Hlavní navigace

Vlákno názorů k článku DICOM: medicínské obrázky s citlivými daty a škatulkou pro malware od anonym - Ono je to sporný, jaké jsou jiné možnosti?...

  • Článek je starý, nové názory již nelze přidávat.
  • 29. 5. 2020 23:16

    bez přezdívky

    Ono je to sporný, jaké jsou jiné možnosti? Předražené HL7? A nebo jedině stařičké, ale spolehlivé GDT rozhraní, kde se po přenosu výsledků datové soubory vymažou. Ale článek moc pěkný :)

  • 2. 6. 2020 16:47

    bez přezdívky

    O bezpečnosti a integritě DICOM komunikace a dat by se dalo hodně a dlouze diskutovat :). Určitě se dnes všichni ale shodneme, že je to docela aktuální téma.
    Opravdu to není tak jednoduché, že nějaký analytik nebo "ajťák" odvedl při návrhu špatnou práci. To by bylo trochu nepochopení životního cyklu průmyslového standardu, který DICOM bezesporu je. A myslím, že z pohledu historického přínosu je velmi užitečným standardem, protože si troufnu říct, že je nejrozšířenějším a nejpoužívanějším "IT / zdravotnickým" standardem vůbec.
    DICOM potřebuje změny, ty je ale možné provádět z různých důvodu pouze velmi pomalu a obezřetně a následně je potřeba čekat, jak je implementuje trh, tj. výrobci přístrojů a informačních systémů.
    DICOM má také několik specifik, které velmi znesnadňují zabezpečení dat. Pod zabezpečením si v tomto případě představme „jen“ ochranu před přístupem nepovolaných osob, zachování integrity a prokazatelnosti autorství (tj. aby se snímky nedostaly do nepovolaných rukou a aby je nikdo takový nemohl pozměnit). Zmínil bych ty nejdůležitější specifika a dopady.
    1. Objem dat jednoho vyšetření jsou řádově jednotky až desítky GB, připravují se na trh DICOM modality s ještě řádově vyššími objemy stovek GB. Jakékoliv šifrování nebo podepisování takového objemu má zásadní dopad na rychlost přenosu a dostupnost. Lékaři jsou dnes zvyklí pracovat s dostupností elektronických dat v řádu jednotek vteřin. A jsou velmi nevlídní, pokud tomu je jinak. Pokud budeme DICOM soubory podepisovat a šifrovat, dostupnost se při stejné infrastruktuře radikálně změní a lékaři to nebudou akceptovat, to je konkrétní praktická zkušenost. Kdo zkusil někdy dělat otisk 10GB souboru, ví o čem mluvím.
    2. DICOM vyšetření (studie) je sada souborů s obrázky a metadaty (až desítek tisíc), které se vytvoří na modalitě a jsou dále zpracovávány. Provádí se 3D rekonstrukce a jiné specifické zpracování dle druhu vyšetření, která generují další, někdy ještě objemnější data. Není to tedy tak, že studie na jednom místě vznikne a už se nemění. Přibývají do ní data z různých zdrojů během diagnostického procesu. Uvažujeme-li o podpisu takové množiny dat, lze použít techniku "manifest signature", ale problém je, jak zajistit autorství/odpo­vědnost a integritu objektu, který se mění v čase. Je potřeba zavést třeba něco jako dodatkování. DICOM standard obsahuje mechanismy pro podpis a kryptování jednotlivých vybraných datových elementů, ale neřeší kryptování a zajištění integrity studie jako celku a odkazuje se v tomto bodě na nutnost použít jiné metody a standardy.
    3. DICOM je, jak již bylo napsáno velmi starý standard z 80 let a jeho autoři nemohli předpokládat, s jakými výzvami se potká v budoucnosti. Ve své době řešili úplně jiné problémy, především rychlost distribuce objemných snímků v pomalých sítích a kompatibilitu výrobců rozmanitých přístrojů. Proto je snadné jej dnes kritizovat.
    4. V neposlední řadě je DICOM velmi obsáhlý, vrstevnatý a složitý (rád bych se seznámil s někým, kdo jej skutečně v Česku zná do detailu :) ). Implementovaly ho také tisíce výrobců. Úpravy takového molochu jsou velmi komplikované a hrozí zanesení nedomyšleností a chyb.
    Jednoduché a rychlé řešení na bezpečný DICOM tedy neexistuje. Každé řešení ale zřejmě musí začít u změny zaběhnutých způsobů a paradigmatů práce s těmito daty. Lékaři musí připustit, že aby byla data bezpečná, nemohou s nimi zacházet jakkoliv a kdykoliv. Managementy nemocnic musí připustit, že do bezpečnosti je potřeba investovat. Pravděpodobně nejlepším řešením bude obalit standard ve vhodné fázi jiným standardem.
    Takže v článku zmíněná možnost zavlečení škodlivého kódu v encapsuled PDF do DICOMu je jen špička ledovce celého problému, který DICOM dnes má. Ta se vyřeší ve chvíli, kdy bude integrita studie chráněna podpisem nebo pečetí a odpovědnost za její obsah ponese výhradně zdrojový systém, a to už je zase jiná kapitola.

  • 3. 6. 2020 13:09

    Arthur

    Jenom technická:

    Objem dat jednoho vyšetření jsou řádově jednotky až stovky MB. U všech "velkoobjemových" modalit je to uloženo řez po řezu (max. cca 0,5 MB), takže žádné 10GB soubory...

    V jedné sadě jsou max. stovky obrázků/řezů. Můžete uvést příklad, kde jsou toho "desítky tisíc"?

  • 6. 6. 2020 0:23

    bez přezdívky

    @Arthur: Myslím, že nemáte úplně pravdu: ). Pokud nahlédnete do DICOM archivu některé faktultní nemocnice, kde se dělají velká vyšetření, tak zjistíte, že CT nebo MRI studie mají běžně i 15000 snímků, na stovky můžete zapomenout. Řezy mohou být až v desetinách milimetrů. V základní serii jich tolik být nemusí, ale stroj generuje více druhů serií dle nastavení, které jsou vypočítány ze základních raw dat. Ano, vyšetření se ukládají fyzicky do souborů po jednom řezu, ale jde o integritu celé studie, ne jednoho řezu (snímku). Ty GB tedy platí pro celou studii. Pokud si vezmete CT s rozlišením 512x512 s hloubkou 16bit(2Byte) a 10000 snímky, dostanete 5GB. Ano, je tam komprese, takže výsledná velikost je méně, ale běžně existují také studie s více snímky než 10000 a rozlišení se používá také 1024x1024. A skutečně výrobci připravují/vyrábějí modality s řádově větším objemem dat. Takové objemy jistě nejsou a nebudou ve všech vyšetřeních, ale je nutno s nimi počítat... pokud chcete něco řešit systematicky a dlouhodobě...