امضاهای دیجیتال
نیاز به تضمین یکپارچگی و اصالت تصاویر پزشکی در اوایل تشخیص داده شده است. وونگ و همکاران استفاده از امضاهای دیجیتالی و مهر زمانی را برای جلوگیری از تغییر غیر مجاز تصاویر در سال 1995 پیشنهاد شده است. استاندارد DICOM مفهوم امضاهای دیجیتال و مهرهای زمانی معتبر را در سال 2001 با افزودن اولین پروفایل‌های امضای دیجیتال معرفی کرد. این پروفایل‌ها یک یا چند امضای دیجیتال را قادر می‌سازد تا بر روی یک تصویر کامل DICOM یا قسمت‌هایی از آن اعمال شود و سپس در سرصفحه DICOM جاسازی شود، این امر باعث می‌شود که امضای دیجیتال همیشه به عنوان بخشی از تصویر یا سند امضا شده ذخیره و منتقل شود، همراه با گواهی امضا کننده، که اجازه اعتبار سنجی امضا را توسط هر سیستمی که تصویر را دریافت می‌کند، می‌دهد. اجرای اولیه امضاهای دیجیتالی DICOM توسط Riesmeier و همکاران توصیف شده است.
امضاهای دیجیتالی بر اساس رمزنگاری کلید عمومی هستند. از آنجا که تجزیه و تحلیل رمزنگاری الگوریتم‌های استفاده شده ممکن است در آینده پیشرفت کند و از آنجا که کامپیوترها با گذشت زمان سرعت بیشتری می‌گیرند، الگوریتمی که امروزه ایمن قلمداد می‌شود ممکن است در آینده ناامن تلقی شود. به همین دلیل، امضای دیجیتال عمر محدودی دارد – به طور معمول چند سال.
در حالی که هیچ مدل جهانی وجود ندارد که مشخص کند در چه زمانی امضا قابلیت اطمینان خود را از دست می‌دهد، منقضی شدن گواهی شناسایی امضا کننده یا لغو یک گواهی (به عنوان مثال، در صورت سرقت کلید) نقاط نهایی ممکن هستند. برای امضاهای دیجیتالی که باید مدت زمان طولانی معتبر بمانند، سه راه حل ممکن در مطالعات بحث شده است
می توان قبل از انقضای امضای قدیمی، به هر سند امضا شده (تصویر) یک امضای دیجیتالی جدید پیوست کرد. در حالی که از لحاظ نظری امکان پذیر است، اما این روش به علت بایگانی وسیع داده‌های تصویری عملی نیست.
از مهرهای تاییدی مجاز می‌توان استفاده کرد. در این روش، “اثر انگشت” دیجیتال (مجموعه چک رمزنگاری) تصویر، که پایه و اساس امضای دیجیتال است، به شخص ثالث معتبری که دارای سرویس علامت گذاری زمان است، منتقل می‌شود. شخص ثالث مورد اعتماد اطلاعات تاریخ و زمان را به “اثر انگشت” اضافه می‌کند و هر دو مهر زمان و اثر انگشت را به عنوان اثبات دریافت اثر انگشت در تاریخ و زمان مشخصی امضا می‌کند. از آنجا که امضاهای مهر زمان نیز منقضی می‌شوند، ممکن است چند سال بعد یک مهر زمان معتبر جدید از مهر زمان معتبر قدیمی مورد نیاز باشد. استاندارد DICOM استفاده از چنین مهرهای تاییدی را مجاز می‌داند اما آن‌ها را ملزم نمی‌داند.
“اثر انگشت” دیجیتالی تصویر می‌تواند در یک بلاکچین منتشر شود، که به عنوان یک دفترحساب توزیع شده طراحی شده است که تغییرات گذشته نگر را عملا غیرممکن می‌کند. از آنجا که تراکنش‌ها در بلاکچین دارای مهر زمان نیز هستند، بلاکچین بدون نیاز به شخص ثالث مورد اعتماد، نقش یک نشانگر زمانی معتبر را اجرا می‌کند. مروری بیشتر درباره این موضوع توسط Shuaib و همکاران ارائه شده است.
سرانجام، یک مشکل عملی مبنی بر این وجود دارد که اکثر روشهای تصویربرداری از امضای دیجیتال پشتیبانی نمی‌کنند. کرول و همکاران استفاده از یک سیستم تعبیه شده (یعنی، یک کامپیوتر بسیار کوچک) را به عنوان درگاهی که تصاویر را از یک مودالیتی دریافت می‌کند، به هر تصویر یک امضای دیجیتال اضافه می‌کند و سپس تصاویر را به بایگانی تصویر هدایت می‌کند پیشنهاد می‌کنند.
نهان نگاری
تعداد نسبتاً زیادی از نشریات درباره مفهوم “علامت گذاری دیجیتال” تصاویر پزشکی بحث می‌کنند. نهان نگاری فرایندی را توصیف می‌کند که به موجب آن اطلاعات (مانند اطلاعات هویتی یا یک امضای دیجیتالی) در داده‌های پیکسل تصویر به شکل اطلاعاتی با فرکانس بالا (“برف”) “مخفی” می‌شود که تا حد زیادی برای چشم انسان غیرقابل مشاهده است اما توسط یک الگوریتم که به طور خاص وجود یک علامت چاپ دیجیتال را بررسی می‌کند، قابل تشخیص است. به طور کلی، از نهان نگاری برای سه منظور اصلی تأیید اعتبار، کنترل یکپارچگی و پنهان کردن اطلاعات در تصویر (steganography) استفاده می‌شود.
نهان نگاری که برای احراز هویت در نظر گرفته می‌شوند معمولاً به عنوان نهان نگاری‌های “قوی” طراحی می‌شوند که قابلیت رمزگشایی دارند حتی اگر برخی تغییرات خاص مانند فشرده سازی مضر بر روی تصویر اعمال شده باشد. نهان نگاری برای کنترل یکپارچگی از نظر مفهومی، مشابه با یک امضای دیجیتالی هستند: اگر تصویر به هر طریقی اصلاح شود، نهان نگاری باید نامعتبر شود. مفهوم “پنهان کردن داده” در برنامه‌های تله رادیولوژی که در آن تصاویر شناسایی زدایی شده بدون رمزگذاری ذخیره و منتقل می‌شوند، استفاده شده است و اطلاعات شناسایی بیمار به عنوان نهان نگاری‌هایی در داده‌های تصویر “پنهان” است. مروری خوب بر روی علامت گذاری دیجیتال و الزامات استفاده در تصویربرداری پزشکی توسط Nyeem و همکاران ارائه شده است. singh و همکاران همچنین مروری جامع بر موضوع کرده‌اند.
هنگامی که برای اهداف احراز هویت استفاده می‌شود، مزیت اصلی نهان نگاری‌های دیجیتال نسبت به امضا‌های دیجیتالی این است که به سختی می‌توان نهان نگاری‌ها را از تصویر حذف کرد، در حالی که امضای دیجیتال را می‌توان به راحتی حذف کرد. در محیطی که از هر دو عکس امضا شده دیجیتالی و بدون امضا استفاده می‌شود، یک مهاجم به راحتی تصمیم می‌گیرد که امضا را از تصویری که دستکاری شده است حذف کند و از شناخته شدن پرهیز می‌کند. وقتی از نهان نگاری استفاده می‌شود، این مسئله بسیار دشوارتر است.
عیب اصلی نهان نگاری دیجیتالی این است که باعث افت کیفیت تصویر می‌شوند، که اغلب برای تصاویر پزشکی قابل قبول نیست. بنابراین، بیشتر نشریات در مورد این موضوع پیشنهاد می‌کنند که “منطقه مورد نظر” که فقط در قسمت‌های باقی مانده تصویر، یعنی “پس زمینه” پنهان می‌شود قبل از استفاده از نهان نگاری شناسایی شود. متأسفانه، شناسایی منطقه مورد نظر نمی‌تواند به طور کامل برای انواع تصاویر به طور خودکار انجام شود. بعلاوه، با افزایش اهمیت کاربردهای هوش مصنوعی در تصویربرداری پزشکی، تأثیر نهان نگاری دیجیتال بر آموزش و استفاده از شبکه‌های عصبی هم‌گشتی مسئله ای نگران کننده است. ممکن است یک مجموعه داده آموزشی حاوی تصاویر نهان نگاری شده و تصاویر فاقد نهان نگاری باعث شود شبکه عصبی “یاد بگیرد” وجود یا عدم وجود نهان نگاری را به جای بعضی علائم کلینیکی قابل رویت در تصاویر که دقت طبقه بندی تصاویر را به صورت منفی تحت تاثیر قرار می‌دهند تشخیص دهد.
مشکل اصلی در مورد نهان نگاری این است که هرگز استاندارد نشده است، بنابراین همه رویکردها اختصاصی هستند. علاوه بر این، نهان نگاری به طور معمول به برخی از رازهای مشترک (به عنوان مثال، یک کلید مخفی) بستگی دارد که گیرنده برای شناسایی نهان نگاری باید آن را بداند. بدون چنین راز مشترکی، یک مهاجم مخرب می‌تواند به راحتی وجود نهان نگاری را بررسی کند و تصویر را اصلاح کند تا زمانی که نهان نگاری دیگر قابل تشخیص نباشد، که در واقع همان حذف امضای دیجیتال است.
با این وجود، هنگامی که از یک راز مشترک استفاده می‌شود، سوال این است که چگونه می‌توان این راز را بین فرستنده و گیرنده به اشتراک گذاشت، به طوری که مهاجم نه بتواند آن را بخواند و نه آن را حذف کند.
پاکسازی مقدمه پرونده DICOM
قالب فایل DICOM که هنگام مبادله تصاویر DICOM در رسانه ذخیره سازی یا استفاده از خدمات وب DICOM استفاده می‌شود، مشخص می‌کند که 128 بایت اول پرونده، اصطلاحاً مقدمه ممکن است حاوی اطلاعات تصادفی باشد که توسط خواننده DICOM استفاده نشده است. در سال 2019، اورتیز گزارش و اثباتی در مورد مفهوم منتشر کرد که نشان می‌دهد می‌توان از مقدمه برای ساخت پرونده‌هایی که در عین حال یک تصویر معتبر DICOM و یک برنامه معتبر قابل حمل و قابل اجرا windows هستند، سوءاستفاده کرد. این مسئله در پایگاه داده آسیب پذیری ملی موسسه ملی استاندارد و فناوری (NIST) با عنوان CVE 2019 11687 ثبت شده و با نمره پایه شدت “بالا” رتبه بندی شده است. در توضیح آسیب پذیری‌ها و مواجه‌های مشترک (CVE) توضیح داده شده است که: “برای سوء‌استفاده از این آسیب پذیری، کسی باید یک فایل نادرست ساخته شده را که در قالب فایل DICOM قسمت 10 رمزگذاری شده است، اجرا کند. پرونده‌های PE / DICOM حتی با پسوند فایل .dcm نیز قابل اجرا هستند. تنظیمات ضد بد افزار در مراکز بهداشتی درمانی معمولاً تصاویر پزشکی را نادیده می‌گیرند. ” همانطور که در بیانیه مطبوعاتی کمیته DICOM توضیح داده شده است، “یک کاربر ممکن است متقاعد شود که پرونده را از طریق مهندسی اجتماعی اجرا کند. متناوباً، یک بازیگر مخرب جداگانه که از قابل اجرای تعبیه شده اطلاع داشته باشد و به فایل اصلاح شده دسترسی داشته باشد، می‌تواند بد افزار را نصب و اجرا کند. از این نوع نفوذ به عنوان حمله چند فاز یاد می‌شود. یک سند “سوالات متداول” همراه با بیانیه مطبوعاتی توصیه می‌کند برنامه‌هایی که تصاویر DICOM را از رسانه می‌خوانند یا آن‌ها را با استفاده از DICOMweb دریافت می‌کنند باید “تضمین کنند که در صورت وجود مقدمه، مقدمه شناخته شده‌ای مانند TIFF باشد. در غیر این صورت، مقدمه باید پاک شود .
لازم به ذکر است که مقدمه پرونده DICOM در شرایطی که تصویر از طریق شبکه با استفاده از پروتکل شبکه DICOM ارسال شود، منتقل نمی‌شود. به. این بدان معنی است که انتقال شبکه‌ای از یک تصویر DICOM به طور خودکار با حذف کردن سربرگ نهان نگاری کد را قابل اجرا می‌کند، تصویر را “پاک” می‌کند. در موارد دیگر، برنامه‌هایی که پرونده‌های DICOM را مدیریت می‌کنند باید مقدمه پرونده را پاک کنند.
بحث
هنگام مقایسه دو مجموعه از مطالعات ارائه شده در بخش “بررسی”، یک قطع ارتباط قابل توجه بین این دو وجود دارد : در حالی که مطالعات مربوط به امنیت سایبری عمومی و IT مراقبت سلامت تلاش می‌کند تا رویکردهای امنیتی چندلایه و جامعی ارائه دهد، مطالعات موجود در زمینه امنیت سایبری برای PACS و تصویربرداری پزشکی بر جنبه‌های فردی مانند شناسایی زدایی تصاویر، محافظت از تصاویر در برابر تغییرات غیر قابل شناسایی، یا رمزگذاری تصاویر در حال انتقال تمرکز می‌کند. به طور کلی، به نظر می‌رسد که بسیاری از نشریات مربوط به teleradiology و به اشتراک گذاری تصاویر پزشکی حاکی از امنیت شبکه محلی در بیمارستان است و ملاحظات مربوط به امنیت سایبری فقط زمانی منتقل می‌شوند که تصاویر فراتر از محیط شبکه بیمارستان منتقل شوند. گرچه ممکن است این رویکرد 20 سال پیش منطقی بوده باشد، اما به طور قطع امروز دیگر کافی نیست.
به عنوان مثال، یک استراتژی امنیتی چند لایه برای PACS به این شکل باشد:
مقدمه پرونده هنگام دریافت یا وارد کردن پرونده‌های DICOM پاک می‌شود، اما با این وجود از نرم‌افزار ضد ویروس و لیست سفید برنامه در بینندگان DICOM که فایل‌ها را دریافت می‌کنند استفاده می‌شود.
یکپارچگی تصاویر با امضا‌های دیجیتالی تأمین می‌شود، اما با این وجود انتقال شبکه تصاویر از گواهی‌های کلید عمومی برای تأیید اعتبار منابع مجاز تصویر استفاده می‌کند.
تصاویر در صورت امکان شناسایی می‌شوند، اما با این وجود رمزگذاری برای انتقال استفاده می‌شود.
ارتباطات شبکه در شبکه PACS به انتقال رمزگذاری شده و معتبر تبدیل می‌شود، اما با این وجود شبکه با فایروال و تقسیم بندی شبکه ایمن شده است.
شبکه PACS با فایروال و تقسیم بندی شبکه ایمن شده است، اما با این وجود یک سیستم تشخیص نفوذ برای شناسایی نقض امنیت شبکه مستقر شده است
دسترسی به تصاویر در PACS توسط حقوق دسترسی خاص کاربر کنترل می شود، اما با این وجود یک دنباله حسابرسی ایجاد می شود که اجازه می دهد این که “چه کسی چه کاری انجام داده است” ارزیابی شود.
نرم‌افزار آنتی ویروس و لیست سفید در صورت امکان برای جلوگیری از حملات باج افزار نصب می‌شوند، اما با این وجود یک نسخه پشتیبان و از راه دور از پایگاه داده حفظ می‌شود.
در این رویکرد، نقض یک اقدام کاهش اثر، امنیت شبکه PACS را به خطر نمی‌اندازد. مقالاتی که در مورد سناریوهای حمله مشخص علیه شبکه‌های PACS و اقدامات کاهش اثر بحث می‌کنند اخیراً توسط Desjardins و همکاران و ایشلبرگ و همکاران [EKK20] منتشر شده است. علاوه بر این، راهنمای تمرین امنیت سایبری NIST در مورد ایمن سازی PACS بدون شک ممکن است اولین تلاش برای ترکیب تمام عناصر سازنده در یک راه حل جامع مثال زدنی باشد. مطمئناً در آینده به کار بیشتری در این راستا نیاز خواهد بود. خبر خوب این است که بیمارستان‌ها از نظر امنیت سایبری درمانده نیستند: مولفه‌های ایجاد یک استراتژی امنیتی چند لایه در شبکه‌های PACS وجود دارد – حداقل از نظر مفهومی – و بسیاری از آن‌ها به راحتی قابل استفاده هستند. در حالی که چنین راه حل‌هایی باید به طور مداوم حفظ و به روز شوند و در حالی که خطای انسانی همیشه عاملی است که باید مورد توجه قرار گیرد، یک استراتژی امنیتی چند لایه، آسیب رساندن یا ایجاد اختلال را برای بازیگران مخرب بسیار دشوار می‌کند و تأثیر حملات مخرب حتی اگر یک فاز از حمله باشد را به صورت موفقیت آمیز کاهش می‌دهد. بنابراین، امنیت سایبری بیشتر یک مسئله تأمین بودجه، اجرا و نگهداری است تا یک مسئله امکان سنجی ابتدایی. در گذشته، ممکن است در بسیاری از بیمارستان‌ها از امنیت سایبری دست کم گرفته شده و از بودجه کافی برخوردار نباشند، اما افزایش تعداد حوادث امنیتی که به طور گسترده تبلیغ شده‌اند، مانند مواردی که در مقدمه مورد بحث قرار گرفت، به تغییر این امر کمک خواهد کرد.
امروزه، اقدامات ویژه PACS و تصویربرداری پزشکی ارائه شده در بخش “امنیت سایبری در PACS و تصویربرداری پزشکی” ممکن است در تنظیمات تله رادیولوژی اجرا شود، اما معمولاً برای عملکرد معمول در شبکه بیمارستان مورد استفاده قرار نمی گیرند، که می تواند کمک مهمی به “دفاع در عمق” چند لایه برای شبکه تصویربرداری فراهم کند. از نظر نویسندگان، عوامل زیر در این وضعیت موثر هستند:
عدم پشتیبانی از دستگاه: تعداد کمی از روشهای تصویربرداری از رمزگذاری پشتیبانی می کنند یا می توانند امضاهای دیجیتالی را بر روی تصاویر پزشکی اعمال کنند. این تا حد زیادی یک مشکل “مرغ و تخم مرغ” است : کاربران تا زمانی که بسیاری از دستگاه های دیگر از این فناوری ها پشتیبانی نمی کنند در هنگام تهیه دستگاه انگیزه کمی برای درخواست پشتیبانی از این فن آوری ها دارند و تا زمانی که تقاضای مشتری کم باشد انگیزه کمی برای فروشندگان برای پیاده سازی و ارائه این فن آوری ها وجود دارد. در حالی که رمزگذاری در شکل امنیت حمل و نقل می تواند با استفاده از سخت افزار یا نرم افزار درگاهی به یک شبکه عملیاتی PACS اضافه شود، و در حالی که رمزگذاری داده ها “در حالت استراحت “( به عنوان مثال، در بایگانی PACS یا VNA) می تواند در محصولات جداگانه اجرا شود، امضاهای دیجیتالی نیاز به پشتیبانی هم در دستگاه های ایجاد تصاویر یا اسناد و هم در دستگاه های خواندن و پردازش یا نمایش این تصاویر یا اسناد دارند.
فقدان زیرساخت کلید عمومی قابل استفاده: توسعه امنیت حمل و نقل (به عنوان مثال، رمزگذاری شبکه)، رمزگذاری انتخابی یا کامل تصاویر DICOM یا امضاهای دیجیتالی، نیازمند مدیریت گواهینامه ها و کلیدهای خصوصی است که همه این پروتکل ها به آنها متکی هستند. گواهینامه یک پرونده دیجیتالی است که شامل یک کلید عمومی، اطلاعات هویتی در مورد صاحب آن کلید عمومی (به عنوان مثال، شخص یا نام سیستم)، یک دوره اعتبار و یک امضای دیجیتالی توسط یک “مرجع صدور گواهینامه” (CA) معتبر است که هویت مالک را تأیید کرده است. هر گواهی با “کلید خصوصی” همراه است که هرگز منتقل نمی شود و باید مخفی نگه داشته شود. همه سیستم هایی که اتصالات رمزگذاری شده را رمزگذاری می کنند، پرونده ها را رمزگذاری یا رمزگشایی می کنند، یا امضاهای دیجیتالی را ایجاد یا تأیید می کنند، باید دارای یک جفت گواهینامه و کلید خصوصی باشند و قوانینی داشته باشند که توضیح دهد کدام گواهینامه های دیگر را باید قابل اعتماد دانست (این معمولاً لیست صریحی است از تمام گواهینامه های قابل اعتماد یا لیستی از گواهینامه های CA، که در این صورت کل صدور گواهینامه ها توسط یکی از این CA ها قابل اعتماد تلقی می شود) از آنجا که اعتبار تمام گواهی ها محدود است، باید به طور منظم و خودکار به روز شوند. با کمال تعجب، هیچ استاندارد خوبی برای این کار وجود ندارد که بتواند برای یک محیط PACS مناسب باشد.
همین که بیمارستان ویژگی‌های امنیتی به عنوان بخشی از فرآیند تهیه PACS و دستگاه‌های تصویربرداری درخواست کنند، قطعاً پشتیبانی از دستگاه تغییر خواهد کرد. فقدان راه حل‌های مناسب برای زیرساخت‌های کلید عمومی PACS نشان می‌دهد که ابتدا کار استاندارد سازی، به عنوان مثال در قالب مشخصات یکپارچه سازی IHE، لازم است.
خلاصه
در برخی موارد، برای نصب نرم‌افزار اضافی (مانند نرم افزار پشتیبان یا آنتی ویروس) یا پیکربندی سیستم عامل (برای استفاده از ویژگی‌های لیست سفید)، پشتیبانی فروشنده مورد نیاز است، که در مورد دستگاه‌های پزشکی ممکن است در پروسه صدور گواهینامه در نظر گرفت شود (به عنوان مثال، مدیریت ریسک). نصب بروزرسانی‌ها و پچ ها و نگهداری پیکربندی ایمن سیستم در طول زمان مستلزم ارائه بروزرسانی‌های معتبر توسط فروشنده است. اقدامات دیگر به پشتیبانی فروشنده در احراز هویت و دسترسی کاربر به نرم افزار محصول، ایجاد و تأیید امضاهای دیجیتالی یا نهان نگاری، ذخیره سازی اسناد رمزگذاری شده، ارائه سوابق ممیزی به یک سرور رد ممیزی مرکزی و استفاده از شناسایی زدایی یا رمزگذاری انتخابی نیاز دارد. تکنیک‌ها در صورت امکان فقط توسط فروشنده محصول قابل اجرا هستند. سرانجام، ایجاد زیرساخت های کلید عمومی که توزیع خودکار و تمدید گواهینامه‌های مشتری را فراهم می‌کند، نیاز به همکاری بین سازمان کاربر (که مسئول PKI است) و فروشنده، که باید پشتیبانی از PKI را در محصول پیاده سازی کند، دارد. همانطور که در بالا بحث شد، امنیت حمل و نقل ممکن است از طریق درگاه یا مستقیماً در محصول اجرا شود، بنابراین این امر می تواند با یا بدون پشتیبانی فروشنده اجرا شود. به طور خلاصه، عناصر سازنده استراتژی امنیتی چند لایه در شبکه های PACS امروزه حداقل به صورت مفهومی وجود دارد و بسیاری از آنها به راحتی قابل استفاده هستند. در حالی که چنین راه حل هایی باید به طور مداوم حفظ و به روز شوند، و در حالی که خطای انسانی همیشه عاملی است که باید مورد توجه قرار گیرد، یک استراتژی امنیتی چند لایه، آسیب رساندن یا ایجاد اختلال را برای بازیگران مخرب بسیار دشوار می کند و اگر بیمارستانها تصمیم بگیرند منابع مورد نیاز را تعیین کنند، تأثیر حملات مخرب حتی اگر یک مرحله از حمله موفقیت آمیز باش، کاهش می یابد.
با این وجود، برخی از موارد عملی وجود دارد که مانع اجرای آن می شود. این شامل عدم پشتیبانی از ویژگی های امنیتی در محصولات تصویربرداری پزشکی امروز و فقدان راه حل های عملی برای مدیریت زیرساخت های کلید عمومی برای یک شبکه PACS و تصویربرداری پزشکی است که در آن دستگاه‍‌های فروشندگان مختلف، شاید با استفاده از سیستم عامل های مختلف، باید به طور مداوم با گواهی مشتری و سیاست های تأیید گواهی تامین شوند.
منبع :https://www.marcopacs.com