Az egészségügyben használatos informatikai rendszerek biztonsági kérdései

A biztonság és a védelem fogalma a magyar nyelvben viszonylag egyértelműen értelmezett. A biztonság egy állapot, a védelem, pedig az erre irányuló tevékenységek rendszere. A szakmai szóhasználatban elkülönül egymástól az adatbiztonság és az adatvédelem fogalma. Míg az adatvédelem az adatok, jelesül a személyes adatok jogi értelemben vett védelmét jelenti, addig az adatbiztonság fogalma magát a technikai védelmet fedi. A számítógépes rendszerek és a bennük tárolt információk biztonságát informatikai biztonságnak nevezzük. Az informatikai biztonság két fő területe az információvédelem és a megbízható működés. Míg az előbbi az információk sértetlenségével, bizalmasságával, hitelességével, addig az utóbbi a rendelkezésre állással és a rendszertől elvárható funkcionalitás biztosításával foglalkozik. Az adatvédelem, adatbiztonság területével számos hazai és nemzetközi jogszabály, szabvány és ajánlás foglalkozik, ezeket a Függelékben sorolom fel.

Az egészségügyi informatikai rendszerek célja

A beteg, ügyfél szemszögéből

• Informálás - A betegek az őket érdeklő ismeretekhez könnyen juthassanak hozzá.
• Támogatás - A beteg közérzete javuljon, érzze az odafigyelést.
• Betegirányítás - Csökkentse a várakozást, menedzselje a betegutakat.

Az orvos-felhasználó szemszögéből

• Hozzáférés - Adatok, személyek gyors elérhetősége. Részlegek, osztályok közötti kommunikáció.
• Integráltság - Egységes rendszerben szolgálja ki az összes szakmai tevékenységet.
• Nyilvánvalóság - Az információ kezelése az orvos számára legyen láthatatlan, automatikus.
• Távoli kapcsolat - Termtse meg a külső egységek integrációját, az intézményközi kommunikációt.
• Előremutatás - Hordozza a telemedicina alkalmazásának lehetőségét.

Egészségpolitikai szemszögből

• Rugalmasság - A gyógyító intézmény olyan informatikai infrastruktúrával rendelkezzen, hogy az egészségügyi ellátás szerkezetében történő változásokat nagy reakciósebességgek ki tudja szolgálni, az ellátásbeli módosulásokat tudja követni.

A működtető szemszögéből

• Gazdaságosság - Az üzemeltetési, karbantartási költségek alacsonyan tartahatók legyenek.
• Kezelhetőség - Egységes elvek szerint működő, kezelhető infrastruktúra legyen.
• Üzemeltetési biztonság - Az információ a nap 24 órájában álljon rendelkezésre.
• Adatbiztonság, hitelesség - A technológia zárja ki az adatvesztés esélyét, minimalizálja a rendszerösszeomlás esélyét.
• Integrálhatóság - Működjön együt a meglévő rendszerekkel.

Az egészségügyi információrendszer rutinfeladatai

• Adatok gyűjtése, rögzítése, tárolása
• Adatok ellenőrzése, a tárolt adatok biztonságos védelme
• Különböző algoritmusokkal újabb adatok származtatása
• Adatok csoportosítása, rendszerezése
• Adatok naprakészen tartása
• Meghatározott feltételek szerinti számítások, összesítések, elemzések elkészítése
• Eredmények megjelenítése, az információk belső mozgatása, fogadása, továbbítása a külső rendszerek felé, tájékoztatás
• Dokumentumok, jelentések készítése

Egészségügyi információ

Az emberi egészségről szóló információ érzékeny területe az információ és adatbiztonságnak, Az egészségügyi információbiztonság feladata, hogy megőrizve az adatok bizalmasságát és integritását, - mindegy, hogy honnan származik az információ, vagy milyen eszközök kerülnek felhasználásra azok tárolásához, illetve az adattovábbításhoz, - biztosítsa az egészségügy megfelelő ellátását. Az információbiztonság területével az ISO/IEC 27002 szabvány, az egészségügyi információbiztonsággal az ISO 27799:2008 szabvány foglalkozik. Az ISO 27799 egy gyakorlati megvalósítási tervet biztosít ahhoz, hogy az ISO/IEC 27002 szabvány egészségügyi környezetben kerüljön megvalósításra. Összegezve ez a két szabvány együtt határozza meg, hogy az információbiztonságon belül mit szükséges alkalmazni egészségügyi területen.

Az egészségügyi információs rendszereknek egyedi igényeknek kell megfelelniük ahhoz, hogy működőképesek maradjanak természeti katasztrófák, rendszer összeomlások, illetve szolgáltatások megtagadása esetén is. Ugyanakkor az általuk hordozott információ bizalmas, annak integritását mindenképpen meg kell őrizni. Ezen követelmények miatt az egészségügyi szervezeteknek szigorú szabályozásokat kell érvénybe léptetni ahhoz, hogy biztosítsák az egészségügyi információk biztonságát, tekintet nélkül a szervezet méretére, az elhelyezkedésére, és az egészségügyi szolgáltatások nyújtásának módjára. A wireless és az internet technológia az egészségügyben történő egyre szélesebb körű használata, illetve a személyes egészségügyi információ megnövekedett elektronikus áramlása fontossá teszi a szükséges, és hatékony IT biztonság kialakítását.

Az egészségügyi információ biztonsága

Az alábbi hét tényezőre kell ügyelni:

1. Titkosság/bizalmasság (confidentiality) - csak ahhoz az információhoz férhessen hozzá valaki, ami számára engedélyezve van, máshoz nem;
2. Elérhetőség (availability) - bárki elérhesse azt az információt és akkor, amikor szüksége van rá;
3. Sértetlenség (integrity) - az információ maradjon az, amilyennek eredetileg szánták/tervezték;
4. Hitelesség (authenticity) - az információ forrását biztosan azonosíthassuk;
5. Kizárólagosság (exclusivity) - csak a cél(személy) tudja az információt használni;
6. Magánélet sérthetetlensége (privacy) - garantálni kell az egyének vagy szervezetek érdekeinek védelmét;
7. Elkötelezettség (obligation) - mindenki a lehető legnagyobb gondossággal járjon el.

Biztonsági problémák a különböző hálózati rétegekben

Az OSI rétegmodell

Alulról fölfelé haladva a különböző rétegek:

1. Bitek továbbítása fizikai közegen
2. Az átküldött bitek hibátlan megérkezésének biztosítása (Ethernet-keretezés)
3. Routing, útvonal fölépítése pontról pontra
4. Két végpont kezelése
5. Session kezelése, szinkronizációk
6. Kódlapok konverziója
7. Alkalmazási protokollok

1. A fizikai réteg kockázatai

• Lehallgatás (áthallás)
• Kábelek megcsapolása
• Szabotázsakciók (átkötés)

2. Az adatkapcsolati réteg kockázatai

• CAM Table overflow
• Switchek CAM-táblái véges méretűek
• Elárasztás után elfelejti az összerendeléseket
• Minden porton megjelenik a forgalom
• Lehallgathatóvá válik
• Gyengesége: Csak adott VLAN-on belül működik
• Megelőzés: Port security, korlátozás MAC-re
• MAC Spoofing
• Hamis MAC propagálása
• Switch CAM-táblájában felülíródik a helyes cím
• Valódi címzett nem kap forgalmat, míg nem küld
• Felhasználása: lehallgatás, DoS
• Megelőzés: Port security,hamis MAC nem jut ki a hálózatra
• ARP Poisoning
• Támadó hamis ARP Reply-t küld a hálózatra
• ARP-tábla bejegyzését felülírja: Pl. switch elől elhalássza a forgalmat: DoS Másik hostot tud megszemélyesíteni
• Man-in-the-Middle
• Megelőzés: Port security. Bejegyzések az ARP-táblában véges ideig. Csak kérdésre jövő ARP Reply-t fogadunk el.
• Spanning Tree Manipulation
• Redundánsan linkelt alhálózatok prioritási ügyei: Hierarchia-fa erőszakos átalakítása (BPDU flood). Támadó beépíti magát a hierarchiába, a forgalom illetéktelenül lehallgatható
• Megelőzés: "Root Guard" attribútum a gyökérswitch jelölésére "BPDU Guard" az átalakítások korlátozására
• DHCP Starvation
• MAC-címekkel való elárasztás
• Címtartomány kimerítése egy időre
• Kamu DHCP-szerver indítása
• DoS-ra ad lehetőséget
• Megelőzés: Azonos a MAC Spoofing-nál használttal

3. A hálózati réteg kockázatai

• IP Spoofing
• Csomagok hamis forrásIP-vel
• Nem-vak spoof: host-alapú ellenőrzést kikerülheti, ismernie kell a megbízható (trusted) IP-címet
• Vak spoof: DoS, sok forráscímről elárasztás
• Megelőzés: Többfázisú hostellenőrzés, nem IP-alapú hostazonosítás
• Routing (RIP) attack
• RIP-nél nincs azonosítás
• Hamis RIP-csomaggal forgalmat lehet átirányítani
• Lehallgatható és meghamisítható
• Hostot lehet megszemélyesíteni
• Megelőzés: RIP v2 jelszavas azonosítás, IPsec VPN
• ICMP attack
• DoS: hamis "Time exceeded" vagy "Destination unreachable" üzenetekkel a kapcsolat megszakítható
• Lehallgatás: "Redirect" üzenettel
• Megelőzés: Hálózati struktúra (tuzfalakkal ICMP blokkolása), csak néhány típusú ICMP-üzenet engedélyezése
• ICMP Flood
• DoS: Ping flood
• Script kiddie-k
• Megelőzés: Hálózati struktúra, tuzfalak, ICMP Echo Request blokkolása vagy korlátozása
• Sniffing
• Egyszerű lehallgatás: Kódolatlan szövegek kinyerhetők, forgalomstatisztika készíthető
• Megelőzés: Hálózati struktúra, VLAN-ok, Port security, titkosítás

4. A szállítási réteg kockázatai

• TCP "SYN" Flood
• Három utas handshake: Sok SYN packet, nincs válasz, az áldozat nem tud TCP-kapcsolatokat nyitni
• DoS
• Megelőzés: Tuzfalakkal korlátozni a trusted hostokat, operációs rendszer szintjén (Linux: TCP Syncookie support)
• TCP Connection Hijacking
• A tipikus Man-in-the-Middle attack, rossz szinkron kihasználása kamu csomagokkal
• Megelőzés: IP Spoofing Megelőzésével
• UDP Flood
• Véletlenszeru portokra csomagok, ICMP "destination unreachable" pattan vissza
• Megelőzés: Tuzfallal a nem használt portokat védeni, ICMP echo üzeneteket tiltani
• Land Attack
• TCP "SYN" csomag azonos feladóval és címzettel, saját magával handshake-elne a host, összeomolhat a rendszer
• Megelőzés: Használható TCP/IP-stack implementációjával, egress, ingress filtering, kamu csomagok szurése (pl. forrás: 127.0.0.1)
• Portscan
• Felderítő támadás, "körülnézés", floodra is használható (DoS), potenciális sebezhetoségek után kutat
• Megelőzés:Hálózati struktúra (tuzfalak), Host-tuzfal, ami elnyeli a csomagokat

7. Az alkalmazási réteg kockázatai

• Végfelhasználói programok biztonsági hiányosságai
• Hálózaton közlekedkő "plaintext" adatok, régi protokollok: telnet, RSH, FTP, ahány alkalmazás, annyi probléma: minden, ami autentikációt használ, veszélyes lehet
• Problémák áthidalása: Hálózati forgalom titkosítása, Telnet, RSH/RCP helyett SSH/SCP, HTTP: jelszavak, kényes adatok csak HTTPS-en. Központosított, karbantartott autentikáció (LDAP, PAM). Hálózati forgalom titkosítása.

Most próbáljon meg kitölteni egy rövid tesztet