Prywatność, bezpieczeństwo i skalowalność to podstawa rozmów wideo. Ten dokument wyjaśnia, w jaki sposób konsultacje wideo są bezpieczne i prywatne na dużą skalę.
Rozmowa wideo opiera się na 4 ważnych pojęciach:
- Prywatność — określa obowiązek prawidłowego gromadzenia, wykorzystywania, ujawniania i przechowywania danych osobowych zgodnie z ustawą Commonwealth Privacy Act z 1988 r. i australijskimi zasadami ochrony prywatności.
- Bezpieczeństwo — rozmowy wideo są zabezpieczone przed nieautoryzowanym dostępem i wykorzystaniem, a dane są wiarygodne, dokładne i dostępne do użytku.
- Suwerenność danych — informacje o pacjencie nie mogą być przekazywane za granicę, jak wymagają tego australijskie przepisy dotyczące prywatności
- Skalowalność – Rozmowa wideo jako funkcja krajowa jest skalowalna architektonicznie, aby obsłużyć dużą liczbę konsultacji wideo bez potrzeby konfigurowania tradycyjnej infrastruktury wideokonferencyjnej.
Te cztery koncepcje mają fundamentalne znaczenie dla projektowania połączeń wideo. Jego architektura sieciowa jest objęta procesami zapewniania projektu, które zapewniają, że nowe funkcje i możliwości nadal spełniają wymagane standardy.
Streszczenie
Połączenie wideo jest oparte na technologii Web Real-Time Communications (WebRTC). Wbudowane zabezpieczenia WebRTC wykorzystują w pełni szyfrowane połączenia .
Rozmowa wideo została zaprojektowana jako holistyczny ekosystem telezdrowia, składający się z serwerów i aplikacji, działających w technologii WebRTC.
Healthdirect Video Call jest zgodny z obowiązującą australijską instrukcją bezpieczeństwa informacji rządowych (ISM) Essential Eight oraz ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych ( HIPAA ) w celu uzyskania wytycznych dotyczących bezpieczeństwa cybernetycznego i chroni prywatność, nie pozostawiając śladu cyfrowego.
Inne platformy wideokonsultacji przechowują szczegóły rozmowy, w tym nagrania rozmowy, na centralnych serwerach (zwykle poza Australią) dostępnych dla dostawcy usług wideo i mogą narazić klinicystów na ryzyko naruszenia przepisów dotyczących prywatności bez świadomej zgody pacjenta.
Zastosowano dodatkowe środki bezpieczeństwa, aby system oparty na WebRTC był naprawdę bezpieczny i prywatny:
- Wirtualne pokoje, peery i sesje zapewniają użytkownikom bezpieczne środowisko do komunikacji.
- Rozmowa wideo domyślnie nie przechowuje informacji umożliwiających identyfikację osób ani chronionych informacji zdrowotnych.
- Najnowocześniejsze zabezpieczenia sieciowe zapobiegają podsłuchiwaniu i atakom typu man-in-the-middle.
- Testowanie obciążenia i przeglądy kodu zapewniają wysoki poziom bezpieczeństwa aplikacji.
Na tej stronie wyjaśniamy, jakie kroki podejmujemy, aby konsultacje wideo były bezpieczne, prywatne i skalowalne.
Prywatność, bezpieczeństwo i ochrona danych na poziomie zdrowotnym są podstawą projektowania rozmów wideo
Bezpieczeństwo połączeń
Ruch mediów do połączeń wideo WebRTC jest chroniony za pomocą 128-bitowego lub 256-bitowego szyfrowania AES między przeglądarkami internetowymi. Jest to standard usług opartych na WebRTC, takich jak połączenia wideo. Jednak to zabezpieczenie dotyczy tylko połączeń peer-to-peer, a nie infrastruktury systemu. Kilka elementów infrastruktury w każdej rozmowie wideo WebRTC może zostać zaatakowanych, a połączenie wideo zostało opracowane w celu powstrzymania tych wektorów ataku.
Na przykład standardowe szyfrowanie wywołania WebRTC nie może powstrzymać atakującego podszywającego się pod użytkownika na obu końcach wywołania. Szyfrowanie również nie może zapobiec przechwyceniu serwera sygnalizacyjnego, aplikacji lub serwera przekazującego (TURN).
W rozmowie wideo zastosowano kluczowe środki ochrony prywatności i bezpieczeństwa w celu ochrony przed:
- podszywanie się pod kogoś w celu uzyskania bezprawnego dostępu do kliniki online w celu konsultacji z pacjentami.
- bezprawne przechwycenie przez kogoś w celu uzyskania nieautoryzowanego dostępu do sygnalizacji połączeń wideo lub serwera TURN.
- obserwacja historii połączeń przez osoby trzecie uzyskujące dostęp do dzienników połączeń na urządzeniu pacjenta lub na serwerze monitorowania.
Model prywatności i bezpieczeństwa rozmów wideo zapewnia, że:
- tylko autoryzowani serwisanci i administratorzy kliniki są w stanie obsłużyć pacjenta,
- każda konsultacja pacjenta może odbyć się w prywatnej jednorazowej sesji wideo,
- jednorazowe sesje wideo różnią się od stałych sal wideo (te ostatnie mogą być wykorzystywane do celów wewnętrznych kliniki),
- dane pacjenta wymieniane podczas wideorozmowy lub w sali wideo nie utrzymują się po zakończeniu konsultacji lub jeśli klinika zdecyduje się na ich przechowywanie, są przechowywane w postaci zaszyfrowanej z kluczami deszyfrującymi dostępnymi tylko dla kliniki,
- serwery sygnalizacyjne i przekaźnikowe obsługują wyłącznie zaszyfrowany ruch mediów,
- przestrzegane są najnowocześniejsze ustawienia zabezpieczeń i procedury, tak aby nie można było włamać się do infrastruktury serwera w celu podszywania się pod lekarza lub obserwowania konsultacji, oraz
- W celu maksymalizacji bezpieczeństwa aplikacji przeprowadzana jest równorzędna ocena kodu dla wszystkich poprawek oprogramowania.
Ochrona danych
Wszystkie dane — nie tylko rozmowa wideo na żywo — są szyfrowane.
Połączenie wideo bezpiecznie przechowuje informacje i hasła dostawcy usług w Amazon RDS ( Relational Database Service ). Hasła są przesyłane przy użyciu protokołu TLS ( Transport Layer Security ) i nigdy nie są przechowywane w postaci zwykłego tekstu. Rozmowa wideo przechowuje tylko zahaszowane i solone skróty haseł w RDS, spełniając aktualne standardy branżowe w zakresie uwierzytelniania i autoryzacji użytkowników.
Połączenie wideo nie przechowuje żadnych informacji umożliwiających identyfikację ani chronionych informacji zdrowotnych.
Bezpieczeństwo sieci
Wszystkie dane audio i wideo oraz wszystkie inne dane wymieniane podczas połączenia wideo na żywo są szyfrowane.
Rozmowa wideo wykorzystuje najnowocześniejsze mechanizmy bezpieczeństwa dla wszystkich połączeń, a także dla implementacji WebRTC. Połączenia między przeglądarką a serwerem aplikacji, serwerem sygnalizacyjnym lub STUN/TURN są szyfrowane i uwierzytelniane TLS, z silną kryptografią i odpowiednimi testami certyfikatów. Ochrona TLS dla negocjacji STUN/TURN zapewnia, że nie ma możliwości zmiany trasy komunikacji wideo.
Bezpieczeństwo komunikacji WebRTC jest zwiększone dzięki temu, że serwer sygnalizacyjny ułatwia konfigurację kryptograficzną komunikacji między przeglądarkami: przeglądarki bezpiecznie ustanawiają wspólny klucz dla każdego kanału danych.
Bezpieczeństwo aplikacji
Jako system rozproszony, wszystkie elementy ekosystemu wideorozmów są odporne na ataki.
- Fuzzing protokołu — ponieważ serwer sygnalizacyjny wykorzystuje niestandardowy protokół do przesyłania komunikatów, został poddany działaniu protokołu fuzzer, aby upewnić się, że nie ma ścieżek kodu, które prowadzą do nieprzewidywalnego lub niepożądanego zachowania. Implementacja połączenia wideo w przeglądarce została poddana temu samemu fuzzingowi protokołu.
- Testy penetracyjne (pen-testing) - serwer aplikacji oraz system monitorowania połączeń zostały poddane testom penetracyjnym w celu obrony przed włamaniami. Testy piórowe są przeprowadzane regularnie.
- Bezpieczeństwo przeglądarki – WebRTC łączy przeglądarki w trybie peer-to-peer. Fuzzing protokołu służy do testowania implementacji przeglądarki połączeń wideo.
- Monitoring bezpieczeństwa – komunikacja odbywa się tylko w jednym kierunku; z przeglądarek do monitora połączeń. Przeglądarki wysyłają informacje tylko do monitora połączeń; przeglądarki nie mogą pobierać ani odbierać żadnych informacji z monitora połączeń. Monitor połączeń został przetestowany pisakiem i przerobiony, aby chronić go przed typowymi zagrożeniami.
Prywatność
Rozmowa wideo jest zgodna z polityką prywatności rządu australijskiego.
Infrastruktura i usługa połączeń wideo są zgodne z wytycznymi Commonwealth Privacy Act 1988 , Australian Privacy Principles (sekcja 8) odnoszących się do suwerenności danych oraz, tam gdzie to możliwe, Australian Government Information Security Manual (ISM) .
Połączenia wideo są nawiązywane w trybie peer-to-peer (przeglądarka-przeglądarka bez przechodzenia przez centralną infrastrukturę wideo). Dane udostępniane w rzeczywistych połączeniach między uczestnikami są zawsze dostępne tylko w formie odszyfrowanej dla uczestniczących punktów końcowych połączenia. Wszyscy inni pośrednicy, którzy przekierowują połączenie, widzą tylko zaszyfrowane dane. Dotyczy to danych audio i wideo, a także wszystkich informacji wymienianych podczas sesji, takich jak wiadomości na czacie i dokumenty. Rozmowy wideo domyślnie nie przechowują żadnych udostępnionych danych z rozmów.
Pacjenci wchodzą do poczekalni za pośrednictwem witryny zaufanego dostawcy usług i czekają w swoim prywatnym pokoju wideo. Na przykład, jeśli usługodawca spóźnia się, ponieważ konsultacja z innym pacjentem przeciąga się w czasie, pacjenci nie będą się spotykać. Pokój utworzony przez połączenie wideo jest usuwany po konsultacji.
Pacjenci mogą być widziani przez dowolnego usługodawcę lub administratora przychodni, który jest upoważniony do dostępu do przychodni. Autoryzacja jest definiowana przez unikalny login i przypisane role w platformie. Administratorzy klinik są odpowiedzialni za przydzielenie takiego dostępu swoim pracownikom.
Domyślnie rozmowa wideo nie zachowuje informacji umożliwiających identyfikację pacjenta. Pacjenci nie zostawiają cyfrowego śladu na platformie.
Suwerenność danych
Jeśli australijskie zarządzanie danymi lub danymi zostanie przeniesione za granicę, przestaje być kontrolowane w Australii i podlega prawu obcego kraju lub praktykom zagranicznej korporacji. Dostęp i kontrola danych Australijczyków przez firmy zagraniczne nie uwzględnia istniejących praw Australijczyków do odpowiedniej ochrony ich prywatności i danych.
Wrażliwe dane dotyczące obywateli Australii muszą zatem być przechowywane w certyfikowanej chmurze ASD ( Australian Signals Directorate ), która może zagwarantować, że informacje nie będą dostępne dla podmiotów zagranicznych.
Video Call ma ścisłe podejście do hostingu tylko w chmurze AWS ( Amazon Web Services ), która została certyfikowana przez ASD's IRAP ( Information Security Registered Assessors Program ), który zapewnia, że AWS posiada odpowiednie kontrole wymagane przez ISM ( Podręcznik bezpieczeństwa informacji rządu australijskiego ).
Rozmowa wideo może potwierdzić, że dla australijskich użytkowników:
- dane osobowe dotyczące zdrowia są wykorzystywane wyłącznie w ramach australijskiej jurysdykcji,
- ograniczenie całego przechowywania danych jest ograniczone do centrów danych na lądzie i
- Protokoły i systemy bezpieczeństwa są utrzymywane w Australii i spełniają wymagania ASD.
Skalowalność
- Połączenia peer-to-peer odbywają się bezpośrednio z przeglądarki do przeglądarki oraz między dostawcami usług zdrowotnych a ich klientami. Pozwala to uniknąć pośrednich serwerów wideo i umożliwia nieograniczoną liczbę równoległych połączeń.
- Czasami połączenia peer-to-peer utkną za korporacyjnymi zaporami ogniowymi. W tym celu serwery przekazujące (STUN/TURN) są w stanie przekazywać strumienie audio, wideo i danych do swoich odbiorców poza granice firmy. Chociaż serwery przekazujące mogą obsłużyć znaczne obciążenie przed nasyceniem, ważne jest, aby wdrażać je w sposób skalowalny. Rozmowa wideo została wdrożona w chmurze AWS, więc serwery przekaźnikowe są monitorowane, a jeśli wykryte zostanie większe obciążenie, pojawiają się dodatkowe serwery przekaźnikowe, które w przejrzysty sposób przejmą dodatkową pracę przekaźnika. Nazywa się to „równoważeniem obciążenia”.
- Serwery sygnalizacyjne są zaangażowane w konfigurowanie połączeń wideo, dlatego szczególną uwagę zwrócono na wdrożenie skalowalnej infrastruktury sygnalizacyjnej. Testy obciążenia zostały przeprowadzone na serwerach sygnalizacyjnych połączeń wideo i były one w stanie obsłużyć setki tysięcy równoległych połączeń. Ponadto sieć serwerów sygnalizacyjnych została wdrożona w różnych lokalizacjach AWS w celu zmniejszenia opóźnienia między punktami końcowymi połączenia wideo a serwerem sygnalizacyjnym poprzez wybranie najbliższego serwera sygnalizacyjnego w celu zapewnienia sygnalizacji połączenia.
- Aplikacja internetowa jest dystrybuowana do przeglądarek internetowych z serwera aplikacji. Ponieważ duża liczba użytkowników zaczyna korzystać z połączeń wideo, serwery aplikacji internetowych mogą również stać się bardzo obciążone. Video Call ma zaimplementowane równoważenie obciążenia dla serwerów aplikacji.
Rozmowa wideo została zaprojektowana do skalowania. Cała infrastruktura bazodanowa i serwerowa została zaprojektowana przy użyciu bezstanowej architektury mikrousług, dzięki czemu każdy komponent jest odporny na błędy i może indywidualnie skalować poziomo, aby dopasować obciążenie każdej usługi w dowolnym momencie.
Wsparcie dla Twojej organizacji
- Oparte na WebRTC — komponenty WebRTC są wdrażane w przeglądarkach Chrome, Firefox i Safari z projektów Open Source, pod okiem wielu ekspertów ds. bezpieczeństwa sieci i telekomunikacji.
- Zaprojektowany z myślą o opiece zdrowotnej — środowisko rozmów wideo jest regularnie sprawdzane i optymalizowane pod kątem opieki zdrowotnej. Narażenie na luki, które są obecne w innych usługach komunikacyjnych, jest ograniczone podczas rozmowy wideo.
- Dostęp w całości przez Internet — Rozmowa wideo została zaktualizowana, aby działała z najnowszymi wersjami Chrome, Firefox i Safari (wsparcie Microsoft Edge jest planowane, gdy zostanie przeniesione na silnik blink). Te przeglądarki przeprowadzają regularne aktualizacje zabezpieczeń, więc nie trzeba czekać na aktualizacje połączeń wideo.
- Aplikacja ograniczona do przeglądarki — rozmowa wideo działa bezpiecznie w przeglądarkach internetowych, ograniczając jej możliwość wpływania na środowisko pulpitu komputera lub używanego urządzenia mobilnego za pomocą standardowych środków bezpieczeństwa zaimplementowanych w przeglądarkach internetowych.
- Bezpieczeństwo sieci — połączenie wideo wymaga dostępu tylko do kilku standardowych portów HTTPS i bezpiecznych portów multimedialnych z komputera stacjonarnego, laptopa lub urządzenia mobilnego. Są one szczegółowo opisane na stronie „ Podstawy sieci ” w Centrum zasobów.
- Usługi proxy sieci — ruch sieciowy dla połączeń wideo wykorzystuje istniejące usługi proxy sieci i zasady bezpieczeństwa.
- Profile jakości połączeń — ustawiając profile jakości połączeń wideo, lekarze mogą obniżyć zapotrzebowanie na media na łączach sieciowych, aby utrzymać się w określonych granicach.
- Dostępność — Wideorozmowa jest zobowiązana do powszechnego dostępu dla wszystkich użytkowników, aby wszyscy usługodawcy i ich pacjenci mogli mieć jak najlepsze wrażenia. Aby wesprzeć użytkowników niewidomych i niedowidzących, aplikacja internetowa jest dostępna dla czytników ekranu i można użyć narzędzi do powiększania. Połączenie wideo może być również używane w połączeniach trójstronnych i czterostronnych, dzięki czemu tłumacz języka migowego może dołączyć do sesji wideo na żywo i wspierać głuchych użytkowników językiem migowym ASLAN.