Single Sign-On staat de laatste tijd sterk in de belangstelling bij veel zorginstellingen. Met de NEN 7510 in het achterhoofd wordt binnen de zorg hard gewerkt aan het verbeteren van toegangsbeveiliging. Zo zijn groepsaccounts vervangen door individuele accounts en worden de complexiteitseisen voor wachtwoorden aangescherpt. Wachtwoorden moeten nu aan steeds meer eisen voldoen zoals een minimale lengte, het bevatten van een vreemd teken en soms ook uitsluiting van bekende woorden als de afdelingsnaam of de naam van de zorginstelling. Ook moeten wachtwoorden nu geregeld veranderd worden en is eenvoudig een nummertje ophogen van het wachtwoord uit den boze.
Privacy en toegangsbeveiliging
De verbeterde toegangsbeveiliging is natuurlijk een goede zaak om de privacy van de patiënt te waarborgen en misbruik van gegevens te voorkomen. Helaas hebben deze maatregelen ook een keerzijde. Sterkere toegangsbeveiliging maakt het niet alleen voor kwaadwillenden lastiger om zich toegang te verschaffen tot systemen en applicaties, ook voor de zorgverlener wordt de toegang lastiger. De zorgverlener heeft immers snel toegang nodig tot gegevens en vaak nog tot gegevens uit meerdere applicaties en vanaf verschillende werkstations (arts die tijdens het patientenbezoek op verschillende werkstations inlogt). Als deze applicaties dan allemaal een complex/sterk wachtwoord kennen en deze wachtwoorden ook nog eens verschillend zijn, levert dit al snel veel frustratie op bij de mensen op de werkvloer! De ICT afdeling is al snel de gebeten hond en wordt er zo niet populairder op. Om toch snel toegang te krijgen tot de gewenste applicaties, wordt vaak weer gebruik gemaakt van de bekende geheugensteuntjes als een briefje onder het toetsenbord of aan de zijkant van de monitor. Het behoeft geen toelichting dat dit vanuit beveiligingsoogpunt natuurlijk hoogst ongewenst is!
Toegang met eenmalig inloggen
Gelukkig bestaat er voor bovenstaande problematiek een oplossing die een sterke beveiliging combineert met een hoge mate van gebruiksvriendelijkheid. Middels Enterprise Single Sign-On (kortweg SSO) is het mogelijk om zorgverleners snel toegang te geven tot applicaties en systemen en toch een optimale beveiliging te waarborgen. Enterprise Single Sign-On geeft gebruikers na eenmaal inloggen toegang tot alle applicaties en systemen waar de gebruiker toe geauthenticeerd is. De Single Sign-On software vangt dan de inlogschermen af en zorgt voor snelle toegang tot de gegevens. De gebruiker hoeft nu slechts 1 wachtwoord te onthouden of in geval van gebruik van een passysteem alleen het pasje bij zich te hebben en eventueel een bijbehorende pincode te onthouden.
Authenticatie
In eerste instantie lijkt deze oplossing een verzwakking van de toegangsbeveiliging op te leveren. Alle belangrijke applicaties bevinden zich nu immers achter één enkele toegang. In de praktijk blijkt de toegangsbeveiliging met Single Sign-On juist sterk verbeterd te worden. Voorwaarde is dan wel dat de authenticatie die de gebruiker moet doen zeer goed beveiligd is. Denk hierbij aan een sterk wachtwoord wat regelmatig veranderd moet worden of aan het gebruik van two-factor authentication in de vorm van een toegangspas (o.a. UZI-pas, Mifare-pas) gecombineerd met een pincode. Een voordeel van het inloggen met een pas is tevens dat deze smartcards multi-functioneel inzetbaar zijn en naast de toegang tot de PC o.a. gebruikt kunnen worden voor Follow-Me printing, betalen in het restaurant, toegang tot fysieke ruimtes en toegang en betalen in de parkeergarage. De vele functies van de pas zorgen er voor dat de gebruiker de pas altijd bij zich heeft. Als deze pas dan ook gebruikt kan worden om in te loggen op de computer en toegang te krijgen tot het EPD en andere zorgsystemen, is de gebruiksvriendelijkheid voor de zorgverlener optimaal. Natuurlijk hangt aan een hoge mate van gebruiksvriendelijkheid ook een prijskaartje. Authenticatie middels een pasje of biometrie token brengt een aanmerkelijk hogere investering met zich mee dan toepassing van Single Sign-On middels een complex wachtwoord. Met de bezuinigingen in de zorg en de steeds krappere budgetten zien we dan ook vaak dat de keuze gemaakt wordt voor Single Sign-On middels een complex wachtwoord. Hiermee wordt toch snelle toegang tot gegevens en veel gebruiksvriendelijkheid geboden zonder zeer hoge investeringen en lange implementatietijden. Technisch gezien bieden beide oplossingen een sterke toegangsbeveiliging die volledig voldoet aan de eisen van de NEN 7510 en een Goed Beheerd Zorgsysteem (GBZ). De gevreesde verzwakking van de toegangsbeveiliging met Single Sign-On blijkt In de praktijk ongegrond. Omdat de gebruikers nog maar 1 wachtwoord hoeven te onthouden of zelfs alleen een pasje bij zich hoeven te hebben, verdwijnen de kenmerkende post-it blaadjes onder het toetsenbord of aan de monitor en kunnen kwaadwillenden zich geen toegang meer verschaffen tot belangrijke gegevens. Ook kan de IT afdeling nu een strikt wachtwoordbeleid doorvoeren zonder grote tegenstand van de gebruikers te vrezen. Een korte animatie over het gebruik van Single Sign-On met wachtwoord authenticatie of toegangspas is te zien op: Single Sign-On in de praktijk
Fast User Switching
In relatie met Single Sign-On komt vaak ook de term Fast User Switching naar voren. Middels Fast User Switching is het mogelijk dat gebruikers snel achter elkaar inloggen op een systeem en daarmee toegang krijgen tot bijvoorbeeld de patiëntgegevens in het EPD. Hiermee wordt de vertraging die ontstaat om uit- en weer in te loggen binnen het Windows besturingssysteem omzeild. In sommige netwerken kan deze vertraging oplopen tot enkele minuten en wordt dit door de zorgverlener als zeer hinderlijk ervaren. Bij Fast User Switching in combinatie met SSO wordt het wisselen van de user context afgehandeld binnen de SSO-omgeving en kan een gebruiker binnen 10 seconden wisselen van 1 gebruikersaccount naar een andere. Deze functionaliteit is bijvoorbeeld aantrekkelijk voor een arts die zijn/haar ronde doet bij de patienten en dus vaak moet inloggen op verschillende werkstations. Voor veel ziekenhuizen bestond lange tijde de angst dat het afschaffen van groepsaccounts grote vertragingen tot gevolg zou hebben bij het inloggen op gemeenschappelijke computers. Immers de medewerkers dienen zich met hun eigen username en wachtwoord bekend te maken alvorens ze toegang krijgen tot het EPD. Met Fast User Switching is van lange vertragingen geen sprake meer. Gebruikers kunnen snel achter elkaar inloggen. Zeker in combinatie met een passysteem heeft de gebruiker na het scannen van de pas al binnen enkele seconden toegang tot de benodigde gegevens in de diverse systemen en applicaties.
Single Sign-On in de praktijk
Meer informatie over de toepassing van Single Sign-On binnen ziekenhuizen kunt u lezen in onderstaande praktijkcases:
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
Meer informate over Enterprise Single Sign-On software kunt u vinden op: Enterprise Single Sign-On Manager
Abonneren op:
Reacties posten (Atom)
+3.jpg)
Geen opmerkingen:
Een reactie posten