České vysoké učení technické v Praze Bezpečnost e-healthe v kyberprostoru Václav Jirovský Fakulta dopravníčvut v Praze Ústav bezpečnostn nostních technologií a inženýrstv enýrství Došel jsem k závěru, z že e nespolupracovat s Ďáblem je stejný moráln lní závazek, jako spolupracovat s Bohem... Rev.. Dr. Martin Luther King Jr.
e-health hospodárný e-healthe funkční e-health bezpečný e-healthe v klinických záznamech z znamech jsou nejintimnější data občan anů změna záznamz znamů může e způsobit chybnou indikaci s termináln lními následkyn zveřejn ejnění záznamů může e mít m t následky n nejenom pro postižen ené,, ale podle druhu záznamz znamů a zveřejn ejněného objemu může e vést v k bankrotu zdravotnického zařízen zení může e vést v k politickým problémům může e usnadnit kráde deže e identity etc. Diskuzní fórum Ministerstva zdravotnictví 2 2
Případy z USA červen 2011 server Beth Israel Deaconess Medical Center (Boston) napaden virem více než 2000 záznamz znamů o pacientech bylo staženo, než se podařilo systém m izolovat únor 2012 kalifornské nemocniční servery byly napadeny a byla stažena data (1,800 St. Joseph Hospital, 6,000 Santa Rosa Memorial Hospital; 4,000 Queen of the Valley Hospital) stažen ená data byla medicinská,, neobsahovala platební údaje a SSN duben 2012 ze serveru Utah Department of Health stažena data o více v než 24 000 pacientech (jména, data narození,identifika,identifikační údaje a další data včetnv etně diagnóz z a léčebných l postupů účtovaných pojišťovnami) ovnami) leden 2012 odsouzen Eric McNeal,, IT z Atlanta Perinatal Associates odešel el od svého původnp vodního zaměstnavatele, následovnn sledovně napadl počíta tač původního zaměstnavatele a získanz skaná data použil k přímému p mu marketinku pro nového zaměstnavatele Diskuzní fórum Ministerstva zdravotnictví 3 3
Standard? standard snadná interoperabilita je nutno vybrat perspektivní standardy konkurence na trhu možnost výběru řešení splňuj ujícího price/performance možnost přechodu p k jinému dodavateli nižší cena zařízen zení a software Diskuzní fórum Ministerstva zdravotnictví 4 4
Technické standardy používan vané v e-healthe Diskuzní fórum Ministerstva zdravotnictví 5 5
Standard? standard snadná interoperabilita je nutno vybrat perspektivní standardy konkurence na trhu možnost výběru řešení splňuj ujícího price/performance možnost přechodu p k jinému dodavateli nižší cena zařízen zení a software proprietárn rnířešení vazba na monopol dodavatele většinou nesleduje světov tové trendy ochota dodavatele pokračovat ovat v údržbě a další ším m vývoji systému (vysoká cena) vlastnířešen ení vazba na vlastní zdroje (finanční,, lidské), většinou v drahé i když je připravovp ipravováno podle standardu jen obtížně dohání světový vývoj jedině,, když bude současn asně protlačov ováno jako standard filosofie návrhun technickéřešen ení Diskuzní fórum Ministerstva zdravotnictví 6 6
Model informační bezpečnosti Útok C Chráněná entita KOMUNIKACE HARDWARE Důvěrnost INFORMACE Dostupnost Integrita I SOFTWARE A Diskuzní fórum Ministerstva zdravotnictví 7 7
Prostorový model bezpečnosti Komunikační vrstva Centrální systém Uživatelská vrstva Diskuzní fórum Ministerstva zdravotnictví 8 8
Rizika architektonická rizika nevhodná bezpečnostn nostní koncepce systému nedodržen ení navržených parametrů systému nevhodně otevřen ené zdroje technologická rizika chybějící update operačních systémů bezpečnostn nostní díry aplikací a operačních systémů nevhodně nastavené konfigurace personáln lní rizika lékařský personál ostatní personál outsourcing organizační rizika chybějící bezpečnostn nostní politika nedodržovan ované přístupové procedury Diskuzní fórum Ministerstva zdravotnictví 9 9
Analýza vztahů v sítis Zdroj: V. Krebs: Connecting Brains: Co-Publication Network of Scientists, www.orgnet.com Diskuzní fórum Ministerstva zdravotnictv 10 10 rum Ministerstva zdravotnictví 10
Google Map apod. Wi-Fi směrova rovač nebo AP lze snadno zaměř ěřit třeba t i chytrými mobily se zapnutou Wi-Fi Google Geolocation API umožní alokaci směrova rovačů použit itím m jednoduchého ho dotazu z prohlížeče { "version version":"1.1.0", "wifi_towers":[ { "mac mac_address":"bssid ZAŘÍZEN ZENÍ", "ssid":"unknown", "signal_strength":0 } ] } na https://www. ://www.google.com/loc/json následovně je možno získat z geografický obraz sítěs výsledek je ukazatel umíst stění směrova rovače na mapě použit ití XSS a Street View jednoduchá lokace zařízen zení v centrech měst m je již zaměř ěřeno téměřt vše Diskuzní fórum Ministerstva zdravotnictv 11 11 rum Ministerstva zdravotnictví 11
Bezpečnost je proces, nikoliv dodávka řešení Doc. Ing. Václav V Jirovský, CSc. Ústav bezpečnostn nostních technologií a inženýrstv enýrství Fakulta dopravní České vysoké učení technické v Praze Konviktská 20, 110 00 Praha 1 jirovsky@fd. @fd.cvut.czcz