Исследователи телемедицины из Университета Вальядолида предложили программистам серию рекомендаций по повышению безопасности приложений для здоровья на мобильных устройствах. По словам этих специалистов, это быстрорастущая область, но небезопасная обработка клинических и медицинских данных может иметь критическое значение для пользователей.Приложения для здравоохранения переживают бум. На рынке уже представлено около 100 000 устройств на платформах iOS (Apple) и Android, что дает бизнес на сумму 4,5 миллиарда долларов (около 3,3 миллиарда евро).
Согласно отчету The App Date, в Испании в этом году треть пользователей смартфонов установят хотя бы одно приложение для здоровья.Однако, как объясняет SINC Борха Мартинес, исследователь из группы телемедицины и электронного здравоохранения Университета Вальядолида: «Эти приложения не обрабатывают информацию безопасно, и это особенно серьезно в приложениях, использующих клинические или медицинские данные, которые особенно важны для Пользователь."Мартинес — ведущий автор исследования, в котором рассматриваются эти проблемы и предлагается ряд рекомендаций для разработчиков по улучшению обработки информации, которая должна быть конфиденциальной. Работа была опубликована в январе в «Журнале медицинских систем».
Этот молодой инженер отмечает, что «разработчики, торопясь выпустить свои приложения раньше остальных, пренебрегают некоторыми аспектами, которые следует учитывать, особенно конфиденциальностью и безопасностью обрабатываемых данных. Сегодня большинство приложений для здоровья не предлагают пользователю достаточных возможностей. меры по защите своих данных ".РискиПо их мнению, «основной риск заключается в том, что кто-то может взломать личную медицинскую информацию другого человека или, что еще хуже, изменить ее».
Ярким примером, предупреждает исследователь, было бы приложение, которое сохраняет электронные истории болезни. Если третья сторона, не подключенная к приложению, получит доступ к сохраненной информации и изменит какие-либо данные пациента, например, устранит аллергию на определенные лекарства, она может поставить под угрозу жизнь этого человека в случае возникновения дела ".
Кроме того, «еще одна серьезная проблема заключается в том, что медицинские работники и сами пациенты не знают о методах, которые приложения используют в отношении конфиденциальности и безопасности их данных. Многие считают само собой разумеющимся, что приложение безопасно, а другим наплевать.
Я считаю, что необходимо более тесное сотрудничество между странами для создания международных законов, отвечающих за мониторинг этих аспектов », — говорит он.Что может быть сделано? По словам Борхи Мартинеса, «многое [хотя] все сводится к тому, что разработчики анализируют типы данных, с которыми их приложения будут иметь дело, и применяют необходимые методы безопасности и конфиденциальности».Он утверждает, что каждый случай индивидуален. «Некоторые приложения даже не работают с данными пациентов, и поэтому нет необходимости вводить такие методы, другие будут использовать критически важную информацию, и разработчикам придется решать, какие механизмы использовать.
Главное, чтобы они не игнорировали эти аспекты и что они озабочены тем, чтобы часть времени разработки вкладывалась в анализ и внедрение этих методов ".Борха Мартинес говорит, что «чтобы заставить разработчиков выполнять эту задачу, необходимо обновить законы, регулирующие эти аспекты.
Тем не менее, в двух основных мировых державах, Европейском Союзе и Соединенных Штатах, эти законы устарели и устарели, и поэтому следует переформулировать, чтобы охватить современные мобильные технологии ».В этом смысле Директива ЕС о защите данных восходит к 1995 году, а HIPAA (Закон о переносимости и подотчетности медицинского страхования) в США — с 1996 года.Краткое руководство по безопасности электронного здравоохранения В своем руководстве для разработчиков приложений для здоровья Мартинес и его коллеги предлагают, среди прочего, следующие рекомендации:* Контроль доступа: сосредоточен на пациенте, всегда позволяя ему получить или запретить доступ к своей информации.* Аутентификация: с уникальным идентификатором и паролем, известным только пользователю.
Это удостоверение может быть связано с общественной инфраструктурой, такой как RSA (River, Shamir and Adleman).* Безопасность и конфиденциальность: для обеспечения безопасности рекомендуется использовать AES (Advanced Encryption Standard) с криптографическим ключом не менее 128 бит.
* Целостность: должен использоваться хотя бы один код аутентификации на основе симметричного ключа, такого как AES.* Информация о пациенте: перед сбором какой-либо информации приложения должны предоставить пользователям четкую политику конфиденциальности, чтобы определить человека, который будет использовать данные, их цель, используемые методы конфиденциальности, их права и средства связи.* Передача данных: используйте TLS (Transport Layer Security) с методами шифрования 128 бит или виртуальные частные сети.* Хранение данных: данные должны храниться только в течение необходимого количества времени для установленной цели, больше не.
* Связь с датчиками тела: для связи с датчиками малой мощности, используемыми в организме, должны использоваться криптографические методы для аутентификации устройств и распределения ключа.* Предупреждение о нарушениях безопасности: компания-разработчик должна как можно скорее уведомить компетентные органы, а также пользователей и помочь пользователю уменьшить возможный ущерб, причиненный таким нарушением.