Komunikace
mezi zdravotnickými IS a datový standard
V tomto textu jsou prezentovány mj. některé
z informací dostupných v dokumentu [1], ve kterém je možno nalézt řadu dalších údajů,
týkajících se ochrany dat pacienta během jejich přenosu mezi zdravotnickými
informačními systémy. Cílem dokumentu, který právě čtete, je stručné přiblížení principů zabezpečené
komunikace. Výklad slouží zdravotnickým pracovníkům k získání orientace
v problematice přenosu dat mezi jejich informačními systémy a především
v problematice zabezpečení tohoto přenosu dat.
Komunikace mezi informačními systémy
probíhá v principu tak, že informační systém odesílatele připraví datový
soubor, který je určen pro jednoho konkrétního příjemce a soubor mu vhodnou a
bezpečnou formou předá. V tomto souboru mohou být informace od několika
odesílajících subjektů, které jsou součástí informačního systému odesílatele -
například několik oddělení může posílat současně v jednom datovém souboru
své požadavky na laboratorní analýzy do laboratorního informačního systému
v laboratoři příjemce, přičemž každé z oddělení může posílat požadavky a
data od více svých pacientů. Samozřejmě, že uživatel může v rámci jednoho
datového souboru posílat také pouze data týkající se jednoho pacienta. V rámci
předávaného datového souboru je jednoznačně určen jeden příjemce, jeden nebo
více odesílatelů a v rámci jednotlivých odesílatelů jsou jednoznačně
určeni jednotliví pacienti (jeden nebo více).
Název
souboru je konstruován podle jednoznačných pravidel, která jsou popsána
v DS:
Viz - název souboru.
Vzhledem k tomu, že komunikace mezi nemocničními informačními
systémy a laboratorními informačními systémy často probíhá automatizovaně a
není třeba se jí proto zde příliš zabývat, uvádíme příklad komunikace
praktického lékaře s laboratoří prostřednictvím e-mailu.
Praktický lékař na svém informačním systému (ISPL) zadá
objednávku a skrze elektronickou poštu ji zašle pracovníkovi laboratoře. Ten
zpracuje požadavky uvedené v objednávce a role obou aktérů se vymění –
z příjemce první zprávy (objednávky) se stává odesílatel výsledků
vyšetření a z odesílatele objednávky (privátního lékaře) se stane příjemce
výsledků.
Praktický lékař nyní obdrží z laboratoře výsledky
elektronickou poštou. Otevře svůj prohlížeč pošty, klikne na dopis a
v otevřeném dopise klikne na jeho přílohu. Soubory obsažené v příloze
uloží do vhodného adresáře. Může se spustit kontrolní program zjišťující, zda
jsou data správná. Otevře systém ISPL a z daného adresáře naimportuje
soubor s daty do svého systému. Pak lékař přesune soubor
z importovacího adresáře do adresáře, v němž je archiv. Toto může být
samozřejmě více či méně automatizováno (v ISPL předpřipraveno).
Odesílatel připraví soubor a odešle
jej příjemci. Odeslání je možné prostřednictvím diskety nebo jiného
magnetického média, prostřednictvím interní sítě a nebo za pomoci veřejných
datových sítí.
Pokud bude soubor předáván na
magnetickém médiu, je jeho ochrana zajišťována obdobnými vhodnými prostředky,
jako když je zasílána papírová dokumentace.
Pokud bude soubor odesílán
prostřednictvím interní sítě, bude jeho ochrana řešena stejnými vhodnými
prostředky jako u jiných pacientských dat, které jsou v rámci interní sítě
posílány (například v rámci NIS jedné nemocnice). V těchto případech je za
výběr vhodného informačního systému a za ochranu dat v informačním systému zpracovávaných
a ukládaných odpovědný provozovatel informačního systému, tato problematika zde
není řešena.
Pokud bude soubor předáván
prostřednictvím veřejné datové sítě, je nutné data vhodným způsobem zabezpečit.
Návrh řešení je předmětem dalšího textu tohoto dokumentu.
Soubory a zprávy ve formátu datového standardu MZ se
přenášejí mezi NIS a LIS, LIS a praktickými lékaři a mezi NIS navzájem.
Informace, obsažené ve zprávě, mohou být (a často budou)
osobní nebo citlivé údaje ve smyslu zákona č. 101/2000 Sb (viz Zákon č. 101/2000 (o ochraně osobních údajů).
Osobní údaj je “údaj týkající se určeného nebo určitelného
subjektu údajů” (určený nebo určitelný je subjekt údajů, tj. osoba, pokud je
možné na základě údajů určit jeho identitu). Citlivé údaje, pro které zákon
stanovuje přísnější podmínky zpracování, pak jsou vyjmenované kategorie
osobních údajů, mezi nimi údaje “vypovídající o zdravotním stavu”.
Ten, kdo osobní a citlivé údaje zpracovává (ukládá, přenáší)
je povinen “přijmou taková opatření, aby nemohlo dojít k neoprávněnému
nebo nahodilému přístupu k osobním údajům, k jejich zničení či
ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování,
jakož i k jinému zneužití osobních údajů.”
Má být tedy zajištěna důvěrnost, dostupnost a integrita
údajů - tři základní aspekty bezpečnosti:
Důvěrnost - vlastnost, která znemožňuje odhalení informace neoprávněné
osobě.
Integrita - vlastnost, která umožňuje provedení změny pouze určeným způsobem
a pouze oprávněnou osobou nebo procesem
Dostupnost - vlastnost, která zajišťuje použitelnost informace (nebo
jiného aktiva) v požadovaném místě a čase podle požadavku oprávněné osoby
Při přenosu dat (informací) nás zajímá především zajištění
důvěrnosti a integrity přenášených dat, v některých případech i
odpovědnosti, tj. neodmítnutelnosti původu zprávy nebo nemožnosti popřít její
přijetí. Otázku zajištění dostupnosti dat je třeba řešit při návrhu IS jako
celku.
Ochrana dat (tj. informací v elektronické/digitální
podobě) při přenosu mezi IS technologickými opatřeními je jen jednou částí
komplexního řešení ochrany informací. Komplexní řešení zajišťuje ochranu
informací ve všech jejich podobách (vytištěné, elektronicky zaznamenané,
uložené nebo přenášené IS atd.) po celou dobu jejich existence (pořízení,
zpracování, uložení, předání, zničení atd.) širokou škálou opatřeními
(bezpečnost personální, administrativní, fyzická a objektová a informačních
technologií). Tato opatření a jejich trvalé udržování jsou výsledkem procesu,
který zahrnuje formulaci bezpečnostní politiky, návrh opatření a jejich
realizaci bezpečnostními projekty a trvalé hodnocení stavu bezpečnosti a
bezpečnostních opatření.
Při komplexním řešení je také zajištěno, že opatření jsou
přiměřená významu a ohrožení každé konkrétní skupiny informací (poskytují
dostatečně silnou ochranu, ale nejsou zbytečně složitá nebo nákladná).
Následujíc text se zabývá výhradně technologickými
opatřeními při přenosu dat, ta ovšem musí být doplněna dalšími výše zmíněnými
opatřeními – jednak takovými technologickými opatřeními, která chrání informace
během zpracování, při uložení atd., a také vhodnými opatřeními z ostatních
oblastí (např. fyzické bezpečnosti).
Různé situace, které nastávají při přenosu dat, se od sebe
výrazně liší požadavky na bezpečnost i možnými řešeními, která vzhledem
k funkčním požadavkům připadají v úvahu.
Data mohou být mezi IS přenášena v prostředí
zabezpečené počítačové sítě – tento případ
může nastat např. při přenosu v lokální síti nebo intranetu – nebo
nezabezpečené počítačové sítě – jako je například veřejná síť internet nebo
nezabezpečený intranet.
Pokud přenosová počítačová síť poskytuje dostatečné
zabezpečení tj. chrání důvěrnost a integritu přenášených dat (mj.
omezuje přístup k datům pouze na ty uživatele, kteří ho mají mít), nemusí
být potřeba přenášené soubory ve tvaru datového standardu MZ dále zabezpečovat.
Pokud však nelze spoléhat na bezpečnost počítačové sítě
– např. data prochází veřejnou sítí
internet nebo rozsáhlou vnitropodnikovou sítí intranet, která nemá potřebné
bezpečnostní mechanismy - je zřejmě třeba zajistit důvěrnost a integritu
přenášených dat dodatečnými opatřeními.
Použitelné techniky (bezpečnostní opatření) pro zajištění
bezpečnosti se liší podle způsobu přenosu dat.
Při přenosu souborů
(např. elektronickou poštou jako příloha, protokolem ftp apod.) je možné
zabezpečit přenosový kanál nebo samotný soubor. Při interaktivní práci (např.
webová aplikace přenášející data protokolem http), kde se data neukládají a
nepřenáší v podobě souborů, je třeba zabezpečit přenosový kanál.
Ve všech případech je třeba zajistit ochranu po celé cestě
přenosu dat (tzv. end-to-end) nezabezpečeným prostředím. Nepostačuje tedy např.
jen šifrovaní při přenosu elektronické pošty ze serveru, pokud zásilky uložené
na serveru nijak chráněny nejsou.
|
Způsob přenosu |
Příklady použitelných metod |
|
Elektronická pošta |
S/MIME, PGP |
|
Přenos souborů (ftp, http) |
VPN, SSL, S/MIME, PGP |
|
Iteraktivní zpracování |
VPN, SSL |
Způsoby zabezpečení podle vlastností
|
|
Důvěrnost |
Integrita |
Neodmítnutí (prokazatelnost) |
|
VPN |
Ano |
Ano, částečně |
Ne |
|
SSL (https, ...) |
Ano |
Ano |
Ne |
|
S/MIME |
Ano (šifrování) |
Ano (podpis) |
Ano (podpis) |
|
PGP |
Ano (šifrování) |
Ano (podpis) |
Ano (podpis) |
Virtuální privátní síť (virtual private network, VPN) je
síť, která je z logického hlediska k dispozici jedné organizaci nebo
stanovené skupině uživatelů (jeví se tedy jako soukromá - privátní - síť
oddělená od všech ostatních komunikačních sítí), avšak po technické stránce
využívá veřejné sítě (například internet). Přenos dat v rámci VPN je
oddělen od ostatního provozu na použité veřejné síti použitím šifrování a
dalších bezpečnostních mechanismů na úrovni paketů. Pro aplikace, přenášející
data, je zabezpečení zcela transparentní a nevyžaduje zásah do aplikací
samotných.
VPN spojení může být vytvářeno mezi různými zařízeními -
směrovači (routery), firewally, ale i jednotlivými počítači, pokud jsou
vybaveny odpovídajícím software (VPN klient je součástí OS MS Windows 2000).
Dnes již téměř výhradně používaná technologie IPsec je sadou
protokolů, sloužících pro zajištění autenticity a integrity přenášených dat
(AH), zajištění důvěrnosti přenášených dat (ESP) a pro ustanovení spojení a
dohodnutí klíčů používaných protokoly AH a ESP (IKE).
Vzájemná autentizace při navazování spojení a vyjednávaní
tzv. bezpečnostních asociací protokolu IKE se může provádět pomocí statických sdílených
tajných klíčů, které musí být předem uloženy do konfigurace každého zařízení,
nebo na základě asymetrických kryptografických algoritmů s využitím
certifikátů veřejných klíčů podle standardu X.509.
Protokol vyvinutý firmou Netscape k zajištění bezpečné
internetové komunikace je dnes standard (přijatý IETF jako TSL 1.0) podporovaný
řadou produktů. Jako transportní mechanismus používá TCP/IP, nad ním buduje
mechanismy pro bezpečnou komunikaci. SSL je nezávislý na aplikaci, lze nad ním
implementovat například protokoly HTTP, FTP, Telnet. Vlastní protokol SSL se
skládá ze čtyř dílčích protokolů. Komunikační rozhraní pro vyšší vrstvy
implementované nad SSL představuje protokol RLP (Record Layer Protocol), který
od nich přebírá data, šifruje je a počítá kontrolní součty přenášených
fragmentů.
Dvoufázový protokol HP (Handshake Protocol) slouží pro
domluvu počátečního nastavení parametrů SSL spojení a k autentizaci
klient-server. V první fázi, autentizaci serveru, odešle server na základě
výzvy klienta svůj certifikát veřejného klíče a specifikuje podporované
šifrovací algoritmy. Klient zvolí šifrovací algoritmus, poté vygeneruje náhodné
číslo (Klíč), které zašifruje veřejným klíčem serveru. Zprávu o zvoleném
šifrovacím algoritmu spolu se zašifrovaným Klíčem odešle serveru. Server získá
pomocí svého privátního klíče Klíč vygenerovaný klientem a autentizuje se
klientovi tak, že mu vrátí zprávu zašifrovanou Klíčem. V další komunikaci
jsou přenášená data šifrována klíči generovanými z klientova Klíče. Ve
druhé fázi HP, která není povinná, se klient na výzvu serveru autentizuje tak,
že k této výzvě připojí svůj digitální podpis a certifikát veřejného
klíče.
Protokol CCSP (Change Cipher Specification Protocol) mění
nastavení parametrů SSL po skončení autentizační fáze HP.
Čtvrtý dílčí protokol AP (Alert Protocol) slouží pro
předávání chybových stavů.
Protokol SSL podporuje řadu šifrovacích algoritmů. Během
autentizačního procesu je k transportu Klíče používána dvojice asymetrických
RSA nebo DSA klíčů, případně dvojice asymetrických klíčů generovaných metodou
eliptických křivek, podporován je i Diffie-Hellman Key Agreement. Pro
symetrické šifrování pomocí Klíče jsou k dispozici například blokové šifry RC2,
RC4, IDEA, DES, triple DES. Podporovány jsou také hašovací funkce MD5, SHA,
SHA-1.
Pro vzájemnou autentizaci komunikujících stran používá
protokol SSL certifikáty veřejného klíče podle standardu X.509.
S/MIME (Secure/Multipurpose Internet Mail Extension
Protocol) je protokol vyvíjený od roku 1995 s cílem zajistit bezpečnost
e-mailové komunikace, od roku 1999 standard (přijatý IETF jako S/MIME v.3).
Zajišťuje operace elektronického podpisu, šifrování zprávy a management
šifrovacích klíčů pro formát MIME, oficiální standard výměny zpráv
elektronické pošty (RFC1521).
E-mailová zpráva putující po Internetu se skládá ze dvou
částí, těla a hlavičky. Hlavička obsahuje informace nezbytné k transportu
e-mailové zprávy, její struktura odpovídá standardu RFC822. Formát MIME
definuje strukturu těla e-mailové zprávy, zahrnuje například rozšířený text,
grafiku a audio-soubory, nenabízí ovšem žádné bezpečnostní služby (jako je
například zajištění důvěrnosti zprávy, ověření původu a nepopiratelnosti). Úkolem
protokolu S/MIME je poskytnout tyto bezpečnostní služby podle všeobecně
uznávaného standardu. Tělo zprávy ve formátu MIME je tedy rozšířeno o část se
syntaxí PKCS#7, která je výsledkem kryptografických procesů aplikovaných na
některou část MIME zprávy. K zajištění důvěrnosti zprávy používá S/MIME,
stejně jako protokol SSL, takzvanou digitální obálku, která kombinuje
symetrické a asymetrické šifrovací techniky. Vlastní šifrování zprávy je
prováděno některou ze symetrických šifer s tajným klíčem, tento tajný klíč je
při transportu chráněn pomocí algoritmů s veřejným šifrovacím klíčem. Pro
zajištění autenticity a nepopiratelnosti zprávy umožňuje S/MIME připojení
digitálního podpisu. Pro výměnu klíčů používá S/MIME certifikáty veřejného
klíče ve standardním formátu ITU-T X.509. Podporovány jsou symetrické šifrovací
algoritmy RC2, DES a triple DES, asymetrické algoritmy RSA, DSA a
Diffie-Hellman Key Agreement. S/MIME podporuje hašovací funkce MD5 a SHA-1.
Formát zpráv S/MIME je k dispozici v poštovních
programech MS Outlook a Netscape Messenger, do svých produktů ho
implementuje většina výrobců software.
Pretty Good Privacy (PGP) je metoda a současně program
(spíše sada programů) pro zabezpečení zpráv elektronické pošty a souborů, který
používá vlastní formát dat. Využívá kombinaci symetrických a asymetrických
šifrovacích technik podobně jako S/MIME, nerozšiřuje však formát pro e-mailové
zprávy, ale pracuje s tělem zprávy nebo samostatným souborem.
Obdobně jako S/MIME umožňuje zprávu zašifrovat i připojit digitální
podpis. Pro výměnu klíčů jsou používány certifikáty veřejného klíče ve formátu
ITU-T X.509 nebo původní mechanismus založený na podepisování klíčů ostatními
účastníky komunikace a přiřazování důvěry (web of trust). Podporovány jsou
symetrické šifrovací algoritmy CAST, AES, IDEA a triple DES, asymetrické
algoritmy RSA, DSA, hešovací funkce MD5 a SHA-1.
Situace:
Lékař vede dokumentaci pacientů včetně výsledků
laboratorních vyšetření v aplikaci automatizovaná ordinace.
Laboratoř, která provádí laboratorní vyšetření, používá laboratorní informační
systém LIS. Ani jedna z aplikací nemá integrované komunikační rozhraní,
jsou však schopny vytvářet (exportovat) a přijímat (importovat) soubory ve
formátu datového standardu MZ ČR, a proto bude k přenosu využívána
elektronická pošta a internet. Lékař používá poštovní server svého
poskytovatele připojení do internetu, ke kterému se připojuje pomocí telefonní
linky, laboratoř má vlastní poštovní server a do internetu je připojena pevnou
linkou jiného poskytovatele.
Jedno z možných řešení:
Lékař i laboratoř používají klientský software elektronické
pošty, který umožňuje zasílat a přijímat zprávy podle standardu S/MIME (např.
Microsoft Outlook, Netscape Communicator atd.). Lékař i laboratoř si nechali
vydat certifikáty veřejných klíčů u některé veřejné certifikační autority.
Laboratoř šifruje odesílané zprávy se soubory s výsledky vyšetření
s použitím certifikátu lékaře a nikdo, kdo nemá přístup k souboru se
soukromým klíčem, který lékař pečlivě střeží, nemá možnost zprávy přečíst.
Pokud pracovník laboratoře odeslané zprávy také digitálně podepisuje soukromým
klíčem, lékař po ověření podpisu pomocí
certifikátu veřejného klíče ví, že zpráva nebyla během přenosu změněna a také
ví to, který pracovník zprávu odesílal.
Situace:
Lékař na odloučeném pracovišti mimo areál nemocnice
potřebuje prohlížet a měnit informace o průběhu pacientovy léčby,
uložené na serverech nemocnice. Pro přístup používá klientský program
nemocničního informačního systému NIS. Počítač lékaře není přímo propojen do
LAN nemocnice, připojuje se k internetu pomocí telefonní linky. Propojení
LAN nemocnice do internetu je chráněno firewallem.
Jedno z možných řešení:
Je využito VPN spojení přes internet, vytvářeného mezi Cisco
PIX firewallem nemocnice a počítačem lékaře. Na počítači lékaře je použit software
Cisco VPN klient. Toto spojení chrání důvěrnost i integritu všech dat
přenášených mezi počítačem lékaře a firewallem nemocnice. Bezpečnost přenosu
dat mezi firewallem a servery uvnitř LAN nemocnice je zajištěna dalšími
opatřeními (oddělení segmentů, fyzická
bezpečnost).
[1] Petr
Hanáček, Jan Staudek: Definice bezpečnostních funkcí pro předávání dat ve
zdravotnictví, Ministerstvo zdravotnictví České republiky, 1998 - viz Definice bezpečnostních funkcí pro komunikace .
[2]
Miroslav Zámečník, Radek Papp, Miroslav Seiner, Ivan Kosiner: Problematika
ochrany zdravotnických dat, klasifikace citlivosti zdravotnických dat a
doporučené bezpečnostní funkce pro jejich přenos, Ministerstvo
zdravotnictví České republiky, 1998.