С. Рыбалкин, А. Иванов Современные технологии безопасности №3-4, 2006
Конституция Российской Федерации гарантирует всем нам доступ к информации о своем здоровье и одновременно сохранение врачебной тайны. Совместить свободный доступ к информации с сохранением врачебной тайны далеко не всегда возможно. Эти требования противоречивы, возникает классическое противоречие между свойствами доступности и конфиденциальности информации. Особую остроту эта проблема приобретает при лечении социально значимых заболеваний. В контексте борьбы с социально значимыми заболеваниями медицинскому персоналу приходится сталкиваться с нежеланием пациентов обращаться в лечебные учреждения. В частности, при венерических заболеваниях, больные часто занимаются самолечением или обращаются к частным «врачам», без дипломов или с сомнительной репутацией. Все это является следствием недоверия пациентов существующим механизмам обеспечения конфиденциальности медицинской информации. Последнее приводит к вероятному осложнению болезни у пациента из-за неквалифицированной медицинской помощи и к повышению вероятности инфицирования им окружающих.
Несмотря на очевидные успехи информатизации медицины, в частности ее переход на электронный документооборот, проблема обеспечения права граждан на конфиденциальность их личной медицинской информации (на врачебную тайну) только усугубляется. Электронная история болезни (любая электронная информация) гораздо более уязвима в сравнении с бумажной историей болезни. Красть бумажный архив историй болезней всей поликлиники бессмысленно – это бесполезная и крайне тяжелая работа. Электронный архив – это совсем другое дело, это уже ценная информация, размещаемая на компактном носителе. Электронный медицинский документооборот резко обостряет проблему конфиденциальности медицинской информации. Одним из путей решения этой проблемы является ее обезличивание (обеспечение анонимности пациентов). Если по электронной истории болезни невозможно определить, кому она принадлежит, то шифровать информацию или тратить деньги на ее иную защиту нет необходимости. Одним из первых российских документов, рассматривающих обезличивание документооборота как средство обеспечения конфиденциальности личной информации, является Федеральный Закон «О персональных данных» (принят 08.07.2006 Государственной Думой постановлением №3403-IV ГД).
Особенно гарантированная анонимность пациентов необходима для эффективной борьбы общества с социально значимыми заболеваниями. Только в том случае, когда больной будет абсолютно уверен в сохранении его анонимности, он будет активно сотрудничать с органами здравоохранения. В связи с этим необходимо создание специальных механизмов обеспечения анонимной идентификации заболевшего. Следует подчеркнуть, что предшествующие бумажные технологии ведения медицинского документооборота (регистрации, идентификации, выдачи справок и заключений, ведения историй болезни) не могли одновременно обеспечить полноту сведений, достоверности сведений, а так же анонимность их источника.
Кратко техническая суть проблемы отражается в противоречивом сочетании терминов «анонимная идентификация». Идентифицировать человека в обычном понимании этого термина означает узнать его, т.е. убедиться в том, что это именно тот конкретный человек с конкретным именем, фамилией, отчеством, местом жительства. Анонимная идентификация означает совсем иное. При анонимной идентификации мы должны точно знать, что перед нами находится именно тот человек, который когда-то был зарегистрирован под некоторым псевдонимом (отсутствует случайная или преднамеренная подмена больного, например с целью модификации его анализов).
Заметим, что традиционными методами идентификации человека по его паспорту или по его биометрическим данным надежно обеспечить анонимность больного невозможно. Выход из создавшегося положения может быть найден только при использовании новых технологий высоконадежной биометрико-нейросетевой идентификации человека [1, 2]. На рисунке 1 иллюстрируется процедура присвоения больному псевдонима, гарантирующая сохранение его анонимность как источника медицинской информации в процессе лечения.
Рисунок 1. Анонимная регистрация больного по его псевдониму и конфиденциальной биометрии
В наиболее сложном случае, когда больной вообще не может доверить поддержание своей анонимности медицинскому учреждению, он должен обратиться к независимому нотариусу (путь 1 на рисунке 1). Нотариус по своей должности должен обеспечивать тайну личной информации своих клиентов. В нашем случае он должен снять копию паспорта больного и заверить ее. Далее, для сохранения анонимности, нотариус должен запечатать копию в конверт, опечатать его и на конверте написать новый псевдоним больного. Эта процедура однозначно связывает действительные идентификационные данные больного с его псевдонимом. При этом больной в любой момент может убедиться в сохранении своей анонимности, проверив целостность запечатанного конверта, далее хранящегося в сейфе главного врача медицинского учреждения. В случае вскрытия конверта без соответствующей санкции прокурора или с согласия больного, скомпрометировавшим анонимность больного будет считаться лицо, ответственное за хранение опечатанного нотариусом конверта. Если больной не так строго относится к обеспечению своей анонимности, то он может обойтись без дополнительного звена гарантии (нотариуса) и довериться главному врачу (путь 2 на рисунке 1). Тогда главный врач делает копию паспорта больного, заклеивает ее в конверт, опечатывает его своей печатью и на конверте пишет псевдоним больного. Естественно, что в этом случае больной не может проверить соблюдение своей анонимности простым контролем целостности его опечатанного конверта с его личными идентификационными данными. Для дополнительной гарантии больной должен сам дополнительно опечатать конверт, например, расписавшись своей подписью на месте заклейки. При этом появление открытой подписи человека на конверте уже является частичной компрометацией его анонимности.
После того как больной получил свой псевдоним, он может зарегистрироваться в электронной системе ведения медицинских документов истории его болезни. Следует подчеркнуть, что эта электронная систем должна создавать электронные документы, касающиеся больного таким образом, что каждый работник больницы, имеющий к ним отношение, был персонально ответственен за эти документы и, в тоже время, даже при сговоре с сослуживцами не мог скомпрометировать анонимность больного. Все документы в истории болезни больного (записи на приемах, результаты анализов, справки и т.д.) должны быть подписаны электронной цифровой подписью (ЭЦП) ответственного лица, сделавшего запись. Для гарантий отсутствия последующих исправлений этих электронных документов они должны быть дополнительно охвачены ЭЦП главного врача или ЭЦП анонимного больного (если тот пожелает осуществлять такое подтверждение , и будет иметь такую возможность). Естественно, что механизмы формирования ЭЦП должны быть заранее встроены в систему медицинского документооборота историй болезней анонимных больных и не мешать медицинскому персоналу осуществлять их работу. К сожалению, многие сегодня не понимают, что хранение личного ключа формирования ЭЦП должностного лица – это проблема. Ее нельзя решать, усложняя жизнь должностному лицу. Система формирования ЭЦП медицинских документов должна быть дружественна по отношению к медперсоналу. Сегодня такую систему можно создать, ориентируясь только на новые технологии [1,2].
Крайне важным технологическим моментом сохранения анонимности больного является то, как осуществляется его биометрическая идентификация медицинской системой. Для идентификации больного нельзя использовать его фотографию, отпечатки пальцев, его личный автограф, геометрию руки, нельзя хранить в системе образец его голоса. По всем этим биометрическим образам анонимность больного может быть скомпрометирована, если биометрия больных (например, их фотографии) попадет в руки злоумышленников. В больнице постепенно может сформироваться достаточно большая база биометрических образов, которая в сочетании с историями некоторых болезней может стать компроматом для многих людей. Как следствие, за такими базами биометрических образов, по которым можно скомпрометировать анонимность больных, будут охотиться. Для полного исключения этой ситуации должна использоваться биометрия, исключающая возможность «узнавания» знакомых путем просмотра большой базы.
Компрометация анонимности больного может быть исключена, только если использовать технологию биометрико-нейросетевой идентификации человека, основанную на анализе динамики его рукописного почерка или особенностей голоса. На рисунке 2 приведен пример реализации процедуры идентификации анонимного больного такой системой.
Рисунок 2. Нейросетевое преобразование рукописного пароля анонимного больного в код его первой учетной записи в истории болезни
При регистрации 25.06.06 в системе анонимный больной заявил свой псевдоним «Василий». Система проверила все регистрации этого дня и коллизий псевдонима «Василий 25.06.06» не обнаружила. Для регистрации под этим псевдонимом больной своею рукой написал рукописный пароль «Вася» – 6 раз (см. верхний правый угол экранного меню рисунка 2), что оказалось достаточным для обучения нейронной сети. Нейронная сеть обучилась преобразовывать динамику рукописного почерка больного в код, соответствующий одной из первых записей – учетной записи истории болезни: «псевдоним: Василий, регистрация 25.06.06. Больница г. Пенза, Куйбышева 33».
Теперь, при воспроизведении слова-пароля «Вася» рукою анонимного больного код этой учетной записи: «псевдоним: Василий, регистрация 25.06.06. Больница г. Пенза, Куйбышева 33» будет появляться на выходах обученной нейронной сети. Если анонимный больной попытается послать в место себя кого ни будь другого, то этот другой не сможет воспроизвести своею рукой чужую динамику почерка на слове-пароле «Вася». В место кода понятной (хорошо читаемой) учетной записи из истории болезни будут появляться сочетания случайных цифр. Примеры рукописных паролей «Вася» в системе идентификации желательно хранить, так как со временем больной может забыть, как писал и что писал. Формально, больной может писать при регистрации какой угодно рукописный пароль для подтверждения его соответствия заявленному псевдониму.
Извлечь уникальную динамику почерка человека из параметров обученной нейронной сети невозможно. Скомпрометировать анонимность больного по конфигурации и особенностям его почерка на коротком пароле так же крайне сложно. Кроме того, персонал больницы обязан хранить в тайне конфигурацию биометрического рукописного пароля. Даже короткий образец почерка это все-таки незначительная, но возможность компрометации анонимности больного. Именно по этой причине доступ к образцам рукописных паролей анонимной идентификации должен быть ограничен организационно-техническими мероприятиями.
По своему требованию больной при своей идентификации может писать известное только ему парольное слово в слепую, погасив след пера на экране компьютера. Такой режим подтверждения своей идентичности имеет несколько меньшую вероятность верного решения, но вполне работоспособен. Больной сможет подтвердить свою идентичность, сделав чуть больше попыток воспроизведения своего парольного слова. Практика показала, что запомнить короткие пароли из коротких слов родного языка может любой человек. Более того, больной может записать свой пароль у себя в записной книжке. Помнить или записать свой пароль решает сам больной – сохранение анонимности прежде всего, нужно ему самому. Государство в лице медицинского учреждения только предоставляет ему соответствующие механизмы и технологию.
В целом, новые технологии биометрической идентификации человека по его тайному биометрическому образу при правильной организация медицинского документооборота позволяют сделать больных социально значимыми болезнями (СПИД, венерические заболевания) действительно анонимными. Новые технологии позволяют создавать специальные технические механизмы поддержки анонимности больного при ведении медицинского документооборота. При этом гарантии сохранения анонимности могут быть очень высокими. Стойкость механизмов высоконадежной биометрической идентификации (аутентификации) к попыткам подбора может быть сопоставима со стойкостью криптографических механизмов защиты информации [1,2].
Новые механизмы обеспечивают неожиданное сочетание таких свойств как возможность учета и анонимность. С одной стороны удается осуществлять учет всех документов и действий самого больного, врачей и персонала медицинских учреждений при сохранении, с другой стороны, анонимности больного и невозможности с его стороны подмен себя другими людьми. Одновременное обеспечение и идентичности и анонимности человека оказывается вполне по силам современным технологиям
Литература
- Иванов А.И., Кисляев С.Е., Гелашвили П.А. Искусственные нейронные сети в биометрии, медицине, здравоохранении. Самара: ООО «Офорт», 2004, 236с.
- Волчихин В.И., Иванов А.И., Фунтиков В.А. Быстрые алгоритмы обучения нейросетевых механизмов биометрико-криптографической защиты информации. Монография. Пенза-2005 г. Издательство Пензенского государственного университета, 273с.
Об авторах: С. Рыбалкин, к.м.н., А. Иванов, д.т.н.
Источник: журнал “Современные технологии безопасности”