Segurança na circulação de informação clínica
Contents
1. 72 http www nlm nih gov mesh presentations tafumls ppframe htm National Library of Medicine National Institutes of Health Jan 06 73 http www cap org College of American Pathologists Jan 06 74 http www snomed org Site do sistema de classifica o SNOMED Jan 06 75 http www sinaisvitais pt index php option com_content amp task view amp id 134 amp Itemid 49 amp 1 Jan 06 imit 1 amp limitstart 1 Um exemplo de telemonitoriza o 76 http www cipe org Classifica o Interncional das Pr ticas de Enfermagem Dez 06 79 http Awww e projects ubi pt samurai Homepage do projecto SAMURAI Dez 06 80 http www it pt project detail p asp ID 501 Homepage do Prof Fernando J Velez respons vel pela Jan 06 implementa o do projecto WiMAX 81 http www e ojects ubi pt wimax txt 05 10 04 Workshop IPMovel RWimax pdf Projecto rede sem fios Centro Hospitalar Cova da Beira Jan 06 82 http www iceta pt rtsaude Home php Homepage do projecto Rede Telem tica da Sa de Jan 06 83 http Awww iceta pt rtsaude docs RTS RT 1 1 1 SumExec V1 O pdf Relat rio de An lise de Processos e Fluxos de Informa o Jan 06 93 http Awww cnpd pt bin relatorios outros Relatorio final pdf Relat rio Auditoria ao tratamento de informa o de s ude nos Dez 06 Hopsitais 94 http www openehr org Funda o para o PCE Fev 06 95 http www centis pt Prorec pt ProrecTop2. EU Uni o Europeia HIPAA Health Insurance Portability and Accountability Act ver Anexo A 42 Portugal integra um projecto a nivel europeu o EUROEC 96 para a promo o do registo cl nico electr nico designado por PROREC Promotion Strategy for European Electronic Healthcare Records que tem como principal objectivo promover e coordenar uma converg ncia europeia para implementa o de processos cl nicos informatizados abrangentes comunic veis e seguros atrav s da implementa o duma rede Europeia de Centros PROREC 95 96 partilhando objectivos similares tendo sido definidos como priorit rias as seguintes reas de interven o arquitectura do PCE normas e sua aplica o terminologia e codifica o comunica o e fluxo de informa o seguran a privacidade e protec o de dados tecnologias de desenvolvimento de software quest es organizacionais culturais e sociais o processo cl nico na investiga o educa o forma o manuais semin rios e confer ncias f runs e rela es com organiza es europeias e internacionais Do ponto de vista da seguran a os diferentes grupos de trabalho preocupam se com estes aspectos e em geral preconizam o uso de certificados digitais com refor o atrav s de cart es inteligentes e c digos de acesso 2 9 Grelha de Avalia o de Aspectos de Seguran a Algumas quest es revestem se de uma import ncia extrema na avalia o da seguran a de um
3. Faculdade de Engenharia da Universidade do Porto Seguran a na Circula o de Informa o Clinica Sara Campos Ara jo Licenciada em Engenharia Electr nica e Inform tica pela Universidade Lus ada Disserta o submetida para satisfa o parcial dos requisitos do grau de Mestre em Redes e Servi os de Comunica o Disserta o realizada sob a supervis o de Professor Doutor Jo o Carlos Pascoal de Faria e co orienta o de Professor Doutor Jos Manuel de Magalh es Cruz do Departamento de Engenharia Electrot cnica e de Computadores da Faculdade de Engenharia da Universidade do Porto Porto Mar o de 2007 Informatica ao Servi o da Medicina como extrair ordem do caos tirando o proveito m ximo da nossa imagina o e dos nossos talentos Vamos por exemplo a um hospital e vemos duplica es de trabalhos erros humanos desperd cios de tempo que pode custar vidas diagn sticos honestos mas incorrectos que uma m quina pode corrigir numa quest o de segundos M dicos cheios de trabalho a consultar fichas quando podiam estar a aliviar sofrimento e num instante instalamos um sistema e temos o prazer de ver tudo encaixar no seu lugar tudo funcionar e sabemos que foi obra nossa Pelo mais simples dos m todos libertamos pobres escritur rios atormentados de milhares de horas de enfado torna a humanidade mais humana e n o menos Irwin Shaw in Bread upon the waters 198
4. O grupo HL7 Health Level Seven uma das organiza es de desenvolvimento de normas 21 acreditada pela ANSI que desenvolve padr es que na maioria das vezes s o utilizados como especifica es de mensagens de forma a facilitar a comunica o de dados cl nicos e administrativos entre sistemas de informa o heterog neos na rea da sa de Este grupo conta como participantes das iniciativas do HL7 pa ses como a Sui a Reino Unido Finl ndia Holanda Alemanha China Argentina Austr lia entre outros Esta norma amplamente usada nos EUA mas o seu uso encontra se tamb m em expans o na UE Este formato imposto pela Center for Medicare amp Medicaid Services CMS atrav s do programa Health Insurance Portability and Accountability Act of 1996 HIPAA Este programa tem como objectivo entre outros impor o uso de conjuntos de c digos e transac es nos sistemas de informa o das entidades de sa de nos EUA E uma norma que genericamente se caracteriza da seguinte forma 38 JPEG Joint Photographic Experts Group IEEE Institute of Electrical and Electronics Engineers 135 HL7 vers o 3 uma fam lia de normas de comunica o orientada ao objecto baseada no HL7 Reference Information Model RIM aplic vel em ambientes de rede e integra com o protocolo TCP IP baseado no modelo de refer ncia OST A norma HL7 situa se ao nivel das aplica es n vel 7 Especific
5. autentica o opera o de identifica o bem sucedida de um utilizado Nesse sentido de uma ICD International Classification of Disease Padr o criado com o objective de codificar e classificar informa es m dicas ver Anexo A GDH Grupo de Diagn stico Homog neos Sistema de classifica o de epis dios de internamento ver Anexo A SNOMED Standard Nomenclature of Medicine uma nomenclatura criada para indexar um conjunto de registos m dicos incluindo sinais sintomas diagn sticos e procedimentos ver Anexo A CIPE Classifica o Internacional para a Pr tica de Enfermagem ver Anexo A forma mais simples num primeiro passo o utilizador afirma ter uma certa identidade e no segundo passo do processo ele prova quem afirma ser de uma maneira controlada pelo sistema Num sistema informatico de registos clinicos os utilizadores t m diferentes tarefas atribuidas e diferentes direitos de acesso a informa o pelo que dever o ser disponibilizadas diferentes formas de identifica o e valida o de um utilizador para que a privacidade e confian a possa ser assegurada Este processo pode ser feito usando um dispositivo f sico como um testemunho em ingl s token ou apresentando algo conhecido tal como uma senha ou frase senha ou usando caracter sticas biom tricas Estas s o normalmente conhecidas como algo que o utilizador sabe por exemplo uma senha algo que o utilizador tem
6. es entre o cliente e o servidor a escuta il cita da informa o em tr nsito uma importante amea a seguran a Pelo facto da informa o circular em claro na rede muito f cil capturar informa o sens vel relacionada com o utente e us la com um prop sito diferente daquele para o qual estaria previsto PEM Privacy Enhancement Mail Procedimentos para autentica o e encripta o de mensagens Para mais especifica es ver RFC1421 1422 1423 e 1424 SIGC Sistema Integrado de Gest o de Inscritos para Cir rgica Programa do governo Portugu s para gerir as listas de espera para cirurgia SHTTP Secure Hypertext Transfer Protocol Protocolo HTTP suportado por SSL Especifica es no RFC 2660 66 A informa o que circula entre os postos clientes do SAM SAPE e o servidor aplicacional e de base de dados encriptada atrav s de mecanismos de seguran a implementados pela pr pria tecnologia de desenvolvimento das aplica es Os servidores aplicacionais SAM e SAPE est o conectados ao servidor de base de dados do SONHO ou SINUS como j foi referido Na grande parte das institui es estes constituem a base de dados central da informa o cl nica do paciente Existem diversas ferramentas dispon veis na Internet por exemplo etherreal que poder o em muito ajudar o atacante A encripta o da informa o cl nica muito importante mesmo dentro da rede interna da institui o po
7. EM Finalized E Submitted EE To be Submitted Figura 29 Servi os disponibilizados pelo CORBAmed O CORBAsec centra a sua actividade na rea da seguran a desenvolvendo funcionalidades de seguran a tais como identifica o e autentica o delega o de privil gios autoriza o e controlo de acesso auditoria de seguran a n o rep dio confidencialidade e encripta o integridade da informa o seguran a nas comunica es entre objectos disponibilidade dom nios de seguran a e gest o de politicas de seguran a Um overview detalhado sobre especifica es dos servi os de seguran a poder ser encontrado em 33 A Figura 30 apresenta o modelo para objectos CORBA Security A todos os objectos invocados s o aplicadas fun es apropriadas de seguran a de forma a fortalecer as politicas de seguran a assim como o controlo de acesso 159 Application Components Security Service Components Security Implementation enforcing security policy Figura 30 Modelo Seguran a Objectos CORBA O CORBAsec possui um conjunto de especifica es dispon veis 34 Authorization Token Layer Aquisition Service ATLAS Common Secure Interoperability Version 2 CSIv2 CORBA Security Service CORBAservices Public Key Interface PKI Resource Access Decision RAD Security Service Protocol SECP As especifica es ATLAS e RAD fornecem funcionalidades de seguran a ao nivel do APIS CSIv2
8. es web aos hospitais da Guarda Hospital Sousa Martins HPC e de Castelo Branco Hospital Amato Lusitano naquele que ser o primeiro passo para a cria o de uma aldeia global na sa de da Beira Interior Em simult neo com a implementa o da infra estrutura de rede sem fios foram realizados estudos no sentido de instalar desenvolver ou adaptar aplica es tecnologia web based e ao tipo de equipamento a utilizar PDAs Tablet PCs etc Na Figura 14 apresentam se algumas imagens dos terminais m veis utilizados para aceder a aplica es do HPC Figura 14 Exemplos de aplica o de terminais m veis no acesso a aplica es cl nicas Para garantir a interoperabilidade e compatibilidade entre equipamentos e mecanismos de seguran a destaca se a conformidade do equipamento com a norma IEEE 802 1g e certifica o Wi Fi A configura o da rede prev a instala o de um servidor RADIUS Remote Authentication Dial In User Service para autentica o dos utilizadores na rede sem fios isolamento de tr fego 88 sem fios na mesma VLAN um servidor DHCP de onde todas as esta es clientes recebem todos as configura es necess rias para um correcto funcionamento Ainda em fase de projecto 80 e para implementar a necess ria interoperabilidade entre a rede sem fios de rea metropolitana de banda larga Wireless Metropolitan Area Network WMAN Worldwide Interoperability for Microwave Access W
9. o correc o e controlo de qualidade dos dados ERETTE Disponibilidade do sistema Re sm TESE eee Existe mecanismos para contrariar potenciais ataques ao sistema do tipo Nega o de Servi os Toler ncia a falhas do sistema e caso de avaria E em caso de ataque E e 178 Auditabilidade Existe registos que permitam efectuar auditoria Que informa o registada Existe verifica o regular desses registos Que meios suportam esses registos Utiliza o ao n vel de administra o A administra o do sistema remota ou tem de ser feita na consola Quais os mecanismos de autentica o utilizados Existem cuidados especiais De que forma feita a protec o da sess o de administra o remota Os procedimentos de administra o est o documentados As interfaces s o f ceis de perceber e utilizar Em situa o de elevada carga do sistema o administrador t m prioridade de acesso E poss vel configurar o sistema de diferentes formas para diferentes utilizadores Que poderes tem o administrador Existe diferentes tipos de administradores Acessos ao sistema para estat stica Utiliza o normal O acesso ao sistema remoto ou local A utiliza o do sistema est devidamente documentada Mecanismos de autentica o utilizados As interfaces s o f ceis de perceber e utilizar Em situa o de
10. r operadores de telecomunica es como por exemplo a Portugal Telecom e ONI O IGIF 58 UPS Unidade Ininterrupta de Alimenta o 62 respons vel pela manuten o de toda a infra estrutura at aos encaminhadores instalados nas institui es Com a reestrutura o operada recentemente no tri ngulo Lisboa Porto e Coimbra e como referido anteriormente a espinha dorsal da RIS apresenta se em tecnologia ATM ver Figura 7 A op o por esta tecnologia deve se principalmente necessidade de suporte integrado de voz v deo e dados em tempo real Estes servi os requerem par metros de qualidade que normalmente n o s o necess rios no tr fego normal de dados de aplica es do tipo base de dados IG ir POR TC VIANA DO IF BRAGA CASTEL O BRAGAN A VILA REAL o Ma Re i m 34M 34m 34m 155M i i Duplica o de VCs e Ga respectiva lagura de banca f fd pevacor gt Mw wot co S 1 Se ae se PY ae CASTELC Pontes dp men BRANCO ea Ps en 34M ae O curvy a Rede ATM do Operador d Telecomunicac es ONE 2 a 5009 E onsas a a to cs AVEIR Si LEIRIA N s de interliga o dferena agos A t S Redund noa do X equipamento actvo A MF ee SM s de suporte 30 eeaeee a 34M 34M circuito de acesso ps SAMA 34th IM bee 34M Nee Rag a Raio ts cumes aM FARO BEJA VORA SETUBAL PORTALEGRE SANTAREM Figura 7 Esq
11. transmiss o e armazenamento dos dados usando equipamento m vel podem ser enumeradas a grande maioria j foi referida em cap tulos anteriores tratar dispositivos n o registados como intrusos refor ar a utiliza o nos dispositivos pessoais de ferramentas de seguran a activar senhas de acesso e considerar a activa o de autentica o biom trica utilizar mecanismos de autentica o para aceder ao servidor de informa o configurar o dispositivo para destruir informa o cr tica caso sejam tentados acessos n o autorizados cifrar dados armazenados identificar bem os dispositivos na rede cifrar dados em tr nsito ponto a ponto por exemplo canal seguro SSL monitorizar e fazer auditorias ao sistema No geral nota se que existe preocupa es mas poucos avan os em mat ria de seguran a no que se relaciona com estas novas tend ncias Normalmente apenas s o implementados os mecanismos disponibilizados nativamente pelo equipamento ou na plataforma base e nem sempre da melhor forma Um factor relevante sobre a seguran a da tecnologia sem fios a escolha de equipamentos de qualidade e instala o de infra estrutura de seguran a integrada bem planeada Em Portugal existem alguns exemplos de sucesso de solu es que fornecem mobilidade aos profissionais de sa de Como referido no Capitulo 3 algumas institui es utilizam equipamento m vel no acesso ao SAPE pelos profissionais de enfermagem cujo principal objectivo a
12. 1 14 SEGNAC 4 O SEGNAC 4 Normas para a Seguran a Nacional Salvaguarda e Defesa Mat rias Classificadas Seguran a Inform tica Resolu o do Conselho de Ministros n 5 90 de 28 de Fevereiro que aprova as instru es sobre a seguran a inform tica 51 As instru es emanadas pela resolu o definem princ pios b sicos normas e procedimentos destinados a garantir a seguran a e protec o das mat rias classificadas no mbito dos organismos do Estado quando transmitidas por meios el ctricos e electr nicos Algumas das instru es relativas 167 Seguran a f sica das instala es reas de seguran a estrutura das instala es energia el ctrica climatiza o protec o contra inc ndios e radia es electromagn ticas controlo de entradas e sa das etc Seguran a de suportes f sicos controlo de circula o caracteriza o de suportes magn ticos e pticos protec o contra radia es etc Seguran a L gica controlo l gico de acessos controlo dos dados manuten o etc Classifica o prepara o e seguran a de dados e programas classificados Reprodu o transfer ncia controlo de seguran a e destrui o de dados e programas classificados A revis o e as propostas de altera o s normas competem Comiss o T cnica do Sistema de Informa es da Rep blica Portuguesa em coordena o com a Autoridade Nacional de Seguran a 1 15 H 323
13. A legisla o da enquadramento jur dico a m ltiplas situa es e rege a actividade dos profissionais por exemplo a obriga o do sigilo profissional mas n o suficientemente abrangente para cobrir todas as situa es o que complementado pelos c digos deontol gicos ou ticos No dom nio da sa de a legisla o muito rigorosa e todos os profissionais desta rea est o sujeitos a regras restritivas no caso dos m dicos definidas pela Ordem dos M dicos Os profissionais de inform tica na rea de sa de est o sujeitos a leis mais abrangentes como o segredo profissional a protec o de dados a privacidade e outras Como exemplo podemos observar no C digo Penal Portugu s 144 alguns artigos de extrema import ncia neste contexto Artigo 195 Viola o do Segredo Quem sem consentimento revelar segredo alheio profiss o punido Artigo 196 Aproveitamento Indevido do Segredo Quem sem consentimento se aproveitar de segredo profissional e provocar deste modo preju zo a outra pessoa punido 39 Artigo 197 Agrava o As penas previstas nos artigos 190 a 195 s o elevadas limites m ximos se para obter recompensa ou enriquecimento Por seu turno a lei n 67 98 de 26 de Outubro 18 Lei da Protec o de Dados Pessoais transp e para a ordem jur dica portuguesa a directiva 95 46 CE do Parlamento Europeu e do
14. a op o por fibra ptica traz vantagens Em termos de 32 topologia dever o ser adoptadas solu es em estrela Por outro lado deve ser dada aten o adequada protec o dos meios de comunica o por exemplo utiliza o de tubagens e calhas embutidas ou enterradas restringindo o acesso a zonas t cnicas e zonas de bastidores de rede Ao n vel da camada de liga o de dados e transporte e no caso das redes locais para prevenir os ataques identificados podem ser utilizadas v rias solu es mas como natural nem todos os problemas de seguran a ficam resolvidos a este n vel e ter o que ser tratados nas camadas superiores Algumas das solu es poder o passar pela prefer ncia por tecnologia comutada e utiliza o de VLANs que permitem a cria o e isolamento de grupos de m quinas separando o tr fego do resto da rede utiliza o de sistemas IDS e auditoria do funcionamento da rede com o objectivo de monitorizar e detectar padr es anormais de tr fego e a actividade de eventuais sniffers cria o de zonas de rede desmilitarizadas DMZ para ajudar a prevenir algumas das amea as referidas A par de uma grande variedade de aplica es existe uma grande diversidade de solu es para garantia de seguran a no n vel de aplica o por exemplo autentica o com base em certificados digitais X 509 autentica o de servi os com Kerberos transac es electr nicas seguras atrav s do protocolo SET c
15. es de Identifica o Electr nicos Cart es Profissionais de Sa de Assinatura Digital Certificados Digitais Selos temporais Implementa o PKI Guia para protec o de dados Guia para a gest o da seguran a ATLAS CSIv2 CORBA security services PKI RAD SECP 132 1 1 DICOM A norma DICOM Digital Imaging Communications in Medicine DICOM 3 0 2004 19 tem sido desenvolvida para atender as necessidades de fabricantes e utilizadores de equipamentos de imagem m dica A norma DICOM define um conjunto de regras que permitem que imagens m dicas e informa es associadas sejam trocadas entre equipamentos de imagem computadores e entidades que actuam na rea da sa de Estabelece uma linguagem comum entre os equipamentos de marcas diferentes que geralmente n o s o compat veis e entre equipamentos de imagem e computadores estejam estes em hospitais cl nicas ou laborat rios geograficamente distribu dos uma especifica o detalhada que descreve meios de formata o e transmiss o de imagens e informa es associadas Esta norma j usada em Portugal por entidades que implementaram PACS Picture Archiving Communication System ou pelos sistemas de telemedicina existentes e tem uma grande influ ncia nos sistemas de informa o das institui es de sa de pois para al m de disponibilizar as imagens atrav s da rede permite que se crie um arquivo digital de imagens e assim se convirja
16. es devem ser definidas de acordo com a necessidade de desempenho das fun es e considerando o princ pio dos privil gios m nimos ter acesso apenas aos recursos ou sistemas necess rios para a execu o de tarefas O arquivo de senhas deve ser cifrado e ter o acesso controlado As senhas devem ser individuais secretas intransmiss veis e protegidas com grau de seguran a compat vel com a informa o associada e o sistema de controlo de acesso deve possuir mecanismos que impe am a gera o de senhas fracas ou bvias As seguintes caracter sticas das senhas devem estar definidas de forma adequada conjunto de caracteres permitidos tamanho m nimo e m ximo prazo de validade 104 m ximo forma de troca e restri es espec ficas A distribui o de senhas aos utilizadores deve ser feita de forma segura A senha inicial quando gerada pelo sistema deve ser alterada pelo utilizador no primeiro acesso O sistema de controlo de acesso deve permitir ao utilizador alterar sua senha sempre que o desejar A troca de uma senha bloqueada s deve ser executada ap s a identifica o do utilizador A senha digitada n o deve ser exibida Devem ser adoptados crit rios para bloquear ou desactivar utilizadores em caso de tentativas sucessivas de acesso mal sucedidas e em caso de aus ncia ao servi o por per odo pr definido O sistema de controlo de acesso deve solicitar nova autentica o ap s certo tempo de inactividade da sess o timeo
17. internacional Com estas propostas poderemos dotar os sistemas de informa o cl nicos com um processo de autentica o forte e seguro permitindo a sua inser o numa rede alargada de confian a 118 utilizando as mesmas tecnologias de seguran a dos sistemas em ambientes web based Desta forma o acesso remoto e partilha da informa o cl nica sobre os sistemas existentes e de forma segura poderia ser implementado recorrendo s mesmas tecnologias certificados digitais PKI TTPs cart es inteligentes quer os acessos sejam provenientes da intranet ou do exterior da institui o por exemplo RIS N o existem solu es de seguran a perfeitas ou completas exige se uma melhoria cont nua Um factor relevante sobre a seguran a das tecnologias e sistemas a defini o de pol ticas de seguran a a escolha de equipamentos e de sistemas de qualidade e bom planeamento da infra estrutura de rede Em resumo todas as propostas apresentadas t m por finalidade estabelecer orienta es gen ricas que poder o ser adoptadas pelas organiza es e dever o ser embebidas noutros processos a elas espec ficos com o principal objectivo de colmatar as principais vulnerabilidades identificadas na gest o e utiliza o da informa o cl nica 18 TTPs Trusted Third Parties Servi os externos destinados a facilitarem as rela es de confian a envolvidas nas comunica es 119 6 CONCLUSOES FINAIS O desenvolvimento
18. ncia e se n o for poss vel a presen a do respons vel as ac es dever o ser devidamente auditadas e documentadas para que o uso impr prio possa ser detectado e corrigido quando poss vel O invent rio deve ser mantido para ajudar na execu o dessas ac es Objectos roubados ou perdidos devem ser devidamente desactivados Isto mais f cil de executar se o invent rio for mantido e actualizado correctamente Neste contexto a norma ENV 13729 Secure User Identification for Healthcare Strong Authentication using Microprocessor Cards SEC ID CARDS ver Anexo A est orientada para a identifica o segura do utilizador nos sistemas de informa o para a sa de Preconiza autentica o forte atrav s do uso de cart es profissionais de sa de e certificados digitais No processo de identifica o e autentica o atrav s de algo que o utilizador o primeiro passo para os iniciar e usar apropriadamente saber quando onde e por quem estes sistemas biom tricos v o ser utilizados Devem ser escolhidos dependendo do n vel de seguran a exigido quantos e que tipos de erros podem ser suportados e se o sistema tem o comportamento esperado Se todos estes requisitos forem considerados bem preparados se os sistemas forem adequadamente testados e os utilizadores bem preparados para a sua utiliza o podem ser evitados a maior parte dos problemas de seguran a ligados ao acesso indevido 2 4 Controlo de Acesso
19. ncia de produtos de defesa relativamente bem desenvolvidos os problemas com o software malicioso t m aumentado Existem para tal duas raz es principais Em primeiro lugar a abertura da Internet permite que os atacantes aprendam uns com os outros e desenvolvam m todos para contornar os mecanismos de protec o Em segundo lugar a Internet continua a crescer e a ganhar novos utilizadores muitos dos quais n o t m consci ncia da necessidade de tomar 39 MPLS Multiprotocol Label Switching o principal objectivo a integra o dos paradigmas de troca r tulos com o n vel tradicional de roteamento em redes Os fundamentos do MPLS est o especificados no RFC 3031 36 medidas preventivas Nas institui es de sa de existe uma grande diversidade de utilizadores com acesso Internet uns mais bem intencionados outros menos e por isso a seguran a depende do grau de utiliza o ou efic cia do software de protec o No sentido de minimizar o risco dos incidentes ambientais em redes locais dever o existir procedimentos e regras espec ficas de forma a salvaguardar informa o sens vel e vital da sa de do paciente Por exemplo no caso de inc ndio para al m de dever existir protec es f sicas s o necess rios procedimentos e alarmes para detec o de inc ndio A recupera o deste ou outro tipo de desastres poder se fazer a partir de um sistema redundante ou c pias de seguran a localizado num espa o f sico dif
20. ncia de um nico par de chaves e faz a liga o entre um certificado e um utilizador em particular gere os certificados publicados Faz parte de um sistema cruzado de 131 CRL Lista de Certificados Revogados 173 certifica o com outros CAs em que assina certificados de outras CAs Assim publica num reposit rio p blico toda a informa o de revoga o de certificados Assina e arquiva na sua base de dados todos os dados hist ricos Logs De referir que a Root CA que se encontra no topo da hierarquia gera o seu pr prio par de chaves 2 2 Servi os Acess rios Servi o de Direct rio tem duas fun es principais publica o de certificados publica o da lista de revoga o de certificados ou publica o online do status de um certificado O sistema universalmente aceite o direct rio X 500 em que as aplica es t m acesso aos certificados por LDAP Lightweight Directory Access Protocol Servi o de Revoga o de Certificados necess rio por v rios motivos as chaves podem ficar comprometidas por existirem colaboradores que abandonam as organiza es ou como medida administrativa para retirar o acesso a colaboradores a informa o de uma forma tempor ria ou definitiva Os certificados revogados s o tipicamente referenciados numa CRL As CRL s podem ser publicadas num direct rio p blico X 500 A grande quest o fazer a verifica o da CRL sempre que utiliz
21. os conte dos dos dados armazenados ou transmitidos ficarem inconsistentes ou corrompidos As raz es que poder o estar na origem das amea as s o por exemplo erros operacionais na introdu o e manipula o de dados erros no software v rus mau funcionamento do equipamento 2 2 Desenvolvimento e Implementa o A primeira coisa a pensar no desenvolvimento ou implementa o de um sistema para registo cl nico electr nico nos prop sitos a que se destina fundamental saber o que que o sistema vai fazer quais os seus principais objectivos e tamb m a que utilizadores se destina De seguida definir as funcionalidades que dever conter e o ambiente em que ir ser usado para que a escolha das tecnologias de implementa o seja adequada No desenvolvimento do sistema de registo cl nico electr nico dever se 4 ainda ter em considera o os diferentes tipos de profissionais que ir o estar envolvidos pessoal de enfermagem m dicos administrativos e inform ticos s o alguns deles Dever o ser reunidos esfor os no sentido de obter usabilidade e ao memo tempo seguran a do sistema Pensando desta forma desde o inicio a constru o do sistema ser mais estruturada e estar mais adaptada aos utilizadores e aos prop sitos para a qual foi definido e resultando num sistema mais seguro A integra o com outros m dulos que constitui o sistema dever ser f cil e n o interferir com as suas funcionalidades mas tudo
22. pacientes de diferentes pa ses assim como organiza es envolvidas internacionalmente por exemplo no e commerce e no e pharmacy ISO TS 27799 A norma ISO WD 27799 Security Management in Health Using ISO IEC 17799 proporciona um guia para as organiza es prestadoras de cuidados de sa de e outros detentores de informa o de sa de na implementa o da norma ISO IEC 17799 com o prop sito da confidencialidade integridade e disponibilidade da informa o pessoal de sa de Define um plano de ac o para implementar a norma ISO IEC 17799 providenciando uma cheklist de controlo em 11 reas contendo um total de 39 categorias de seguran a Esta norma tem sido amplamente adoptada pela Austr lia Canada Netherlands New Zealand South Africa e United Kingdom na gest o da seguran a dos SIS 155 Todos os objectivos de controlo descritos pela norma ISO IEC 17799 s o relevantes na rea da Informatica M dica mas alguns dos controlos requerem uma explica o adicional na forma de usar para proteger a confidencialidade integridade e disponibilidade da informa o de sa de Existe tamb m alguns requisitos adicionais espec ficos do sector da sa de ISO TS 18308 O prop sito da norma ISO TS 18308 Requirements for an Electronic Health Record Architecture fixar os requisitos cl nicos e t cnicos para uma arquitectura de registos electr nicos de sa de que suporte o uso a partilha e interc mbio dos registos
23. rio da Sa de publicado na p gina do IGIF Esta apenas uma proposta de implementa o com recurso a ferramentas abertas por exemplo OpenSSL pouco dispendiosa do ponto de vista de investimento em desenvolvimento e tecnologia N o necess rio aquisi o de certificado root CA a uma empresa externa Multicert Verisign etc pois este disponibilizado pela ECEE A dificuldade n o est propriamente na sua programa o mas sim na sua implementa o 5 4 Conclus o A implementa o de uma infra estrutura de seguran a e de pol ticas de seguran a hoje um factor imprescind vel ao desenvolvimento e implementa o de sistemas que permitam criar um registo cl nico nico e em formato electr nico A abertura das barreiras informa o nas institui es cl nicas pressup e como requisito fundamental que exista um trabalho pr vio de estrutura o interna nos sistema de informa o de forma a dot los com mecanismos seguros de identifica o e autentica o dos utilizadores impondo o uso da assinatura digital impedindo o n o rep dio dos actos dos profissionais de sa de e garantindo confidencialidade e integridade dos dados Assegurados que estejam estes pontos os sistemas de informa o cl nicos est o em condi es de permitir o acesso e partilha de informa o remota recorrendo a estruturas de confian a permitindo inclusivamente a sua integra o numa estrutura regional nacional ou mesmo
24. rio p blico com acesso LDAP uma impressora para o cart o profissional Unidades da Sa de Unidades de Sa de Figura 21 Arquitectura de Implementa o de uma PKI A solu o proposta assenta numa arquitectura do tipo centralizada com duas vertentes O IGIF respons vel pela emiss o e gest o dos certificados institucionais hospitais centros de sa de IGIF etc As institui es s o respons veis pela gest o de todo o ciclo de certifica o nas suas institui es funcionam como Sub CAs Estas acedem de uma forma segura a um servidor web disponibilizado pela RIS partilhado por todas as institui es LDAP Lightweight Directory Access Protocol um protocolo para actualizar e pesquisar direct rios atrav s de TCP IP Um direct rio LDAP geralmente segue o modelo X 500 Mais especifica es ver RFC 4210 75 CA Autoridade Certificadora a entidade respondivel pela emiss o e administra o dos certificados digitais O CA actua como sendo o agente de confian a na PKI 79 RA Autoridade de Registo respons vel por guardar e verificar toda a informa o que a CA precisa para emitir o certificado 10 Os servidores de CA e RA ficam colocados na rede interna do IGIF protegidos pelos mecanismos de seguran a j implementados na rede Nesta rede tamb m se prop e colocar o servi o de direct rio LDAP cujas fun es principais s o a publica o de certificados e a publica
25. rus conhecidos A duplica o da base de dados quando exista nunca deve ser acess vel por qualquer m quina do sistema a n o ser a base de dados central A replica o deve ser feita automaticamente e em horas de pouco tr fego Dever tamb m existir uma outra barreira por exemplo outra firewall entre o servidor aplicacional e a base de dados de registos cl nicos desta forma se o servidor aplicacional atacado existe outro obst culo a ser ultrapassado para atingir o servidor da base de dados Como foi mencionado anteriormente existe um grande problema relacionado com o acesso s bases de dados para investiga o em que a informa o pode ser inferida mesmo quando esta foi devidamente processada para que os pacientes n o tenham uma identifica o directa Um tipo de protec o poder passar por especificar um n mero m nimo de campos a pesquisar e nunca permitir aos utilizadores interrogar todos os registos de uma s vez O primeiro passo na protec o de sistemas de informa o a seguran a f sica pois pode prevenir ataques tais como roubo ou destrui o de equipamento No caso das bases de dados dos pacientes estas dever o ser colocadas em locais controlados onde apenas pessoal autorizado possa aceder Meios de autentica o suplementares tais como dispositivos biom tricos podem ser utilizados nestes casos Quando nenhum dos obst culos f sicos funciona a cifragem pode ser uma solu o para impedir o acess
26. rus fazem an lise de arquivos disseminados pela Internet ou correio electr nico tentando neles detectar c digo malicioso ARP Address Resolution Protocol O protocolo TCP IP relaciona dinamicamente um endere o IP endere o l gico com um endere o MAC endere o f sico O ARP usado dentro de um segmento de rede e limitado a redes que suportam broadcast ATM Asynchronous Transfer Mode Uma rede baseada num conjunto de switches ATM inter conectados por liga es ATM ponto a ponto em fibra ptica Esta tecnologia introduz o conceito de c lulas endere amento e circuitos virtuais Certificados Digitais Um certificado digital pode ser definido como um documento electr nico assinado digitalmente por uma terceira parte confi vel que associa o nome e atributos de uma pessoa ou institui o a uma chave criptogr fica p blica DMZ DeMilitarized Zone ou Zona Neutra corresponde ao segmento parcialmente protegido que se localiza entre redes protegidas e redes desprotegidas e que cont m todos os servi os e informa es para clientes ou p blicos DNS Domain Name System O servi o DNS permite que as m quinas na rede sejam identificadas por um nome para al m da identifica o pelo endere o IP Firewall Um firewall ou barreira corta fogo um equipamento colocado na zona fronteira de uma rede cujo o principal objectivo o controlo de acessos n o autorizados oriundos de outras re
27. vel a pessoal n o autorizado A CNPD considera que s a automatiza o do processo cl nico dotado das necess rias medidas de seguran a senhas perfis de utilizadores e separa o l gica entre dados administrativos e l gicos podem conferir confidencialidade informa o cl nica dos pacientes Em conclus o existe a preocupa o de aplicar normas e legisla o de seguran a adequada a este tipo de sistema de informa o no entanto a maior parte refere se apenas ao uso de informa o electr nica Em Portugal n o existe legisla o espec fica na rea da seguran a para ambientes de presta o de cuidados de sa de muito menos para o registo cl nico electr nico do paciente tal como existe o HIPAA nos EUA ver Cap tulo 2 Contudo existe legisla o portuguesa que regulamenta os direitos privacidade e o acesso informa o cl nica mas que n o muito concreta relativamente informa o a que se pode aceder ou n o urgente definir regulamenta o espec fica relacionada com os dados pessoais do paciente 69 3 9 Grelha de Avalia o de Aspectos de Seguran a Para demonstrar a aplicabilidade da grelha referida no Cap tulo 2 no mbito dos sistemas de informa o para a sa de ir ser aplicada ao sistema de registo cl nico SONHO em uso numa grande parte hospitais p blicos em Portugal apenas uma exemplo que espelha a realidade em algumas institui es Pela an lise resumida da grelha ver
28. 1 http europa eu int information society ceurope 2002 news library documents ceurope2005 Documento eEuropa 2005 Dez 05 eeurope2005 pt pdf 3 http www di fe ul pt tech reports 03 27 pdf Implementa o de uma PKI no Minist rio da Justi a Nov 05 4 http www rederio br downloads pdf atm pdf Tutorial Redes ATM Nov 05 5 http Awww dem ubi pt humberto Investiga ARTIGOS Redes Sem Fios IEEE 802 11 Inst Insta o e configura o de redes sem fios Nov 05 alacao Configuracao e Seguranca pdf 11 http Avww ordemdosmedicos pt ie institucional CNE b5 htm C digo deontol gico destinado a m dicos Out 05 12 http www abpi org uk links assoc pmcpa asp Regula o dos aspectos de prescri o de medicamentos Out 05 13 http www healyprozac com MCA default htm Entidade governamental no Reino Unido trabalha na regula o Out 05 dos aspectos de prescri o de medicamentos 14 7 http www hon ch Regras definidas pelo HONcode Out 05 15 http www ihealthcoalition org ethics code0524 pdf Princ pios definidos pelo IHCC Code Out 05 16 http www imia org pubdocs rec english pdf C digo de tica para os profissionais na rea IM Out 05 17 http Awww cnpd pt index asp Homepage Comiss o Nacional Protec o de Dados Out 05 18 Lei da Protec o de Dados Pessoais Lei n 67 98 de 26 de Outubro Out 05 http www cnpd pt bin legis nacional lei_6798 htm 19 http Awww nema org Norma DICOM Set 05 20
29. Conselho de 24 de Outubro de 1995 e trata quest es relativas protec o das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre circula o desses dados No seu princ pio geral artigo 2 l se O tratamento de dados pessoais deve processar se de forma transparente e no estrito respeito pela reserva da vida privada bem como pelos direitos liberdades e garantias fundamentais Esta lei regula o tratamento de dados pessoais que envolve os direitos dos seus titulares a seguran a e confidencialidade do seu tratamento e movimenta o Da legisla o que se aplica aos registos cl nicos electr nicos de real ar o artigo 35 da constitui o que refere Todos os cidad os t m o direito de acesso aos dados informatizados que lhe digam respeito podendo exigir a sua rectifica o e actualiza o e o direito de conhecer a finalidade a que se destinam nos termos da lei A lei define o conceito de dados pessoais bem como as condi es aplic veis ao seu tratamento automatizado conex o transmiss o e utiliza o e garante a sua protec o designadamente atrav s de entidade administrativa independente A inform tica n o pode ser utilizada para tratamento de dados referentes a convic es filos ficas ou pol ticas filia o partid ria ou sindical f religiosa vida privada e origem tnica salvo mediante consentimento expresso do titular autoriza o prevista por lei com garantias de
30. MSc in Information Security RHUL September 2002 Ana Farreira Aspectos de Seguran a Dez 05 http www unifr ch derechopenal legislacion pt CPPortugal pdf Codigo Penal Portugu s Fev 06 130 Anexo A Normas e Sistemas de Classifica o e Codifica o 1 Normas na Inform tica M dica As organiza es que se dedicam ao desenvolvimento de normas assim como American Society for Testing and Materials ASTM Health Level Seven HL7 Object Management Group OMG o Computer based Patient Records Institute CPRI Comit Europ en de Normalization CEN estudam e produzem normas relacionados com os aspectos de seguran a dos sistemas de informa o para a sa de atrav s dos seus grupos de trabalho e de projectos especiais O foco de aten o destes grupos de trabalho desenvolver pol ticas de seguran a procedimentos para lidar com as amea as aos sistemas de seguran a e tamb m definir servi os de seguran a Actualmente as normas de seguran a mais usadas nos sistemas de informa o para a sa de s o CEN TC 251 na Europa e o ASTM nos Estados Unidos As organiza es que n o est o acreditadas para o desenvolvimento de normas como Computer based Patient Record Institute CPRI e CORBAmed a sua actividade passa por assistir e promover o processo de desenvolvimento de normas atrav s da sua participa o no ANSI HISB American National Standards Institute Health Informatics Standards Board As v rias o
31. Mais recentemente o plano eEurope 2005 1 estimula servi os aplica es e conte dos que criem novos mercados reduzam custos e incrementem a produtividade em toda a economia destacando se pelo mbito deste estudo a promo o de servi os electr nicos de sa de o eSa de Para a prossecu o deste fim foram propostas tr s ac es utiliza o de cart es de sa de electr nicos expans o de redes de informa o de sa de estabelecimento de servi os de sa de on line O sector da sa de em Portugal n o ficou de facto margem deste processo de mudan a e por isso a telem tica aplicada sa de tem vindo progressivamente a afirmar se como uma resposta s in meras necessidades com que o sistema de sa de se confronta Assim os efeitos da telem tica aplicada sa de t m sido largamente debatidos n o deixando de parte aspectos ticos e legais nomeadamente no que se refere privacidade confidencialidade direitos de acesso e de propriedade protec o e seguran a dos dados fiabilidade dos produtos e regulamenta o da pr tica profissional em Portugal e no mundo 1 1 Enquadramento O registo electr nico dos dados cl nicos dos pacientes e a sua partilha entre todos os profissionais envolvidos fundamental para optimizar os processos de presta o de cuidados de sa de Para que o registo e circula o da informa o cl nica em formato electr nico seja bem aceite fundamental assegurar que este tipo de cir
32. O uso de senhas deve estar submetido a uma pol tica espec fica de gest o de utiliza o O acesso l gico aos recursos da rede local deve ser realizado por meio de um sistema de controlo de acesso O acesso deve ser concedido e mantido pela administra o da rede baseado nas responsabilidades e tarefas de cada utilizador A conex o com outras redes por exemplo redes sem fios e altera es internas na sua topologia e configura o devem ser formalmente documentados e guardados de forma a gerar um registo hist rico O diagrama topol gico a configura o e o invent rio dos recursos devem ser mantidos actualizados Devem ser definidos relat rios de seguran a de modo a auxiliar no tratamento de desvios recupera o de falhas contabiliza o e auditoria Os registos devem ser analisados periodicamente e o per odo de an lise estabelecido deve ser o menor poss vel 103 A alimenta o el ctrica para a rede local deve ser separada da rede convencional devendo ser observadas as recomenda es dos fabricantes dos equipamentos utilizados assim como as normas aplic veis O tr fego de dados deve ser monitorizado a fim de verificar sua normalidade e detectar situa es an malas do ponto de vista da seguran a Informa o sigilosa que possa causar preju zo ao paciente deve estar protegida e n o ser enviada para outras redes sem protec o adequada Os registos de eventos devem ser analisados periodicamente no menor prazo
33. Object Management Group 31 CORBA uma tecnologia orientada ao objecto que torna poss vel o desenvolvimento escal vel e reutiliz vel de software que seja independente da plataforma de software e do sistema operativo Um objecto CORBA representa se por um interface que possui um conjunto de m todos A OMG criou dois grupos de trabalho CORBAmed e CORBA Security Service CORBAsec que cooperam entre si no sentido de promover a seguran a necess ria nos sistemas de sa de O CORBAmed 32 designado por Domain Task Force na rea da inform tica m dica Define as tecnologias para a interoperabilidade dos sistemas 1 e define interfaces normas orientadas ao 158 objecto entre sistemas de sa de de forma a promover a interoperabilidade entre diferentes plataformas linguagens e aplica es Algumas das actividades mais importantes do CORBAmed est o representadas na Figura 29 Perdido Clinical Image interpretation Components Access Service Facility Clinical Lexical Observation Query Service Access Service Terminology Server e 3M 3M Care Data Systems Person Healthcare e Protocol Systems CareFlow Net Identification Resource HBO amp Co Service Access Control e Philips Medical 2AB e 2AB Systems e Care Data Systems Baptist Health Protocol Systems HBO amp Co Systems of South Florida e Sunquest Health magic e CareFlow Net HUBlink IBM IDX e lona e Oacis Protocol Systems Sholink
34. SAM e um m dulo orientado para a actividade de enfermagem o SAPE Estes dois sistemas t m por base a informa o cl nico administrativa processada no SONHO ou no SINUS Uma vez que estes s o sistemas diferentes na realidade foram desenvolvidos dois m dulos do SAM e dois m dulos do SAPE uma para os cuidados de sa de prim rios integrado no SINUS outro para os cuidados de sa de secund rios integrado no SONHO Cada um destes m dulos tem por objectivo organizar e estruturar a informa o registada no SONHO e no SINUS segundo uma perspectiva cl nica no sentido de promover a qualidade da assist ncia prestada ao paciente As principais funcionalidades disponibilizadas pelo SAM nos Hospitais permitem ao m dico efectuar o registo do di rio da consulta internamento ou urg ncia prescrever meios complementares de diagn stico e terap utica prescrever medicamentos marcar pr xima consulta consultar e registar antecedentes pessoais e familiares elaborar e consultar relat rios aceder hist ria cl nica do paciente etc De salientar a funcionalidade do Processo Cl nico Electr nico que tem vindo a ser implementada pelo SAM e que permite consultar informa o detalhada sobre o paciente O SAM para os cuidados de sa de prim rios apresenta apenas a op o Consulta Externa que permite ao m dico efectuar registos di rios da consulta prescrever medicamentos marcar nova consulta no centro de sa de ou remotament
35. Safety and Security Related Software Quality Standards for Healthcare SSQS Framework for security protection of healthcare communication SEC COM FR Framework for Security Requirements for Intermittently Connected Devices SEC ICD Health Informatics Health Informatics Security Health Informatics Health Informatics Guia para a protec o dos dados envolvidos em aplica es inform ticas internacionais em que existe transmiss o de dados pessoais de sa de entre pa ses membros da EU e pa ses n o membros Propostas de algumas normas de qualidade relacionadas com a seguran a e protec o de software na rea da sa de O relat rio descreve a estrutura de protec o de seguran a na comunica o dos SIS Define requisitos de seguran a dos ICD assim como os cart es de pacientes que transportam informa o cl nica importante Especifica medidas a adoptar na protec o de dados pessoais de sa de nas transmiss es entre pa ses membros e n o membros da EU Referencia diferentes normas no mbito da seguran a Referencia outras normas no mbito da seguran a Planeamento b sico para as normas Europeias dentro do mesmo assunto Security Requirements for Intermittently Connected Devices Auditorias Medidas especiais de seguran a Medidas gen ricas de seguran a Contratos de seguran a Pol ticas de seguran a An lise de risco Seguran a da
36. TC 251 O CEN European Committee for Normalization a organiza o respons vel pela cria o de novas normas na Uni o Europeia EU 23 Na rea da sa de foi criado um comit t cnico denominado CEN TC 251 Medical Informatics cujo objectivo atingir compatibilidade modularidade e interoperabilidade entre sistemas heterog neos da sa de Estas normas incluem requisitos tais como procedimentos cl nicos e administrativos m todos e t cnicas para suportar a interoperabilidade entre sistemas qualidade e seguran a O CEN TC 251 composto por 4 grupos de trabalho que cooperam entre si sendo de real ar o trabalho desenvolvido pelo Working Group II WGIII Security Safety and Quality Este grupo de trabalho tem a cargo a gest o e desenvolvimento de normas de seguran a e confidencialidade para a UE e apresenta uma oferta consolidada no dominio dos SIS O desenvolvimento destas normas ocorre em paralelo com as normas b sicas da inform tica para as comunica es nos SIS e os sistemas de registos electr nicos Algumas das normas desenvolvidos por este grupo podem ser observados na Tabela 6 a referir por exemplo ENV 12924 Security Categorisation and Protection of Healthcare Information Systems ENV 12388 Algorithm and Digital Signature Services in Healthcare ENV 13608 Security for Healthcare Communication O projecto SMIREC project Secure Medical Record Informa
37. a devem comunica lo ao seu superior imediato Chefias dever dos respons veis pelos servi os garantir que o pessoal sob sua supervis o compreende e desempenha a obriga o de proteger a informa o da institui o Devem comunicar formalmente ao servi o que atribui privil gios aos utilizadores quais os colaboradores sob sua supervis o que podem ter acesso informa o e a que tipo e comunicar os nomes dos colaboradores demitidos ou transferidos para exclus o no cadastro dos utilizadores que ficaram assim impedidos de aceder aos activos de informa o e de processamento relacionados com a sua rea de actua o Gestor de Seguran a Cabe ao gestor de seguran a a responsabilidade de definir e aplicar para cada utilizador as restri es de acesso rede hor rio autorizado tipo de utiliza o etc e controlar os privil gios de utilizadores remotos e externos por exemplo manuten o remota por empresas externas RIS devendo detectar identificar registar e comunicar ao IGIF as viola es ou tentativas de acesso externo n o autorizadas i e tentativas de acesso provenientes da RIS Deve manter registos das actividades dos utilizadores por um per odo alargado por exemplo 5 anos que devem conter hora e data das actividades a identifica o do utilizador comandos e argumentos executados identifica o do posto de trabalho local ou remoto que efectuou a conex o n mero dos processos e cond
38. a salientar o padr o HIPAA 35 que preconiza um conjunto de pol ticas e procedimentos que garantam a privacidade da informa o em formato electr nico e dos sistemas de sa de Atrav s de um conjunto de regras o HIPAA pretende controlar o acesso aos sistemas e proteger as comunica es que contenham dados privados de sa de em redes de comunica es Destas medidas destaca se a protec o contra intrus o dos sistemas que cont m informa o privada relativas sa de e se a informa o circular em redes abertas uso de protec o criptografica a responsabiliza o da organiza o pela integridade dos dados o uso de certificados digitais assinaturas digitais e a autentica o de mensagens para assegurar integridade dos dados exist ncia de um documento escrito sobre as tecnologias de informa o e suas configura es de componentes de rede programas de An lise e gest o de risco etc Este tipo de certifica o HIPAA bastante eficaz n o s pelo facto de ser uma certifica o pelo que sujeita a controlo e auditorias peri dicas mas tamb m porque sustentada por legisla o e por isso deveria ser adoptada em Portugal Sublinha se ainda o trabalho desenvolvido pela comunidade que integra a funda o openEHR 94 no dom nio do processo cl nico electr nico no desenvolvimento de especifica es do c digo fonte aberto no suporte forma o inform tica na sa de e na coopera o com o CEN ISO e HL7
39. adequados Existe sempre a necessidade de conhecer o melhor poss vel o sistema que est a ser desenvolvido ou usado o que vai ajudar a atingir os objectivos inicialmente definidos Independentemente do processo estar a ser bem feito ele poder n o estar a ser feito t o bem quanto deveria Os utilizadores a tecnologia o equipamento e uma boa dose de bom senso s o as fases mais importantes deste ambiente Todas elas s o necess rias para se interagir compreender e confiar mutuamente no sistema Uma das li es mais importantes a retirar o facto de que independentemente da tecnologia avan ada usada os controlos de seguran a aplicados nunca s o suficientes se n o existir seguran a f sica para os completar A seguran a dever ser pensada como um todo Deve existir sempre 44 liga o entre a seguran a f sica e l gica para proteger os servidores e evitar ataques maiores a seguran a Estes ataques podem ter um impacto muito negativo e comprometerem seriamente a qualidade dos servi os prestados ao paciente para al m de tamb m poderem comprometer v rios anos de investiga o importante Na gest o de acessos e disponibilidade o controlo de acessos a parte da seguran a na qual os utilizadores interagem com o sistema Por essa raz o o ponto mais fraco no processo da cadeia de seguran a Os utilizadores podem fazer qualquer coisa para evitar a seguran a apertada e executar o seu trabalho mais facilmente O controlo d
40. ceis de usar introduziram no entanto ainda mais inseguran a Piorou ainda mais com o desaparecimento de fronteiras definidas num qualquer sistema de informa o com o uso da Internet como fonte de recursos e um meio de troca e partilha de conhecimentos m dicos Os protocolos da Internet podem permitir que a informa o seja modificada durante a comunica o atrav s da rede sem que as partes envolvidas disso se apercebam Qualquer sistema de informa o de cuidados de sa de suportado por infra estruturas de rede como base para as comunica es partilha e acesso informa o que normalmente se encontra em servidores de bases de dados localizados remotamente Os sistemas de comunica o compreendem em regra diversas camadas pelo que a seguran a nas comunica es deve abranger todas a camada f sica a de liga o de dados as camadas de rede e de transporte e a camada de aplica o A funcionalidade de seguran a existente 25 nas diversas camadas de uma arquitectura de rede de comunica es dever garantir no seu conjunto o n vel de seguran a pretendido em termos de confidencialidade integridade autentica o controlo de acessos disponibilidade e n o rep dio Em ambientes de elevadas exig ncias de seguran a como o caso de um sistema de informa o cl nica poder levar a alguma redund ncia de funcionalidades de seguran a entre as diversas camadas o que se dever ter em aten o nas diferentes fas
41. central de informa o cl nica O acesso seguro aos registos cl nicos do paciente em situa es normais de presta o de cuidados de sa de dever ocorrer em duas fases Numa primeira fase os profissionais de sa de dever o usar o seu cart o de identifica o profissional ver ponto 5 1 do Cap tulo 5 na interac o com o sistema de informa o Numa segunda fase dever ser obtido o consentimento do paciente atrav s do cart o do cidad o de acesso aos dados pessoais Para tudo isto ser poss vel imprescind vel o uso de uma estrutura de interfaces e terminologias comuns por exemplo conformidade com a norma HL7 e consenso internacional sobre seguran a por exemplo implementa o de uma infra estrutura de chaves p blicas Em Portugal um exemplo inovador no desenvolvimento de uma nova gera o do processo cl nico electr nico o projecto RTS Rede Telem tica da Sa de 82 Ainda em fase de desenvolvimento o projecto RTS consiste na interliga o regional de institui es prestadoras de cuidados de sa de Preconiza o projecto e implementa o dos alicerces de uma rede bem como de um conjunto de servi os telem ticos com o intuito de agilizar a cadeia de valor e diminuir os custos na presta o de cuidados de sa de popula o da regi o de Aveiro A RTS baseia se num modelo de sucesso desenvolvido na Dinamarca e projecta o desenvolvimento de uma nova gera o de processo cl nico electr nico Os principa
42. continuo das tecnologias de informa o e a sua utiliza o crescente na sa de e em todos os outros sectores de actividade tem consequ ncias importantes na seguran a e mobilidade da informa o A evolu o para cen rios de troca segura de mensagens electr nicas entre institui es induz ganhos significativos de produtividade e optimiza o dos processos de presta o de cuidados de sa de Assim como a colabora o entre institui es pode ser suportada por tecnologias de informa o tamb m os cuidados m dicos beneficiam de uma integra o dos sistemas e processos O processo cl nico deve ent o evoluir para um formato electr nico e ser entendido j n o s como uma mem ria escrita da presta o de cuidados mas como um contexto de colabora o entre m ltiplos servi os e profissionais intra institui o e inter institui es O registo cl nico electr nico para al m de conter informa o cl nica do paciente deve mostr la de forma integrada Por um lado as fontes de informa o que contribuem para o processo cl nico electr nico s o diferentes usam diferentes tecnologias e diferentes formatos Por outro lado a forma de visualiza o da informa o cl nica dever poder ser organizada conforme as necessidades de cada utilizador Tamb m se reveste de muita import ncia a quest o que est associada utiliza o de normas nacionais e internacionais que permitam a circula o e interoperabilidade de registos el
43. da identifica o pelo endere o IP 28 193 164 0 15 e vice versa Caso haja uma falha numa parte do DNS n o ser poss vel localizar alguns s tios web e os sistemas de encaminhamento de correio electr nico poder o deixar de funcionar A corrup o dos servidores raiz do DNS ou de outros servidores de nomes de topo pode conduzir a perturba es generalizadas na rede inform tica da sa de Os ataques a equipamentos podem ainda ser feitos custa da explora o de vulnerabilidades em certas implementa es de protocolos Por exemplo em v rios sistemas operativos a recep o de pacotes IP com tamanho superior a 64 Kbytes causa o estouro do sistema Existe tamb m uma grande variedade de ferramentas que exploram o funcionamento dos protocolos TCP IP para provocarem perturba es ou mesmo interrup es do servi o Por exemplo ataques por gera o continuada de ping e ataques por pacotes com endere os falsificados podem ser usados para organizar ataques distribu dos Neste caso o ataque lan ado em simult neo de v rias origens Este tipo de ataques num sistema de informa o de sa de nomeadamente em departamentos de cuidados intensivos ou de emerg ncia m dica em que as comunica es e os servi os t m que ser mantidos permanentemente poder ter consequ ncias graves Neste caso a disponibilidade o aspecto de seguran a mais importante Os ataques por Spoofing ou fingimento consistem na falsifi
44. de mensagem de correio electr nico MIME opere como base de outros protocolos formando assim SMTPS POPS IMAPS e com um sistema de direct rio ACLs Access Control List ou lista de controlo de acessos lista que define quem tem permiss es de acesso a certos servi os Isto para que o servidor possa permitir ou negar acessos ou tarefas 7 S MIME Secure Multipurpose Internet Mail Extensions Proporciona seguran a no correio electr nico Privacidade de conte do integridade da mensagem verifica o do remetente e verifica o do destinat rio Para mais especifica es RFCs 2311 e 2312 71 SMTPS Simple Mail Transfer Protocol Secure Protocolo seguro usado no envio de correio electr nico atrav s da internet POPS Post Office Protocol Secure Protocolo seguro utilizado no acesso remoto a uma caixa de correio electr nico RFC 1939 73 IMAPS Interactive Mail Access Protocol Secure Protocolo seguro em que as aplica es cliente consultam o correio no servidor n o fazem o descarregamento para o computador local toda gest o efectuada no servidor RFC 2060 109 como o LDAP O navegador deve permitir a utiliza o de SSL TLS e SET para comunica es e transac es seguras Para modelar esta infra estrutura foram definidos os seguintes elementos ver Anexo B uma autoridade certificadora CA do tipo subordinada uma Sub CA uma autoridade de registo RA um sistema de direct
45. de seguran a da informa o por parte de colaboradores internos e por parte de entidades externas Asset Management Gest o de Recursos que inclui actualmente a necessidade de defini o do uso aceit vel dos recursos organizacionais por parte dos seus colaboradores e Human Resources Management Gest o de Recursos Humanos agora dividido em tr s sub cap tulos que incidem sobre os controlos de seguran a da informa o cuja implementa o aconselh vel antes durante e ap s o v nculo laboral entre o colaborador e a organiza o uma altera o necess ria atendendo relev ncia que as pessoas t m para o alcance da seguran a da informa o nas organiza es mas tamb m s amea as que podem representar e trazer para a confidencialidade integridade e disponibilidade da informa o cr tica de neg cio das organiza es No sentido de melhorar a sua usabilidade a revis o e reorganiza o da ISO IEC 17799 deixou marcas na estrutura do referencial n o apenas ao n vel conceptual mas tamb m ao n vel do conte do esperado que em 2007 a ISO IEC 17799 2005 passe a ISO IEC 27002 inserida na nova s rie ISO IEC 2700x Diversos programas de software est o dispon veis no mercado para ajudar a implementar o padr o BS 7799 ISO 17799 e a desenvolver politicas de seguran a Callio Secura 17799 um deles 47 Traz consigo uma metodologia completa question rios um guia de informa o e todas a ferramentas necess rias p
46. definidos quem tem acesso ou n o a um recurso Endere o IP a identifica o de um dispositivo que usa protocolo IP Internet Protocol para ligar se a outros dispositivos ou Internet Para mais informa o RFC 791 14 No caso dos sistemas de registo cl nico electr nico muito mais importante o nivel de controlo de acesso este regula o acesso dos utilizadores por perfil ou n veis de acesso aplica o ou base de dados A este n vel os controlos dependem da aplica o ou base de dados em si dif cil conciliar a complexidade dos sistemas com a seguran a e confian a raz o pela qual essencial conhecer os utilizadores e os componentes do sistema para melhor compreender que controlos de seguran a espec ficos devem ser aplicados Os utilizadores dos sistemas de registo cl nico electr nico devem ser responsabilizados pelas suas ac es dentro do sistema importante ter um registo de quem onde quando tem acesso ao sistema e o que fez para que ac es de recupera o possam ser tomadas quando necess rio No entanto nestes sistemas a maior parte das vezes essas ac es de recupera o ser o executadas demasiado tarde e n o v o reparar consequ ncias tr gicas por esta raz o que a identifica o e autentica o s o cruciais Constituem a primeira barreira para prevenir o uso errado e n o autorizado da informa o A gest o do controlo de acessos tornou se ainda mais preocupant
47. dever funcionar com requisitos de seguran a 2 2 1 Amea as Seguran a e Vulnerabilidades A estrutura heterog nea dos sistemas de registo cl nico electr nico faz com que seja necess rio um elevado n vel de protec o e seguran a devido sensibilidade da informa o pessoal e cl nica As preocupa es de seguran a derivam do facto de diferentes fontes terem requisitos tecnol gicos diferentes e pol ticas estabelecidas tamb m diferentes e do resultado da sua integra o poder n o ser o esperado As institui es podem partilhar informa o relevante entre si confiando mutuamente que a informa o ir ser mantida confidencial e que ser apenas usada para o prop sito definido Neste caso a linha entre utilizadores internos e externos da rede n o est muito bem definida Pessoas de diferentes organiza es podem aceder informa o de muitas outras redes e torna se dif cil gerir e auditar quem tem acesso a que informa o e que mecanismos de seguran a dever ter todo o sistema Por outro lado como os diferentes m dulos t m de ser capazes de interoperar diferentes tecnologias vulnerabilidades que poderiam ser controladas individualmente poder o ter comportamentos inesperados quando interligados Outra quest o importante o uso da linguagem e vocabul rio quando se est a desenvolver as interfaces do utilizador Se as regras n o forem consideradas informa o amb gua e redundante poder ser inserida
48. disponibilidade da informa o Dever ser sempre poss vel aceder informa o especialmente durante procedimentos de cuidados m dicos cr ticos por exemplo uma urg ncia Quando existe alguma falha ou erro no processo de autentica o os utilizadores autorizados podem ficar impedidos de aceder informa o a que t m direito Outro aspecto importante do controlo de acesso tem a ver com a gest o da informa o A inser o altera o e elimina o da informa o ter 15 de ser atribu da s pessoas certas e as regras de acesso e pr ticas t m de ser definidas para limitar o acesso informa o pelo pessoal da gest o que n o tem aptid o na presta o de cuidados m dicos A qualidade dos dados do paciente depende disto Ataques como nega o de servi os em ingl s designado por DoS impedem utilizadores autorizados de desempenharem o seu trabalho e poder o ser a causa de atraso no tratamento ou cuidados m dicos ineficazes e consequentemente afectar negativamente a vida ou sa de dos pacientes A disponibilidade um assunto crucial N o apenas importante controlar e permitir o acesso aos utilizadores certos mas tamb m fornecer acesso e sempre que necess rio Por exemplo quais poder o ser as consequ ncias de n o se disponibilizar o acesso informa o do paciente durante uma consulta Se um paciente tiver uma constipa o e for necess rio medica o o m dico ao n o ter acesso informa o do p
49. do dever de sigilo e da educa o deontol gica de todos os profissionais As unidades do sistema de sa de devem impedir o acesso indevido de terceiros aos processos cl nicos e aos sistemas inform ticos que contenham informa o de sa de incluindo as respectivas c pias de seguran a assegurando os n veis de seguran a apropriados e cumprindo as exig ncias estabelecidas pela legisla o que regula a protec o de dados pessoais nomeadamente para evitar a sua destrui o acidental ou il cita a altera o difus o ou acesso n o autorizado ou qualquer outra forma de tratamento il cito da informa o A informa o de sa de s pode ser utilizada pelo sistema de sa de nas condi es expressas em autoriza o escrita do seu titular ou de quem o represente O acesso a informa o de sa de pode ser facultado para fins de investiga o desde que o anonimato seja preservado A gest o dos sistemas que organizam a informa o de sa de deve garantir a separa o entre a informa o de sa de e gen tica e a restante informa o pessoal designadamente atrav s da defini o de diversos n veis de acesso A gest o dos sistemas de informa o deve garantir o processamento regular e frequente de c pias de seguran a da informa o de sa de salvaguardadas as garantias de confidencialidade estabelecidas por lei 2 8 3 Normas A tend ncia actual vai no sentido de criar e implementar normas internacionais que permitam e favor
50. e uma solu o do que poderia ser uma programa o da infra estrutura de chaves p blicas no minist rio da sa de 5 3 1 Procedimento para Gest o de Senhas Como foi referido anteriormente uma das principais preocupa es de seguran a a gest o de senhas Enquadrado no ponto 5 1 4 item Controlo de Acesso L gico da pol tica de seguran a apresentada este procedimento tem por finalidade estabelecer orienta es que dever o ser adoptadas no que se refere gest o de senhas com vista a colmatar vulnerabilidades muito comuns O procedimento foi elaborado de acordo com a norma EN 12251 2004 Secure User Identification for Healthcare Management na Security of Authentication by Password ver Anexo A 112 No contexto do caso de estudo apresentado conclui se a exist ncia de uma heterogeneidade de aplica es com diferentes regras de identifica o e autentica o dos utilizadores para al m de que raramente existem procedimentos escritos para a gest o de senhas Algumas das orienta es que a seguir se apresentam foram j implementadas no ambiente de trabalho em que a autora se insere Sugere se ent o que o procedimento para a gest o de senhas deva 1 Exigir a identifica o nica e autentica o dos utilizadores antes de qualquer interac o com o sistema 2 Exibir uma mensagem de pol tica inform tica no ecr inicial de que o servi o s pode ser utilizado por utilizadores autorizados Suprimir
51. es j existentes Tal implicar a adop o de uma solu o nica a n vel nacional e o mais normalizada poss vel em fun o das melhores pr ticas internacionais especialmente no espa o europeu Esta reformula o da pol tica para os sistemas de informa o na sa de poder n o obrigar adop o de aplica es comuns a todas as institui es o que implicaria migra es de solu es normalmente trabalhosas e penosas mas antes constituir uma infra estrutura nacional que permitisse a interac o e integra o de todas essas aplica es 75 Tal estrat gia passaria por tirar partido do j criado Data Center da Sa de alojado no IGIF interligando e integrando as diversas unidades de sa de p blicas e privadas transaccionando de forma segura a informa o dos pacientes e disponibilizando a atrav s de interface web onde e quando necess ria 4 1 2 Portal da Sa de Conforme o preconizado pelo plano de ac es do eEurope 2005 98 99 Uma sociedade de informa o para todos no ponto Redes de Informa o de Sa de os estados membros devem desenvolver redes de informa o de sa de nos pontos de presta o de cuidados de sa de hospitais laborat rios centros de sa de e at aos lares da 3 idade com conectividade em banda larga quando adequado Seguramente uma estrat gia deste tipo desde que devidamente sustentada por parcerias p blico privadas com viabilidade t cnica e financeir
52. htm Centro PROREC em Portugal Fev 06 96 http www eurorec org Centro Europeu de registos cl nicos electr nicos Fev 06 97 http www portaldasaude pt portal Portal da S ude Portugu s Fev 06 98 http europa eu int information society eeurope 2002 news library documents eeurope2005 Documento em pdf eEuropa 2005 Fev 06 eeurope2005 pt pdf 99 http europa eu scadplus leg pt lvb 124226 htm Documento em pdf eEuropa 2005 Fev 06 100 1 http Avww videnet gatech edu cookbook pt list_ page php topic 2 amp url telemed html amp level Telemedicina Fev 06 2 amp sequence 2 1 amp name Telemedicina 101 http www videnet gatech edu cookbook pt list_page php topic 4 amp url wireless html amp level Videoconfer ncia sobre redes sem fios Fev 06 102 Recomenda es para o Desenvolvimento da Telemedicina em Fev 06 http www dgsaude pt upload membro id ficheiros i007480 pdf Portugal 103 Apresenta o Telemedicina Em Emerg ncia II F rum Ib rico de Telemedicina Viseu Fev 06 Outubro 20006 Dr Joaquim Cardoso 104 http Awww haivision com downloads CSCmas pdf Caso estudo de Telecirurgia Jan 06 105 Vencer as doen as cardiovasculares a contribui o de engenharia Jan 06 http eden dei uc pt eei2005 docs apresentacoes pdfs MyHeart pdf 106 Empresa envolvida no projecto Vencer as Doen as Jan 06 http Awww philips pt PV Article 16699 html Cardiovasculares 107 http Awww hitech projects com eu
53. http medical nema org dicom 2004 04_15PU PDF 04_15PU pdf Aspectos de gest o seguran a norma DICOM Set 05 21 http www hl7 org Especifica es norma HL7 Set 05 22 http www microsoft com biztalk default mspx Norma HL7 Set 05 23 http Awww centc251 org Normas do grupo detrabalho n 251 CEN Set 05 24 http Awww ramit be semric Projecto SEMIREC Seguran a nos registos m dicos e comunica e Set 05 25 http www iso org Organiza o Internacional de Normaliza o Set 05 26 http Awww iso org iso en CatalogueListPage CatalogueList COMMID 4720 amp scopelist PR Lista as normas associadas ao grupo de trabalho TC 215 no Jan 06 OGRAMME top dominio Health Informatics 31 http www omg org T cnologia CORBA Set 05 32 http healthcare omg org T cnologia CORBA Set 05 33 ftp ftp omg org pub docs formal 98 12 17 pdf T cnologia CORBA Set 05 34 http Awww omg org technology documents formal omg security htm T cnologia CORBA Set 05 127 35 http www hipaa org Site Health Insurance Portability Accountability Act of 1996 Set 05 36 Ihttp www thetechdictionary com term hipaa compliance Tech Dictionary HIPAA Set 05 37 http frwebgate access gpo gov cgi bin getdoc cgi dbname 2003 register amp docid fr20fe03 Norma de seguran a Set 05 4 pdf 38 Ihttp aspe hhs gov admnsimp Regras HIPAA
54. informa o cl nica A utiliza o destes meios pelos profissionais de sa de no que se refere ao acesso e troca de informa o cl nica do paciente envolve aspectos muito importantes relacionados com a seguran a Os computadores ligados rede local de cada institui o para al m de poderem estar ligados ao sistema de registo cl nico t m a possibilidade de ter acesso aos servi os de Internet e correio electr nico Para al m disto partilham a mesma rede onde circula informa o relacionada com os pacientes Embora exista um firewall que separa os servidores do sistema da rede exterior o servidor de correio electr nico e internet localiza se numa zona desmilitarizada DMZ e poder o surgir algumas amea as s rias que poder o comprometer a seguran a da informa o do paciente Para 65 minimizar esta amea a deveria ser implementado uma separa o entre o tr fego com origem no exterior e o tr fego interno Al m de tudo isto no caso das institui es de sa de usarem servi o de correio electr nico na troca de mensagens com informa o cl nica associada deveriam recorrer a mecanismos que garantam a seguran a das mensagens Tais mecanismos passariam pelo uso de t cnicas criptogr ficas por exemplo aplica es de correio electr nico seguro PEM e PGP e certificados digitais para troca de chaves p blicas No caso de acesso remoto a bases de dados disponibilizadas pela RIS por exemplo SIGIC ou base de dados
55. interac es h que previamente garantir que as entidades intervenientes s o quem afirmam ser e de extrema import ncia que uma entidade envolvida numa transac o n o possa negar a sua participa o nesse evento garantia de n o rep dio S o consideradas amea as seguran a dos registos cl nicos as amea as a qualquer uma das tr s caracter sticas essenciais anteriormente referidas Amea as confidencialidade ocorrem quando dados protegidos correm o risco de serem divulgados e passar por m os n o autorizadas quer seja por forma acidental quer propositada Por exemplo acessos n o autorizados aos registos do paciente vulnerabilidades derivadas de partilha de senhas intercep o n o autorizada da informa o que transita na rede gest o n o controlada da informa o Amea as disponibilidade dos dados ou s funcionalidades do sistema ocorrem quando por algum motivo o sistema n o tem meios de manter a funcionar de forma acess vel servi os no momento que lhe s o solicitados Alguns exemplos de problemas poder o ser falhas nos equipamentos ou servi os de rede por exemplo provocados pela falha de energia erros no manuseamento do sistema ataques intencionais para impedir o normal funcionamento do sistema causas naturais por exemplo inc ndios ou inunda es recursos insuficientes para o correcto funcionamento do sistema Amea as integridade ocorrem quando h risco de propositada ou acidentalmente
56. j M dulos de refer ncia fora do mbito Figura 9 Sistema Integrado de Cuidados de Sa de Fonte Sistema Integrado de Gest o da Presta o de Cuidados de Sa de IGIF Nesta nova arquitectura em desenvolvimento os utilizadores acedem ao sistema atrav s de qualquer dispositivo equipado com um navegador web Este sistema ser composto por diferentes tipos de servidores servidor web servidor de aplica es ou componentes e servidor de base de dados Os servi os poder o ser disponibilizados por m quinas diferentes ou estar reunidos numa nica m quina Este sistema ser suportado pela infra estrutura da rede inform tica da sa de No que se refere ao armazenamento de dados o que est em causa a escolha entre um cen rio centralizado com servidores num ou mais data centers ou um cen rio distribu do com servidores em cada institui o Uma decis o nesta mat ria passa necessariamente por uma an lise de custos e benef cios detalhada Aparentemente uma solu o do tipo data center ter mais vantagens para hospitais e centros de sa de de reduzida dimens o do que para hospitais de grande dimens o Na realidade os avan os tecnol gicos t m mostrado uma tend ncia ver Figura 10 para a dissemina o ou globaliza o do acesso via web por diferentes canais de comunica o redes com ou sem fios dispositivos m veis etc e a concentra o de dados servi os e aplica es localizadas em data centers lig
57. maiores redes do pais abrangendo dentro do territ rio continental os servi os centrais do MS os hospitais e centros hospitalares do SNS e respectivas depend ncias as administra es regionais de sa de e respectivas sub regides de sa de os Centros de Sa de e extens es e os organismos aut nomos e suas delega es De seguida ser efectuada uma an lise dos aspectos cr ticos de seguran a identificados no Capitulo 2 nas aplica es e infra estruturas de rede agora referidas MS Minist rio da Sa de 50 3 2 Desenvolvimento e Implementa o O sistema de registo cl nico anteriormente referido desenvolvido pelo IGIF abrange diferentes reas da presta o de cuidados de sa de Fundamentalmente o sistema caracterizado por aplica es baseadas em sess o terminal tipo telnet o caso do SONHO e do SINUS e por aplica es mais recentes que usam tecnologias web o caso do SAM e do SAPE Para al m destas aplica es o sistema de registo cl nico tamb m poder estar suportado por aplica es baseadas em arquitectura cliente servidor por exemplo aplica es para gest o de laborat rios O SONHO e o SINUS usam bases de dados relacionais e estruturadas que tipicamente s o instaladas em servidores com sistema operativo Unix usam um sistema de gest o de bases de dados Oracle e s o desenvolvidas com ferramentas Forms 3 0 PL SQL e Reports 2 0 Disponibilizam uma interface n o gr fica 1 tipo ter
58. mensur veis e com um certo grau de exactid o Impress o digital padr o da ris e geometria da m o s o apenas algumas das caracter sticas mais usadas pelo processo Este tipo de m todos usado principalmente para implementar seguran a f sica por exemplo no acesso a lugares reservados tais como laborat rios de alta seguran a por exemplo de doen as infecto contagiosas ou de investiga o Alguns dos problemas de seguran a podem surgir da inexactid o do sistema Erro por aceitar utilizadores n o autorizados ou negar acesso a utilizadores autorizados pode ser um problema respectivamente de confidencialidade e disponibilidade da informa o 11 Outro problema pode ser o caso do sistema ser inc modo e os utilizadores recusarem o seu uso e tentarem encontrar formas de contornar as medidas de seguran a 2 3 2 Solu es e Mecanismos de Seguran a Existem algumas recomenda es a ter em considera o quando se identificam e autenticam utilizadores de sistemas de registo cl nico electr nico Certamente que n o poss vel aplicar controlos de seguran a para enfrentar todas as amea as identificadas anteriormente Isto poder ser verdade para as quest es debatidas mas se algumas das ac es e t cnicas forem aplicadas constituir o obst culos e ir o minimizar as consequ ncias a futuros ataques seguran a No processo de identifica o e autentica o referido por algo que o utilizador sabe os utiliza
59. n o discrimina o ou para processamento de dados estat sticos n o individualmente identific veis proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais previstos na lei A todos garantido livre acesso s redes inform ticas de uso p blico definindo a lei o regime aplic vel aos fluxos de dados transfronteiri os e as formas adequadas de protec o de dados pessoais e de outros cuja salvaguarda se justifique por raz es de interesse nacional Os dados pessoais constantes de ficheiros manuais gozam de protec o id ntica prevista nos n meros anteriores nos termos da lei A lei 12 2005 de 26 de Janeiro Informa o gen tica pessoal de sa de no artigo 3 define a propriedade da informa o de sa de detalhando que os dados cl nicos s o propriedade do utente sendo as institui es deposit rios da informa o a qual n o pode ser utilizada para outros fins que n o os da presta o de cuidados e a investiga o em sa de e outros estabelecidos pela lei O titular da informa o de sa de tem o direito de querendo tomar conhecimento de todo o processo cl nico que lhe diga respeito No artigo 4 regula o tratamento da informa o de sa de os respons veis pelo tratamento da informa o de sa de devem tomar as provid ncias adequadas protec o da sua confidencialidade garantindo a seguran a das instala es e equipamentos o controlo no acesso 40 informa o bem como o refor o
60. o aparecimento dos caracteres da senha na altura da sua inser o para autentica o Limitar n mero de tentativas falhadas de login por exemplo 3 vezes Limitar o tempo de vida de uma senha por exemplo 6 meses Permitir a altera o da senha por parte do utilizador Notificar o utilizador de que o tempo de utiliza o da senha est a terminar Obrigar ao uso de senhas complexas com mais de 6 caracteres alfanum ricos Proibir a reutiliza o de senhas antigas OM NDA YW 0 Estabelecer um mecanismo para definir senhas tempor rias para tarefas espec ficas de curta dura o 11 Proibir a partilha de senhas 12 O sistema de controlo de acesso deve solicitar nova autentica o ap s certo tempo de inactividade da sess o time out 13 Gerir informa o identidade dos utilizadores activos 14 Permitir a cria o de estat sticas de login 15 Garantir o armazenamento seguro de senhas cifradas Para ser poss vel a concretiza o destas medidas foi desenvolvido um grande esfor o ao n vel da sensibiliza o e forma o dos diferentes grupos profissionais pois como j referido uma das mais perigosas amea as que afecta aos sistemas de informa o na sa de adv m do descuido dos pr prios funcion rios Outra tarefa muito importante foi a reestrutura o e uniformiza o das aplica es tendo em vista a implementa o das pol ticas estabelecidas A uniformiza o das pol ticas ao n vel da identifica
61. o do utilizador identifica o do acesso identifica o da m quina nome ou endere o IP data e hora do acesso e o tempo em que esteve conectado Quanto aos logs gerados pelas aplica es no SONHO SINUS registado o n mero mecanogr fico nome do utilizador perfil de acesso data e hora de entrada e sa da na aplica o no SAPE registado a identifica o do utilizador data e hora de entrada e sa da na aplica o para al m de que ao longo da sua utiliza o poss vel visualizar quem foi o utilizador que inseriu ou deu termo aos registos de enfermagem a aplica o SAM ainda n o disponibiliza informa o que permita auditar ou rastrear a actividade do m dico a n o ser que se v directamente s tabelas da base de dados No entanto estes logs n o registam detalhes da informa o pesquisada inserida ou modificada Est o implementados mecanismos de monitoriza o e alerta da base de dados baseados em sondas do tipo SMON System Monitor e PMON Process Monitor A SMON respons vel por monitorizar a actividade do sistema por exemplo sistema operativo ou da inst ncia Oracle No caso de falha da inst ncia Oracle este mecanismo permite a recupera o dos dados que n o foram gravados A PMON respons vel por fazer uma limpeza ap s a ocorr ncia de falhas em processos 59 Os alertas s o guardados num ficheiro em texto simples a que os utilizadores autorizados podem aceder e comprometer a sua integridade
62. o e autentica o do utilizador ir conduzir constru o de uma plataforma de acesso nico s diferentes aplica es tendo em vista um nico ponto de acesso ao sistema de registo cl nico do paciente 113 5 3 2 Modela o Programa o e Implementa o da PKI na Saude A proposta a seguir apresentada est pr ximo do que poderia ser uma solu o a adoptar pelo IGIF na programa o implementa o e operacionaliza o de uma infraestrutura de chaves p blicas na sa de Para a programa o da infra estrutura de chaves p blicas poder se recorrer a acordos de licenciamento de software entre o IGIF e Microsoft Oracle em empresas inform ticas relevantes e ou recorrendo a ferramentas Open Source que tornariam poss vel a constru o desta infra estrutura aproveitando recursos existentes e dispensando grandes investimentos Como mera ilustra o do que seria poss vel fazer refiro aqui um trabalho desenvolvido no mbito deste mestrado na cadeira de Seguran a em Sistemas e Redes no qual colaborei cujo objectivo era programar configurar e testar uma PKI X 509 Trabalho 5 121 A solu o poder ser desenvolvida com recurso a ferramentas disponibilizadas pelo OpenSSL 122 que fornece todas as ferramentas necess rias para a cria o de uma PKI fun es de gera o revoga o e exporta o de chaves privadas e certificados Para a programa o da base de dados poder o ser utilizadas tamb m ferram
63. organiza o e deveres Relat rio de incidentes brechas seguran a Sensibiliza o do pessoal envolvido Transmiss o em redes seguras Perfis de acesso aos dados Auditorias Planos de continuidade etc Aspectos de seguran a propostos pelas normas referenciadas nesta norma Aspectos de seguran a propostos pelas normas referenciadas nesta norma Protec o da integridade dos dados origem dos dados autentica o controlo de acesso e protec o da confidencialidade 143 ENV 13608 A norma ENV 13608 Security for Healthcare Communication SEC COM esta orientada para a seguran a dos objectos e do canal As partes da norma relacionadas com os aspectos de seguran a s o A Part 2 Secure data objects define a forma de tornar os objectos de dados seguros Define uma metodologia de seguran a que permite que o objecto seja transportado de forma segura atrav s de redes inseguras independentemente do protocolo de transporte usado ou armazenado em reposit rios abertos e inseguros A aplica o capaz de decidir qual a combina o de encripta o e assinatura digital PKCS 7 a aplicar ao objecto Algumas das solu es tecnol gicas recomendadas ao n vel da integridade e confidencialidade do objecto s o o uso de mecanismos de Integrity check code e algoritmos de encripta o baseados em RSA e 3DES A Part 3 Secure data channels especifica servi os e m todos para tornar seguro comunica es en
64. os processos de presta o de cuidados de sa de s o caracterizados pela troca de mensagens atrav s de redes heterog neas e abertas entre diferentes organiza es e fornecedores hospitais p blicos e privados companhias de seguros de sa de farm cias etc Toda esta facilidade de apresenta o e formata o de dados necessita de estar suportada em sistemas cl nicos sistemas de informa o hospitalares e outros sistemas de suporte Atrav s da utiliza o de tecnologias de liga o correntes e de normas internacionais do sector da sa de HL7 DICOM HIPAA etc a sincroniza o da informa o entre fontes de informa o diferentes passa a ser poss vel mesmo entre aplica es de origens e fabricantes diferentes A pol tica de seguran a definida pela organiza o dever incluir a seguran a das comunica es adoptando medidas apropriadas para assegurar a confidencialidade e integridade dos dados dos pacientes em conformidade com requisitos legais aplic veis 45 Ha que proteger a privacidade de um paciente e este tem de confiar na organiza o onde tratado e onde confia a guarda dos seus dados pessoais 46 3 ESTUDO DE UM CASO SISTEMA DE INFORMA O CL NICA NO SNS 3 1 Introdu o Este cap tulo ir incidir na an lise dos aspectos cr ticos de seguran a do registo cl nico electr nico do paciente identificados no Cap tulo 2 no que concerne ao Servi o Nacional de Sa de SNS em Portugal Ser o
65. para sectores de informa o mais sens veis a mecanismos de informa o biom trica por exemplo impress o digital Deve dizer se que estas tecnologias s o j relativamente acess veis mas apesar disso em Portugal n o s o implementadas na esmagadora maioria dos sistemas de registo cl nico urgente que as institui es criem regras e uma pol tica de acessos com crit rios na atribui o de acessos e perfis do utilizador revis o regular dos acessos mudan a regular da chave de acessos mecanismos que impe am que o utilizador deixe a sua sess o aberta quando abandona o posto de trabalho auditoria etc A implementa o de mecanismos de seguran a passa pelo recurso a t cnicas criptogr ficas de forma a providenciarem fortes garantias de confian a nos sistemas mas tamb m exige uma pr tica institucional e social adequada 74 4 TEND NCIAS E TECNOLOGIAS EMERGENTES 4 1 Introdu o Neste cap tulo ser referido um conjunto de tend ncias no dom nio das infra estruturas e dos sistemas e informa o cl nicos e tecnologias na sa de As principais tend ncias referidas s o integra o dos sistemas de informa o e dos dados cl nicos intra ou inter unidades de sa de p blico privadas ou outros parceiros mobilidade dos sistemas de informa o profissionais de sa de e pacientes por exemplo a telemonitoriza o acesso dos pacientes aos sistemas de informa o informa o geral de sa de e servi os onl
66. poss vel e em intervalos de tempo adequados A seguran a das comunica es da rede interna com as redes externas dever ser garantida pelo uso de mecanismos que assegurem o sigilo e a integridade da informa o clinica em tr nsito Para tal poder o ser utilizados mecanismos de seguran a baseados em sistemas de protec o de acesso por exemplo firewalls Na rede interna ambientes de rede considerados cr ticos devem ser isolados de outros ambientes de rede de modo a garantir um n vel adicional de seguran a As conex es de rede devem ter activos sistemas com fun o de certifica o Se isto n o for poss vel deve se utilizar outros mecanismos que executem fun es semelhantes tais como o uso de proxies Dever o ser implementadas ferramentas de detec o de intrusos para monitoriza o das redes cr ticas alertando os administradores das redes sobre as tentativas de intrus o d Controlo de Acesso L gico Utilizadores e aplica es que necessitem ter acesso a recursos da institui o devem ser identificados e autenticados O sistema de controlo de acesso deve manter registos que permitam a contabiliza o do uso auditoria e recupera o nas situa es de falha A informa o que especifica os direitos de acesso de cada utilizador ou aplica o deve ser protegida contra modifica es n o autorizadas Al m disto nenhum utilizador deve ser capaz de obter os direitos de acesso de outro utilizador As autoriza
67. possa colocar em risco a informa o Para al m de tudo isto e no contexto da RIS o IGIF elaborou um conjunto de normas ou regulamento de utiliza o da RIS tendo em vista regular algumas quest es de seguran a relacionadas com a rede servi os e os seus intervenientes a seguir referidos Para eventuais ataques internos o IGIF refere no artigo 5 Suspens o do Servi o de Rede al nea 5 1 suspender servi o de rede a um utilizador desde que esteja a interferir no normal funcionamento de toda ou parte da RIS tentativas de intrus es n o autorizadas em sistemas alheios e de uso indevido da infra estrutura nacional O mesmo regulamento e relativamente a ataques externos diz no artigo 7 Seguran a ce al nea 7 1 refere O IGIF compromete se a p r em pr tica normas de seguran a contra 68 tentativas de intrus o com origem na Internet n o se responsabilizando no entanto por tentativas de intrus o originadas em institui es integradas na RIS Nas liga es da RIS a outras entidades n o integradas nesta infra estrutura o regulamento prev artigo 11 A RIS e as Outras Redes ou Entidades al nea 11 1 As liga es a outras institui es ou redes n o integradas na RIS t m que ser solicitadas ao IGIF pondo em pr tica as medidas de seguran a tidas por convenientes de referir o Relat rio de Auditoria ao Tratamento de Informa o de Sa de n
68. privacidade da informa o 3 3 Identifica o e Autentica o O processo de identifica o e autentica o usado pelo sistema de informa o referido anteriormente traduz se no uso do n mero mecanogr fico para a identifica o dos utilizadores que um n mero nico de funcion rio relacionado com a institui o A autentica o realizada atrav s da inser o de uma senha Para al m disto quando o m dico admitido pela Ordem dos M dicos em Portugal lhe atribu do um n mero nico o qual inserido na estrutura base do sistema SONHO SINUS o que permite rastrear toda a actividade cl nica do m dico dentro da institui o 53 O processo de autentica o no SONHO SINUS baseia se em algo que o utilizador sabe por exemplo uma senha desde logo um mecanismo simples e fraco de controlo de acesso para al m de que frequente a sua partilha No entanto disponibiliza diferentes niveis de acesso ao sistema No caso do SONHO e SINUS que funciona em ambiente alfanum rico e UNIX assim que utilizador entra no sistema UNIX usando a sua conta automaticamente direccionado para a aplica o onde n o h autentica o adicional Por exemplo os mecanismos de autentica o tradicionais no Unix caso do SONHO e SINUS baseiam se no UserID no Primary GroupID e no Secundary GroupID a que o utilizador associado Quando um utilizador fornece o nome utilizador senha para acesso ao sistema Unix a transmiss o da se
69. que estas sejam substitu das ou reparadas A seguran a f sica dever ser dimensionada n o s de acordo com o equipamento a segurar mas tamb m de acordo com as necessidades dos utilizadores Mesmo em sistemas considerados n o cr ticos a actividade dos profissionais de sa de depende da disponibilidade do sistema de informa o cl nico Por exemplo o acesso hist ria cl nica de um paciente ou aos resultados de uma an lise ou exame no momento certo pode resultar no melhor ou pior tratamento do paciente 3 7 Gest o das Comunica es 3 7 1 Apresenta o das infra estruturas Com j foi referido os principais objectivos da RIS s o interligar todas as redes das institui es do MS e disponibilizar um conjunto de servi os de rede como por exemplo liga o Internet correio electr nico marca o remota de consultas acesso remoto a data centers cart o do utente telemanuten o de equipamento e software acesso a bases de dados centrais videoconfer ncia aplica es de telemedicina integra o do servi o de voz dados e imagem na rede etc A RIS apresenta uma arquitectura de sucessivos n s concentradores genericamente as extens es dos centros de sa de comunicam para as suas sedes as sedes comunicam para as respectivas sub regi es estas est o conectadas aos n s centrais do IGIF Porto Coimbra e Lisboa os quais por sua vez se concentram no n de Lisboa Os meios de interliga o s o alugados a
70. que poder ser acedida pelas farm cias Base de Dados Prescri es wei 5 O utente dise farm Usando o cart o do cidad o como chave de ps E je Se a Farmacia para aviar 05 acesso o farmac utico acede ao seu sistema E medicamentos da sua receita inform tico para consultar e actualizar a receita w Vv electr nica do utente Se a receita existir por aviar os medicamentos dispensados s o abatidos no sistema Prova Conceito Cart o do Cidad o IGIF Figura 12 Diagrama do Processo Prescri o Electr nica Fonte Relat rio Final Prova do Conceito 83 Este sistema permitir essencialmente atingir os seguintes objectivos potenciar a racionaliza o durante o acto de prescri o disponibilizar ao m dico informa o sobre os medicamentos dispon veis no mercado acesso a informa o complementar sobre o paciente prescri es anteriores medica o prolongada etc prevenir erros e melhorar o combate fraude pois a receita electr nica gerada armazenada e manipulada sempre no mesmo local f sico base de dados central apenas o m dico que prescreve e o farmac utico que dispensa os medicamentos podem visualizar e interagir com a receita electr nica 4 2 4 O ALERT Para al m do sistema anteriormente descrito come a a ser significativo e com tend ncia a aumentar a instala o e implementa o de uma inovadora aplica o inform tica o ALERT 67 68 Esta aplica o u
71. realiza o do Plano de Trabalho cabeceira do paciente Na realiza o do trabalho poder o ser utilizados PDAs No acesso ao SAM tamb m pode ser usado equipamento m vel Tablet PC ou Port til o que no entanto ainda n o est generalizado 87 Outro exemplo de um projecto inovador e ainda em desenvolvimento o projecto SAMURAI Servi os e Aplica es Multim dia em Ambiente Hospitalar Universit rio e Urbano 79 resultante de uma parceira entre a Universidade da Beira Interior UBI o Centro Hospitalar da Cova da Beira EPE CHCB e a Portugal Telecom Inova o SA PTIN O principal objectivo criar e desenvolver aplica es multim dia m veis e sem fios adequada realiza o de tele trabalho eLearning e telemedicina em ambiente hospitalar universit rio e urbano Al m disso promove a investiga o em caracteriza o de aplica es multim dia m veis e sem fios de terceira gera o 3G e UMTS e utiliza o de conceitos de design ergon mico no seu desenvolvimento De forma a disponibilizar estas novas tecnologias no ensino e teletrabalho hospitalar na UBI e no CHCB 81 foi concebido e implementado uma rede local sem fios Wi Fi no Hospital P ro da Covilh HPC constitu da por algumas dezenas de APs de forma a fazer a cobertura das reas mais importantes do hospital No mbito deste projecto um dos objectivos a expans o progressiva deste modelo de infra estrutura de rede sem fios e aplica
72. reas como Radiologia Cardiologia Gastrenterologia Ec grafia Dermatologia etc 41 Healthcare Communication ENV 13606 1 3 Electronic Healthcare Record Comunications EN 12251 Secure User Identification for Healthcare Management and security of authentication by passwords ENV 13729 Secure User Identification for Healthcare Strong Authentication using Microprocessor Cards EN 14484 International transfer of personal health data covered by the EU data protection directive High Level Security Policy HLSP EN 14485 Guidance for handling personal health data in international application in the context of the EU data protection directive Do trabalho realizado pelo comit t cnico da ISO TC 215 WG4 de real ar ISO TS 17090 Public Key Infrastructure que descreve a utiliza o de uma PKI no dominio da inform tica M dica ISO 22857 Guidelines on data protection to facilitate trans border flows of personal health information ISO WD 27799 Security management in health using ISO IEC 17799 descreve sobre a gest o da seguran a da informa o na rea da sa de ISO TC 18308 2004 Requirements for an Electronic Health Record Architecture que especifica requisitos t cnicos e cl nicos para uma arquitectura de registos electr nicos de sa de que suporte o uso a partilha e interc mbio dos registos cl nicos entre diferentes sectores e paises H ainda
73. registos sem que seja poss vel alter los de outra forma iria comprometer a integridade da sua informa o clinica Contudo o paciente tem o direito de saber quem acedeu sua informa o cl nica e negar acessos e assim impedir que a sua informa o caia em m os n o autorizadas por exemplo seguradoras 3 5 Monitoriza o Auditoria e Logs Como foi referido no Cap tulo 2 os logs permitem auditar ou rastrear o acesso informa o podendo constituir um forte dissuasor a tentativas de abuso ou de acesso n o autorizado informa o cl nica do paciente Para evitar alguns dos problemas de seguran a mais comuns com os logs eles devem ser feitos e analisados regularmente para que a maior parte das ac es dentro do sistema possam ser monitorizadas e relatadas frequentemente evitando desta forma que eventos n o detectados por exemplo acessos n o autorizados passem completamente despercebidos Os logs registam detalhes sobre o acesso informa o incluindo a identidade do utilizador perfil de acesso data e hora fonte e destino informa o pesquisada e retirada e talvez as raz es do acesso quela informa o No sistema em an lise h diferentes tipos de logs os que s o gerados pelo sistema operativo os que s o gerados pela base de dados os que s o gerados pelas aplica es No se refere ao primeiro caso quer para os acessos internos ou externos rede da institui o registado a identifica
74. relacionada com os pacientes A vers o do Oracle usado na implementa o das aplica es SAM e SAPE possui algumas caracter sticas apertadas de seguran a combina encripta o dos dados armazenados e durante a sua transmiss o com mecanismos de autentica o forte que fornecem confidencialidade aos dados e tamb m integridade No entanto os dados administrativos e cl nicos do sistema s o enviados e armazenados na base de dados do SONHO SINUS e este sistema de gest o de bases de dados n o implementa qualquer mecanismo de seguran a ou encripta o dos dados Este aspecto uma das principais vulnerabilidades do sistema 5 SGBD Sistema de Gest o de Base de Dados 60 Uma poss vel solu o passaria pelo recurso a um mecanismo de seguran a forte baseado no uso tecnologia de chave p blica Por exemplo em cada servidor SONHO SINUS deveria ser desenvolvido uma nova estrutura em que cada utilizador autorizado tivesse um certificado digital associado emitido e assinado pelo servidor Por exemplo esta nova estrutura passaria pelo uso do m dulo PAM 124 125 que um m dulo centralizador do processo de autentica o usado pelo Sun Solaris e que permite o uso de certificados digitais A principal vantagem do PAM al m de centralizar as fun es do nome utilizador senha de ser capaz de seleccionar os programas aos quais os utilizadores t m acesso Tipicamente as aplica es login telnet ftpd rlogin dtlog
75. respeito s senhas existem alguns problemas de seguran a que n o s o f ceis de evitar ou resolver O principal problema a escolha de senhas fracas podendo facilmente ser obtidas atrav s de ataques de dicion rio ou de for a bruta Por outro lado se as senhas s o demasiadas complexas as pessoas normalmente esquecem nas e tendem a escrev las em papel deixando as acess veis junto ao seu posto de trabalho Frequentemente nos sistemas de registo gt token Dispositivo f sico ou um testemunho geralmente ligado porta USB do computador que armazena as chaves privadas e os certificados digitais e restante identifica o do utilizador permitindo a sua valida o pelo sistema 10 cl nico electr nico os utilizadores necessitam de aceder a diferentes tipos de informa o v rias vezes ao dia Se as senhas s o simples os utilizadores tem a sua tarefa facilitada mas isto um consider vel risco de seguran a Se s o muito complexas ou alteradas frequentemente os utilizadores t m que ter outros meios de memoriza o para que possam usar o sistema A usabilidade e disponibilidade s o fundamentais nos sistemas de registo cl nico electr nico Outro problema o facto de os m dicos frequentemente passarem as suas senhas a outros profissionais tais como secret rias ou pessoal de enfermagem Isto ainda pior porque uma vez dada a senha j n o a podemos controlar Outros problemas t cnicos ainda mais complicado
76. seguintes pontos o que deve ser protegido contra quem ou contra o qu deve ser protegido an lise de riscos e efectuada uma avalia o de riscos an lise da rela o custo benef cio Deve ser monitorizado a efic cia do controlo adoptado para minimizar os riscos identificados e devem ser periodicamente avaliados os riscos em intervalos de tempo n o superiores a 6 seis meses devem tamb m serem efectuadas Sistematizando a gest o de riscos consiste nas seguintes fases principais Identifica o dos recursos a serem protegidos hardware rede software dados informa es pessoais documenta o Identifica o dos riscos amea as que podem ser naturais tempestades inunda es causadas por pessoas ataques furtos vandalismos erros ou neglig ncia ou de qualquer outro tipo inc ndios An lise dos riscos vulnerabilidades e impactos identificar as vulnerabilidades e os impactos associados Avalia o dos riscos probabilidade de ocorr ncia levantamento da probabilidade da amea a vir a acontecer estimando o valor do prov vel preju zo Esta avalia o pode ser feita com base em informa es hist ricas ou em tabelas internacionais Tratamento dos riscos medidas a serem adoptadas maneira como lidar com as amea as As principais alternativas s o eliminar o risco prevenir limitar ou transferir as perdas ou aceitar o risco 106 Por seu lado os riscos a serem avaliados podem ser divi
77. tica de seguran a definir n veis de controlo de acesso Mais importante ainda definir os respons veis por gerir os logs e aplicar lhes regras espec ficas devendo as suas ac es relativas aos logs tamb m ser auditadas e relatadas ao respons vel m ximo pela seguran a Alarmes e notifica es imediatas devem ser disponibilizadas para detectar acontecimentos pr definidos que revelam quebra de padr es de comportamento Por exemplo modifica o dos registos de um paciente por algu m que n o deveria estar a trabalhar a uma determinada hora 20 Por ltimo a seguran a f sica n o dever ser descurada pois constitui o primeiro obst culo para prevenir o abuso e mau uso da informa o Os logs devem ser idealmente armazenados em m quinas que n o s o usadas em outros trabalhos correntes por exemplo mantidos junto a ficheiros ou outros dados que n o v o ser acedidos ou usados frequentemente Devem ser mantidos em local com seguran a f sica adequada salvaguardados da amea a humana ou desastres naturais Por ltimo a norma WI 134 ENV 23 Accountability and Audit Trail Mechanism for Healthcare Information Systems provid ncia um conjunto de mecanismos de auditoria e contabiliza o de logs 2 6 Gest o de Bases de Dados Com as novas tecnologias dispon veis grandes volumes de dados podem ser facilmente armazenados e acedidos em grandes bases de dados Actualmente os sistemas de registo cl nico electr n
78. trabalho destes sub comit s centra se nos aspectos de seguran a dos SIS sendo de real ar algumas normas desenvolvidas E1762 95 2003 Standard Guide for Authentication of Healthcare Information E2084 Standard Specification for Authentication of Healthcare Information Using Digital Signatures Authentication and Authorisation to Access Healthcare Information Internet and Intranet Security for Healthcare Information Secure Timestamps for Healthcare Information 162 Data Security Reliability Integrity and Availability for Healthcare Information Distributed Authentication and Authorisation to Access Healthcare Information E1869 Standard Guide for Confidentiality Privacy Access and Data Security Principles for Health Information including Computer Based Patient Records Documentation of access for Individually Identifiable Health information Standard Guide for Confidentiality and Security Training of Persons Who Have Access to Health Information Standard Guide for Amendments Additions to Health Information by Healthcare Providers Administrative Personnel and by the Subjects of Health Information Standard Guide to the Transfer Disclosure of Health Information in an Emergency Treatment Event Standard Guide for the Use and Disclosure of Health Information Policy Guide for the Transfer Re disclosure of Health Information Between Health Plans Guide for Rights of the Individual in Health Information Standard G
79. utente Propor medidas tecnol gicas ou outras para melhorar a seguran a na circula o de informa o cl nica e na utiliza o da inform tica nas institui es de sa de p blica em geral 1 3 Motiva o A raz o que levou selec o deste tema foi o facto de ser actual e estar a causar uma preocupa o crescente aos profissionais envolvidos e aos cidad os por exemplo perigo de divulga o de informa o privada do paciente Esta escolha deve se tamb m ao facto de a autora estar envolvida profissionalmente nestas quest es pelo seu cargo de t cnica de inform tica numa institui o de sa de 1 4 Organiza o do Documento Esta disserta o encontra se dividida em seis partes o actual cap tulo 1 introduz o contexto e as motiva es do trabalho No Cap tulo 2 s o globalmente apresentados os aspectos cr ticos na seguran a do registo cl nico electr nico do ponto de vista do desenvolvimento ou implementa o do sistema de registo do ponto de vista do controlo de acessos das comunica es e das quest es tico legais normas e recomenda es actuais No Cap tulo 3 realiza se uma an lise global do estado actual da seguran a das infra estruturas e dos principais sistemas de informa o cl nicos em Portugal no SNS no que se refere aos pontos anteriormente apontados No Cap tulo 4 s o apresentadas as tend ncias e as tecnologias emergentes no dom nio dos sistemas de informa o cl nica na re
80. vel da rede Grau de robustez do sistema criptogr fico Qual o algoritmo e o comprimento das chaves de cifra Existe mecanismos para preven o de intrus o No servidor em geral n o existe antivirus instalado Antivirus nos postos de trabalho actualizado di riamente Existe mecanismos para detec o de intrus o No sistema est configurado uma sonda RMON e SMON Existe mecanismos de recupera o em situa o de intrus o Se se tratar de uma recupera o ap s intrus o ex ac o de um virus provavelmente ir o reinstalar o sistema e repor os dados afectados usando as c pias de seguran a Comunica es Tipos e meios de comunica o usados Rede Ethernet RIS S o redundantes Pode existir situa es de rede sem fios Os meios usados s o prop cios a escuta e quebra de confidencialidade dos dados transmitidos A rede constituida por tecnologia comutada em redund ncia A informa o circula em claro Os ataques podem ter origem dentro da institui o ou da RIS Existe mecanismo para garantir a integridade da informa o em tr nsito N o existe mecanismo para prevenir a escuta altera o ou injec o A informa o circula em claro n rede Existe mecanismo de certifica o do utilizador de forma a prevenir o disfarce Qual N o existe mecanismo de certifica o do utilizador Apenas existe a autentica o inicial nome senha Existe mec
81. 1 iii RESUMO Com vista a melhoria dos cuidados de sa de prestados ao cidad o assiste se em Portugal ao crescente registo e circula o de informa o clinica em formato electr nico Este facto traz consigo tamb m preocupa es acrescidas com a seguran a e privacidade da informa o cl nica e dos sistemas de informa o cl nica Nesta disserta o ap s um levantamento das quest es de seguran a a considerar nos sistemas de informa o cl nica s o apresentados os resultados de uma an lise efectuada ao estado actual da seguran a dos sistemas de informa o cl nica em Portugal no que se refere ao acesso armazenamento e circula o da informa o cl nica do paciente Esta an lise incidiu sobre as infra estruturas e as aplica es inform ticas das unidades de sa de do Sistema Nacional de Sa de SNS com especial foco no ambiente de utiliza o do processo cl nico electr nico As aplica es analisadas foram o SONHO o SINUS e os m dulos de apoio ao m dico SAM e s pr ticas de enfermagem SAPE S o tamb m analisadas na ptica da seguran a algumas tend ncias de evolu o dos sistemas de informa o cl nica tirando partido de tecnologias emergentes No sentido de refor ar a seguran a da informa o cl nica e ultrapassar as muitas defici ncias encontradas actualmente prop e se um conjunto de medidas que incluem a implementa o de uma Pol tica de Seguran a Inform tica para o SNS e a implemen
82. 129 que estabelece O H 323 uma recomenda o da International Telecommunications Union ITU os padr es para comunica es multim dia sobre redes de comuta o de pacotes como s o as LANs MANSs WANs e a Internet O protocolo H 323 fornece uma base para as comunica es de dados udio e v deo de redes baseadas em IP incluindo a Internet Por atender o protocolo H 323 os dados multim dia e aplica es de diversos fornecedores podem operar permitindo a comunica o entre utilizadores sem preocupa es quanto a compatibilidade As recomenda es H 323 focam dois tipos de sess es multim dia ponto a ponto e multiponto No caso da teleconsulta usado uma sess o ponto a ponto sess o multiponto usada no caso de teledid ctica Para os sistemas de videoconfer ncia usados em telemedicina uma implica o que uma sess o seja segura O relat rio United Kingdom Research and Education Networking Association 52 descreve as recomenda es de seguran a referentes ao padr o H 323 conclui se que a criptografia ao n vel de aplica o do H 323 est no in cio e portanto a criptografia s pode ser garantida ao n vel da camada de rede por exemplo atrav s do uso de VPNs ou IPsec As redes sem fios suportam uma variedade de op es para videoconfer ncia por intermediar dist ncias entre espa os sem fio e com fio Os componentes tipicamente exigidos incluem equipamento de videoconfer ncia conectado a um disposi
83. 7 PGP Pretty Good Privacy um programa criptogr fico usado no correio electr nico especificado pelo RFC 2015 SSH Secure SHell Especificada pelo RFC 793 S HTTP Secure Hyper Text Transfer Protocol especificado pelo RFC 2660 33 complementares de seguran a por exemplo ferramentas de auditoria firewalls e proxies de aplica o O objecto da autentica o com base dos certificados digitais X 509 o da autentica o de entidades por exemplo pessoas empresas m quinas servi os ou outras Os certificados s o emitidos por autoridades de certifica o e s o assinados com a chave privada da entidade emissora A verifica o da autenticidade do certificado feita com a chave p blica da autoridade certificadora que emitiu o certificado Autentica o atrav s de certificados digitais usado em v rias aplica es e protocolos como por exemplo o SET o S MIME o SSL e o IPsec A arquitectura IPsec funciona ao n vel da rede e pode ser usada por exemplo para o estabelecimento de sub redes seguras dentro de uma rede ou para suporte de acesso seguro de utilizadores remotos atrav s da Internet No caso de uma rede de presta o de cuidados de sa de o mais usual seria o controlo de acesso a utilizadores remotos Quando esta arquitectura implementada nas firewalls ou nos routers de fronteira de redes privadas permite a constitui o de canais de elevado n vel de seguran a nos quais o tr fego cir
84. ANAN xi INDICE DE FIGURAS sas onnike a nd a R E xiii INDICE DETABEL AS says settee a e Dl E ess eed ct tae A E A ta saca XV LISTA DEABREVIATURAS teia a a EEE us viedo poa a ocean ioe a dae xvii LINTRODU O A EEE SETE Aa A EA 1 Lhe Enquadramento ado ou oe a da da Ae ee ada EA Ao dA 2 TDS AUDI SCUM OS ect sch take censura hele q 3 Ls IWIOMV AC AG fr fon elastase SS ARA N UEC SOARES De Lastest Ai Rica RR 3 1 4 Organiza o do DOC To asas apso ces eas eahyaduelen A ea as pares saia 4 2 QUEST ES CHAVE NA SEGURAN A DOS SISTEMAS DE INFORMA O CL NICA 5 Dike IRONIC esa a Edi de i th aie Rote las aa eed oles A Rd 5 2 2 Desenvolvimento e Implementa o iscctsnvss ar nasakdvsstaccivcisteedaesus cri A seiuendoccpanaeivias 7 23 Identifica o e AULGNLIDA O sects ac sado Rs a dc O eat aN oie eels 9 ZA Controlo de ACESSOS sais sa arnasia atta A SA a 13 2 5 Monitoriza o Auditoria e Logs 3 sccciscocesesacasavecseas axcisgcucceosstcosssaeenestsgaustacssqtunnes O 19 BOL eso de Bases de Dados sao da a cu a E SS 21 2 7 Gest o das COMMIMICAC OCS disse Ana bas Sa Rei a o 25 2 8 Conformidade com tica Legisla o e Normas 38 2 9 Grelha de Avalia o de Aspectos de Seguranga eeeceeccccescesceeeeeseeceseceeeeeeseeeseecaeenes 43 2 10 ConCIUS O asi raia lec ar as adia Aa ad CTA re AR e 44 3 ESTUDO DE UM CASO SISTEMA DE INFORMA O CL NICA NO SNS 47 dd Miodicao asia EA ETE 47 3 2 Desenvolvim
85. ICD e s o usados para facilitar o reembolso e a an lise de casos do tipo case mix 71 Estes grupos n o t m a especificidade cl nica para terem valor nos cuidados m dicos de um doente ou na investiga o cl nica Em Portugal s o usados desde 1989 Os objectivos s o classificar dados de morbilidade e mortalidade com prop sito estat stico indexar arquivos hospitalares por doen as e procedimentos armazenar os dados e o seu tratamento estat stico para pesquisas O UMLS Unified Medical Language System da National Library of Medicine NLM 72 tem como objectivo facilitar o desenvolvimento de sistemas computorizados que se possam comportar como se entendessem o significado da linguagem biom dica e da satide Para esse fim a NLM produziu e distribuiu a base de conhecimento UMLS e programas informaticos associados para serem usados por criadores de sistemas na constru o de sistemas de informa o electr nicos que criem processem recuperem integrem e ou agreguem dados e informa o biom dica A base de conhecimento UMLS tem m ltiplos fins Ela n o est optimizada para uma aplica o em particular mas pode ser aplicada em sistemas que realizem um n mero fun es envolvendo um ou mais tipos de informa o tais como registo de pacientes literatura cient fica ou dados de sa de p blica O SNOMED Standard Nomenclature of Medicine uma nomenclatura criada para indexar o conjunto de registos m dicos incluindo sina
86. Identidades Digitais timsara org Gest o de Servidores timsara org Gera o de Certificados de Servidor Gest o de Certificados de Servidor Todos os servidores Ok Utilizador Nome Certificados timsaras timsara6 timsara org er as Adicionar servidor Gera o de Certificados de Servidores timsara org Microsoft Internet Explorer 2 2 4 E E5 https timsara6 timsara org ra gid gercerserv php ses eJxNjFEOwyAMQ SE4RAAKKPMM Y CA timsara org RA timsara org Gest o de Identidades Digitais timsara org Gera o de Certificados de Servidores timsara org Certificado para timsara6 timsara org emitido Aten o palavra passe para a chave privada 364825439 Download ChavePrivada em formato PEM key Certificado em formato PEM crt 117 lol x Eicheiro Editar Ver Favoritos Ferramentas Ajuda LA 19 09 x 2 a Z ee E tor amp 7 ICI E Ee E ir para Hiperliga es gt CA timsara org RA timsara org Gest o de Identidades Digitais timsara org a Gest o de Certificados de Servidor timsara org Microsoft Internet Explorer Gest o de Certificados de Servidor timsara org Certificados de timsara6 Emitido em Certificados Ac es 2004 05 25 21 03 ChavePrivada Certificado Revogar Apaga E Conclu do A Internet Figura 25 Gest o de certificados digitais para servidores O Direct rio Publico de Certificados Digitais dos Utilizadores que integram o Minist
87. L7 as mensagens HL7 s o embrulhadas em envelopes seguros quando em tr nsito Figura 26 Estas podem ser arquivadas recorrendo a protocolos seguros de comunica o externos j implementados SHTTP ou SFTP L2TP Layer 2 Tunnelling Protocol PPTP Point to Point Tunnelling Protocol 01 SOCKS Sockets Secure Protocol SSL Secure Sockets Layer SSH Secure Shell 04 SHTTP Secure HyperText Transfer Protocol 05 SFTP Secure File Transfer Protocol PGP Pretty Good Privacy 7 MIME Multipurpose Internet Mail Extension 8 S MIME Secure MIME PKCS Public Key Cryptography Standard 138 Event Application 1 HL7 Interface HL7 Interface Application 2 Wrapped HL7 Message Communication Server Figura 26 HL7 Seguran a nas comunica es Para garantir a seguran a das comunica es s o usados protocolos como o IPv6 SSL e TLS interfaces HL7 e LLP A interface HL7 existe ao n vel da camada de aplica o do modelo OSI mas por vezes tamb m no servidor de comunica es Esta situa o requer suporte LLP Lower Layer Protocol que fornece interface entre HL7 e a rede No sentido de obter ganhos de seguran a o uso deste mecanismo para transmiss o de mensagens dever ser assegurado pelos servi os de seguran a definidos A norma Guide for Implementing EDI HL7 Communication Security fornece detalhes que implementam seguran a ponto a ponto EDI
88. Set 05 39 7 http www cms hhs gov HIPAAGenInfo 04_PrivacyStandards asp T opOfPage U S Department od Health amp Human Services Set 05 40 Ihttp aspe hhs gov admnsimp pl104191 htm Public Law 104 191 Aug 21 1996 HEALTH INSURANCE Set 05 PORTABILITY AND ACCOUNTABILITY ACT OF 1996 41 http www icee org Normas de seguran a IEEE Set 05 42 http www finn pl xml komputeryzacja sprawozdawczosc iso9735 Listagem das partes que constitui a norma EDIFACT Dez 05 43 http www astm org cgi in SoftCart exe COMMIT COMMITTEE E3 1 htm E mystore Normas ASTM Set 05 44 http Avww cpri org docs docs html Normas CPRI Set 05 45 Ihttp www iso 17799 com Direct rio de informa o sobre a norma ISO 17799 Set 05 46 http Awww iso org iso en prods services popstds informationsecurity html Informa o sobre o status da norma Set 05 47 http www callio pt com Disponibiliza software de apoio s organiza es para implementar Set 05 o padr o BS 7799 ISO 1799 48 http Awvww lockabit coppe ufr br rlab rlab textos php id 85 Um pouco historia da norma ISO IEC 17799 Fev 06 49 http Awww checkuptool com br artigo 11 htm Descreve algumas das altera o entre ISO IEC 17799 2000 e Fev 06 ISO IEC 17799 2005 50 Mapa comparativo entre ISO IEC 17799 2000 e ISO IEC 17799 Fev 06 http www checkuptool com br PDF NBR_ISO17799 pdf 2005 51 Normas para a seguran a nacional salvaguarda e mat rias Fev 06 http www si
89. Sistema Integrado de Cuidados de Sa de rrenan 79 Figura 10 Data Center da SaANde essa siste nto di pin eo las Fada iGa Rad anda ROUIAA Saga intansi aatia 80 Figura 11 Centraliza o do Registo Electr nico do Paciente ceceeeceeseeeseceteeeteeeeees 81 Figura 12 Diagrama do Processo Prescri o Electr nica i 83 Figura 13 Mobilidade na SAVASSI PINS AUS GUESS 87 Figura 14 Exemplos de aplica o de terminais m veis no acesso a aplica es cl nicas 88 Figura 15 Tend ncias da Telemomitorizacao ccccccscecsccisessncastessachesensosscssdeesvesesenceose tvacvatden 90 Figura 16 Sensores integrados no vestu rio 0 0 eceeeeeceeeceseceseceeeseeeeeesecaecaecaeeeneeeeeeeeeaees 90 Figura 17 Gest o preventiva de pr teses valvulares ii rreernea 90 Figura 18 Avalia o de arritmias ventriculares re ereereereceranea 90 Figura 19 Sistema MobiHealth aque peeisas pasado datada AO pasa RA AS Da OA 91 Figura 20 Tri ngulo de Confian a da PKI na Sa de 109 Figura 21 Arquitectura de Implementa o de uma PKI 110 Figura 22 Aplica o Web CA ars masa Ta DT GS 114 Figura 23 Aplica o Web R as ANS GS SU a ees 115 Figura 24 Gest o dos certificados de utilizador renas 117 Figura 25 Gest o de certificados digitais para servidores cccecsceesseceteceteeeeeeeeeeenseen
90. Tabela 3 podemos avaliar o SONHO como um sistema que carece de algumas melhorias em termos de seguran a nomeadamente no refor o de seguran a ao n vel da autentica o do utilizador e na seguran a dos dados que circulam na rede Ao n vel da utiliza o necess rio criar uma interface com o utilizador mais amig vel pois a actual complexidade uma potencial amea a integridade dos dados Ao n vel de administra o do sistema conviria dispor se de procedimentos eficazes de administra o local e remota de cria o de c pias de seguran a e de mecanismos de controlo de acessos 70 Tabela 3 Grelha de Avalia o dos Aspectos de Seguran a do SONHO Eron z f Legenda Avalia o dos aspectos de seguran a exemplos de quest es SONHO fraco 2 Insuficiente 3 Razo vel 4 Bom NA N o Aplic vel NS N o Sei Justifica o Aspectos a Avaliar 1 27 34 NAJNS Autentica o e Autoriza o dos utilizadores S o utilizados mecanismos de autentica o por tipo de utilizador administrador O mesmo mecanismo de autentica o identifica o nome senha para os diferentes tipos de utilizador gestor etc Quais s o utilizadores S o usados perfis de utiliza o Existem pol ticas de senhas S o alteradas regularmente Senha do sistema alterada regularmente A senha dos utilizadores n o S o dadas e controladas as permiss es por tipo de utilizador S o usados perfis por tipo de utilizador e rea p
91. a considerando o ambiente e forma de uso do equipamento uso pessoal ou colectivo A impress o de documentos sigilosos deve ser feita sob supervis o do respons vel Os relat rios cl nicos impressos devem ser protegidos contra perda reprodu o e uso n o autorizado Os sistemas em uso devem solicitar nova autentica o ap s certo tempo de inactividade da sess o time out Procedimentos de combate a processos destrutivos v rus cavalo de tr ia e vermes devem estar sistematizados e devem abranger tamb m as esta es de trabalho e os equipamentos port teis 105 5 1 5 Auditoria O processo de auditoria peri dica representa um dos instrumentos que facilita a percep o e transmiss o de confian a comunidade de utilizadores e pacientes As auditorias t m como principal objectivo verificar o cumprimento da pol tica de seguran a e das normas e procedimentos de seguran a definidos A auditoria deve abordar os aspectos relativos ao ambiente de opera o seguran a de pessoal seguran a f sica seguran a l gica seguran a de telecomunica es seguran a de recursos criptogr ficos por exemplo certificados digitais plano de conting ncia 5 1 6 Gest o de Riscos A gest o de riscos um processo que visa a protec o dos servi os das institui es por meio da elimina o redu o ou transfer ncia dos riscos conforme seja economicamente e estrategicamente mais vi vel Devem ser identificados os
92. a elevaria todo o sector da sa de em Portugal em termos de qualidade efic cia e efici ncia na presta o de cuidados de sa de A exist ncia desta rede com o recurso Internet e o acesso do paciente a partir de casa potenciaria diversas solu es de HomeCare obviamente suportadas dist ncia pelos prestadores de cuidados de sa de Como a Internet cada vez mais utilizada pelo cidad o poderia utilizada para fornecer mais informa es m dicas neste contexto era fundamental que os conte dos e servi os de sa de em linha fossem desenvolvidos de modo eficiente estivessem dispon veis para todos E que as p ginas web ligadas sa de obedecessem a crit rios de qualidade estabelecidos por exemplo ao HON Code e eHealth Code ver Cap tulo 2 Como exemplo o minist rio da sa de disponibilizaria informa o de sa de gen rica ao cidad o atrav s do portal da sa de 97 Com esta iniciativa poder se ia implementar por exemplo o pedido de marca o de consultas on line e o acesso informa o cl nica pessoal O acesso ao portal seria livre por http ou fortemente protegido com mecanismos de autentica o forte por exemplo https no que se refere obten o de informa es pessoais 4 1 3 Cart o do Cidad o Uma das medidas propostas no mbito do eEurope 2005 visa o uso de cart es de sa de electr nicos na identifica o nica do paciente e sua interac o com o sistema de sa de Nesta medida o
93. a que constitua mais uma barreira a ser ultrapassada no acesso n o autorizado informa o Por ltimo neste contexto de salientar a norma ENV 13606 Electronic Healthcare Record Communication EHR com que especifica os privil gios necess rios para aceder ao registo cl nico electr nico 2 5 Monitoriza o Auditoria e Logs Hoje em dia poss vel usar ferramentas espec ficas e at autom ticas para monitorizar e rastrear os utilizadores de um sistema O processo de auditoria ajuda a verificar se o sistema e os seus controlos de seguran a est o correctamente instalados e a funcionar como exigido ou desejado Auditar os rastos e logs de acesso informa o pode constituir um forte motivo dissuasivo ao abuso Os registos abrangem detalhes sobre o acesso informa o incluindo a identidade do utilizador data e hora fonte e destino informa o pesquisada e retirada e talvez o porqu de aceder aquela informa o A sua efic cia depende essencialmente de qu o forte o processo de identifica o A responsabiliza o por isso essencial dentro dos processos de presta o de cuidados de sa de por forma a evitar acessos futuros indevidos ou incorrectos Ainda mais dever ser desenvolvida e implementada uma pol tica de seguran a com regras afirmando e refor ando o uso correcto de identidades para que a detec o de utilizadores partilhados possa ser eficaz e os utilizadores possam saber como a
94. a a recep o de documentos digitais numa data espec fica 175 portanto um processo que associa uma data hora a um documento O utilizador submete o hash do documento ao sistema de Timestamping e o sistema devolve o hash do documento juntamente com a data hora digitalmente assinado Software do Cliente h dois aspectos que valorizam uma PKI as funcionalidades que a PKI disponibiliza e a possibilidade de aplica es e equipamentos utilizarem criptografia e certificados O software do cliente deve estar preparado para reconhecer originar e reagir a todos os eventos inerentes Deve requerer os servi os de certifica o e de revoga o dever compreender os historiais das chaves e saber quando requerer uma actualiza o ou recupera o de chaves etc Entre as aplica es tipo que podem fazer uso de uma PKI encontram se o correio electr nico o ambiente de trabalho seguran a ficheiros pastas os browsers clientes e servidores VPNs 176 Anexo C Grelha de Avalia o dos Aspectos de Seguran a num Sistema de Informa o Cl nica C1 Classes de Aspectos a Avaliar E E 9 Q 3 E o Q Disponibilidade E S Ss S D 2 5 lt Integridade Auditabilidade Autentica o do utilizador Preven o detec o e recupera o de intrus es 4 Disponibilidade do sistema ab Resist ncia a corrup o de dados Toler ncia a falhas Conform
95. a com os processadores ou controladores dos pa ses n o membros pol ticas de seguran a an lise de risco seguran a da organiza o e deveres relat rio de incidentes de seguran a e brechas treino e sensibiliza o de todo o pessoal envolvido transmiss o dos dados em redes seguras defini o de perfis de acesso aos dados auditorias atitudes a tomar no caso de perda dano ou destrui o de dados planos de continuidade em caso calamidade etc CR 13694 A norma CR 13694 Safety and Security Related Software Quality Standards for Healthcare SSQS apresenta uma vis o de normas existentes ou emergentes que poder o ser aplicados aos SIS As normas consideradas s o aqueles que focalizam a sua aten o na seguran a do software confidencialidade e integridade Este CR tamb m examina normas no que se refere sua aplicabilidade e adaptabilidade aos SIS inclui organiza es como IEC CEN BSI 7 ASC X12 ASTM CPRI e IEEE Apresenta um sum rio das normas que investigam os aspectos de seguran a nos SIS Pela vis o apresentada pelo CR no futuro as organiza es que desenvolvem normas dever o dar grande import ncia aos aspectos de seguran a do SIS Especificamente as reas que dever o ser endere adas determina o da criticidade nos SIS defini o das aproxima es e m todos para desenvolvimento dos SIS promo o de facilidades e testes de performance de sistemas cl nicos e relat rios de opera o dos me
96. a f sica e ades o a padr es de arquitectura aberta 2 1 1 Registos Cl nicos O registo cl nico electr nico um conjunto de informa o estruturada e codificada que cont m dados relacionados com a sa de e a doen a de um paciente Por exemplo estes registos cont m dados relativos hist ria cl nica do paciente diagn sticos tratamentos efectuados prescri es de meios complementares de diagn stico e terap utica di rio de consulta ou internamento cirurgias e outros Habitualmente estes registos s o feitos por m dicos enfermeiros administrativos e outros profissionais de sa de com base nesta informa o proveniente de diversas fontes e em diferentes formatos por exemplo texto imagem e som que organizado o processo ou registo cl nico electr nico do paciente Ele vai permitir de forma controlada partilhar a informa o entre diferentes profissionais de sa de intra ou inter institui es e disponibiliz la por diferentes formas de visualiza o e an lise O processo cl nico electr nico um sistema integrado e distribu do de informa o cl nica do paciente associado a um conjunto de aplica es que a manipulam O conjunto dessas aplica es constituem os sistemas de informa o cl nica e permitem por exemplo auxiliar na presta o de cuidados de sa de auxiliar a decis o cl nica avaliar a qualidade dos cuidados prestados auxiliar na gest o e planeamento dos cuidados de sa de auxilia
97. a m dica No Cap tulo 5 sugere se um conjunto de medidas com vista ao refor o da seguran a no acesso armazenamento e circula o da informa o cl nica do paciente Entre outras medidas proposta a implementa o de uma Pol tica de Seguran a Inform tica para o Minist rio da Sa de e a implementa o de uma infra estrutura de chaves p blicas PKI para a Rede Inform tica da Sa de RIS em Portugal No ltimo cap tulo apresentam se as conclus es tiradas a partir do estudo realizado 2 QUESTOES CHAVE NA SEGURANCA DOS SISTEMAS DE INFORMA O CL NICA 2 1 Introdu o Neste cap tulo ir ser identificado e analisado um conjunto de aspectos cr ticos na seguran a dos dados cl nicos electr nicos do paciente que ir o servir de base ao estudo de um caso no Cap tulo 3 Para al m disto para as amea as e vulnerabilidades identificadas ser o apresentados mecanismos servi os pol ticas e dispositivos de seguran a necess rios para assegurar a seguran a no acesso armazenamento e circula o de informa o cl nica do paciente em formato electr nico A an lise de seguran a ir incidir nas principais reas de preocupa o dos sistemas de informa o cl nica como referido no Cap tulo 1 no ponto 1 1 142 No ponto desenvolvimento e implementa o do sistema de informa o para o registo cl nico electr nico do paciente ser o tidos em considera o algumas quest es como a arquitectura e a tecnologia das ap
98. a n veis de conformidade descreve explicitamente como as entidades que a pretendam implementar devem proceder As mensagens s o estruturadas no formato XML O APEDEHE o protocolo HL7 mais utilizado Este define as mensagens que s o trocadas entre sistemas sendo que as mensagens devem ser trocadas em ordem e c digo preestabelecidos A comunica o baseada na troca de mensagens HL7 suporta a integra o funcional dos sistemas cl nicos e administrativos assegurando a automatiza o de processos Alguns exemplos de troca electr nica entre sistemas distintos s o a comunica o de dados requisi es e relat rios de e para laborat rios de An lises e de radiologia receitas m dicas resumos de admiss o e alta Electronic Healthcare Record EHR multim dia informa es sobre f rmacos etc A titulo de exemplo uma mensagem HL7 que descreve o tipo de sangue de um dado doente OBX 1 CE ABOTYPE ABO GROUP OPOS Type O A Microsoft criou uma solu o que integra o HL7 com a sua ferramenta de integra o e automa o de neg cios O m dulo de HL7 para Microsoft BizTalk descrito no seu site 22 aumenta as capacidades do BizTalk Server 2004 para empresas de assist ncia m dica ao fornecer uma solu o HL7 de messaging que lhes permite partilhar informa es sobre pacientes tanto internamente como com outras entidades Este componente do BizTalk para HL7 simplifica o processo de integra o ao fornecer suporte pr program
99. a pol ticas de acesso a EHR reconhecido de que a maioria dos sistemas cl nicos e EHR incorporam medidas simples de controlo de acessos A nova gera o de sistemas permitem configurar pol ticas de acesso sofisticadas assim como o controlo das mesmas Auditorias detalhadas das interac es com os EHRs Auditoria de interoperabilidade e comunica es a logs feita com base no draft IETF RFC 3881 O grupo de trabalho Europeu R amp D no campo da seguran a dos SIS est activamente a desenvolver especifica es e a definir perfis evolutivos de servi os de seguran a Muitos dos requisitos usados nas comunica es EHR s o aplic veis nas comunica es dos SIS em geral EN 14484 A norma EN 14484 International transfer of personal health data covered by the EU data protection directive High Level Security Policy HLSP fornece um guia em HLSP onde especifica um conjunto de aspectos restritivos e relevantes a adoptar por organiza es na transfer ncia de dados de sa de pessoais de um pais membro da EU para um pa s n o membro nos casos em que o seu sistema de protec o de dados seja inadequado ao contexto desta directiva A titulo de exemplo aplica o da directiva na rea Telemedicina e Teleconsulta Algumas das especifica es e orienta es emanadas pela directiva Espec fica um conjunto de princ pios e artigos a adoptar na protec o dos dados pessoais tais como qualidade dos dados crit rios de legiti
100. a que garantam a confidencialidade dos dados sua integridade o n o rep dio de ac es e que tenham uma abrang ncia global n o podendo ser confinadas a unidades de sa de isoladas Assim as propostas de melhoria de seguran a inform tica aqui sugeridas v o no sentido de Implementar um Plano de Seguran a Global a aplicar a todas as unidades de sa de que integram a RIS e a outras entidades privadas com a qual exista articula o hospitais privados cl nicas privadas laborat rios farm cias etc Implementar uma infra estrutura de chaves p blicas em que o Minist rio da Sa de ficar dotado de uma autoridade de certifica o pr pria para emiss o de certificados digitais Na base destas propostas est o os seguintes pressupostos O IGIF a entidade respons vel pela gest o e interven o t cnica na RIS e de grande parte dos sistemas de informa o cl nica instalados nas unidades de sa de tendo um papel normalizador e global O IGIF ser a entidade respons vel pela gest o global da Pol tica de Seguran a do Minist rio da Sa de O IGIF ser a entidade respons vel pelo topo da infra estrutura de chaves p blicas do Minist rio da Sa de 95 centraliza o da informa o cl nica em data center ser uma realidade a curto prazo A central da infi l dat ter lidad t Assume se ainda que cada institui o ou organiza o possui um ambiente d
101. abrangidos dois tipos de institui o respons veis pela origem dos registos cl nicos de pacientes os hospitais e os centros de sa de A an lise baseada na experi ncia profissional e pessoal da autora com os sistemas de informa o existentes no SNS em contactos com outros profissionais da rea e no estudo da documenta o devidamente referenciada Os registos cl nicos electr nicos surgem da necessidade crescente de estruturar e tornar acess vel a informa o cl nica Os primeiros dados cl nicos a serem estruturados e informatizados foram os diagn sticos os procedimentos e os resultados de exames laboratoriais O registo cl nico electr nico do paciente e a sua partilha entre todos os profissionais envolvidos essencial para a optimiza o dos processos de presta o de cuidados de sa de No entanto para que o registo e circula o da informa o cl nica seja bem aceite fundamental assegurar que se usem m todos fi veis e seguros importante conseguir um bom compromisso entre dois objectivos que por vezes entram em conflito melhorar os cuidados de sa de prestados ao paciente e garantir a sua privacidade integridade e disponibilidade dos dados Na grande maioria dos hospitais a espinha dorsal do sistema de registo cl nico electr nico constitu do pela aplica o SONHO que interage com outras aplica es No caso dos centros de sa de este papel desempenhado pela aplica o SINUS Est
102. aciente n o saber que tipo de alergias ou reac es o paciente poder sofrer para essa medica o O pr prio paciente poder n o saber ou lembrar se especificamente quais s o e isto poder ter consequ ncias no tratamento do paciente 2 4 1 Amea as Seguran a e Vulnerabilidades Uma das mais perigosas amea as que afecta os sistemas de informa o dos servi os de sa de adv m do descuido dos seus pr prios funcion rios Existem diferentes tipos de pessoas educa o e forma o dentro da mesma institui o e h sempre alguns com diferentes tipos de interesses relativamente informa o do paciente Utilizadores internos s o aqueles que t m acesso ao sistema dentro do per metro da intranet da institui o Estes s o utilizadores autorizados e por essa raz o os mais perigosos conhecem o sistema e trabalham todos os dias com ele e por isso lhes muito f cil ter acesso e corromper os dados conforme a sua vontade Por vezes tamb m usam mal a informa o por acidente ou classificam mal os dados causando danos Outro tipo de utilizadores que podem usar mal os dados do paciente s o os utilizadores autorizados que normalmente acedem ao sistema de fora do per metro da intranet i e via Internet Eles normalmente t m acesso a servi os dedicados como linhas de acesso para se conectarem e executar as suas tarefas Um terceiro n vel de utilizadores constitu do pelos utilizadores n o autorizados Podem estar den
103. ade apenas proporcionam evid ncia de que um ataque ocorreu sem o prevenir tecnicamente Os mecanismos de seguran a podem ser implementados por assinatura EDI Electronic Data Interchange SIS Sistema de Informa o para a Sa de HTTP Hyper Text Transfer Protocol 7 SMTP Simple Mail Transfer Protocol 8 FTP File Transfer Protocol 137 digital verifica o do valor criptogr fico criptografia auditora de seguran a etc de acordo com os diferentes n veis de seguran a necess rios as diferentes pol ticas e aplica es Do ponto de vista da seguran a do protocolo de comunica o a aplicabilidade dos servi os de seguran a n o espec fico de uma camada do modelo OSI mas das v rias camadas Tabela 12 Tabela 5 Servi os de Seguran a por Camada Camada OSI Mecanismos de Seguran a Liga o L gica L2TP PPTP Rede IPsec Transporte SOCKS SSL SSH TLS Aplica o SHTTP SFTP PGP S MIME S MIME PKCS 7 Uma arquitectura de rede cliente servidor HL7 composta por servidores de comunica o para comunica es ponto a ponto onde as aplica es re nem e trocam as suas mensagens Os servi os de seguran a HL7 fornecem comunica es seguras ao n vel da camada de transporte ou de aplica o Protec o adicional pode ser obtida usando a seguran a dos servi os fornecidos ao n vel das camadas de rede e de liga o Em comunica es seguras H
104. ado e detalhado para troca de mensagens HL7 O grupo HL7 integra o Secure Transactions Special Interest Group SIGSecure endere ado para o desenvolvimento de transac es seguras HL7 Este grupo focaliza a sua aten o no uso do HL7 num ambiente de comunica es onde existe a necessidade de servi os de comunica es seguros como autentica o encripta o n o rep dio e assinatura digital Para implementar transac es seguras HL7 este grupo baseia as suas ofertas no uso de mecanismos de seguran a dispon veis e n o propriamente em normalizar pol ticas de seguran a TCP IP Transmission Control Protocol Internet Protocol OSI Open Systems Interconnection APEDEHE Application Protocol for Electronics Data Exchange in Healthcare Environments 3 EHR Electronic Healthcare Record 136 Genericamente o SIGSecure identifica os requisitos do utilizador os servi os necess rios para conhecer esses requisitos os mecanismos para fornecer esses servi os e as especifica es para implementar estes mecanismos No mbito de actua o este grupo limita se ao fornecimento de mecanismos de seguran a ao n vel da camada de aplica o para transac es HL7 em rede e atrav s da Internet independentemente da camada de transporte O SIGSecure tem como meta explorar ao m ximo as normas existentes e publicitar especifica es dispon veis Adicionalmente coopera com outros SDOs para evitar duplica o e pr
105. ado um certificado Esta opera o pode ser realizada manualmente o que trabalhoso e que facilmente os utilizadores deixam de fazer ou nem sequer se apercebem da sua necessidade Idealmente esta opera o deve ser realizada automaticamente pelo software de cliente Sistema de Recupera o e C pia de seguran a de Chaves uma necessidade bvia em ambientes institucionais porque deve ser poss vel recuperar informa o cifrada em determinadas circunst ncias por exemplo quando os utilizadores perdem as suas chaves abandonam a organiza o esquecem se da senha de protec o das chaves ou as chaves s o destru das smart card discos disquetes etc Sistema de Gest o de Chaves e Certificados as caves e certificados devem ser periodicamente renovadas para incrementar a seguran a e devem ser actualizadas antes de expirarem caso contr rio haver uma interrup o de servi o A actualiza o pode ser realizada manual ou automaticamente A actualiza o manual apresenta v rias dificuldades para os utilizadores Esta actualiza o dever ser o mais transparente para o utilizador e realizada de forma a n o interromper o servi o Servi o de Suporte ao n o rep dio ningu m deve poder repudiar um documento com assinatura digital Para isso a chave de assinatura deve estar na posse do utilizador sem c pia de seguran a central e bem guardada O modelo mais comum o do um par de chaves que no entanto a
106. ados entre si atrav s de canais de muito alto d bito Um sistema deste tipo dever assegurar elevada qualidade dos servi os prestados e acesso e partilha controlada de informa o e servi os 79 a Globaliza o do acesso b Concentra o de dados Figura 10 Data Center da Sa de As solu es baseadas em data center ou descentralizados apresentam alguns problemas relacionados com a seguran a da pr pria arquitectura a salientar os custos com fiabilidade e seguran a das comunica es que s o necessariamente acrescidos pois tem de se dar mais aten o a mecanismos de redund ncia e maior qualidade dos equipamentos e programas Por outro lado as solu es centralizadas t m como inconvenientes o maior impacto de falhas no servidor ou ataques ao servidor pois afecta um maior n mero de utilizadores no limite todos os utilizadores podem ser afectados e a dificuldade de protec o da propriedade e privacidade porque informa o sens vel do ponto de vista da privacidade dos pacientes dados cl nicos e do ponto de vista do valor patrimonial para as unidades de sa de vai estar fisicamente concentrada Para al m destes aspectos cr ticos aumentam as preocupa es relacionadas com a seguran a na circula o da informa o cl nica e a necessidade de controlo de acessos e protec o Aumenta tamb m a vulnerabilidade a ataques de intercep o das comunica es e escuta il cita da informa o em tr nsito Pa
107. ais H portanto necessidade de manter o controlo sobre em quem se confia e ter a flexibilidade de incluir ou excluir organiza es A certifica o cruzada estende os relacionamentos de confian a TTP Third Party Trust entre dom nios de autoridade de certifica o Gest o de Pol ticas a defini o escrita das pol ticas a aplicar s CAs RAs e aos utilizadores considerada de fundamental import ncia Este documento dever reger todas as regras para a gest o e utiliza o de certificados e assinaturas digitais S o estas regras que permitem uniformizar o sistema e geram confian a no mesmo Actualiza o Autom tica das Chaves um certificado deve ter um prazo de validade e ser automaticamente substitu do por outro antes do prazo expirar Idealmente n o haver qualquer interven o por parte do utilizador Sempre que o certificado est a ser utilizado o seu prazo de validade verificado Sempre que a data de expira o est pr xima ocorre uma opera o de renova o e um novo certificado gerado Ent o o novo certificado passa a ser utilizado em substitui o do anterior Gest o do Historial de Chaves o software deve ter mecanismos para aceder ao hist rico de chaves para de forma transparente para os utilizadores decifrar dados com chaves antigas Servi o de Selos Temporais e Notariado Timestamping todas as m quinas tem que estar na mesma rea temporal horas Este um servi o especial que confirm
108. amentos Centralizada O projecto de Receita M dica Electr nica piloto j em funcionamento um exemplo da E AI aplica o do Cart o do Cidad o 114 na sa de e um meio para melhorar o desempenho e os benef cios de todos os actores que interv m no processo Neste modelo a receita n o circula pela m o do utente A receita enviada para uma base de dados central de prescri es localizada no IGIF sendo posteriormente acedida pelas farm cias ver Figura 12 Diagrama do Processo Prescri o Electr nica O processo inicia se com a prescri o de medicamentos efectuada pelo m dico ao paciente passa pela dispensa do medicamento na farm cia e termina com a confer ncia de facturas dos medicamentos e respectivo pagamento da comparticipa o do Estado Prova de Conceito CC Receita M dica Electr nica O m dico prescreve a receita ao utente utilizando a aplica o inform tica da prescri o electr nica Os dados de identifica o do utente dos seus benef cios e do subsistema de sa de s o obtidos pela leitura do cart o do cidad o O cart o do cidad o interage com a prescri o electr nica permitindo ao utente identificar se perante o sistema O cart o cont m toda a informa o necess ria prescri o de uma receita m dica electronica Centro de Sa de Hospital A receita prescrita enviada em tempo real para uma base de dados central de prescri es
109. anismo para prevenir a interrup o das comunica es Existe redund ncia ao n vel da LAN e na liga o RIS Documenta o Existe informa o t cnica para administra o do sistema Documenta o insuficiente nas institui es A administra o configura o feita pelo IGIF Existe informa o para a utiliza o do sistema Documenta o insuficiente 73 3 10 Conclusao Em resumo as estruturas do sistema alvo do estudo falham pela base pois desde logo sao utilizados mecanismos simples e fracos de controlo de acesso baseados no bin mio nome utilizador senha que circula livremente pela rede sendo frequente a partilha por colegas Refere se situa es em que os utilizadores se levantam dos postos de trabalho e deixam as suas sess es abertas A m pr tica do uso deste sistema compromete muitas vezes todo o processo pelo que o aparecimento de mecanismos de autentica o fortes e de controlo destas pr ticas auditorias e agentes de seguran a activos imprescind vel para o sucesso de um bom sistema de registo cl nico A implementa o de mecanismos que forne am uma autentica o forte baseada em testemunhos seguros pois imperativa Uma solu o com requisitos m nimos pode passar por exemplo por se exigir a utiliza o de mecanismos de chave p blica e cart es inteligentes protegidos por c digo Adicionalmente e subindo a complexidade pode recorrer se
110. anteriormente referidas No entanto ser o relevados alguns aspectos de seguran a que dever o ser considerados na aquisi o remota de informa o como por exemplo no que se refere autentica o do utilizador externo nome utilizador senha dever ter uma refer ncia diferenciada da dos utilizadores internos a firewall e o processo de auditoria do sistema dever o registar todos os acessos externos tal como registam os internos para poderem ser analisados as comunica es dever o ser encriptadas para todos os tipos de dados por exemplo o uso de VPNs e IPsec forma o dos novos utilizadores para o uso do sistema de registo cl nico um procedimento muito importante revis o das pol ticas de seguran a O IGIF disponibiliza s v rias institui es que integram a RIS liga es do tipo VPN para apoio remoto entre as empresas por exemplo fornecedores de equipamentos aplica es ou 67 comunica es e as institui es Embora este tipo de acesso seja disponibilizado a pedido poder representar uma amea a seguran a caso a sua gest o e controlo n o seja adequado Ainda no que se refere s interven es de manuten o remota por exemplo uma transfer ncia de ficheiros ou sess o remota poder basear se nos protocolos telnet ou ftp que s o inseguros pois toda a informa o passa de forma transparente e s claras na rede permitindo a captura de informa o confidencial incluindo credenciais de autentica o nom
111. ara org Cria o Edi o de Entidades timsara org Utilizador Password Organiza o Area l Utilizador CA timsara org RA timsara org Gest o de Identidades Digitais timsara org Gera o de Certificados de Utilizador timsara org Certificado para Paulo Monteiro emitido Aten o palavra passe para a chave privada 471228027 Download Certificado ChavePrivada em formato PKCS 12 p12 CA timsara org RA timsara org Gest o de Identidades Digitais timsara org Gest o de Utilizadores tOtimsara org Gest o de Certificados de Utilizador Todos os utilizadores ox O unido Nome corticados DO je 0 ea o O mome Paloma 2 sus 0 Sd 0 basta Valentm atista 0 2 Adicionar utilizador 116 a Gest o de Certificados de Utilizador timsara org Microsoft Internet Explorer E MISTER a gid gescerutil php ses eJxNiGDOAIEMRu CCQp0gHYOY900 CA timsara org RA timsara org Gest o de Identidades Digitais timsara org Gest o de Certificados de Utilizador timsara org Certificados de Paulo Monteiro Certificados 2004 05 25 20 51 Certificado ChavePrivada Certificado P blico _Revoger Avauer Figura 24 Gest o dos certificados de utilizador Na op o Gera o de Certificados Digitais de Servidores Figura 25 o gestor institucional pode gerir os certificados para os seus servidores CA timsara org RA timsara org Gest o de
112. ara se desenvolver um sistema de gest o de seguran a da informa o e acelerar a sua implementa o 1 12 ISO 7498 A ISO 7498 1988 descreve um modelo b sico de refer ncia para interconex o de sistemas abertos OSI Open System Interconnection O objectivo do OSI permitir a interconex o de sistemas heterog neos A parte 2 Security Architectur da norma providencia uma descri o gen rica dos servi os de seguran a e mecanismos e tamb m define a posi o relativa ao modelo onde os servi os e mecanismos s o fornecidos Esta parte estende o campo de aplica o da norma de forma a cobrir comunica es seguras entre sistemas abertos Esta norma define cinco categorias principais de servi os de seguran a Tabela 12 Tabela 12 Servi os de Seguran a segundo a norma ISO 7498 Categoria Objectivo Mecanismos Observa es Autentica o Assegurar que no momento em Controlo de vulnerabilidades Controlo senhas que o servi o estiver a ser M todos de autentica o CEN TC 12251 166 Controlo de Acessos Integridade dos dados Confidencialidade Nao Reptdio utilizado uma entidade realmente quem diz ser Controlar o acesso aos dados protegidos Protec o dos dados contra altera es n o autorizadas Remo o inclus o ou modifica o de dados Protec o de informa o registada para que apenas pessoas autorizadas possam ter acesso Impedir o rep dio ou a possibilidade de re
113. ara tratamento estat stico est dispon vel em diferentes perfis No entanto necess rio tratar o aspecto da confidencialidade O gestor da aplica o tem acesso por SQL a toda a estrutura da aplica o Utiliza o normal O acesso ao sistema remoto ou local Acesso ao sistema via rede remoto E usado emulador de terminal Reflection A utiliza o do sistema est devidamente documentada Documenta o de utiliza o do sistema praticamente inexistente Mecanismos de autentica o utilizados Autentica o por nome senha N o existe mecanismo que obrigue o utilizador a alterar periodicamente a sua senha de acesso aplica o As interfaces s o f ceis de perceber e utilizar O interface em modo texto e genericamente pouco amig vel Em situa o de elevada carga do sistema Em situa o de sobrecarga o acesso lento e tentativas de conex o s o descartadas Acessos ao sistema para estat stica Acesso por perfil Conformidade com normas O sistema est em conformidade com certifica es oficiais CNPD Qual o grau de conformidade 72 Documenta o insuficiente Mecanismos de defesa usado algum sistema cript grafico de protec o O SONHO n o usa qualquer mecanismo criptogr fico A que n vel s o usados os mecanismos criptogr ficos Ao n vel aplica o ao n vel do sistema ou ao n
114. as duas aplica es surgiram no final da d cada de 80 para satisfazer as necessidades organizativas no SNS e a sua utiliza o est amplamente disseminada em Portugal SONHO Sistema Integrado de Informa o Hospitalar 4 SINUS Sistema de Informa o para Unidades de Sa de 46 SNS Sistema Nacional de Sa de 47 O SONHO um sistema integrado de informa o desenvolvido pelo IGIF que abrange alguns departamentos ou reas de actividade dos hospitais tais como urg ncia consulta externa internamento arquivo cl nico meios complementares de diagn stico O seu principal objectivo o controlo do fluxo de doentes dentro da organiza o uma aplica o essencialmente administrativa modular e flex vel e em termos estruturais tem condi es para englobar novos m dulos interagir com outras aplica es por exemplo aplica es para gest o de laborat rios e efectuar comunica es inter institucionais por exemplo receber a marca o remota de consultas O sistema de informa o SINUS tamb m desenvolvido pelo IGIF 59 tem como objectivo suportar as actividades di rias dos centros de sa de constitu do por v rios m dulos que implementam algumas funcionalidades por exemplo registo de utentes agendas de consultas registo de vacina o cart o do utente A necessidade de criar um registo cl nico electr nico levou o IGIF a desenvolver um m dulo orientado actividade do m dico o
115. as e acesso seguro aos dados de sa de pessoais Foram j adoptadas algumas medidas neste dom nio a n vel da UE directiva relativa protec o dos dados pessoais no sector das telecomunica es cria o de uma unidade para a ciberseguran a adop o pelos sectores privados e p blicos de uma cultura da seguran a na concep o e na aplica o dos produtos de informa o e comunica o comunica es seguras entre servi os p blicos 4 1 4 Telemedicina Por fim mas n o menos importante refira se outra das ac es propostas pelo eEurope a telemedicina A telemedicina tornou se um elemento fundamental da pol tica sanit ria aos n veis regional nacional e europeu S o do conhecimento p blico alguns casos de sucesso em Portugal alguns em fase de consolida o dos seus objectivos e integrados na rede informatica da sa de RIS nomeadamente a rede de telemedicina do Norte o projecto CALENO 133 que promove a telemedicina em Castela e Le o e o Nordeste Transmontano o projecto de telemedicina da regi o centro do qual se destaca a teleconsulta em cardiologia pedi trica que envolve o Hospital Pedi trico de Coimbra 132 o projecto de telemedicina da regi o alentejana 136 entre os 5 hospitais da regi o e centros de sa de o projecto de telemedicina no Algarve 136 Algumas das especialidades da telemedicina emergentes poder o vir a revolucionar a forma de prestar cuidados de sa de em Portugal por exemplo a tel
116. ataformas n o est centralizado e uniformizado Basicamente em cada aplica o s o criados os utilizadores e atribu dos os respectivos privil gios Uma poss vel solu o poder passar pela constru o de uma plataforma segura de acesso nico s aplica es permitindo o Single Sign On eventualmente com recurso chave p blica do utilizador O utilizador possuiria um cart o onde est armazenado o seu certificado digital e a sua chave privada protegidos por senha Quando o utilizador pretendesse aceder ao sistema centralizado apenas teria de estar na posse do seu cart o e facultar a senha O nome de utilizador junto com o seu certificado digital ser o enviados ao servidor a que pretende aceder No acesso sala de servidores poderiam existir mecanismos de identifica o e autentica o ou n o dependendo da institui o mas no caso desta autentica o ser requerida poder se ia processar em dois passos algo que o utilizador tem por exemplo cart o magn tico ou cart o de identifica o profissional e algo que o utilizador sabe por exemplo uma senha Para al m disto os servidores deveriam estar alojados em arm rios fechados chave e s alguns utilizadores espec ficos estar autorizados a aceder lhes Finalmente como foi dito anteriormente o paciente utiliza o seu Cart o do Utente para interagir com o sistema O cart o identifica o utente atrav s de um c digo de barras e de uma banda magn tica que
117. autorizado a esta informa o A vers o do sistema operativo assim como outro software de registo cl nico instalado em servidores devem ser mantidos actualizados em conformidade com as recomenda es dos fabricantes Dever se ainda ser utilizado somente software licenciado ou autorizado nomeadamente pela CNPD Para evitar amea as integridade e sigilo da informa o cl nica o acesso remoto aos servidores deve ser realizado adoptando mecanismos de seguran a Para al m disto os procedimentos de c pia de seguran a e de recupera o devem estar documentados e mantidos actualizados e regularmente testados de modo a garantir a disponibilidade da informa o cl nica Os procedimentos de combate a processos destrutivos v rus cavalo de tr ia e vermes devem estar sistematizados c Infra estrutura de rede da institui o O tr fego ou tr nsito de informa o cl nica na rede deve ser protegido contra danos ou perdas bem como acesso uso ou exposi o indevida Componentes cr ticos da rede local por exemplo encaminhadores e servidor de nomes devem ser mantidos em salas pr prias e com acesso f sico e l gico controlado devendo ser protegidos contra danos furtos roubos e intemp ries A configura o de todos os activos de processamento deve ser verificada aquando da instala o inicial para que sejam detectadas e corrigidas as vulnerabilidades inerentes configura o padr o que se encontram nesses activos
118. bilidade e rastreabilidade da informa o acedida processada e comunicada Total seguran a e qualidade dos procedimentos A norma refere um conjunto de requisitos de seguran a para assegurar o acesso comunica o e controlo de dados EHR Requisitos gerais de seguran a com base na ISO IEC 17799 que especifica formas de medir e a adoptar para proteger os dados EHR e a forma como os dados podem ser comunicados em seguran a como parte de um ambiente distribu do de computa o Nas comunica es EHR fora EU baseia se em orienta es e especifica es de politicas de seguran a nas normas EN 14484 e EN 14485 A ISO 22857 fornece informa o similar quando um pa s n o est inclu do na EU Define uma arquitectura gen rica para acesso e controlo de dados EHR 1233 EMR Electronic Healthcare Record 147 O acesso a dados EHR legitimado por um conjunto de politicas algumas delas documentadas outras codificadas dentro das aplica es e outras com autoriza o formal atrav s de componentes do sistema A norma ISO DTS 2260 Privilege Management and Access Control PMAC define um modelo l gico gen rico para representar os privil gios das principais entidades o controlo das pol ticas de acesso e o processo de negocia o que requerido Requisitos de seguran a espec ficos como requisitos ticos e m dico legais na comunica o de informa o EHR s o expressos pela norma ISO TS 18308 Modelo gen rico par
119. ca o da identidade de uma m quina que se faz passar por outra na tentativa de ganhar acesso a recursos ganhar acesso a informa o ou provocar indisponibilidade de servi os Este ataque pode ser efectuado ao protocolo ARP ou por altera o do endere o MAC das placas de interface com a rede Por exemplo ataques de ARP spoofing IP spoofing DNS spoofing spoofing de aplica es e spoofing de utilizador Os ataques por modifica o s o pouco vulgares nas redes locais dado que devido ao funcionamento em modo comutado tal exigiria a modifica o de tabelas de encaminhamento dos comutadores o que seria praticamente imposs vel Este tipo de ataque que pode ser usado para facilitar outro tipo de ataques descritos nesta sec o tamb m pode ter origem dentro ou fora do per metro da rede da institui o ou fora 1 ARP Address Resolution Protocol O protocolo TCP IP que relaciona dinamicamente um endere o IP endere o l gico com um endere o MAC endere o f sico O ARP usado dentro de um segmento de rede e limitado a redes que suportam broadcast 2 MAC Media Access Control um protocolo de baixo n vel implementado em hardware usado para acesso rede O termo MAC address geralmente usado como sin nimo de endere o f sico 29 Como foi referido anteriormente ver Figura 4 Representa o da rede inform tica da Sa de as infra estruturas de redes locais das institui es de sa de
120. canismos de monitoriza o CR 14301 O objectivo deste relat rio CR 14301 Framework for Security Protection of Healthcare Communication SEC COM FR promover o entendimento das necessidades de seguran a relacionada com as comunica es de informa o de sa de Esta norma referencia o uso das normas prEN 12805 e prEN 12806 31 CR 14302 O objectivo deste relat rio CR 14302 Framework for Security Requirements for Intermittently Connected Devices SEC ICD fornecer um planeamento b sico para as normas Europeias dentro 12 BSI British Standards Institute London 150 do mesmo assunto Security Requirements for Intermittently Connected Devices 32 E um guia para o grupo de trabalho CEN TC224 WG12 que prepara normas espec ficas para implementar mecanismos de seguran a e requisitos a usar por equipamentos de leitura de cart es de sa de No campo de aplica o este guia serve para outros projectos que use cart es de sa de para os pacientes profissionais e outras pessoas ligadas ao sector dentro da Europa Este relat rio define requisitos de seguran a para os sistemas intermittently connected devices e discute requisitos para os seguintes servi os de seguran a Protec o da integridade dos dados origem dos dados autentica o controlo de acesso e protec o da confidencialidade O relat rio define requisitos de seguran a para as interfaces dos ICD entre aplica es e o sistema ICD E
121. cl nicos electr nicos atrav s de diferentes sectores relacionados com os cuidados de sa de diferentes pa ses e diferentes modelos transfer ncia de informa o clinica ISO TS 21091 A norma ISO TS 21091 Directory services for security communications and identification of professionals and patients define as especifica es minimas para um direct rio de servi os para a rea da sa de tendo por suporte uma infra estrutura de chave p blica Endere a um direct rio na rea da sa de numa perspectiva comunit ria em antecipa o ao suporte inter empresas inter jurisdi o e comunica es internacionais na rea dos cuidados de sa de A norma tamb m suporta um direct rio de servi os com apontadores que suportam a identifica o de profissionais de sa de organiza es e pacientes consumidores Por ltimo inclui nos servi os alguns aspectos relacionados com os ndices mestres de pacientes O direct rio da rea da sa de apenas suporta o standard LDAP ISO DIS127 21549 A norma ISO DIS 21549 2004 Patient Healthcare Data define um modelo b sico orientado ao objecto para os cart es de sa de Figura 28 Cart o de Sa de do Paciente uma estrutura flex vel e foi desenhada para facilitar o armazenamento dos dados cl nicos do paciente constitu da por varias partes e define a estrutura geral dos dados para diferentes tipos de cart es de sa de transportados pelos pacientes A ISO IEC 7810
122. comunica es privada do Minist rio da Sa de em Portugal 14 RDIS Rede Digital com Integra o de Servi os 5 ATM Asynchronous Transfer Mode Uma rede baseada num conjunto de switches ATM inter conectados por liga es ATM ponto a ponto em fibra ptica Esta tecnologia introduz o conceito de c lulas endere amento e circuitos virtuais 26 2 7 1 Amea as Seguran a e Vulnerabilidades A maior parte das amea as e vulnerabilidades apresentadas nesta sec o s o semelhantes s de qualquer outro sistema de informa o porque a rede possui as mesmas caracter sticas e disponibiliza as mesmas funcionalidades e por isso est exposta aos mesmos problemas de seguran a Segue se a identifica o de algumas das amea as mais importantes a um sistema de informa o cl nica A escuta do meio f sico de transmiss o pode ser efectuada por deriva o do meio f sico por deriva o do pr prio meio ou dos nos conectores por leitura da radia o electromagn tica emitida pelos cabos ou por escuta do espectro radioel ctrico O ataque por bloqueio normalmente ocorre por disrup o do meio f sico por exemplo corte de cabos ou atrav s do posicionamento de obst culos entre o emissor e o receptor por exemplo no caso das redes sem fios O desvio da liga o para outro equipamento ocorre com o intuito de aceder a informa o ou recursos de comunica o As formas de ataque utilizadas numa dada rede ou liga o de
123. conectam se RIS atrav s de circuitos dedicados ou linhas RDIS Por natureza estes canais n o implementam seguran a pelo que esta dever ser implementada nos extremos i e nos routers Como a rede ATM 4 fundamentalmente orientada conex o isto significa que uma conex o virtual tem de ser estabelecida antes de qualquer transfer ncia de dados logo h um mito de op o por mecanismos fracos ou inexistentes em termos de autentica o ou encripta o que decorre de dois factores O primeiro a ideia de que a utiliza o de circuitos virtuais constitui um isolamento contra a generalidade de ataques no entanto por si s isto n o oferece protec o contra escuta desvio ou modifica o nos extremos da liga o por exemplo na rede do operador O segundo factor prende se com a quest o da seguran a entre camadas de software protocolar que sugere n o haver necessidade de replica o de mecanismos na camada de liga o de dados dado a exist ncia de solu es de autentica o e encripta o nas camadas superiores A seguran a no n vel da camada protocolar de aplica o tem por objectivos a garantia da confidencialidade e integridade dos dados das aplica es a autentica o dos utilizadores o n o rep dio da utiliza o dos servi os o controlo de acesso aos servi os e a sua disponibilidade Os computadores funcionam com software Infelizmente o software pode tamb m ser utilizado para desactivar um com
124. cont m informa o sobre a morada idade naturalidade nacionalidade regi o de sa de e centro de sa de de resid ncia do utente subsistema de sa de e exist ncia ou n o de regime especial de comparticipa o de medicamentos entre outros elementos No entanto n o existe qualquer mecanismo de protec o dos dados contidos no cart o O Cart o do Cidad o ainda em fase experimental ir substituir entre outros documentos o Cart o do Utente trata se de um documento dotado de caracter sticas de seguran a que ir permitir ao utente interagir com as entidades prestadoras de cuidados de sa de ver Cap tulo 4 3 4 Controlo de Acessos Como j foi referido o controlo de acesso medeia a interac o entre os utilizadores e o sistema Existe a necessidade de definir o perfil de utilizador e a que tipos de informa o t m acesso 59 Pela sua import ncia na tarefa de introdu o de dados no sistema classifica o e codifica o os principais intervenientes neste sistema s o essencialmente quatro m dicos administrativos enfermagem e os t cnicos de meios complementares de diagn stico e terap utica Para al m destes os profissionais de inform tica possuem um papel importante no controlo do sistema Os investigadores s o os elementos menos activos no sistema no entanto possuem um papel muito importante nos resultados e no tratamento dos dados recolhidos pelos diferentes profissionais Como pode
125. cula o fi vel e seguro importante conseguir um bom compromisso entre dois objectivos que por vezes entram em conflito melhorar os cuidados de sa de prestados ao cidad o e garantir a sua privacidade A Figura 3 pretende definir o modelo que ir servir de base an lise desta problem tica de seguran a Figura 3 Modelo de Seguran a dos Sistemas de Informa o Cl nica As quest es foco de aten o desta an lise s o o desenvolvimento ou implementa o dos sistemas de informa o cl nica o controlo de acessos informa o cl nica o armazenamento da informa o cl nica a circula o da informa o cl nica normas e princ pios tico legais Para cada um destes pontos ser o detalhados alguns aspectos importantes relacionados com as amea as seguran a as vulnerabilidades dos sistemas de informa o cl nica e ser o tamb m propostas solu es e mecanismos de seguran a a usar 1 2 Objectivos O tema foco desta tese tem sido alvo de largas discuss es nos meios relacionados com a seguran a na rea da sa de Os principais objectivos em an lise s o Estudar do estado da arte da seguran a dos sistemas de informa o clinica em Portugal Estudar a situa o actual e as necessidades futuras relativas circula o da informa o cl nica no contexto da Telemedicina eSa de acesso ao processo cl nico electr nico novos canais de comunica o e informa o cl nica na posse do
126. cula autenticado e cifrado Como foi referido anteriormente as redes sem fio apresentam vulnerabilidades de seguran a diferentes das redes de cablagem Algumas melhorias de seguran a poder o passar pela utiliza o do protocolo IEEE 802 11 que se baseia na autentica o de utilizadores e na confidencialidade da comunica o atrav s da utiliza o do mecanismo de seguran a conhecido por WEP nativo para redes m veis O WEP utiliza um mecanismo de chaves partilhadas com cifra sim trica designado RC4 5 No entanto o WEP apresenta defici ncias t cnicas sendo poss vel quebr lo em pouco tempo Mas apesar das suas vulnerabilidades ter WEP melhor do que n o ter qualquer protec o De prefer ncia a chave deve ser alterada regularmente em especial quando se pretende revogar as permiss es de acesso de um utilizador S se deve utilizar o WEP se n o for poss vel actualizar os equipamentos para WPA ou WPA2 Esconder o SSID com esta medida evita se que o ponto de 30 Proxies Firewalls de aplica o ou simplesmente proxies todo o tr fego interno ou externo rede encaminhado para o proxie que funcionando ao n vel de aplica o pode executar fun es de autentica o controlo de acesso etc 31 SSL Secure Socket Layer O protocolo SSL mant m a seguran a e integridade do canal de transmiss o atrav s da Internet em conex es do tipo TCP usando cifragem autentica o e mensagens com c digo de au
127. cumento DRAFT INTERNATIONAL STANDARD ISO DIS 21549 no ponto Device and Data Security Attributes definidos na Part 2 Common Objects 54 A norma fornece uma s rie de fun es de seguran a apropriadas como por exemplo o atributo direito de acesso este direito pode ser controlado por um sistema autom tico i e o uso de cart es profissionais de sa de o atributo servi os de seguran a necess rio para o armazenamento dos dados requer mecanismos de seguran a Os servi os de seguran a associados aos dados do cart o do paciente s o dever o contemplar autentica o o acesso a dados de sa de associados ao cart o do paciente dever ser mediante fun es de identifica o controlo de acesso e assinatura ISO TR 16056 Esta norma ISO TR 16056 Interoperability of Telehealth Systems and Networks esta orientada para a interoperabilidade dos sistemas de telemedicina e redes 157 A Part I Introduction and definitions apresenta uma breve introdu o interoperabilidade dos sistemas de Telemedicina e redes No anexo informativo descreve os varios componentes da telemedicina A Part 2 Real time systems define o campo de aplica o da norma relacionado com aplica es em tempo real incluindo video audio e conferencia de dados define requisitos de interoperabilidade no mbito dos sistemas de Telemedicina e redes identifica e constr i blocos para tornar as solu es interoperaveis Este documento end
128. curity Management 45 46 a qual possui uma vers o aplicada aos pa ses de l ngua portuguesa denominada NBR ISO IEC 17799 48 A norma ISSO IEC 17799 Gest o da seguran a da informa o pode ser definida como a protec o contra um grande n mero de amea as s informa es de forma a assegurar a continuidade do neg cio minimizando danos comerciais e maximizando o retorno dos investimentos e as oportunidades de neg cio A ISO17799 cobre os mais diversos t picos da rea de seguran a possuindo um grande n mero de pontos de controlo e requisitos a ter em considera o para garantir a seguran a da informa o de uma organiza o Tabela 11 de forma que a obten o da certifica o pode ser um processo demorado e muito trabalhoso 164 Em contrapartida a certifica o uma forma bastante clara de mostrar sociedade que a organiza o d a import ncia merecida seguran a da sua informa o e dos seus clientes de tal forma que se prev que em poucos anos as grandes organiza es ter o aderido norma e obtido suas certifica es Tabela 11 Itens referidos pela norma ISO IEC 17799 2000 Itens Pol tica de Seguran a Seguran a organizacional Classifica o e controle dos activos da informa o Seguran a nas pessoas Seguran a f sica e do ambiente Gest o das opera es e comunica es Controlo de acesso Desenvolvimento e manuten o de sistemas Gest o da continui
129. d ncia e equipamento switch No caso de falha de corrente el ctrica existe UPS e gerador de emerg ncia Existe mecanismos para contrariar potenciais ataques ao sistema do tipo Nega o de Servi os Toler ncia a falhas do sistema em caso de avaria E em caso de ataque Servidor com discos em mirror Processador FA e placa de rede redundante Em caso de o ataque por exemplo desligar o ar condicionado o acesso sala condicionado No caso de falha de corrente el ctrica existe UPS e gerador de emerg ncia Exist ncia de pontos cr ticos inform ticos Base de Dados Oracle centralizada no mesmo servidor Hardware redundante Exist ncia de pontos cr ticos f sicos Todos os sistemas redundantes est o na mesma sala Auditabilidade Existe registos que permitam efectuar auditoria Existe logs ao nivel da BD do SO e da aplica o Que informa o registada Ao nivel da aplica o regista os eventos acessos dos utilizadores Ao n vel do SO regista o acesso dos utilizadores utilizador identifica o terminal datas e mensagens de erro alerta Ao n vel do Oracle mant m logs dos backups Existe verifica o regular desses registos Verifica o manual de logs Que meios suportam esses registos Geralmente o pr prio servidor C pias de Seguran a Utiliza o ao n vel de administra o A administra o do sistema remota ou tem de ser fe
130. dade do neg cio Conformidade com requisitos Objectivo Definir uma pol tica de seguran a e publica la e comunic la atrav s de toda a organiza o Promover uma infra estrutura de seguran a da informa o na organiza o Manter a protec o adequada dos activos de informa o Reduzir os riscos de erro humano roubo fraude ou uso indevido de instala es Prevenir acesso n o autorizado dano e interfer ncia s informa es e instala es f sicas da organiza o Garantir a opera o segura e correcta dos recursos de processamento da informa o Controlar o acesso informa o Garantir que a seguran a seja parte integrante dos sistemas de informa o N o permitir a interrup o das actividades do neg cio e proteger os processos cr ticos contra efeitos de falhas ou desastres significativos Garantir conformidade dos sistemas com as leis estatutos regulamenta es obriga es contratuais pol ticas e normas organizacionais de seguran a e de quaisquer requisitos de seguran a Atrav s do trabalho realizado pelo comit t cnico ISO IEC JTC 1 SC27 IT Securities Techniques em Junho de 2005 assistimos publica o da nova vers o da ISO IEC 17799 2005 A revis o deste referencial de excel ncia no que concerne a seguran a da informa o traz diversas novidades 49 50 n o s forma como est organizado mas tamb m a n vel conceptual altera es estas que se traduziram na incl
131. de autentica o e criptografia do tr fego Utiliza o algoritmo de criptografia AES SSID Service Set Identifier Nome usado pelo ponto de acesso para se anunciar na rede sem fios 37 AES Advanced Encryption Standard Baseado num algoritmo de chaves privadas nao existem ataques efectivos conhecidos contra o AES 38 VPN Virtual Private Network Definida pelo RFC 2828 como sendo uma conex o de computadores de uso restrito que se estabelece sobre uma estrutura f sica de uma rede p blica como por exemplo a internet 35 informa o acesso e implementa o de sites seguros o uso de MPLS nos routers uma tecnologia emergente que al m de possibilitar um aumento no desempenho do encaminhamento de pacotes facilita a implementa o da qualidade de servi o a engenharia de tr fego e VPNs etc Por exemplo nos casos em que necess rio fazer telemedicina para fora da RIS poder o ser usadas VPNs atrav s de linhas RDIS Os ataques aos servidores DNS s o em princ pio facilmente controlados com extens es aos protocolos DNS seguro baseado em criptografia de chave p blica No entanto tal implica a instala o de novo software nas m quinas clientes pelo que esta solu o n o se tem generalizado Al m disso necess rio tornar mais eficaz o processo administrativo que permite aumentar a confian a entre dom nios DNS Os ataques ao sistema de encaminhamento routers s o bem mais dif ceis de contraria
132. de ser quebrado e os pr prios logs podem ser mudados ou falsificados Se s o enviados via correio electr nico ou qualquer outro tipo de software de comunica o em que a informa o circula em claro qualquer pessoa pode facilmente escutar a rede quebrar a confidencialidade dos dados e executar facilmente um ataque Mais ainda se for realizada uma c pia de seguran a dos logs e estes armazenados fora do sistema onde n o haja medidas espec ficas de seguran a f sica podem ser facilmente acedidos por qualquer tipo de utilizadores Os utilizadores autorizados representam algumas das mais perigosas amea as n o s o considerados estranhos pelo sistema 2 5 2 Solu es e Mecanismos de Seguran a Para evitar alguns dos problemas de seguran a mais comuns com os logs estes devem ser feitos e analisados regularmente para que a maior parte das ac es dentro do sistema possam ser monitorizadas e relatadas frequentemente evitando desta forma que eventos n o detectados passem completamente despercebidos Esta an lise dever ser feita preferencialmente por ferramentas autom ticas e sem interven o humana para se evitar as mais comuns amea as de seguran a No caso da interven o humana ser essencial todos os controlos de seguran a aplicados ao controlo de acessos dever o ser executados como primeiro obst culo para prevenir a viola o da confidencialidade e integridade dos dados muito importante no mbito da pol
133. de uma rede com fios N o f cil rastrear utilizadores de uma rede sem fios e por esta raz o quando algu m com um equipamento adequado se aproxima de uma rede sem fios e se conecta pode escutar toda a informa o em tr nsito nesse momento se a rede n o estiver adequadamente protegida Estes s o apenas alguns dos problemas mais importantes em termos de seguran a no que se relaciona com o controlo de acessos De seguida s o descritas algumas recomenda es que podem evitar algumas destas vulnerabilidades de seguran a 2 4 2 Solu es e Mecanismos de Seguran a Para controlar convenientemente o acesso como um todo numa rede de cuidados de sa de podem ser definidos n veis de acesso H necessidade de definir explicitamente quem tem acesso e a que informa o A Tabela 1 apenas um exemplo de como as regras e n veis de acesso podem ajudar na descri o e fornecimento de controlo eficiente quando se acede aos dados cl nicos do paciente Tabela 1 Lista de privil gios Utilizadores Direitos de acesso Paciente Toda a sua informa o cl nica M dico Toda a informa o cl nica dos seus doentes relacionada com a sua especialidade Enfermagem Toda a informa o relacionada com o seu departamento ou servi o PDA Personal Digital Assistente 17 T cnicos Toda a informa o relacionada com o seu departamento ou servi o Investigador Idade sexo diagn sticos e procedimentos informa o cl
134. des por exemplo a Internet Especificado pelo RFC 2828 IDS Intrusion Detection System Sistema de detec o de intrus o definido como sendo um servi o que monitora e analisa eventos de uma rede e providencia alertas em tempo real de acessos aos recursos da rede n o autorizados Para mais informa o ver o RFC 2828 124 Kerberos um protocolo de autentica o especificado no RFC 1510 MAC Media Access Control Protocolo de baixo n vel implementado em hardware usado para acesso rede O termo MAC address geralmente usado como sinonimo de endere o f sico Proxies Firewalls de aplica o ou simplesmente proxies todo o tr fego interno ou externo rede encaminhado para o proxie que funcionando ao n vel de aplica o pode executar fun es de autentica o controlo de acesso etc Router O router ou encaminhador um dispositivo para interliga o de redes de diferentes tecnologias que fazem o encaminhamento e a comuta o dos pacotes entre si SET Secure Electronic Transactions E um conjunto de protocolos e mecanismos de seguran a que permite a realiza o de transac es seguras com cart o de cr dito atrav s da internet TCP IP Transmission Control Protocol Internet Protocol E uma solu o tecnol gica usada em redes privadas e de telecomunica es como suporte computacional para um grande n mero de aplica es para o desenvolvimento como plataforma d
135. didos nos seguintes segmentos Dados e Informa o Indisponibilidade Interrup o perda intercepta o modifica o fabrica o destrui o Pessoas Omiss o erro neglig ncia imprud ncia imper cia sabotagem amn sia Rede Acesso n o autorizado intercepta o engenharia social identidade forjada reenvio de mensagem viola o de integridade indisponibilidade ou recusa de servi o Hardware Indisponibilidade intercepta o furto ou roubo falha Software e sistemas Interrup o intercepta o modifica o desenvolvimento falha Recursos criptogr ficos Ciclo de vida dos Certificados Digitais 5 1 7 Plano de Conting ncia O Plano de conting ncia um documento cujo objectivo permitir manter em funcionamento os servi os e processos cr ticos das institui es na eventualidade da ocorr ncia de desastres atentados e falhas diversas Sistemas e dispositivos redundantes devem estar dispon veis para garantir a continuidade da opera o dos servi os cr ticos de maneira oportuna Todas as institui es dever o elaborar um tal plano de conting ncia que estabelecer no m nimo o tratamento adequado dos seguintes eventos de seguran a comprometimento da chave privada da institui o invas o do sistema e da rede interna da institui o incidentes de seguran a f sica e l gica indisponibilidade da infra estrutura Todo o pessoal envolvido com o plano de conting ncia deve
136. dores normalmente est o pouco preparados para utilizar computadores Alguns deles ainda v em estas m quinas como caixas negras m gicas Sobretudo as pessoas precis o de saber como us los e como funcionam para que o seu trabalho possa ser feito de uma forma eficaz e segura Forma o e sensibiliza o s o o primeiro passo para evitar alguns dos problemas de seguran a no que concerne identifica o e autentica o dos utilizadores Os utilizadores dever o ser capazes de saber a real import ncia das senhas e a que normas devem obedecer para que simples problemas de seguran a possam ser evitados Nunca dever o por exemplo dizer a outros as suas senhas porque na maior parte das vezes a mesma senha usada para aceder a diferentes sistemas Tamb m a pessoa respons vel por emitir e desactivar senhas dever assegurar se da identidade do utilizador com quem est a lidar A norma EN 12251 Secure User Identification for Healthcare Management and security of authentication by passwords ver Anexo A especifica um conjunto de requisitos orientados para a gest o e seguran a da autentica o por senhas tendo por objectivo melhorar a autentica o individual dos utilizadores nos sistemas de registo cl nico Para evitar a divulga o de senhas estas devem ser mudadas regularmente e para se evitar a sua divulga o devem ser suficientemente complexas para que os atacantes de dicion rio uso de palavras num dicion rio para tes
137. dos utentes gest o do Cart o do Utente a seguran a destes servi os dever estar condicionada ao uso de tecnologias como o SSL HTTPS associadas a t cnicas de criptografia de dados as quais permitem transac es seguras entre os navegadores e servidores web Na RIS existem servidores seguros que garantem elevados n veis de seguran a no que respeita autenticidade e confidencialidade na troca de informa o As amea as e vulnerabilidades com as liga es ao exterior s o muito importantes mas as liga es internas n o dever o ser minimizadas O impacto de um ataque interno poder ter consequ ncias muito mais graves As lacunas de seguran a internas s o mais dif ceis de detectar e por isso de dif cil resolu o As comunica es s o estabelecidas no modo cliente servidor Isto significa que todos os terminais de acesso s aplica es por exemplo SAM SAPE ou SONHO SINUS podem aceder informa o armazenada no servidor Entre cada cliente e o servidor existe a rede da institui o atrav s da qual a informa o fl i Este aspecto poder ser uma fonte de amea as seguran a porque entre os utilizadores clientes e o servidor n o existe nenhum mecanismo que impe a a tentativa de acessos n o autorizados Uma firewall deveria existir para filtrar e registar a informa o circulante Al m disto porque nem toda a informa o circula encriptada por exemplo no SONHO e SINUS durante todo o processo de comunica
138. e am a seguran a e a interoperabilidade dos sistemas escala global ver Anexo A Os sistemas de informa o para a sa de s o habitualmente implementados em infra estruturas heterog neas e dispersas o que torna ainda mais importante a exist ncia de normas que facilitem a troca segura de informa o Do conjunto de normas apresentado de salientar a norma DICOM que estabelece uma linguagem comum entre equipamentos de imagem m dica geralmente de marcas diferentes e n o compat veis e computadores comum a n vel internacional e j usada em Portugal por entidades que implementam o PACS A norma HL7 desenvolve padr es utilizados como especifica es de mensagens de forma a facilitar a comunica o electr nica de dados cl nicos entre sistemas heterog neos na rea da sa de Al m destas de salientar o trabalho desenvolvido pelo grupo de trabalho CEN TC 251 WGIII com realce para as seguintes normas ENV 12924 Security Categorization and Protection of Healthcare Information Systems ENV 13608 Security for 41 sibs Baer E ma Eiko as 3 A PACS Picture Archiving Communication System sistemas de distribui o arquivo e comunica o de imagens m dicas que permitem a capta o o armazenamento e a distribui o das imagens e dos relat rios por via electr nica de forma a estarem dispon veis em qualquer posto de trabalho inform tico existente na institui o O PACS est a afirmar se em
139. e CORBA Security Services fornecem melhorias em termos de seguran a infra estrutura CORBA As abordagens que melhor atendem s necessidades deste ambiente devem estar baseadas num modelo de confian a com base numa infra estrutura de chaves p blicas cujo objectivo facilitar o desenvolvimento de sistemas computacionais distribu dos escal veis e seguros 1 6 HIPPA O HIPAA Health Insurance Portability na Accountability Act 35 estabelece um padr o constitu do por um conjunto de regras a seguir na troca de informa es de eventos de sa de pelas entidades envolvidas O HIPAA foi efectivado em Abril de 2003 e institu do nos EUA uma determina o legal para as institui es de sa de Este padr o preconiza implementar pol ticas e procedimentos que garantam a privacidade da informa o em formato electr nico e dos sistemas Simplificadamente os requisitos do HIPAA envolvem cinco elementos 38 39 transac es electr nicas codificadas seguran a identifica o nica assinatura electr nica e privacidade Em alguns pontos do HIPPA existe interac o paciente hospital 36 37 por exemplo para permitir acesso ao paciente aceder aos seus registos e corrigir eventuais erros o paciente dever ser informado da forma como a sua informa o pessoal usada Outro aspecto envolve quest es como a confidencialidade da informa o do paciente e a exist ncia de procedimentos documentados de 128 API Application Progra
140. e acesso uma parte essencial do processo de seguran a e ter de haver meios eficazes e eficientes de seleccionar e reconhecer os utilizadores de um sistema Em sistemas de informa o de cuidados de sa de tais como os sistemas de registo cl nico h diferentes tipos de utilizadores dentro do mesmo departamento ou servi o que executam tarefas diferenciadas Ter de haver uma forma adequada para definir quem tem acesso a qu e isto tem que estar claro dentro da pol tica da institui o Os logs s o um importante instrumento de contabiliza o das ac es de um utilizador autenticado As ferramentas de controlo de acesso s o cruciais num sistema de registo cl nico devendo ser melhoradas e testadas para que possam fornecer uma boa qualidade de logs sem comprometer os dados sens veis dos pacientes em termos de confidencialidade integridade e disponibilidade Uma rede de comunica es eficiente e eficaz vital para a partilha e o acesso informa o cl nica que frequentemente se encontra em servidores de bases de dados localizados remotamente O grande volume de dados de cuidados de sa de tem que ser suportado por boas infra estruturas de comunica es tecnologias e programas para que em qualquer situa o possam ter o melhor desempenho poss vel Ao mesmo tempo devem fornecer uma troca e armazenamento seguro da informa o de acordo com as necessidades dos sistemas de informa o cl nica Importa sublinhar que hoje em dia
141. e com a abertura das redes internas das institui es de presta o de cuidados de sa de a redes mais abrangentes por exemplo a Internet Novas regras devem ser aplicadas quando os utilizadores destes sistemas n o est o dentro do per metro da sua rede local intranet mas podem estar em qualquer parte do mundo tentando aceder informa o Dever haver um equil brio entre o que os utilizadores podem realmente aceder e as poss veis novas amea as a que o sistema possa estar exposto Como referido anteriormente os sistemas de registo cl nico electr nico agregam diferentes tipos de informa o por exemplo imagem m dica que por seu lado exigem diferentes tipos de controlos de acessos Definir uma pol tica de seguran a adequada muito importante neste caso estabelecendo regras que descrevam que tipo de privil gios de acesso os utilizadores devem ou n o ter de acordo com a sua fun o dentro da organiza o por isto que para cada utilizador identificado existe a necessidade de determinar os seus privil gios em termos de acesso a servi os ou informa o Uma forma de lidar com o mapeamento utilizador ac o o uso de um identificador nico do paciente vulgarmente designado por n mero de processo do paciente Ele vai ajudar a identificar cada paciente de forma inequ voca e assegura que apenas os dados correctos s o anexados ao seu registo Actualmente tamb m existe um problema comum com o controlo de acesso que a
142. e comunica o m veis e sem fios GPRS UMTS e Wi Fi em conjunto com equipamento port til Port teis Pocket PC Tablet PC Telem vel etc vem ao encontro das crescentes exig ncias do eSa de onde informa es agora e em qualquer lugar s o requisitos fundamentais e abrem conjunto de potencialidades de utiliza o As redes de comunica es utilizadas para al m dos tradicionais servi os de voz agregam novos recursos de comunica o m vel de dados A telemedicina 100 uma rea por excel ncia e onde o contributo destas tecnologias indiscut vel nomeadamente em cen rios de emerg ncia m dica e telemonitoriza o 2 GPRS General Packet Radio Service amp UMTS Universal Mobile Telecommunications System 86 4 3 2 Profissionais Na Figura 13 apresentam se algumas imagens dos terminais moveis utilizados pelos profissionais de sa de para aceder informa o cl nica A mobilidade implica diferentes tipos de redes sem fios e dispositivos m veis no acesso informa o cl nica que acarretam novos problemas de seguran a que acrescem os tradicionais problemas ligados s redes fixas Figura 13 Mobilidade na Sa de Por exemplo os dispositivos m veis constituem uma amea a de seguran a devido sua reduzida dimens o equipamento f cil de perder ou roubar e inexist ncia de pol ticas de seguran a na maioria das institui es Algumas medidas para proteger o acesso
143. e interconex o e opera o de Internet Telnet Protocolo pertencente ao TCP IP que permite o acesso remoto via Internet a um outro computador Por meio de um login e uma senha Token Dispositivo f sico ou um testemunho geralmente ligado porta USB do computador armazena as chaves privadas e os certificados digitais para al m da identifica o e autentica o permite a valida o do utilizador VLANs Virtual Local Area Network Uma rede local virtual uma rede logicamente independente V rias VLANs podem coexistir em um mesmo comutador switch Um outro prop sito de uma rede virtual restringir acesso a recursos de rede Uma VLAN geralmente configurada para mapear directamente uma rede ou sub rede IP Liga es switch a switch e switch a router s o chamados de troncos e servem de espinha dorsal entre o tr fego que passa atrav s de diferentes VLANs VPN Virtual Private Network Definida pelo RFC 2828 como sendo uma conex o de computadores de uso restrito que se estabelece sobre uma estrutura f sica de uma rede p blica como por exemplo a internet SSL Secure Socket Layer O protocolo SSL mant m a seguran a e integridade do canal de transmiss o atrav s da Internet em conex es do tipo TCP usando cifragem autentica o e mensagens com c digo de autentica o 125 REFERENCIAS Ultimo Descri o Acesso
144. e mantida o que ir afectar enormemente a efic cia e celeridade do processo de acesso e gest o da informa o cl nica Para alem disto o uso heterog neo da informa o tornar mais dif cil a integra o de todas as partes que constituem o sistema de registo cl nico 2 2 2 Solu es e Mecanismos de Seguran a O uso de estruturas de dados comuns e protocolos de comunica o permitem a interoperabilidade e troca de dados entre diferentes sistemas por exemplo em franca expans o a n vel europeu o uso da norma HL7 ver Anexo A Neste contexto de salientar outras normas a norma CR 13694 Safety and Security Related Software Quality Standards for Healthcare SSQS focaliza a sua aten o na seguran a do software confidencialidade e integridade ISO TS 8 18308 Requirements for an Electronic Health Record Architecture cujo o objectivo fixar os requisitos cl nicos e t cnicos para uma arquitectura de registos electr nicos de sa de que suporte o uso a partilha e interc mbio dos registos cl nicos electr nicos entre diferentes sectores relacionados com os cuidados de sa de diferentes pa ses e diferentes modelos transfer ncia de informa o cl nica A normaliza o da informa o de cuidados de sa de tamb m muito importante na implementa o de sistemas para registo cl nico electr nico A normaliza o fornece um conjunto de linhas de orienta o que permitem que o sistema seja estrut
145. e no Hospital aceder a informa o sobre vacina o 41 IGIF Instituto Gest o Inform tica e Financeira da Sa de 48 SAM Sistema de Apoio ao M dico SAPE Sistema de Apoio Pr tica de Enfermagem 48 aceder op o Processo Cl nico do utente no centro de sa de e do Hospital aceder a consultas de telemedicina e prescrever Certificados de Incapacidade Tempor ria O IGIF em conjunto com a escola de enfermagem do Hospital de S Jo o desenvolveu dois m dulos do SAPE um orientado para a actividade do enfermeiro nos cuidados de sa de secund rios integrado no SONHO outro orientado para a actividade do enfermeiro nos cuidados de sa de prim rios integrado no SINUS O m dulo integrado com o SONHO partilha principalmente dados relativos identifica o e internamento enquanto que o m dulo integrado com o SINUS partilha dados relativos identifica o e vacina o Ambos pretendem ser uma ferramenta de apoio actividade di ria do enfermeiro tendo por base a CIPE ver Anexo A As principais funcionalidades disponibilizadas pelo SAPE nos hospitais permitem ao enfermeiro registar interven es que resultam das prescri es m dicas registar dados resultantes da avalia o inicial de enfermagem registar fen menos interven es de enfermagem criar o plano de trabalho etc As funcionalidades disponibilizadas pelo SAPE nos centros de sa de s o muito semelhantes s existentes no SAPE d
146. e outras aplica es e o recurso a mapeamentos para a troca de informa o entre os mesmo As ferramentas para estat stica apoio gest o e decis o planeamento e investiga o est o todas reunidas sob um armaz m de dados Data Warehouse centralizado que reunir os dados de todos os subprodutos que comp em a solu o Para al m disto importa real ar o facto de que a comunica o de dados atrav s da rede efectuada de forma cifrada A utiliza o de normas de comunica o como o HL7 DICOM ou XML permite uma elevada interoperabilidade entre diferentes aplica es que tenham necessidade de interac o com o ALERT Por outro lado ao n vel da ergonomia da interface a solu o foi desenvolvida para digita o directa no ecr touch screen As teclas de funcionamento b sico t m uma representa o pictogr fica de modo a serem intuitivas e mnem nicas e ao n vel gr fico o produto ALERT tem em considera o quest es relacionadas com a natureza e complexidade dos diversos ambientes de presta o de cuidados de sa de nomeadamente atrav s da utiliza o de cores neutras em todo o ambiente com excep o da cor vermelha caracter stica da indica o de um sinal de alerta do recurso a grada es da tonalidade principal nos bot es de opera o traduzindo o seu estado de disponibilidade na aplica o da composi o geom trica dos quadros e distribui o da informa o de acordo com o se
147. e utilizador senha dos servidores das v rias institui es recomend vel o uso de mecanismos capazes de garantir sess es seguras por exemplo mecanismo com base no protocolo SSH Para al m de todas estas quest es dever o ainda ser consideradas actualiza es de seguran a do software e altera es topologia da rede Um conhecimento do ambiente em que opera das pessoas e tecnologias a melhor forma de cobrir todos os aspectos relacionados com a seguran a do sistema e ao mesmo tempo saber como reagir no caso de este n o funcionar como o esperado 3 8 Conformidade com tica Legisla o e Normas Aspectos ticos ou c digos de conduta est o impl citos na utiliza o do sistema de registo cl nico electr nico Como foi dito no Cap tulo 2 ponto 2 8 em Portugal a CNPD apoia a elabora o de c digos de conduta no artigo 32 como refere a Lei 67 98 de 26 de Outubro para a Protec o de Dados Pessoais A presente lei relativa protec o das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre circula o desses dados E muito importante que a informa o cl nica armazenada pelo sistema em an lise esteja abrangida por esta legisla o Relativamente s obriga es definidas pela CNPD de referir que os sistemas em an lise foram objecto de registo na CNPD Relativamente aplica o de san es importante que sejam definidas responsabilidades caso ocorra algum evento que
148. ecisa para emitir o certificado Em particular a CA deve verificar a identidade do utilizador para iniciar a emiss o do certificado no CA Esta uma opera o f sica que exige por exemplo a apresenta o de um cart o de identidade estando em geral pr ximo dos utilizadores As principais fun es da RA s o verificar a identidade e as declara es do requerente manipular o certificado do requerente validar a identidade de um indiv duo entidade ou servidor Uma RA n o pode emitir certificados apenas pode agir como intermedi ria A Autoridade Certificadora Certification Authority CA a entidade respond vel pela emiss o e administra o dos certificados digitais O CA actua como sendo o agente de confian a na PKI As suas fun es s o gerar ou fornecer os meios t cnicos necess rios para a gera o dos pares de chaves e emitir certificados digitais emiss o de chaves para os utilizadores certifica o das chaves p blicas dos utilizadores publica o dos certificados dos utilizadores respons vel pela revoga o de certificados e pela publica o da Lista de Certificados Revogados Certificate Revogation List CRLs As suas principais tarefas s o a recep o dos pedidos de certifica o e de revoga o feitos pela AR gerar o certificado baseado numa chave p blica Tipicamente gera um par de chaves a chave privada guardada num smart card ou token USB garante a exist
149. ectr nicos entre v rias institui es para al m do respeito pelos princ pios ticos e quest es legais associadas Os profissionais de sa de trabalham num ambiente social e como tal as suas ac es s o tamb m sujeitas a princ pios que correspondem a outros tantos direitos de cidadania Os mais estreitamente ligados com a seguran a da informa o s o o principio da privacidade e o princ pio da integridade Todas as pessoas t m o direito fundamental privacidade e por isso ao controlo sobre os seus dados pessoais por exemplo na sua recolha armazenamento acesso uso e transmiss o Para al m disto o direito integridade exige que os dados que tenham sido recolhidos devem ser protegidos contra a perda corrup o destrui o e altera o indevidas ou n o autorizadas A constante evolu o das tecnologias na sa de tem provocado um aumento do uso de sistemas de informa o por parte dos profissionais de sa de A quantidade de dados armazenada em bases de dados cl nicos bem como o acesso a estas tem vindo a aumentar face generaliza o das redes de computadores n o s dentro de cada institui o mas tamb m entre diferentes institui es da sa de Isto ainda mais not rio com a introdu o de novas tecnologias como as redes sem fios onde o acesso Internet e a bases de dados online cada vez mais independente do local f sico de onde efectuado 121 Cada vez mais as institui es de sa de es
150. ede local da institui o na RIS por exemplo marca o remota de consulta ou consulta de telemedicina ou num mbito mais alargado pela Internet por exemplo manuten o remota de equipamento ou software por empresas Esta infra estrutura baseia se em tecnologias normalizadas como o TCP IP na troca de informa o Tipicamente as redes locais est o ligadas RIS atrav s de circuitos dedicados RDIS com larguras de banda que variam entre 128Kbps a 2Mbps protegidas por firewall ou por filtros de acesso implementados nos equipamentos de interliga o routers como representado na Figura 8 A liga o da RIS Internet efectuada em dois pontos de acesso no Porto a 8Mbps em Lisboa a 16Mbps Em resumo s o de real ar as seguintes caracter sticas da RIS uma infra estrutura separada da Internet com defesa de per metro por um sistema de firewall sistema de redund ncia em v rios pontos ferramentas de antiv rus e AntiSPAM conceito de gest o pr activa evolu o dos requisitos de seguran a melhor gest o da largura de banda monitoriza o e gest o em tempo real da rede e de tr fego sistemas de cache inteligente distribu dos proxy sistemas de classifica o de tr fego com prioridade QoS voz dados videoconfer ncia e transmiss o de informa o cl nica multim dia O IGIF respons vel pela manuten o de toda a infra estrutura at aos encaminhadores instalados nas institui es A partir daqui as insti
151. elefones IP e n o aplica es IP Phone programas de telefonia instalados nos computadores pois computadores com sistemas operativos s o mais suscept veis a ataques usar endere os privados e inv lidos para dificultar ou proibir o acesso externo do ambiente de trabalho configurar telefones IP com endere os IPs est ticos utilizar DHCP separados para dados e voz implementar mecanismos de autentica o dos utilizadores em telefones IP etc Onde h converg ncia das redes tamb m h converg ncia das amea as portanto a tecnologia de voz sobre IP ainda herda as vulnerabilidades das redes TCP IP e ainda hoje n o existem solu es de seguran a perfeitas ou completas Ent o um factor relevante sobre a seguran a da tecnologia de voz sobre IP a escolha dos equipamentos de qualidade e infra estrutura bem planeada 4 5 Conclus o Existem in meras tecnologias em desenvolvimento e que ir o certamente ganhar destaque a curto prazo novas especialidades na telemedicina utiliza o de cart es com chips identificativos etc A evolu o cont nua sustentada e integrada das plataformas de trabalho cooperativo existentes no mercado portugu s permite atingir um cada vez maior n mero de especialidades cl nicas Algumas das tecnologias que prometem ajudar neste desafio s o uso de ambientes gr ficos atraentes e amig veis incorporar nos sistemas reconhecimento de voz tecnologias touch screen por exemplo ALERT sistemas de
152. elevada carga do sistema Acessos ao sistema para estat stica Conformidade a normas O sistema est em conformidade com certifica es oficiais Qual o grau de conformidade 179 Mecanismos de defesa E usado algum sistema cript grafico de protec o A que n vel s o usados os mecanismos criptogr ficos Ao n vel aplica o ao n vel do sistema ou ao n vel da rede Grau de robustez do sistema criptogr fico Qual o algoritmo e o comprimento das chaves de cifra Existe mecanismos para preven o de intrus o Existe mecanismos para detec o de intrus o Existe mecanismos de recupera o em situa o de intrus o Comunica es Tipos e meios de comunica o usados Os meios usados s o prop cios a escuta Existe mecanismo para garantir a integridade da informa o em tr nsito Existe mecanismo de certifica o do utilizador de forma a prevenir o disfarce Qual Existe mecanismo para prevenir a interrup o das comunica es Documenta o Existe informa o t cnica para administra o do sistema Existe informa o para a utiliza o do sistema 180
153. em redes a ocorr ncia de eventos ambientais e n o intencionais causados por desastres naturais por exemplo trovoadas inunda es inc ndios sismos terceiros sem rela o contratual com a institui o por exemplo interrup o do servi o por obras de constru o terceiros com rela o contratual com a institui o por exemplo falhas de hardware ou software em componentes ou programas fornecidos erro humano ou gest o deficiente do operador incluindo o fornecedor de servi os ou do utilizador administrador por exemplo problemas na gest o da rede instala o incorrecta de software Os desastres naturais causam perturba es na disponibilidade das redes e podem acontecer a qualquer momento e sem aviso Em poucos instantes pode desaparecer informa o guardada durante anos podendo afectar a presta o de cuidados de sa de n o apenas no momento em que o desastre ocorre mas tamb m durante o tempo em que a informa o fica indispon vel Infelizmente justamente durante estes eventos que mais necess rio o funcionamento das linhas de comunica es As falhas do hardware e uma deficiente concep o do software podem criar vulnerabilidades que originam perturba es imediatas ou s o exploradas pelos atacantes Como exemplo buffer overflow uma das vulnerabilidades de que um atacante pode tirar vantagens Este ataque consiste em colocar a um servidor pedidos excedendo o seu tamanho do buffer Por falha da ap
154. em situa es irregulares ou de desvinculo do funcion rio em que as institui es podem entender revogar Os certificados devem ser actualizados antes de expirarem para se evitar interrup es de servi o Idealmente a actualiza o seria realizada automaticamente sempre que a data de expira o estivesse pr xima ocorreria uma opera o de renova o e um novo certificado seria gerado que substituiria o anterior Em todo este processo importante que todas as m quinas tenham os seus rel gios internos sincronizados O servi o Timestamping ou servi o de selos temporais e notariado ver Anexo B um servi o especial que confirma a recep o de documentos digitais numa data espec fica portanto um processo que associa uma data hora a um documento Em conclus o cada elemento desta infra estrutura de chaves p blicas possui um par de chaves e atrav s da utiliza o de uma ou de outra consegue se garantir a autentica o integridade n o rep dio e confidencialidade da informa o cl nica 5 3 Implementa o das Propostas de Melhoria A implementa o das pol ticas definidas que s o essencialmente gen ricas ou traduzem o campo de actua o da autora contribuiria para clarificar a vida profissional e para melhorar a pr tica no dia a dia nas institui es de sa de Neste item ser o apresentados dois exemplos do que poderia ser o procedimento para a gest o de senhas numa institui o de sa de p blica
155. emedicina em emerg ncia m dica ou pr hospitalar 103 que j foi alvo de algumas experi ncias pelo Instituto Nacional de Emerg ncia M dica realiza o no local do acidente de um electrocardiograma e subsequente envio a um centro de orienta o de doentes urgentes para an lise por um especialista a realiza o remota de interven es cir rgicas telecirurgia 104 com a utiliza o de manipuladores robots e videoconfer ncia avan ada por exemplo cirurgia laparosc pica o envio de sinais biol gicos T imagens m dicas dados laboratoriais desde o local do paciente a um centro especializado de monitoriza o telemonitoriza o 4 1 5 Normaliza o Conforme referido no Cap tulo 2 e em detalhe no Anexo A no dom nio da normaliza o em Portugal as tend ncias mais importantes s o a implementa o do padr o HIPAA no que se relaciona com a privacidade dos registos m dicos dos pacientes a adop o da norma HL7 no que respeita a troca manuten o e integra o de dados relativos a pacientes o adop o da norma ISO WD 27799 no que refere gest o da seguran a na rea da sa de e ao n vel da interoperabilidade dos sistemas de sa de a adop o da norma ISO TR 16056 Interoperability of telehealth systems and networks Os dados de sa de s o especialmente delicados pelo que todas as ac es neste dominio devem ser acompanhadas pelo desenvolvimento dos meios t cnicos e organizativos que ga
156. ements and distribution rules HLSP na transfer ncia de dados pessoais de sa de para um pais n o membro da EU Especifica princ pios e artigos a adoptar na protec o de dados pessoais Especifica mecanismos de protec o por categoria Autentica o das entidades Gest o de autoriza o privil gios e controlo de acessos Integridade da informa o EHR que gravada processada e comunicada Classifica o de seguran a da informa o EHR Defini o negocia o e ponte das pol ticas entre as entidades requerentes e fornecedoras de dados EHR Auditabilidade e rastreabilidade da informa o acedida processada e comunicada Total seguran a e qualidade dos procedimentos Define politicas com base em ISO IEC 17799 EN 14484 EN 14485 ISO 22857 ISO DTS 2260 ISO TS 18308 RFC 3881 Encripta o e assinatura digital durante a transmiss o Prova de integridade e autentica o da origem Controlo de acesso e autentica o dos utilizadores senhas com refor o por smartcards sistemas biom tricos e assinaturas digitais Necessidade de ambiente f sico seguro Gest o da rede Controlo de v rus Relat rios de falhas brechas de seguran a Planos de conting ncia 142 EN 14485 2003 CR 13694 1999 CR 14301 2002 CR 14302 2002 Guidance for handling personal health data in international application in the context of the EU data protection directive
157. entas Open Source O servi o dever ser disponibilizado na RIS via web com recurso por exemplo ao servidor Apache em plataforma Linux De seguida apresentado um conjunto de quadros relacionados com a interface de utiliza o e administra o desta infra estrutura Os acessos ao servidor para gest o de certificados digitais s o autenticados por perfil e atrav s de protocolo seguro HTTPS Aplica o Web CA P gina principal da solu o Figura 22 distribui o segura do certificado CA de cada institui o e distribui o da lista de certificados revogados do MS O IGIF o gestor respons vel pela gest o dos certificados digitais institucionais E CA timsara org Microsoft Internet Explorer O x Ficheiro Editar Yer Favoritos Ferramentas Ajuda ay lo o nas lP ese s sE D Endere o e https timsara timsaraorgeat TH Br para Hperigacies gt RA timsara org CAMtimsara org Certificado CA Lista de Revoga o de Certificados 1 IB Ontem Figura 22 Aplica o Web CA 114 Aplica o Web RA P gina principal da aplica o RA Figura 23 acesso gest o de identidades digitais onde os gestores institucionais podem gerar os certificados digitais para os seus utilizadores e servidores Ficheiro Editar Ver Favoritos Ferramentas Ajuda ay Jlo o naolPgee s 2E D Endere o Ejhepsftimsarasemsaraorgras 0000 E r para tperiga e
158. ento Implementa o esse 2 sr nora iestznoaatas ss adaslaas Rs UPagoa a ater ia bad aaa d aa da o 51 3 3 Identifica o e AUICANCA O ana a a a E E a 53 De Controlo GE ACESSOS oes a a ada e A a A aah a ERAT 55 3 5 Monitoriza o Auditoria e Logs ss sesessessessesseessesseesresseestssressteseesersstesseserssressessessees 59 3 6 Gest o de B s de Dados a at a Ta a a ee 60 So Gest o das COMNAICA ES errietan intei Aa aE EE OEEO dad na dia a 62 3 8 Conformidade com tica Legisla o e Normas 68 3 9 Grelha de Avalia o de Aspectos de Seguranga cesccesscesssessseceeceseeeeseeescecnseceseeeaees 70 3 10 CONCIIS 10 dad SS A O Ma e E EE 74 4 TEND NCIAS E TECNOLOGIAS EMERGENTES sssssessessessessessessessessseessssessessesseeseesen 75 dd AMEOQN O E a da Ren oho tee 75 4 2 Sistema de Informa o Clinica Integrado e eeerreeerarerereaaerenaenea 78 4 amp 3 A Mobild de na SAUNAS ssa po pa aei a 86 AA OVO na Sade ipin aeina aaan aaiae sad ad aaia 91 Ad AC ONCIUS O AE A E E EA E 92 5 PROPOSTAS PARA A MELHORIA DA SEGURAN A DOS SISTEMAS DE INFORMA AO CL NICA etn a a a a A a fe ante 95 5 1 Proposta de Politica de Seguran a Inform tica para o Minist rio da Sa de 97 5 2 Proposta de Infra estrutura de Chaves P blicas para o Minist rio da Sa de 108 5 3 Implementa o das Propostas de Melhoria serrana 112 DA COCs AO s
159. er protegidos e armazenados de acordo com sua classifica o Devem ainda ser estabelecidas e mantidas medidas e controlos de seguran a para verifica o cr tica dos dados e configura o de sistemas e dispositivos quanto sua precis o consist ncia e integridade Os sistemas para registos de informa o cl nica devem ser avaliados em rela o aos aspectos de seguran a testes de vulnerabilidade antes de serem disponibilizados para produ o As vulnerabilidades do ambiente instalado devem ser avaliadas periodicamente e as recomenda es de seguran a devem ser adoptadas b Servidores O acesso l gico ao ambiente ou servi os dispon veis em servidores deve ser controlado e protegido As autoriza es devem ser revistas confirmadas e registadas continuamente Os acessos l gicos devem ser registados em registos devendo ser analisados periodicamente O tempo de reten o dos arquivos de registos e as medidas de protec o associadas devem estar precisamente definidos Devem ser adoptados procedimentos sistematizados para monitorizar a seguran a do ambiente em que opera o sistema de informa o cl nico Os eventos devem ser armazenados em logs de modo que sua an lise permita a rastreabilidade e auditoria a partir destes registos Para isso as 102 m quinas devem estar sincronizadas para permitir a rastreabilidade dos eventos Poder ser adoptada protec o l gica adicional criptografia para evitar o acesso n o
160. ere a quatro reas espec ficas Standards for real time telehealth systems Interoperability issues in telehealth applications Requirements for interoperable telehealth systems and networks e Framework for interoperable architectures Esta norma usada por organiza es ou fornecedores que implementem solu es de Telemedicina ISO TC 22600 A norma ISO TC 22600 Privilege Management and Access Control define um modelo para a gest o de privil gios e controlo de acessos Estes privil gios s o baseados nas normas ISO e CEN Referencia o uso da norma ISO TS 17090 Public Key Infrastruture e o DTS Directory Services for Comunications and Identification of Professional and Patient A norma divide se em tr s partes A Part 1 Overview and Policy Management descreve os cen rios e os par metros cr ticos no interc mbio da informa o D exemplos da documenta o necess ria A Part 2 Formal Models descreve e explica em detalhe a arquitectura e o modelo de privil gios gest o de privil gios necess rio para partilha de informa o segura A Part 3 Implementations descreve a aplica o de servi os de seguran a Autentica o integridade confidencialidade disponibilidade servi o de notariado controlo de acesso e auditabilidade s o aspectos analisados e descritos no modelo conceptual 1 5 OMG CORBA Common Object Request Broker Architecture uma tecnologia midleware que foi definida pela OMG
161. erente Estes riscos ambientais por exemplo trovoadas e temporais tamb m s o bem conhecidos pelos operadores de redes de telecomunica es que criaram redund ncias e protec es para a infra estrutura nas suas redes Para al m disto a exist ncia de um maior n mero de operadores no mercado devido liberaliza o permite que os utilizadores passem para outro operador em caso de indisponibilidade Estes riscos s o uma das principais amea as disponibilidade da rede inform tica de sa de A amea a de falha de alimenta o assunto crucial no que concerne disponibilidade dos dados dos pacientes Esta vulnerabilidade poder ser protegida atrav s do uso de fontes de energia redundantes por exemplo UPS geradores de energia ou outras formas alternativas de alimenta o A concorr ncia entre fornecedores de hardware e software deve exercer press o no sentido de melhorar a seguran a dos seus produtos No entanto a concorr ncia n o suficientemente forte para suscitar investimentos na seguran a que nem sempre o elemento essencial nas decis es de compra As falhas de seguran a s o muitas vezes descobertas demasiado tarde quando os danos foram j causados A preserva o de comportamentos de concorr ncia leal nos mercados das tecnologias da informa o criar melhores condi es de seguran a O risco de erros humanos e de erros operacionais pode ser reduzido com melhor forma o e sensibiliza o A imple
162. es 118 Figura 26 HL7 Seguran a nas COMUNICAGGES eeeeseeeccesecesecesecseeeseeeeeesecaecaecaeeeaeeeeeees 139 Figura 27 Modelo de autentica o ssenananiaseis risadas de ialsa dem atas iaiadadi antera testada 146 Figura 28 Cart o de Sa de do Paciente ois sscscxcssavsataataavecsasacetensdaneesessavevdandanvaneqonavtenstatondies 157 Figura 29 Servi os disponibilizados pelo CORBAMEG 159 Figura 30 Modelo Seguran a Objectos CORBA e eereeeeaereeenes 160 xiii INDICE DE TABELAS Tabela I Lista de privile gis 9 a 2 5 0s choazsgatnd ccd iearseniacaphans unclean edd SR aaa CD dps indeed 17 Tabela 2 Mapeamento utilizador ac o conforme perfis pr definidos na aplica o 56 Tabela 3 Grelha de Avalia o dos Aspectos de Seguran a do SONHO 71 Tabela 4 Perfis de Gest o de Semuran easspaaes quantas RS e NS TAS 134 Tabela 5 Servi os de Seguran a por Camada sis sssutidoregaras asda san ots pes atas aSi aaa 138 Tabela 6 Lista de normas de seguran a CEN CT 251 WGIHI 141 Tabela 7 Lista de normas de seguran a ISO TC 215 WGA4 ea 153 Tabela 8 Cen rios e servi os nos SIS asas arsinsnacdsnctetiais AS AO DS eae 154 Tabela 9 Lista de grupos IEEE is maisaisin ater pasatadi bavtseedacactisaats cafona dida ada 161 Tabela 10 Sub Comit s ASTM secscscesacssucassdevsaspavssinatandeatasanchucsdativa
163. es de projecto de gest o e manuten o das redes inform ticas A rede inform tica da sa de em Portugal opera com base nos protocolos TCP IP e assenta numa arquitectura de rede aberta Esta infra estrutura de rede suportada por diferentes tecnologias e apresenta uma estrutura heterog nea ver Figura 4 9 Ethemet CO ATM LAN RIS R Router LAN Local Area Network Figura 4 Representa o da rede inform tica da Sa de Tipicamente as redes locais redes cabladas ou sem fios das institui es apresentam uma topologia em estrela ligadas por fibra ptica e encontram se conectadas RIS 78 por circuitos dedicados e linhas RDIS A distribui o aos utilizadores feita por cabos em cobre Por outro lado a espinha dorsal da RIS apresenta se em tecnologia ATM e conecta se Internet em dois pontos de acesso De seguida ser o enumeradas as formas e ou tipos de ataques relevantes ser o analisadas as principais vulnerabilidades das tecnologias em causa e ser o identificadas t cnicas mecanismos ou protocolos de seguran a aplic veis 12 TCP IP Transmission Control Protocol Internet Protocol uma solu o tecnol gica usada em redes privadas e de telecomunica es como suporte computacional para um grande n mero de aplica es para o desenvolvimento como plataforma de interconex o e na opera o da Internet RIS Rede Inform tica da Sa de uma rede multim dia de tele
164. especifica a estrutura dos cart es ao longo de 5 partes S o elas Part 1 General Structure Part 2 Common Objects Part 3 Limited Clinical Data Part 4 Extended Clinical Data Part 5 Identification Data Part 6 Administrative Data Part 7 Electronic Prescription 27 DIS Draft International Standard 156 Patient Healthcard Data eee a E E ee 0 41 0 1 0 1 0 1 Patient healthcard Security Data Identification Administrative Clinical Data Links Medication Data Data Data 0 1 Extended Clinical Data Figura 28 Cart o de Sa de do Paciente Device Data Limited Clinical Data O acesso remoto s bases de dados de sa de e aos sistemas de suporte dever ser por pessoal autorizado com autentica o atrav s de dispositivos que implementem fun es de seguran a assim como o uso de assinaturas digitais Os dados relacionados com o cart o est o categorizados e tr s tipos Identifica o dados administrativos e dados cl nicos Nesta categoriza o tamb m est inclu do o item Patient Healthcare Security Data O cart o de dados do paciente dever oferecer algumas facilidades tais como transmitir informa o cl nica de um agente prestador de cuidados de sa de a outro agente fornecer ndices e ou autoriza es para aceder a informa o cl nica relacionada com o cart o do utente A norma providencia uma s rie de atributos de seguran a como pode ser observado no do
165. etende o desenvolvimento de algoritmos de diagn stico que se adaptem s especificidades dos doentes e o desenvolvimento de sistemas minimamente intrusivos pela integra o de sensores em vestu rio Tem j duas aplica es distintas gest o preventiva de pr teses valvulares Figura 17 e avalia o de arritmias ventriculares Figura 18 Figura 17 Gest o preventiva de Figura 18 Avalia o de pr teses valvulares arritmias ventriculares Outro projecto MobiHealth 108 que se tem revelado de grande sucesso na rea da monitoriza o do paciente um projecto Wireless Body Area Network para cuidados de sa de e visa o desenvolvimento e experimenta o de novos servi os e aplica es na rea da sa de m vel promovendo o uso e a disponibiliza o das tecnologias GPRS e UMTS ver Figura 19 O seu 90 principal objectivo monitorizar os sinais vitais do paciente remotamente recorrendo infra estrutura de rede m vel p blica a dispositivos port teis PDAs telem veis etc e a sensores m dicos e 25 36 Bluetooth infrostructure lt M dicos a Hospitais Figura 19 Sistema MobiHealth 4 4 O VOIP na Sa de Um dos servi os avan ados de rede que a RIS promove junto das institui es a integra o de voz e dados na mesma infra estrutura de rede Trata se de dos grandes objectivos a atingir com a globaliza o da rede Inova es recentes tornaram po
166. fectiva o da utiliza o de servi os electr nicos recorrendo s novas tecnologias de informa o ao audiovisual e s comunica es nomeadamente via Internet originando o que globalmente se designa por eSa de Figura 1 e Figura 2 para a qual contribui o decr scimo nos custos de armazenamento digital e transmiss o de dados A eSa de visa a explora o da informa o e a comunica o nomeadamente via Internet para melhorar a presta o de cuidados de sa de de dissemina o de informa o e at a aquisi o de bens e servi os com valor acrescentado Es imerg ncia M dica Pr Hopitalar Cuidados Sa de micilio Sat lite GPRS UMTS P Linhas Dedicadas RDI Integra o Registos Electr nico de Sa de Figura 2 Representa o L gica da eSa de A Uni o Europeia promoveu a iniciativa eEurope 2002 visando desenvolver a economia digital e providenciar aos cidad os Europeus os benef cios da utiliza o da Internet No que respeita Sa de destacam se quatro linhas de orienta o desta iniciativa garantir a exist ncia de infra estruturas telem ticas incluindo redes regionais para os prestadores de cuidados de sa de identificar e difundir as melhores pr ticas de sa de on line e estabelecer crit rios para avalia o de desempenho estabelecer crit rios de qualidade para os portais da sa de criar redes de tecnologias e avalia o de dados no dom nio da sa de
167. gamente disseminadas nas institui es e existe uma grande diversidade de solu es implementadas em diferentes plataformas sendo por isso referidas genericamente como fonte de registos cl nicos Para al m disto geralmente estas aplica es apresentam um n vel baixo de integra o com a base de dados do SONHO ou SINUS podendo resumir se apenas importa o da identifica o do paciente rocesso Cl nico Electr nico Figura 6 Arquitectura do sistema de registo cl nico electr nico O sistema de registos referido suporta funcionalidades que permitem a partilha de informa o entre diferentes institui es por exemplo marca o remota de consultas acesso ao processo cl nico ou sess es de teleconsulta e neste caso a linha entre os utilizadores internos e os externos da rede 52 n o est muito bem definida pelo que aumentam as preocupa es relacionadas com a seguran a As institui es confiam mutuamente em que a informa o ser mantida confidencial e que ser usada com o prop sito inicialmente estabelecido Devido sensibilidade da informa o e heterogeneidade deste sistema torna se necess rio um elevado n vel de protec o e seguran a e nessa medida foi considerado desde o in cio uma estrutura muito bem definida de controlo de acessos associados a uma estrutura que define o perfil e privil gios do utilizador nas diversas aplica es que integram o sistema de registo cl nico No con
168. garantia de que o conte do e a assinatura s o mantidos juntos Alguns servi os de seguran a adicional podem ser implementados junto com assinatura digital como por exemplo n o rep dio da origem e do receptor da mensagem selo temporal prova de autoriza o como profissional registado e outras qualifica es O grupo ISO IEC JTC1 SC27 trabalha nos protocolos Este trabalho est dividido em mecanismos e t cnicas gest o de documentos suporte e linhas de seguran a Na primeira categoria est o normas como ISO IEC 9796 Digital Signature Scheme Giving Message Recovery ISO IEC 9798 Entity Authentication ISO IEC 11770 Key Management ISO IEC 13888 Non Repudiation ISO IEC 14888 Digital Signatures with Appendix Na segunda categoria o SC27 respons vel por ISO IEC 13335 Guidelines for the Management of IT Security ISO IEC 14516 Guidelines for the Use and Management of Trusted Third Parties ISO IEC 15408 Evaluation Criteria for IT Security EN 12251 A norma EN 12251 Secure User Identification for Healthcare Management and security of authentication by passwords orientada para a gest o e seguran a da autentica o por senhas foi projectada para melhorar a autentica o individual dos utilizadores dos SIS fortalecendo a automatiza o dos procedimentos associados gest o da identifica o e senhas dos utilizadores sem recorrer a facilidades ou hardware adicional ex smart cards
169. gest o seguran a da identifica o e autentica o dos utilizadores por senhas Cart es Profissionais de Sa de PIN e ou identifica o biom trica Certificados Digitais Protocolo cifrado TTP Proxy de autentica o Infra estrutura de chave p blica X 509 141 ENV 12924 1997 ENV 13606 1 3 2000 EN 13606 4 2005 EN 14484 2003 Security Categorization and Potection for Halthcare Iformation Systems Electronic Healthcare Record Communication EHRcom International transfer of personal health data covered by the EU data protection directive High Level Security Policy HLSP 118 RFC Request For Comments Medical Informatics Health Informatics Health Informatics Especifica um modelo uma metodologia de categoriza o dos SIS baseado em seguran a Para cada categoria fixa e recomenda um conjunto de requisitos de protec o Orienta es para a comunica o do registo electr nico do paciente Directiva Europeia para a protec o de dados A norma fornece um guia em HLSP que dever ser adoptado por organiza es envolvida em aplica es inform ticas internacionais e na transmiss o de dados de sa de a partir de um pais da EU para outros n o pertencentes Ex Telemedicina e Teleconsulta Question rio de seguran a An lise de risco Identifica o de brechas de seguran a Privil gios no acesso aos dados EHR Part 4 Security requir
170. gir correctamente para seu pr prio beneficio como tamb m para com a institui o e penalizados se for necess rio 2 5 1 Amea as Seguran a e Vulnerabilidades Um dos problemas mais relevantes sobre auditoria o facto de que quando est a ser feita deve gerar os seus pr prios logs que dever o ser verificados pelos gestores de sistema A auditoria est directamente relacionada com o controlo de acesso De facto auditoria uma das principais raz es pela qual se faz o controlo de acesso uma boa forma de rastrear e contabilizar as ac es dos utilizadores dentro do sistema Assim se o controlo de acesso contornado n o est garantida a integridade dos logs Estes podem ser alterados ou apagados para camuflar acessos ou ac es n o autorizados 19 Ter demasiados utilizadores a lidar com os logs pode tamb m constituir uma amea a porque dificil saber e controlar quem lidou com eles se a sua integridade foi quebrada e quem pode ser responsabilizado por isso Tamb m poss vel usar os logs para executar outro tipo de ataques Os logs cont m uma grande quantidade de informa o relacionada com o utilizador por vezes at senhas que s o rastre veis durante o tempo de conex o Essa informa o na posse de um atacante facilitar a sua actividade Outras quest es a n o esquecer s o as relacionadas com a seguran a f sica Se n o forem estabelecidas medidas f sicas adequadas o controlo de acesso po
171. governo portugu s est a promover o Cart o do Cidad o 111 112 um documento nico que ir agregar o bilhete de identidade cart o do contribuinte o cart o de utente do servi o nacional de sa de cart o de benefici rio da seguran a social e o cart o de eleitor Este documento ainda em fase de testes permitir a identifica o e autentica o do cidad o perante servi os 76 informatizados da administra o publica em Portugal inclusive a interac o de forma segura com os diferentes servi os de presta o de cuidados de sa de Tudo isto com garantias de seguran a f sica que dificultam usurpa o de identidade e que impossibilitem a viola o da privacidade do cidad o impedindo o acesso a quaisquer dos seus dados pessoais sem o seu consentimento expresso O cart o do cidad o possui um chip que conter certificados digitais para autentica o e assinatura electr nica podendo vir a conter outros dados designadamente dados de sa de Por aqui se v a import ncia de existir uma infra estrutura de chaves p blicas escala nacional Alguns dos objectivos mais importantes deste plano de ac o passam pela instala o progressiva de uma infra estrutura segura da informa o e de uma abordagem comum de arquitectura de registos electr nicos de sa de atrav s da normaliza o e interc mbio de boas pr tica relativas a outras eventuais caracter sticas funcionais como dados de emerg ncias m dic
172. i es de erro observadas tentativas rejeitadas erros de consist ncia etc Deve fornecer senhas de contas privilegiadas somente aos colaboradores que necessitem efectivamente dos privil gios mantendo registos e controlar essas permiss es Deve tamb m limitar o prazo de validade das contas dos contratados ou prestadores de servi o ao per odo da contrata o Para alem destas responsabilidades devem ainda decidir as medidas a serem tomadas no caso de viola o das regras estabelecidas estabelecer as regras de protec o dos activos efectuar a revis o anual das regras de protec o estabelecidas elaborar e manter actualizado o Plano de Conting ncia ver frente e executar as regras de protec o estabelecidas pela Pol tica de Seguran a c San es 100 As previstas pela legisla o vigente e outras aprovadas pela direc o ou administra o da institui o 5 1 3 Requisitos de seguran a do ambiente f sico As responsabilidades pela seguran a f sica dos sistemas de informa o para a sa de dever o ser definidos e atribu dos a colaboradores claramente identificados na institui o Os sistemas de seguran a para acesso f sico dever o ser instalados para controlar e auditar o acesso ao sistema de informa o Os sistemas de informa o cl nica dever o estar localizados em rea protegida ou afastada de fontes potentes de magnetismo ou interfer ncia electromagn tica muitas vezes associadas c
173. i criado para substituir o WEP que como foi referido tem vulnerabilidades de seguran a graves Sempre que poss vel deve usar se WPA2 ou WPA como mecanismo de seguran a exigindo que novos equipamentos tenham capacidade WPA2 ou actualizando os equipamentos existentes para essa tecnologia O WPA2 quando configurado e utilizado correctamente designadamente do que diz respeito escolha de chaves ou senhas n o apresenta vulnerabilidades de seguran a conhecidas actualmente O WPA e WPA2 s o semelhantes havendo por m excep es designadamente no algoritmo de cifra onde o WPA2 apresenta um algoritmo mais forte do que o WPA o AES Uma solu o para contornar as fragilidades de seguran a de redes sem fios a configura o de VPNs por exemplo baseadas em IPsec as quais funcionam por cima do nivel de rede estabelecendo a sua pr pria arquitectura de seguran a Com VPN a rede sem fios pode funcionar em modo aberto ou com uma chave WEP Tal rede n o tem sa das que possam ser exploradas por eventuais intrusos A sa da da rede pelo concentrador VPN que um equipamento considerado seguro que apenas d servi o a utilizadores autenticados No caso dos circuitos dedicados RDIS de interliga o das redes locais das institui es com a RIS poder o ser implementadas algumas medidas tais como o uso de VPNs IPsec cifragem da 3 WPA2 Wi Fi Protected Access Compat vel com o padr o 802 11i com mecanismos ainda mais fortes
174. iMAX para interligar ponto a ponto os hospitais e uma rede ponto multiponto para ligar a UBI a toda a rea urbana da cidade da Covilh ser necess rio a instala o de um uma antena de WiMAX na serra da Gardunha O planeamento desta infra estrutura as liga es radioel ctricas WiMAX est o conforme as normas IEEE 802 16 Especifica o para WMANSs nas frequ ncias entre 2 e 11 GHz e IEEE 802 21 Especifica es para interoperabilidade de redes heterog neas inclu do as duas 802 ou n o 4 3 3 Pacientes A telemonitoriza o ou TeleHomeCare poder trazer ganhos indescritiveis para a qualidade de vida do utente reduzindo significativamente as necess rias idas ao hospital cl nicas centro de sa de ou outras entidades de sa de para monitoriza o da sua doen a A telemonitoriza o consiste no envio de sinais biol gicos imagens m dicas dados laboratoriais desde o local do paciente a um centro especializado de monitoriza o interpreta o e an lise Os aspectos a monitorizar s o diversos dispositivos biom dicos de rastreio port teis para monitoriza o de sinais vitais peso frequ ncia card aca tens o arterial etc sistemas dom sticos de comunica o interactiva que ligam o utente com o prestador de cuidados de sa de a quem proporcionado forma o e orienta o sensores integrados em vestu rio ver Figura 16 processamento autom tico e local no dispositivo do paciente algoritmos de inte
175. ico est o dependentes n o s de bases de dados concentradas mas tamb m de bases de dados distribu das e s quais os utilizadores de diferentes departamentos ou servi os podem ter um acesso r pido e eficiente Seja qual for a forma de armazenamento estas bases de dados podem ajudar em investiga es mais avan adas e permitir que dados cl nicos sejam partilhados com o objectivo de reduzir o manuseamento de papel e ajudar na execu o de tarefas administrativas O tratamento do paciente pode ser melhorado com o uso de uma base de dados abrangente clinicamente relevante e digitalmente codificada A exist ncia de ferramentas de interroga o s bases de dados permite disponibilizar rapidamente conhecimentos sobre indiv duos e grupos de pacientes Este um dos principais objectivos dos sistemas de registo cl nico electr nico e as bases de dados desempenham um papel fulcral na sua execu o Para o uso de bases de dados relacionais onde toda a informa o disponibilizada local ou remotamente a rela o entre tabelas uma caracter stica essencial para implementar o sistema Para al m disto bases de dados orientadas ao objecto tamb m podem ser usadas para modelar informa o cl nica de tal forma que o significado de cada elemento de informa o determinado usando um dicion rio de dados m dicos e que vai constituir um objecto dentro da pr pria base de dados Os objectos agregam se em conjuntos e herdar propriedades de outros
176. icos nos processos de c pias de seguran a de forma a impedir o acesso por exemplo por parte do atacante informa o nelas contida Na realidade isto n o acontece pelo que se um atacante tiver acesso s c pias de seguran a pode ficar a conhecer a informa o recolhida durante anos pela institui o Felizmente as institui es possuem algumas preocupa es de seguran a no que toca destrui o segura dos dados e na guarda das tapes de c pias de seguran a em local adequado e devidamente protegido contra roubos ou deteriora o 5 PAM Pluggable Authentication Module 61 Em termos de seguranga fisica a plataforma mais usada disponibiliza redundancia de discos duros discos em mirror O programa de mirror duplica a informa o nos discos quer em termos de sistema operativo base de dados ou aplica o de maneira a que em caso de falha de um deles o sistema continue dispon vel atrav s de outro Tamb m existem circuitos e equipamentos de UPS que fornecem energia continua e mant m o sistema a funcionar em caso de cortes de corrente el ctrica Estes circuitos poder o ainda estar apoiados por um sistema de geradores de emerg ncia como o caso em algumas institui es por exemplo hospitais Outro aspecto importante e que nem sempre se verifica a redund ncia de tr s pe as essenciais placa de rede fonte de alimenta o e processador Se algumas destas pe as falha o sistema fica indispon vel at
177. idade com normas Documenta o para administra o e utiliza o Comunica es Interrup o das comunica es Escuta das comunica es Personifica o nas comunica es Repeti o de comunica es Risco f sico Cifragem Escalabilidade Pontos cr ticos i Poder do Administrador Resist ncia a perda de confidencialidade Flexibilidade para reconfigura o Especifica o de procedimentos de administra o conveniencia facilidade Especifica o de procedimentos de utiliza o conveniencia facilidade 177 C2 Grelha de Classifica o dos Sistemas de Informa o Clinica Aspectos a Avaliar i e s a wa ns Autentica o e Autoriza o dos utilizadores S o utilizados mecanismos de autentica o por tipo de utilizador administrador utilizador gestor etc Quais s o Essen politica de sens So alemdisremamen o Si dias econtolade ws parmistesportipodewiiaado B Confidencialidade dos dados Existem mecanismos de garantia de confidencialidade no acesso aos dados em opera o normal Om TEEPE O Y O E no caso de acesso aos dados para estudos estat sticos ou cient ficos EHEHEHE Integridade dos dados Existem mecanismos que permitam controlar a integridade dos dados em opera o normal Re FERE O S Existe procedimentos de verifica
178. ientes podem negar lhes seguros do mesmo modo os empregadores podem despedir ou n o contratar pessoas baseados no mesmo tipo de informa o 22 Por ltimo outro aspecto da seguran a que n o pode ser relegado para segundo plano o da seguran a f sica As tecnologias e os controlos de seguran a mais avan ados ser o ineficazes se por exemplo algu m tiver acesso sala onde se localiza o servidor que armazena a informa o dos pacientes podendo roubar o equipamento ou mesmo destru lo e torn lo inacess vel O mesmo se aplica s c pias de seguran a Se o atacante lhes tiver acesso pode reconstruir toda a informa o que a institui o que presta cuidados sa de recolheu durante anos 2 6 2 Solu es e Mecanismos de Seguran a Para prevenir ou minimizar algumas das amea as e vulnerabilidades identificadas anteriormente h algumas medidas que poder o ser adoptadas Em caso de falhas ou at no caso de ataques por nega o de servi os torna se importante a exist ncia de reposit rios de armazenamento de dados em duplicado que constituem uma c pia para ser acedida e usada se a que est em servi o necessitar de ser reposta Este segundo equipamento a ser usado no caso de emerg ncia deve ser sempre mantido em sincronismo com o equipamento principal Dever estar localizado numa rea reservada com controlos espec ficos de seguran a no que concerne aos acessos e autentica o O uso de sistemas de gest
179. ifica o e autentica o usado baseado no par nome utilizador senha e senhas previs veis um dos grandes problemas identificados e que pode comprometer seriamente a seguran a do sistema o facto de existir uma grande mobilidade de utilizadores por exemplo administrativos por per odos de tempo curtos pelo que dif cil a manuten o do seu perfil de acesso o que leva a que partilham entre si o acesso ao sistema Outro factor por n o terem o necess rio conhecimento das fun es dos diferentes perfis estes poderem intencionalmente ou por descuido modificar informa o e comprometer a integridade dos dados No entanto sempre que poss vel os utilizadores recebem forma o ou informa o orientada s fun es a desempenhar Uma boa pol tica permitir ao utilizador acesso apenas quilo que ele precisa para realizar o seu trabalho e nada mais Por vezes importante que ele desconhe a outras funcionalidades ou privil gios o que poder ser um obst culo a poss veis ataques 5 MCDT Meios Complementares de Diagn stico e Terap utica 57 Para al m dos aspectos referidos acresce ainda o facto de que na generalidade das institui es n o existe uma protec o entre a rede da institui o e a base de dados ou aplica es Qualquer utilizador n o autorizado pode tentar aceder ao sistema atrav s da rede podendo ter a tarefa facilitada com a ajuda das ferramentas certas Deveria existir uma firewall protegend
180. in su passwd ssh e outros est o inclu das neste m dulo e as outras poderiam ser acrescentadas por simples configura o No servidor deveria ser inclu da a chave p blica de uma autoridade certificadora ver discuss o apresentada no Cap tulo 2 em que o servidor iria reconhecer as credenciais dos utilizadores Outro aspecto muito importante a valida o dos dados introduzidos na base de dados e relacionados com o estado cl nico do paciente Por exemplo o resultado mal inserido de uma an lise pode ter consequ ncias graves no tratamento do paciente Dever o ser adoptadas pol ticas que conduzam utiliza o de m todos de valida o e correc o dos dados de codifica o e de parametriza o de forma a minimizar situa es de inconsist ncia Para al m de que periodicamente o sistema dever ser auditado por algu m com conhecimentos cl nicos de forma a valid lo O sistema disponibiliza mecanismos que permitem realizar procedimentos regulares de c pias de seguran a da base de dados a diferentes n veis di rio semanal e mensal Estes procedimentos s o cruciais n o s porque permitem recuperar o sistema no caso de ocorrer uma avaria ou um ataque mas tamb m fornecem informa o de forma a repor a original Estes procedimentos deveriam ser realizados de forma autom tica sempre que poss vel no entanto algumas destas fases ainda s o executados de forma manual Tamb m seria desej vel o uso de mecanismos criptogr f
181. ine o caso de marca o de consultas voz sobre IP atrav s da RIS uso de cart o profissional e de cidad o normaliza o Esta an lise baseada na experi ncia e observa o profissional e pessoal da autora contactos com outros profissionais da rea e an lise de documenta o devidamente referenciada Nas pr ximas sec es ir se apresentar o que de maior relevo ou impacto para o futuro de sa de em Portugal est a emergir no que toca a tecnologias baseadas na inform tica Alguns dos pontos referidos ir o ser tratados em detalhe posteriormente outros n o 4 1 1 Integra o dos Sistemas de Informa o Cl nica Na perspectiva do desenvolvimento de uma sociedade da informa o cada vez mais se torna relevante uma nova estrat gia integradora e agregadora dos sistemas de informa o cl nica focalizados no cidad o A cada utente do SNS dever estar associado um n mero nico do processo cl nico electr nico como n cleo de todo um sistema o qual se dever basear fundamentalmente nos seguintes princ pios registos nicos e individuais movimenta o da informa o e n o do utente respeito pelos princ pios de seguran a e confidencialidade de informa o nos registos Torna se assim claro a necessidade urgente de haver uma pol tica nacional e integrada de sistemas de informa o e comunica es na sa de a qual dever for osamente passar por uma integra o de sistemas baseada numa agrega o das solu
182. ion Security Policies Guidelines for Information Security Education Programs Guidelines for Managing an Information Security Program Security Features for CPR Systems Sample Confidentiality Statements and Agreements An Overview of Healthcare Information Standards Guidelines for Electronic Signature Policies Healthcare Security Related Projects within the Telematics Applications Program of the European Commission 1 11 ISO IEC 17799 A norma ISO IEC 17799 2005 Code of Practice for Information Security Management Gest o da Seguran a da Informa o Em 1987 o departamento de com rcio e ind stria do Reino Unido DTI criou um centro de seguran a de informa es o CCSC Commercial Computer Security Centre que dentro das suas atribui es tinha a tarefa de criar uma norma de seguran a das informa es para o Reino Unido Desde 1989 v rios documentos preliminares foram publicados por esse centro at que em 1995 surgiu a BS7799 British Standard 7799 Esse documento foi disponibilizado em duas partes para consulta p blica a primeira em 1995 e a segunda em 1998 A Part 1 Code of Practice for Information Security Management e a Part 2 Specification for Information Security Management Systems Em Dezembro de 2000 ap s incorporar diversas sugest es e altera es a BS7799 ganhou status internacional com a sua publica o na forma de ISO IEC 17799 2000 Code of Practice for Information Se
183. ional Standardization Organisation 117 TEC International Engineering Consortium Categoria Health Informatics Security Medical Informatics Security Health Informatics Security Health Informatics Descri o Define conceitos para a seguran a de sistemas de sa de Orienta es para a seguran a dos objectos de dados e do canal Define algoritmo de assinatura digital para uso nos SIS na Europa A norma baseia se no algoritmo RSA Apresenta a gest o e seguran a da autentica o por senhas nos SIS Orientada para a identifica o segura dos utilizadores Autentica o forte usando chipcard Aspectos de Seguran a Seguran a dos objectos de dados e do canal Part 2 Secure data objects Part 3 Secure data channels Uso AD para autentica o utilizadores organiza es e sistemas autentica o da origem dos documentos protec o da integridade dos documentos garantia de que conte do e assinatura s o mantidos juntos Autentica o individual dos utilizados por senhas Identifica o segura dos utilizadores nos SIS Mecanismos de Seguran a Assinatura Digital Certificados Digitais Algoritmos de encripta o TLS RSA TLS SHA1 HMAC Integrity Check Code Protocolo TLS Assinatura Digital Selos Temporais Refere protocolos ISO S TEC 9796 ISO IEC 9798 ISO IEC 13888 Define politicas para
184. is sintomas diagn sticos e procedimentos 73 74 Esta norma aceite para descrever o resultado de testes patol gicos 170 Um diagn stico na SNOMED consiste num c digo topogr fico num c digo morfol gico num c digo de organismo vivo e num c digo funcional Esta norma est a ser usada em Portugal pela especialidade de Anatomia Patol gica por exemplo A CIPE Classifica o Internacional para a Pr tica de Enfermagem um tipo de classifica o que permite a implementa o de novos sistemas de informa o e documenta o em enfermagem Come a a generalizar se nas organiza es e servi os a n vel nacional 75 Esta realidade prende se com a necessidade de representar formalmente o conhecimento de enfermagem usando uma linguagem comum que permita a produ o de informa o acerca das decis es e dos resultados da pr tica da enfermagem Para tal necess rio usar uma linguagem classificada sendo a CIPE 76 a que se revela mais adequada Em alguns contextos onde foi implementada tem se revelado uma ferramenta fundamental porque permite adequar o diagn stico concep o de cuidados de enfermagem planear interven es baseadas em evid ncia utilizar planos de cuidados verticais permitindo a percep o da condi o problem tica do utente fam lia e percepcionar os resultados obtidos face evolu o do diagn stico Da An lise da documenta o de enfermagem que se desenvolve nos servi os que est o a im
185. is com a natureza da fun o que desempenham 98 a Orienta es no Processo de Gest o dos Profissionais de Sa de Devem ser adoptados crit rios r gidos para o processo de selec o de candidatos com o prop sito de seleccionar pessoas de idoneidade reconhecida e sem antecedentes que possam comprometer a seguran a ou credibilidade da institui o e os registos pessoais do paciente O profissional de sa de ou prestador de servi os dever assinar um termo de compromisso assumindo o dever de manter sigilo mesmo quando desligado das suas fun es sobre todos os activos de informa es e de processos da institui o em particular sobre a informa o relacionada com o paciente De acordo com a actividade a desenvolver devem relacionar se as tarefas inerentes a cada fun o a fim de se determinar o perfil necess rio do profissional Para al m disto deve se acompanhar o desempenho e avaliar periodicamente os profissionais com o prop sito de detectar a necessidade de forma o ou actualiza o t cnica e de seguran a Eles devem ser identificados por meio de credenciais permitindo o acesso a informa es sens veis de acordo com a classifica o do grau de sigilo da informa o e o grau de sigilo compat vel com o cargo e ou a fun o desempenhada Tamb m dever estar definido o processo de desvincula o de um funcion rio ou prestador de servi o da institui o O acesso de ex colaboradores s instala es deve se
186. is objectivos do projecto s o a partilha de informa o cl nica entre institui es e a constru o de um Portal Regional de Sa de O portal regional de sa de assenta em duas vertentes a rea utente com acesso a informa es gen ricas sobre sa de e mediante autentica o a servi os b sicos geridos pela RTS e ficha cl nica pessoal a rea reservada a profissionais de sa de com disponibiliza o de informa o cl nica permanente actualizada e ntegra para partilha entre as v rias institui es envolvidas Do Relat rio de An lise de Processos e Fluxos de Informa o 82 83 real a se os seguintes os servi os priorit rios a disponibilizar no caso dos profissionais de sa de sistema seguro de autoriza es e certifica es electr nicas acesso a resumos de epis dios de presta o de cuidados partilha de documentos digitais e notas cl nicas no caso do utente gest o da minha sa de agenda de sa de pedidos de marca es ou renova o de receitu rio etc e gest o de conta corrente de sa de Do mesmo relat rio podemos observar a defini o de servi os piloto orientados para a obten o dos resultados pretendidos O piloto 1 Servi os Telem ticos Infraestruturais relacionado com os aspectos de seguran a no acesso e circula o da informa o cl nica implementa a identifica o dos participantes e a seguran a das opera es 82 4 2 3 Prescri o Electronica de Medic
187. ismo seja fi vel necess rio um total controlo da rede ou ent o a exist ncia de um processo de autentica o das m quinas de forma a evitar que um intruso utilize uma m quina n o autorizada para simular uma m quina autorizada Com a actual tend ncia de abertura a redes alargadas e a crescente necessidade de partilha e acesso remoto informa o a quantidade de dados armazenada em bases de dados est a aumentar Inerentemente a este crescimento aumentam os riscos de seguran a A probabilidade de os utilizadores de um sistema usarem mal a informa o depende tanto do seu valor como do n mero de pessoas que a ele t m acesso O controlo de acesso muito importante em qualquer sistema de cuidados de sa de quer a informa o fique alojada em bases de dados centralizadas ou distribu das Neste ltimo caso muito mais pela raz o de que a sua gest o mais dif cil O facto de que nem todas as pessoas t m acesso aos dados uma consequ ncia l gica do direito privacidade Existem dois tipos de mecanismos de controlo de acesso controlo de acesso discricion rio e o obrigat rio Este ltimo usado em sistemas de registo cl nico electr nico porque exige que todos os utilizadores que t m acesso e gerem informa o do paciente sigam regras estabelecidas pelo respons vel dessa gest o A forma mais comum de estabelecer regras atrav s de listas de controlo de acesso que armazenam as permiss es de acordo com os recursos
188. iss o de dados do sat lite podem ser diferentes para Uplink e para Downlink fazendo com que a videoconfer ncia sim trica se torne mais dif cil 169 2 Sistemas de Classificacao e Codificacao Os sistemas de classifica o e codifica o cl nica s o aqui referidos pela sua import ncia no contexto da normaliza o do vocabul rio m dico A classifica o e codifica o da informa o cl nica est o directamente relacionadas com a integridade dos dados cl nicos O ICD International Classification of Diseases 69 foi criado pela Organiza o Mundial de Sa de com vista a codificar e classificar informa es m dicas criando um padr o para definir causa mortis em atestados de bito A Classifica o Internacional de Doen as revista de 10 em 10 anos os c digos est o agora na sua 10 revis o ICD 10 no entanto muitos pa ses incluindo Portugal ainda usam o ICD 9 Para codificar uma determinada condi o do doente necess rio navegar por um extenso sistema de classifica o de diagn sticos ou procedimentos Os DRG Diagnosis Related Groups ou GDH Grupo de Diagn stico Homog neos 70 s o um sistema de classifica o de epis dios de internamento Foram criados na Universidade de Yale nos anos 80 com a finalidade de constituir um sistema de pagamento prospectivo SPP tendo vindo a ser rotineiramente utilizados pelo Medicare sistema de sa de americano desde 1986 Os DRG derivam de uma extens o do
189. istinto os seus pr prios requisitos de seguran a e caracter sticas peculiares devendo portanto desenvolver ou moldar uma pol tica de seguran a adequada que estenda e complemente a pol tica de seguran a global A proposta de implementa o de uma Politica de Seguran a Inform tica para o Minist rio da Sa de a seguir apresentada foi elaborada tendo por base a norma ISO 27779 Security Management in Health Using ISO IEC 17799 A proposta cobre alguns pontos relevantes da norma sendo de evidenciar os requisitos de seguran a no que se relaciona com a pol tica de gest o de senhas os direitos e responsabilidades dos utilizadores e dos departamentos de TICs na sa de e as ac es previstas em caso de viola o das pol ticas Tamb m a proposta de implementa o de infra estrutura de chave p blica para o Minist rio da Sa de baseia se na norma ISO 17090 Public Key Infrastructure Health Informatics A proposta assenta numa estrutura hier rquica em que a entidade de topo a rec m criada ECEE a entidade respons vel pela emiss o dos certificados o IGIF e as institui es de forma individual ou agrupada s o respons veis pela gest o de parte do ciclo de certifica o interno s suas institui es Na interac o dos profissionais de sa de com o sistema recomenda se o uso de um cart o profissional nico para identifica o autentica o e controlo de acesso f sico Todas as propostas apresentadas t m
190. ita na consola E poss vel administra o remota a partir da rede local ou a partir da RIS IGIF Quais os mecanismos de autentica o utilizados Existem cuidados especiais Autentica o por nome senha Altera o peri dica da senha de administra o da BD e do gestor aplicacional De que forma feita a protec o da sess o de administra o remota Em geral n o s o utilizados mecanismos de protec o simplesmente utilizado um telnet Os procedimentos de administra o est o documentados Documenta o praticamente inexistente Alguns procedimentos realizados internamente est o documentados mas os procedimentos n o est o uniformizador para todos os hospitais As interfaces s o f ceis de perceber e utilizar O interface em modo texto e genericamente pouco amig vel Em situa o de elevada carga do sistema o administrador t m prioridade de acesso Em situa o de sobrecarga o administrador n o tem prioridade E poss vel configurar o sistema de diferentes formas para diferentes utilizadores O sistema permite definir diferentes perfis de utiliza o e administra o Que poderes tem o administrador Existe diferentes tipos de administradores O administrador tem todos os poderes de administra o do sistema da BD e aplicacional N o existem diferentes tipos de administrador Acessos ao sistema para estat stica O acesso a informa o p
191. ity communications and identification of professionals and patients Patient Healthcare Data Interoperability of telehealth systems and networks Privilege Management and Access Control Categoria Health Informatics Health Informatics Health Informatics Health Informatics Health Informatics Health Informatics Health Informatics Health Informatics Descri o Descri o sobre a utiliza o de PKI no dom nio da inform tica M dica Guia para protec o de dados que dever ser aplicado na transfer ncia internacional de informa o pessoal de sa de Proporciona um guia que suporta a interpreta o implementa o e acompanhamento da norma ISO IEC 17799 na rea da sa de O seu prop sito fixar os requisitos cl nicos e t cnicos para uma arquitectura de registos electr nicos de sa de que suporte o uso a partilha e interc mbio dos registos cl nicos electr nicos entre diferentes sectores da sa de e diferentes pa ses Define as especifica es m nimas para um direct rio de servi os para a rea da sa de usando a estrutura X 500 Esta especifica o t cnica fornece um direct rio comum de informa o e servi os necess rios para suportar a seguran a nas transac es de informa o de sa de atrav s de redes p blicas Define um modelo b sico orientado ao objecto para os cart es de sa de Define uma estrutura para armazenamento dos dados cl nicos do paciente Orientada para a in
192. jam trocadas entre equipamentos de imagem computadores e entidades ligadas ao sector da sa de Protocolo para troca manuten o e integra o de dados relativos a pacientes EUA Aplica es cl nicas gest o de doentes pedidos e resultados de exames e an lises registos de Em enfermagem e m dicos dietas pedidos de expans farm cia agendamento de consultas e actividades o na UE reconhecimento de voz sinais fisiol gicos lista de problemas dos pacientes etc Tem por objectivo atingir a compatibilidade e UE interoperabilidade entre sistemas heterog neos e implementar modularidade entre os sistemas de informa o para a sa de Normaliza o das tecnologias de comunica o UE necess rias para atingir a compatibilidade e interoperabilidade entre sistemas independentes na rea da sa de CORBAmed define as tecnologias para a interoperabilidade dos sistemas de sa de CORBAsec especifica es de seguran a Define um conjunto de regras a seguir em planos de sa de Aspectos de Seguran a Part 15 Security and System Management Profiles SIGSecure Standard Guide for EDI HL7 Communication Security Standard Guide for Implementing EDI HL7 Communication Security WGIII Security Safety and Quality WG 4 Security CORBAsec Especifica o Especifica um conjunto de orienta es referentes a perfis para gest o de sistemas e seguran a Endere ado para o dese
193. jei o da origem da informa o Controlo de acessos Protec o contra acessos n o permitidos M todos de valida o e correc o dos dados Codifica es Assinaturas Digitais Legisla o Normas Protec o de dados A origem tem que fornecer meios que permitam ao receptor provar a origem da informa o Regras de controlo de acessos CEN TC 12251 ENV 12388 CNPD Comiss o Nacional Protec o de dados Fun es de controlo e fiscaliza o do processamento de dados pessoais 1 13 ISO IEC 13335 O prop sito desta norma fornecer um guia para a gest o dos aspectos de seguran a das Tecnologias de Informa o Guidelines for Management ofIT Security Esta norma constitu da por tr s partes A Part 1 Concepts and models for IT Security esta parte do relat rio fornece orienta es b sicas para um respons vel pela gest o da seguran a numa organiza o A Part 2 Managing and planning IT Security esta parte descreve a forma de gest o e planeamento dos aspectos de seguran a Esta descri o cobre os seguintes itens pol ticas de seguran a das TI organiza o dos aspectos de seguran a das TI gest o de riscos implementa o e seguimento e a Part 3 Techniques for the management of IT Security descreve as t cnicas de seguran a apropriadas a usar durante o ciclo de vida do projecto como planeamento desenho implementa o teste aquisi o e opera o
194. l normalizador j a entidade respons vel pela gest o da RIS e de grande parte das aplica es instaladas nas unidades de sa de e possui os meios para actuar ao n vel desta infra estrutura A infra estrutura proposta baseia se no uso de sistemas criptogr ficos assim tricos ditos de chave p blica Nestes sistemas atribu do a cada utilizador um par de chaves uma chave a publicitar p blica e uma chave a esconder privada A chave p blica seria disponibilizada livremente em certificados digitais ou num direct rio de acesso p blico por exemplo na p gina web da institui o e a chave privada deveria ser guardada em local de confian a do utilizador por exemplo no seu cart o de identifica o profissional Cada certificado digital documento electr nico teria o seu conte do reconhecido como verdadeiro mediante a assinatura digital e ele aposta isso seria feito pela autoridade certificadora o IGIF como aqui sugerido ou uma outra entidade institucional de confian a Tal autoridade representa um papel muito importante em termos da credibilidade da informa o que transita na rede pois possibilita a cria o de uma rela o de confian a entre parceiros intervenientes nas rela es de presta o de cuidados de sa de EN bl IGIF sacl aii iB os eee ae al gs Unidade Sa de B Unidade Sa de A te D 68 PKI Public Key Infrastructure Esta infraestrutura baseia se no uso de sistemas crip
195. les for batch EDI confidentiality endere a n veis de mensagens pacote n veis de seguran a para o interc mbio de mensagens n veis de seguran a para a confidencialidade em concord ncia com os mecanismos de seguran a estabelecidos A Part 9 Security key and certificate management message message type KEYMAN define as regras para chaves de seguran a e a gest o de certificados A Part 10 Security rules for interactive EDI especifica regras e a sintaxe para interc mbio seguro de mensagens EDI Fornece um m todo para endere ar n veis de interc mbio para a seguran a de mensagens pacotes de acordo com os mecanismos de seguran a estabelecidos 1 9 ASTM A ASTM American Society for Testing and Material 43 atrav s do comit E31 em sistemas computorizados estabeleceu a divis o em seguran a e confidencialidade em 1996 cujo objectivo era acelerar o desenvolvimento de normas de seguran a e confidencialidade no mbito SIS Tabela 10 e coordenar normas de seguran a desenvolvidos por outros SDOs Tabela 10 Sub Comit s ASTM Sub comit Descri o Objectivo E31 17 Privacy Confidentiality and Access Desenvolver normas relacionadas com os aspectos de seguran a acesso privacidade e confidencialidade dos registos de pacientes E31 20 Data and System Security for Health Definir o processo de autentica o nos SIS e trabalhar em colabora o Information com outras organiza es nestes aspectos O
196. lica es e base de dados Quest es de seguran a relacionadas com os utilizadores por exemplo a sua identifica o equipamento de acesso e aplica es ser o consideradas na introdu o e acesso informa o cl nica do paciente No que diz respeito ao armazenamento dessa informa o a aten o est orientada para as bases de dados os servidores e computadores clientes Outro aspecto cr tico no sistema de informa o cl nica o das comunica es as infra estruturas e os servi os de rede que suportam a circula o da informa o Na base de toda esta estrutura est o quest es e princ pios tico legais que suportam a actividade dos diferentes profissionais no processo de presta o de cuidados de sa de em Portugal E finalmente ser o referidas algumas normas internacionais que favorece a seguran a e a interoperabilidade dos sistemas electr nicos cl nicos escala global Para al m disto o estudo abrange dois cen rios o acesso e manuseamento da informa o na rede interna da institui o o acesso informa o proveniente do exterior da institui o acesso via intranet da sa de RIS ou num universo mais alargado da Internet Destes cen rios o mais exigente em termos de seguran a o segundo No entanto ambos exigem cuidados que abrangem os seguintes aspectos comunica es e privacidade integridade dos dados identifica o e controlo de acesso dos utilizadores monitoriza o e auditoria seguran
197. lica o os pedidos correspondentes a c digo s o escritos para al m do que deveria ser e abrangem a a zona de instru es do processador que acaba por executar c digo dos invasores permitindo lhes ganhar controlo da m quina Esta amea a poder ter consequ ncias graves por exemplo caso ocorram em sistemas cr ticos de suporte de vida Uma m gest o da capacidade da rede pode conduzir a congestionamentos que entravam ou perturbam o funcionamento dos canais de comunica o Ataque por engenharia social a t cnica ou arte de se aproveitar a boa f das pessoas para obter informa es que possibilitem ou facilitem o acesso aos recursos computacionais de uma organiza o por parte de utilizadores n o autorizados Entre as informa es mais procuradas destacam se as seguintes senhas de acesso topologia da rede endere os IP e nomes de computadores em uso nomes de hosts em uso listas de utilizadores tipos e vers es de sistemas operativos usados tipos e vers es de servi os de rede usados dados sigilosos sobre produtos e processos da organiza o Existem diversas formas de se efectuar um ataque de engenharia social mas todas elas t m em comum a caracter stica de usarem basicamente a psicologia e a perspic cia para atingir os prop sitos do atacante Actualmente as mais populares s o o uso do telefone ou correio electr nico para se fazer passar por uma pessoa geralmente algu m da equipa de suporte t cnico o
198. m n vel de aceita o de disponibilidade de dados confidencialidade e integridade Para este sistema 146 categorizado corresponde um nivel de requisitos de protec o e s o fornecidas recomenda es apropriadas ao n vel de risco inerente a essa categoria ENV 13606 A norma ENV 13606 Electronic Healthcare Record Communication EHRcom orientada para a comunica o do registo electr nico do paciente Os aspecto se seguran a s o tratados na parte 4 da norma A Part 4 Security requirements and distribution rules da norma descreve uma metodologia e E AE Es ros 123 especifica os privil gios necess rios para aceder a dados EHR Refere os requisitos gerais de seguran a a aplicar em comunica es EHR solu es t cnicas e normas que especificam detalhes para satisfazer essas necessidades de seguran a Em sistemas sens veis como s o os EHR a informa o tem que ser registada armazenada processada e comunicada em seguran a Consequentemente a comunica o de EHR dever reunir os seguintes requisitos de seguran a Autentica o das entidades pessoas software dispositivos etc Gest o de autoriza o privil gios e controlo de acessos Integridade da informa o EHR que gravada processada e comunicada Classifica o de seguran a da informa o EHR Defini o negocia o e ponte das pol ticas entre as entidades requerentes e fornecedoras de dados EHR Audita
199. m particular define o acesso a diferentes tipos de dados ICD restrito a diferentes classes de pessoas profissionais outras ou ao paciente Direitos de leitura altera o e remo o de dados Em resumo o committee CEN TC 251 encontra se a trabalhar na rea dos Health Informatics e Medical Informatics sobre algumas fun es de seguran a e servi os como CR Framework for Formal Modelling of Healthcare Security Policies ENV Accountability and Audit Trail Mechanism for Healthcare Information Systems ENV Access Control Policy Bridging ENV Risk Assessment Procedures ENV Data Protection Contract Guidance 1 4 ISO TC 215 A ISO International Organization for Standardization 25 uma organiza o mundial que prepara normas internacionais elaboradas por um conjunto de comit s t cnicos O ISO TC 215 um comit t cnico criado especialmente para a rea da inform tica m dica O mbito deste comit t cnico a normaliza o no campo da informa o para a sa de e a normaliza o das tecnologias das comunica es necess rias para atingir a compatibilidade e interoperabilidade entre sistemas independentes A ISO TC 215 Health Informatics teve in cio no mesmo mbito que o CEN TC 251 Ambos os comit s t m colaborado no mesmo sentido j que os seus objectivos quase que se sobrep em O trabalho da ISO tem se focado em aspectos b sicos da inform tica m dica A ISO TC 215 composto por v rios g
200. ma o cl nico tal cart o seria intransmiss vel em caso de extravio nunca poderia ser usado por terceiros e o seu cancelamento poderia ser feito de imediato quando o utilizador abandonasse o posto de trabalho obrigatoriamente teria de se fazer acompanhar do respectivo cart o pelo que o logout seria autom tico e inevit vel No caso de tal cart o incluir tamb m tecnologia RFID a sua utiliza o seria extremamente c moda pois o profissional de sa de n o teria sequer necessidade de o retirar do seu local de fixa o bastando para o efeito estar a uma dist ncia n o superior a 60 cm do respectivo leitor Considerando a crescente mobilidade dos profissionais de sa de quer entre institui es que integram o MS ou n o a quest o da identifica o e autentica o poderia ser resolvido da seguinte maneira como cada uma das institui es de sa de faz a gest o da lista de atribui o de permiss es de acesso aos seus sistemas os profissionais de sa de podem ser autenticados e identificados em diferentes unidades de sa de usando o seu cart o de identifica o e profissional E como em ltima 77 RFID Radio Frequency Identification 111 inst ncia os certificados s o garantidos pela autoridade certificadora do MS estabelece se uma rela o de confian a Os certificados digitais devem ser periodicamente renovadas para incrementar a seguran a por exemplo poder o ser v lidos por um per odo de 5 anos excepto
201. ma solu o de natureza cl nica desenvolvida em Portugal constitu da por diferentes m dulos por exemplo consulta internamento urg ncia que permite uma maior efic cia na presta o de cuidados de sa de nomeadamente em centros de sa de e hospitais na medida em que possibilita o registo a interliga o de institui es a reutiliza o e a an lise de toda a informa o relacionada com um epis dio cl nico do paciente Esta solu o dispon vel em portugu s contempla todos os intervenientes profissionais na presta o de cuidados m dicos enfermeiros auxiliares de ac o m dica t cnicos de imagem e laborat rio assistentes sociais gestores e administrativos e utentes Assenta na utiliza o de monitores sens veis ao tacto touch screen monitors na identifica o dos profissionais de sa de por impress o digital e dos utentes por pulseiras Ao n vel t cnico e funcional esta solu o apresenta ainda caracter sticas particulares e diferenciadoras nomeadamente O ALERT est munido de no es de workflow cont m um datawarehouse inclui um processo cl nico electr nico e est dotado da capacidade de interac o com outras aplica es atrav s de interfaces HL7 para al m de estar em conformidade com outras normas internacionais tais como SNOMED CIPE ICNP ICD9 DICOM A gest o de utilizadores efectuada de forma centralizada e cada tipo de utilizador m dico enfermeiro administrativo etc poss
202. mas de informa o cl nica t m a ver com as tecnologias obsoletas em uso a n o integra o dos sistemas e o comportamento n o adequado dos utilizadores Com o objectivo de poder contribuir para a melhoria da situa o de seguran a dos sistemas de informa o cl nica em Portugal foi proposto uma infra estrutura de seguran a e pol ticas comuns s institui es que integram o Minist rio da Sa de ver Cap tulo 5 Uma infra estrutura de chaves p blicas considerada como um bom instrumento para a obten o de um maior n vel de protec o Para al m dos mecanismos e pol ticas referido anteriormente fundamental n o descurar a actualiza o dos sistemas sua integra o forma o e sensibiliza o dos utilizadores H que proteger a privacidade de um paciente e este tem de confiar na organiza o onde tratado e onde confia a guarda dos seus dados pessoais imposs vel garantir uma seguran a a 100 no entanto poss vel reduzir os riscos ou restringir poss veis danos devido m utiliza o ou ao uso abusivo Esta discuss o poderia servir de ponto de partida para um estudo pormenorizado desta tem tica ou outros estudos espec ficos Como trabalhos futuros penso que seria um contributo importante para os sistemas de informa o cl nica em Portugal sem esquecer as quest es de seguran a efectuar uma an lise aprofundada e a apresenta o de propostas concretas relativas aos seguintes pontos 122 p
203. mation and overcome the many deficiencies found presently it is proposed a set of measures comprising the proposal for the implementation of an Informatics Security Policy for the SNS and the implementation of a public key infrastructure PKI for the Health Informatics Network RIS that as conveniently justified and generally delineated Keywords Security Healthcare Information Systems Standards Public Key Infrastructure PKI vil AGRADECIMENTOS No finalizar deste trabalho quero expressar meus agradecimentos a todas as pessoas que directa ou indirectamente contribu ram para a sua concretiza o Pela raz o de que muitas pessoas colaboraram citar nomes seria algo dif cil de ser feito sem cometer a injusti a da omiss o Em particular gostaria de referir o apoio dos orientadores desta disserta o o Professor Doutor Jo o Pascoal Faria e o Professor Doutor Jos Manuel de Magalh es Cruz Em especial desejo agradecer minha fam lia ao meu marido Paulo pela paci ncia e incentivos nos momentos de des nimo e ao meu pequenote Jo o Pedro que nasceu durante esta jornada pelas gargalhadas e brincadeiras nos momentos de descontrac o A todos o meu muito obrigado E a Deus pela vida e pelas oportunidades nela surgidas IX INDICE RESUMO ninine dA a A a Re ee A v ABSTRACT rennene tase E Di a T E aa eaten E db Ed ra E ga vii AGRADECIMENTO ere e E E E aun N E E E see ees ix INDICO AEE EEE AE OEE AETA T tach E E
204. menta o de uma pol tica de seguran a adequada ao n vel das institui es contribuir para diminuir estes riscos Finalmente ao n vel da normaliza o importa aqui real ar o prop sito da norma ver Anexo A ENV 13608 Security for Healthcare Communication orientada para a seguran a no canal de comunica es 37 2 8 Conformidade com tica Legisla o e Normas Nesta sec o abordar se tr s temas que pela sua natureza est o relacionados Os temas s o a tica legisla o e normas de seguran a A tica porque preenche lacunas deixadas pela legisla o e por esta n o ser suficientemente abrangente para cobrir as mais diversas situa es A tica tamb m um factor de distin o entre organiza es pela adop o de diferentes c digos de tica A adop o de c digos de tica por parte das organiza es traduz se na introdu o de alguma normaliza o na rea m dica e numa maior transpar ncia e confian a por parte dos utentes A legisla o necess ria no sentido de regular a actividade no sector da inform tica m dica e a adop o de normas de seguran a pe a fundamental n o s porque faz com que as organiza es e os seus servi os prestados se revista de uma maior credibilidade para o paciente mas tamb m porque ela necess ria para fazer cumprir alguns aspectos da lei Em Portugal a Comiss o Nacional de Protec o de Dados Pessoais CNPD 17 tem por compet ncias c
205. midade processamento de dados pessoais especiais ra a vida sexual etnia etc se satisfeitas condi es especiais direito no acesso aos dados seguran a no processamento solu es judiciais obriga es e san es autoridades supervisoras oficiais transfer ncia de dados pessoais para pa ses terceiros etc 124 PMAC Privilege Management and Access Control 125 TETF Internet Engineering Task Force 148 Fornece orienta es no mbito da transfer ncia de dados pessoais em formato electr nico ou em formato n o electr nico ex papel pel culas de radiografia etc para pa ses terceiros incluindo derroga es e cl usulas do contrato bases em que a transfer ncia para pa ses terceiros permitido despersonaliza o dos dados consentimento do paciente exig ncia em termos de adequa o da protec o dos dados Etc Fornece orienta es constitu das por um conjunto de princ pios com nfase para o Principio 4 seguran a oficial na protec o dos dados o Principio 5 permiss o para processar o Principio 8 proibi o de transfer ncia sem autoriza o do paciente o Principio 10 seguran a no processamento o Principio 12 adequa o do pa s terceiro na protec o dos dados No que se refere ao princ pio 10 a directiva fornece linhas de orienta o relativas protec o dos dados de sa de contra a perda ou distribui o acidental altera o ou acesso n
206. minal alfanum rico para os utilizadores Embora o SONHO e SINUS usem bases de dados robustas e estruturadas devido sua antiguidade e arquitectura s o aplica es orientadas para funcionar em ambientes fechados e n o est o conformes aos padr es internacionais que promovem a interoperabilidade dos sistemas raz o que dificulta a sua integra o com outras aplica es por exemplo aplica es para gest o de laborat rios de an lises cl nicas Para al m disto acresce o facto de que existem diferentes vers es instaladas nas institui es o que dificulta a sua gest o e manuten o por parte do IGIF e das pr prias institui es Tipicamente tamb m n o existe uma configura o ou parametriza o uniformizada entre as diferentes institui es o que mais dificulta o trabalho da tutela por exemplo compara o de indicadores de gest o e ou produ o As aplica es SAM e SAPE suportadas na estrutura de base de dados do SONHO e do SINUS foram desenvolvidas em ambiente web e apresentam uma interface amig vel para o utilizador No seu desenvolvimento foram inclu dos tecnologia JAVA e usadas ferramentas de desenvolvimento Oracle Developer Tanto o SAM como o SAPE tipicamente est o instalados em servidores com o sistema operativo Windows 2000 Server Numa perspectiva mais t cnica o acesso s aplica es SAM e SAPE suportado por um navegador browser e realizado por applets JAVA que estabelecem via JBDC cone
207. miss es por exemplo s para visualizar registos de enfermagem Os administrativos podem inserir e alterar mas n o eliminar informa o relacionada com a identifica o do paciente S o respons veis pela inser o ou altera o de toda a informa o administrativa relacionada com os v rios contactos do paciente com a institui o por exemplo marca o de meios complementares de diagn stico agendamentos admiss o urg ncia etc Os utilizadores em geral n o est o autorizados a eliminar registos por exemplo termos de responsabilidade ou n meros de processo Esta funcionalidade apenas est dispon vel aos gestores do sistema ou aos gestores departamentais por exemplo eliminar epis dios de urg ncia vedado qualquer tipo de acesso aos registos m dicos ou de enfermagem Geralmente usam o SONHO SINUS podendo j ter acesso a alguns perfis administrativos no SAM na realiza o de algumas tarefas nomeadamente no agendamento do bloco operat rio T cnicos de Este grupo de utilizadores apenas est autorizado a aceder ao m dulo da aplica o para gest o de MCDT MCDT no perfil para t cnicos T m permiss es para inserir remover e alterar informa o relacionada com o resultado de exames ou an lises antes de serem validados pelo m dico da especialidade Investigadores Este grupo de utilizadores apenas est autorizado a aceder a um conjunto de informa o cl nica muito restrito por exemplo diagn sticos e
208. mming Interface 160 privacidade 40 Estes pontos carecem de regula o espec fica a referir Update de software consultadoria especializada alguns casos reestrutura o do edif cio m dico e sistemas de registos 1 7 IEEE O principal objectivo do IEEE Institute of Electrical and Electronics Engineers 41 cooperar no avan o global promovendo o processo de engenharia na cria o desenvolvimento integra o partilha e aplica o de conhecimento sobre tecnologias de electricidade O principal trabalho desta institui o na cria o de normas para aplica o na rea da sa de tem sido desenvolvido atrav s dos grupos MEDIX e MIB como podemos ver na Tabela 9 Tabela 9 Lista de grupos IEEE Abreviatura Designa o Descri o IEEE P1157 Medical Data Interchange MEDIX Norma de troca de informa o entre Sistemas Inform ticos Hospitalares IEEE P1073 Medical Information Bus MIB Desenvolver meios de comunica o entre aparelhos de cuidados intensivos e computadores Actualmente este instituto n o possui nenhum grupo activo na rea da seguran a e confidencialidade O grupo IEEE MEDIX coopera com outras organiza es no desenvolvimento de normas na rea da seguran a 1 8 EDIFACT A seguran a para mensagens EDIFACT Electronic Data Interchange For Administration Commerce and Transport 42 atrav s do grupo de trabalho em seguran a UN EDIFACT partilhado com Terry Dosdale de United Kingd
209. mos ver na Tabela 2 definido a que tipo de informa o cada grupo profissional de utilizadores t m acesso i e quem t m acesso e a qu Tabela 2 Mapeamento utilizador ac o conforme perfis pr definidos na aplica o Grupo Profissional M dicos Enfermeiros Administrativos 56 Privil gios de acesso ao sistema Acedem ao m dulo SAM e t m permiss es para inserir alterar ou eliminar os seus pr prios registos m dicos por exemplo prescri o de uma terap utica ou medica o Al m disto podem visualizar mas n o manipular os registos efectuados por outros m dicos ou grupos profissionais por exemplo registos relacionados com resultados de exames ou an lises cl nicas Acresce ainda o facto de lhes ser permitido classificar a informa o cl nica de acordo com os diagn sticos ou procedimentos cl nicos realizados Acedem ao m dulo SAPE e t m permiss es para inserir alterar e eliminar registos relacionados com os cuidados de enfermagem Os utilizadores apenas podem aceder aos pacientes afectos ao departamento no qual est o a desempenhar fun es Al m disto podem ainda visualizar as terap uticas ou prescri es m dicas de forma a inclu las no seu plano de trabalho e caso lhes seja permitido podem visualizar os registos cl nicos do paciente atrav s da funcionalidade Processo cl nico Electr nico Para al m disso poss vel restringir ainda mais criando sub perfis com per
210. n 86 X_509 Digital Certificates 37 3DES Triple Data Encription Standard Descri o Especifica o uso de perfis de seguran a Descri o do protocolo e do mecanismo de negocia o da entidade de autentica o dos mecanismos de encripta o e dos mecanismos de controlo de integridade que as implementa es dever o suportar No essencial os diferentes perfis diferenciam se pelos mecanismos de seguran a suportados e o n vel de exig ncia de aplica o dos mesmos Os perfis diferenciam se pela forma como a assinatura digital criada e pelo algoritmo de encripta o utilizado O Supplement 86 Digital Signatures in Structures Reports especifica orienta es adicionais relativas assinatura digital Define o uso dos certificados X 509 e mecanismos apropriados de distribui o de chaves Especifica o encapsulamento de um ficheiro DICOM num ficheiro DIOCM seguro com as seguintes caracter sticas de seguran a confidencialidade integridade e autentica o da origem dos dados opcional Como algoritmo de encripta o usa AES ou 3DES Especifica a utiliza o do DHCP para fornecer servi os de assinatura e gest o de IPs a m quinas remotas Define servi os para sincroniza o de rel gios de m ltiplos computadores Aplica se aos servi os LDAP server LDAP client e DNS server Define um perfil b sico com os seguintes aspectos confidencialidade dos dados ao n vel aplica o confidencialidade
211. na comunica o HL7 Para estabelecer comunica es seguras de mensagens EDI requer a selec o e implementa o de servi os apropriados de seguran a como autentica o utilizador aplica o e sistemas integridade confidencialidade e autenticidade no caso de n o rep dio do emissor e ou do receptor As recomenda es baseiam se na criptografia de chave p blica com uma proposta de infra estrutura de seguran a forte PKI Para fortalecer a autentica o dos utilizadores recomendado o uso de chipcards combinados com o c digo PIN e ou sistemas biom tricos O protocolo de comunica o mais indicado o Secure File Transfer Protocol SFTP Este protocolo de comunica o baseado em TCP IP e oferece aos utilizadores e sistemas autentica o assim como controlo e seguran a na conex o De acordo com a seguran a das comunica es Figura 26 SFTP embrulha mensagens HL7 selecciona e aplica v rios m todos criptogr ficos tais como PKCS 7 S MIME MOSS Z PGP MIME Basicamente o processo SFTP tem o seguinte funcionamento o servidor est escuta e tem o servi o FTP a correr no porto TCP 21 espera de conex es cliente antes de o cliente proceder transfer ncia de dados dever existir autentica o forte entre as partes de forma a assegurar a seguran a na conex o 110 LLP Lower Layer Protocol 111 PKI Public Key Infraestruture 2 MOSS MIME Object Security Services 139 1 3 CEN
212. nas pr prias solu es t m se mostrado inadequados ou mesmo quando existem n o s o implementados da forma mais correcta Muitas das quest es de seguran a que se colocam poder o ser minimizadas com o uso do Cart o do Cidad o na sua interac o com o SNS No caso das novas tend ncias no dom nio da telemedicina a seguran a consegue se usando mecanismos de autentica o forte nos casos em que aplic vel Nos casos em que n o aplic vel existem outros mecanismos capazes de oferecer seguran a nas comunica es VPNs SSL etc 93 5 PROPOSTAS PARA A MELHORIA DA SEGURAN A DOS SISTEMAS DE INFORMA O CL NICA Neste cap tulo prop e se um conjunto de medidas globais para a melhoria da seguran a dos sistemas de informa o cl nica das unidades de sa de tuteladas pelo MS hospitais centros de sa de IGIF etc Com a tend ncia da centraliza o dos sistemas de informa o cl nica a cria o de bases de dados remotas por exemplo SIGIC referido no Cap tulo3 a utiliza o da telemedicina a crescente partilha de informa o cl nica interinstitucional via correio electr nico web etc a centraliza o dos registos cl nicos do paciente a centraliza o de prescri o electr nica de medicamentos a circula o da informa o cl nica dentro da RIS e atrav s das suas fronteiras coma Internet tem aumentado imenso Surge assim a necessidade de utiliza o de pol ticas e mecanismos de seguran
213. neysavedinabsavesasequtansiatouticn 162 Tabela 11 Itens referidos pela norma ISO IEC 17799 2000 165 Tabela 12 Servi os de Seguran a segundo a norma ISO 7498 0 ecccesceseeeeeeteeenseeees 166 XV LISTA DE ABREVIATURAS AES Advanced Encryption Standard ARP Address Resolution Protocol ATM Asynchronous Transfer Mode CIPE Classifica o Internacional para a Pr tica de Enfermagem CNPD Comiss o Nacional Protec o de Dados DHCP Domain Host Control Protocol DICOM Digital Imaging and Communications in Medicine DMZ DeMilitarized Zone DNS Domain Name System Dos Denial of Service ECEE Entidade Certificadora Electr nica do Estado EU Uni o Europeia FTP File Transfer Protocol GDH Grupo de Diagn stico Homog neos HIPAA Health Insurance Portability Accountability Act HL7 Health Level Seven ICD International Classification of Disease IDS Intrusion Detection System IEEE Institute of Electrical and Electronics Engineers IGIF Instituto de Gest o Inform tica e Financeira da Sa de IMAPS Interactive Mail Access Protocol Secure IP Internet Protocol IPsec IP Security LDAP Lightweight Directory Access Protocol MAC Media Access Control MIME Multipurpose Internet Mail Extension MPLS Multiprotocol Label Switching MS Minist rio da Sa de PACS Picture Archive and Communication System PAM Pluggable Authen
214. nha enviada em claro por telnet rep ou ftp O servi o que corre no servidor por exemplo o telnetd vai pesquisar no ficheiro etc passwd pela entrada que cont m aquele utilizador de seguida procede encripta o da senha fornecida pelo utilizador remoto e compara a com a senha cifrada que se encontra armazenada no sistema etc passwd etc shadow Se ambas coincidir d se a autentica o do utilizador Como o utilizador faz parte de um grupo principal e de grupos secund rios ir ser invocada uma shell que tem como propriet ria aquele UserID e atribu dos os respectivos privil gios O tamanho da senha n o limitado a um tamanho m nimo no entanto dever ser usado um n mero m nimo de caracteres ou existe a possibilidade de os utilizadores usarem senhas muito pequenas e previs veis Tipicamente n o definida uma data de validade da senha que force o utilizador a alter la no entanto os utilizadores t m a possibilidade de a alterar em qualquer altura Outro aspecto importante o facto de o sistema n o limitar o n mero de tentativas de conex o o que facilita a amea a de ataque por for a bruta v rias tentativas at encontrar a senha correcta especialmente quando a senha previs vel e pequena e f cil de adivinhar portanto importante tamb m referir que os administradores do sistema por exemplo profissionais de inform tica em geral n o possuem mecanismos de autentica o adicionai
215. nica sem identifica o Administrativo Informa o administrativa identifica o do paciente Este tipo de listas pode ajudar a evitar alguns dos incidentes que quebra a confidencialidade e integridade dos dados do paciente e s o normalmente feitos dentro da politica de seguran a da institui o cumprindo todas as regras que definem como as pessoas devem agir e que responsabilidade t m no que se refere seguran a Os direitos de acesso e utilizadores s o definidos pelos perfis de utilizador Os perfis incluem a profiss o dos utilizadores tipos de dados a que podem aceder fun es ou programas que podem usar O pessoal administrativo n o deve aceder aos dados m dicos Alguns dados m dicos ou permiss es para modificar dados cl nicos e terap uticos devem estar dispon veis apenas a alguns m dicos Os pacientes tamb m t m uma palavra a dizer sobre o acesso aos seus dados por isso t m que dar o seu consentimento a quem tem o direito de aceder a essa informa o Para al m disto se existirem sistemas de gest o que disponibilizem um bom n vel de valida o de dados conjuntamente com a identifica o nica do paciente poder se evitar dados mal classificados aquando da sua inser o e actualiza o Regras diferentes devem ser aplicadas aos utilizadores com a fun o de gest o Ac es tais como actualiza es tem que ter regras mais restritas do que aquelas que apenas l em a informa o sem a alterar por esta
216. nos outros n veis do modelo DICOM e integridade dos dados 134 Em resumo a norma DICOM diferencia se dos outros formatos de imagens tais como JPEG TIFF GIF e outros por permitir que as informa es dos pacientes sejam armazenadas de forma estruturada juntamente com a imagem isto s o armazenadas contendo etiquetas tags que identificam e delimitam as informa es A imagem propriamente dita na norma DICOM baseada no formato JPEG com ou sem compress o dependendo do equipamento que a gerou Cada fabricante de equipamento de imagem pode implement la como quiser desde que esteja em conformidade com a norma A vantagem desta estrutura permitir fazer a leitura dos ficheiros e obter as informa es necess rias gerindo desta maneira as imagens e as informa es dos pacientes de forma coerente e integra A norma DICOM o maior projecto de normas de imagens m dicas empreendido pela ind stria uma norma complexa mas n o deixa de ser implement vel e til A norma oferece uma estrutura modular s lida que assegura uma capacidade para desenvolver e responder a necessidades futuras A quantidade de trabalho feito na DICOM tem sido a raz o do interesse manifestado por outros especialistas A norma DICOM foi desenvolvida em conjunto com o Comit Europeu de Normaliza o CEN TC 251 e com a JIRA Japan Industries Association of Radiation Apparatus e analisada por organiza es como o IEEE HL7 e ANSI 1 2 HL7
217. ntido tradicional de leitura no ocidente em Z da esquerda para a direita de cima para baixo do posicionamento dos bot es mais importantes nas zonas mais nobres do ecr do recurso a s mbolos e pictografia universalmente reconhec vel como sintaxe prim ria da aplica o 85 da adequa o das dimens es dos elementos pictogr ficos antropometria dos utilizadores tendo em conta as dimens es do dedo indicador e das cores dos tipos gr ficos tendo em conta a dist ncia do plano do monitor no campo visual dos utilizadores Toda a informa o de natureza pessoal pode ser eliminada e ou alterada sempre que se justificar e ap s manifesta o directa do utente No entanto ao n vel da informa o cl nica a aplica o n o permite que este tipo de dados seja eliminado e ou alterado embora se possam efectuar novos registos para correc o de anteriores os quais permanecem guardados com um estado diferente O sistema permite ainda a gest o central ou local de conte dos permitindo que sejam adoptadas Guidelines ou Normas de Orienta o Cl nica bem como a respectiva personaliza o atrav s da cria o de textos mais frequentes e favoritos com base numa funcionalidade designada por My Alert Em conclus o esta solu o global de informatiza o pode criar um ambiente cl nico sem papel 4 3 A Mobilidade na Sa de 4 3 1 Introdu o O surgimento de tecnologias de redes d
218. nvolvimento de transac es seguras HL7 Focaliza a aten o no uso do HL7 num ambiente de comunica es onde existe a necessidade de servi os de comunica es seguros como autentica o encripta o n o rep dio e assinatura digital Especifica um conjunto de normas de seguran a ENV 12924 ENV 12388 ENV 13608 etc Defini o de normas de modo a assegurar confidencialidade disponibilidade integridade e responsabilidade bem como os princ pios gerais para a administra o da seguran a na rea da sa de ISO TS 17090 ISO WD 27799 ISO 22857 etc Tecnologia orientada ao objecto Desenvolvimento de funcionalidades de seguran a identifica o autentica o delega o privil gios confidencialidade etc Apresenta um modelo para a seguran a dos objectos CORBA Security Mecanismos de Seguran a Propostos Protocolo TLS Certificados Digitais X 509 Smartcards Servi os externos de seguran a Terceira Parte de Confian a TTPs Trust Third Parties Chaves p blicas ou infra estruturas de chave sim trica Assinatura Digital Verifica o do valor criptogr fico Encripta o Seguran a dos Protocolos de comunica o por camada do modelo OSI TLS IPsec IPv6 SSL SSH SHTTP SFTP etc Proposta de infra estrutura de seguran a forte PKI Recomendado o uso de chipcards combinados com o c digo PIN e ou sistemas biom tricos Define Politicas gest o Seguran a Cart
219. o a utilizadores n o autorizados A cifragem consiste em codificar a informa o a ser armazenada ou transmitida para que apenas os utilizadores autorizados possam compreender os dados em princ pio nem o gestor da rede n o os consiga compreender Finalmente para evitar quebras de seguran a dever haver uma destrui o segura dos dados e de equipamento obsoletos ou seja devem ser completamente limpos de informa o Em conclus o todas estas solu es devem ser consideradas desde o in cio mesmo antes da base de dados ser utilizada Os sistemas de gest o de bases de dados t m alguns controlos de seguran a e ferramentas de monitoriza o que constituem a primeira barreira para algumas das amea as e vulnerabilidades que enfrentam Todas as outras solu es dependem tamb m do ambiente IDS Intrusion Detection System Sistema de detec o de intrus o definido como sendo um servi o que monitora e analisa eventos de uma rede e providencia alertas em tempo real de acessos aos recursos da rede n o autorizados Para mais informa o ver o RFC 2828 1 Antiv rus Os programas de antiv rus fazem an lise de ficheiros rec m chegados da Internet tentando neles detectar c digo malicioso 24 e objectivos do sistemas da base de dados ou seja por exemplo se vai ser ou n o exposto a um ambiente hostil como a Internet 2 7 Gest o das Comunica es O acelerado desenvolvimento da tecnologia de c
220. o autorizado Algumas das orienta es est o relacionadas com Medidas An lise de risco Encripta o e assinatura digital durante a transmiss o prova de integridade e autentica o da origem Controlo de acesso e autentica o dos utilizadores recomenda o uso de senhas com refor os atrav s de smart cards sistemas biom tricos e assinaturas digitais Necessidade de ambiente f sico seguro Inclus o de aplica es de gest o e gest o da rede a configura o da rede e gest o da firewall s o aspectos vitais na seguran a dos sistemas Controlo de v rus relat rios de falhas ou brechas de seguran a planos de conting ncia ou de continuidade do negocio em caso de falhas auditorias especiais de seguran a no caso de os dados pessoais de sa de particularmente sens veis dados gen ticos e dados relativos a doen as sexualmente transmiss veis etc EN 14485 A norma EN 14485 Guidance for handling personal health data in international application in the context of the EU data protection directive disponibiliza um guia para a protec o dos dados envolvidos em aplica es inform ticas internacionais em que existe transmiss o de dados pessoais de sa de entre pa ses membros da EU e pa ses n o membros 149 Com vista protec o dos dados pessoais de sa de envolvidos nas transmiss es a norma prop e um conjunto de medidas de seguran a medidas gen ricas de seguran a contratos de seguran
221. o das listas de revoga o respectivas O facto de existirem Sub CAs permite que a CA do MS possa ser colocada em off line e colocada num local f sico seguro aumentando a seguran a do topo da hierarquia da PKI no MS Uma medida sensata pois caso a CA seja comprometida coloca em causa toda a estrutura obrigando a que seja refeita O pedido de emiss o ou revoga o de certificados digitais ver Anexo B para servidores ou utilizadores efectuado pelas institui es mediante o acesso seguro a uma aplica o web disponibilizada na RIS atrav s do preenchimento de um formul rio com os dados identificativos do funcion rio nome do titular n BI institui o onde trabalha e departamento categoria profissional etc De seguida o departamento do IGIF respons vel pela gest o de certificados digitais procede emiss o dos certificados e do respectivo cart o de identifica o profissional para o caso do profissional de sa de a sua identifica o nica no sistema Para al m de imprimir a face do cart o grava a chave privada no chip do cart o protegido por senha O uso de um smart card na identifica o profissional associado ao uso de t cnicas biom tricas por exemplo impress o digital e leitura da ris permitiria um aumento significativo do n vel de controlo de acessos por exemplo poderia ser usado em fun es normais de identifica o no controlo de portas identifica o e autentica o no sistema de infor
222. o de bases de dados bem testados pode tamb m contribuir para a seguran a dos dados e para que falhas nos programas n o aconte am t o frequentemente ou possam ser melhor controladas Medidas de gest o e controlo de qualidade de dados podem ajudar eliminar informa o redundante ou incorrecta relacionada com os pacientes As c pias de seguran a e os registos das transac es dever o ser mantidos actualizados e feitos regularmente assim como armazenados em local seguro porque podem ser a nica forma de recuperar na totalidade e com consist ncia a base de dados depois de ocorrer uma falha Actualmente a maior parte dos sistemas de gest o de bases de dados possui ferramentas espec ficas para fornecer arquivo e armazenamento de informa o automaticamente e regularmente Tamb m importante ser capaz de armazenar e contabilizar transac es rejeitadas para que as tentativas de quebrar a privacidade possam ser detectadas facilmente e possam ser feitas correc es para melhorar a sua efici ncia Para minimizar ataques bem sucedidos poder o ser adoptadas algumas medidas j referidas por exemplo instala o de barreiras que separam o tr fego interno e externo da rede tais como 23 firewalls sistemas de detec o de intrus o tais como IDS e auditorias frequentes do tr fego da rede Embora a efic cia dos programas de antiv rus n o seja muito elevada eles podem ser desenvolvidos rapidamente e prevenir a maior parte dos v
223. o o tr fego entre estes dois pontos Outro aspecto extremamente importante o controlo dos acessos provenientes do exterior rede local da institui o por exemplo IGIF centros de sa de ou empresas de manuten o remota S o utilizadores autorizados logo devem ser alvo dos mesmos cuidados de seguran a que os acesso provenientes da rede interna Por exemplo no acesso base de dados do SONHO usado um mecanismo de controlo de acesso simples e fraco baseado no bin mio nome utilizador senha que circula em claro pela rede Neste caso dever se ia recorrer ao uso do um protocolo de comunica o seguro por exemplo SSH no estabelecimento de um canal seguro para transporte dos dados cl nicos entre o utilizador externo e a institui o O sistema usa uma identifica o nica do paciente designado por n mero do processo cl nico do paciente Associado e este n mero de processo e por cada contacto que o paciente tem com a institui o gerado um n mero de epis dio por exemplo um episodio de urg ncia internamento ou consulta Relacionado com cada epis dio poder o estar associados outros dados por exemplo prescri es e meios complementares de diagn stico e terap utica Este processo de identifica o permite rastrear registos na base de dados relacionados com o paciente para al m de facilitar a realiza o de auditorias o controlo de acessos e a manuten o da integridade da base de dados Este m todo de iden
224. objectos Isto define uma nova forma de relacionar os dados cl nicos diferente das bases de dados relacional mas os objectivos e resultados principais s o bastante similares 21 2 6 1 Amea as a Seguran a e Vulnerabilidades As bases de dados est o expostas a graves amea as e vulnerabilidades Os dados podem ser corrompidos n o s pelos utilizadores ou por programas por exemplo v rus mas tamb m por causas externas tais como falhas de energia ou problemas nos equipamentos Tais bases de dados podem necessitar de controlos de seguran a adicional devido ao seu r pido crescimento Pode tornar se dif cil controlar grandes volumes com os diferentes tipos de informa o que os sistemas de registo cl nico electr nico podem conter No que se relaciona com o armazenamento de dados de pacientes a integridade muito importante porque uma altera o m nima pode afectar a vida e os cuidados m dicos a receber Problemas de inconsist ncia podem ocorrer frequentemente em bases de dados devido a falhas nos programas v rus ou outros problemas t cnicos Os dados podem ser corrompidos por exemplo por uma falha de energia Transac es que n o foram devidamente terminadas podem afectar todo o estado de integridade da base de dados Para al m disto a redund ncia de dados pode ser perigosa pois pode propiciar o aparecimento de inconsist ncias e permitir por exemplo diferentes tipos de tratamento do paciente dependendo da pesquisa na ba
225. ocol 133 mecanismos de valida o por autoridades acreditadas para o efeito As aplica es usam ISCL para aceder ao sistema de distribui o e gest o de chaves ex smart cards As implementa es em conformidade dever o adoptar um ou mais perfis de gest o de sistemas de seguran a Tabela 4 que poder o ser observadas em detalhe nos anexos de A a E do documento analisado 20 ao qual se segue uma descri o resumida Tabela 4 Perfis de Gest o de Seguran a Perfil Uso de Perfis de Seguran a Perfis de Seguran a no Transporte e Conex o Perfil de Assinatura Digital AD Perfil de Media Storage Security Perfil de Gest o do Endere amento da Rede Perfil de Sincroniza o das Horas Perfil de Gest o da Configura o das Aplica es Perfil N vel B sico de Confidencialidade das Aplica es Sub Perfil Online Electronic Storage Secure Basic Digital Signatures Secure Bit Preserving Digital Signatures Secure Basic TLS Secure Transport Connection ISCL Secure Transport Connection AES TLS Secure Transport Connection Base RSA Digital Signature Creator RSA Digital Signature Authorization RSA Digital Signature Basic DICOM Media Security Basic Network Address Management Basic Time Synchronization Application Configuration Management Basic Application Level Confidentiality AES Advanced Encriptyon Standard 85 RSA Rivest Shamir Adlema
226. ol ticas e privil gios de acesso e manipula o da informa o clinica por perfil de utilizador 1 quem deve aceder e a que dados podem aceder arquitectura de uma PKI adequada sa de arquitectura para o registo cl nico nico do paciente em Portugal Processo Cl nico Electr nico nico estudo de casos legisla o normaliza o e arquitectura estrat gias e pol ticas pormenorizadas para os sistemas de informa o da sa de em Portugal tento como refer ncias casos de sucesso no mundo normaliza o e compatibiliza o dos sistemas de informa o cl nica em Portugal com tecnologias e normas internacionais na rea da sa de como o HL7 e especialmente o HIPAA implementa o do VoIP na RIS de forma segura e com garantias de QoS reestrutura o dos sistemas de informa o cl nica com vista utiliza o massiva de solu es m veis altera o da legisla o que regula os dados cl nicos no sentido de dar resposta s necessidade actuais 123 GLOSSARIO IPsec Internet Protocol Secure O protocolo IPsec oferece para ambientes TCP IP mecanismos de seguran a autentica o e encripta o ao nivel IP Para mais informa o RFC 2401 Anti spam O termo SPAM usado para se referir aos e mails nao solicitados que geralmente sao enviados para um grande numero de pessoas O uso se filtros anti spam permite filtrar a entrada desses e mails nao desejados Antivirus Os programas de antiv
227. om iniciaram a constru o da vers o 4 do EDIFACT com a sintaxe ISO 9735 Na Europa o Western European EDIFACT Board WE EB coordena as actividades de 10 grupos respons veis pelo desenho de mensagens para diferentes campos de aplica o inclusive na rea m dica Suportam o desenvolvimento de projectos nomeadamente TEDIS projects Data interchange and the information services ENVI D I Project Environmental Data Interchange A norma ISO 9735 Electronic Data Interchange For Administration Commerce and Transport EDIFACT Application level syntax rules define uma metodologia de constru o de mensagens EDI que cont m dados seguros ou encriptados Os algoritmos usados s o DES IDEA RSA RIPEMD 160 etc Utiliza esquemas de assinatura digital As partes da norma que tratam as quest es de seguran a s o 161 A Part 5 Security rules for batch EDI Authenticity integrity and non repudiation of the origin especifica a sintaxe e regras de seguran a EDIFACT Fornece um m todo para endere ar n veis de mensagens pacotes n vel de seguran a no interc mbio de mensagens autentica o integridade e n o rep dio da origem das mensagens em concord ncia com os mecanismos de seguran a A Part 6 Secure authentication and acknowledgement message Message type autack define a seguran a autentica o e reconhecimento de mensagens AUTACK AUThentication and ACKnowledgement A Part 7 Security ru
228. om o equipamento m dico Os recursos e instala es cr ticas ou sens veis devem ser mantidos em reas seguras protegidas por um per metro de seguran a definido com barreiras de seguran a e controlo de acesso fisicamente dever o estar protegidos de acesso n o autorizado danos ou interfer ncia A entrada e sa da nestas reas ou partes dever o ser automaticamente registadas com data e hora o que ser depois verificado periodicamente pelo respons vel pela gest o de seguran a da informa o Para al m disto o acesso aos componentes da infra estrutura actividade fundamental ao funcionamento dos sistemas das institui es como quadros de energia comunica es e cablagem dever ser restrito a pessoal autorizado Devem ser instalados e testados regularmente sistemas de detec o de intrusos de forma a cobrir os ambientes por exemplo portas e janelas acess veis onde ocorrem processos de sa de cr ticos 5 1 4 Requisitos de seguran a do ambiente l gico A informa o de sa de deve ser protegida de acordo com o seu valor fragilidade e criticidade Para tal deve ser elaborado um sistema de classifica o da informa o Os dados de sa de as informa es e os sistemas de informa o da institui o e sob sua guarda devem ser protegidos contra amea as e ac es n o autorizadas acidentais ou n o de modo a reduzir riscos e garantir a integridade sigilo e disponibilidade desses bens As viola es de seg
229. omover a harmoniza o das normas A norma Guide for EDI HL7 Communication Security fornece uma estrutura de seguran a para a comunica o electr nica de dados EDI ponto a ponto baseada em mensagens HL7 baseada num modelo comum de seguran a e apresenta uma vista por diferentes n veis de grupos de utilizadores Este guia especifica os servi os internos de seguran a necess rios para fornecer seguran a nas comunica es entre SIS Os servi os externos de seguran a como s o os servi os fornecidos por uma Terceira Parte de Confian a TTPs Trust Third Parties destinam se a facilitar as rela es de confian a envolvidas nas comunica es Considerando os diferentes n veis de utilizadores os mecanismos especificados e os detalhes da implementa o poder o ser usadas diferentes infra estruturas de seguran a tais como chaves p blicas ou infra estruturas de chave sim trica ou usar diversos protocolos de comunica o em diferentes n veis tais como HTTP SMTP ou FTP Estas especifica es de arquitectura aberta e flex vel permitem proteger os SIS das amea as seguran a Com vista a proteger os SIS das amea as seguran a ex masquerading manipula o de dados manipula o da origem dos dados rep dio etc e dos riscos a que est o expostas alguns servi os de seguran a oferecem autentica o e confidencialidade enquanto que outros servi os tais como Integridade ou Autenticid
230. omunica es disponibilizou tanto novas oportunidades como amea as e vulnerabilidades presta o de cuidados de sa de Com o uso alargado da telemedicina mais f cil e mais r pido comunicar entre institui es de presta o de cuidados m dicos e respectivos profissionais de sa de para troca de opini es e conhecimento Comunica es de dados eficientes e efectivas s o vitais para os sistemas de gest o de sa de devido necessidade imperativa de partilha de informa o pelos profissionais de sa de As redes de computadores tornaram se largamente usadas porque permitem estas comunica es da forma r pida e f cil e podem agregar diferentes tipos de dados e tecnologias No entanto elas tamb m podem ser a fonte de uma grande diversidade de amea as seguran a e apresentam diversas vulnerabilidades e falhas Todos estes problemas nunca podem ser totalmente solucionados porque a tecnologia est a evoluir t o rapidamente que as solu es de seguran a n o acompanham o ritmo Um volume cada vez maior de bases de dados de cuidados de sa de t m que ser suportadas por boas infra estruturas de comunica es tecnologias e programas para que em qualquer situa o possam ter o melhor desempenho poss vel Ao mesmo tempo devem fornecer uma troca e armazenamento seguro da informa o de acordo com as necessidades dos sistemas de informa o m dica Melhoramentos tal como o uso de tecnologias web para fornecer aplica es mais f
231. ontrolar e fiscalizar o cumprimento das disposi es legais e regulamentares em mat ria de protec o de dados pessoais e apoia a elabora o de c digos de conduta como refere a Lei 67 98 de 26 de Outubro para a Protec o de Dados Pessoais no artigo 32 18 O principal objectivo da CNPD controlar e inspeccionar o processamento de dados pessoais no que se refere aos direitos garantias e liberdades constitu dos na lei portuguesa Toda a regulamenta o legisla o da responsabilidade desta comiss o e relacionada com a protec o de dados pessoais poder ser encontrada no seu s tio web 138 2 8 1 C digos de Conduta Nas organiza es comum serem adoptados c digos deontol gicos ou c digos de conduta ou ticos que permitem inserir regras morais pelas quais o profissional deve reger a sua actividade Um exemplo a deontologia m dica 11 Neste mbito no sentido de garantir a confian a e privacidade dos pacientes e dar qualidade ao seu atendimento surgem entidades cuja actividade providenciar normas de conduta ou tica Existem sistemas auto regulat rios que cont m suporte legal como o exemplo da Prescription Medicines Practice Authority 12 do Reino Unido que em conjunto com a entidade governamental Medicines Control Agencie 13 trabalha no sentido de regular todos os aspectos da prescri o de medicamentos Distingue se ainda duas entidades uma na Europa e outra nos 4 CNPD Comis
232. oos eae iis cas ara nada TIS SE ee cate O Ap DR ig ame ts 118 6 CONCLUSOES FINAIS oras 2s es he a sete eee 2 cunts Ca a AE aaa 121 GOSS ARO uses sr siri a A tl dA eaten tl seedy 124 REFER NCIAS ias na edad dev a nln desta nda cnt auh gues dixie sue nee 127 Anexo A Normas e Sistemas de Classifica o e Codifica o cccccccscccsssceeesscecsseeeesseceesseeeenes 131 Anexo B Componentes de uma Arquitectura de Infra estruturas de Chaves Publica 173 Anexo C Grelha de Avalia o dos Aspectos de Seguran a num Sistema de Informa o Cl nica 177 xii INDICE DE FIGURAS Figura 1 Representa o F sica da eSatide eescsscsssscseseeceesceseceseeseecessceceecceseeeseeeeenesene 1 Figura 2 Representa o L gica da eSa de ss cscccssiciedacstevsaveisceissncesccssnvvondsdescsetasencdsesnevesta nies 1 Figura 3 Modelo de Seguran a dos Sistemas de Informa o Cl nica 3 Figura 4 Representa o da rede inform tica da Satide eee eeeeseeseeeeceseceeecneeeseeeeeseeeaees 26 Figura 5 Modelo do Sistema de Informa o do Servi o Nacional de Sa de 50 Figura 6 Arquitectura do sistema de registo cl nico electr nico sssessessssseseesesseseseesetes 52 Figura 7 Esquema Geral da Espinha Dorsal da RIS 63 Figura 8 Arquitectura da Infra estrutura de Rede ee ceeeesecsceeneeseceeeceseceeecaeeeneeeeeeeeenees 65 Figura 9
233. orreio electr nico seguro atrav s dos padr es S MIME ou PGP uso de SSH para o estabelecimento de um canal seguro para transfer ncia de ficheiros ou de outros protocolos acesso a servidores seguros atrav s do protocolo S HTTP que permite o estabelecimento de sess es seguras de troca de informa o Al m disto existem ainda ferramentas 2l VLANs Virtual Local Area Network Uma rede local virtual uma rede logicamente independente V rias VLANs podem coexistir num mesmo comutador switch Um outro prop sito de uma rede virtual restringir acesso a recursos de rede DMZ DeMilitarized Zone ou Zona Neutra corresponde ao segmento parcialmente protegido que se localiza entre redes protegidas e redes desprotegidas e que cont m todos os servi os e informa es para clientes ou p blicos 2 Certificados Digitais Um certificado digital pode ser definido como um documento electr nico assinado digitalmente por uma terceira parte confi vel que associa o nome e atributos de uma pessoa ou institui o a uma chave criptogr fica p blica 2 Kerberos um protocolo de autentica o especificado no RFC 1510 SET Secure Electronic Transactions um conjunto de protocolos e mecanismos de seguran a que permite a realiza o de transac es seguras com cart o de cr dito atrav s da internet S MIME Secure Multipropose Internet Mail Extensions Para mais informa o RFCs 2311 e 2312
234. os Hospitais realizado pela CNPD aos Hospitais em 2004 93 que retrata o estado actual dos sistemas de informa o na sa de em Portugal Algumas das conclus es desse relat rio mostram que a Lei da Protec o de Dados Pessoais n o suficiente para garantir a seguran a e confidencialidade dos dados pessoais Nesse documento foi dada particular aten o s aplica es que interagem com o m dico no que toca ao respeito pela privacidade dos pacientes por vezes n o usam qualquer mecanismo de autentica o n o fazem separa o l gica entre dados administrativos e de sa de etc e no que afecta a integridade dos dados por vezes n o s o feitas c pias de seguran a ou n o existe suporte alternativo em caso de perda acidental dos dados etc As grandes conclus es resultantes da an lise do relat rio merecem ser aqui resumidas cerca de 50 das institui es n o informa a CNPD do tratamento de dados pessoais dos pacientes na generalidade n o obtido consentimento informado dos pacientes para a recolha e tratamento dos dados pessoais verifica se um generalizado incumprimento da lei no que diz respeito utiliza o dos dados cl nicos em investiga o cient fica pedido de autoriza o CNPD para este tipo de utiliza o Tamb m ficou claro que pelo facto do processo cl nico tamb m se encontrar em suporte papel por mais esfor os que sejam feitos existem riscos de a informa o cl nica ficar acess
235. os hospitais Permitem ao enfermeiro registar interven es que resultam das prescri es m dicas registar fen menos interven es de enfermagem criar o plano de trabalho entre outras A utiliza o destes m dulos quer nos hospitais quer nos centros de sa de n o est disseminada A aplica o SAM em alguns hospitais utilizada como registo cl nico electr nico departamental e n o hospitalar Na Figura 5 podemos observar de uma forma global as principais aplica es de registo cl nico existentes no SNS infra estruturas de rede e principais fluxos de informa o interinstitucionais 49 Hospital SAM SAPE Unida Centro Sa de SAM SAPE Marca o i Remota Consultas eN S NUS Figura 5 Modelo do Sistema de Informa o do Servi o Nacional de Sa de Para facilitar o acesso aos cuidados de sa de foi criado o Cart o do Utente sendo o IGIF a entidade respons vel pela sua gest o Permite identificar cada cidad o perante o SNS e outras entidades de forma inequivoca As comunica es inter institucionais s o realizadas atrav s da RIS e numa vis o mais alargada atrav s da Internet A RIS constitu da e gerida pelo IGIF uma rede multim dia de telecomunica es privada do MS interligando as diversas redes locais das institui es as quais por sua vez interligam internamente os computadores de cada institui o A RIS apresenta se actualmente como uma das
236. os profissionais envolvidos por exemplo administrativos enfermagem e m dicos e amplamente divulgada atrav s da institui o garantindo que todos a conhe am e cumpram 97 Um programa de sensibiliza o sobre seguran a da informa o em geral dever ser elaborado para assegurar que todos os profissionais sejam informados sobre os potenciais riscos de seguran a a que est o sujeitos os sistemas e actividade da institui o Especificamente os utilizadores devem estar informados sobre ataques t picos de engenharia social e de como se proteger deles Os procedimentos dever o ser documentados e implementados para garantir que quando os profissionais de sa de contratados ou prestadores de servi os s o transferidos dispensados promovidos ou demitidos todos os privil gios de acesso aos sistemas informa es e recursos sejam devidamente revistos modificados ou revogados Deve existir um mecanismo de armazenamento centralizado para manuten o de rastos registos de logs e outras notifica es de incidentes Estes mecanismos dever o ser inclu dos nas medidas a serem tomadas pelo grupo respons vel pela seguran a e integrados nas medidas de defesa activa e correctiva da institui o O processo de gest o de riscos deve ser revisto periodicamente pela institui o para prevenir riscos inclusive aqueles com origem nas novas tecnologias com o objectivo de elaborar planos de ac o apropriados para protec o aos componente
237. ou sistemas biom tricos A norma especifica um conjunto de requisitos referentes gest o de utilizadores Identifica o e autentica o nica Identifica o e autentica o antes de qualquer interac o Associa o de identifica o nica do utilizador Manuten o da identidade dos utilizadores activos Manuten o de logs N o fornecer qualquer facilidade de partilhas de senhas As senhas dever o ser armazenadas no sistema de forma cifrada O sistema deve fornecer mecanismos de altera o da senha Altera o de senhas de sistema por defeito Temporiza o de validade de senhas Complexidade da senha etc ENV 13729 A norma ENV 13729 Secure User Identification for Healthcare Strong Authentication using Microprocessor Cards SEC ID CARDS orientada para a identifica o segura do utilizador nos SIS Autentica o forte atrav s do uso de cart es profissionais de sa de e certificados digitais 145 A norma define um modelo gen rico de autentica o em que o utilizador est equipado com chipcard pessoal neste contexto designado cart o profissional de sa de e utiliza um protocolo cifrado A Figura 27 descreve o processo de autentica o do utilizador abe User Identification User Authentication User 5 identifier Figura 27 Modelo de autentica o No processo de autentica o verificado o pedido de identifica o do utilizador baseado na informa o de autentica o vinda do
238. para o PCR nico Processo Cl nico Electr nico A adop o do norma DICOM pelos fabricantes de equipamentos de imagem m dica abriu uma nova perspectiva sobre a qualidade dos servi os hospitalares permitindo que os dados relativos ao utente sejam disponibilizados de uma forma r pida e segura em qualquer ponto da institui o ou do mundo A parte da norma PS 3 15 Perfis de Seguran a especifica um conjunto de orienta es referentes a perfis para gest o de sistemas e seguran a no documento Part 15 Security and System Management Profiles 20 Em sistemas que usam a norma DICOM como protocolo de comunica o perfis para gest o de sistemas de seguran a s o definidos por referenciais externos e normas existentes tais como TLS ISCL DHCP e LDAP Estes referenciais utilizam t cnicas de seguran a como chaves p blicas e smart cards A encripta o dos dados pode usar v rios esquemas normalizados de encripta o No mbito do campo de aplica o esta norma providencia mecanismos que possam ser usados para implementar uma politica de seguran a tendo em aten o a comunica o de objectos DICOM entre aplica es Esta norma assume que para estabelecer acessos seguros s aplica es usado o protocolo TLS e certificados digitais Adicionalmente os certificados s o validados atrav s de 81 TLS Transport Layer Security 2 DHCP Dynamic Host Configuration Protocol 83 LDAP Liightghtwe Directory Access Prot
239. pendem da natureza do meio f sico utilizado Por exemplo em meios f sicos em cobre por exemplo par entran ado s o relativamente f ceis de derivar desviar escutar interromper ou danificar A execu o de deriva es em fibra ptica j n o t o f cil por exigir a interrup o da fibra para inser o de um derivador ptico Por outro lado este tipo de meio f sico f cil de bloquear interromper ou danificar N o poss vel a escuta pelo facto de que luz utilizada na transmiss o pr ximo do vis vel n o ser suscept vel de medi o do campo electromagn tico No caso de utiliza o de meios sem fios ataques por escuta ou bloqueio s o bastante f ceis de executar j que estes meios s o bastante sens veis s condi es de propaga o e portanto est o acess veis a qualquer dispositivo localizado na rea do alcance da rede sem fios No caso de a escuta sniffing ser bem sucedida a informa o pode ser lida directamente ou descodificada muitas vezes com sucesso recorrendo a software livremente dispon vel Os principais objectivos neste tipo de ataque s o normalmente a captura de senhas que estejam a circular em claro e o acesso a informa o por exemplo nomes de pessoas que permita outro tipo de ataques por exemplo do tipo de engenharia social ver descri o mais frente O ataque de escuta representa uma s ria amea a seguran a pois pode comprometer a confidencialidade dos dado
240. plementar novos sistemas de informa o tem sido poss vel perceber a aus ncia de coer ncia dos dados de enfermagem com a situa o diagn stico do doente situando se estes apenas na descri o das actividades desenvolvidas na pr tica cl nica Logo tudo o que favore a a produ o de informa o relacionada com a situa o do doente relevante e oportuno Para al m dos sistemas de classifica o e codifica o referidos importa ainda salientar a tecnologia XML que oferece aos utilizadores a possibilidade de criar documentos com dados cl nicos organizados de forma hier rquica de uma forma simples e estruturada 130 XML Extensible Markup Language Para mais informa o ver RFC 3076 171 Anexo B Componentes de uma Arquitectura de Infra estruturas de Chaves Publica O n cleo de uma infra estrutura PKI Public Key Infrastructure baseia se em quatro servi os de seguran a registo certifica o chave e direct rio que incluem um conjunto de componentes acess rios sendo de real ar a recupera o de chaves o sistema cruzado de certificados e o servi o de selos temporais Os elementos que comp em esta estrutura caracterizam se por um conjunto de fun es espec ficas que interligadas permitem realizar o objectivo da PKI 3 S o eles 2 1 Registo e Certifica o As Autoridades de Registo Registration Authority AR s o respons veis por guardar e verificar toda a informa o que a CA pr
241. por exemplo dispositivos como token cart o inteligente etc algo que o utilizador leitura da ris linhas das m os Para disponibilizar uma autentica o mais segura duas ou mais destas t cnicas dever o ser usadas num s momento dependendo tamb m do grau de seguran a exigido pelo sistema 2 3 1 Amea as Seguran a e Vulnerabilidades A forma mais comum de executar o processo de identifica o e valida o de um utilizador referido anteriormente como algo que o utilizador sabe exigir identifica o nome utilizador identifica o e senha autentica o para permitir o acesso Este m todo f cil implementar e pode fornecer n veis de acesso informa o que comp e os registos cl nicos Uma das amea as mais importantes que este tipo de sistema enfrenta a chamada engenharia social Este tipo de amea a bastante f cil de concretizar e por vezes d ao atacante tudo o que ele precisa de saber sem muito trabalho Uma forma habitual de ac o um atacante fingir ser um administrador de rede telefonando a uma pessoa menos informada exigindo nome utilizador senha para solucionar um suposto problema Isto pode parecer simples mas pode ser muito eficaz Hoje em dia num ambiente de presta o de cuidados de sa de grande parte dos utilizadores n o tem conhecimentos para solucionar quest es t cnicas por isso facilmente fornecem a informa o exigida sem sequer pensar duas vezes No que diz
242. por finalidade estabelecer orienta es gen ricas que dever o ser adoptadas pelas institui es que integram o MS e dever o ser embebidas noutros processos das organiza es TICs Tecnologias de Informa o e Comunica es 9 ECEE Entidade Certificadora Electr nica do Estado Foi criada em 2005 atrav s da Resolu o do Conselho de Ministros n 171 2005 de 03 11 S rie I B n 211 55 96 5 1 Proposta de Politica de Seguran a Inform tica para o Minist rio da Saude Uma boa pol tica de seguran a inform tica uma directiva importante no sentido de proteger as institui es contra amea as seguran a da informa o que lhes pertence ou que est sob a sua responsabilidade por exemplo informa o cl nica do paciente Uma amea a seguran a compreendida neste contexto como a quebra de uma ou mais das suas propriedades fundamentais a confidencialidade integridade e disponibilidade Alguns factores importantes para o sucesso desta pol tica de seguran a s o o envolvimento e apoio por parte dos conselhos de administra o das institui es para al m de que todos os utilizadores devam tomar conhecimento e manifestar a sua concord ncia em submeter se a ela antes de obter acesso aos recursos inform ticos O objectivo desta pol tica de seguran a n o definir procedimentos espec ficos de manipula o e protec o da informa o cl nica mas sim atribuir direitos e responsabilidade
243. presenta os seguintes problemas se as chaves s o geradas no ambiente de trabalho e guardadas de forma segura h suporte ao n o rep dio mas n o ha c pias de seguran a problema de 174 c pias de seguran a e recupera o de chaves Se forem geradas centralmente e arquivadas para evitar o problema anterior n o ha suporte ao n o rep dio Desta forma temos um conflito entre n o rep dio e c pia de seguran a de chaves Uma solu o poss vel a utiliza o de dois pares de chaves Dual Key Pair em que ha chave privada de assinatura chave p blica de verifica o chave p blica de cifra chave privada para decifrar O par de chaves de assinatura gerado localmente A chave de assinatura deve ser bem guardada O par de chaves de cifra gerado e guardado centralmente e guardados backup de chaves Outra solu o proteger no servidor o certificado com uma passfrase que o utilizador deve memorizar e que n o deve ficar registado pelo sistema Em termos de seguran a uma solu o de compromisso entre seguran a e praticabilidade Servi o de Mobilidade os utilizadores devem poder usar as suas chaves em locais diferentes o que coloca a quest o da mobilidade Algumas solu es passam pelo uso de smart cards USB token ou solu es de roaming Certifica o Cruzada a confian a centralizada numa dada CA n o compat vel com a natureza humana nem com os modelos organizacion
244. procedimentos m dicos por idade ou sexo Geralmente os dados para an lise s o disponibilizados pelos profissionais de inform tica No sistema tipicamente apenas possuem privil gios para visualizar alguma informa o Inform ticos T m acesso ao sistema com perfil de gestor permitindo lhe executar tarefas de manuten o por exemplo gerir utilizadores e c pias de seguran a Apenas eles tem acesso base de dados de forma a executar pesquisas directamente nas tabelas com o intuito de corrigir alguns problemas rep r a consist ncia ou integridade dos dados de facilitar a investiga o m dica ou eliminar informa o redundante relacionada com os pacientes No entanto por exemplo o acesso aos dados cl nicos via m dulo do SAM ou SAPE lhes restringido Como podemos observar na tabela anterior os diferentes grupos profissionais possuem diferentes n veis de privil gios no acesso e manipula o da informa o cl nica Mesmo dentro do mesmo grupo de utilizadores por exemplo administrativos existem diferentes perfis de acesso de acordo com as suas fun es ou departamento no qual se integram Por exemplo um utilizador que desempenha fun es na rea da consulta externa poder ter acesso ao perfil de consulta mas mesmo dentro do perfil podem ainda existir sub n veis ou restri es configurados de acordo com as fun es desempenhadas Como foi anteriormente referido para al m da fragilidade do mecanismo de ident
245. processamento de linguagem natural por exemplo a partir de texto livre introduzido o sistema retira informa o codificada introdu o de informa o estruturada de forma din mica e adaptada a cada utilizador monitores de alta defini o por exemplo para visualiza o de imagem m dica redes inform ticas de grande velocidade utiliza o de equipamento port til para introdu o e visualiza o dos dados cl nicos por exemplo PDAs Tablet PC nova gera o PDA mini PC telem vel incorpora o de sistemas de monitoriza o nos registos cl nicos por exemplo monitoriza o cont nua em unidades de cuidados intensivos sistemas de apoio decis o cl nica na tomada de decis es de diagn stico e de terap utica nos cuidados a pacientes Este sistemas consistem numa base de conhecimento e num mecanismo de infer ncia e que utilizando dados cl nicos recolhidos geram recomenda es espec ficas para cada caso espec fico 92 Algumas tecnologias que poder o emergir no futuro s o a Realidade Virtual em Medicina que passa pela cria o de modelos m dicos virtuais de forma gr fica onde os m dicos podem praticar situa es reais e a Rob tica M dica que passa pelo uso de rob s para realizar cirurgias dist ncia Atrav s da Internet come a a esbo ar se a forma o de uma nova estrutura de interac o entre pessoas e m quinas o ciberespa o m dico Com o uso dos recursos da Internet o correio elec
246. projects myheart P gina do projecto MyHeart Jan 06 108 http Awww mobihealth org Projecto que visa o desenvolvimento de novos servi os e Jan 06 aplica es na rea da sa de m vel 114 http www cartaodocidadao pt images stories relatorio prova conceito zip Relat rio Prova do Conceito Jan 06 122 http opengroup org Disponibiliza ferramentas para criar uma PKI Dez 05 129 124 http www sun com software solaris pam Modulo PAM da Solaris Fev 06 http www softpanorama org Authentication pam shtml Fev 06 http www fca pt livros html downloads 316_8asi_p2 pdf Fases implementa o de um Plano de Seguran a Dez 05 http www ptinovacao pt noticias 2003 out 205atelemedic htm Telemedicina em cardiologia Pediatrica Out 05 http www ccr norte pt outrosic inteitia php Pagina do programa ITERREG IIL Dez 05 http www jornaldoalgarve pt artigos asp varNumero 5087 Projecto Telemedicina Algarve http www cnpd pt bin legis leis_nacional htm Legisla o portuguesa relacionada com a protec o de dados http www ehto org http Awww med kyushu u ac jp info std archives cat_isotc215 html Directorio de standards na area Informatica M dica Fev 06 Engenharia de Redes Inform ticas Emundo Monteiro Fernando Boavida ISBN 972 722 _ Arquitecturas tecnologias e equipamentos aspectos de gest o Dez 05 203 X metodologias e projecto
247. putador e apagar ou alterar dados Se um computador tiver fun es de gest o de uma rede o seu mau funcionamento pode ter s rias consequ ncias Um v rus uma forma de software malicioso um programa que reproduz o seu pr prio c digo introduzindo se noutros programas de modo que o c digo do v rus executado quando o programa infectado executado Os v rus podem ser muito destrutivos como revelam os altos custos associados a alguns ataques recentes por exemplo I Love you Melissa e Kournikova Este problema pode afectar rapidamente toda a rede Infec es por v rus podem ser facilmente adquiridas atrav s da rede nomeadamente via correio electr nico ou transfer ncia de ficheiros Existem v rios outros tipos de software malicioso alguns causam danos apenas no computador em que foram copiados e outros difundem se para outros computadores em rede Por exemplo h programas denominados bombas l gicas que se mant m em hiberna o at serem activados por um evento como uma data espec fica por exemplo sexta feira 13 Outros programas conhecidos como Cavalos de Tr ia aparentam ser benignos mas quando utilizados lan am um ataque malicioso Outros programas denominados vermes n o infectam os restantes programas como os v rus mas criam r plicas de si pr prios que por sua vez continuam a reproduzir se at afogar o sistema 30 Outra quest o relacionada com a seguran a
248. r A Internet foi concebida para maximizar a flexibilidade no encaminhamento dado que tal reduz a probabilidade de o servi o se perder caso uma parte da infra estrutura da rede fique inoperante N o existem meios eficazes para tornar seguros os protocolos de encaminhamento especialmente nos encaminhadores da espinha dorsal O volume de dados transmitidos n o permite uma filtragem pormenorizada pois uma verifica o deste tipo praticamente obrigaria paragem das redes Por este motivo as redes s executam fun es b sicas de filtragem e controlo do acesso sendo as fun es de seguran a mais espec ficas por exemplo a autentica o a integridade e cifragem executadas nas fronteiras das redes ou seja nos terminais e nos servidores de rede que funcionam como pontos terminais Para fazer face execu o de software malicioso a principal defesa consiste na utiliza o de software antiv rus dispon vel sob v rias formas Por exemplo os detectores e desinfectantes de v rus identificam e eliminam os v rus conhecidos O seu ponto fraco principal reside no facto de dificilmente fazerem frente aos novos v rus mesmo quando actualizados periodicamente Outro exemplo de defesa antiv rus o verificador de integridade Para infectar um computador um v rus deve introduzir altera es no sistema A verifica o de integridade poder identificar essas altera es mesmo quando s o causadas por v rus desconhecidos Apesar da exist
249. r na investiga o auxiliar na forma o m dica Em termos pr ticos a distin o entre sistema de informa o cl nica processo cl nico electr nico e registo cl nico electr nico diminuta pelo que todos eles ser o usados de uma forma indiferenciada daqui para a frente 2 1 2 Aspectos de Seguran a Os aspectos de seguran a s o essenciais e complementares aos sistemas de informa o cl nica devendo a sua conjun o ser feita em fun o das necessidades espec ficas da rede do sistema de informa o ou do ambiente de que se trata A confidencialidade privacidade ou sigilo a garantia de que os dados dos pacientes s o protegidos e n o s o disponibilizados ou divulgados sem autoriza o pr via do paciente Os aspectos de disponibilidade garantem que mesmo ap s a ocorr ncia de ataques rede ou ao sistema inform tico os recursos chave ficam dispon veis Este aspecto essencial em sistema de emerg ncia ou cuidados intensivos Em muitos casos mais importante do que garantir a confidencialidade da informa o que est a ser veiculada ou armazenada garantir que essa informa o n o corrompida Os aspectos de integridade abordam este tipo de problem tica da seguran a dos registos do paciente 6 Outras propriedades como a legitimidade e autenticidade est o a tomar import ncia relevante na medida em que aumenta a transac o de informa o por todo o mundo Em muitas destas
250. r vedado e revogadas as credenciais e todos os mecanismos de acesso f sicos ou l gicos por exemplo crach por eles antes utilizados Deve se definir a forma de apresentar aos colaboradores e prestadores de servi o a pol tica de seguran a da informa o e as normas e procedimentos relativos ao tratamento da informa o e ou dados sigilosos com o prop sito de desenvolver e manter uma efectiva sensibiliza o de seguran a assim como instruir o seu fiel cumprimento b Responsabilidades dos funcion rios Em geral todos os profissionais t m o dever de preservar a integridade e guardar sigilo da informa o de que fazem uso bem como zelar e proteger os respectivos recursos de processamento de informa o cl nica sob pena de incorrer nas san es disciplinares e legais aplic veis Devem utilizar os sistemas de informa es das institui es e os recursos a elas afectos somente para os fins previstos n o devem partilhar sob qualquer forma informa es confidenciais com outros que n o tenham a devida autoriza o de acesso em particular informa o cl nica dos pacientes devem manter o car cter sigiloso da senha de acesso aos recursos e sistemas podendo vir a ser sujeitos a responder por todo e qualquer acesso indevido aos recursos da institui o efectuados atrav s do seu c digo de identifica o 99 Em caso de tomarem conhecimento de qualquer irregularidade ou desvio que possa levar a quebras de seguran
251. ra al m da exist ncia de mecanismos que garantam a disponibilidade e confidencialidade da informa o cl nica tamb m muito importante a exist ncia de mecanismos que garantam a sua integridade Para garantir a integridade dos registos cl nicos necess rio por exemplo garantir o controlo de erros de introdu o ou altera es n o autorizadas dos dados e a seguran a nas comunica es 4 2 2 O Processo Cl nico Electr nico Integrado Multim dia Com o processo cl nico electr nico nico pretende se criar um sistema de informa o integrado do processo cl nico electr nico em que a identifica o do utente nica a n vel nacional e at internacional e onde se pode ter interoperabilidade entre os diferentes organismos de sa de 80 hospitais centros de sa de lares consult rios particulares farm cias laborat rios pacientes etc transaccionando de forma segura a informa o dos pacientes e disponibilizando a onde e quando for necess ria Pretende se que seja um sistema de interface amig vel de suporte actividade dos profissionais de sa de e que represente um ponto nico de acesso ao sistema de informa o cl nica em Portugal por exemplo atrav s do Portal da Sa de Um dos poss veis cen rios seria a centraliza o dos registos cl nicos do paciente numa base de dados nacional ou uma por regi o numa primeira fase que contivesse os dados sobre a informa o cl nica que os pacientes
252. rantam a protec o dos dados pessoais contra o acesso a divulga o e a manipula o n o autorizados 4 2 Sistema de Informa o Cl nica Integrado No mbito do Plano Estrat gico de Sistemas de Informa o para o SNS Servi o Nacional de Sa de atrav s do projecto Sistema de Informa o Integrado da Presta o de Cuidados de Sa de o IGIF pretende dar uma nova abordagem s tecnologias de informa o e comunica o para a sa de Os princ pios b sicos deste plano s o multiplicidade nas formas de acesso oferta integrada de servi os solu o padronizada plataforma integradora gest o e explora o centralizada das tecnologias de informa o e comunica o 4 2 1 O Data Center da Sa de As aplica es SONHO e SINUS desenvolvidas sobre uma plataforma descontinuada representam no contexto actual de necessidade de partilha de informa o um risco para as institui es O IGIF pretende na sua estrat gia criar um sistema de informa o integrado de presta o de cuidados de sa de ver Figura 9 estando j em curso o processo na rea dos cuidados de sa de prim rios a evoluir posteriormente para a rea hospitalar 78 SISTEMA INTEGRADO CUIDADOS DE SAUDE Sistema Clinico Administrativo Especi Labdofa Sistemas Auxiliares GZ M dulo a converter mbito Fase I Cuidados Primarios C M dulo a converter fase II M dulos espec ficos Cuidados Especializados Henan
253. raz o que as regras t m de ser aplicadas na medida do necess rio concedendo os privil gios estritamente necess rios para executar as suas tarefas correctamente e nada mais A forma o a autentica o forte e tamb m a encripta o podem ajudar a assegurar que estas regras sejam seguidas especialmente quando s o usadas redes sem fios Uma lista completa e actualizada de equipamentos bem como de pessoal que usa e acede rede um documento til a manter Um dos meios de enfrentar as mencionadas amea as externas s o as firewalls As firewalls ajudam no controlo de acesso porque podem ser configuradas para terem um conjunto de regras que podem permitir ou n o alguns tipos de pacotes Este controlo pode ser feito de acordo com o servi o utilizador e comportamento Como existem v rios tipos de firewalls necess rio seleccionar o mais adequado para o n vel de controlo exigido Firewall Um firewall ou barreira corta fogo um equipamento colocado na zona fronteira de uma rede cujo objectivo principal o controlo de acessos n o autorizados oriundos de outras redes por exemplo a internet Especificado pelo RFC 2828 18 Antigos utilizadores da rede devem ser desactivados ou seja os utilizadores t m que ser exclu dos de todo e qualquer acesso que habitualmente detinham No que se refere seguran a f sica o controlo de acesso s instala es da institui o tem que ser assegurado adequadamente par
254. rcial Cl Classes de Aspectos a Avaliar pode se observar a forma como cada um dos par metros em an lise interage com os aspectos de seguran a Outra classe de aspectos importantes em termos pr ticos a auditabilidade do sistema tipo de utiliza o e conformidade com normas Um conjunto de aspectos agregados mas n o menos importante s o as defesas e mecanismos de cifragem e intrus o as comunica es e a documenta o 2 10 Conclus o Tal como foi referido anteriormente muito dif cil integrar os sistemas existentes com os novos pois dessa integra o podem resultar vulnerabilidades de seguran a de boa pr tica desenvolver os sistemas de registo cl nico j com preocupa es de seguran a integrada de forma a evitar que surjam problemas medida que o sistema vai crescendo Existem normas e sistemas de codifica o que poder o ser usados no processo de desenvolvimento de sistemas de informa o para a sa de Eles podem ser muito teis de forma a manter a simplicidade e efici ncia do sistema pois podem prevenir redund ncias e inconsist ncias nos dados do paciente Conhecer o sistema e os seus objectivos antes do seu desenvolvimento ou implementa o s o OS primeiros passos para a seguran a do sistema Os processos de identifica o e autentica o s o a base para muitos controlos de seguran a e procedimentos de trabalho Por isso importante definir testar e escolher os mecanismos de seguran a mais
255. receber forma o espec fica para poder enfrentar estes incidentes Um plano de ac o de resposta a incidentes dever ser estabelecido pela institui o que deve prever no m nimo o tratamento adequado dos seguintes eventos comprometimento de controlo de seguran a em qualquer evento referenciado no Plano de Conting ncia notifica o comunidade de utilizadores se necess rio revoga o dos certificados cujas chaves correspondentes tenham sido comprometidas procedimentos para interrup o ou suspens o de servi os e investiga o an lise e monitoriza o de rastos de auditoria relacionamento com o p blico e com meios de comunica o se necess rio 107 5 2 Proposta de Infra estrutura de Chaves Publicas para o Minist rio da Saude Ao longo dos ultimos anos as infra estruturas de chave publica PKI t m merecido um interesse crescente pelas suas vantagens relativas utiliza o de infra estruturas de chaves secretas para dar seguran a aos sistemas inform ticos Esta proposta assenta numa estrutura hier rquica de certifica o de chaves p blicas em que a entidade de topo seria a rec m criada ECEE a entidade certificadora associada para a rea da Sa de seria o IGIF e as institui es de forma individual ou agrupada seriam respons veis pela gest o do ciclo de certifica o interno s suas institui es Sugere se o IGIF como autoridade certificadora para a rea da Sa de porque para al m de ter um pape
256. rganiza es apresentam preocupa es na harmoniza o das normas e cooperam entre si no seu desenvolvimento e promo o e baseiam as suas recomenda es em t cnicas ou mecanismos de protec o de uso geral A maioria das normas requer revis es peri dicas devido a evolu es tecnol gicas novos m todos ou materiais ou novas exig ncias de qualidade e seguran a sendo usual uma revis o a intervalos n o superiores a cinco anos Segue se uma descri o sum ria ver Tabela 1 do conjunto de normas mais importantes do ponto de vista dos aspectos de seguran a e cujo objectivo atingir a compatibilidade modularidade e interoperabilidade entre sistemas heterog neos na rea da sa de ASTM American Society for Testing and Materials 80 CEN Comit Europ en for Normalisation 131 Nome DICOM HL7 CEN CT 251 ISO CT 215 CORBA HIPAA Tabela 1 Normas de Seguran a na rea da Inform tica M dica Designa o Org Digital Imaging NEMA Communications in Medicine Health Level Seven ANSI Comit Europ en CEN Normalisation Technical Committee 251 International Standards ISO Organization Technical Committee 215 Common Object OMG Request Broker Architecture Health Insurance USA Portability and Accountability Act mbito Uso Campo de Aplica o A norma DICOM define um conjunto de regras Internaci que permitem que imagens m dicas e informa es onal associadas se
257. rofissional Confidencialidade dos dados Existem mecanismos de garantia de confidencialidade no acesso aos dados em opera o Existem diferentes n veis de acesso aos dados em fun o do tipo de utilizador e perfil normal E em situa o de ataque Os mecanismos de protec o s o suficientemente robustos N o s o conhecidos mecanismos de protec o p ex algoritmos de cifra E no caso de acesso aos dados para estudos estat sticos ou cient ficos E criado perfil adequado com acesso restrito Integridade dos dados Existem mecanismos que permitam controlar a integridade dos dados em opera o normal Servidor com discos em mirror fonte alimenta o e placa de rede redundante Ar condicionado Acesso restrito sala de sistemas S o efectuadas diferentes tipos de c pias de seguran a di rio semanal e mensal desconhecida a exist ncia de outros mecanismos E em situa o de ataque Os mecanismos de protec o s o suficientemente robustos Os dados s o armazenados em claro Existe procedimentos de verifica o correc o e controlo de qualidade dos dados S o desenvolvidos scripts em SQL para controlo de qualidade dos dados N o fazem a verifica o da sua altera o Disponibilidade do sistema Existem mecanismos para garantir a disponibilidade do sistema em opera o normal Servidor com discos em mirror FA e placa de rede redundante Infraestrutura de rede com links em redun
258. rpreta o inteligentes 1p e Mobile terminal Home Terminal i DHCP Domain Host Control Protocol um protocolo que permite a configura o din mica de clientes de rede atribu dos endere os IP e outros par metros Especifica es RFC 2131 e 3315 89 Figura 15 Tend ncias da Telemonitoriza o Fonte Apresenta o Vencer as doen as cardiovasculares a contribui o de engenharia 105 Patent Staton w E Figura 16 Sensores integrados no vestu rio Fonte Apresenta o Vencer as doen as cardiovasculares a contribui o de engenharia 106 Por exemplo em Portugal o seu uso no apoio individualizado rotina do auto tratamento de pacientes asm ticos cr nicos seria um projecto muito interessante que permitiria manter os pacientes saud veis e evitar visitas desnecess rias aos hospitais A disponibiliza o de equipamentos port teis espir metro digital por parte do SNS sem encargos para o utente podia ser feita tal como ja acontece para outro tipo de equipamentos por exemplo nubelizador etc Uma das tend ncias em TeleHomeCare ser a sua aplica o na especialidade de TeleGeriatria no apoio ao paciente idoso Em Portugal o projecto MyHeart 105 106 107 em curso termo em 2007 que envolve v rios parceiros ind stria universidades e hospitais tem por miss o combater as doen as cardiovasculares atrav s do diagn stico precoce e pr
259. rque esta circula por diferentes locais aonde utilizadores n o autorizados t m acesso e como j foi referido os utilizadores com acesso rede interna representam uma das principais vulnerabilidades de seguran a Alguns mecanismos de seguran a tais como SSL SSH ou IPsec descritos anteriormente s o algumas op es a implementar O SSL poder ser um dos protocolos a usar para manter a seguran a do canal de transmiss o entre clientes e servidores baseados em tecnologia web Outro aspecto importante a aquisi o remota de informa o atrav s da integra o de consultas de telemedicina marca o remota de consultas e acesso ao processo cl nico do paciente no sistema As comunica es inter institucionais estabelecem se atrav s da RIS e usam os mecanismos de seguran a que as pr prias aplica es implementam ou outros que possam ser implementadas adicionalmente Por exemplo numa marca o remota de consulta entre o SINUS e o SONHO a informa o transita na rede s claras No entanto por exemplo numa consulta de telemedicina ou acesso ao processo cl nico do paciente baseado no uso de tecnologias web a informa o poder circular em canal protegido ou encriptada Aquisi o remota de informa o cl nica na casa do paciente n o est ainda considerada neste sistema Os aspectos de seguran a amea as e vulnerabilidades relacionados com a aquisi o de informa o com origem externa institui o s o basicamente as
260. rupos de trabalho sendo de real ar o trabalho desenvolvido pelo Working Group 4 WG 4 Security Este grupo de trabalho tem a seu cargo a defini o de normas para contra medidas t cnicas de modo a assegurar confidencialidade disponibilidade integridade e responsabilidade bem como os princ pios gerais para a administra o da seguran a na rea da sa de Aqui n o se introduzem novas tecnologias espec ficas da rea da sa de mas procuram se definir perfis de normas de seguran a entre sectores que sustentam os requisitos necess rios para esta rea 151 Algumas das normas desenvolvidos por este grupo podem ser observados na Tabela 7 a real ar ISO TS 17090 Public Key Infrastructure ISO WD 27799 Security management in health using ISO IEC 17799 A Tabela 7 lista algumas das normas relacionadas com a seguran a no dom nio Health Informatics 26 27 152 Tabela 7 Lista de normas de seguran a ISO TC 215 WG4 Abreviatura ISO TS 17090 2002 ISO 22857 2004 ISO WD 27799 2005 ISO TS 18308 2004 ISO TS 21091 2005 ISO 21549 2004 ISO TR 16056 2004 ISO TC 22600 Designa o Public Key Infrastructure Guidelines on data protection to facilitate trans border flows of personal health information Security management in health using ISO IEC 17799 Requirements for an electronic health record architecture EHRarchitecture Directory services for secur
261. s O controlo de acessos considerado o ponto central da seguran a dos sistemas de informa o E um mecanismo usado para limitar as ac es de utilizadores leg timos do sistema com base nas autoriza es aplic veis no momento do acesso A autoriza o estabelece os direitos no 13 acesso ao sistema isto estabelece o que permitido ou n o realizar no sistema O seu principal objectivo controlar o acesso dos seus principais intervenientes utilizadores e processos aos recursos do sistema ficheiros dispositivos perif ricos bases de dados etc Geralmente obedecendo a certas restri es os utilizadores s o identificados nos sistemas atrav s de nomes curtos por exemplo primeiro e ltimo nome iniciais ou n mero mecanogr fico do funcion rio Internamente e por raz es pr ticas o sistema pode atribuir a cada utilizador um n mero nico de identifica o A identifica o nica dos processos ou aplica es em execu o e das m quinas tamb m n o deve ser esquecido A identifica o das m quinas habitualmente identificadas pelo seu nome ou endere o IP pode ser usado para permitir acessos de forma independente da identifica o do utilizador por exemplo definindo quais as m quinas que t m acesso a determinados servi os Esta utiliza o em complemento identifica o do utilizador pode ser usada por exemplo para restringir as m quinas a que um dado utilizador tem acesso Para que este mecan
262. s o Nacional de Protec o de Dados Pessoais 38 EUA respectivamente a Health on the Net Fundation HON e a Internet Health Coalitions HCC A HON considera se a primeira institui o a introduzir um c digo de conduta para s tios web m dicos e de sa de o HONcode O HONcode define um conjunto de regras 14 que devem ser respeitadas na constru o desses s tios inclu do regras relativas confidencialidade dos dados do utente e valida o justifica o dos conselhos m dicos e da informa o fornecida Em 2000 a IHCC criou o eHealth Code of Ethics para promover um conjunto de princ pios dirigidos comunidade m dica online e que protege os direitos de quem consulta a Internet para obter informa es relacionadas com a sa de 15 A inform tica pressup e o tratamento autom tico de informa o de sa de o que em muitas situa es possibilita o acesso informa o por profissionais ligados inform tica Embora a seguran a dos sistemas imponha acessos restritivos informa o cl nica estes profissionais acabam por ter um grande contacto com a informa o de sa de por isso f cil perceber que estes profissionais de inform tica s o alvos important ssimos nas quest es tico legais Com base nestas preocupa es a International Medical Informatics Association IMIA desenvolveu um c digo de tica para profissionais na rea da inform tica m dica 16 2 8 2 Legisla o
263. s amea ados Para tal ser poss vel todos os activos das institui es devem estar inventariados classificados e os registos mantidos permanentemente actualizados Um plano de conting ncia deve ser implementado e testado pelo menos uma vez por ano para garantir a continuidade dos servi os cr ticos por exemplo sistemas de suporte de vida ou emerg ncia Devem tamb m ser definidos planos de gest o de incidentes e de ac es de resposta a incidentes Os certificados das institui es dever o ser imediatamente revogados pelo IGIF se um evento provocar a perda ou comprometimento de sua chave privada ou do seu meio de armazenamento 5 1 2 Requisitos de seguran a dos utilizadores Nesta sec o sugerido um conjunto de medidas e procedimentos de seguran a a serem observados pelos profissionais de sa de ou outros prestadores de servi o para a protec o dos activos das institui es Estas medidas visam reduzir os riscos de erros humanos furto roubo fraude ou uso n o apropriado dos activos da institui o prevenir e neutralizar as ac es sobre as pessoas que possam comprometer a seguran a da institui o orientar e dotar de compet ncias todo os profissionais envolvidos na realiza o de trabalhos directamente relacionados com os registos cl nicos do paciente assim como o pessoal em desempenho de fun es de apoio tais como a manuten o das instala es f sicas e a adop o de medidas de protec o compat ve
264. s aos profissionais de sa de que lidam com essa informa o Desta forma eles sabem quais s o as suas atribui es em rela o seguran a dos recursos inform ticos com os quais trabalham Al m disso a pol tica de seguran a tamb m estipula as penaliza es a que poder o estar sujeitos caso n o cumpram com as suas atribui es Estas orienta es servir o de base a normas e procedimentos de seguran a a serem elaborados e implementados por cada institui o considerando as suas particularidades Os objectivos da pol tica de seguran a inform tica s o definir o mbito de seguran a inform tica das institui es fornecer orienta es de seguran a s institui es para reduzir riscos e garantir a integridade sigilo e disponibilidade da informa o cl nica dos sistemas e recursos permitir a adop o de solu es de seguran a integradas servir de base para auditorias e avalia o de responsabilidades Esta pol tica de seguran a abrange os seguintes aspectos 126 requisitos de seguran a gerais humana f sica e l gica 5 1 1 Requisitos de seguran a gerais A pol tica de seguran a inform tica para o MS aplica se a todos os recursos humanos e tecnol gicos pertencentes s institui es que o comp em A abrang ncia dos recursos citados refere se tanto queles ligados s institui es em car cter permanente como aos de car cter tempor rio A pol tica de seguran a deve ser comunicada a todos
265. s do paciente em tr nsito por exemplo resultados de exames e prescri es m dicas est o permanentemente a circular na rede No entanto a grande maioria as redes locais das institui es que integram a rede inform tica da sa de em Portugal funcionam em 27 modo comutado o que reduz fortemente o problema da escuta dado que entre uma esta o terminal e um comutador s circula tr fego com origem e destino nessa esta o n o sendo vis vel noutros pontos da rede Ataques por bloqueio nega o ou indisponibilidade de servi os s o normalmente dirigidos aos servidores e aos equipamentos de comunica o com o objectivo de causar disrup o de servi os Se atingirem pontos chave podem causar consequ ncias graves ao n vel da presta o de cuidados de sa de em particular em servi os de emerg ncia ou cuidados intensivos Esta categoria abrange por exemplo ataques por dissemina o de v rus e mail bombing e ataques distribu dos DDoS Este tipo de ataques pode ter origem dentro do per metro de rede ou fora sendo extremamente dif cil de os detectar e localizar No caso do e mail bombing enviado um grande n mero de mensagens para a caixa de correio ou listas de distribui o com o objectivo de congestionar os servidores de correio electr nico as caixas de correio ou os circuitos de acesso As solu es para este tipo de problemas passam por exemplo pela instala o de filtros de correio electr nico e a u
266. s em rela o aos outros utilizadores no entanto possuem um perfil de acesso diferente Para al m destas quest es outro dos grandes problemas de seguran a deste sistema o facto de que n o existe nenhum testemunho de acesso pessoal e intransmiss vel e que impossibilite o abandono do terminal com a sess o aberta Este tipo de identifica o usado em qualquer terminal remoto independentemente de estar a ser usado num ambiente cr tico ou n o No entanto no dom nio dos sistemas de informa o cl nica cr ticos deveria ser usado a combina o de um ou mais mecanismos de autentica o em que o utilizador sabe uma senha por exemplo senha para o SONHO tem um testemunho por exemplo 5 rpc Remote Procedure Call Chamada de um procedimento remoto RFC 1057 ftp File Transfer Protocol Protocolo de transfer ncia de ficheiros RFC 959 54 um cart o inteligente para assinatura digital ou certificados digitais e reconhecido por caracter stica pr pria por exemplo ris impress o digital timbre vocal Para maior comodidade dos utilizadores a combina o do segundo processo com o terceiro permitiria a autentica o do utilizador com algo que ele tem e algo que ele sem ter de se lembrar de senhas Para al m de que n o seria poss vel partilhar as suas credenciais com outros profissionais Outro aspecto de seguran a importante est no acesso ao sistema de registo cl nico O acesso s diversas pl
267. s na utiliza o de cart es inteligentes Com o objectivo de maximizar a seguran a poder o ainda ser adoptados outros procedimentos como por exemplo efectuar registos de todas as ac es de instala o e configura o da rede verificar todas as liga es f sicas existentes na rede e desactiv las quando n o s o necess rias Dever se ainda manter um invent rio de todo o equipamento ligado rede As salas t cnicas onde se encontra o equipamento de comunica es e servidores dever o ter acesso controlado Dever se ainda efectuar inspec es peri dicas do estado da cablagem e dos circuitos de liga o com o exterior Al m das medidas apontadas anteriormente dever se ainda efectuar auditorias de seguran a envolvendo por exemplo a inspec o visual de todos os componentes da rede dos circuitos de liga o ao exterior e equipamento de comunica o sem fios Num ambiente cr tico por exemplo numa unidade de cuidados intensivos tamb m muito importante a medi o das fontes de emiss o electromagn tica e dos n veis de interfer ncia electromagn tica com o equipamento m dico Al m disto poder se adoptar outras medidas de protec o contra o bloqueio Dever ser utilizada redund ncia dos meios f sicos para que qualquer quebra de um determinado circuito de comunica o n o ponha em causa o funcionamento de toda ou parte da rede Em rela o utiliza o de meios em cobre em termos de meio f sico
268. s podem surgir Por exemplo se as senhas s o armazenadas em claro qualquer pessoa com acesso ao ficheiro de senhas ou escutando ilicitamente a rede pode obt las Mais ainda os atacantes possuem ferramentas que lhes permitem obter e decifrar senhas cifradas Estes s o alguns dos mais pertinentes problemas de seguran a que este tipo de identifica o e autentica o t m No entanto existem formas para controlar e estabelecer alguns obst culos para evit los que ser o mencionados posteriormente O processo de identifica o e autentica o conhecido por algo que o utilizador possui utiliza um token cart o inteligente ou qualquer outro objecto que contenha alguma informa o usada durante a autentica o Normalmente est o alojados em sistemas que exigem uma autentica o complementar Nos sistemas de registo cl nico electr nico podem ser usados quando se acede a m quinas espec ficas que contenham informa o de pacientes altamente protegida por exemplo cancro ou SIDA Algumas quest es de seguran a devem ser consideradas pois um objecto como um token pode ser perdido ou at roubado e com ele toda a informa o nele contida Se esse objecto for cedido a um terceira pessoa poder p r em risco a confidencialidade desses registos O processo de identifica o e autentica o conhecido por algo que o utilizador tamb m designado por biom trico faz uso de algumas caracter sticas humanas universais e
269. s pt auxiliar segnac4 htm classificadas Seguran a Inform tica SEGNAC 4 52 http www ukerna ac uk Papel branco descrevendo o estado da criptografia H 323 Fev 06 53 jhttp Avww videnet gatech edu cookbook pt list_page php topic 4 amp url wireless html amp level Videoconfer ncia sobre redes sem fios Nov 05 1 amp sequence 1 amp name Wireless 20e 20Video 20Sat lite 54 http Avww medis or jp 2 kaihatu iso iso tc215 wg5 data b3 iso dis 21549 2 e pdf Norma ISO DIS 21549 Fev 06 55 http Awww portugal gov pt Portal PT Governos Governos Constitucionais GC17 Ministerios Constitui o da Entidade Cerificadora Electr nica Estado Fev 06 PCM MP Comunicacao Outros Documentos 20051006 MP Doc ECEE htm 59 Home page do Instituto de Informatica e Gest o Financeira do Jan 06 http www igif min saude pt SNS 67 http www alert pt amp sel_men 211 Homepage da empresa MNI principal produto na rea da sa de Jan 06 68 Ihttp www alert er com index php multiplo 1 Descri o da aplica o ALERT Jan 06 69 http Awww who int classifications icd en Classifica o internacional das doen as Jan 06 70 Ihttp Awww committee german medicine de cms front content php idcat 169 amp idart 1707 DRG online Jan 06 71 Australian Government Department of Health and Ageing DRG Jan 06 http www health gov au internet wcms publishing nsf Content Casemix 1 128
270. s x CA timsara org RA timsara org Gest o de Identidades Digitais Direct rio de Certificados E Conclu do 1 8 internet a Gest o de Identidades Digitais timsara org Microsoft Internet Explorer Ficheiro Editar ver Favortos Ferramentas Ajuda jJo o np lSkee s sE D Endere o a https fitimsara6 timsara orgfra gid Tr para Hiperliga es Ge CA timsara org RA timsara org Gest o de Identidades Digitais timsara org O perfil de Valentim Batista Gera o da Certificados de Utilizador Gest o de Certificados de Utilizador Administra o RA Gest o de Servidores Gest o de Utilizadores Administra o CA Gera o do Certificado CA Gera o da Lista de Revoga es 1 18h internet Figura 23 Aplica o Web RA A op o Gest o de Identidades Digitais permite aos gestores institucionais o acesso ao seu perfil e a gest o dos certificados dos seus utilizadores e servidores No caso do gestor IGIF tem acesso op o administra o do CA Na op o Gera o de Certificados Digitais de Utilizador Figura 24 o gestor institucional pode gerir os certificados para os seus utilizadores 115 Ti ria o Edi o de Entidades timsara org Microsoft Internet Explorer E https timsara6 timsara org ra gid addent php ses eJxNjFEOwyAMQ SE4RAAKKPMWUKC CA timsara org RA timsara org Gest o de Identidades Digitais tims
271. se de dados Devido ao uso da Internet e da interoperabilidade de v rias redes para aceder aos registos electr nicos do paciente ataques que provoquem indisponibilidade de servi os tornaram se comuns actualmente Neste tipo de ataques os servidores ficam impedidos de trabalhar por exemplo quando s o bombardeados com pedidos adicionais os quais n o t m tempo de atender e tornam se incapazes de disponibilizar os seus servi os habituais S o muito dif ceis de prevenir e as suas consequ ncias podem ser devastadoras por exemplo nos departamentos ou servi os de emerg ncia onde a disponibilidade da informa o dos pacientes vital As bases de dados destinadas investiga o podem ser uma fonte de amea as privacidade Por vezes poss vel obter identifica o dos pacientes quando as pesquisas certas s o feitas Mesmo n o existindo informa o espec fica pode ser poss vel reconstruir a identifica o dos pacientes nas bases de dados de onde a identifica o foi extra da Atrav s deste fen meno designado por infer ncia poss vel deduzir informa o a partir de dados que separadamente nunca dariam informa o sobre a identifica o do paciente Outra quest o pertinente que pode influenciar directamente as vidas das pessoas a defini o de quem tem acesso s bases de dados de informa o dos registos cl nicos do paciente Por exemplo se as companhias de seguros tiverem acesso a dados de sa de dos seus cl
272. sem serem detectados Outro aspecto importante o facto de os logs serem armazenados no mesmo servidor da base de dados que est o a monitorizar Os mecanismos de controlo de acesso aos logs s o os mesmos que para aceder ao sistema base de dados e s aplica es n o existindo protec es espec ficas no que se refere a esta informa o Finalmente s o realizadas c pias de seguran a regulares dos logs mas geralmente n o s o aplicados controlos de seguran a adicionais a n o ser os procedimentos habituais de c pias de seguran a 3 6 Gest o de Base de Dados Antes de definir o tipo de seguran a a usar nos servidores necess rio saber que tipo de sistema de gest o de base de dados sistema operativo e outro tipo de software ou vai ser usado Como foi referido atr s tipicamente o SONHO SINUS instalado em servidores com sistema operativo Unix Solaris e SGBD Oracle As aplica es SAM e SAPE desenvolvidas em Oracle Developer tipicamente encontram se instaladas em servidores com sistema operativo Windows Server 2000 e usam o SGBD do SONHO SINUS A manuten o do sistema partilhada pela equipa t cnica do IGIF e pelos t cnicos das institui es Apenas estes t m acesso base de dados de forma a executar pesquisas directamente nas tabelas com o intuito de corrigir alguns problemas repor a consist ncia ou integridade dos dados facilitar a investiga o m dica ou eliminar informa o redundante
273. sistema de registo cl nico informatizado Por exemplo O sistema seguro Se me esquecer da senha ser que consigo entrar no sistema Se conseguir n o ser seguro O sistema respeita os padr es t cnicos actuais e a lei do pa s em rela o Lei de Protec o dos Dados Pessoais Prev se que contribua para a melhoria da pr tica cl nica interoper vel com outras aplica es inform ticas de registo cl nico Qual o custo dos mecanismos de seguran a Em termos de hardware software e do esfor o extra que envolve a sua utiliza o Disponibiliza documenta o que permita compreender o que faz e como funciona Prev procedimentos em caso de falha t cnica Poder essa falha prejudicar algum doente E se isso acontecer quem assume a responsabilidade Entra em conflito com princ pios ticos por exemplo o da autonomia do doente para fazer uma escolha informada ou o do direito do doente de esperar que n o haja uma divulga o de dados confidenciais 43 Sintetizando as quest es identificadas ao longo deste cap tulo bem como outras quest es gen ricas abordadas at ao momento e com o intuito de avaliar os aspectos de seguran a de um sistema de registo cl nico foi definida uma grelha que se encontra no Anexo C em duas partes Os par metros de avalia o foram definidos em torno de quatro aspectos nucleares de seguran a autentica o confidencialidade integridade e disponibilidade Atrav s da grelha pa
274. ss veis chamadas telef nicas pela Internet ou a intranet da sa de conhecidas tamb m como VoIP Trata se de uma tecnologia que vem sendo cada vez mais adoptada pelas empresas em todo o mundo devido economia alcan ada com a sua implanta o opera o e manuten o Em m dia estima se uma economia de cerca de 80 quando comparada com a solu o de uma central telef nica tradicional A telefonia na Internet refere se a servi os de comunica o voz fax aplica es de mensagens de voz etc que s o transportadas pela Internet ou RIS em vez da rede telef nica comutada convencional Os problemas de seguran a relacionados com o VoIP na RIS basicamente s o os memos que ocorrem noutro tipo de redes TCP IP As redes VoIP s o um alvo importante pois como exemplo poderiam ser capturadas informa es cl nicas administrativas ou financeiras importantes para a institui o cuja utiliza o poderia significar perdas irrepar veis As principais amea as ao VoIP s o mais ou menos id nticas s que j foram apontadas em comunica es e Internet sendo de real ar o caso da nega o de servi os que iria paralisar os servi os disponibilizados 65 VoIP Voice Over Internet Protocol 91 Algumas solu es para melhorar a seguran a no VoIP seriam segmentar o tr fego usar firewalls especializadas em filtrar toda informa o que seja ou n o endere ada a rede de voz implementar um sistema IDS usar preferencialmente t
275. t o dependentes do funcionamento permanente dos seus sistemas de informa o o que implica a necessidade de mais ac es com o intuito de diminuir a probabilidade de interrup es nos servi os de forma a garantir a sua permanente disponibilidade A seguran a das redes e da informa o tornar se muito provavelmente um elemento chave no desenvolvimento da sociedade da informa o dado que a liga o em rede desempenha um papel econ mico e social crescente O risco associado tamb m crescente pois al m da maior exposi o da informa o sens vel os danos causados por um potencial ataque bem sucedido s o tamb m maiores A seguran a das redes e da informa o uma quest o din mica o ritmo das mudan as tecnol gicas gera continuamente novos desafios os problemas de ontem desaparecem e as solu es de hoje j n o fazem sentido O mercado oferece quase diariamente novas aplica es servi os e produtos que devem ser triados e escolhidos para utiliza o caso mostrem ser seguros No entanto alguns processos constituir o sempre desafios significativos para uma politica de seguran a global pelo que o esfor o com a seguran a deve ser cont nuo A an lise da situa o actual dos sistemas de informa o cl nica em Portugal ver Cap tulo 3 mostra que n o est o definidas pol ticas e mecanismos de seguran a adequados ao n vel de todo o SNS Outros problemas identificados que podem amea ar a seguran as dos siste
276. ta o de uma infra estrutura de chaves p blicas PKI para a Rede Inform tica da Sa de RIS Estas medidas s o convenientemente justificadas e em termos gerais delineadas Palavras chave Seguran a Sistemas de Informa o na Sa de Normas Infra estrutura de Chaves P blicas PKI ABSTRACT In order to improve the health care services provided to the citizens there is an increasing registration and circulation of clinical information in electronic format in Portugal This tendency is accompanied by increasing concerns with the security and privacy of the clinical information In this dissertation after analyzing the key security issues of the clinical information systems we present the results of an analysis performed to asses the current security status of the Clinical Information Systems in Portugal as for access storage and circulation of the patient s clinical information This analysis was carried through in the contexts of network infrastructures and clinical applications for the health care units of the National Health System SNS with special focus for the electronic clinical process The clinical application analysed were SONHO SINUS a module to support the doctors activities SAM and nursing practices SAPE An approach is also made to the Systems Information and Communication trends due to emerging technologies and to the new security problems that arise In order to improve the security of the clinical infor
277. tar se existe correspond ncia n o sejam bem sucedidos O tamanho e o formato dever o ser tidos em considera o e os utilizadores dever o ter conhecimento do tipo de senha que permitida Isto tamb m pode ser feito ao n vel da rede ao permitir aos utilizadores introduzir apenas um certo tipo de senhas Tamb m deve limitar se as tentativas de conex o login para que o ataque por teclado n o possa ser facilmente executado A auditoria outra medida que pode n o ser preventiva mas pelo menos pode detectar a ocorr ncia de comportamentos estranhos e ser usada para evitar ataques futuros E extremamente 12 importante o comportamento de um utilizador no sistema A auditoria pode por exemplo detectar quando algu m est a tentar aceder conta de outro utilizador ou detectar quando existem tentativas de ataque a ficheiros de senhas Os ficheiros de auditoria devem ser protegidos 1 6 n o devem estar dispon veis para qualquer um mas apenas para os utilizadores autorizados e devem ser armazenados cifrados para que mesmo quando acedidos n o seja f cil compreender o seu conte do No caso da identifica o e autentica o referido por algo que o utilizador possui relevante saber quem tem token ou cart o inteligente e quem os deve usar mas o seu uso deve ser limitado apenas aos utilizadores autorizados Os m dicos das especialidades cr ticas devem t los para aceder aos sistemas Quando se trata de casos de emerg
278. ted results reporting Patient pharmacist question Autenticate physician order Patient pharmacist messaging Potential uses of digital signatures in healthcare Para cada um dos cen rios faz uma descri o da forma como feito o acesso informa o clinico do paciente com e sem o recurso a assinaturas digitais No caso do n o recurso assinatura digital necess rio que os documentos sejam impressos e assinados pela pessoa autorizada e enviados em suporte papel por exemplo An lises Exames cl nicos Relat rios cl nicos etc para a entidade respons vel pelo tratamento Atrav s do uso de certificados digitais no acesso informa o cl nica do paciente poss vel verificar a identidade e credenciais do emissor do documento A Parte 2 Certificate Profile 28 para a rea da sa de fornece perfis especificos de certificados digitais baseados na norma X 509 vers o 3 Para diferentes tipos de certificados os perfis est o baseados na especifica o IETF RFC 3280 e IETF RFC 3039 A norma especifica os Certificate 154 Profile requeridos para o interc mbio de informa o de sa de dentro de uma organiza o entre diferentes organiza es e atrav s pa ses com jurisdi o diferente A Parte 3 Policy Management of Certification Authorit 29 oferece linhas de orienta o para a gest o de certificados digitais na rea da sa de Define uma estrutura e os requisitos m nimos para a pol tica de cer
279. tentica o 32 IPsec Internet Protocol Secure O protocolo IPsec oferece para ambientes TCP IP mecanismos de seguran a autentica o e encripta o ao n vel IP Para mais informa o RFC 2401 3 WEP Wired Equivalent Privacy O padr o IEEE 802 11 utiliza o protocolo WEP na camada de enlace para autenticar e criptografar os dados que ser o transmitidos na rede sem fio WPA Wireless Protected Access Tamb m chamado WEP2 ou TKIP Temporal Key Integrity Protocol Wi Fi Protected Access O WPA foi desenhado para ser compat vel com o pr ximo padr o IEEE 802 1 li 34 acesso anuncie a rede O intruso tera portanto mais dificuldade em conhecer o identificador da rede a que se associar Por filtragem dos endere os MAC conhecendo se de antem o os endere os do equipamento que acedem rede poss vel configurar o ponto de acesso para permitir acesso apenas a certos endere os Um intruso poder por m mudar o seu endere o MAC para coincidir com um endere o MAC que saiba ser permitido na rede Desligar os pontos de acesso quando n o estiverem em uso com esta medida reduz se o tempo de exposi o da rede a ataques sendo tamb m mais prov vel detectar utiliza es an malas da rede como por exemplo tr fego extraordin rio no ponto de acesso que se pode detectar pelo piscar mais frequente da luz avisadora de actividade de rede Outras medidas poder o ser adoptadas para seguran a forte WPA ou WPA2 O WPA fo
280. teroperabilidade das redes e sistemas de telemedicina Define um modelo para a gest o de privil gios e controlo de acessos 153 ISO TS 17090 A norma ISO TS 17090 Public Key Infrastruture oferece uma descri o sobre a utiliza o de PKI no dominio da informatica m dica O comit responsavel IST 35 Health Informatics atrav s do draft ISO 17090 oferece uma descri o da norma decomposta em tr s partes A Parte 1 Overview of Digital Certificate Services 27 define os conceitos b sicos subjacentes ao uso da assinatura digital nos SIS fornece um esquema e identifica os servi os de seguran a necess rios para a comunica o segura de informa o de sa de quando os certificados digitais s o requeridos Faz um resumo dos componentes b sicos necess rios para desenvolver uma assinatura digital e apresenta cen rios para utiliza o de certificados digitais no SIS como pode ser observado na Tabela 8 Tabela 8 Cen rios e servi os nos SIS ete eet efe eae oe oa enem x x x x x xxx xx xe px x Comer x x xpx x x x x x 7 mes PSC CJR PER ene ieee ali signature Key to scenarios ER access to records Results reporting Practitioner Remote access to clinical info system Temporary services emergency aid messaging Emergency access Enroll new member 7 Patient physician treatment discussion Remote transcription Tele imaging Patient care registry summary Electronic transcription Automa
281. texto do sistema de registos cl nicos apresentado o uso de uma linguagem classificada e a codifica o da informa o cl nica est o directamente relacionadas com compreens o e integridade dos dados cl nicos Pela sua relev ncia ser o referidos alguns dos sistemas de classifica o e codifica o referidos no Cap tulo 2 e detalhados no Anexo A o ICD 9 na classifica o da doen a em diagn sticos ou procedimentos o ICPC 2 na classifica o internacional de cuidados prim rios e a CIPE na classifica o das pr ticas de enfermagem A informa o gerada de acordo com o ICD 9 representa uma apreci vel fonte de elementos para an lises estudos estat sticos Por outro lado o uso de estruturas de dados comuns e protocolos de comunica o permitem a interoperabilidade e a troca de dados entre diferentes sistemas por exemplo sistemas de arquivo e distribui o de imagem m dica ou mesmo institui es por exemplo sistemas de telemedicina Para al m disto podem evitar fragmenta o e redund ncia da informa o e fornecer melhor qualidade dos sistemas de informa o de sa de Por esta raz o o sistema aqui descrito deveria ser repensado em conformidade com padr es reconhecidos internacionalmente ver Anexo A nomeadamente o HL7 no que se refere interoperabilidade entre m dulos ou sistemas e o mais recente padr o de seguran a HIPAA no que se relaciona com a implementa o de pol ticas e procedimentos que garantam a
282. tication Module PCE Processo Cl nico Electr nico PDA Personal Digital Assistance xvii PEM Privacy Enhanced Mail PGP Pretty Good Privacy PKI Public Key Infrastructure POP Post Office Protocol POPS Post Office Protocol Secure RDIS Rede Digital com Integra o de Servi os RIS Rede Inform tica da Sa de RPC Remote Procedure Call S HTTP Secure Hyper Text Transfer Protocol S MIME Secure Multipurpose Internet Mail Extensions SAM Sistema de Apoio ao M dico SAPE Sistema de Apoio Pr tica de Enfermagem SET Secure Electronic Transactions SGBD Sistema de Gest o de Base de Dados SHTTP Secure HyperText Transfer Protocol SINUS Sistema de Informa o para Unidades de Sa de SMTP Simple Mail Transfer Protocol SMTPS Simple Mail Transfer Protocol Secure SNOMED Standard Nomenclature of Medicine SNS Sistema Nacional de Sa de SONHO Sistema Integrado de Informa o Hospitalar SSH Secure SHell SSL Secure Socket Layer TCP IP Transmission Control Protocol Internet Protocol TELNET Terminal emulation program for TCP IP network TLS Transport Layer Security UMLS Unified Medical Language System VLANs Virtual Local Area Network VPN Virtual Private Network XML Extensible Markup Language xviii 1 INTRODU O Na Sa de diversas iniciativas nacionais e internacionais tiveram como objectivo a promo o e e
283. tifica o permite realizar pesquisas base de dados com fins estat sticos ou de investiga o evitando que os pacientes sejam identificados directamente Em situa es de emerg ncia em que n o poss vel identificar o paciente o sistema gera um epis dio de urg ncia ao qual os utilizadores podem associar registos e fica espera que lhe chegue mais informa o relacionada com a identifica o do paciente Esta medida permite que n o haja perda de dados importantes e seja mantida a consist ncia da base de dados Outra quest o muito importante facto de que n o existe identifica o nica a n vel nacional do paciente medida que o paciente se dirige a uma institui o ou organiza o de presta o de cuidados de sa de vai sendo gerado uma identifica o local e assim a hist ria cl nica do paciente fica espalhada pelas diferentes institui es ou organiza es Finalmente o paciente tem o direito de aceder sua pr pria informa o ou pelo menos definir quem tem acesso e a que tipo de informa o Actualmente os sistemas de registo cl nico electr nico a funcionar na maioria das institui es que integram o MS n o implementam esta funcionalidade Est previsto que venha a ser poss vel atrav s do portal da sa de aceder a informa o cl nica pessoal mediante a identifica o do paciente pelo Cart o do Cidad o ver 58 Capitulo 4 No entanto este tipo de acessos deve apenas permitir a consulta dos
284. tificados assim como as praticas associadas Relativamente s pol ticas de seguran a na rea da sa de e al m fronteiras identifica as principais necessidades em termos de comunica es e define o n vel m nimo de seguran a permitido Na base da especifica o est o IETF RFC 3647 ISO TS 22857 A norma ISO TS 22857 Guidelines on data protection to facilitate trans border flows of personal health information providencia um guia na protec o de dados que dever ser aplicado na transfer ncia internacional de informa o pessoal de sa de Define um conjunto de regras e princ pios relativos importa o e exporta o de dados os controladores e os processadores que uma organiza o dever adoptar para estar em conformidade Preconiza uma pol tica de seguran a elevada recurso encripta o e assinatura digital na transmiss o e importa o de dados controlo de acessos e autentica o auditorias seguran a f sica gest o da infra estrutura da rede antiv rus planos de conting ncia detec o de falhas de seguran a etc O uso desta norma serve para facilitar a transfer ncia de dados pessoais de sa de internacionalmente e garantir aos pacientes de que os seus dados s o adequadamente protegidos quando enviados para e processados noutro pa s Esta norma dever ser usado por hospitais ind stria farmac utica fornecedores de servi os m dicos remotos bases de dados ou bancos de registos m dicos com
285. tiliza o de mecanismos 2 16 anti spam Os ataques ao equipamento de rede pretendem explorar vulnerabilidades especificas dos componentes por exemplo sistemas operativos encaminhadores n s de comuta o servidores de nomes etc ou dos protocolos da rede frequente que em certos tipos de equipamentos de rede por exemplo router sejam deixadas portas traseiras originalmente concebidas para desenvolvimento ou testes Quando descobertas podem ser utilizadas para obter acesso privilegiado ao equipamento por parte de utilizadores n o autorizados Solu es para este tipo de vulnerabilidades passam pelo acompanhamento de listas de seguran a e a instala o de patches de correc o do problema As redes dependem do funcionamento de DNS atrav s do qual nomes familiares por exemplo www min saude pt s o convertidos em endere os da rede abstractos por exemplo 16 Anti spam O termo SPAM usado para referir se a correio electr nico n o solicitado que geralmente enviados para um grande n mero de pessoas O uso de filtros anti spam permite atenuar este tipo de ataque ou melhor pr tica muito incomodativa 17 Router O router ou encaminhador um dispositivo para interliga o de redes de diferentes tecnologias que fazem o encaminhamento e a comuta o dos pacotes entre si 18 DNS Domain Name System O servi o DNS permite que as m quinas na rede sejam identificadas por um nome para al m
286. tion Communication 24 Para garantir um refor o na seguran a das comunica es adicionalmente preconiza o recurso a cart es de identifica o electr nicos cart es profissionais de sa de seguran a nos cart es dos pacientes assegurar timestamps modelar pol ticas de seguran a e qualidade nos SIS As actividades relacionadas com os smartcards s o relatadas e congregadas na Task Force Intermittently Connected Devices As actividades relacionadas com a seguran a nas comunica es s o relatadas na Task Force Communication Security Esta organiza o opera a n vel Europeu mas coopera com outros organismos relacionados com a normaliza o na rea da sa de por exemplo o ANSI HISB ASTM e HL7 De seguida s o apresentadas as principais normas desenvolvidas por este grupo de trabalho Tabela 6 113 SIS Sistema de Informa o para a Sa de 114 ENV European Pre Standard 140 Tabela 6 Lista de normas de seguran a CEN CT 251 WGIII Abreviatura EN 13608 1 3 2005 ENV 12388 1996 EN 12251 2004 ENV 13729 2000 Designa o Security for Healthcare Communication SEC COM Algorithm and Digital Signature Services in Healthcare Secure User Identification for Healthcare Management and security of authentication by passwords Secure User Identification for Healthcare Strong Authentication using Microprocessor Cards 115 SHAI HMAC 116 ISO Internat
287. tivo com capacidade para operar num rede sem fios que transmite para um ponto de acesso conectado a uma rede com fios 53 12 ITU International Telecommunication Union 168 As redes sem fios locais est o a tornar se comuns nas institui es de sa de e ent o a pergunta que se coloca se a videoconfer ncia pode ser feita atrav s destas redes A resposta sim A dificuldade em implementar a videoconfer ncia que o v deo e udio exigem mais qualidade de rede do que outro tipo de tr fego por exemplo o envio de um e mail ou navega o na rede A perda de pacotes e a competi o de tr fego na rede sem fios poder o causar falhas no v deo e no udio Outro factor desfavor vel ao v deo e udio sobre redes sem fios que redes sem fios s o totalmente partilhadas por todos os utilizadores de modo que os utilizadores competem pela mesma largura de banda e a qualidade do v deo e voz degrada se mais r pido A maior atrac o da videoconfer ncia via sat lite a sua flexibilidade Todo equipamento necess rio para esta tecnologia completamente transport vel e pode ir aonde for necess rio Mas esta tecnologia de comunica o sofre dos mesmos efeitos que o v deo em redes sem fios e alguns mais A lat ncia inerentemente maior devido ao atraso da velocidade da luz para e do sat lite Por m a maioria dos utilizadores pode ajustar rapidamente e superar os problemas do atraso Outro problema que as taxas de transm
288. togr ficos assim tricos 108 Figura 20 Tri ngulo de Confian a da PKI na Sa de A autoridade certificadora o v rtice superior do tri ngulo de confian a necess rio para o estabelecimento de sess es seguras na rede ver Figura 20 Cada uma das partes representadas pelos v rtices da base do tri ngulo confia na autoridade certificadora e como est o por ela certificadas podem criar sess es seguras de troca de informa o A estrutura disponibilizada pela RIS ao n vel das redes locais e servidores n o permite por si s dar resposta s necessidades de seguran a Implementar uma PKI requer a sua integra o na infra estrutura j existente e o uso de ferramentas apropriadas gestor de correio electr nico navegador web etc Como j foi referido tipicamente as redes locais que integram a RIS apresentam alguns elementos comuns em geral as institui es est o protegidas por firewall pr pria ou com filtros de acesso baseados em ACLs nos equipamentos de interliga o routers e os servidores de web e correio electr nico encontram se em zonas desmilitarizadas DMZ Os servi os de correio electr nico e internet em geral s o disponibilizados por uma plataforma em Linux mas a interface com o utilizador baseada no sistema Microsoft Windows Outlook e Internet Explorer etc Estes servi os para integrar a PKI devem operar com o protocolo S MIME adi o de extens es de seguran a ao formato
289. tr nico as listas de discuss o a web etc uma Comunidade M dica Virtual ou Hospital Virtual n o imposs vel Outra tecnologia que j se apresenta de grande valor para o progresso do conhecimento m dico a gigantesca base de dados MEDLINE acess vel pelo sistema PubMed para acesso informa o cient fica para fins educacionais e assistenciais A introdu o de novas tecnologias coloca sempre novos desafios e um desses novos desafios a seguran a Com o surgir de novos conceitos processos tecnologias e servi os as quest es relacionadas com a seguran a no acesso circula o e armazenamento da informa o cl nica devem ser repensadas e analisadas cuidadosamente Por exemplo as solu es sem fios s o uma das componentes da tecnologia da informa o a ter em conta no desenho de novas arquitecturas que colocam novos desafios nas quest es de seguran a Estas solu es atrav s do uso de dispositivos m veis permitem disponibilizar a capacidade de computa o no local e no momento em que requerido pelo profissional de sa de ou o paciente Apesar das in meras vantagens na utiliza o de sistemas VoIP na Sa de e existirem condi es para a sua pr tica n o s o conhecidas implementa es efectivas em larga escala Sendo algumas das tecnologias relativamente recentes ainda n o foram desenvolvidos os mecanismos mais adequados sua utiliza o de uma forma segura Os mecanismos incorporados
290. tre SIS Define a seguran a do canal e o protocolo de comunica o que implementam os seguintes servi os de seguran a autentica o das entidades antes de trocar dados preserva o da integridade dos dados e preserva o da confidencialidade dos dados comunicados Especifica o uso do protocolo TLS junto com um perfil de encripta o assim como um conjunto de solu es tecnol gicas de forma a garantir a integridade confidencialidade e auditabilidade do objecto no canal Sendo de real ar o uso de assinatura digital certificados digitais X 509 e algoritmos de encripta o do tipo TLS RSA e TLS SHA1 HMAC Esta norma aplic vel a m ltiplos protocolos de comunica o usados nos SIS incluindo DICOM CORBA IIOP HTTP TELNET POP3 2 MAP4 e outros ENV 12388 A norma ENV 12388 Algorithm and Digital Signature Services in Healthcare define o algoritmo de assinatura digital para uso na UE pelos SIS O algoritmo usado RSA A assinatura digital definida pelo ISO 7498 Part 2 Gest o da Seguran a das redes 2 CORBA Common Object Request Broker Architecture 2 TELNET Terminal emulation program for TCP IP network 21 POP Post Office Protocol 2 IMAP Internet Message Access Protocol 144 Referindo alguns exemplos de utiliza o da AD na autentica o de utilizadores em organiza es e sistemas na autentica o da origem dos documentos na protec o da integridade dos documentos na
291. tro ou fora do per metro e tentar aceder informa o que lhes est vedada Podem usar v rias t cnicas e explorar v rias fragilidades por exemplo engenharia social divulga o de senhas ataques de nega o de servi os conex es n o protegidas falhas na instala o do servidor e todos os problemas de seguran a relacionados com a autentica o dos utilizadores j referidos 7 DoS Denial of Service Ataque que diminui a disponibilidade dos servi os ou equipamentos 16 Outro problema est no controlo de permiss es e privil gios atribu dos em cascata Muitos dos sistemas actuais permitem definir e atribuir privil gios e direitos complexos aos utilizadores que podem ser passados a outros Isto pode dificultar a rastreabilidade dos autores de certas ac es s vezes tamb m complicado negar o acesso informa o a algu m que deixa o emprego ou muda de fun es Finalmente existem alguns problemas de seguran a relacionados com as redes sem fios muito pr tico para os m dicos poderem utilizar o equipamento m vel por exemplo um PDA um computador port til etc dentro da institui o Esta situa o est a crescer nas institui es de sa de em Portugal e constitui uma tecnologia muito til no acesso ao registo cl nico do paciente na elabora o de diagn sticos e passagem de prescri es No entanto as redes sem fios est o sujeitas a amea as de seguran a mais dif ceis de controlar do que as
292. tui es s o respons veis pela gest o da sua infra estrutura 64 Ethemet DMZ Figura 8 Arquitectura da Infra estrutura de Rede Como j foi dito as infra estruturas de rede locais das institui es s o do tipo ethernet cablagem estruturada topologia em estrela e est o ligadas RIS atrav s de um router A distribui o aos utilizadores feita por cabos em cobre com switches que disponibilizam portas ethernet a 10 100Mbps 1Gbps Em geral os equipamentos de comuta o possuem liga es redundantes em todos os bastidores locais ligados ao bastidor principal por fibra ptica a Gigabit Ethernet A liga o da rede local RIS feita por circuito dedicado com largura de banda que varia entre 64 Kbps a 2Mbps Em geral tamb m existe uma linha RDIS adicional instalada por motivos de seguran a sendo utilizadas em caso de falha do circuito dedicado Outro aspecto muito importante que algumas institui es t m implementado redes sem fios integradas nas suas redes cabladas O uso de redes sem fio na vertente cl nica no que se refere realiza o de teletrabalho e o acesso a dados cl nicos atrav s de terminais m veis Tablet PC Pocket PC Telem veis etc levanta quest es espec ficas relacionadas com a seguran a e com a restri o do seu uso por parte de utilizadores n o autorizados Tanto a web como o correio electr nico est o a tornar se meios privilegiados na troca aquisi o e divulga o de
293. u um 31 superior da pessoa atacada que precisa de determinadas informa es para resolver um suposto problema aproveitar informa es divulgadas num f rum p blico da Internet por exemplo grupos de discuss o para resolver um problema de rede enviar programas maliciosos ou instru es com o objectivo de abrir brechas na seguran a da rede ou recolher o m ximo de informa es poss vel sobre esta Como referido anteriormente a melhor forma de prevenir este tipo de ataques sensibilizar os utilizadores e administradores de rede e sistemas sobre a forma como devem agir nestas situa es A pol tica de seguran a da institui o desempenha um papel importante neste sentido pois nela que devem ser definidas as normas e procedimentos de protec o da informa o 2 7 2 Solu es e Mecanismos de Seguran a Num projecto de redes inform ticas num ambiente de presta o de cuidados de sa de dever se ter em aten o os tipos de ataques e fragilidades anteriormente identificadas que condicionar o os meios f sicos a utilizar as topologias de rede a protec o f sica dos meios de comunica o e o n vel de redund ncia Na fase de funcionamento de uma infra estrutura de rede num ambiente de presta o de cuidados de sa de desej vel a utiliza o de mecanismos de seguran a adicionais ao n vel f sico e na camada f sica por exemplo mecanismos de autentica o dos intervenientes na comunica o baseado
294. uema Geral da Espinha Dorsal da RIS Fonte Inter face N 77 Tecnologias da Informa o no Sector da Sa de As liga es entre os pontos de concentra o distritais e os pontos centrais da rede d o se atrav s de circuitos virtuais com larguras de banda que variam entre os 8Mbps e os 16Mbps com capacidade para evoluir at 34 Mbps nos distritais e 155Mbps nos pontos centrais O equipamento instalado permite evolu o para liga es a Gigabit quando tal se justificar Entre os principais n s de acesso s capitais do distrito a rede est dotada de uma capacidade de 8Mbps com sistemas de redund ncia do equipamento activo de suporte ao circuito de acesso As infra estruturas de rede locais das institui es s o do tipo Ethernet cablagem estruturada apresentam topologia em estrela e est o ligadas RIS atrav s de circuitos dedicados ou linhas RDIS ver Figura 4 63 3 7 2 Aquisi o de dados Transmiss o e Gest o Hoje em dia as redes de comunica o s o constitu das por componentes semelhantes e tecnologias id nticas pelo que possuem as mesmas amea as e vulnerabilidades Algumas das amea as e vulnerabilidades ou pelo menos as mais importante j foram referidas no Cap tulo 2 e poder o servir de listagem ao sistema em an lise Assim neste sub cap tulo ser o analisados aspectos de seguran a das redes de comunica o que suportam o sistema Como podemos observar na Figura 5 a informa o circula na r
295. ui o seu pr prio perfil garantindo assim que a cada utilizador s dada permiss o de acesso informa o necess ria para o desempenho da sua actividade adaptando se ainda o interface a cada um dos perfis em causa O acesso aplica o efectuado por reconhecimento biom trico podendo ainda ser utilizados outros sistemas de acesso A gest o de utentes efectuada centralmente n o h desta forma lugar duplica o de informa o o que diminui o risco inerente utiliza o de processos de sincroniza o Os diferentes sistemas utilizar o em tempo real a informa o disponibilizada por este sistema centralizado 84 mantendo apenas refer ncias aos c digos identificadores dos utentes que ser o nicos em todo o Sistema de Informa o A possibilidade de exist ncia de uma fotografia do utente permite uma melhor identifica o num ambiente cr tico de urg ncia uma abordagem mais pessoal ao utente para confirma o da sua identidade e uma reconstru o mental da hist ria de um determinado epis dio de urg ncia assim como a associa o entre uma hist ria cl nica e um determinado utente reduzindo o per odo de atendimento e tornando mais f cil a presta o de cuidados de sa de de qualidade Os dados de refer ncia como por exemplo as listagens de unidades de sa de profissionais servi os ou codificadores ser o mantidos igualmente de forma central evitando se a gest o de dados que s o comuns por parte d
296. uide to the Use of Audit Trials and for Access and Disclosure Logging Tracking in the Management of Health Information Security and Confidentiality of Dictated and Transcribed Health Information E2212 02 Standard Practice for Healthcare Certificate Policy endere a politicas para os certificados digitais estes suportam autentica o autoriza o confidencialidade integridade e requisitos de n o rep dio de pessoas e organiza es que electronicamente criam e transaccionam informa o de sa de No documento ASTM Draft Standard ISO TC 215 WG4 N86 2001 descrita a arquitectura para directoria certifica o e registo de servi os fornecidos no mbito dos SIS Esta arquitectura est orientada para o fornecimento de uma directoria de elementos necess rios para tornar segura a troca de informa o de sa de atrav s de redes p blicas recorrendo ao uso de uma infra estrutura PKI 1 10 CPRI O CRPI Computer based Patient Record Institute 44 desenvolve normas de seguran a na rea dos registos m dicos Atrav s do grupo de trabalho em confidencialidade privacidade e seguran a sobre a co orienta o de Kathleen Frawley JD e Dale Miller desenvolver o orienta es no mbito do contrato de confidencialidade requisitos de seguran a gloss rio de termos de seguran a e listas de trabalho para sistemas de seguran a 163 Algumas orienta es dispon veis Guidelines for Establishing Informat
297. urado aceite mais f cil de compreender e usar Para al m disto pode evitar a fragmenta o e redund ncia de dados e fornecer melhor qualidade dos sistemas de informa o de sa de com recursos m nimos e custos baixos Em Portugal no que se refere classifica o e codifica o da informa o cl nica s o de real ar o ICD 9 usado com vista a classificar e codificar informa es m dicas o GDH usado com intuito de classificar epis dios de internamento de acordo com o ICD 9 o SNOMED usado para descrever o resultado de testes patol gicos a CIPE que uma linguagem classificada que permite a produ o de informa o acerca das decis es e dos resultados da pr tica de enfermagem Outro aspecto a ter em considera o que ao adoptar normaliza o internacional similar para sistemas de registo cl nico electr nico poder ser poss vel atravessar fronteiras e procurar melhor tratamento noutros pa ses na condi o de que a informa o possa estar dispon vel internacionalmente Tamb m permitiria mais um passo na investiga o uma vez que esta poderia ser feita em diferentes partes do mundo 2 3 Identifica o e Autentica o Num sistema seguro ter o de existir meios para identificar os seus utilizadores n o apenas porque a sua identidade essencial para decidir que tipo de acesso informa o dever o ter mas tamb m para ser poss vel rastrear as suas ac es dentro do sistema Por vezes designa se por
298. uran a devem ser registadas e esses registos devem ser analisados periodicamente com o prop sito correctivo legal e de auditoria Os registos de sa de devem ser protegidos e armazenados de acordo com a sua classifica o 101 Os sistemas e recursos que suportam fun es cr ticas por exemplo sistemas de suporte de vida e monitoriza o em cuidados intensivos devem assegurar a capacidade de recupera o nos prazos e condi es definidas em situa es de conting ncia O invent rio sistematizado de toda a estrutura que serve como base para manipula o armazenamento e transmiss o da informa o deve estar registado e mantido actualizado em intervalos de tempo definidos pela institui o a Sistemas As necessidades de seguran a devem ser identificadas para cada etapa do ciclo de vida dos sistemas dispon veis na institui o A documenta o dos sistemas deve ser mantida actualizada As c pias de seguran a devem ser testadas e mantidas em boas condi es Os sistemas devem possuir controlo de acesso de modo a assegurar o uso apenas a utilizadores ou processos autorizados Os arquivos de registos devem ser criteriosamente definidos para permitir a recupera o de dados nas situa es de falhas a auditoria nas situa es de viola es de seguran a e a contabiliza o do uso de recursos Os registos devem ser periodicamente analisados para se identificar tend ncias falhas ou usos indevidos Para al m disto devem s
299. us o de um novo cap tulo e em cerca de 17 novos controlos e na fus o ou remo o de controlos antigos presentes na vers o de 2000 perfazendo agora um total de 134 controlos distintos que as organiza es devem analisar e implementar consoante as suas necessidades e requisitos de neg cio O novo cap tulo de controlos que podemos encontrar na ISO IEC 17799 2005 encontra se subordinado problem tica da Gest o de Incidentes de Seguran a da Informa o Information Security Incident Management e inclui o estabelecido no quarto cap tulo da vers o de 2000 Seguran a dos Elementos Humanos Personnel Security ao n vel da resposta a incidentes de seguran a A inclus o de um cap tulo que se debru a sobre a necessidade de monitoriza o detec o investiga o recolha de evid ncias e resposta a incidentes e falhas de seguran a de informa o uma adi o bem recebida uma vez que um dos princ pios intr nsecos ISO IEC 17799 e BS7799 2 actual ISO IEC 27001 precisamente a aprendizagem e melhoria cont nua do ISMS Information Security Management System Sistema de Gest o de Seguran a da Informa o por parte das organiza es 165 Alguns dos cap tulos da ex ISO IEC 17799 2000 foram renomeados e sofreram altera es significativas com especial aten o para os cap tulos Organizing Information Security Organiza o da Seguran a da Informa o que diferencia as rela es ou responsabilidades do n vel
300. ut O sistema de controlo de acesso deve exibir no ecr inicial uma mensagem informando que o servi o s pode ser utilizado por utilizadores autorizados No momento de conex o o sistema deve exibir para o utilizador informa es sobre o ltimo acesso O registo das actividades do sistema de controlo de acesso deve ser definido de modo a auxiliar no tratamento das quest es de seguran a permitindo a contabiliza o do uso auditoria e recupera o nas situa es de falhas Os logs devem ser periodicamente analisados e Postos de Trabalho Os postos de trabalho devem ser protegidos contra danos ou perdas bem como acesso uso ou exposi o indevidos Equipamentos que executem opera es sens veis devem ter protec o adicional considerando os aspectos l gicos controlo de acesso e criptografia e f sicos protec o contra furto ou roubo do equipamento ou componentes Devem ser adoptadas medidas de seguran a l gica referentes a combate a v rus c pia de seguran a controlo de acesso e uso de software n o autorizado A institui o dever estabelecer os aspectos de controlo distribui o e instala o de software utilizados Informa es sigilosas cuja divulga o possa causar preju zo institui o ou paciente s deve ser utilizadas em equipamentos da institui o onde foram geradas ou naqueles por ela autorizado com controlos adequados O acesso s informa es deve atender aos requisitos de seguran
301. utilizador e de uma TTP Trusted Third Party O resultado a verifica o da identidade do utilizador O cart o profissional cont m a chave privada e o certificado digital do utilizador fornecido por uma TTP O cart o inserido num terminal de cart es atrav s do qual se realiza a autentica o Como resultado do processo de autentica o a identidade do utilizador transferida para a aplica o m dica A norma define os requisitos para o uso de cart es profissionais de sa de Estes dever o estar conforme a norma ISO 7816 nos seguintes aspectos Suportar o algoritmo de encripta o assim trico RSA Conter uma chave privada para autentica o Protec o da chave atrav s de PIN e ou identifica o biometrica etc No sentido de fortalecer a autentica o especifica o uso de infra estrutura de chave publica X 509 ENV 12924 A norma ENV 12924 Security Categorization and protection for healthcare information systems fornece o significado do sistema por categorias baseado na resposta a question rio de seguran a Esta tarefa requer que seja realizada an lise de risco ao sistema assim como identifica o de brechas de seguran a Este norma especifica os requisitos de protec o para cada categoria do sistema A norma espec fica um modelo e uma metodologia de categoriza o autom tica dos SIS no contexto da seguran a e privacidade Seguran a adquirida com significado de preserva o com u
302. v o gerando medida que efectuam contactos nas diferentes institui es de sa de ver Figura 11 quer do sector p blico quer do sector privado t s al HL HL7 Laborat rios v des gt Centro de Sa de Farm cias Consult rios G ESP PACIENTES Figura 11 Centraliza o do Registo Electr nico do Paciente Por sua vez as institui es que prestam estes cuidados pelo menos hospitais e centros de sa de deveriam ter acesso a esta base de dados para dois tipos de actividade actualiza o introdu o de dados de forma autom tica medida que a informa o cl nica sobre os pacientes recolhida localmente e consulta por parte dos profissionais de sa de no momento em que est o a prestar cuidados aos pacientes claro que esta base de dados central deveria estar alojada num local bem equipado em termos de infra estruturas controlo de acessos e mecanismos de toler ncias a falhas ou seja num data center como anteriormente referido que respeite estes e outros requisitos Tamb m os sistemas locais teriam de estar integrados com a base de dados central para que a informa o cl nica a ser centralizada duplicada ou apenas referida por um mecanismo de apontadores para as bases de dados locais estivesse em conformidade com a norma HL7 81 As organiza es ou pessoas que n o integram a rede informatica da sa de dever o recorrer a liga es do tipo VPN ou SSL no acesso ao sistema
303. x o com o sistema de gest o de bases de dados do SONHO ou SINUS 5I JAVA O JAVA uma linguagem de programa o orientada ao objecto 2 JDBC Java Database Connectivity 51 Estes dois m dulos est o desenvolvidos para funcionar em equipamentos m veis e rede sem fios nomeadamente Tablet PC o caso do SAM e PDA caso do SAPE na execu o do Plano de Trabalho de Enfermagem O recurso a estas tecnologias permite ao m dico ou enfermeiro efectuar consultas ou registos junto cama do doente O facto de estar a ser usada tecnologia web torna a distribui o e uso das aplica es bastante f cil contribuindo para uma melhor portabilidade do sistema Podemos observar na Figura 6 um esquema da arquitectura de um sistema de informa o cl nico electr nico t pico na grande maioria das institui es em Portugal Numa perspectiva de integra o o processo cl nico electr nico um componente do SAM que centraliza em si toda a informa o cl nica do paciente de uma forma estruturada sendo constru do de uma forma aberta e de molde a receber informa o de m ltiplas aplica es que suportam o sistema Outras aplica es que suportam o sistema de registo cl nico interligam com o sistema central SONHO ou SINUS e s o importantes do ponto de vista da informa o cl nica por exemplo aplica es para registo de resultado de an lises ou exames e arquivo de imagem m dica No entanto n o est o lar
Download Pdf Manuals
Related Search