Desarrollo de un Prototipo de Framework para brindar seguridad en la confidencialidad de la información en el estándar HL7 CDA R2
View/ Open
QRCode
Share this
Date
2020Author
Advisor
Publisher
Instituto Tecnológico MetropolitanoCitation
Metadata
Show full item recordPDF Documents
Abstract
Se puede afirmar que dentro de las entidades de salud nace la necesidad de implementar
un sistema de información electrónico para poder enviar datos e información, que en la mayoría
de los casos es de carácter privado y confidencial; generalmente esta información es
muy sensible para los pacientes porque contiene datos personales e historiales que registran
enfermedades que padecen, datos que pueden ser utilizados negativamente si llegan a caer
a manos de terceros como delincuentes informáticos, quienes tendrían toda posibilidad para
robar su identidad e inclusive estar expuestos a altos riesgos que podrían incidir en la
misma vida de los pacientes o en la perdida de confiabilidad de las entidades que utilizan
dichos datos. Es por eso que la empresa HL7 pensando en los problemas de comunicación
y envío de información de una entidad a otra en el sector salud crea un estándar llamado
HL7 CDA(Clinical Document Architecture) R2 (Release 2) el cual permite realizar esta comunicación
pensando en un carácter netamente de interoperabilidad, para que así se puedan
realizar envíos de diferentes tipos de archivos y en diferentes plataformas, pero que puedan
ser leídos por el sistema de otras entidades transmitiendo historiales médicos. Es así como surge una pregunta: ¿Es seguro el Estándar HL7 CDA en su Confidencialidad?;
partiendo de proyectos realizados hace algunos años se puede concluir que se ha trabajado
muy poco en la seguridad de este estándar dejando ver algunos riesgos de seguridad que llevan
a vulnerabilidades del estándar, de mucha importancia en la confidencialidad de los documentos
que se transmiten por este medio, principalmente vulnerabilidades de XSS (Cross site
scripting) y vulnerabilidades de obtención de información. Se entrega como resultado final
del proyecto desarrollado un Prototipo de framework que permita brindar más seguridad en
el estándar HL7 CDA R2, es por ello que se ha iniciado un estudio de varias herramientas de
detección y prevención, de trabajo en conjunto bajo características fundamentales como, que
sean OPEN SOURCE. Esta investigación se realizó bajo 3 fases metodológicas, primera fase
Identificar problemas y Determinar Herramientas, donde se identificaron y caracterizaron
los problemas de confidencialidad del estándar, se buscaron las mejores herramientas para
detectar y prevenir los problemas que afectaron la confidencialidad del estándar. La segunda
fase Desarrollo del prototipo de Framework, donde se recolectaron los historiales médicos
electrónicos, se investigó acerca de un visor de documentos CDA web, se identificaron las
medidas de seguridad para las vulnerabilidades encontradas y se simuló un envío de historiales
médicos para su posterior análisis de vulnerabilidades. Para desarrollar el prototipo
de framework se acoplo dos módulos (IDS, IPS) open source para trabajar en conjunto y
de manera equilibrada, mostrando los ataques con su nivel de criticidad en score de CVE
vulnerability. La tercera Fase es Evaluar el Prototipo de Framework Propuesto, donde se
implementó el prototipo de framework en un servidor Ubuntu y se realizaron las pruebas
pertinentes para corroborar que las vulnerabilidades fueron mitigadas, el desarrollo del prototipo
se realizó con el fin de brindar confidencialidad de la información en los historiales clínicos, los cuáles son transmitidos por este estándar.
Abstract
It can be affirmed that within the health entities the need arises to implement an electronic
information system to be able to send data and information, which in most cases is
private and confidential; This information is generally very sensitive for patients because it
contains personal data and records that record illnesses that they suffer, data that can be
used negatively if they fall into the hands of third parties such as computer criminals, who
would have every possibility to steal their identity and even be exposed to high risks that
could affect the life of the patients or the loss of reliability of the entities that use said data.
That is why the company HL7 thinking about communication problems and sending information
from one entity to another in the health sector creates a standard called HL7 CDA
(Clinical Document Architecture) R2 (Release 2) which allows to carry out this communication
thinking about a purely interoperability character, so that different types of files can be
sent and on different platforms, but can be read by the system of other entities transmitting
medical records.
This is how a question arises: Is the HL7 CDA Standard safe in its Confidentiality ?; Based
on projects carried out a few years ago, it can be concluded that very little work has been
done on the security of this standard, revealing some security risks that lead to vulnerabilities
in the standard, of great importance in the confidentiality of the documents transmitted
by this means. , mainly XSS (Cross site scripting) vulnerabilities and information gathering
vulnerabilities. It is delivered as a final result of the project developed a prototype framework
that allows to provide more security in the HL7 CDA R2 standard, that is why a
study of various detection and prevention tools has begun, working together under fundamental
characteristics such as , that are OPEN SOURCE. This research was carried out
under 3 methodological phases, first phase Identify problems and Determine Tools, where
the confidentiality problems of the standard were identified and characterized, the best tools
were sought to detect and prevent the problems that affected the confidentiality of the standard.
The second phase Development of the Framework prototype, where electronic medical
records were collected, investigated about a web CDA document viewer, identified security
measures for the vulnerabilities found, and simulated sending medical records for subsequent
analysis. of vulnerabilities. To develop the framework prototype, two open source modules
(IDS, IPS) were coupled to work together and in a balanced way, showing the attacks with
their criticality level in the CVE vulnerability score. The third phase is to Evaluate the
Proposed Framework Prototype, where the framework prototype was implemented on an
Ubuntu server and the relevant tests were carried out to corroborate that the vulnerabilities
were mitigated, the development of the prototype was carried out in order to provide confidentiality
of the Information in the medical records, which are transmitted by this standard.