Security in Healthcare PDF

Summary

This presentation discusses the importance of security in healthcare organizations, highlighting the increasing amount of data stored in databases and the accessibility through computer networks. It details the potential negative aspects of systems, including the risks of compromised data confidentiality, inaccurate data and software, and system outages. The presentation also explores ways to protect data, emphasizing the concepts of data integrity, system security, and internet security, including potential threats such as malicious software, phishing, and botnets. The presentation considers telemedicine security and introduces the Health Insurance Portability and Accountability Act (HIPAA).

Full Transcript

Security in Healthcare

1
‫اهمیت امنیت در سازمان های مراقبت بهداشتی‬

‫‪ ‬تعداد داده های ذخیره شده در پایگاه داده و میزان دسترسی به داده ها به علت استفاده از‬

‫شبکه های رایانه ای رو به افزایش است‪.‬‬

‫‪‬جنبه های منفی سیستم ها‪:‬‬

‫‪ ‬به خطر افتادن سری بودن داده ها به علت دسترسی به داده ها‬

‫‪ ‬افزایش خطا در داده ها و نرم افزارها‬

‫‪ ‬احتمال قطع سیستم و سوء استفاده از آن‬

‫‪2‬‬
 ‫‪‬هدف از حفاظت داده ها‪:‬‬

‫‪ ‬سری بودن داده ها‬

‫‪ ‬کیفیت داده ها و نرم افزارهای پزشکی‬

‫‪ ‬مفید بودن داده ها و عملیات‬

‫‪ ‬استفاده از رایانه ها باعث افزایش هراس بیماران از به خطر افتادن زندگی‬
‫شخصی شان شده است‪.‬‬

‫‪‬میزان حساسیت و سری بودن داده ها به زمینه آنها بستگی دارد‪.‬‬

‫‪‬داده های مربوط به بیماران روانی یا ژنتیکی اغلب حساس هستند‪.‬‬

‫‪3‬‬
 Personal data

Personal data is any information relating to an identified or identifiable natural
person (data subject) and an identifiable person can be identified, directly or
indirectly, in particular by reference to an identification number or to one or more
factors specific to his physical, physiological, mental, economic, cultural or social
identity.

Due to the mentioned above, information related to a person's health as well shall be
considered personal data.

4
Processing of personal data shall mean any operation or set of operations

which is performed upon personal data, whether or not by automatic

means, such as collection, recording, organization, storage, adaptation or

alteration, retrieval, consultation, or use,...

5
Considering the format or the medium on which that information is contained, the

concept of personal data includes information available in whatever form, be it

alphabetical, numerical, graphical, photographic, or acoustic, for example.

It includes information kept on paper and stored in computer memory by means of

binary code, or on a videotape, for instance.

In particular, sound and image data qualify as personal data from this point of view,

insofar as they may represent information on an individual.

6
Due to the fact that providing the above-mentioned services involves personal data

because these services include transmission of information about patients’ health

through text, sound, images, and other data forms for the prevention, diagnosis

treatment, and follow-up of the patient, this issue should be considered from the

perspective of data protection.

7
 Healthcare-specific Security
Standards
Authentication Data System Internet
Integrity Security Security

8
 ‫‪Authentication‬‬
‫ احراز هویت کاربر ‪ :‬فرآیند شناسایی کاربر یک منبع اطالعاتی و تأیید اینکه کاربر مجاز به‬
‫دسترسی به خدمات آن منبع است‪.‬‬
‫ یک روش استاندارد احراز هویت کاربر‪ ،‬جمع آوری و تأیید نام کاربری و رمز عبور است‪.‬‬
‫ شناسایی (‪ :) Identification‬هنگامی که یک کاربر (یا فرد دیگری) ادعای هویت می کند‪ ،‬به آن‬
‫شناسایی می گویند‪.‬نام کاربری‪ ،‬شناسه فرآیند‪ ،‬کارت هوشمند یا هر چیز دیگری که ممکن‬
‫است به طور منحصربه‌فرد یک موضوع یا شخص را شناسایی کند‪ ،‬می‌تواند برای شناسایی‬
‫استفاده شود‪.‬سیستم های امنیتی از این روش شناسایی برای تعیین اینکه آیا یک فرد مجوز‬
‫دسترسی به یک شی را دارد یا خیر استفاده می کند‪.‬‬
‫ در اصطالحات امنیتی کامپیوتر‪ ،‬امضا (‪ )Signature‬یک ردپای یا الگوی معمولی است‪.‬این الگو‬
‫می تواند یک سری بایت در فایل (توالی بایت) در ترافیک شبکه باشد‪.‬‬
‫ سرویس عدم انکار (‪ )Non-repudiation‬را می توان به عنوان یک توسعه برای سرویس شناسایی‬
‫و احراز هویت در نظر گرفت‪.‬به طور کلی‪ ،‬عدم انکار زمانی اعمال می شود که داده ها به‬
‫صورت الکترونیکی منتقل شوند‪.‬هدف سرویس عدم انکار این است که ثابت کند یک پیام خاص‬
‫با یک فرد خاص مرتبط است‪.‬‬

‫‪9‬‬
 ‫‪Data Integrity‬‬

‫ سرویس یکپارچگی داده (‪ ) Data Integrity‬تشخیص می دهد که آیا تغییر غیرمجاز داده ها وجود داشته است یا‬
‫خیر‪.‬‬

‫ دو روش وجود دارد که داده ها ممکن است تغییر کنند‪ :‬تصادفی‪ ،‬از طریق خطاهای سخت افزاری و انتقال‪ ،‬یا به‬
‫دلیل یک حمله عمدی‪.‬‬

‫ بسیاری از محصوالت سخت افزاری و پروتکل های انتقال‪ ،‬مکانیسم هایی برای شناسایی و تصحیح خطاهای‬
‫سخت افزاری و انتقال دارند‪.‬هدف از سرویس یکپارچگی داده شناسایی یک حمله عمدی است‪.‬‬

‫ مکانیسم‌های کنترل دسترسی می‌توانند به یکپارچگی داده‌ها کمک کنند‪ ،‬زیرا در صورت رد دسترسی‪ ،‬داده‌ها‬
‫قابل تغییر نیستند‪.‬‬

‫ رمزگذاری‪ :‬تبدیل داده ها از یک فرمت قابل خواندن به یک فرمت رمزگذاری شده است‪.‬داده های رمزگذاری‬
‫شده تنها پس از رمزگشایی قابل خواندن یا پردازش هستند‪.‬‬

‫‪10‬‬
 ‫‪System Security‬‬

‫‪ ‬امنیت ارتباطات‬

‫‪ ‬امنیت ارتباطات شامل دفاع در برابر رهگیری انتقال های ارتباطی است‪.‬‬

‫‪ ‬امنیت ارتباطات شامل امنیت رمزنگاری [یعنی رمزگذاری یا رمزگشایی]‪ ،‬امنیت انتقال‪ ،‬امنیت انتشار و امنیت‬
‫فیزیکی است‪.‬‬

‫‪ ‬امنیت خط از خطوط ارتباطی سیستم های فناوری اطالعات مانند رایانه های مرکزی و پایانه های راه دور‬
‫محافظت می کند‪.‬‬

‫‪ ‬امنیت انتقال شامل رویه‌های ارتباطی است که حداقل مزیت را برای دشمنی که تمایل به رهگیری ارتباطات داده‬
‫از سیستم‌های ‪ IT‬دارد‪ ،‬می‌کند‪.‬‬

‫‪ ‬امنیت فنی دفاعی را در برابر رهگیری ارتباطات داده از میکروفون ها‪ ،‬فرستنده ها یا استراق سمع فراهم می‬
‫کند‪.‬‬

‫‪11‬‬
 ‫‪Internet Security‬‬

‫‪ ‬امنیت اینترنت شامل طیف وسیعی از تاکتیک های امنیتی برای محافظت از فعالیت ها و تراکنش‬

‫های انجام شده به صورت آنالین از طریق اینترنت است‪.‬‬

‫‪‬هدف از این تاکتیک‌ها محافظت از کاربران در برابر تهدیداتی مانند هک کردن سیستم‌های‬

‫رایانه‌ای‪ ،‬آدرس‌های ایمیل یا وب‌سایت‌ها است‪.‬‬

‫‪‬نرم افزار مخربی که می تواند سیستم ها را آلوده کرده و ذاتًا به آنها آسیب برساند و سرقت‬

‫هویت توسط هکرهایی که داده های شخصی مانند اطالعات حساب بانکی و شماره کارت اعتباری‬

‫را سرقت می کنند‪.‬‬

‫‪12‬‬
 ‫انواع تهدیدات امنیتی اینترنتی‬

‫بدافزار‪ :‬بدافزار انواع مختلفی دارد‪ ،‬از جمله ویروس‌های رایانه‌ای‪ ،‬کرم‌ها‪ ،‬تروجان‌ها و جاسوس‌افزارهای ناصادق‪.‬‬

‫کرم کامپیوتری‪ :‬کرم کامپیوتری یک برنامه نرم افزاری است که خود را از یک کامپیوتر به کامپیوتر دیگر کپی‬ ‫‪.1‬‬

‫می کند‪.‬برای ایجاد این کپی ها نیازی به تعامل انسانی نیست و می تواند به سرعت و با حجم زیاد گسترش‬

‫یابد‪.‬‬

‫هرزنامه‪ :‬هرزنامه به پیام های ناخواسته در صندوق ورودی ایمیل اشاره دارد‪.‬در برخی موارد‪ ،‬هرزنامه‌ها‬ ‫‪.2‬‬

‫می‌توانند به سادگی شامل ایمیل‌های ناخواسته‌ای باشند که کاالها یا خدماتی را که به آن‌ها عالقه ندارید تبلیغ‬

‫می‌کنند‪.‬این موارد معموًال بی‌ضرر در نظر گرفته می‌شوند‪ ،‬اما برخی می‌توانند شامل پیوندهایی باشند که در‬

‫صورت کلیک کردن روی آنها‪ ،‬نرم‌افزارهای مخرب را بر روی رایانه شما نصب می‌کنند‪.‬‬

‫‪13‬‬
 ‫‪.4‬فیشینگ‪ :‬کالهبرداری های فیشینگ توسط مجرمان سایبری ایجاد می شود که‬
‫سعی در کسب اطالعات خصوصی یا حساس دارند‪.‬آنها می توانند به عنوان بانک‬
‫یا سرویس وب شما ظاهر شوند و شما را به کلیک کردن روی پیوندها برای تأیید‬
‫جزئیاتی مانند اطالعات حساب یا گذرواژه ترغیب کنند‪.‬‬
‫‪.5‬بات نت‪ :‬بات نت شبکه ای از رایانه های خصوصی است که در معرض خطر قرار‬
‫گرفته اند‪.‬این رایانه‌ها که با نرم‌افزارهای مخرب آلوده شده‌اند‪ ،‬توسط یک کاربر‬
‫کنترل می‌شوند و اغلب از آنها خواسته می‌شود تا در فعالیت‌های شرورانه مانند‬
‫ارسال پیام‌های هرزنامه یا حمالت انکار سرویس شرکت کنند‪.‬‬

‫‪14‬‬
 ‫تروجان‬
‫‪ ‬تروجان یک برنامه ی کامپیوتری تهاجمی یا همان بدافزار می باشد‪.‬این نوع بدافزار‬
‫به شکل های مختلف و فریب کاربر‪ ،‬وارد کامپیوتر کاربران می شود و به قسمت‬
‫هایی از کامپیوتر کاربر که برای آن برنامه ریزی شده است حمله می کند‪.‬‬
‫‪ ‬تروجان نوعی برنامه ی جاسوسی می باشد که هکرها آنها را با اهداف خاصی‬
‫طراحی کرده و به سوی کامپیوترهای کاربران هدف ارسال می کنند‪.‬البته ناگفته‬
‫نماند که این ویروس قابلیت تکثیر و انتشار ندارد و از این نظر با ویروس ها متفاوت‬
‫هستند‪.‬‬

‫‪15‬‬
 ‫حریم خصوصی‬

‫‪ ‬حریم خصوصی یکی از حقوق مورد تایید در قانون اساسی است که به موجب آن‪،‬‬
‫افراد حق دارند خلوت شخصی داشته و تنها بمانند‪ ،‬از شهرت بی‌دلیل در امان باشند‬
‫و بدون اینکه بر سر زبان ها بیفتند زندگی کنند‪.‬‬

‫‪‬در حوزه مراقبت سالمت حریم خصوصی به معنای حقوق افراد برای محدود کردن‬
‫دسترسی سایرین به اطالعات مراقبت سالمت آنها است‪.‬‬

‫‪ ‬بیماران انتظار دارند تا اطالعاتی که در طول دوره مراقبت در اختیار اعضای تیم‬
‫مراقبت گذاشته اند‪ ،‬تنها برای مقاصد درمانی مورداستفاده قرار بگیرد و در راستای‬
‫سایر اهداف افشا نشود‪.‬‬
‫‪16‬‬
 ‫‪ ‬یافته های مطالعات اخیر حاکی از بی اعتمادی بیماران نسبت به محرمانه ماندن‬
‫اطالعات خصوصی ایشان در زمینه مراقبت سالمت است‪.‬‬

‫‪ ‬اغلب افراد از حقوق خود در زمینه حریم خصوصی اظهار بی اطالعی نموده بودند از‬
‫میان هر هشت بیمار تنها یک نفر شان فعالیت هایی برای حفظ حریم خصوصی خود‬
‫انجام داده بود که این موضوع منجر به مخاطراتی برای سالمت آنها شده بود‪.‬‬

‫‪ ‬بر اساس نتایج "پروژه حریم خصوصی در سالمت" یک پنجم بزرگساالن آمریکایی معتقد‬
‫بودند که ارائه کنندگان مراقب سالمت‪ ،‬برنامه های بیمه‪ ،‬مراکز دولتی و کارفرمایان‬
‫اطالعات پزشکی شخصی آنها را به طرز نامناسبی افشا میکنند‪.‬‬

‫‪ ‬نیمی از این افراد اعالم کردند که این افشا باعث شرمندگی یا آسیب به آنها شده‬
‫است‪.‬‬

‫‪17‬‬
 ‫‪Health Insurance Portability and Accountability Act‬‬
‫)‪(HIPAA‬‬
‫ این شرایط با تصویب آیین نامه حریم خصوصی ‪ HIPAA‬به ویژه آیین نامه حریم خصوصی تغییر کرده است‪.‬‬

‫ قوانین فدرال در زمینه حریم خصوصی قبل از تصویب ‪HIPAA:‬‬

‫ در سال ‪ ۱۹۹۶‬قانون آزادی اطالعات تصویب شد‪.‬به موجب این قانون عموم مردم آمریکا حق دریافت‬
‫اطالعات از موسسات فدرال را دارند‪.‬‬

‫ این قانون انواع پرونده های ایجاد شده در موسسات تحت نظارت دولت فدرال را در بر میگیرد‪.‬در سال ‪۱۹۷۴‬‬
‫کنگره آمریکا "قانون حریم خصوصی" را با هدف حمایت محرمانگی بیمار در مراکز سالمت تحت نظارت دولت‬
‫فدرال مانند بیمارستان‌های اداره امور نظامیان‪ ،‬مراکز خدمات سالمت سرخپوستان و مراکز مراقبت سالمت‬
‫نظامی به تصویب رساند‪.‬به دلیل محدود بودن مراکز تحت پوشش دولت فدرال اغلب بیمارستان های عمومی و‬
‫سایر سازمان های مراقبت سالمت ملزم به رعایت آن نبودند‪.‬در این قانون به صراحت تاکید شده است که‬
‫بیمار حق دسترسی به پرونده پزشکی خود و اصالح آن را دارد‪.‬‬

‫‪18‬‬
‫ آیین نامه حریم خصوصی ‪ HIPAA‬یکی از مهمترین قوانین و در واقع نخستین قانون‬
‫جامع فدرالی است که برای حفاظت از اطالعات سالمت خصوصی وضع شده‬
‫است‪.‬‬
‫ این آیین نامه مجموعه جامع از استانداردهای فدرال است در آن تقویت قوانین‬
‫ایالتی موجود مورد تاکید قرار گرفته است‪.‬ایالت ها مجازند قوانین سخت گیرانه‬
‫تری برای حریم خصوصی افراد تصویب کنند‪.‬از این رو سازمان های مراقبت‬
‫سالمت باید از قوانین و مقررات ایالتی در زمینه حریم خصوصی و محرمانگی آگاه‬
‫باشند‪.‬‬

‫‪19‬‬
 ‫اطالعات سالمت حفاظت شده‬

‫ در آیین نامه ‪ ،HIPPA‬اطالعات حفاظت شده‪ ،‬خیلی باز تعریف شده است‪.‬منظور از‬
‫اطالعات سالمت حفاظت شده اطالعاتی است که‪:‬‬

‫‪ )1‬به سالمت جسمانی یا روانی‪ ،‬مراقبت سالمت ارایه شده یا پرداخت هزینه های‬
‫مراقبت مربوط باشد‪.‬‬

‫‪ )2‬هویت مالک اطالعات مشخص باشد‪.‬‬

‫‪ )3‬در موجودیت های تحت پوشش تولید شده یا توسط آنها دریافت شده باشد‪.‬‬

‫‪ )4‬به هر شکل (کاغذی با الکترونیک یا شفاهی) نگهداری یا انتقال داده شده باشد‪.‬‬

‫‪20‬‬
 ‫‪‬آیین نامه حریم خصوصی ‪ HIPPA‬شامل پنج مولفه اصلی زیر است‪:‬‬

‫‪ ‬محدوده (‪ :)Boundaries‬اطالعات سالمت حفاظت شده را تنها می توان برای اهداف‬
‫مرتبط با سالمت افشا نمود‪.‬‬

‫‪ ‬امنیت (‪ :)Security‬اطالعات سالمت حفاظت شده نباید بدون مجوز بیمار منتشر‬
‫شود‪ ،‬مگر اینکه دلیل روشنی برای افشا وجود داشته باشد‪.‬دریافت کنندگان‬
‫اطالعات نیز باید از آن حفاظت نمایند‪.‬‬

‫‪ ‬کنترل توسط مصرف کننده (‪ :)Consumer Control‬افراد حق دارند که به پرونده‬
‫سالمت خود دسترسی داشته باشند‪ ،‬آن را کنترل کنند و بدانند که در راستای چه‬
‫اهدافی‪ ،‬اطالعاتشان افشا و استفاده شده است‪.‬‬

‫‪21‬‬
‫‪ ‬پاسخگویی (‪ :)Accountability‬موجودیت هایی که از اطالعات سالمت حفاظت شده‬
‫به طور نامناسب استفاده کنند‪ ،‬طبق قوانین کیفری ومدنی مجرم شناخته شده و‬
‫ممکن است مجازات شوند‪.‬‬

‫‪ ‬مسئولیت عمومی (‪ :)Public Responsibility‬عالیق فردی نباید اولویت های ملی در‬
‫زمینه سالمت عمومی‪ ،‬پژوهش های پزشکی‪ ،‬پیشگیری از کالهبرداری در حوزه‬
‫مراقبت سالمت و به طور کلی اجرای قانون را تحت الشعاع قرار دهد‪.‬‬

‫‪22‬‬
Telemedicine Security: Challenges and
Solutions

23
THANK
YOU
[email protected]

24
25