Personvern, sikkerhet og skalerbarhet
Hvordan videosamtaler blir sikre og private i stor skala
Personvern, sikkerhet og skalerbarhet er grunnleggende for videosamtaler. Dette dokumentet forklarer hvordan videosamtaler gjøres sikre og private i stor skala.
Videosamtaler er basert på fire viktige konsepter:
- Personvern – definerer forpliktelsen til å samle inn, bruke, utlevere og lagre personopplysninger på riktig måte, i henhold til Commonwealth Privacy Act 1988 og australske personvernprinsipper.
- Sikkerhet – videosamtaler er trygge mot uautorisert tilgang og bruk, og dataene er pålitelige, nøyaktige og tilgjengelige for bruk.
- Datasuverenitet – pasientinformasjon må ikke overføres til utlandet, slik det kreves av australske personvernforskrifter
- Skalerbarhet – Videosamtaler som en nasjonal funksjon er arkitektonisk skalerbar for å håndtere store mengder videokonsultasjoner uten behov for oppsett av tradisjonell videokonferanseinfrastruktur.
Disse fire konseptene er grunnleggende for utformingen av videosamtaler. Nettverksarkitekturen dekkes av designsikringsprosesser som sikrer at nye funksjoner og muligheter fortsetter å oppfylle de nødvendige standardene.
Sammendrag
Videosamtaler er bygget på WebRTC-teknologi (Web Real-Time Communications). WebRTCs innebygde sikkerhet bruker fullkrypterte tilkoblinger .
Videosamtaler er designet som et helhetlig telehelseøkosystem, bestående av servere og applikasjoner, som kjører gjennom WebRTC-teknologi.
healthdirect Video Call følger den gjeldende grunnleggende Eight- standarden i den australske regjeringens informasjonssikkerhetshåndbok (ISM) og helseforsikringsloven ( HIPAA ) for retningslinjer for cybersikkerhet og beskytter personvernet ved å ikke etterlate noe digitalt fotavtrykk. Video Call-plattformen er også ISO 27001-sertifisert .
Andre videokonsultasjonsplattformer lagrer detaljene i samtalen, inkludert samtaleopptaket, på sentrale servere (vanligvis utenfor Australia) som er tilgjengelige for videotjenesteleverandøren, og kan sette klinikere i fare for brudd på personvernlovgivningen uten informert samtykke fra pasienten.
Ytterligere sikkerhetstiltak er iverksatt for å gjøre det WebRTC-baserte systemet virkelig sikkert og privat:
- Virtuelle rom, jevnaldrende og økter gir et sikkert miljø for brukere å kommunisere.
- Videosamtaler lagrer ikke som standard personlig identifiserbar informasjon eller beskyttet helseinformasjon.
- Avansert nettverkssikkerhet forhindrer avlytting og «mann-i-middle»-angrep.
- Lasttesting og kodegjennomganger gir et høyt nivå av applikasjonssikkerhet.
På denne siden forklarer vi hvilke tiltak som iverksettes for å sikre at videokonsultasjoner er trygge, sikre, private og skalerbare.
Helsepersonvern, sikkerhet og databeskyttelse er grunnleggende for design av videosamtaler
Samtalesikkerhet
Mediatrafikk for WebRTC-videosamtaler er beskyttet med AES 128-bit eller AES 256-bit kryptering mellom nettlesere. Dette er standarden for WebRTC-baserte tjenester som videosamtaler. Denne sikkerheten gjelder imidlertid bare for peer-to-peer-samtaler og ikke for systeminfrastrukturen. Flere infrastrukturelementer i enhver WebRTC-videosamtale kan angripes, og Videosamtale er utviklet for å hemme disse angrepsvektorene.
For eksempel kan ikke standard WebRTC-anropskryptering stoppe en angriper fra å utgi seg for å være en bruker i noen av endene av samtalen. Kryptering kan heller ikke forhindre at en signalerings-, applikasjons- eller reléserver (TURN) blir kapret.
Viktige personvern- og sikkerhetstiltak er iverksatt for videosamtaler for å beskytte mot:
- utgivelse av noen for å få urettmessig tilgang til nettklinikken for å konsultere pasienter.
- ulovlig avlytting av noen for å få uautorisert tilgang til videosamtalesignalering eller en TURN-server.
- observasjon av samtalehistorikk av tredjeparter som har tilgang til samtalelogger på pasientens enhet eller på en overvåkingsserver.
- Personvern- og sikkerhetsmodellen for videosamtaler sikrer at:
- Kun autoriserte tjenesteytere og administratorer fra klinikken kan betjene en pasient,
- hver pasientkonsultasjon kan holdes i en privat engangsvideosesjon,
- Engangsvideosesjoner skiller seg fra vedvarende videorom (sistnevnte kan brukes til klinikkinterne formål),
- pasientdata som utveksles under en videosamtale eller i et videorom, lagres ikke etter at konsultasjonen er avsluttet, eller hvis klinikken bestemmer seg for å lagre dem, lagres de kryptert med dekrypteringsnøkler som kun er tilgjengelige for klinikken,
- signalerings- og reléservere håndterer kun kryptert medietrafikk,
- at det følges toppmoderne sikkerhetsoppsett og -prosedyrer, slik at serverinfrastrukturen ikke kan hackes for å utgi seg for å være en kliniker eller observere en konsultasjon, og
- Fagfellekodegjennomgang for alle programvareoppdateringer utføres for å maksimere applikasjonssikkerheten.
Datasikkerhet
All data – ikke bare den direkte videosamtalen – er kryptert.
Video Call lagrer tjenesteleverandørinformasjon og passord sikkert på Amazon RDS ( Relational Database Service ). Passord overføres ved hjelp av TLS ( Transport Layer Security ) og lagres aldri i ren tekst. Video Call lagrer kun hashede og saltede passordhasher i RDS, og oppfyller gjeldende bransjestandarder for brukerautentisering og autorisasjon.
Ingen personlig identifiserbar eller beskyttet helseinformasjon lagres av videosamtaler.
Nettverkssikkerhet
All lyd- og videodata, og all annen data som utveksles under en direktesendt videosamtale, krypteres.
Videosamtale bruker toppmoderne sikkerhetsmekanismer for alle tilkoblinger, samt for WebRTC-implementeringen. Forbindelser mellom nettleser og applikasjonsserver, signaleringsserver eller STUN/TURN er alle TLS-krypterte og autentisert, med sterk kryptografi og skikkelige sertifikatkontroller. TLS-beskyttelsen for STUN/TURN-forhandling sikrer at ingen omdirigering av videosamtalekommunikasjon kan finne sted.
Sikkerheten for WebRTC-kommunikasjon forbedres ved at signaleringsserveren tilrettelegger det kryptografiske oppsettet for nettleser-til-nettleser-kommunikasjon: nettlesere oppretter sikkert en delt nøkkel for hver datakanal.
Applikasjonssikkerhet
Som et distribuert system er alle komponentene i videosamtaleøkosystemet beskyttet mot angrep.
- Protokollfuzzing – ettersom signaleringsserveren bruker en tilpasset protokoll for å transportere meldinger, har den blitt utsatt for en protokollfuzzing for å sikre at det ikke finnes kodebaner som fører til uforutsett eller uønsket oppførsel. Nettleserimplementeringen av videosamtale har blitt utsatt for den samme protokollfuzzingen.
- Penetrasjonstesting (penntesting) – applikasjonsserveren og samtaleovervåkingssystemet har blitt penntestet for å beskytte mot inntrenging. Penntesting utføres regelmessig.
- Nettlesersikkerhet – WebRTC kobler nettlesere sammen, peer-to-peer. Protokollfuzzing brukes til å teste implementeringen av videosamtaler i nettleseren.
- Overvåkingssikkerhet – kommunikasjon foregår bare i én retning; fra nettlesere til samtalemonitoren. Nettlesere sender bare informasjon til samtalemonitoren; nettlesere kan ikke hente eller motta informasjon fra samtalemonitoren. Samtalemonitoren har blitt penntestet og fuzzet for å beskytte den mot vanlige trusler.
Privatliv
Videosamtaler overholder de australske myndighetenes personvernregler.
Infrastrukturen og tjenesten for videosamtaler er i samsvar med retningslinjene i Commonwealth Privacy Act 1988 , de australske personvernprinsippene (avsnitt 8) knyttet til datasuverenitet og, der det er praktisk mulig, den australske regjeringens informasjonssikkerhetshåndbok (ISM) .
Videosamtaler kobles til peer-to-peer (nettleser-til-nettleser uten å måtte krysse den sentrale videoinfrastrukturen). Data som deles i faktiske samtaler mellom deltakere er kun tilgjengelig i dekryptert form for de deltakende endepunktene i samtalen. Alle andre mellomledd som videresender samtalen, kan bare se krypterte data. Dette gjelder lyd- og videodata, samt all informasjon som utveksles i økten, for eksempel chatmeldinger og dokumenter. Videosamtaler lagrer som standard ingen av de delte dataene fra samtaler.
Pasienter går inn i venteområder via en pålitelig tjenesteleverandørs nettsted og venter i sitt eget private videorom. Hvis for eksempel en tjenesteleverandør blir forsinket fordi en konsultasjon med en annen pasient går over tid, vil ikke pasientene møte hverandre. Rommet som ble opprettet av videosamtalen slettes etter konsultasjonen.
Pasienter kan sees av enhver tjenesteleverandør eller klinikkadministrator som er autorisert til å få tilgang til klinikken. Autorisasjon defineres av en unik pålogging og tildelte roller i plattformen. Klinikkadministratorer er ansvarlige for å tildele slik tilgang til sine ansatte.
Som standard lagrer ikke videosamtalen identifiserbar pasientinformasjon. Pasienter etterlater ikke et digitalt fotavtrykk på plattformen.
Datasuverenitet
Hvis australske data eller datahåndtering flyttes til utlandet, kontrolleres de ikke lenger i Australia og blir underlagt lovene i et annet land eller praksisen til et utenlandsk selskap. Tilgang til og kontroll av australske data av utenlandske selskaper anerkjenner ikke australieres eksisterende rettigheter til å få personvernet og dataene sine tilstrekkelig beskyttet.
Sensitive data om australske statsborgere må derfor lagres i en ASD-sertifisert sky ( Australian Signals Directorate ) som kan garantere at informasjonen ikke er tilgjengelig for utenlandske enheter.
Video Call har en streng tilnærming til hosting kun innenfor AWS ( Amazon Web Services )-skyen, som er sertifisert av ASDs IRAP ( Information Security Registered Assessors Program ), som gir forsikring om at AWS har på plass de gjeldende kontrollene som kreves av ISM ( Australian Government Information Security Manual ).
Videosamtale kan bekrefte at for australske brukere:
- personopplysninger om helse brukes utelukkende innenfor australsk juridisk jurisdiksjon,
- at all datalagring er begrenset til datasentre på land, og
- Sikkerhetsprotokoller og -systemer oppbevares i Australia og er i samsvar med ASD-kravene.
Skalerbarhet
Peer-to-peer-samtaler foregår direkte fra nettleser til nettleser, og mellom helsepersonell og deres klienter. Dette unngår mellomliggende videoservere og tillater et ubegrenset antall parallelle samtaler.
Noen ganger blir peer-to-peer-anrop sittende fast bak bedriftens brannmurer. For dette formålet er reléservere (STUN/TURN) på plass for å videresende lyd-, video- og datastrømmer til mottakerne utenfor bedriftsgrensene. Selv om reléservere kan håndtere en betydelig belastning før de blir mettede, er det viktig å distribuere dem på en skalerbar måte. Video Call er distribuert på AWS Cloud, slik at reléservere overvåkes, og hvis en høyere belastning oppdages, opprettes det flere reléservere som transparent vil overta ekstra reléarbeid. Dette kalles «lastbalansering».
Signaleringsservere er involvert i oppsett av videosamtaler, så det har blitt viet spesiell oppmerksomhet til å distribuere en skalerbar signalinfrastruktur. Det har blitt utført belastningstesting på signaleringsserverne for videosamtaler, og de har vært i stand til å støtte hundretusenvis av parallelle samtaler. I tillegg har et nettverk av signaleringsservere blitt distribuert på forskjellige AWS-lokasjoner for å redusere latensen mellom endepunktene for en videosamtale og signaleringsserveren ved å velge den nærmeste signaleringsserveren for å sørge for samtalesignalering.
Nettapplikasjonen distribueres til nettlesere fra en applikasjonsserver. Etter hvert som et stort antall brukere begynner å bruke Video Call, kan også nettapplikasjonsserverne bli svært travle. Video Call har implementert lastbalansering for applikasjonsserverne.
Videosamtalen er utformet for skalering. All database- og serverinfrastruktur er utformet med en tilstandsløs mikrotjenestearkitektur, som gjør at hver komponent er feiltolerant og i stand til å skaleres horisontalt individuelt for å matche belastningen på hver tjeneste til enhver tid.
Støtte for din organisasjon
WebRTC-basert – WebRTC -komponenter er implementert i Chrome, Firefox og Safari fra åpen kildekode-prosjekter, under veiledning og gjennomgang av mange sikkerhetseksperter innen nett- og telekommunikasjonsbransjen.
Utviklet for helsevesen – videosamtalemiljøet gjennomgås jevnlig og optimaliseres for helsevesen. Eksponering for sårbarheter som finnes i andre kommunikasjonstjenester er begrenset i videosamtaler.
Tilgjengelig utelukkende via nettet – Videosamtale er oppdatert for å fungere med de nyeste versjonene av Chrome, Firefox og Safari (støtte for Microsoft Edge er planlagt etter hvert som den flyttes til blinkmotoren). Disse nettleserne kjører regelmessige sikkerhetsoppdateringer, så det er ikke nødvendig å vente på oppdateringer til Videosamtale.
Nettleserbegrenset applikasjon – Videosamtaler kjører sikkert i nettlesere, og begrenser dermed muligheten til å påvirke datamaskinens skrivebordsmiljø eller mobilenheten som brukes gjennom standard sikkerhetstiltak implementert i nettlesere.
Nettverkssikkerhet – Videosamtaler trenger bare tilgang til noen få standard HTTPS- og sikre medieporter fra den stasjonære, bærbare eller mobile enheten din. Disse er beskrevet på siden Grunnleggende om nettverk i ressurssenteret.
Nettproxytjenester – nettrafikk for videosamtaler bruker eksisterende nettproxytjenester og sikkerhetspolicyer.
Samtalekvalitetsprofiler – ved å angi kvalitetsprofiler for videosamtaler kan klinikere redusere mediekravene til nettverkskoblinger for å holde seg innenfor bestemte grenser.
Tilgjengelighet – Video Call er forpliktet til universell tilgang for alle brukere, slik at alle tjenesteleverandører og deres pasienter kan få den beste mulige opplevelsen. For å støtte blinde og svaksynte brukere er nettapplikasjonen tilgjengelig for skjermlesere, og zoomverktøy kan brukes. Video Call kan også brukes i treveis- og fireveissamtaler, slik at en tegnspråktolk kan delta i en direktesendt videoøkt og støtte den døve brukeren med ASLAN-tegnspråk.