białowieża, 8.05. 2008
DESCRIPTION
DLACZEGO STANDARDOWE SYSTEMY BAZ DANYCH SĄ NIEBEZPIECZNE W ZASTOSOWANIACH MEDYCZNYCH ?” Dr hab. inż. Bolesław Szafrański, prof.. WAT [email protected]. Białowieża, 8.05. 2008. - PowerPoint PPT PresentationTRANSCRIPT
1
DLACZEGO STANDARDOWE SYSTEMY BAZ DANYCH SĄ NIEBEZPIECZNE W
ZASTOSOWANIACH MEDYCZNYCH ?”
Dr hab. inż. Bolesław Szafrański, prof.. WAT
Białowieża, 8.05. 2008
2
- Specyfika statystycznych baz danych.- Podstawowe definicje.- Wybrane metody ataku statystycznych baz danych.- Wybrane mechanizmy ochrony statystycznych baz danych.- Praktyka.- Podsumowanie.
Program prezentacji
Nowe przyczyny zagrożeńNowe przyczyny zagrożeńRynkoweRynkowe walka konkurencyjna walka konkurencyjna w gospodarce, w gospodarce,
polityce, nauce, mediach, … polityce, nauce, mediach, … zewnętrzne, krajowe i zagraniczne zespoły zewnętrzne, krajowe i zagraniczne zespoły
konsultacyjne,konsultacyjne, prywatyzacja, audyty finansowe , prywatyzacja, audyty finansowe ,
organizacyjne, inne, …organizacyjne, inne, …Uwaga: Uwaga: Dane medyczne podlegają ww. czynnikom, Dane medyczne podlegają ww. czynnikom,
„cena rynkowa” danych medycznych ciągle „cena rynkowa” danych medycznych ciągle rośnie !!!,rośnie !!!,
Problem oddzielenia obszarów danychProblem oddzielenia obszarów danych
Nowe zagrożeniaNowe zagrożenia
Techniczne:Techniczne:
oderwanie danych od wytwórcy,oderwanie danych od wytwórcy, rozproszone powstawanie , rozproszone powstawanie ,
gromadzenie i udostępnianie,gromadzenie i udostępnianie, korzystanie ze sprzętu powszechnie korzystanie ze sprzętu powszechnie
używanego,używanego, trudny nadzór nad informatykami.trudny nadzór nad informatykami.
Odpowiedzialność = Zarząd
OdpowiedzialnośćKarna
OdpowiedzialnośćSłużbowa
Podstawy prawne: - ogólnokrajowe, - resortowe,- europejskie.
Wszystkie działania mające na celu Wszystkie działania mające na celu przeciwdziałanie nielegalnemu , przeciwdziałanie nielegalnemu ,
zamierzonemu lub przypadkowemu zamierzonemu lub przypadkowemu naruszeniu danychnaruszeniu danych
Poufność Bezpieczeństwo
Bezpieczeństwo danych w bazie danych
Polityka ochronyPolityka ochrony
Polityka O chrony
PolitykaNakazow a
PolitykaUszczelniania
Środki w eryfikacjiO dpowiedzialności
9
Klasyfikacja mechanizmów ochrony baz danych
Mechanizmy ochrony danych
Sterowania dostępem
Sterowania przepływem
Sterowania wnioskowaniem
Sterowania szyfrowaniem
10
Sterowanie dostępem - reguła ochronySterowanie dostępem - reguła ochrony
Upoważnienie żądania dostępuUpoważnienie żądania dostępu - -Mechanizm sterowanie dostępem powinien Mechanizm sterowanie dostępem powinien zabronić dostępu niezgodnego z zabronić dostępu niezgodnego z uprawnieniami zawartymi w macierzy uprawnieniami zawartymi w macierzy dostępu, czyli niezgodną z regułą dostępu, czyli niezgodną z regułą dopuszczająca jego realizację dopuszczająca jego realizację
11
Sterowanie przepływemSterowanie przepływem
Upoważnienie przepływu Upoważnienie przepływu ––mechanizm sterowania przepływem mechanizm sterowania przepływem powinien zabronić realizacji żądań powinien zabronić realizacji żądań powodujących przepływ danych powodujących przepływ danych niezgodnych z określoną relacją przepływu niezgodnych z określoną relacją przepływu (od obiektu o wyższej klauzuli tajności do (od obiektu o wyższej klauzuli tajności do obiektu o niższej klauzuli tajności)obiektu o niższej klauzuli tajności)
12
Mechanizm ochrony danych powinien umożliwić dostęp do statystyk dotyczących zbiorów obiektów, przy jednoczesnym uniemożliwieniu bezpośredniego lub pośredniego ujawnienia informacji o pojedynczym obiekcie.
Sterowanie wnioskowaniem – reguła ochrony
Wybrane cechy informacji medycznychWybrane cechy informacji medycznych (w postaci elektronicznej)(w postaci elektronicznej)
mają rosnącą wartość,mają rosnącą wartość, w postaci elektronicznej są fizycznie „oderwane” od właściciela w postaci elektronicznej są fizycznie „oderwane” od właściciela
(pacjenta), wytwórcy (lekarz, …) i odpowiedzialnego za (pacjenta), wytwórcy (lekarz, …) i odpowiedzialnego za bezpieczeństwo, bezpieczeństwo,
powstają, są gromadzone i udostępniane w rozproszonym powstają, są gromadzone i udostępniane w rozproszonym środowisku technicznym, organizacyjnym, kompetencyjnym, a środowisku technicznym, organizacyjnym, kompetencyjnym, a czasem również prawnym (np.. układzie międzynarodowym), czasem również prawnym (np.. układzie międzynarodowym), semantycznym,semantycznym,
mają bardzo różną postać (nowe typy danych, dokumentów), mają bardzo różną postać (nowe typy danych, dokumentów), są „w ruchu”, muszą być mobilne (miejsca zdarzeń medycznych są „w ruchu”, muszą być mobilne (miejsca zdarzeń medycznych
są często losowe),są często losowe), są wykorzystywane nie tylko w zastosowaniach medycznych, są wykorzystywane nie tylko w zastosowaniach medycznych,
np.. w procesach sądowych,np.. w procesach sądowych, w procesach przetwarzania danych biorą udział nie tylko w procesach przetwarzania danych biorą udział nie tylko
„medycy” „medycy” np.. b. trudny nadzór nad informatykami, np.. b. trudny nadzór nad informatykami, Mogą być podstawą wnioskowania i to dotyczące nie tylko Mogą być podstawą wnioskowania i to dotyczące nie tylko
danego pacjenta (rodziny, lekarza, …)danego pacjenta (rodziny, lekarza, …)
14
-Dane medyczne muszą być gromadzone, przesyłane i przetwarzane zarówno ze względu na procesy leczenia, jak i na procesy kształtowania polityki ochrony zdrowia,
Wnioski:- w zastosowaniach medycznych konieczne jest stosowanie faktograficznych i statystycznych baz danych,
- w procesach projektowania, wdrażania i eksploatacji systemów bezpieczeństwa należy uwzględnić wymagania bezpieczeństwa wynikające z istoty obu ww. rodzajów wykorzystania danych medycznych.
Specyfika danych medycznych
15
Różnice:
- w procesach leczenia należy zapewnić bezpieczny, selektywny dostęp do danych medycznych indywidualnych pacjentów,
- w procesach kształtowania polityki ochrony zdrowia dostęp do danych medycznych indywidualnych jest zbędny, powinien wystarczyć dostęp do danych statystycznych.
Specyfika danych medycznych
16
Faktograficzne a statystyczne zastosowania technologii baz danych,
Konieczność „odtajnienia” informacji uzyskiwanych z prawnie chronionych danych w celu dopuszczonej prawem dystrybucji informacji statystycznych (tzw. statystyk),
Uwaga statystyki zawsze zawierają ślad informacji pierwotnej.
Specyfikacja statystycznych baz danych
17
Procesy leczenia
W procesach leczenia należy zapewnić bezpieczny, selektywny dostęp do danych medycznych indywidualnych pacjentów,
Reguła:„Zapewnić dostęp zidentyfikowanych użytkowników (personelu leczącego) do danych indywidualnego pacjenta zgodny z legalnie posiadanymi uprawnieniami”
Reguła ochrony baz danych
18
Procesy kształtowania polityki ochrony zdrowia
W procesach kształtowania polityki ochrony zdrowia dostęp do danych medycznych indywidualnych jest zbędny, powinien wystarczyć dostęp do danych statystycznych.
Reguła ochrony:„Zapewnić dostęp zidentyfikowanych użytkowników do danych statystycznych zgodnie z legalnie posiadanymi uprawnieniami z jednoczesnym uniemożliwieniem dostępu do danych indywidualnego pacjenta”.
Reguła ochrony baz danych
19
Bezpieczeństwo:System bezpieczeństwa statystycznej bazy danych powinien dysponować możliwościami sterowania wnioskowaniem, czyli mechanizmem, który powinien umożliwić dostęp do statystyk dotyczących zbiorów obiektów, przy jednoczesnym uniemożliwieniu bezpośredniego lub pośredniego ujawnienia informacji o pojedynczym obiekcie.
Cechy ochronne statystycznych baz danych
MODEL STATYSTYCZNEJ BAZY DANYCH
• Zbiór N rekordów, z których każdy składa się z M pól.
• Baza danych zawiera informacje o atrybutach N osób (pacjentów),
• Istnieje M atrybutów, przy czym każdy atrybut Aj przyjmuje |Aj| możliwych wartości.
21
Model statycznej bazy danych
NMNjN
iMiji
Mj
Mj
xxxN
xxxi
xxxAAAkord
1
1
1111
1
1Re
22
Zbiór odpowiedzi• Zbiorem odpowiedzi nazywamy zbiór
rekordów spełniających formułę charakterystyczną C
• Liczność zbioru odpowiedzi oznaczamy |C|
PODSTAWOWE DEFINICJE
• Stan informacyjny statystycznej bazy danych składa się z danych przechowywanych w bazie danych i wiedzy zewnętrznej.
• Wiedza zewnętrzna dzieli się na wiedzę roboczą i wiedzę dodatkową.
PODSTAWOWE DEFINICJE
• Wiedza robocza - wiedza o atrybutach występujących w bazie danych i rodzajach dostępnych statystyk.
• Wiedza dodatkowa - informacje nie udostępniane przez bazę danych
PODSTAWOWE DEFINICJE
• Formuła charakterystyczna - dowolne wyrażenie logiczne zbudowane z wartości atrybutów połączonych operatorami or (+), and (*), not (~), np.(Płeć = M)*((Oddział=O1)+(Oddział=O2))
• Zbiór odpowiedzi - zbiór rekordów, którego wartości atrybutów spełniają formułę charakterystyczną,
UJAWNIANIE• Statystyka wrażliwa- jeśli ujawnia
poufne informacje o pewnych osobach.
• Dla zbioru odpowiedzi o liczności 1 statystyka jest zawsze wrażliwa.
Kompromitacja bazy danych
Kompromitacja statystycznej bazy danych - wystąpi gdy użytkownik na podstawie zbioru dostępnych statystyk i wiedzy dodatkowej może „coś” wydedukować o statystyce zastrzeżonej umożliwiającej dotarcie do informacji pojedynczej osoby (pacjenta).
WYBRANE METODY ATAKU STATYSTYCZNYCH BAZ DANYCH
Przykłady:• Atak z użyciem małych i dużych
zbiorów odpowiedzi.• Atak z użyciem szperaczy
(indywidualne, ogólne, podwójne, łączne).
• Atak za pomocą wstawiania i usuwania rekordów.
• Sterowanie licznością zbioru odpowiedzi.
• Sterowanie stopniem pokrywania się zbiorów odpowiedzi.
• Sterowanie przez ograniczanie statystyk (np. zabranianie komórek, podział bazy danych).
WYBRANE MECHANIZMY OCHRONY STATYSTYCZNYCH BAZ DANYCH
WYBRANE MECHANIZMY OCHRONY STATYSTYCZNYCH BAZ DANYCH
• Sterowanie dodające szum do statystyk (np. zniekształcanie odpowiedzi, zniekształcanie danych, losowanie zbioru odpowiedzi, odpowiedzi losowane).Efektywne, proste w implementacji, przyłączane do prawie wszystkich systemów baz danych.
PODSUMOWANIE
• Ustawa o ochronie danych osobowych wymusi stosowanie mechanizmów ochrony statystycznych baz danych osobowych.
PRAKTYKA
• Usuwanie identyfikatorów.• Wprowadzanie szumu do danych.• Zabranianie danych o dużej wrażliwości.• Usuwanie rekordów z granicznymi
wartościami.• Dostarczanie jak najmniejszych próbek
kompletnych danych.
PODSUMOWANIE
• Dostępne na rynku uniwersalne systemy zarządzania bazami danych nie oferują mechanizmów wspierających procesy ochrony statystycznych baz danych.
• Bardzo rzadko mechanizmy ochrony statystycznych baz danych są uwzględniane na etapie projektowania.
PODSUMOWANIE• Brak jednoznacznie zdefiniowanych i dostępnych
mechanizmów ochrony statystycznych baz danych powoduje wdrażanie różnych rozwiązań zastępczych, które podrażają koszty eksploatacji, nie gwarantując wymaganego poziomu poufności,
• Liczba zastosowań bazodanowych, często o charakterze uniwersalnym, a więc realizujących zadania statystyczne i niestatystyczne, w zastosowaniach medycznych rośnie. Dlatego istnieje potrzeba koegzystencji mechanizmów ochrony dla obu kategorii zastosowań.
35
IN
TEGRACJA
· Ustawa o ochronie danych osobowych
· Ustawa o ochronie informacji niejawnych
· Prawo bankowe, ...· …
IN
TEGRACJA
INTEG
RA
CJA
INTEGRACJA
INTEGRACJA
INTEG
RA
CJA
BEZPIECZEŃSTWOINFORMACYNE
· Poufność· Integralność· Dostępność· Roztrzygalność· …
DEFINICJE
PRAWO
· Organizacyjne· Techniczne · Prawne· ...
METODY
· Finansowe· Personalne· Produktowe· Informacyjne· …
BEZPIECZEŃSTWOBIZNESOWE
TECHNOLOGIA
· Sprzęt, sieci· Systemy operacyjne· Systemy baz danych · Aplikacje· ...
ŚRODOWISKO TECHNICZNE
(….)(….)
(….)
(….)
(….)
(….)
????
Sesja II: Bezpieczeństwo Integracji Integracja Bezpieczeństwa
Wprowadzenie – Boleslaw.Szafrań[email protected]
36
37
Wybrany problem – system informacyjny i co dalej?
System informacyjny (przykład, J. Kisielnicki) – „wielopoziomowa struktura, którapozwala użytkownikowi tego systemu na transformowanie określonych informacjiWejścia na pożądane informacje wyjścia za pomocą odpowiednich procedur i modeli” System informacyjny (przykład, S. Łobejko) – „zbiór powiązanych procesów Informacyjnych” lub „zbiór strumieni informacyjnych opisanych na strukturze procesów realnych i sfery procesów zarządzania”
Jaka jest istota informacji i systemów informacyjnych ???
38
Wybrany problem – system informacyjny i co dalej?
System informacyjny (przykład, J. Kisielnicki) – „wielopoziomowa struktura, którapozwala użytkownikowi tego systemu na transformowanie określonych informacjiWejścia na pożądane informacje wyjścia za pomocą odpowiednich procedur i modeli” System informacyjny (przykład, S. Łobejko) – „zbiór powiązanych procesów Informacyjnych” lub „zbiór strumieni informacyjnych opisanych na strukturze procesów realnych i sfery procesów zarządzania”
Jaka jest istota informacji i systemów informacyjnych ???