原文链接:点击打开链接
移动医疗是最近几年的技术创新,它可以利用移动设备促进医疗和公共卫生事业的发展。理想情况下,以移动医疗为基础的服务应该允许病人和医护人员随时随地访问医疗数据信息。而且病人可以很容易地管理他们的卫生服务需要,从而降低访问医院的次数以及医疗保健的成本。此外,医生还可以远程监护病人的健康状况并在不需要实际会面的情况下给出建议。现今原先只存在于医院的移动监护设备已经到达了病人的手中,他们正在家中使用这些设备进行监护,管理和通信交流。
智能手机是进行医疗保健实践的一个良好平台。它具有以下几个特点:1.普遍性 2.计算能力 3.用户友好的界面 4.内置传感器 5.可用性 6.移动性 7.互连性。根据思科视觉网络指数(CiscoVisual Networking Index)估计,到2019年每人将有1.5个移动设备。移动医疗的目的是充分利用智能手机的高使用率和普遍性,让每个人都能享受到医疗保健服务并且价格也便宜,特别是对于城市区域。Research2guidance指出在2013年,在各种应用商店里有超过97000个移动医疗应用。这些应用大多数是普通的健康和保健APP,可以提供给个人一些基本的健康和保健信息,有时也会提供一些相应的指导。此外,他们也报道说截止到2017年底,移动医疗市场的总收入将增长61%,达到260亿美元。
许多医疗保健组织都对移动医疗表现出了浓厚的兴趣,并进行了相关的研究。世界卫生组织(WHO)在其最近的一个出版物中指出了移动医疗的限制因素以及移动医疗的未来。根据世界卫生组织的报告,移动医疗在中等收入和低收入国家有更大的影响和成效。例如,孟加拉共和国致力于利用SMS活动提高公众医疗卫生意识。其中一个活动是让遥远乡村的怀孕妇女注册手机号来接收一些与孕期有关的建议。根据美国国际开发署(USAID)的报告,这一举措让孟加拉共和国的孕产妇死亡率从2001年的322/1000000降到2010年的194/1000000,在九年时间里下降了40%。孟加拉共和国的卫生福利机构正是利用了高速增长的手机使用量,提高了居民的健康水平,克服了现存的直接沟通障碍。
然而最近的研究开始关注智能手机将会受到的安全威胁。智能手机正变成一些恶意软件开发者的目标,由于其管理和设计的缺陷,将会受到许多安全攻击。对于安全问题的担忧主要来自于智能手机可以运行不同的应用程序,应用程序可以访问手机上的数据。同时应用程序除了与外部实体进行通信外,还可以与手机上的其它应用进行通信。移动医疗应用程序必须确保在手机内部,数据不会流到其它不可信赖的应用,同时也不会流到外部不可信赖的主机。然而不幸的是,现今移动医疗APP还不受HIPAA法案的约束。
HIPAA法案于2005年4月生效,强制要求在行政上,物理上以及技术上加强安全措施,以确保医疗保健电子档案传输及保存的机密性,完整性,可用性。机密性要求确保个人健康信息不能被公开或泄漏给未授权的组织。完整性要求个人健康信息在未授权的情况下不能被修改或损坏。可用性意味着已授权的组织可以随时随地访问及使用个人健康信息。正如我们前面所提到的那样,移动医疗没有受到HIPAA法案的限制,但是开发者可以利用HIPAA安全条例使移动医疗APP达到更高的安全水平。
近年来,随着用户对个人医疗保健信息安全的重视程度的加大,研究者也进行了与提高移动医疗安全水平相关的研究,并提出了移动医疗系统的安全需求。移动医疗系统典型的安全需求包括以下几个方面:
1.机密性:健康数据应该是保密的,除了原始用户之外,只有授权的医生可以查看。违背了机密性会对别人产生危害,因为攻击者会使用窃取到的健康数据从事非法活动。因此该需求对于任何移动医疗系统来说都是必要的。
2.完整性:移动医疗系统需要采取有效的机制来安全保存数据,确认数据没有被未授权的组织修改,并且确认数据被发送给可信赖的一方。
3.审查控制:移动医疗系统需要记录和检查系统的活动。
4.有效的用户身份验证:在访问任何敏感的健康信息之前,移动医疗系统需要核实医生和病人的身份。
5.访问控制:护士,医生,保险公司,医疗中心等都可能申请访问病人的健康数据,因此需要使用有效和准确的访问控制机制来限制对个人医疗保健信息的访问。
6.数据可用性:病人和医生等可以随时随地访问健康数据。
7.健康数据的实时性:移动医疗系统对时间敏感,依赖于最近且准确的健康数据。因此,生理数据和医疗保健数据的实时性是必要的。否则移动医疗系统将会对病人产生负面影响。
8.病人同意:无论何时与外部实体共享数据时都需获得病人同意。
上述安全需求对于任何移动医疗系统来说都是十分重要的。为了满足这些需求,在设计移动医疗系统时,开发者应该把这些方面考虑进去,通过执行特定的机制可以满足这些需求。最近的研究表明控制远程通信,防止数据与其它应用共享,保护不安全的数据储存,监测用户许可步骤等可以满足上述安全需求。
有一些重要的传统方法和概念有助于确保移动医疗系统的安全。首先,处理敏感信息时可以使用一个好的加密算法,例如AES(AdvancedEncryption Standard)算法。第二,使用公开密钥算法如ECC(EllipticCurves Cryptography)加密算法。它是一种适合移动设备的高效的公开密钥算法。第三,有多级认证系统,可以根据用户的身份和类型授予不同的访问权限。
保存在移动设备上的健康信息档案容易受到各种安全威胁的攻击,主要包括以下几个方面:
1.恶意软件:恶意软件可以利用应用中的缺陷或者使用工程技术欺骗用户进行安装。恶意软件可以收集设备上存储的敏感健康信息,损坏,修改,或者把信息发送给不可信赖的另一方。
2.应用开发者:有时候应用开发者没有采取合适的机制来确保数据安全,留下了漏洞使黑客有可乘之机。
3.移动设备:设备可能在未授权的情况下被使用或者盗取,从而导致健康信息泄漏或者无法使用医疗应用服务。
4.使用者:如果用户和其他人分享设备的密码,那么未授权的人就可以访问手机。所以人们需要使用自己的手机,不论是在工作中,家里还是咖啡馆里。最近的一个研究表明,使用智能手机用于健康服务的人中有41%的人没有为手机设置密码。此外,53%的人承认使用手机连接过未知的网络。有些用户还会把个人健康信息发送给错误的接收者,从而泄漏个人健康信息。
5.健康保险公司:这些公司可能会非法利用用户健康信息获取利润。
6.数据智能公司:这些公司会收集和销售个人健康状况的统计信息。
移动医疗应用容易受到许多安全攻击,主要包括以下几个方面:
1.在未加密的网络上窃取数据:移动医疗应用在网络上发送信息时可能没有加密,因此攻击者可以窃取包含个人健康信息的数据。此外,攻击者可以发现某个用户所使用的具体应用,从而推测出用户的疾病。在这种情况中,发送和接收时没有加密,但健康记录本身是加密的。
2.窃取日志:有些糟糕的移动医疗应用可能会将敏感的用户信息存入不安全的位置,如服务器日志,移动应用日志,浏览器历史。这种行为可能导致个人信息的泄漏。
3.从未加密的SD卡中窃取数据:移动医疗应用可能将未加密的数据文件,如睡眠监测应用中的音频文件保存在外部存储设备如SD卡中。之后SD卡可能会被未授权的用户访问。
4.个人健康数据的损害:移动医疗应用记录和报告的健康数据可能会被入侵者篡改。
5.第三方攻击:移动医疗应用可能使用及与第三方进行通信,并共享隐私信息。这些第三方包括主服务器,社会媒体,网页服务器等。这可能违反维护个人隐私的需求。
6.蓝牙攻击:移动医疗应用可能使用蓝牙与外部设备如健康传感器进行通信。一种称为DMB(externaldevice misbonding)的攻击存在于具有蓝牙功能的安卓设备里,它可以允许外部设备窃取私人数据或者将虚假数据注入原始应用中。
7.应用所有者的攻击:有些应用所有者可以记录谁下载了他们的应用,从而泄漏用户的医疗状况。而且应用所有者可以发布用户比例从而透露出谁在使用该应用。
8.虚假的移动医疗应用:虚假的移动医疗应用会收集个人健康信息。
9.开发移动医疗应用时的安全担忧:开发者可能在应用中插入追踪程序来记录用户的操作,这也可能导致个人数据泄漏。
10.实际接触手机从而窃取数据:有机会接触手机的入侵者可以抽取手机上的SD卡并访问未加密的数据或者删除应用甚至损坏手机,从而影响数据的可用性。
11.智能手机拥有者的错误:智能手机拥有者可能有意无意地泄漏数据。
12.虚假的用户许可:移动设备上的恶意软件可以执行脚本活动来冒充用户做出的反应。通常传输数据到不可信赖的应用上需要获得用户许可,而恶意软件可以冒充用户做出许可。
13.DOS(Denial ofService)攻击:健康监测应用通常需要长时间保持运行,攻击者可以占用网络资源从而阻止应用与外部服务器的通信。
从上述情况我们发现,这些安全威胁问题的源头主要是智能手机及其使用者,移动医疗应用开发者和恶意软件的影响。为了创建安全的移动医疗系统,在设计系统时,应该在各个层面考虑安全问题。研究者已经给出了相应的安全机制并设计了安全的移动医疗系统用以克服这些问题。
Elkhodr等人提出了一种可以信赖的协商方法。在远程监护系统的数据传输过程中,这种方法可以确保个人敏感信息不被泄漏,同时确保电子健康档案的安全性。这种方法基于UHTP(UbiquitousHealth Trust Protocol)协议,可以运行在安卓系统上。它包含三级认证:医疗保健医师,使用的设备,以及访问环境。当一个客户想要与服务器进行通信时,他必须首先使用下面六个方面来认证他的手机:用户名,密码,病人的SIM卡序列号,移动设备国际识别码(InternationalMobileEquipment Identity),以及经纬度。病人只有在特定的位置才能与系统进行通信。
Y.Choh等人提出了一种云端交叉平台移动活动监测系统的设计和实现。该系统集成HTTP2.0,基于SPDY协议可以快速安全地将服务器中的医疗信息传输到个体使用者手中。系统由四个部分组成:手机,SPDY服务器,用于保存信息的数据库和用于分析用户数据的MATLAB。SPDY是一种开放的网络协议,由谷歌开发。通过压缩报头,复用流,请求优先级等技术,SPDY可以减少网页加载时间。此外,它在相同的SPDY时域使用了多客户认证。在用matlab进行分析后,服务器可以向客户发送通知和结果,但并不需要打开应用程序。
Pfeifer等人介绍了一种叫做逆向云的新方法。这种方法将应用数据处理迁移到手机上,不需要将数据发送到云端进行处理,确保数据不会离开手机,因此也更安全。目前混合云架构正在欧洲的几所医院进行评估。这种概念也可以应用在其它的敏感地方如电子政务,国防工业,执法系统等。
Naveed等人建议在手机上的个人医疗数据应用加密技术。不论网络传输有没有被加密都要使用TLS/SLL安全机制。
Tan等人给出了 一些提高新兴远程产科监测系统安全性的建议,从而更好地满足HIPAA安全条例:
1.限制智能手机的能力:因为良好的计算能力,智能手机经常集成到新兴监测系统中。另一方面,他们的计算能力和灵活性也会增加受攻击的风险,如安装恶意应用软件。因此限制智能手机的能力,移除不必要的应用,防止用户安装新应用可以降低风险。
2.执行用户和设备认证:为了提供完整的保护,用户和设备认证都是必需的。理想情况下,系统中的所有部分都需要进行认证。但是只有智能手机才是通用的计算设备,用户可以安装另外的程序。这种行为会导致智能手机比系统中的其它部分更易受到攻击。因此在将数据保存到服务器时应该先对手机进行认证。
3.更好的反馈:在数据传输和收集过程中加强用户反馈。
总之,移动医疗系统正遭受着许多安全问题,这些问题不同程度地影响医生和病人。这些问题的源头主要来自:智能手机的连通性和移动性,糟糕的移动医疗系统,密码的弱使用,纯文本保存和传输,移动医疗系统的安全缺少标准和基础,以及对移动医疗应用监督的缺乏。因此需要采取有效措施来克服这些问题。
移动医疗系统具有替代传统医疗保健服务和实践的潜力,通过利用智能手机和其它手持设备的移动性,计算和传感能力,移动医疗系统可以降低医疗卫生服务的成本。然而移动医疗也比传统医疗保健服务带来了更多的安全威胁。在上述文章中我们主要讨论了移动医疗系统的安全问题,同时我们也讨论了其可能面临的威胁,攻击以及应对措施。本文也提到了开发和使用移动医疗系统的安全需求。我们可以发现,为了提高移动医疗系统的质量和实用性,需要考虑多方面因素。首先应该执行特定的安全标准。第二,为了帮助开发者解决对安全问题的担忧,在创建和测试移动医疗系统时需要相应的指导方针。第三,需要对应用商店里的移动医疗应用进行监督,评估他们是否合法,能否值得信赖。最后,用户需要意识到安全问题的重要性,采取特定的步骤,安全地使用这些移动医疗应用。移动医疗系统中的安全问题还需要进一步探索,希望本文能够帮助研究者和医疗保健机构找到更加有效的机制来创造更优秀的移动医疗系统。