Egészs szségügyi gyi adatok védelme és s adatbiztonság Tamus Zoltán Ádám Egészségügyi gyi Informatikai, Fejlesztő és s Továbbk bbképző Intézet zoltanadam_tamus@yahoo.com,, www.eii.hu 1
Adat Adatnak nevezünk nk minden olyan ismeretet, mely előzőleg leg már m r rögzr gzítésre került. lt. Az adat egy objektum (tetszőleges dolog, amire az adat vonatkozik) egy meghatározott változójának (tulajdonságának, nak, attribútum tumának, jellemzőjének, karakterének) értéke. ke. (wikipedia) Ismeret: valamilyen objektummal kapcsolatos tapasztalataink, általánosításaink saink és s fogalmaink összessége Informáci ció: olyan adat vagy ismeret, amely viselkedésünket befolyásolni képes. k 2
Védelem, biztonság Miért kell védeni v az ADATokat? Mert értékes? Miért értékes? Ha értékes, mennyit ér? Mikor biztonságos az ADAT? Ha védett? v Ha titkos? Ha hiteles? 3
A személyes adatok védelmev Az Alkotmányb nybíróság g 1991-ben hozott döntésében kimondta, hogy az egységes ges és általános, személyazonos lyazonosításra sra alkalmas személyi szám m használata alkotmányellenes. Az Alkotmány garantálja a személyes adatok védelméhez való jogot. 4
Közérdekű és s különleges k adat Közérdekű adat: nem titkolható. Különleges adat: az adattulajdonos rendelkezik a hozzáférésr sről. Nemzetbiztonsági Technológiai Üzleti (pénz nzügyi) Személyes A személyes adatok védelmv delméről és s a közérdekű adatok nyilvánoss nosságáról l szóló 1992. évi LXIII. törvt rvény 5
Különösen érzékeny adat Különleges adatnak minősül l a faji eredetre, nemzeti, nemzetiségi, etnikai hovatartozásra, politikai vélemv leményre, pártállásra, vallási vagy egyéb b meggyőződésre, büntetett előéletre letre vonatkozó informáci ció, egészs szségi állapotra ( eg( egészségügyi gyi állapot), kóros szenvedélyre vonatkozó adatok 6
Adatkezelés és s adatfeldolgozás Adatkezelés: az alkalmazott eljárást stól, módszertm dszertől l függetlenf ggetlenül a személyes adatok gyűjt jtése, felvétele, tárolt rolása, feldolgozása, hasznosítása sa - beleértve a tovább bbítást és s a nyilvánoss nosságra hozatalt is -, valamint az adatok törlt rlése. Adatfeldolgozás: azoknak az adatkezelési műveleteknek, m technikai jellegű feladatoknak az összessége, amelyek ahhoz szüks kségesek, hogy az adatkezelési tevékenys kenység g megvalósíthat tható legyen (pl. adatrögz gzítés). 7
Egészs szségügyi gyi adatvédelmi delmi törvény Az egészs szségügyi gyi és s a hozzájuk kapcsolódó személyes adatok kezeléséről és s védelmv delméről l szóló 1997. évi XLVII. törvt rvény. E törvt rvénynek az a célja, c hogy fokozott védelemben v részesítse az egyénhez kapcsolódó személyes és egészs szségi adatokat, illetve e fontos szabály betartása mellett továbbra is biztosítsa tsa az egészs szségügy gy rendeltetésszer sszerű működését. 8
Egészs szségi, egészs szségügyi gyi és személyes adatok 1. A beteg testi, értelmi, vagy lelkiállapot llapotára vonatkoznak. 2. A beteg gyógykezel gykezelése, ellátása során állapítanak meg. 3. Az előző kettővel kapcsolatba hozható (pl. környezet) 9
Az adatkezelés s céljaic Az egészs szség g megőrz rzésének, fenntartásának nak előmozd mozdítása A betegellátó eredményes gyógykezel gykezelési tevékenys kenységének nek előseg segítése Az érintett egészs szségi állapotának nyomon követk vetése A közegk zegészségügyi gyi és s járvj rványügyi érdekből l szüks kségessé váló intézked zkedések Statisztikai célúc adatkezelés s (deperszonalizáci ció) Tudományos kutatás (személyes adat nem hivatkozható) A társadalombiztost rsadalombiztosítás s szerveinek adatkezelése Bűnüldözés, bírósági, b nemzetbiztonsági célúc adatkezelés 10
Betegellátó: Adatkezelő Kezelőorvos Egészs szségügyi gyi szakdolgozó Mindazok, akik az érintett beteg gyógykezel gykezelésével kapcsolatos valamilyen tevékenys kenységet végeznekv Gyógyszer gyszerész Intézményvezető Adatvédelmi delmi felelős Az orvosi titoktartás: minden adatkezelőre vonatkozik! 11
Adatvédelmi delmi felelős Az adatvédelmi delmi felelős az a személy, aki egy adott szervezeti egységben, gben, pl. kórhk rházi osztályon felügyeli, ellenőrzi, és s szakmailag irány nyítja az egészs szségügyi gyi adatok kezelésével összefüggő tevékenys kenységet, egyúttal pedig ezért felelőss sséggel tartozik. Részlegenként nt és s 20 főnkf nként nt (aki egészs szségügyi gyi és személyazonos lyazonosító adatokat is kezel) kell kijelölni. lni. Szakorvos, vagy legalább két k év v joggyakorlattal rendelkező jogász sz,, vagy legalább két k év v adatkezelési gyakorlattal rendelkező egyéb b felsőfok fokú végzettségű személy 12
Biztonsági követelmk vetelmények Biztonság g fogalma: nehezen megfogható CIA követelmk vetelmények: Bizalmasság g (Confidentality) Sértetlenség g (Integrity) Rendelkezésre állás s (Availability) (más s kategóri riák k is léteznek) l 13
Bizalmasság Kódolás: valamilyen transzformáci ció (pl. ASCII kódolk dolás) Rejtjelezés: olyan kódolk dolás, amelyet a kulcs ismerete nélkn lkül l nehéz z végrehajtani v (pl. digitális aláí áírás) vagy visszakódolni (szimmetrikus rejtjelezés). Nem feltétlen tlenül l titkos! Titkosítás: s: lehet a bizalmasságr gról l való rendelkezés s vagy olvashatatlan formára ra történő kódolás s is. 14
Sértetlenség Sértetlenség: Egy üzenet sértetlen, s ha igazolni tudjuk, hogy a tovább bbítása során létrehozása óta nem változott v meg. Hitelesség: Ha az üzenet sértetlen, s valamint az üzenet létrehozl trehozójának személyazonoss lyazonossága is hitelt érdemlően en bizonyított 15
Rendelkezésre sre-állás Üzemidő: Egy rendszertől l elvárt működési m idő, általában heti bontásban <nap>x<óra> Pl.: informatikai rendszer az ambulancián n 5x12, sürgősségin 7x24 Rendelkezésre sre-állási tényezt nyező: A rendszer az üzemidőn n belül l mekkora arányban üzemel jól. j Tipikus értéke 99,9 % % (pl. 3 9-es, 9 4 9-es 9 stb.) Sebezhetőségi ablak: az az egyszeri maximális idő,, melyen belül l a rendszer működőképessm pességét helyre kell állítani. 16
Informatikai biztonsági technikák Felhasználók k azonosítása sa Logikai hozzáférés-védelem Biztonságos kommunikáci ció 17
Felhasználók k azonosítása sa Tudás s alapú jelszó,, PIN-kód Birtok alapú kulcs, vonalkód, mágneskm gneskártya, chipkártya, smartcard stb. Biometriai azonosítás hang, ujjlenyomat, szaruhártya rtya-kép, fül-hőkép f p stb. A fentiek közül k l legalább kettőt t egymást stól függetlenül l célszerc lszerű alkalmazni (mágnesk gneskártya+pin) 18
Logikai hozzáférés-védelem Önkényes nyes hozzáférés-védelem (Discretionary Access Control): Mindenki szabadon, önkényesen nyesen rendelkezhet a saját t tulajdonában lévől informáci ciókkal. Kémprogramok miatt nem megfelelő Kötelező hozzáférés-védelem (Mandatory Access Control): A hozzáférési jogosultságokat gokat a rendszerfelügyel gyelő határozza meg. Naplózás: a kritikus műveletek m naplózása. 19
Biztonságos kommunikáci ció Nehezen megfogalmazható,, itt is kritériumok riumok megfogalmazása a célszerc lszerű: Biztonságosan nyugtázott üzenetküldés Sértetlen üzenet-továbbítás Hiteles üzenet-továbbítás Bizalmas üzenet-továbbítás Távoli azonosítás Letagadhatatlanság 20
Biztonságosan nyugtázott üzenetküldés s I. Meggyőződünk arról, hogy a másik m fél f l az üzenetet sértetlenül l megkapta, nyugtázza az üzenetet. Bizánci probléma Két t szövets vetséges hadsereg a két k t szomszédos dombon helyezkedik el. Csak egyesített erővel tudják k legyőzni a völgyben lévől ellenséget. A támadt madás s időpontj pontját t a völgyön át t küldk ldött futárokkal tudják k egyeztetni. Megoldható-e e hogy bármely b futár r elvesztése se esetén mindketten biztosak legyenek a közös k s támadt madás időpontj pontjában? Bebizonyíthat tható,, ilyen megoldás s nem létezikl 21
Biztonságosan nyugtázott üzenetküldés s II. Természetes, független f üzenetvesztéseksek Pl. a kommunikáci ciós s csatornán n fellépő zaj esete Gyakorlatilag biztonságosan megoldható (adott valósz színűséggel) Rosszindulatú,, intelligens üzenetnyelés ld. bizánci probléma esete sem elméletileg, letileg, sem gyakorlatilag nem oldható meg biztonságosan 22
Sértetlen üzenet-továbbítás Zaj vagy emberi manipuláci ció következtében az üzenet megváltozhat a kommunikáci ció során. Javítás: a legközelebbi érvényeshez elv alapján Elméletileg letileg nem, gyakorlatilag biztonságosan megoldható 23
Hiteles üzenet-továbbítás Amikor a tovább bbított üzenet és s a küldk ldőjének sértetlensége garantálhat lható Elméletileg letileg nem, gyakorlatilag megoldható: Csak a küldk ldő és s a fogadó ismerje az érvényes üzeneteket 24
Bizalmas üzenet-továbbítás Cél: a küldk ldőn és s a fogadón n kívüli k harmadik fél l ne tudja az üzenetet visszafejteni Shannon-féle tökéletes t titkosító Tökéletes titkosító csak akkor készk szíthető,, ha a kulcs informáci ció tartalma hosszabb, mint az átvinni kívánt k üzeneté. A A kulcsot biztonságos csatornán n kell átvinni!! Gyakorlati rejtjelező: : a kulcs ismeret nélkn lkül, l, csak kivitelezhetetlenül l sok számítással ssal fejthető vissza az üzenet. 25
Távoli azonosítás Két t fél, f akik még m g közvetlenk zvetlenül l informáci ciót nem cseréltek, szeretnének nek biztonságosan kommunikálni. Gyakorlatban a PKI (Public Key Infrastructure) nyújt ilyen szolgáltat ltatást, a CA-k k (certification authory-k) elektronikus igazolványokat bocsátanak ki. 26
Letagadhatatlanság Gyakran szüks kség g lehet arra, hogy a vevő egy harmadik fél f l felé is bizonyítani tudja, hogy az üzenet a küldk ldőtől l származik. Pl. internetes megrendelés, vásárlv rlás Megoldás: nyilvános nos kulcsú kriptográfia 27
Hibatűrő struktúrák k I. Watchdog (WD): a rendszer adott időközönk nként nt életjelet letjelet küld magáról, ha azt a WD nem kapja meg újraindítja a rendszert. Watchdog Processor (WDP): nem egyszerű életjel, hanem már m r belelát t a rendszer működésébe. 28
Hibatűrő struktúrák k II. Master checker (MC): a felügyelt rendszerrel (master) teljesen párhuzamosan p működik m egy ellenőrz rző rendszer (checker), az előáll llított kimenet legkisebb eltérését t is észre tudja venni. Többszörös s szavazásos sos rendszer (TMR): nem csak kettő,, hanem több t rendszer működik párhuzamosan, p a helyes kimenetet szavazásos sos módszerrel m határozzuk meg. 29
Irodalom Hutter O., Véry V Z. (szerk.): A Chief Information Officer Kézikönyve 1992. évi LXIII. törvt rvény a személyes adatok védelmv delméről és a közérdekk rdekű adatok nyilvánoss nosságáról 1997. évi XLVII. törvt rvény az egészs szségügyi gyi és s a hozzájuk kapcsolódó személyes adatok kezeléséről és s védelmv delméről 30