Súkromie, bezpečnosť a škálovateľnosť
Ako sú konzultácie cez videohovory zabezpečené a súkromné vo veľkom rozsahu
Súkromie, bezpečnosť a škálovateľnosť sú základom videohovorov. Tento dokument vysvetľuje, ako sú konzultácie prostredníctvom videohovorov zabezpečené a súkromné vo veľkom rozsahu.
Videohovor je založený na 4 dôležitých konceptoch:
- Ochrana osobných údajov – definuje povinnosť zhromažďovať, používať, zverejňovať a správne uchovávať osobné údaje podľa zákona Commonwealth Privacy Act z roku 1988 a austrálskych zásad ochrany osobných údajov.
- Zabezpečenie – videohovory sú chránené pred neoprávneným prístupom a použitím a údaje sú spoľahlivé, presné a dostupné na použitie.
- Zvrchovanosť údajov – informácie o pacientoch sa nesmú prenášať do zahraničia, ako to vyžadujú austrálske predpisy o ochrane osobných údajov.
- Škálovateľnosť – Videohovory ako národná funkcia sú architektonicky škálovateľné na spracovanie veľkého objemu videokonzultácií bez nutnosti nastavenia tradičnej infraštruktúry pre videokonferencie.
Tieto štyri koncepty sú základom návrhu systému Video Call. Jeho sieťová architektúra je pokrytá procesmi zabezpečenia návrhu, ktoré zabezpečujú, že nové funkcie a možnosti naďalej spĺňajú požadované štandardy.
Zhrnutie
Videohovor je postavený na technológii Web Real-Time Communications (WebRTC). Vstavané zabezpečenie WebRTC využíva plne šifrované pripojenia .
Videohovor bol navrhnutý ako holistický ekosystém telehealth, zložený zo serverov a aplikácií, ktoré bežia na technológii WebRTC.
Videohovor healthdirect sa riadi platnou esejistickou základňou austrálskej vládnej príručky pre bezpečnosť informácií (ISM) a zákonom o prenosnosti a zodpovednosti zdravotného poistenia ( HIPAA ) pre pokyny pre kybernetickú bezpečnosť a chráni súkromie tým, že nezanecháva žiadnu digitálnu stopu. Platforma videohovorov je tiež certifikovaná podľa normy ISO 27001 .
Iné platformy pre video konzultácie ukladajú podrobnosti o hovore vrátane záznamu hovoru na centrálnych serveroch (zvyčajne mimo Austrálie), ku ktorým má prístup poskytovateľ video služieb, a môžu vystaviť lekárov riziku porušenia právnych predpisov o ochrane súkromia bez informovaného súhlasu pacienta.
Boli prijaté ďalšie bezpečnostné opatrenia, aby bol systém založený na WebRTC skutočne bezpečný a súkromný:
- Virtuálne miestnosti, peers a relácie poskytujú bezpečné prostredie pre komunikáciu používateľov.
- Videohovor štandardne neukladá osobné údaje ani chránené zdravotné informácie.
- Najmodernejšie sieťové zabezpečenie zabraňuje odpočúvaniu a útokom typu „man-in-the-middle“.
- Záťažové testovanie a kontroly kódu poskytujú vysokú úroveň zabezpečenia aplikácií.
Na tejto stránke vysvetľujeme, aké kroky sa podnikajú na zabezpečenie bezpečnosti, ochrany, súkromia a škálovateľnosti videokonzultácií.
Ochrana súkromia, bezpečnosť a údajov na zdravotnej úrovni sú základom návrhu videohovorov
Zabezpečenie hovorov
Mediálna prevádzka videohovorov cez WebRTC je medzi webovými prehliadačmi chránená 128-bitovým alebo 256-bitovým šifrovaním AES. Toto je štandard pre služby založené na WebRTC, ako napríklad Video Call. Toto zabezpečenie sa však vzťahuje iba na peer-to-peer hovory a nie na systémovú infraštruktúru. V každom videohovore cez WebRTC môže byť napadnutých niekoľko prvkov infraštruktúry a Video Call bol vyvinutý na to, aby týmto útočným vektorom zabránil.
Napríklad štandardné šifrovanie hovorov WebRTC nedokáže zabrániť útočníkovi, aby sa na oboch stranách hovoru vydával za používateľa. Šifrovanie tiež nedokáže zabrániť únosu signalizačného, aplikačného alebo reléového (TURN) servera.
Na videohovory boli uplatnené kľúčové opatrenia na ochranu súkromia a zabezpečenia, aby sa zabránilo:
- vydávanie sa za inú osobu s cieľom získať neoprávnený prístup k online klinike za účelom konzultácií s pacientmi.
- nezákonné odpočúvanie niekým s cieľom získať neoprávnený prístup k signalizácii videohovoru alebo k serveru TURN.
- sledovanie histórie hovorov tretími stranami, ktoré majú prístup k záznamom hovorov v zariadení pacienta alebo na monitorovacom serveri.
- Model ochrany súkromia a zabezpečenia videohovoru zabezpečuje, že:
- pacientovi môžu poskytovať služby iba autorizovaní poskytovatelia služieb a administrátori kliniky,
- každá konzultácia s pacientom sa môže uskutočniť v rámci jednorazového súkromného videohovoru,
- jednorazové video sedenia sa líšia od trvalých video miestností (tie druhé sa dajú použiť na interné účely kliniky),
- údaje o pacientoch vymieňané počas videohovoru alebo vo video miestnosti nepretrvávajú po skončení konzultácie alebo, ak sa klinika rozhodne ich uložiť, sú uložené zašifrovaným spôsobom s dešifrovacími kľúčmi dostupnými iba klinike,
- signalizačné a reléové servery spracovávajú iba šifrovanú mediálnu prevádzku,
- dodržiavajú sa najmodernejšie bezpečnostné nastavenia a postupy, aby sa zabránilo hackerskému útoku na serverovú infraštruktúru s cieľom vydávať sa za klinického lekára alebo pozorovať konzultáciu, a
- Pre maximalizáciu bezpečnosti aplikácií sa vykonáva partnerské hodnotenie kódu pre všetky softvérové záplaty.
Zabezpečenie údajov
Všetky údaje – nielen živý videohovor – sú šifrované.
Videohovor bezpečne ukladá informácie o poskytovateľoch služieb a heslá v službe Amazon RDS ( Relational Database Service ). Heslá sa prenášajú pomocou protokolu TLS ( Transport Layer Security ) a nikdy sa neukladajú ako obyčajný text. Videohovor ukladá v RDS iba hašované a solené haše hesiel, čím spĺňa súčasné priemyselné štandardy v oblasti autentifikácie a autorizácie používateľov.
Videohovor neukladá žiadne osobné údaje ani chránené zdravotné informácie.
Zabezpečenie siete
Všetky zvukové a obrazové údaje a všetky ostatné údaje vymieňané počas živého videohovoru sú šifrované.
Videohovor využíva najmodernejšie bezpečnostné mechanizmy pre všetky pripojenia, ako aj pre implementáciu WebRTC. Pripojenia medzi prehliadačom a aplikačným serverom, signalizačným serverom alebo STUN/TURN sú šifrované a overené pomocou TLS so silnou kryptografiou a správnymi kontrolami certifikátov. Ochrana TLS pre vyjednávanie STUN/TURN zabezpečuje, že nemôže dôjsť k presmerovaniu komunikácie počas videohovoru.
Bezpečnosť komunikácie WebRTC je vylepšená tým, že signalizačný server umožňuje kryptografické nastavenie komunikácie medzi prehliadačmi: prehliadače bezpečne vytvárajú zdieľaný kľúč pre každý dátový kanál.
Zabezpečenie aplikácií
Keďže ide o distribuovaný systém, všetky komponenty ekosystému videohovorov sú odolné voči útokom.
- Protokolové fuzzovanie – keďže signalizačný server používa na prenos správ vlastný protokol, bol podrobený protokolovému fuzzeru, aby sa zabezpečilo, že neexistujú žiadne cesty kódu, ktoré by viedli k nepredvídanému alebo nežiaducemu správaniu. Implementácia videohovoru v prehliadači bola podrobená rovnakému protokolovému fuzzingu.
- Penetračné testovanie (pen-testing) – aplikačný server a systém monitorovania hovorov boli testované perom na ochranu pred vniknutím. Pen-testing sa vykonáva pravidelne.
- Zabezpečenie prehliadača – WebRTC prepája prehliadače peer-to-peer. Na testovanie implementácie videohovorov v prehliadači sa používa protokol fuzzing.
- Zabezpečenie monitorovania – komunikácia prebieha iba jedným smerom; z prehliadačov do monitora hovorov. Prehliadače odosielajú informácie iba do monitora hovorov; prehliadače nemôžu z monitora hovorov sťahovať ani prijímať žiadne informácie. Monitor hovorov bol testovaný perom a upravený na ochranu pred bežnými hrozbami.
Súkromie
Videohovor je v súlade so zásadami ochrany osobných údajov austrálskej vlády.
Infraštruktúra a služby videohovorov sú v súlade s pokynmi zákona Commonwealth Privacy Act z roku 1988 , austrálskymi zásadami ochrany súkromia (oddiel 8) týkajúcimi sa suverenity údajov a, kde je to možné, s austrálskou vládnou príručkou pre informačnú bezpečnosť (ISM) .
Pripojenia cez videohovory sa vytvárajú peer-to-peer (medzi prehliadačmi bez prechodu cez centrálnu video infraštruktúru). Dáta zdieľané v skutočných hovoroch medzi účastníkmi sú vždy k dispozícii iba v dešifrovanej forme pre zúčastnené koncové body hovoru. Všetci ostatní sprostredkovatelia, ktorí hovor presmerujú, vidia iba šifrované dáta. Toto platí pre zvukové a obrazové dáta, ako aj pre všetky informácie vymieňané počas relácie, ako sú napríklad chatovacie správy a dokumenty. Videohovory štandardne neukladajú žiadne zdieľané dáta z hovorov.
Pacienti vstupujú do čakární prostredníctvom dôveryhodnej webovej stránky poskytovateľa služieb a čakajú vo svojej vlastnej súkromnej videohovorovej miestnosti. Napríklad, ak poskytovateľ služieb mešká, pretože konzultácia s iným pacientom prebieha v predstihu, pacienti sa navzájom nestretnú. Miestnosť vytvorená videohovorom sa po konzultácii vymaže.
Pacientov môže vyšetriť ktorýkoľvek poskytovateľ služieb alebo správca kliniky, ktorý má oprávnenie na prístup do kliniky. Autorizácia je definovaná jedinečným prihlasovacím menom a priradenými rolami na platforme. Správcovia kliniky sú zodpovední za pridelenie takéhoto prístupu svojim zamestnancom.
Videohovor štandardne neuchováva identifikovateľné informácie o pacientovi. Pacienti nezanechávajú na platforme digitálnu stopu.
Dátová suverenita
Ak sa austrálske údaje alebo správa údajov presunú do zahraničia, prestanú byť kontrolované v rámci Austrálie a začnú podliehať zákonom cudzej krajiny alebo praktikám zahraničnej spoločnosti. Prístup a kontrola austrálskych údajov zahraničnými spoločnosťami neuznáva existujúce práva Austrálčanov na primeranú ochranu ich súkromia a údajov.
Citlivé údaje o austrálskych občanoch musia byť preto uložené v cloude s certifikáciou ASD ( Australian Signals Directorate ), ktorý zaručuje, že informácie nebudú prístupné zahraničným subjektom.
Spoločnosť Video Call pristupuje prísne k hosťovaniu iba v cloude AWS ( Amazon Web Services ), ktorý bol certifikovaný programom IRAP ( Information Security Registered Assessors Program ) spoločnosti ASD, čo poskytuje záruku, že AWS má zavedené príslušné kontroly požadované ISM ( Austrálska vládna príručka pre informačnú bezpečnosť ).
Videohovor môže potvrdiť, že pre austrálskych používateľov:
- osobné zdravotné údaje sa používajú výlučne v rámci austrálskej jurisdikcie,
- obmedzenie všetkého ukladania údajov je obmedzené na dátové centrá na pevnine a
- Bezpečnostné protokoly a systémy sú v Austrálii dodržiavané a v súlade s požiadavkami ASD.
Škálovateľnosť
Peer-to-peer hovory prebiehajú priamo z prehliadača do prehliadača a medzi poskytovateľmi zdravotníckych služieb a ich klientmi. Tým sa zabráni sprostredkovateľským video serverom a umožňuje sa neobmedzený počet paralelných hovorov.
Niekedy sa peer-to-peer hovory zaseknú za firemnými firewallmi. Na tento účel sú nainštalované relay servery (STUN/TURN), ktoré preposielajú audio, video a dátové streamy ich príjemcom mimo firemných hraníc. Hoci relay servery dokážu zvládnuť značnú záťaž pred preťažením, je dôležité ich nasadiť škálovateľným spôsobom. Videohovory boli nasadené v AWS Cloud, takže relay servery sú monitorované a ak sa zistí vyššie zaťaženie, spustia sa ďalšie relay servery, ktoré transparentne prevezmú dodatočnú prácu s relay. Toto sa nazýva „vyrovnávanie záťaže“.
Signalizačné servery sa podieľajú na nastavovaní videohovorov, preto sa osobitná pozornosť venovala nasadeniu škálovateľnej signalizačnej infraštruktúry. Na signalizačných serveroch videohovorov sa vykonalo záťažové testovanie a tie dokázali podporiť státisíce paralelných hovorov. Okrem toho bola v rôznych lokalitách AWS nasadená sieť signalizačných serverov na zníženie latencie medzi koncovými bodmi videohovoru a signalizačným serverom výberom najbližšieho signalizačného servera na zabezpečenie signalizácie hovoru.
Webová aplikácia je distribuovaná do webových prehliadačov z aplikačného servera. Keďže veľký počet používateľov začne používať Video Call, webové aplikačné servery môžu byť tiež veľmi vyťažené. Video Call implementoval vyvažovanie záťaže pre aplikačné servery.
Videohovor bol navrhnutý tak, aby sa dal škálovať. Celá infraštruktúra databázy a servera bola navrhnutá s použitím bezstavovej architektúry mikroslužieb, čo umožňuje, aby každý komponent bol odolný voči chybám a aby sa dal individuálne horizontálne škálovať tak, aby zodpovedal záťaži každej služby v danom časovom okamihu.
Podpora pre vašu organizáciu
Založené na WebRTC – Komponenty WebRTC sú implementované v prehliadačoch Chrome, Firefox a Safari z projektov s otvoreným zdrojovým kódom pod vedením a kontrolou mnohých bezpečnostných expertov z oblasti webu a telekomunikácií.
Navrhnuté pre zdravotnú starostlivosť – prostredie videohovorov je pravidelne kontrolované a optimalizované pre zdravotnú starostlivosť. Vystavenie zraniteľnostiam, ktoré sú prítomné v iných komunikačných službách, je vo videohovoroch obmedzené.
Prístup k nemu je možný výlučne cez web – Videohovor je aktualizovaný tak, aby fungoval s najnovšími verziami prehliadačov Chrome, Firefox a Safari (podpora pre Microsoft Edge je plánovaná, keďže sa presúva na blink engine). Tieto prehliadače pravidelne spúšťajú bezpečnostné aktualizácie, takže nie je potrebné čakať na aktualizácie Videohovoru.
Aplikácia obmedzená na prehliadač – Videohovor beží bezpečne vo webových prehliadačoch, čo obmedzuje jeho schopnosť ovplyvniť prostredie pracovnej plochy počítača alebo používané mobilné zariadenie prostredníctvom štandardných bezpečnostných opatrení implementovaných vo webových prehliadačoch.
Zabezpečenie siete – Videohovor vyžaduje prístup iba k niekoľkým štandardným HTTPS a zabezpečeným mediálnym portom z vášho stolného počítača, notebooku alebo mobilného zariadenia. Tieto informácie sú podrobne uvedené na stránke Základy siete v Centre zdrojov.
Služby webového proxy – webová prevádzka pre videohovory využíva existujúce služby webového proxy a bezpečnostné zásady.
Profily kvality hovorov – nastavením profilov kvality videohovorov môžu lekári znížiť mediálne nároky na sieťové pripojenia, aby zostali v rámci určitých limitov.
Prístupnosť – Videohovor sa zaväzuje k univerzálnemu prístupu pre všetkých používateľov, aby všetci poskytovatelia služieb a ich pacienti mali čo najlepší zážitok. Na podporu nevidiacich a slabozrakých používateľov je webová aplikácia prístupná pre čítačky obrazovky a je možné použiť nástroje na priblíženie. Videohovor je možné použiť aj v trojstranných a štvorstranných hovoroch, takže tlmočník posunkovej reči sa môže pripojiť k živej videokonferencii a podporiť nepočujúceho používateľa pomocou posunkovej reči ASLAN.