1. Inledning
Detta dokument beskriver E-hälsomyndighetens säkerhetskrav på aktörer som ansluter sig till E-hälsomyndighetens tjänster och förmedlar privatpersoners direktåtkomst till
egna uppgifter hos E-hälsomyndigheten.
1.1 Definitioner
I detta dokument används följande
beteckningar med nedan angiven betydelse.
|
Beteckning
|
Betydelse
|
|
Aktör
|
En extern part som E-hälsomyndigheten
använder som kanal för att ge enskilda individer direktåtkomst till sina egna
uppgifter i E-hälsomyndighetens register.
|
|
Direktåtkomst
|
Direktåtkomst till data i E-hälsomyndighetens register via tjänstegränssnitt. I detta dokument avses
enbart enskilda individers direktåtkomst till egna uppgifter i dessa
register.
|
|
Klient
|
Det system som slutanvändaren använder
och interagerar med, till exempel en webbläsare eller mobil app.
|
|
Personuppgifter
|
All slags information som direkt eller
indirekt kan hänföras till en fysisk person som är i livet.
|
|
Slutanvändare
|
Den enskilde individ som ansluter till
aktören för att få direktåtkomst till egna uppgifter hos E-hälsomyndigheten.
|
2.
Allmän information
E-hälsomyndigheten anpassar sin
säkerhetsarkitektur och därmed åtkomst till erbjudna tjänster baserat på
löpande riskbedömningar.
3. Generella säkerhetskrav
Krav S1: Den aktör som fungerar som E-hälsomyndighetens kanal
för individens direktåtkomst till hans/hennes personuppgifter hos E-hälsomyndigheten ska förutom kraven i detta dokument även leva upp till de
generella säkerhetskraven som beskrivs i "Säkerhetskrav på extern part som
ansluter till E-hälsomyndigheten tjänster".
Krav S2: Den aktör som förmedlar individers direktåtkomst till
dennes personuppgifter hos E-hälsomyndigheten agerar därvid som
personuppgiftsbiträde till E-hälsomyndigheten. Det innebär bland annat att aktören
enligt Artikel 28 i Dataskyddsförordningen bara får behandla
personuppgifterna i enlighet med instruktionerna från E-hälsomyndigheten.
Krav S3: Den aktör som fungerar som E-hälsomyndighetens kanal
för individens direktåtkomst till hans/hennes personuppgifter hos E-hälsomyndigheten får endast göra detta förutsatt att alla säkerhetskrav som
beskrivs i detta dokument uppfylls.
Krav S4: Aktörens system ska hålla god säkerhet, vara
utvecklade och verifierade för att åtminstone hantera vanliga hot som är
relevanta för applikationen, exempelvis OWASP Top 10 för webbapplikationer och
OWASP Top 10 Mobile Risks för mobila applikationer.
Motiv/kommentar: En tillräcklig nivå av säkerhet i applikationerna är
nödvändig för att de inte ska kunna missbrukas för obehörig åtkomst av
information hos E-hälsomyndigheten.
4. Specifika säkerhetskrav för privatpersoners
direktåtkomst
4.1 Krav på autentisering och sessionshantering
Krav S5: Slutanvändares identitet måste fastställas genom
stark autentisering.
Motiv/kommentar: Personuppgifterna som behandlas av E-hälsomyndigheten är i huvudsak känsliga
personuppgifter enligt Artikel 9 i Dataskyddsförordningen och E-hälsomyndigheten gör bedömningen att tjänsterna som exponeras idag därför ska
kräva tillitsnivå 3 (e-legitimationsnämndens tillitsramverk) för
identitetsuppgifterna. Alternativt används någon av de e-legitimationer som
fått statlig legitimitet via ramavtal eller via PTS enligt lagen om
kvalificerade elektroniska signaturer (2000:832) (idag till exempel BankID,
Mobilt BankID, Telia e-leg, samt vårdens SITHS).
Krav S6: Slutanvändarens identitet får inte lagras för
automatisk inloggning, vare sig det rör sig om en webbapplikation eller mobil
app. Det ska alltid krävas fullständig autentisering som uppfyller krav S5 för
åtkomst till slutanvändarens uppgifter hos E-hälsomyndigheten.
Motiv/kommentar: Det måste finnas åtgärder som säkerställer att enbart
innehav av den mobila enheten inte i praktiken blir det enda som behövs för att
kunna ta del uppgifterna.
Krav S7: Slutanvändarens autentiserade session ska upphöra att
gälla efter maximalt 20 minuters inaktivitet i systemet, varefter en
fullständig autentisering måste göras för förnyad åtkomst. För mobila enheter
bör denna tid vara begränsad till enbart 10 minuters inaktivitet.
Motiv/kommentar: Risken att en obehörig person kommer över och kan
utnyttja en autentiserad session måste minimeras, därför är det oacceptabelt
att en autentisering gäller en längre tid efter att slutanvändaren aktivt
använder tjänsten. Detta är speciellt viktigt för mobila enheter som löper en
högre risk att hamna i fel händer.
Krav S8: Aktörens system ska uppmana slutanvändaren att alltid
logga ut efter färdigt bruk av systemet, och efter utförd utloggning ska
systemet uppmana användaren att stänga alla webbläsarfönster om det rör sig om
en webbapplikation.
Motiv/kommentar: För att minimera risken med obehörig åtkomst till
känsliga personuppgifter bör en inloggad session avslutas så fort den inte
länge är nödvändig. Dessutom bör webbläsaren stängas för att minimera risken
att temporärt sparade personuppgifter eller autentiseringsdata görs
tillgängliga för obehöriga som använder samma enhet.
Krav S9: Vid utloggning ska den autentiserade sessionen tas
bort eller göras ogiltig även på serversidan hos aktören och inte enbart i
slutanvändarens klient.
Motiv/kommentar: Om en utloggning enbart resulterar i att till exempel en
autentiseringscookie på klienten tas bort skulle det fortfarande vara möjligt
för en obehörig som kommit över autentiseringscookien att fortsätta utnyttja
sessionen även efter att den legitima slutanvändaren loggat ut.
Krav S10: Den sessionshantering som används för att identifiera
en autentiserad användare ska åtminstone implementera skydd mot följande typer
av angrepp för obehörig åtkomst till ett giltigt sessions-id/token:
·
Gissning av giltigt sessions-id/token
·
Obehörig åtkomst av sessions-id/token
under transport på nätverk
·
Obehörig åtkomst av sessions-id/token i
klienten
Motiv/kommentar: Sessionshanteringen ansvarar ofta för att identifiera
användaren vid upprepade anrop till aktörens systems för att slutanvändaren
inte ska behöva göra en ny inloggning vid varje anrop. Därför är det viktigt
att detta görs på ett säkert sätt och inte riskerar att bli en svag länk i
säkerställandet av slutanvändarens identitet. Det är alltså av största vikt att
förhindra att någon obehörig kan gissa sig till ett giltigt token eller fånga
upp det under transport eller i klienten. Dessa krav kan till exempel realiseras genom
att använda en säker slumpmässig generering och längd på sessions-id så att det
är osannolikt att någon obehörig kan gissa sig till ett giltigt värde, att
enbart skicka en sessions-cookie över SSL/TLS och kräva detta av klienten genom
att sätta flaggan "secure" och att förbjuda åtkomst till
sessions-cookien i klienten via script genom att sätta flaggan
"httpOnly".
4.2 Krav på identitetshantering
Krav S11: Vid anrop mot E-hälsomyndighetens register för en
privatpersons räkning måste slutanvändarens personnummer användas som
sökbegrepp för hämtning av information.
Motiv/kommentar: För att säkerställa att individers direktåtkomst till
sina uppgifter hos E-hälsomyndigheten enbart innebär utlämnade av uppgifter om
den autentiserade personen, och därmed är förenligt med 11 § tredje stycket i
lagen (1996:1156) om receptregister och 7 § i lagen (2005:258) om
läkemedelsförteckning, får det inte finnas någon risk för en sammanblandning
med andra personers uppgifter. Därför måste en entydig identifierare som personnummer
användas istället för namnsökningar.
Krav S12: Vid anrop mot E-hälsomyndighetens register för en
privatpersons räkning, som görs via en aktörs identitet istället för
slutanvändarens identitet, måste aktören säkerställa att rätt identitet förmedlas
till E-hälsomyndigheten så att det inte föreligger någon risk att slutanvändaren
får information som tillhör någon annan person. E-hälsomyndigheten har rätt att
begära nödvändig information om hur detta säkerställs hos aktören för att kunna
verifiera lösningens lämplighet.
Motiv/kommentar: Se motiv till S10 samt Artikel 87 i dataskyddsförordningen jmfr 3 kap 10 § lag (2018:218) med kompletterande bestämmelser till dataskyddsförordningen.
4.3 Krav på behörighetshantering
Krav S13: Vid anrop mot E-hälsomyndighetens register för en
privatpersons räkning, som görs via en aktörs identitet istället för
slutanvändarens identitet, måste aktören säkerställa att enbart anrop görs som
privatpersoner är behöriga till i E-hälsomyndighetens tjänster enligt
"Extern kravspecifikation E002 Behörighetsstyrning ".
Motiv/kommentar: Det får inte föreligga någon risk att privatpersoner
kommer åt mer information än vad som tillåts av 11 § tredje stycket i lagen
(1996:1156) om receptregister och 7 § i lagen (2005:258) om
läkemedelsförteckning.
4.4 Krav på sekretess
Krav S14: Information som förmedlas från E-hälsomyndighetens
register till slutanvändaren får inte överföras över en okrypterad förbindelse,
all information ska förmedlas i en krypterad kommunikationskanal. För
asymmetriska nycklar rekommenderas en nyckellängd på minst 2048 bitar och för
symmetrisk kryptering gäller en nyckellängd på minst 128 bitar.
Motiv/kommentar: Känsliga personuppgifter får aldrig förmedlas i
klartext över ett öppet nätverk, lämpliga åtgärder måste vidtas för att skydda
dessa mot obehörig insyn, se Artikel 87 i dataskyddsförordningen jmfr 3 kap 10 § lag (2018:218) med kompletterande bestämmelser till dataskyddsförordningen.
Krav S15: Information som förmedlas från E-hälsomyndighetens register
till slutanvändaren får inte lagras i något beständigt minne i dennes enhet
utan endast hållas i volatilt minne så länge det används.
Motiv/kommentar: Det får inte finnas någon risk att känsliga
personuppgifter blir tillgängliga för någon obehörig person som kommer över
slutanvändarens enhet vari uppgifterna behandlats. Detta medför till exempel att en
webbserver bör ge direktiv som förbjuder cachning i klienten samt att mobila
appar inte får spara någon information lokalt.
Krav S16: Information som förmedlas från E-hälsomyndighetens
register till slutanvändaren får inte förmedlas i klartext inom aktörens
nätverk eller lagras okrypterat på något beständigt minne hos aktören.
Motiv/kommentar: Det får inte finnas någon risk att känsliga
personuppgifter blir tillgängliga för någon obehörig person hos aktören, vare
sig det gäller under transport på dess nätverk eller lagring på beständigt
media (exempelvis i loggar, cache-servrar eller liknande).
4.5 Krav på spårbarhet
Krav S17: Vid anrop mot E-hälsomyndighetens register för en
privatpersons räkning, som görs via en aktörs identitet istället för
slutanvändarens identitet, måste aktören logga information om aktiviteten ur
spårbarhetssynpunkt på ett sådant sätt att det är möjligt att avgöra om
åtkomsten varit obehörig eller ej. Det måste alltså framgå vem den
autentiserade slutanvändaren är samt vilken identitet som anropet till E-hälsomyndighetens system gällde, samt i vilket sammanhang det gjordes.
Känsliga personuppgifter får dock inte lagras i dessa loggar.
Motiv/kommentar: E-hälsomyndigheten har enligt 23 § i lagen (1996:1156)
om receptregister och 12 b § i lagen (2005:258) om läkemedelsförteckning
skyldighet att logga och kontrollera om någon obehörigen kommer åt uppgifter
som omfattas av dessa lagar.
Versionshistorik
|
Utgåva
|
Datum
|
Kommentar
|
|
1.0
|
2017-10-12
|
Ny version för release 17.1
|
| 2.0 |
2020-01-16 |
Redaktionella ändringar, främst ny stavning E-hälsomyndigheten
S2, S5, S12, S14 Ersatt hänvisning till personuppgiftslagen till GDPR |
