mellem jeres borgers data og en katastrofe. Det er ikke en certificerings-liste, det er hvad der faktisk sker når noget går galt.

(Hvis I leder efter den lovgivningsmæssige side — GDPR, dataansvar, paragraffer — har vi en separat artikel om GDPR i journalsystem til misbrugsbehandling. Den her handler om det praktiske forsvar.)

Hvis en medarbejder klikker på et phishing-link

Det her er den mest sandsynlige sikkerhedshændelse i en klinik. Ikke en avanceret hacker — bare en travl pædagog der får en mail der ligner en faktura, klikker, og indtaster sit Validi-login på en falsk side.

Hvad så?

Validi har to-faktor-login (MFA) som standard på administrator-konti og som tilvalg på almindelige medarbejdere. Hvis nogen får fat i en adgangskode, har de stadig ikke den anden faktor — typisk en kode fra en app på telefonen.

Vi tjekker også login-mønstre. Hvis en konto pludselig logger på fra Rumænien klokken tre om natten, kræver vi bekræftelse via email før login godkendes. Det er ikke noget medarbejderen ser i hverdagen, men det betyder at en stjålet adgangskode alene ikke er nok.

Hvis en gammel medarbejder beholder adgang efter opsigelse

Det er den anden klassiker. En medarbejder fratræder, og ingen husker at slå adgangen fra.

I Validi har klinikadministratoren én knap der lukker en konto helt. Vedkommende kan ikke længere logge ind, og eventuelle aktive sessions i browseren bliver også ugyldige.

Vi anbefaler at I sætter et tjekpunkt ind i jeres exit-procedure: når nøglen og adgangskortet bliver afleveret, lukker administratoren også Validi-kontoen. Det tager 15 sekunder.

I audit-loggen kan I bagefter se præcis hvad den medarbejder havde åbnet i deres sidste arbejdsuge — også hvilke borgere de havde set på. Det er ikke fordi vi forventer det værste, men det er den slags der bliver relevant hvis der opstår en konflikt eller en mistanke.

Hvis vores server bliver ramt af ransomware

Det her er det mareridtsscenarie, der får mig op om natten — og det er noget vi har brugt en del tid på at forberede.

Validi kører på en dedikeret server i Europa med tre lag backup:

• en daglig snapshot, gemt på samme server (hurtig at restore fra)
• en daglig kopi, gemt hos en separat europæisk udbyder (kan restore selv hvis primær-serveren er helt væk)
• en ugentlig krypteret kopi, gemt offline (kan restore selv hvis et angreb havde adgang i ugevis uden vi opdagede det)

Hvis vi blev ramt, ville vi restore fra den sidste rene backup. Realistisk taler vi om timer, ikke dage, for at få klinikker online igen. Det er ikke et SLA-løfte — det er hvad vi har øvet i vores disaster recovery-tests.

Vi tester restore én gang i kvartalet. Backups man ikke har testet, er ikke backups, det er optimisme.

Hvis nogen prøver at gætte sig ind

Brute force-angreb — automatiserede forsøg på at gætte passwords — er konstant baggrundsstøj for ethvert system på internettet. Validi blokerer en IP-adresse efter et lille antal mislykkede login-forsøg, og blokeringen bliver længere for hvert nyt forsøg fra samme kilde.

Vi har også fjernet de mest oplagte fejlmeddelelser. Hvis nogen prøver at logge ind med en email der ikke findes, får de samme besked som hvis adgangskoden bare var forkert. Det lyder pedantisk, men det betyder at en angriber ikke kan bruge systemet til at finde ud af hvilke email-adresser der har konti.

CPR-numre er maskeret i alle logs. Hvis en sikkerhedsforsker, eller en intern medarbejder med adgang til loggene, kommer til at se en fejllog, ser de aldrig fulde CPR-numre.

Hvis I selv vil verificere at systemet er sikkert

Vi har intet imod at klinikker (eller deres IT-rådgivere) gennemgår vores sikkerhed. Tværtimod.

I kan få:

• en sikkerhedsbeskrivelse med tekniske detaljer (kryptering, hosting, backup-frekvens, MFA, audit-log)
• vores databehandleraftale med konkrete sikkerhedsforanstaltninger
• en DPIA-skabelon hvis I skal lave en risikovurdering
• adgang til jeres egen klinik-audit-log når som helst

Hvis I har en intern IT-ansvarlig eller bruger en ekstern rådgiver, kan vi tale direkte med dem. Det er som regel en kortere samtale end folk forventer.

Hvad I selv har ansvaret for

Et journalsystem er kun en del af kæden. Resten af sikkerheden ligger hos jer, og vi vil hellere være ærlige om det end love noget vi ikke kan levere på:

• Passwords skal være lange og unikke. Vi tvinger en minimumslængde, men medarbejderne skal stadig vælge dem fornuftigt.
• Telefoner og computere skal have skærmlås. Hvis en medarbejder lader en computer stå ulåst med Validi åbent, hjælper kryptering ikke meget.
• Hjemmenetværk under fjernarbejde bør være beskyttet, og offentlige Wi-Fi-netværk er ikke et godt sted at åbne en borgerjournal.
• Phishing-træning er værd at investere i. Det er den hyppigste indgangsvinkel.

Vi har lavet et lille onboarding-dokument, GDPR og sikkerhed i hverdagen, I gerne må dele med jeres personale.

Hvad vi ikke gør (endnu)

Et par ting vi bliver spurgt om, men ikke har på plads:

• ISO 27001-certificering. Vi følger principperne, men har ikke den formelle certificering. Det er en proces vi kigger på, men de fleste klinikker har ikke krævet det indtil nu.
• On-premise installation. Vi kører alle klinikker i samme infrastruktur i Europa. Vi tilbyder ikke et særskilt installeret system på jeres egen server, fordi det giver os langt bedre kontrol med sikkerhedsopdateringer.
• 24/7-vagt på sikkerhedshændelser. Vi reagerer hurtigt, men har ikke en formel nat-vagt. Akutte hændelser efter arbejdstid håndteres via vores akut-nummer.

Vil I se det med jeres egne data og jeres egen IT-rådgiver i rummet? Book en demo, og vi tager en grundig gennemgang sammen.

FAQ

Bliver Validi nogensinde hacket?

Vi har ikke haft et brud så langt. Men forsvaret er ikke bygget på "om" — det er bygget på "hvornår", og hvad der så sker. Vi antager at noget kommer ind på et tidspunkt, og indretter os så konsekvenserne af det er så begrænsede som muligt.

Kan I genskabe data hvis vi selv kommer til at slette noget?

Ja. Backups gemmes i 30 dage, og vi kan genskabe en bestemt borgers data eller hele klinikkens data fra et bestemt tidspunkt. Det er en betalt service hvis det er en intern fejl, men det er muligt.

Hvor opbevares vores backups?

Daglige backups ligger på samme infrastruktur som primær-serveren (separat disk), de eksterne backups ligger hos en anden europæisk udbyder, og de ugentlige offline-kopier ligger fysisk separeret. Alle tre er krypterede.

Kan I se vores borgeres data?

Den korte version: ja, hvis I beder os om det og giver os adgang. Vi har ikke adgang til de krypterede personfølsomme felter i hverdagen. Hvis I beder om hjælp til en konkret support-sag, kan vi få adgang midlertidigt, og det logges som enhver anden handling.

Hvor lang tid tager en restore?

Fra opdagelse til klinikken er online igen: typisk timer, sjældent over et døgn. Det afhænger af omfanget og hvor langt tilbage vi skal. Vi har testet det.

Bruger I underleverandører til hosting?

Ja, men kun europæiske og under fuld databehandleraftale. Listen står i den standard-DBA vi sender med kontrakten.

Kan vi få en penetrationstest af systemet?

Ja, men koordineret. Vi har intet imod at jeres IT-rådgiver tester noget, men vi vil gerne vide det først, så vi ikke blokerer dem som angreb. Skriv til os, så aftaler vi en ramme.