I УГРОЗЫ БЕЗОПАСНОСТИ В СИСТЕМАХ ДИСТАНЦИОННОГО МОНИТОРИНГА
Булдакова Т.И.1, Кривошеева Д.А.2
Статья посвящена телемедицинским системам мониторинга состояния человека. Рассмотрена проблема обеспечения защиты передаваемых данных в системах дистанционного мониторинга. Приведена архитектура таких систем и их основные компоненты. Выделены возможные угрозы информационной безопасности для мобильной измерительной системы, обеспечивающей непрерывный мониторинг состояния человека по регистрируемым биосигналам. Сбор и измерение информации о состоянии человека в таких системах выполняются с помощью различных датчиков. Выполнен анализ модели угроз, который показал, что наиболее уязвимой является коммуникационная связь между датчиками и медицинской информационной системой, включающей базу данных зарегистрированных биосигналов. Показано, что существующие подходы к защите данных в системах дистанционного мониторинга являются недостаточными. В данной статье выделены особенности мобильных измерительных систем и предложены дополнительные способы защиты передаваемых данных.
Ключевые слова: защита информации, телемедицина, мобильная измерительная система, биосигналы, медицинские информационные системы
Введение
Процесс модернизации системы здравоохранения сопровождается активным внедрением информационно-коммуникационных технологий, обеспечивающих формирование каналов устойчивых коммуникаций между специалистами разных лечебно-профилактических учреждений, удаленный доступ к медицинским информационным системам, облегчение и ускорение записи пациентов на прием к врачам [1]. Примером развития виртуальных инфраструктур здравоохранения являются системы телемедицины, которые дистанционно предоставляют высококвалифицированную помощь врачей ведущих медицинских центров пациентам в отдаленных районах. Кроме того, в настоящее время получают также развитие мобильные телемедицинские комплексы для работы на местах аварий.
Современный мобильный телемедицинский комплекс объединяет в себе мощный компьютер, легко сопрягаемый с разнообразным медицинским оборудованием, средства ближней и дальней беспроводной связи, средства видеоконференции и средства /Р-вещания. Многообещающим направлением развития дистанционного биомониторинга является интеграция датчиков в одежду, различные аксессуары, мобильные телефоны [2, 3]. Включение такой мобильной измерительной системы в единое информационное пространство позволит осуществить непрерывный мониторинг состояния человека независимо от его местопо-
ложения. Однако при этом возникает проблема с обеспечением целостности, конфиденциальности и доступности передаваемых физиологических данных.
Существующие подходы к защите данных либо не учитывают особенности мобильных измерительных систем, либо требуют больших затрат времени и ресурсов. Данная работа систематизирует возможные способы защиты передаваемых данных в системах дистанционного мониторинга.
1. Особенности систем дистанционного мониторинга
Развитие технологий «sensor-on-a-chip» и открытых телекоммуникационных систем позволяют приступить к реализации методологии «госпиталь на дому» («hospital-at-home») [4]. Основным принципом данной методологии является дистанционный мониторинг состояния человека и оказание медицинской помощи пациентам независимо от их местоположения. Источниками объективной информации о состоянии пациента являются мобильные измерительные системы [5, 6]. Предполагается, что данный подход получит свое развитие в телемедицинских системах динамического наблюдения за пациентами, страдающими хроническими заболеваниями (сердечнососудистыми, почечными и др.), либо за пожилыми людьми.
Зарегистрированные биосигналы передаются по каналам связи в медицинские центры монито-
1 Булдакова Татьяна Ивановна, доктор технических наук, профессор, МГТУ им. Н.Э. Баумана, Москва, buldakova@bmstu.ru.
2 Кривошеева Дарина Александровна, МГТУ им. Н.Э. Баумана, Москва, darinaaleks@gmail.com.
Дистанционный мониторинг
Рис. 1. Основные компоненты системы дистанционного мониторинга
ринга и обработки данных (рис. 1), где осуществляется углубленная оценка функционального состояния человека.
Оценка состояния человека в системах биомониторинга может выполняться разными способами: под наблюдением лечащего врача, на основе анализа контролируемых параметров (норма - патология) или автоматизировано по вычислительной модели пациента (виртуальной физиологии) [7-9]. Независимо от способа оценки источниками первичной информации выступают различные датчики, позволяющие регистрировать
биосигналы человека. Поэтому они являются наиболее важной частью системы мониторинга, и их характеристики определяют эффективность всей системы. Наиболее распространенными являются пульсометры, датчики ЭКГ и датчики частоты дыхательный движений.
Современные пульсометры обычно состоят из нательного датчика и смартфона (рис. 2). Принцип работы пульсометра основывается на измерении разности потенциалов в момент сокращения сердечной мышцы. Далее пульсометр передает пульсовые сигналы к принимающему устройству (смарт-
Рис. 2. Пульсометр
фону), которое эти сигналы обрабатывает с помощью установленного приложения. При необходимости данные могут быть переданы в медицинский центр для более глубокого анализа врачом.
Мобильные датчики ЭКГ (рис. 4) способны регистрировать электрическую активность сердца и передавать их в смартфон для предварительной оценки состояния человека. Для углубленного анализа сигналы также необходимо отправить врачу-специалисту.
Рис. 3. Нагрудный датчик ЭКГ
Датчик частоты дыхательных движений предназначен для исследования процесса дыхания человека. Он представляет собой пояс, внутрь которого встроена полая резиновая камера с датчиком давления газа. В дальнейшем результаты измерений датчика могут быть преобразованы в значение частоты и периода дыхательных движений человека.
Таким образом, достигнутый технический уровень позволяет создавать компактные мобильные терминалы, реализующие функции первичного физиологического анализа и передачи данных в медицинские центры для более углубленного анализа [10].
Решающее значение в системах дистанционного мониторинга имеет обеспечение безопасности личных медицинских данных. Нарушение целостности и конфиденциальности информации, кража личных медицинских данных приводят не только к финансовым потерям, но и к нежелательным социальным последствиям, наносят моральный ущерб пациенту.
2. Угрозы информационной безопасности
Результаты анализа возможных угроз информационной безопасности применительно ко всем компонентам системы мониторинга приведены в табл. 1.
Рис. 4. Первичная обработка сигнала
Таблица 1.
Возможные угрозы информационной безопасности
№ Компоненты Угрозы Комментарии
1 Датчики Доступ злоумышленника к датчику Необходимо использовать надежные датчики, ограничивающие доступ
2 Коммуникации Злоумышленники могут подслушивать все виды разговоров, а также исказить сигналы Коммуникационная связь в системе является ненадежной, поэтому необходимо шифрование сигналов
3 Смартфон Злоумышленник может повлиять на работу смартфона Защита приложений на смартфоне
4 Хранилище данных в облаке Возможный доступ к данным в облаке Только после успешной авторизации врач сможет получить доступ к информации о пациенте
5 Медицинский персонал Передача информации злоумышленнику Предполагается, что медицинский персонал не откроет доступ к информации под влиянием злоумышленников
6 Пациент Передача информации злоумышленнику Предполагается, что пациент не откроет доступ к информации под влиянием злоумышленников
7 Тело пациента Злоумышленник может иметь физический контакт с пациентом (например, пожать ему руку), поэтому биосигналы пациента могут быть искажены сигналами злоумышленника Надежные датчики не позволяют злоумышленнику искажать сигналы. Кроме того, вся информация о состоянии здоровья пациента в прошлом неизвестна злоумышленнику
Анализ модели угроз показал, что существует проблема обеспечения информационной безопасности данных пациентов, передаваемых от датчика в хранилище. При этом решающее значение имеет защита личных медицинских данных при передаче через коммуникационный канал от датчиков к облачной медицинской базе данных. В связи с этим для защиты передаваемой персональной информации необходимо выбрать способ криптографической защиты данных.
3. Основные подходы к обеспечению безопасности медицинских систем мониторинга
Несмотря на растущий поток исследований в области защиты информации, очень мало исследований направлено на изучение рисков информационной безопасности в сфере здравоохранения, которая в значительной степени регулируется и использует бизнес-модели, достаточно отличающееся от моделей других отраслей промышленности [11, 12]. Анализ различных подходов к распределению криптографических ключей выполнен в работе [13]. В данной работе приведено обобщение полученных результатов.
Все традиционные подходы к обеспечению безопасности систем здравоохранения основываются на асимметричных криптосистемах. Асимметричное шифрование использует два разных ключа: один для шифрования, другой для дешифрования. Хотя данный подход достаточно надежен для обеспечения конфиденциальности и целостности передаваемых данных, он оказывается дорогим для регулярного обмена данными в режиме реального времени, т.к. требует больших затрат ресурсов и времени. В связи с этим в системах дистанционного мониторинга нецелесообразно использовать асимметричное шифрование.
Альтернативным подходом к защите передаваемых данных является метод создания парных симметричных ключей для датчика и приемника. В результате алгоритмы с закрытым ключом работают на три порядка быстрее алгоритмов с открытым ключом, что очень важно для телемедицинских систем реального времени. Однако недостатком симметричных шифров является невозможность их использования для подтверждения авторства, так как ключ известен каждой стороне.
В ряде работ предложено использовать регистрируемые датчиками биосигналы, которые
отражают физиологические особенности пациента и могут использоваться для сокрытия информации. Например, в работе [14] выделены некоторые морфологические особенности биосигналов, которые являются уникальными для каждого человека и которые мало изменяются с течением времени. Предложено эти особенности использовать при построении криптографических ключей и для получения модели «физиологической» подписи индивидуума. Однако, в предлагаемом способе необходимо применять подбор функциональных зависимостей по виду регистрируемых биосигналов, что не очень эффективно.
В работе [13] предложено использовать в качестве морфологических признаков не отдельные параметры временной кривой, а математическую модель генератора биосигнала в форме системы дифференциальных уравнений. Этот подход является более универсальным, чем предложенный в работе [14].
Предполагается, что дальнейшие исследования необходимо проводить путем использования совместно зарегистрированных биосигналов для разработки математической модели «физиологической» подписи человека.
Заключение
В данной работе рассмотрены особенности мобильных измерительных систем и проанализированы возможные способы защиты передаваемых данных в системах дистанционного мониторинга состояния человека.
Показано, что создание технологии защиты регистрируемых данных, передаваемых через открытый коммуникационный канал от датчиков к облачному хранилищу (медицинской базе данных) остается актуальной задачей и требует разработки новых математических методов, моделей и алгоритмов для обеспечения шифрования и расшифрования сообщений с использованием совместно регистрируемых биосигналов человека.
Рецензент: Матвеев Валерий Александрович, доктор технических наук, профессор, v.a.matveev@bmstu.ru
Литература:
1. А.В. Ланцберг, К. Тройч, Т.И. Булдакова Развитие системы электронных услуг муниципальной поликлиники (на основе анализа зарубежных web-ресурсов) // Научно-техническая информация. Серия 2: Информационные процессы и системы. 2011. № 4. С. 1-7.
2. Paradiso R., Loriga G., Taccini N. A Wearable Health Care System Based on Knitted Integrated Sensors // IEEE Transactions on Information Technology in Biomedicine. 2005. Vol. 9, No. 3. Pp. 337-344.
3. Winters J., Wang Y. Wearable Sensors and Telerehabilitation // IEEE Engineering in Medicine and Biology Magazine. 2003. No. 3. Pp. 56-65.
4. Prado M., Roa L., Reina-Tosina J. Virtual Center for Renal Support: Technological Approach to Patient Physiological Image // IEEE Transaction on biomedical engineering. 2002. Vol. 49, №12. Pp.1420-1430.
5. Булдакова Т.И., Коблов А.В., Суятинов С.И. Информационно-измерительный комплекс совместной регистрации и обработки биосигналов // Приборы и системы. Управление, контроль, диагностика. 2008. № 6. С. 41-46.
6. Булдакова Т.И., Гриднев В.И., Кириллов К.И., Ланцберг А.В., Суятинов С.И. Программно-аналитический комплекс модельной обработки биосигналов // Биомедицинская радиоэлектроника. 2009. № 1. С. 71-78.
7. Булдаков Н.С., Самочетова Н.С., Ситников А.В., Суятинов С.И. Моделирование связей в системе «сердце-сосуды» // Наука и образование: научное издание МГТУ им. Н.Э. Баумана. 2013. № 1. С. 123-134.
8. Баевский Р.М. Проблема оценки и прогнозирования функционального состояния организма и ее развитие в космической медицине // Успехи физиологических наук. 2006. Т. 37, № 3. С. 42-57.
9. Суятинов С.И., Самочетова Н.С., Ланцберг А.В., Коблов А.В. Методика идентификации сложных систем // Вестник Саратовского государственного технического университета. 2007. Т. 4. № 1 (28). С. 31-38.
10. Development of a mobile pulsewaveform analyzer for cardiovascular health / Bing Nan Lia, Bin Bin Fua, Ming Chui Dong // Computers in Biology and Medicine. 2008. Vol. 38. Pp. 438-445.
11. Appari A., Johnson M. E. Information Security and Privacy in Healthcare: Current State of Research // International Journal of Internet and Enterprise Management. 2010. Vol. 6, No 4. Pp. 279-314.
12. Malhotra K., Gardner S., Patz R. Implementation of elliptic-curve cryptography on mobile healthcare devices // Networking, Sensing and Control. 2007. Рр. 239-244.
13. Булдакова Т.И., Суятинов С.И., Кривошеева Д.А. Обеспечение информационной безопасности в телемедицинских системах на основе модельного подхода // Вопросы кибербезопасности. 2014. № 5(8). С. 21-29.
14. Banerjee A., Gupta S.K.S., Venkatasubramanian K.K. PEES: Physiology-based End-to-End Security for mHealth // Proceedings of the 4th Conference on Wireless Health. 2013. Article No. 2.
SECURITY THREATS IN SYSTEMS OF THE REMOTE MONITORING
Buldakova T.I.3, Krivoscheeva D.A.4
The article is devoted to telemedical monitoring systems of the human state. The problem of ensuring protection of transmitted data in remote monitoring system is considered. The architecture of such systems and their main components are given. The potential information security threats for mobile measuring systems providing continuous monitoring of human state on the registered biosignals are allocated. In such systems the collecting and measuring information about the human state are carried out by means of various sensors. The analysis of the threat model is showed that the communication channel is the most vulnerable. It connects sensors and the medical information system including a database of the registered biosignals. It is shown that existing approaches to data protection in remote monitoring systems are inadequate. In this article features of mobile measuring systems are marked out and additional ways of transmitted data protection are offered.
Keywords: protection of information, telemedicine, mobile measuring system, biosignals, medical information systems
References:
1. A.V. Lantsberg, K. Troych, T.I. Buldakova Razvitie sistemy elektronnykh uslug munitsipal'noy polikliniki (na osnove analiza zarubezhnykh web-resursov), Nauchno-tekhnicheskaya informatsiya. Seriya 2: Informatsionnye protsessy i sistemy. 2011. No 4, pp. 1-7.
2. Paradiso R., Loriga G., Taccini N. A Wearable Health Care System Based on Knitted Integrated Sensors, IEEE Transactions on Information Technology in Biomedicine. 2005. Vol. 9, No 3, pp. 337-344.
3. Winters J., Wang Y. Wearable Sensors and Telerehabilitation, IEEE Engineering in Medicine and Biology Magazine. 2003. No 3, pp. 56-65.
4. Prado M., Roa L., Reina-Tosina J. Virtual Center for Renal Support: Technological Approach to Patient Physiological Image, IEEE Transaction on biomedical engineering. 2002. Vol. 49, No 12, pp.1420-1430.
5. Buldakova T.I., Koblov A.V., Suyatinov S.I. Informatsionno-izmeritel'nyy kompleks sovmestnoy registratsii i obrabotki biosignalov, Pribory i sistemy. Upravlenie, kontrol', diagnostika. 2008. No 6, pp. 41-46.
6. Buldakova T.I., Gridnev V.I., Kirillov K.I., Lantsberg A.V., Suyatinov S.I. Programmno-analiticheskiy kompleks model'noy obrabotki biosignalov, Biomeditsinskaya radioelektronika. 2009. No 1, pp. 71-78.
7. Buldakov N.S., Samochetova N.S., Sitnikov A.V., Suyatinov S.I. Modelirovanie svyazey v sisteme «serdtse-sosudy», Nauka i obrazovanie: nauchnoe izdanie MGTU im. N.E. Baumana. 2013. No 1, pp. 123-134.
8. Baevskiy R.M. Problema otsenki i prognozirovaniya funktsional'nogo sostoyaniya organizma i ee razvitie v kosmicheskoy meditsine, Uspekhi fiziologicheskikh nauk. 2006. T. 37. No 3, pp. 42-57.
9. Suyatinov S.I., Samochetova N.S., Lantsberg A.V., Koblov A.V. Metodika identifikatsii slozhnykh system, Vestnik Saratovskogo gosudarstvennogo tekhnicheskogo universiteta. 2007. T. 4. No 1 (28), pp. 31-38.
10. Development of a mobile pulsewaveform analyzer for cardiovascular health / Bing Nan Lia, Bin Bin Fua, Ming Chui Dong, Computers in Biology and Medicine. 2008. Vol. 38, pp. 438-445.
11. Appari A., Johnson M. E. Information Security and Privacy in Healthcare: Current State of Research, International Journal of Internet and Enterprise Management. 2010. Vol. 6, No 4, pp. 279-314.
12. Malhotra K., Gardner S., Patz R. Implementation of elliptic-curve cryptography on mobile healthcare devices, Networking, Sensing and Control. 2007, pp. 239-244.
13. Buldakova T.I., Suyatinov S.I., Krivosheeva D.A. Obespechenie informatsionnoy bezopasnosti v telemeditsinskikh sistemakh na osnove model'nogo podkhoda, Voprosy kiberbezopasnosti. 2014. No 5(8), pp. 21-29.
14. Banerjee A., Gupta S.K.S., Venkatasubramanian K.K. PEES: Physiology-based End-to-End Security for mHealth, Proceedings of the 4th Conference on Wireless Health. 2013. Article No. 2.
3 Tatiana Buldakova, Doctor of Technical Sciences, Professor, Bauman Moscow State Technical University, Moscow, buldakova@bmstu.ru.
4 Darina Krivosheeva, Bauman Moscow State Technical University, Moscow, darinaaleks@gmail.com.