jueves, diciembre 21, 2006

La seguridad en el estándar DICOM


Una de las partes menos implementadas y conocidas dentro del estándar DICOM es el tema de la seguridad. Sin embargo, la parte 15 del estándar está dedicada al completo a este aspecto. En este artículo intentaremos dar una primera visión de los aspectos de seguridad que se pueden implementar y que hay que tener en cuenta en nuestro sistema de imagen digital.

Introducción
En España tenemos la Ley Orgánica 15/1999 como garante legal y obligación en el tema de la protección de datos en el ámbito de la salud. En dicha ley se obliga a proteger los datos personales y evitar que se obtengan de forma ilícita. Esto obliga a implementar sistemas de seguridad, auditorías de accesos y encriptación de los datos y comunicaciones. No podemos permitir que un usuario malintencionado tenga acceso a la información personal de un paciente y en caso que pueda ganar acceso a nuestros sistemas, garantizar que la información que obtenga no tenga datos personales que puedan identificar al paciente.

Las imágenes DICOM tienen la peculiaridad de que son objetos autocontenidos, es decir, que incluyen en su cabecera toda la información del paciente, por lo que si un usuario malintencionado consigue obtener una imagen, tendrá toda la información del paciente junto con su imagen. Otro de los aspectos importantes es que, inicialmente, el estándar DICOM no se pensó en términos de seguridad.

Con estas premisas, pasamos a ver cuáles son los aspectos de seguridad que podemos implementar en nuestro sistema de imagen digital.

Perfiles de Seguridad
La parte 15 del estándar define 8 perfiles de seguridad sobre los que se puede actuar. No es necesario implementarlos todos, se pueden acometer por separado:

  • Perfiles de Uso: Trata sobre el uso de atributos y temas de seguridad en el uso de maneras específicas.
  • Perfiles de Conexiones: en este apartado, se trata cómo se negocian las comunicaciones, los mecanismos de autentificación de entidades, la encriptación del canal y el chequeo de la integridad.
  • Perfiles de Firma Digital: cómo incluir firma digital en el dataset de las imágenes y el propósito de la misma.
  • Perfiles de Seguridad en el Almacenamiento: indica cómo se encapsularán y protegerán las imágenes en el almacenamiento.
  • Perfiles de Confidencialidad en los Atributos: indica cómo encriptar los datos de la cabecera las imágenes.
  • Perfiles de Manejo de Direccionamiento: explica cómo manejar situaciones con servidores DHCP y DNS.
  • Perfiles de Sincronización de Tiempos: explica cómo manejar situaciones con el protocolo NTP para la sincronización de tiempos.
  • Perfiles de Administración de Configuración de Aplicaciones: explica cómo se debe guardar la información en un servidor LDAP, qué campos y con qué formato.
En este artículo no tenemos espacio para tratarlos todos, así que trataremos solamente el perfil de confidencialidad de atributos. Muchos de estos perfiles son complicados de usar porque precisan que ambas partes (cliente y servidor) lo utilicen. Sin embargo, algunos de ellos se pueden abordar unilateralmente dando más seguridad a nuestro sistema. Este es el caso de la encriptación de datos de cabecera.

Perfil de Confidencialidad en los Atributos
El objetivo de este perfil es que si un hacker o usuario malintencionado obtiene acceso a nuestro repositorio de imágenes, no sea capaz de identificar los datos del paciente que se encuentran en la cabecera. Aunque tenga acceso a la imagen radiológica, no compromete la privacidad del paciente.

La situación ideal sería esta:














La imagen es generada y encriptada en la modalidad. El envío hacia el PACS se realiza con la imagen encriptada, el cual la desencripta para leer la información y la vuelve a encriptar para guardarla en el almacenamiento. Cuando un visor pide la imagen, ésta es enviada de forma encriptada y se desencripta en el cliente.

Para poder llevar a cabo esta situación, es imprescindible que todos los elementos involucrados sean capaces de encriptar/desencriptar la información de cabecera, algo prácticamente imposible hoy en día. Sin embargo, se puede ir hacia un modelo alternativo en el que nuestro sistema encripte la información que le llega y la desencripte cuando se la pidan. Las imágenes permanecen seguras en el almacenamiento aunque no en las comunicaciones. Obtenemos una seguridad parcial pero no dependemos de terceros para implementarlo:














En este caso, un atacante podría interceptar las imágenes, pero en el almacenamiento estarían seguras.

Datos Encriptados
Los datos de cabecera encriptados se quitarán del dataset o se reemplazarán por un valor distinto y se encriptarán en el atributo (0400,0550). Los atributos a encriptar proporcionados por el estándar son los siguientes, aunque es responsabilidad del fabricante encriptar más si contienen información sensible:























Conformance Statement
El Conformance Statement para este perfil de seguridad requiere que se detallen los siguientes aspectos:

  • Qué atributos son quitados durante la protección
  • Qué atributos han sido reemplazados por valores "dummy" y cómo estos valores son generados.
  • Qué atributos se incluyen en la parte encriptada y cómo son seleccionadas las claves para su codificación.
  • Si la aplicación es capaz de asegurar la integridad de los datos "dummy".
  • Qué atributos y valores de atributos son insertados durante la protección de un SOP Instance.
  • Qué Transfer Syntax son soportados para la encriptación/desencriptación de datos.
  • Qué esquemas de confidenciales son soportados
  • Cualquier restricción adicional.

Conclusión
La seguridad es algo muy importante y muy olvidado dentro del mundo de la imagen digital, muchas veces por desconocimiento. Sin embargo, el estándar contempla todos estos aspectos y da soluciones para crear sistemas seguros y que cumplan con la ley. Muchas veces dependemos de terceros para crear entornos seguros, pero hay partes que se pueden aplicar unilateralmente como ésta que hemos visto en este artículo.

Como siempre, espero que os haya gustado este artículo y en siguientes intentaré tratar otros perfiles de seguridad del estándar DICOM.

No hay comentarios: