پنج‌شنبه 14 آبان 1394

رمزنگاری اطلاعات درمانی چیست؟

وقتی در مورد امنیت سیستم‌های اطلاعاتی صحبت میکنیم منظورمان سه عنصر پایه امنیت اطلاعات یعنی

محرمانگی (Confidentiality)
یکپارچگی (Integrity)
در دسترس بودن (Availability)

میباشد . رمزگذاری اطلاعات با کاهش در دست بودن اطلاعات باعث افزایش محرمانگی می‌شود و از طرفی میتواند باعث کاهش یا افزایش یکپارچگی شود .

رمزگذاری اطلاعات در صنعت درمان به دلیل حجم بالایی از اطلاعات هویتی بیماران ( phi یا personal health information ) از اهمیت بالاتری برخوردار است .

ابتدا تعریف دقیق رمزگذاری میپردازیم :

در علم رمزنگاری رمزگذاری عبارت است از رمزگذاری پیام یا اطلاعات به صورتی که تنها گروه‌های مجاز به آن دسترسی داشته باشند [1]

رمزنگاری مطالعه رمزگذاری و الگوریتم های رمزگذاری است . در‌واقع رمزنگاری تبدیل پیام از حالت قابل درک ( clear text) به حالت غیر قابل درک (cipher text ) و برعکس است . هدف از رمزگذاری تبدیل داده‌ها به حالتی است که استراق سمع کننده یا کسی که رمز را ندارد نتواند داده‌ها را بخواند . رمزگداری برای امن سازی ارتباطات است . رمزنگاری تکنیک مورد استفاده در رمزگذاری را تعریف میکند

از الگوریتم های معروف رمزنگاری میتوان md5 , SHA,RC4,RC5,Blowfish را نام برد .

حال به تعریف رمزنگاری اطلاعات درمانی میپردازیم :

رمزنگاری داده‌های بهداشتی شکلی از امنیت داده است که در آن سوابق الکترونیکی پزشکی ( EHR ) به اطلاعاتی مبدل می‌شوند که کاربر غیر مجاز قابل به خواندن یا درک آن نیست [2]

با توجه به لود بالای اطلاعات توسط مراکز درمانی این کار یعنی رمزنگاری باید به سرعت انجام بشود و از امنیت بالایی برخوردار باشد که شامل دو معقوله رمزنگاری ارتباطات و اطلاعات می‌شود

HITECH RULES

رمزنگاری ارتباطات : علاوه بر ایزوله بودن شبکه بیمارستان یا مرکز درمانی توسط VLAN و دیوارآتش به دلیل دوری فیزیکی تکنسین های فنی ریموت سرور امری معمول میباشد در صورتی که در این ارتباط از روش نا امن همانند telnet استفاده شود که به سادگی قابل رمزگشایی است امنیت دستگاه‌ها متصل به شبکه ممکن مختل شود زیرا با استفاده از حمله MITM به راحتی میتوان اقدام به تفسیر اطلاعات رد و بدل شده کرد . همچنین استفاده از پرتکول ftp نیز برای جا به جایی فایل‌ها میتواند منجر به رخنه های امنیتی شود . در هردو صورت استفاده از ssh و sftp میتواند به صورت قابل ملاحظه ای ریسک شنود ارتباط یا sniffing را به حداقل برساند .

رمزنگاری داده : موردی که کمتر در مراکز درمانی به آن اهمیت داده می‌شود رمزنگاری داده است . در سال ۲۰۰۹ تنها دو ایالت آمریکا اقدام به رمزنگاری داده‌های درمانی خود پرداختند که تنها در زمان پنج ماهه ای که HITECH اقدام به فعالیت کرد در ایالت کالیفرنیا حدود ۸۰۰ مورد نقض اطلاعات شخصی بیماران رخ داده بود . این از نظر اهمیت دارد که بدون داشتن یک سیستم گزارش دهی و رمزنگاری حتی در صورت دسترسی غیرمجاز متوجه آن نخواهیم شد .

برای رمزگذاری file system لینوکس به صورت درون کار توسط فرمت ext4 پشتیبانی می‌شود . در ویندوز تنها فرمت NTFS توسط EFS پشتیبانی می‌شود . که هرکدام دارای معایب و فواید مختص به خود هستند .

این مقاله در هفته‌های آینده به روز رسانی خواهد شد

منابع : 1- “What is Encryption? | EFF Surveillance Self-Defense Project.” What is Encryption? | EFF Surveillance Self-Defense Project. Surveillance Self-Defense Project, n.d. Web. 03 Nov. 2014. https://ssd.eff.org/en/module/what-encryption. 2- https://www.techopedia.com/definition/25054/health-care-data-encryption