در حالی که تعداد زیادی از نشریات در مورد نیازهای امنیت سایبری فناوری اطلاعات در بهداشت و درمان به طور کلی بحث می‌کنند، تعداد نشریاتی که به طور خاص در مورد الزامات امنیتی PACS و تصویربرداری پزشکی بحث می‌کنند بسیار کمتر است و بسیاری از نشریات موجود بر الزامات امنیتی در زمینه تبادل تصاویر پزشکی از طریق شبکه‌های عمومی، به عنوان مثال، در زمینه برنامه‌های teleradiology / telemedicine یا سوابق الکترونیکی بهداشت (EHR) تمرکز می‌کنند.

استریکلند در مورد خطرات مرتبط با استقرار و بهره برداری از PACS بدون فیلم بحث می‌کند، اگرچه روی امنیت سایبری متمرکز نیستند. دژاردین و همکاران یک نمای کلی از مسائل مربوط به امنیت سایبری مربوط به DICOM ارائه می‌دهد و توصیه‌هایی را برای رادیولوژیست ها، کارکنان فناوری اطلاعات و نهادهای استاندارد ارائه می‌دهد.

Ruotsalainen با تمرکز بر جنبه های سازمانی، الزامات مدل‌های قابل اطمینان teleradiology را مورد بحث قرار می‌دهد. این الزامات شامل یک سیاست امنیتی مشترک است که کلیه شرکا و نهادها، اصول و الزامات مشترک امنیت و حریم خصوصی، قراردادهای کنترل شده بین شرکا و استفاده از کنترل‌های امنیتی و ابزارهایی که از سیاست امنیتی مشترک پشتیبانی می‌کنند را پوشش می‌دهد. امنیت و حفاظت از حریم خصوصی هر سیستم teleradiology باید از قبل برنامه ریزی شده باشد و ابزارهای لازم برای تقویت امنیت و حریم خصوصی باید بر اساس تجزیه و تحلیل خطر و الزامات تعیین شده توسط قانون باشد. GutiérrezMartínez و همکاران در مورد نحوه پیاده سازی سیستم مدیریت امنیت اطلاعات در یک مقیاس وسیع را برای PACS مطابق با ISO / IEC 27002 2013 بحث می‌کنند. نهایتا، نشریه اخیر NIST، یک معماری مرجع برای PACS امن را با استفاده از ابزارها و تکنولوژی‌های استاندارد که از نظر تجاری در دسترس هستند، از جمله مناطق شبکه ای تقسیم شده، تایید هویت و کنترل دسترسی و همچنین یک رویکرد جامع مدیریت ریسک ارائه می‌دهد. نشریات مورد بحث هر کدام یک “عنصر سازنده” جداگانه برای ذخیره سازی امن یا تبادل تصاویر پزشکی را در زیر ارائه میدهد.

شناسایی زدایی تصویر

در بسیاری از موارد، از نظر قانونی لازم است تصاویر قبل از انتقال به شخص ثالث یا ارسال به پایگاه داده، شناسایی زدایی شوند. موارد استفاده معمول شناسایی زدایی تصویر، شامل مطالعات بالینی، تحقیقات و پایگاه داده های آموزشی است. با این حال، شناسایی زدایی همچنین می تواند در صورت امکان برای برنامه های teleradiology مفید باشد زیرا ناشناس سازی به صورت غیر قابل برگشت می تواند به طور قابل توجهی الزامات امنیتی برای به اشتراک گذاری تصویر را کاهش دهد. در مورد استاندارد DICOM، شناسایی زدایی تصویر چندان بی اهمیت نیست. در نسخه فعلی خود [۳۴]، استاندارد DICOM بیش از ۴۵۰۰ ویژگی (زمینه) را که ممکن است در “سربرگ” یک تصویر DICOM وجود داشته باشد، تعریف می کند و برای هر ویژگی باید تصمیم گرفت که آیا حاوی اطلاعات محرمانه ای که باید حذف شود می باشد یا خیر ، و اگر می باشد، چگونه می توان بدون اینکه بر صحت و ثبات تصویر یا مطالعه ای که تصویر به آن تعلق دارد تأثیر منفی بگذارد اطلاعات را حذف کرد. این شامل بسیاری از قسمتهای کامنت متن ـ رایگان است که ممکن است حاوی اطلاعات محرمانه باشد یا نباشد. بعلاوه، DICOM به فروشندگان اجازه می دهد تا ویژگیهای مختص فروشنده “خصوصی” را به تصویر DICOM اضافه کنند که ممکن است حاوی اطلاعات شناسایی بیمار نیز باشد. نهایتا، در بعضی موارد اطلاعات شناسایی بیمار در خود طرح بیتی تصویر وجود دارد (به عنوان مثال، اکثر دستگاه های سونوگرافی نام بیمار را در داده های تصویر قرار می دهند) یا می توان صورت بیمار را از یک مجموعه تصویر بازسازی کرد (به عنوان مثال CT از سر )

خود استاندارد DICOM دستورالعمل های مفصلی را برای شناسایی زدایی تصاویر و داده های مرتبط در قالب “پروفایل ابتدایی محرمانگی سطح کاربری ” ارائه می دهد که در سال ۲۰۱۱ به استاندارد اضافه شد. لیستی از حدود ۳۵۰ ویژگی DICOM را ارائه می دهد که هنگام شناسایی زدایی باید در نظر گرفته شوند و دستورالعمل هایی را برای نحوه مدیریت این موارد ارائه می دهد. علاوه بر این، ۱۰ گزینه مختلف (به عنوان مثال، “داده های پیکسل واضح ، “حفظ اطلاعات زمانی طولی” و “حفظ هویت دستگاه”) ارائه می شود که به کاربران امکان می دهد فرآیند شناسایی زدایی را با نیازهای مورد استفاده خود سازگار کنند. فریمن و همکاران [۴۳] الزامات شناسایی زدایی برای پایگاه‌های داده‌های تحقیقاتی را تحت قانون قابلیت حمل و مسئولیت پذیری بیمه سلامت ایالات متحده (HIPAA) توصیف می‌کند و پیاده سازی پروفایل ابتدایی محرمانگی سطح کاربری DICOM برای پروژه بایگانی تصویربرداری زیست پزشکی ملی را ارائه می‌دهد. رابینسون مروری بر مطالعات و ابزارهای موجود برای شناسایی زدایی مجدد تصاویر DICOM ارائه می‌دهد و در مورد مواردی که ممکن است اطلاعات شناسایی بیمار در داده‌های پیکسل تصویر وجود داشته باشد، مانند تصاویر سونوگرافی و پزشکی هسته ای، ضبط صفحه نمایش، اسناد اسکن شده، ارسال تصاویر پردازش شده و خروجی برخی از سیستم های ردیابی رایانه ای بحث می کند.. کلونی و همکاران درباره مورد ویژه ای صحبت می کنند که اطلاعات شناسایی بیمار در داده های پیکسل تصویری که با استفاده از الگوریتم فشرده سازی JPEG (گروه متخصص عکاسی مشترک)تحت پروسه فشرده سازی غیرقابل برگشت (مضر) قرار گرفته جاسازی شده است، چیزی که به عنوان مثال در حلقه‌های فیلم سونوگرافی معمول است. در این شرایط ، توالی رفع فشار، شناسایی زدایی و فشرده سازی مجدد منجر به کاهش کیفیت تصویر می‌شود که مطلوب نیست. آن‌ها توصیف می‌کنند که چگونه خاصیت یک الگوریتم JPEG، که بلاک‌های کوچک تصویر را فشرده می‌کند، یک ابزار شناسایی را قادر می‌سازد فقط آن قسمت‌های تصویر که حاوی اطلاعات شناسایی بیمار است را تغییر دهد، بدون اینکه قسمت‌های دیگر را تغییر دهد. سرانجام، آریانتو و همکاران در مورد چگونگی ادغام یک فرایند شناسایی زدایی در یک شبکه اشتراک تصویر که بر اساس پروفایل یکپارچگی اشتراک اسناد تصویری بین سازمانی IHE (XDS I) انجام شود، بحث می‌کنند.

امنیت حمل و نقل

پروتکل شبکه DICOM که معمولاً برای تبادل تصاویر پزشکی استفاده می‌شود، مبتنی بر TCP / IP (پروتکل کنترل انتقال / پروتکل اینترنت) است. گروه ویژه مهندسی اینترنت (IETF)، نهاد حاکم بر پروتکل اینترنت، تعدادی از استانداردها و مشخصات را تعریف کرده است که یکسری ویژگی‌های امنیتی را به TCP / IP اضافه می‌کند که اگر اضافه نشوند، سطح حفاظتی به صورت گسترده ای پایین خواهد آمد.

به طور خاص، TLS یک پروتکل شبکه مبتنی بر TCP / IP است که برنامه‌ها را قادر میسازد از طریق اینترنت به گونه ای ارتباط برقرار کنند که استراق سمع، دستکاری و جعل پیام صورت نگیرد. TLS را می‌توان برای همه پروتکل‌های شبکه مبتنی بر TCP مانند DICOM، HL7 یا سرویس‌های وب مانند موارد استفاده شده برای IHE XDS I اعمال کرد.

این استاندارد که در اصل در سال ۱۹۹۹ با نام TLS 1.0 تعریف شد، برای ایمن ماندن به طور مداوم بروز می‌شود و نتایج حاصل از تحقیقات رمزنگاری را با در نظر گرفتن قدرت روزافزون رایانه‌ها اجرا می‌کند. استاندارد DICOM مجموعه‌ای از پروفایل اتصال حمل و نقل ایمن را ارائه می‌دهد که نحوه استفاده از TLS با اتصالات شبکه DICOM را توصیف می‌کند. اولین مورد، پروفایل ابتدایی اتصال حمل و نقل ایمن TLS  در اوایل سال ۲۰۰۰ به استاندارد اضافه شد و یک مورد پیاده سازی مرجع منبع آزاد از این پسوند جدید DICOM به طور علنی در نشست سالانه انجمن رادیولوژی آمریکای شمالی (RSNA) در همان سال نشان داده شد.

برای سیستم‌هایی که از TLS پشتیبانی نمی‌کنند، می‌توان درگاهی را اجرا کرد که اتصالات شبکه DICOM “معمولی” را بپذیرد و اینها را با استفاده از TLS بفرستد. پیاده سازی اولیه چنین درگاهی قبلاً توسط Thiel و همکاران در سال ۱۹۹۹توصیف شده بود. رویکردهای جایگزین برای امنیت حمل و نقل، استفاده از VPN است که توسط Nyeem و همکاران مورد بحث قرار گرفته است و انتقال ایمیل رمزگذاری شده، که توسط Schütze و همکاران توصیف شده است.

رمزگذاری انتخابی سربرگ DICOM

در بعضی موارد، بهتر است به جای استفاده از یک طرح امنیتی حمل و نقل که در بخش قبل هم بحث شد ،فقط آن ویژگی‌هایی از سر برگ DICOM را که حاوی اطلاعات شناسایی بیمار است به صورت انتخابی رمز گذاری کنیم. اساساً این رویکرد همان روشی است که در شناسایی زدایی تصویر استفاده می‌شود، با این تفاوت که مقادیر قسمت‌های سر‌یرگ که در طی فرآیند شناسایی زدایی اصلاح می‌شوند، در یک ظرف رمزگذاری شده ذخیره می‌شوند و می‌تواند بعداً برای بازسازی تصویر اصلی و کاملاً مشخص استفاده شود. این مفهوم در ابتدا توسط Thiel و همکاران در پروژه Medbild ارائه شد، در این پروژه teleradiology در یک شبکه سریع کلان شهری اجرا شد و دیده شده که وقتی رمزگذاری حمل و نقل فعال است، کامپیوترها قادر به استفاده کامل از پهنای باند شبکه موجود نیستند، یعنی رمزگذاری سرعت انتقال داده را به طور قابل ملاحظه‌ای کم می‌کند. در بیشتر روش‌های تصویربرداری، خطر شناسایی مجدد بیمار توسط داده پیکسل تصویر وجود ندارد، که معمولاً بیش از ۹۹٪ اندازه تصویر DICOM را تشکیل می‌دهد. بنابراین، یک رمزگذاری انتخابی از سریرگ، پروژه را قادر می‌سازد تصاویر را با سرعت کامل انتقال دهد بدون آنکه محرمانه بمانند.

این رویکرد در DICOM بعنوان بخشی از پروفایل محرمانگی سطح کاربری که در بخش شناسایی زدایی تصویر مورد بحث قرار گرفت، استاندارد شد. ویژگی‌ها و مقادیر ویژگی‌هایی که در طی فرآیند شناسایی زدایی اصلاح می‌شوند، در یک مجموعه داده جداگانه DICOM کپی می‌شوند که با استفاده از قالبی به نام (CMS) cryptographic messeage syntax رمزگذاری می‌شود و سپس در سربرگ تصویر DICOM شناسایی زدایی شده به صورت رمزگذاری شده ذخیره می‌شود. بسته به نوع مدیریت کلید انتخاب شده، فقط صاحب کلید گیرنده خصوصی یا هرکسی که کلید رمزنگاری از قبل به اشتراک گذاشته شده را در اختیار دارد می‌تواند تصویر اصلی را بازسازی کند.

رمزگذاری کامل تصاویر DICOM

بدیهی است که یک جایگزین برای رمزگذاری انتقالی گذرا یا رمزگذاری انتخابی زمینه‌های سربرگ DICOM، رمزگذاری کامل تصاویر DICOM شامل داده‌های پیکسل سربرگ و تصویر می‌باشد. یک راه حل استاندارد برای این روش توسط استاندارد DICOM ارائه شده است، که از سال ۲۰۰۱ پروفایل ابتدایی امنیت رسانه ای DICOM را تعریف می‌کند، که در درجه اول برای تبادل ایمن تصاویر پزشکی از طریق رسانه‌های ذخیره سازی در نظر گرفته شده است. این پروفایل یک قالب فایل رمزگذاری شده DICOM را تعریف می‌کند که در آن تصویر کامل DICOM با استفاده از CMS کپسوله شده است، همان قالبی که برای رمزگذاری انتخابی نیز استفاده می‌شود.

رمزگذاری یا بر اساس رمز عبوری است که باید برای گیرنده محیط ذخیره سازی شناخته شود یا بر اساس یک زیرساخت کلید عمومی (PKI) باشد. در این حالت، از یک گواهی که حاوی کلید عمومی گیرنده در طی مراحل رمزگذاری است استفاده می‌شود و گیرنده برای رمزگشایی پرونده باید کلید خصوصی (مخفی) مربوطه را داشته باشد.

پرونده‌های رمزگذاری شده به صورت اختیاری می‌توانند شامل امضای دیجیتالی به عنوان بخشی از پاکت CMS باشند. فرمت فایل رمزگذاری شده DICOM یک اشکال قابل توجه دارد و آن این است که نمی‌توان از آن برای انتقال شبکه DICOM استفاده کرد، یعنی قبل از انتقال از طریق اتصال شبکه، باید پرونده‌ها رمزگشایی شوند. چندین روش جایگزین برای رمزگذاری تصاویر DICOM در مطالعات ارائه شده است. Al haj روشی را پیشنهاد می‌کند که ترکیبی از رمزگذاری کامل داده‌های پیکسل با رمزگذاری انتخابی داده‌های سربرگ است و شامل یک امضای دیجیتالی است. Praveenkumar و همکاران ترکیبی از سه الگوریتم رمزگذاری برای رمزگذاری داده‌های پیکسل، رمز عبور تصویر مربع لاتین، تغییر شکل گولد گسسته و رمزگذاری Rubik را پیشنهاد می‌کند. Natsheh و همکاران یک طرح رمزگذاری خاص برای تصاویر چند فریمی ارائه می‌دهند که از فریم اول به عنوان پد یکبار مصرف برای فریم‌های بعدی استفاده می‌کند و تنها با استفاده از یک الگوریتم رمزگذاری معمولی اولین فریم را رمزگذاری می‌کند.

تمام این رویکردهای جایگزین از این واقعیت رنج می‌برند که استاندارد نیستند و فقط تحلیل رمزنگاری بسیار محدودی در مورد آنها اعمال شده است. در حالی که رویکردهای مبتنی بر استاندارد مانند TLS یا CMS طی سالیان زیادی توسط بسیاری از کارشناسان رمزنگاری مورد مطالعه قرار گرفته است، اما دانش بسیار محدودی در مورد نقاط ضعف احتمالی رویکردهای جایگزین در دسترس است.

امضاهای دیجیتال

نیاز به تضمین یکپارچگی و اصالت تصاویر پزشکی در اوایل تشخیص داده شده است. وونگ و همکاران استفاده از امضاهای دیجیتالی و مهر زمانی را برای جلوگیری از تغییر غیر مجاز تصاویر در سال ۱۹۹۵ پیشنهاد شده است. استاندارد DICOM مفهوم امضاهای دیجیتال و مهرهای زمانی معتبر را در سال ۲۰۰۱ با افزودن اولین پروفایل‌های امضای دیجیتال معرفی کرد. این پروفایل‌ها یک یا چند امضای دیجیتال را قادر می‌سازد تا بر روی یک تصویر کامل DICOM یا قسمت‌هایی از آن اعمال شود و سپس در سرصفحه DICOM جاسازی شود، این امر باعث می‌شود که امضای دیجیتال همیشه به عنوان بخشی از تصویر یا سند امضا شده ذخیره و منتقل شود، همراه با گواهی امضا کننده، که اجازه اعتبار سنجی امضا را توسط هر سیستمی که تصویر را دریافت می‌کند، می‌دهد. اجرای اولیه امضاهای دیجیتالی DICOM توسط Riesmeier و همکاران توصیف شده است.

امضاهای دیجیتالی بر اساس رمزنگاری کلید عمومی هستند. از آنجا که تجزیه و تحلیل رمزنگاری الگوریتم‌های استفاده شده ممکن است در آینده پیشرفت کند و از آنجا که کامپیوترها با گذشت زمان سرعت بیشتری می‌گیرند، الگوریتمی که امروزه ایمن قلمداد می‌شود ممکن است در آینده ناامن تلقی شود. به همین دلیل، امضای دیجیتال عمر محدودی دارد – به طور معمول چند سال.

در حالی که هیچ مدل جهانی وجود ندارد که مشخص کند در چه زمانی امضا قابلیت اطمینان خود را از دست می‌دهد، منقضی شدن گواهی شناسایی امضا کننده یا لغو یک گواهی (به عنوان مثال، در صورت سرقت کلید) نقاط نهایی ممکن هستند. برای امضاهای دیجیتالی که باید مدت زمان طولانی معتبر بمانند، سه راه حل ممکن در مطالعات بحث شده است

می توان قبل از انقضای امضای قدیمی، به هر سند امضا شده (تصویر) یک امضای دیجیتالی جدید پیوست کرد. در حالی که از لحاظ نظری امکان پذیر است، اما این روش به علت بایگانی وسیع داده‌های تصویری عملی نیست.
از مهرهای تاییدی مجاز می‌توان استفاده کرد. در این روش، “اثر انگشت” دیجیتال (مجموعه چک رمزنگاری) تصویر، که پایه و اساس امضای دیجیتال است، به شخص ثالث معتبری که دارای سرویس علامت گذاری زمان است، منتقل می‌شود. شخص ثالث مورد اعتماد اطلاعات تاریخ و زمان را به “اثر انگشت” اضافه می‌کند و هر دو مهر زمان و اثر انگشت را به عنوان اثبات دریافت اثر انگشت در تاریخ و زمان مشخصی امضا می‌کند. از آنجا که امضاهای مهر زمان نیز منقضی می‌شوند، ممکن است چند سال بعد یک مهر زمان معتبر جدید از مهر زمان معتبر قدیمی مورد نیاز باشد. استاندارد DICOM استفاده از چنین مهرهای تاییدی را مجاز می‌داند اما آن‌ها را ملزم نمی‌داند.
“اثر انگشت” دیجیتالی تصویر می‌تواند در یک بلاکچین منتشر شود، که به عنوان یک دفترحساب توزیع شده طراحی شده است که تغییرات گذشته نگر را عملا غیرممکن می‌کند. از آنجا که تراکنش‌ها در بلاکچین دارای مهر زمان نیز هستند، بلاکچین بدون نیاز به شخص ثالث مورد اعتماد، نقش یک نشانگر زمانی معتبر را اجرا می‌کند. مروری بیشتر درباره این موضوع توسط Shuaib و همکاران ارائه شده است.
سرانجام، یک مشکل عملی مبنی بر این وجود دارد که اکثر روشهای تصویربرداری از امضای دیجیتال پشتیبانی نمی‌کنند. کرول و همکاران استفاده از یک سیستم تعبیه شده (یعنی، یک کامپیوتر بسیار کوچک) را به عنوان درگاهی که تصاویر را از یک مودالیتی دریافت می‌کند، به هر تصویر یک امضای دیجیتال اضافه می‌کند و سپس تصاویر را به بایگانی تصویر هدایت می‌کند پیشنهاد می‌کنند.

نهان نگاری

تعداد نسبتاً زیادی از نشریات درباره مفهوم “علامت گذاری دیجیتال” تصاویر پزشکی بحث می‌کنند. نهان نگاری فرایندی را توصیف می‌کند که به موجب آن اطلاعات (مانند اطلاعات هویتی یا یک امضای دیجیتالی) در داده‌های پیکسل تصویر به شکل اطلاعاتی با فرکانس بالا (“برف”) “مخفی” می‌شود که تا حد زیادی برای چشم انسان غیرقابل مشاهده است اما توسط یک الگوریتم که به طور خاص وجود یک علامت چاپ دیجیتال را بررسی می‌کند، قابل تشخیص است. به طور کلی، از نهان نگاری برای سه منظور اصلی تأیید اعتبار، کنترل یکپارچگی و پنهان کردن اطلاعات در تصویر (steganography) استفاده می‌شود.

نهان نگاری که برای احراز هویت در نظر گرفته می‌شوند معمولاً به عنوان نهان نگاری‌های “قوی” طراحی می‌شوند که قابلیت رمزگشایی دارند حتی اگر برخی تغییرات خاص مانند فشرده سازی مضر بر روی تصویر اعمال شده باشد. نهان نگاری برای کنترل یکپارچگی از نظر مفهومی، مشابه با یک امضای دیجیتالی هستند: اگر تصویر به هر طریقی اصلاح شود، نهان نگاری باید نامعتبر شود. مفهوم “پنهان کردن داده” در برنامه‌های تله رادیولوژی که در آن تصاویر شناسایی زدایی شده بدون رمزگذاری ذخیره و منتقل می‌شوند، استفاده شده است و اطلاعات شناسایی بیمار به عنوان نهان نگاری‌هایی در داده‌های تصویر “پنهان” است. مروری خوب بر روی علامت گذاری دیجیتال و الزامات استفاده در تصویربرداری پزشکی توسط Nyeem و همکاران ارائه شده است. singh و همکاران همچنین مروری جامع بر موضوع کرده‌اند.

هنگامی که برای اهداف احراز هویت استفاده می‌شود، مزیت اصلی نهان نگاری‌های دیجیتال نسبت به امضا‌های دیجیتالی این است که به سختی می‌توان نهان نگاری‌ها را از تصویر حذف کرد، در حالی که امضای دیجیتال را می‌توان به راحتی حذف کرد. در محیطی که از هر دو عکس امضا شده دیجیتالی و بدون امضا استفاده می‌شود، یک مهاجم به راحتی تصمیم می‌گیرد که امضا را از تصویری که دستکاری شده است حذف کند و از شناخته شدن پرهیز می‌کند. وقتی از نهان نگاری استفاده می‌شود، این مسئله بسیار دشوارتر است.

عیب اصلی نهان نگاری دیجیتالی این است که باعث افت کیفیت تصویر می‌شوند، که اغلب برای تصاویر پزشکی قابل قبول نیست. بنابراین، بیشتر نشریات در مورد این موضوع پیشنهاد می‌کنند که “منطقه مورد نظر” که فقط در قسمت‌های باقی مانده تصویر، یعنی “پس زمینه” پنهان می‌شود قبل از استفاده از نهان نگاری شناسایی شود. متأسفانه، شناسایی منطقه مورد نظر نمی‌تواند به طور کامل برای انواع تصاویر به طور خودکار انجام شود. بعلاوه، با افزایش اهمیت کاربردهای هوش مصنوعی در تصویربرداری پزشکی، تأثیر نهان نگاری دیجیتال بر آموزش و استفاده از شبکه‌های عصبی هم‌گشتی مسئله ای نگران کننده است. ممکن است یک مجموعه داده آموزشی حاوی تصاویر نهان نگاری شده و تصاویر فاقد نهان نگاری باعث شود شبکه عصبی “یاد بگیرد” وجود یا عدم وجود نهان نگاری را به جای بعضی علائم کلینیکی قابل رویت در تصاویر که دقت طبقه بندی تصاویر را به صورت منفی تحت تاثیر قرار می‌دهند تشخیص دهد.

مشکل اصلی در مورد نهان نگاری این است که هرگز استاندارد نشده است، بنابراین همه رویکردها اختصاصی هستند. علاوه بر این، نهان نگاری به طور معمول به برخی از رازهای مشترک (به عنوان مثال، یک کلید مخفی) بستگی دارد که گیرنده برای شناسایی نهان نگاری باید آن را بداند. بدون چنین راز مشترکی، یک مهاجم مخرب می‌تواند به راحتی وجود نهان نگاری را بررسی کند و تصویر را اصلاح کند تا زمانی که نهان نگاری دیگر قابل تشخیص نباشد، که در واقع همان حذف امضای دیجیتال است.

با این وجود، هنگامی که از یک راز مشترک استفاده می‌شود، سوال این است که چگونه می‌توان این راز را بین فرستنده و گیرنده به اشتراک گذاشت، به طوری که مهاجم نه بتواند آن را بخواند و نه آن را حذف کند.

پاکسازی مقدمه پرونده DICOM

قالب فایل DICOM که هنگام مبادله تصاویر DICOM در رسانه ذخیره سازی یا استفاده از خدمات وب DICOM استفاده می‌شود، مشخص می‌کند که ۱۲۸ بایت اول پرونده، اصطلاحاً مقدمه ممکن است حاوی اطلاعات تصادفی باشد که توسط خواننده DICOM استفاده نشده است. در سال ۲۰۱۹، اورتیز گزارش و اثباتی در مورد مفهوم منتشر کرد که نشان می‌دهد می‌توان از مقدمه برای ساخت پرونده‌هایی که در عین حال یک تصویر معتبر DICOM و یک برنامه معتبر قابل حمل و قابل اجرا windows هستند، سوءاستفاده کرد. این مسئله در پایگاه داده آسیب پذیری ملی موسسه ملی استاندارد و فناوری (NIST) با عنوان CVE 2019 11687 ثبت شده و با نمره پایه شدت “بالا” رتبه بندی شده است. در توضیح آسیب پذیری‌ها و مواجه‌های مشترک (CVE) توضیح داده شده است که: “برای سوء‌استفاده از این آسیب پذیری، کسی باید یک فایل نادرست ساخته شده را که در قالب فایل DICOM قسمت ۱۰ رمزگذاری شده است، اجرا کند. پرونده‌های PE / DICOM حتی با پسوند فایل .dcm نیز قابل اجرا هستند. تنظیمات ضد بد افزار در مراکز بهداشتی درمانی معمولاً تصاویر پزشکی را نادیده می‌گیرند. ” همانطور که در بیانیه مطبوعاتی کمیته DICOM توضیح داده شده است، “یک کاربر ممکن است متقاعد شود که پرونده را از طریق مهندسی اجتماعی اجرا کند. متناوباً، یک بازیگر مخرب جداگانه که از قابل اجرای تعبیه شده اطلاع داشته باشد و به فایل اصلاح شده دسترسی داشته باشد، می‌تواند بد افزار را نصب و اجرا کند. از این نوع نفوذ به عنوان حمله چند فاز یاد می‌شود. یک سند “سوالات متداول” همراه با بیانیه مطبوعاتی توصیه می‌کند برنامه‌هایی که تصاویر DICOM را از رسانه می‌خوانند یا آن‌ها را با استفاده از DICOMweb دریافت می‌کنند باید “تضمین کنند که در صورت وجود مقدمه، مقدمه شناخته شده‌ای مانند TIFF باشد. در غیر این صورت، مقدمه باید پاک شود (روی ۰۰H تنظیم شود) .”

لازم به ذکر است که مقدمه پرونده DICOM در شرایطی که تصویر از طریق شبکه با استفاده از پروتکل شبکه DICOM ارسال شود، منتقل نمی‌شود. به. این بدان معنی است که انتقال شبکه‌ای از یک تصویر DICOM به طور خودکار با حذف کردن سربرگ نهان نگاری کد را قابل اجرا می‌کند، تصویر را “پاک” می‌کند. در موارد دیگر، برنامه‌هایی که پرونده‌های DICOM را مدیریت می‌کنند باید مقدمه پرونده را پاک کنند.

بحث

هنگام مقایسه دو مجموعه از مطالعات ارائه شده در بخش “بررسی”، یک قطع ارتباط قابل توجه بین این دو وجود دارد : در حالی که مطالعات مربوط به امنیت سایبری عمومی و IT مراقبت سلامت تلاش می‌کند تا رویکردهای امنیتی چندلایه و جامعی ارائه دهد، مطالعات موجود در زمینه امنیت سایبری برای PACS و تصویربرداری پزشکی بر جنبه‌های فردی مانند شناسایی زدایی تصاویر، محافظت از تصاویر در برابر تغییرات غیر قابل شناسایی، یا رمزگذاری تصاویر در حال انتقال تمرکز می‌کند. به طور کلی، به نظر می‌رسد که بسیاری از نشریات مربوط به teleradiology و به اشتراک گذاری تصاویر پزشکی حاکی از امنیت شبکه محلی در بیمارستان است و ملاحظات مربوط به امنیت سایبری فقط زمانی منتقل می‌شوند که تصاویر فراتر از محیط شبکه بیمارستان منتقل شوند. گرچه ممکن است این رویکرد ۲۰ سال پیش منطقی بوده باشد، اما به طور قطع امروز دیگر کافی نیست.

به عنوان مثال، یک استراتژی امنیتی چند لایه برای PACS به این شکل باشد:

مقدمه پرونده هنگام دریافت یا وارد کردن پرونده‌های DICOM پاک می‌شود، اما با این وجود از نرم‌افزار ضد ویروس و لیست سفید برنامه در بینندگان DICOM که فایل‌ها را دریافت می‌کنند استفاده می‌شود.
یکپارچگی تصاویر با امضا‌های دیجیتالی تأمین می‌شود، اما با این وجود انتقال شبکه تصاویر از گواهی‌های کلید عمومی برای تأیید اعتبار منابع مجاز تصویر استفاده می‌کند.
تصاویر در صورت امکان شناسایی می‌شوند، اما با این وجود رمزگذاری برای انتقال استفاده می‌شود.
ارتباطات شبکه در شبکه PACS به انتقال رمزگذاری شده و معتبر تبدیل می‌شود، اما با این وجود شبکه با فایروال و تقسیم بندی شبکه ایمن شده است.
شبکه PACS با فایروال و تقسیم بندی شبکه ایمن شده است، اما با این وجود یک سیستم تشخیص نفوذ برای شناسایی نقض امنیت شبکه مستقر شده است
دسترسی به تصاویر در PACS توسط حقوق دسترسی خاص کاربر کنترل می شود، اما با این وجود یک دنباله حسابرسی ایجاد می شود که اجازه می دهد این که “چه کسی چه کاری انجام داده است” ارزیابی شود.
نرم‌افزار آنتی ویروس و لیست سفید در صورت امکان برای جلوگیری از حملات باج افزار نصب می‌شوند، اما با این وجود یک نسخه پشتیبان و از راه دور از پایگاه داده حفظ می‌شود.

در این رویکرد، نقض یک اقدام کاهش اثر، امنیت شبکه PACS را به خطر نمی‌اندازد. مقالاتی که در مورد سناریوهای حمله مشخص علیه شبکه‌های PACS و اقدامات کاهش اثر بحث می‌کنند اخیراً توسط Desjardins و همکاران و ایشلبرگ و همکاران [EKK20] منتشر شده است. علاوه بر این، راهنمای تمرین امنیت سایبری NIST در مورد ایمن سازی PACS بدون شک ممکن است اولین تلاش برای ترکیب تمام عناصر سازنده در یک راه حل جامع مثال زدنی باشد. مطمئناً در آینده به کار بیشتری در این راستا نیاز خواهد بود. خبر خوب این است که بیمارستان‌ها از نظر امنیت سایبری درمانده نیستند: مولفه‌های ایجاد یک استراتژی امنیتی چند لایه در شبکه‌های PACS وجود دارد – حداقل از نظر مفهومی – و بسیاری از آن‌ها به راحتی قابل استفاده هستند. در حالی که چنین راه حل‌هایی باید به طور مداوم حفظ و به روز شوند و در حالی که خطای انسانی همیشه عاملی است که باید مورد توجه قرار گیرد، یک استراتژی امنیتی چند لایه، آسیب رساندن یا ایجاد اختلال را برای بازیگران مخرب بسیار دشوار می‌کند و تأثیر حملات مخرب حتی اگر یک فاز از حمله باشد را به صورت موفقیت آمیز کاهش می‌دهد. بنابراین، امنیت سایبری بیشتر یک مسئله تأمین بودجه، اجرا و نگهداری است تا یک مسئله امکان سنجی ابتدایی. در گذشته، ممکن است در بسیاری از بیمارستان‌ها از امنیت سایبری دست کم گرفته شده و از بودجه کافی برخوردار نباشند، اما افزایش تعداد حوادث امنیتی که به طور گسترده تبلیغ شده‌اند، مانند مواردی که در مقدمه مورد بحث قرار گرفت، به تغییر این امر کمک خواهد کرد.

امروزه، اقدامات ویژه PACS و تصویربرداری پزشکی ارائه شده در بخش “امنیت سایبری در PACS و تصویربرداری پزشکی” ممکن است در تنظیمات تله رادیولوژی اجرا شود، اما معمولاً برای عملکرد معمول در شبکه بیمارستان مورد استفاده قرار نمی گیرند، که می تواند کمک مهمی به “دفاع در عمق” چند لایه برای شبکه تصویربرداری فراهم کند. از نظر نویسندگان، عوامل زیر در این وضعیت موثر هستند:

عدم پشتیبانی از دستگاه: تعداد کمی از روشهای تصویربرداری از رمزگذاری پشتیبانی می کنند یا می توانند امضاهای دیجیتالی را بر روی تصاویر پزشکی اعمال کنند. این تا حد زیادی یک مشکل “مرغ و تخم مرغ” است : کاربران تا زمانی که بسیاری از دستگاه های دیگر از این فناوری ها پشتیبانی نمی کنند در هنگام تهیه دستگاه انگیزه کمی برای درخواست پشتیبانی از این فن آوری ها دارند و تا زمانی که تقاضای مشتری کم باشد انگیزه کمی برای فروشندگان برای پیاده سازی و ارائه این فن آوری ها وجود دارد. در حالی که رمزگذاری در شکل امنیت حمل و نقل می تواند با استفاده از سخت افزار یا نرم افزار درگاهی به یک شبکه عملیاتی PACS اضافه شود، و در حالی که رمزگذاری داده ها “در حالت استراحت “( به عنوان مثال، در بایگانی PACS یا VNA) می تواند در محصولات جداگانه اجرا شود، امضاهای دیجیتالی نیاز به پشتیبانی هم در دستگاه های ایجاد تصاویر یا اسناد و هم در دستگاه های خواندن و پردازش یا نمایش این تصاویر یا اسناد دارند.
فقدان زیرساخت کلید عمومی قابل استفاده: توسعه امنیت حمل و نقل (به عنوان مثال، رمزگذاری شبکه)، رمزگذاری انتخابی یا کامل تصاویر DICOM یا امضاهای دیجیتالی، نیازمند مدیریت گواهینامه ها و کلیدهای خصوصی است که همه این پروتکل ها به آنها متکی هستند. گواهینامه یک پرونده دیجیتالی است که شامل یک کلید عمومی، اطلاعات هویتی در مورد صاحب آن کلید عمومی (به عنوان مثال، شخص یا نام سیستم)، یک دوره اعتبار و یک امضای دیجیتالی توسط یک “مرجع صدور گواهینامه” (CA) معتبر است که هویت مالک را تأیید کرده است. هر گواهی با “کلید خصوصی” همراه است که هرگز منتقل نمی شود و باید مخفی نگه داشته شود. همه سیستم هایی که اتصالات رمزگذاری شده را رمزگذاری می کنند، پرونده ها را رمزگذاری یا رمزگشایی می کنند، یا امضاهای دیجیتالی را ایجاد یا تأیید می کنند، باید دارای یک جفت گواهینامه و کلید خصوصی باشند و قوانینی داشته باشند که توضیح دهد کدام گواهینامه های دیگر را باید قابل اعتماد دانست (این معمولاً لیست صریحی است از تمام گواهینامه های قابل اعتماد یا لیستی از گواهینامه های CA، که در این صورت کل صدور گواهینامه ها توسط یکی از این CA ها قابل اعتماد تلقی می شود) از آنجا که اعتبار تمام گواهی ها محدود است، باید به طور منظم و خودکار به روز شوند. با کمال تعجب، هیچ استاندارد خوبی برای این کار وجود ندارد که بتواند برای یک محیط PACS مناسب باشد.
همین که بیمارستان ویژگی‌های امنیتی به عنوان بخشی از فرآیند تهیه PACS و دستگاه‌های تصویربرداری درخواست کنند، قطعاً پشتیبانی از دستگاه تغییر خواهد کرد. فقدان راه حل‌های مناسب برای زیرساخت‌های کلید عمومی PACS نشان می‌دهد که ابتدا کار استاندارد سازی، به عنوان مثال در قالب مشخصات یکپارچه سازی IHE، لازم است.

خلاصه

در برخی موارد، برای نصب نرم‌افزار اضافی (مانند نرم افزار پشتیبان یا آنتی ویروس) یا پیکربندی سیستم عامل (برای استفاده از ویژگی‌های لیست سفید)، پشتیبانی فروشنده مورد نیاز است، که در مورد دستگاه‌های پزشکی ممکن است در پروسه صدور گواهینامه در نظر گرفت شود (به عنوان مثال، مدیریت ریسک). نصب بروزرسانی‌ها و پچ ها و نگهداری پیکربندی ایمن سیستم در طول زمان مستلزم ارائه بروزرسانی‌های معتبر توسط فروشنده است. اقدامات دیگر به پشتیبانی فروشنده در احراز هویت و دسترسی کاربر به نرم افزار محصول، ایجاد و تأیید امضاهای دیجیتالی یا نهان نگاری، ذخیره سازی اسناد رمزگذاری شده، ارائه سوابق ممیزی به یک سرور رد ممیزی مرکزی و استفاده از شناسایی زدایی یا رمزگذاری انتخابی نیاز دارد. تکنیک‌ها در صورت امکان فقط توسط فروشنده محصول قابل اجرا هستند. سرانجام، ایجاد زیرساخت های کلید عمومی که توزیع خودکار و تمدید گواهینامه‌های مشتری را فراهم می‌کند، نیاز به همکاری بین سازمان کاربر (که مسئول PKI است) و فروشنده، که باید پشتیبانی از PKI را در محصول پیاده سازی کند، دارد. همانطور که در بالا بحث شد، امنیت حمل و نقل ممکن است از طریق درگاه یا مستقیماً در محصول اجرا شود، بنابراین این امر می تواند با یا بدون پشتیبانی فروشنده اجرا شود. به طور خلاصه، عناصر سازنده استراتژی امنیتی چند لایه در شبکه های PACS امروزه حداقل به صورت مفهومی وجود دارد و بسیاری از آنها به راحتی قابل استفاده هستند. در حالی که چنین راه حل هایی باید به طور مداوم حفظ و به روز شوند، و در حالی که خطای انسانی همیشه عاملی است که باید مورد توجه قرار گیرد، یک استراتژی امنیتی چند لایه، آسیب رساندن یا ایجاد اختلال را برای بازیگران مخرب بسیار دشوار می کند و اگر بیمارستانها تصمیم بگیرند منابع مورد نیاز را تعیین کنند، تأثیر حملات مخرب حتی اگر یک مرحله از حمله موفقیت آمیز باش، کاهش می یابد.

با این وجود، برخی از موارد عملی وجود دارد که مانع اجرای آن می شود. این شامل عدم پشتیبانی از ویژگی های امنیتی در محصولات تصویربرداری پزشکی امروز و فقدان راه حل های عملی برای مدیریت زیرساخت های کلید عمومی برای یک شبکه PACS و تصویربرداری پزشکی است که در آن دستگاه‍‌های فروشندگان مختلف، شاید با استفاده از سیستم عامل های مختلف، باید به طور مداوم با گواهی مشتری و سیاست های تأیید گواهی تامین شوند.

منبع : کتاب Cybersecurity in PACS and Medical Imaging