Privatumas, saugumas ir mastelio keitimas
Kaip vaizdo skambučių konsultacijos užtikrinamos saugiomis ir privačiomis dideliu mastu
Privatumas, saugumas ir mastelio keitimas yra vaizdo skambučių pagrindas. Šiame dokumente paaiškinama, kaip vaizdo skambučių konsultacijos užtikrinamos saugiomis ir privačiomis dideliu mastu.
Vaizdo skambutis pagrįstas 4 svarbiomis koncepcijomis:
- Privatumas – apibrėžia pareigą teisingai rinkti, naudoti, atskleisti ir saugoti asmeninę informaciją pagal 1988 m. Australijos privatumo įstatymą ir Australijos privatumo principus.
- Saugumas – vaizdo skambučiai yra apsaugoti nuo neteisėtos prieigos ir naudojimo, o duomenys yra patikimi, tikslūs ir prieinami naudoti.
- Duomenų suverenitetas – pacientų informacija negali būti perduodama į užsienį, kaip reikalaujama Australijos privatumo taisyklėse
- Mastelio keitimas – vaizdo skambučiai, kaip nacionalinė funkcija, yra architektūriškai pritaikomi dideliems vaizdo konsultacijų kiekiams apdoroti, nereikalaujant tradicinės vaizdo konferencijų infrastruktūros diegimo.
Šios keturios koncepcijos yra esminės kuriant vaizdo skambučių sistemą. Jos tinklo architektūrai taikomi projektavimo užtikrinimo procesai, užtikrinantys, kad naujos funkcijos ir galimybės ir toliau atitiktų reikiamus standartus.
Santrauka
Vaizdo skambučiai sukurti naudojant žiniatinklio realaus laiko komunikacijos (WebRTC) technologiją. Integruota „WebRTC“ saugumo funkcija naudoja visiškai užšifruotus ryšius .
Vaizdo skambučiai buvo sukurti kaip holistinė nuotolinės sveikatos priežiūros ekosistema, sudaryta iš serverių ir programų, veikiančių naudojant „WebRTC“ technologiją.
„healthdirect“ vaizdo skambučių platforma laikosi galiojančių Australijos vyriausybės informacijos saugumo vadovo (ISM) aštuonių esminių reikalavimų ir Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymo ( HIPAA ) kibernetinio saugumo gairių bei saugo privatumą nepalikdama jokio skaitmeninio pėdsako. Vaizdo skambučių platforma taip pat yra sertifikuota pagal ISO 27001 standartą .
Kitos vaizdo konsultacijų platformos saugo skambučio informaciją, įskaitant skambučio įrašą, centriniuose serveriuose (paprastai už Australijos ribų), prie kurių gali prisijungti vaizdo paslaugų teikėjas, ir gali kelti klinikų specialistams privatumo įstatymų pažeidimo riziką be informuoto paciento sutikimo.
Siekiant užtikrinti, kad „WebRTC“ pagrindu veikianti sistema būtų tikrai saugi ir privati, buvo pritaikytos papildomos saugumo priemonės:
- Virtualūs kambariai, bendraamžiai ir sesijos suteikia saugią aplinką vartotojams bendrauti.
- Vaizdo skambučio metu pagal numatytuosius nustatymus nėra saugoma asmenį identifikuojanti informacija ar saugoma sveikatos informacija.
- Pažangiausia tinklo saugumo sistema apsaugo nuo slapto pasiklausymo ir „žmogus-į-vidurį“ atakų.
- Apkrovos testavimas ir kodo peržiūros užtikrina aukštą programų saugumo lygį.
Šiame puslapyje paaiškiname, kokių veiksmų imamasi siekiant užtikrinti, kad vaizdo konsultacijos būtų saugios, patikimos, privačios ir lengvai pritaikomos.
Sveikatos lygio privatumas, saugumas ir duomenų apsauga yra esminiai vaizdo skambučių dizaino elementai
Skambučių apsauga
„WebRTC“ vaizdo skambučių medijos srautas yra apsaugotas AES 128 bitų arba AES 256 bitų šifravimu tarp žiniatinklio naršyklių. Tai yra „WebRTC“ pagrįstų paslaugų, tokių kaip vaizdo skambučiai, standartas. Tačiau ši apsauga taikoma tik tarpusavio skambučiams, o ne sistemos infrastruktūrai. Keli „WebRTC“ vaizdo skambučių infrastruktūros elementai gali būti užpulti, o vaizdo skambučiai buvo sukurti siekiant užkirsti kelią šiems atakų vektoriams.
Pavyzdžiui, standartinis „WebRTC“ skambučių šifravimas negali sustabdyti užpuoliko, kuris apsimetinėja vartotoju bet kuriame skambučio gale. Šifravimas taip pat negali užkirsti kelio signalizacijos, programos ar perdavimo (TURN) serverio užgrobimui.
Vaizdo skambučiams pritaikytos pagrindinės privatumo ir saugumo priemonės, siekiant apsaugoti nuo:
- apsimetinėjimas kitu asmeniu siekiant neteisėtai prisijungti prie internetinės klinikos ir konsultuotis su pacientais.
- neteisėtas kito asmens perėmimas siekiant gauti neteisėtą prieigą prie vaizdo skambučio signalizacijos arba TURN serverio.
- trečiųjų šalių skambučių istorijos stebėjimas, pasiekiant skambučių žurnalus paciento įrenginyje arba stebėjimo serveryje.
- Vaizdo skambučio privatumo ir saugumo modelis užtikrina, kad:
- pacientą gali aptarnauti tik įgalioti klinikos paslaugų teikėjai ir administratoriai,
- kiekviena paciento konsultacija gali būti vykdoma vienkartinio privataus vaizdo seanso metu,
- vienkartinės vaizdo sesijos skiriasi nuo nuolatinių vaizdo kambarių (pastarieji gali būti naudojami klinikos vidiniams tikslams),
- vaizdo skambučio metu arba vaizdo kambaryje pasikeisti paciento duomenys neišsaugomi pasibaigus konsultacijai arba, jei klinika nusprendžia juos saugoti, saugomi užšifruotai, o iššifravimo raktai prieinami tik klinikai,
- signalizacijos ir perdavimo serveriai apdoroja tik užšifruotą medijos srautą,
- Laikomasi pažangiausių saugumo nustatymų ir procedūrų, kad į serverio infrastruktūrą nebūtų galima įsilaužti siekiant apsimesti gydytoju ar stebėti konsultaciją, ir
- Siekiant maksimaliai padidinti programų saugumą, atliekama visų programinės įrangos pataisų kolegų kodo peržiūra.
Duomenų saugumas
Visi duomenys – ne tik tiesioginis vaizdo skambutis – yra šifruojami.
„Video Call“ saugiai saugo paslaugų teikėjų informaciją ir slaptažodžius „Amazon RDS“ ( reliacinėje duomenų bazių paslaugoje ). Slaptažodžiai perduodami naudojant TLS ( transporto sluoksnio saugumą ) ir niekada nesaugomi paprasto teksto formatu. „Video Call“ RDS saugo tik maišos ir druskos slaptažodžių maišas, atitinkančias dabartinius vartotojų autentifikavimo ir autorizavimo pramonės standartus.
Vaizdo skambučio metu nesaugoma jokia asmenį identifikuojanti ar saugoma sveikatos informacija.
Tinklo saugumas
Visi garso ir vaizdo duomenys bei visi kiti duomenys, kuriais keičiamasi tiesioginio vaizdo skambučio metu, yra užšifruojami.
Vaizdo skambučio metu visiems ryšiams, taip pat ir „WebRTC“ įdiegimui, naudojami moderniausi saugumo mechanizmai. Ryšiai tarp naršyklės ir programų serverio, signalizacijos serverio arba STUN/TURN yra užšifruoti ir autentifikuoti TLS protokolu, naudojant stiprią kriptografiją ir tinkamus sertifikatų patikrinimus. TLS apsauga STUN/TURN deryboms užtikrina, kad vaizdo skambučio ryšys negalėtų būti nukreiptas kitur.
„WebRTC“ ryšio saugumas padidinamas, nes signalizacijos serveris palengvina kriptografinį naršyklių tarpusavio ryšio nustatymą: naršyklės saugiai sukuria bendrą raktą kiekvienam duomenų kanalui.
Programos saugumas
Kadangi vaizdo skambučių ekosistema yra paskirstyta sistema, visi jos komponentai yra apsaugoti nuo atakų.
- Protokolo suliejimas – kadangi signalizacijos serveris pranešimams perduoti naudoja pasirinktinį protokolą, jam buvo pritaikytas protokolo suliejimas, siekiant užtikrinti, kad nebūtų kodo kelių, kurie sukeltų nenumatytą ar nepageidaujamą elgesį. Vaizdo skambučio naršyklės įgyvendinimas buvo paveiktas tokiu pačiu protokolo suliejimu.
- Įsilaužimo testavimas (atsarginio įsilaužimo testavimas) – programų serveris ir skambučių stebėjimo sistema buvo testuoti atsarginio įsilaužimo testais. Atsarginio įsilaužimo testavimas atliekamas reguliariai.
- Naršyklės saugumas – „WebRTC“ jungia naršykles „peer-to-peer“ ryšiu. Protokolo suliejimas naudojamas vaizdo skambučių naršyklės įgyvendinimui patikrinti.
- Stebėjimo saugumas – komunikacija vyksta tik viena kryptimi: iš naršyklių į skambučių monitorių. Naršyklės siunčia informaciją tik į skambučių monitorių; naršyklės negali išgauti ar gauti jokios informacijos iš skambučių monitoriaus. Skambučių monitorius buvo testuojamas ir modifikuotas naudojant automatinius kompiuterinius algoritmus, siekiant apsaugoti jį nuo dažniausiai pasitaikančių grėsmių.
Privatumas
Vaizdo skambutis atitinka Australijos vyriausybės privatumo politiką.
Vaizdo skambučių infrastruktūra ir paslauga atitinka 1988 m. Sandraugos privatumo įstatymo gaires, Australijos privatumo principus (8 skirsnis), susijusius su duomenų suverenitetu, ir, kai tik įmanoma, Australijos vyriausybės informacijos saugumo vadovą (ISM) .
Vaizdo skambučių ryšiai užmezgami „peer-to-peer“ (naršyklės su naršykle) principu, neperžengiant centrinės vaizdo infrastruktūros. Duomenys, kuriais dalyviai dalijasi tikruose skambučiuose, skambučio galiniams taškams prieinami tik iššifruota forma. Visi kiti tarpininkai, peradresuojantys skambutį, gali matyti tik užšifruotus duomenis. Tai taikoma garso ir vaizdo duomenims, taip pat visai sesijos metu keičiamai informacijai, pvz., pokalbių žinutėms ir dokumentams. Pagal numatytuosius nustatymus vaizdo skambučiuose nėra saugomi jokie bendrinami skambučių duomenys.
Pacientai patenka į laukiamuosius per patikimo paslaugų teikėjo svetainę ir laukia savo privačiame vaizdo kambaryje. Pavyzdžiui, jei paslaugų teikėjas vėluoja, nes konsultacija su kitu pacientu užsitęsia, pacientai nesusidurs. Vaizdo skambučio sukurtas kambarys po konsultacijos ištrinamas.
Pacientus gali matyti bet kuris paslaugų teikėjas arba klinikos administratorius, turintis prieigą prie klinikos. Autorizacija apibrėžiama unikaliu prisijungimu ir priskirtais vaidmenimis platformoje. Klinikos administratoriai yra atsakingi už tokios prieigos suteikimą savo darbuotojams.
Pagal numatytuosius nustatymus vaizdo skambučio metu neišsaugoma identifikuojama paciento informacija. Pacientai platformoje nepalieka skaitmeninio pėdsako.
Duomenų suverenitetas
Jei Australijos duomenys arba duomenų tvarkymas perkeliami į užsienį, jie nebekontroliuojami Australijoje ir jiems taikomi užsienio šalies įstatymai arba užsienio korporacijos praktika. Užsienio bendrovių prieiga prie Australijos duomenų ir jų kontrolė nepripažįsta esamų australų teisių į tinkamą jų privatumo ir duomenų apsaugą.
Todėl jautrūs duomenys apie Australijos piliečius turi būti saugomi ASD ( Australijos signalų direktorato ) sertifikuotoje debesyje, kuris gali garantuoti, kad užsienio subjektai neturi prieigos prie informacijos.
Vaizdo skambučiai griežtai taikomi tik AWS („ Amazon Web Services “) debesies technologijoms, kurias sertifikavo ASD IRAP ( informacijos saugumo registruotų vertintojų programa ). Ši sistema užtikrina, kad AWS įdiegė atitinkamas kontrolės priemones, kurių reikalaujama ISM ( Australijos vyriausybės informacijos saugumo vadove ).
Vaizdo skambutis gali patvirtinti, kad Australijos vartotojams:
- asmens sveikatos duomenys naudojami tik Australijos teisinėje jurisdikcijoje,
- visi duomenys saugomi tik sausumos duomenų centruose ir
- Saugumo protokolai ir sistemos yra saugomi Australijoje ir atitinka ASD reikalavimus.
Mastelio keitimas
Lygiaverčių skambučiai vyksta tiesiai iš vienos naršyklės į kitą ir tarp sveikatos priežiūros paslaugų teikėjų bei jų klientų. Taip išvengiama tarpinių vaizdo serverių ir leidžiamas neribotas skaičius lygiagrečių skambučių.
Kartais „peer-to-peer“ skambučiai užstringa už įmonės užkardų. Šiuo tikslu naudojami perdavimo serveriai (STUN/TURN), kurie persiunčia garso, vaizdo ir duomenų srautus gavėjams už įmonės ribų. Nors perdavimo serveriai gali susidoroti su dideliu krūviu prieš perkraudami, svarbu juos diegti keičiamo dydžio masyvu. Vaizdo skambučiai buvo įdiegti AWS Cloud, todėl perdavimo serveriai yra stebimi ir, jei aptinkama didesnė apkrova, sukuriami papildomi perdavimo serveriai, kurie skaidriai perims papildomą perdavimo darbą. Tai vadinama „apkrovos balansavimu“.
Signalizacijos serveriai yra susiję su vaizdo skambučių nustatymu, todėl ypatingas dėmesys buvo skirtas keičiamo mastelio signalizacijos infrastruktūros diegimui. Vaizdo skambučių signalizacijos serveriuose buvo atliktas apkrovos bandymas ir jie sugebėjo palaikyti šimtus tūkstančių lygiagrečių skambučių. Be to, skirtingose AWS vietose buvo įrengtas signalizacijos serverių tinklas, siekiant sumažinti delsą tarp vaizdo skambučio galinių taškų ir signalizacijos serverio, pasirenkant arčiausiai esantį signalizacijos serverį skambučių signalizacijai teikti.
Žiniatinklio programa paskirstoma žiniatinklio naršyklėms iš programų serverio. Daugybei vartotojų pradėjus naudoti vaizdo skambučius, žiniatinklio programų serveriai taip pat gali tapti labai apkrauti. Vaizdo skambučiai įdiegė programų serverių apkrovos balansavimą.
Vaizdo skambučiai sukurti atsižvelgiant į mastelį. Visa duomenų bazės ir serverio infrastruktūra sukurta naudojant būsenos neturinčią mikropaslaugų architektūrą, leidžiančią kiekvienam komponentui būti atspariam gedimams ir individualiai horizontaliai keisti mastelį, kad atitiktų kiekvienos paslaugos apkrovą bet kuriuo metu.
Parama jūsų organizacijai
„WebRTC“ pagrindu – „WebRTC“ komponentai yra įdiegti „Chrome“, „Firefox“ ir „Safari“ naršyklėse iš atvirojo kodo projektų, vadovaujant ir peržiūrint daugeliui žiniatinklio ir telekomunikacijų pramonės saugumo ekspertų.
Sukurta sveikatos priežiūrai – vaizdo skambučių aplinka yra reguliariai peržiūrima ir optimizuota sveikatos priežiūrai. Vaizdo skambučiuose ribotas pažeidžiamumas, esantis kitose ryšio paslaugose.
Visiškai pasiekiama per internetą – vaizdo skambučių funkcija atnaujinama, kad veiktų su naujausiomis „Chrome“, „Firefox“ ir „Safari“ versijomis („Microsoft Edge“ palaikymas planuojamas, kai sistema pereina prie mirksėjimo modulio). Šios naršyklės reguliariai atnaujina savo saugos duomenis, todėl nereikia laukti vaizdo skambučių atnaujinimų.
Naršyklės apribojimais paremta programa – vaizdo skambučiai saugiai veikia žiniatinklio naršyklėse, todėl standartinės žiniatinklio naršyklėse įdiegtos saugos priemonės riboja jų poveikį kompiuterio darbalaukio aplinkai ar naudojamam mobiliajam įrenginiui.
Tinklo saugumas – vaizdo skambučiui tereikia prieigos prie kelių standartinių HTTPS ir saugių medijos prievadų iš jūsų stalinio kompiuterio, nešiojamojo kompiuterio ar mobiliojo įrenginio. Jie išsamiai aprašyti tinklo pagrindų puslapyje išteklių centre.
Žiniatinklio tarpinio serverio paslaugos – vaizdo skambučių žiniatinklio srautui naudojamos esamos žiniatinklio tarpinio serverio paslaugos ir saugumo politikos.
Skambučių kokybės profiliai – nustatydami vaizdo skambučių kokybės profilius, gydytojai gali sumažinti tinklo jungčių apkrovą, kad neviršytų tam tikrų ribų.
Prieinamumas – vaizdo skambučių funkcija yra skirta visuotinei prieigai visiems vartotojams, kad visi paslaugų teikėjai ir jų pacientai galėtų mėgautis geriausia įmanoma patirtimi. Siekiant paremti akluosius ir silpnaregius vartotojus, žiniatinklio programa yra prieinama ekrano skaitytuvams, galima naudoti priartinimo įrankius. Vaizdo skambutį taip pat galima naudoti trijų ir keturių krypčių skambučiams, kad gestų kalbos vertėjas galėtų prisijungti prie tiesioginės vaizdo sesijos ir padėti kurtiesiems vartotojams su ASLAN gestų kalba.