380 likes | 496 Vues
DLACZEGO STANDARDOWE SYSTEMY BAZ DANYCH SĄ NIEBEZPIECZNE W ZASTOSOWANIACH MEDYCZNYCH ?” Dr hab. inż. Bolesław Szafrański, prof.. WAT Boleslaw.Szafranski@milstar.pl. Białowieża, 8.05. 2008.
E N D
DLACZEGO STANDARDOWE SYSTEMY BAZ DANYCH SĄ NIEBEZPIECZNE W ZASTOSOWANIACH MEDYCZNYCH ?”Dr hab. inż. Bolesław Szafrański, prof.. WATBoleslaw.Szafranski@milstar.pl Białowieża, 8.05. 2008
- Specyfika statystycznych baz danych.- Podstawowe definicje.- Wybrane metody ataku statystycznych baz danych.- Wybrane mechanizmy ochrony statystycznych baz danych.- Praktyka.- Podsumowanie. Program prezentacji
Nowe przyczyny zagrożeń Rynkowe • walka konkurencyjna w gospodarce, polityce, nauce, mediach, … • zewnętrzne, krajowe i zagraniczne zespoły konsultacyjne, • prywatyzacja, audyty finansowe , organizacyjne, inne, … Uwaga: • Dane medyczne podlegają ww. czynnikom, „cena rynkowa” danych medycznych ciągle rośnie !!!, • Problem oddzielenia obszarów danych
Nowe zagrożenia Techniczne: • oderwanie danych od wytwórcy, • rozproszone powstawanie , gromadzenie i udostępnianie, • korzystanie ze sprzętu powszechnie używanego, • trudny nadzór nad informatykami.
Odpowiedzialność = Zarząd
OdpowiedzialnośćSłużbowa OdpowiedzialnośćKarna Podstawy prawne: - ogólnokrajowe, - resortowe,- europejskie.
Bezpieczeństwo danych w bazie danych Wszystkie działania mające na celu przeciwdziałanie nielegalnemu , zamierzonemu lub przypadkowemu naruszeniu danych Poufność Bezpieczeństwo
Sterowanie dostępem - reguła ochrony Upoważnienie żądania dostępu - Mechanizm sterowanie dostępem powinien zabronić dostępu niezgodnego z uprawnieniami zawartymi w macierzy dostępu, czyli niezgodną z regułą dopuszczająca jego realizację
Sterowanie przepływem Upoważnienie przepływu – mechanizm sterowania przepływem powinien zabronić realizacji żądań powodujących przepływ danych niezgodnych z określoną relacją przepływu (od obiektu o wyższej klauzuli tajności do obiektu o niższej klauzuli tajności)
Mechanizm ochrony danych powinien umożliwić dostęp do statystyk dotyczących zbiorów obiektów, przy jednoczesnym uniemożliwieniu bezpośredniego lub pośredniego ujawnienia informacji o pojedynczym obiekcie. Sterowanie wnioskowaniem – reguła ochrony
Wybrane cechy informacji medycznych (w postaci elektronicznej) • mają rosnącą wartość, • w postaci elektronicznej są fizycznie „oderwane” od właściciela (pacjenta), wytwórcy (lekarz, …) i odpowiedzialnego za bezpieczeństwo, • powstają, są gromadzone i udostępniane w rozproszonym środowisku technicznym, organizacyjnym, kompetencyjnym, a czasem również prawnym (np.. układzie międzynarodowym), semantycznym, • mają bardzo różną postać (nowe typy danych, dokumentów), • są „w ruchu”, muszą być mobilne (miejsca zdarzeń medycznych są często losowe), • są wykorzystywane nie tylko w zastosowaniach medycznych, np.. w procesach sądowych, • w procesach przetwarzania danych biorą udział nie tylko „medycy” np.. b. trudny nadzór nad informatykami, • Mogą być podstawą wnioskowania i to dotyczące nie tylko danego pacjenta (rodziny, lekarza, …)
Dane medyczne muszą być gromadzone, przesyłane i przetwarzane zarówno ze względu na procesy leczenia, jak i na procesy kształtowania polityki ochrony zdrowia, Wnioski:- w zastosowaniach medycznych konieczne jest stosowanie faktograficznych i statystycznych baz danych, - w procesach projektowania, wdrażania i eksploatacji systemów bezpieczeństwa należy uwzględnić wymagania bezpieczeństwa wynikające z istoty obu ww. rodzajów wykorzystania danych medycznych. Specyfika danych medycznych
Różnice:- w procesach leczenia należy zapewnić bezpieczny, selektywny dostęp do danych medycznych indywidualnych pacjentów, - w procesach kształtowania polityki ochrony zdrowia dostęp do danych medycznych indywidualnych jest zbędny, powinien wystarczyć dostęp do danych statystycznych. Specyfika danych medycznych
Faktograficzne a statystyczne zastosowania technologii baz danych, Konieczność „odtajnienia” informacji uzyskiwanych z prawnie chronionych danych w celu dopuszczonej prawem dystrybucji informacji statystycznych (tzw. statystyk),Uwaga statystyki zawsze zawierają ślad informacji pierwotnej. Specyfikacja statystycznych baz danych
Procesy leczeniaW procesach leczenia należy zapewnić bezpieczny, selektywny dostęp do danych medycznych indywidualnych pacjentów, Reguła:„Zapewnić dostęp zidentyfikowanych użytkowników (personelu leczącego) do danych indywidualnego pacjenta zgodny z legalnie posiadanymi uprawnieniami” Reguła ochrony baz danych
Procesy kształtowania polityki ochrony zdrowiaW procesach kształtowania polityki ochrony zdrowia dostęp do danych medycznych indywidualnych jest zbędny, powinien wystarczyć dostęp do danych statystycznych.Reguła ochrony:„Zapewnić dostęp zidentyfikowanych użytkowników do danych statystycznych zgodnie z legalnie posiadanymi uprawnieniami z jednoczesnym uniemożliwieniem dostępu do danych indywidualnego pacjenta”. Reguła ochrony baz danych
Bezpieczeństwo:System bezpieczeństwa statystycznej bazy danych powinien dysponować możliwościami sterowania wnioskowaniem, czyli mechanizmem, który powinien umożliwić dostęp do statystyk dotyczących zbiorów obiektów, przy jednoczesnym uniemożliwieniu bezpośredniego lub pośredniego ujawnienia informacji o pojedynczym obiekcie. Cechy ochronne statystycznych baz danych
MODEL STATYSTYCZNEJ BAZY DANYCH • Zbiór N rekordów, z których każdy składa się z M pól. • Baza danych zawiera informacje o atrybutach N osób (pacjentów), • Istnieje M atrybutów, przy czym każdy atrybut Aj przyjmuje |Aj| możliwych wartości.
Zbiór odpowiedzi • Zbiorem odpowiedzi nazywamy zbiór rekordów spełniających formułę charakterystyczną C • Liczność zbioru odpowiedzi oznaczamy |C|
PODSTAWOWE DEFINICJE • Stan informacyjny statystycznej bazy danych składa się z danych przechowywanych w bazie danych i wiedzy zewnętrznej. • Wiedza zewnętrzna dzieli się na wiedzę roboczą i wiedzę dodatkową.
PODSTAWOWE DEFINICJE • Wiedza robocza - wiedza o atrybutach występujących w bazie danych i rodzajach dostępnych statystyk. • Wiedza dodatkowa - informacje nie udostępniane przez bazę danych
PODSTAWOWE DEFINICJE • Formuła charakterystyczna - dowolne wyrażenie logiczne zbudowane z wartości atrybutów połączonych operatorami or (+), and (*), not (~), np.(Płeć = M)*((Oddział=O1)+(Oddział=O2)) • Zbiór odpowiedzi - zbiór rekordów, którego wartości atrybutów spełniają formułę charakterystyczną,
UJAWNIANIE • Statystyka wrażliwa- jeśli ujawnia poufne informacje o pewnych osobach. • Dla zbioru odpowiedzi o liczności 1 statystyka jest zawsze wrażliwa.
Kompromitacja bazy danych Kompromitacja statystycznej bazy danych - wystąpi gdy użytkownik na podstawie zbioru dostępnych statystyk i wiedzy dodatkowej może „coś” wydedukować o statystyce zastrzeżonej umożliwiającej dotarcie do informacji pojedynczej osoby (pacjenta).
WYBRANE METODY ATAKU STATYSTYCZNYCH BAZ DANYCH Przykłady: • Atak z użyciem małych i dużych zbiorów odpowiedzi. • Atak z użyciem szperaczy (indywidualne, ogólne, podwójne, łączne). • Atak za pomocą wstawiania i usuwania rekordów.
WYBRANE MECHANIZMY OCHRONY STATYSTYCZNYCH BAZ DANYCH • Sterowanie licznością zbioru odpowiedzi. • Sterowanie stopniem pokrywania się zbiorów odpowiedzi. • Sterowanie przez ograniczanie statystyk (np. zabranianie komórek, podział bazy danych).
WYBRANE MECHANIZMY OCHRONY STATYSTYCZNYCH BAZ DANYCH • Sterowanie dodające szum do statystyk (np. zniekształcanie odpowiedzi, zniekształcanie danych, losowanie zbioru odpowiedzi, odpowiedzi losowane).Efektywne, proste w implementacji, przyłączane do prawie wszystkich systemów baz danych.
PODSUMOWANIE • Ustawa o ochronie danych osobowych wymusi stosowanie mechanizmów ochrony statystycznych baz danych osobowych.
PRAKTYKA • Usuwanie identyfikatorów. • Wprowadzanie szumu do danych. • Zabranianie danych o dużej wrażliwości. • Usuwanie rekordów z granicznymi wartościami. • Dostarczanie jak najmniejszych próbek kompletnych danych.
PODSUMOWANIE • Dostępne na rynku uniwersalne systemy zarządzania bazami danych nie oferują mechanizmów wspierających procesy ochrony statystycznych baz danych. • Bardzo rzadko mechanizmy ochrony statystycznych baz danych są uwzględniane na etapie projektowania.
PODSUMOWANIE • Brak jednoznacznie zdefiniowanych i dostępnych mechanizmów ochrony statystycznych baz danych powoduje wdrażanie różnych rozwiązań zastępczych, które podrażają koszty eksploatacji, nie gwarantując wymaganego poziomu poufności, • Liczba zastosowań bazodanowych, często o charakterze uniwersalnym, a więc realizujących zadania statystyczne i niestatystyczne, w zastosowaniach medycznych rośnie. Dlatego istnieje potrzeba koegzystencji mechanizmów ochrony dla obu kategorii zastosowań.
Wybrany problem – system informacyjny i co dalej? System informacyjny (przykład, J. Kisielnicki) – „wielopoziomowa struktura, która pozwala użytkownikowi tego systemu na transformowanie określonych informacji Wejścia na pożądane informacje wyjścia za pomocą odpowiednich procedur i modeli” System informacyjny (przykład, S. Łobejko) – „zbiór powiązanych procesów Informacyjnych” lub „zbiór strumieni informacyjnych opisanych na strukturze procesów realnych i sfery procesów zarządzania” Jaka jest istota informacji i systemów informacyjnych ???
Wybrany problem – system informacyjny i co dalej? System informacyjny (przykład, J. Kisielnicki) – „wielopoziomowa struktura, która pozwala użytkownikowi tego systemu na transformowanie określonych informacji Wejścia na pożądane informacje wyjścia za pomocą odpowiednich procedur i modeli” System informacyjny (przykład, S. Łobejko) – „zbiór powiązanych procesów Informacyjnych” lub „zbiór strumieni informacyjnych opisanych na strukturze procesów realnych i sfery procesów zarządzania” Jaka jest istota informacji i systemów informacyjnych ???