Formålet med tilgangsstyring er å sikre at helse- og personopplysninger kun er tilgjengelig etter tjenstlig behov. Dette innebærer at brukere autentiseres på en betryggende måte, og at tilganger tildeles, administreres, kontrolleres og fjernes.
For utfyllende informasjon om tilgangsstyring vises det til Normen kapittel 5.2. Tilgangsstyring og Normens faktaark for tilgangsstyring (faktaark 14).
Det må vurderes i hvilket omfang tilgangsstyring skal tas i bruk for MU for å sikre at kun personell med tjenstlig behov får tilgang til helse- og personopplysninger. Bruksscenariene i kapittel 5 er et utgangspunkt for vurdering av behovet for tilgang og forholdsmessig sikkerhet. I mange tilfeller vil fysisk sikring av utstyret innebære tilstrekkelig sikring, mens komplekse fagsystemer med store datamengder vil kreve tilgangsstyring på samme nivå som virksomhetens elektroniske pasientjournalsystem. For en del typer MU vil også rask tilgang til utstyret være avgjørende, slik at krav til innlogging ikke lar seg gjennomføre.
Tilgangsstyring avhenger av autentisering og autorisering. Autentiseringen innebærer at brukeren må identifisere seg overfor IKT-løsningen via en autentiseringsmekanisme som brukernavn/passord, smartkort o.l. Autentiseringen skal sikre at rett person autoriseres og får tilgang til helse- og personopplysninger, og at hendelsesregistreringen viser hvem som faktisk har hatt tilgang. Autentiseringsmekanismen må være av tilstrekkelig kvalitet og styrke – og tildeling må skje på en betryggende måte. Sterke passord bør benyttes.
Ulike anvendelser vil stille ulike krav til styrken på autentiseringen. Intern pålogging til et fagsystem knyttet til MU vil kreve individuelle brukernavn og passord, mens ekstern pålogging vil kreve sterkere autentisering i tråd med Normens kapittel 5.2.1. Autorisering. For frittstående MU er det ofte ikke hensiktsmessig å benytte pålogging, men heller sikre informasjonen gjennom fysisk sikring. Som et minimum bør likevel bruk av hardkodede passord unngås.
Autorisering innebærer tildeling, administrering og kontroll av tilgang til informasjon i IKT-systemet. Ulike tilgangsnivåer basert på rollestyring (f.eks. «lege» og «administrator») er en vanlig mekanisme for tilgangsstyring. Tildeling av ulike roller til individuelle brukere er som regel aktuelt i større fagsystemer tilknyttet MU. For alle typer MU bør tilgang til administratorrettigheter begrenses.
Konsolidering av systemer tilknyttet MU, f.eks. sammenslåing av avdelingsvise databaser til et felles system for hele sykehuset, vil ofte medføre behov for mer fingranulert tilgangsstyring for å sikre at tilgang til helse- og personopplysninger skjer etter tjenstlig behov.
Krav til tilgangsstyring for MU er ikke et «særnorsk» krav. I sin «Content of Premarket Submissions for Management of Cybersecurity in Medical Devices» fra FDA (oktober 2014) (www.fda.gov) anbefales følgende sikkerhetstiltak for å begrense tilgang kun til autoriserte brukere:
- Begrens tilgang til utstyr gjennom autentisering av brukere (f.eks. brukernavn og passord, smartkort og biometri).
- Bruk automatisk avslutning av inaktive sesjoner etter en viss tid.
- I tilfeller der det er hensiktsmessig, bruk rollebasert tilgangsstyring (f.eks. «helsepersonell» og «administrator»).
- Krav om sterkere autentisering for privilegert tilgangsnivå (administratorer og servicepersonell).
- Unngå hardkodede passord og beskytt tilgang til passord for privilegert tilgangsnivå.
- I tilfeller der det er hensiktsmessig, bruk fysisk sikring på utstyr og kommunikasjonsporter for å hindre at utstyret tukles med.
- Krev autentisering eller andre sikkerhetstiltak for å sikre at programvareoppdateringer på utstyret er autorisert.
Dette kan være krav som kan tas inn i kravspesifikasjoner ved anskaffelser av MU.
