Введение 3
Постановка задачи 6
Обзор литературы 7
Глава 1. Теоретическая часть 11
1.1 Алгоритм шифрования AES 11
1.2 Штриховое кодирование 14
1.3 Алгоритмы для встраивания QR-кодов в цветные изображения 16
Глава 2. Описание предлагаемого метода кодирования данных 21
2.1 Метод кодирования данных 21
2.2 Метод декодирования данных 22
Глава 3. Разработка приложения 23
3.1 Общее описание приложения для кодирования данных 23
3.2 Сценарии использования 24
3.3 Преобразование формата данных 25
3.4 Архитектура приложения 26
3.5 Графический пользовательский интерфейс 29
Глава 4. Эксперименты и анализ метода кодирования данных 33
4.1 Проверка корректной работы метода в приложении 33
4.2 Преобразования для улучшения работы метода 33
4.3 Выбор подходящего изображения-контейнера 35
Выводы 37
Заключение 37
Список использованных источников 39
В настоящее время одной из наиболее опасных угроз в информационном пространстве является утечка данных, то есть неправомерная передача конфиденциальных данных лицам, которые не уполномочены использовать эти данные. По данным российского сервиса разведки утечек данных Data Leakage &Breach Intelligence (DLBI) медицинские учреждения входят в число организаций, в которых чаще всего фиксируются утечки данных [1].
Одни из наиболее известных случаев утечек медицинских данных за последнее время связаны с пандемией новой коронавирусной инфекции COVID-19. В связи со сложившейся неблагоприятной эпидемиологической обстановкой проводилось много медицинских исследований, например, анализ полимеразной цепной реакции (ПЦР), с целью выявления заболевания у людей. Помимо огромного массива данных о результатах исследований и о заболевших необходимо было собирать и хранить информацию о лицах, контактировавших с заболевшими, и о лицах, прошедших вакцинацию.
9 декабря 2020 года в открытом доступе появились данные 300 000 человек, переболевших COVID-19. Данные содержат персональную информацию: ФИО, адрес проживания и регистрации, результаты анализов. В январе 2022 появились новости о том, что в даркнете на продажу выставили данные 48 млн сертификатов о вакцинации от коронавируса за $100 тысяч. Предоставленный образец базы данных содержит следующую информацию о вакцинированных: первые буквы ФИО на русском и английском языках, дату рождения, УНРЗ (уникальный номер регистровой записи пациента), первые две цифры серии и последние три цифры номера паспорта, название вакцины на русском и английском языках, QR-код в формате PNG, закодированный в Base64, и срок его действия.
Утечки данных могут привести к серьезным последствиям как для пострадавших лиц, так и для организаций, допустивших такой инцидент. Размещение в открытом доступе персональных данных и информации о течении болезни является не только нарушением законодательства о персональных данных, но и нарушает неприкосновенность частной жизни и врачебной тайны. В такой ситуации пострадавшее лицо может подать в суд, чтобы привлечь к ответственности виновную организацию. Люди, чьи данные неправомерно были переданы третьим лицам, могут стать жертвами злоумышленников.
Многие люди опасаются утечки сведений об их медицинских исследованиях из-за возможных последствий: помимо перечисленных выше, есть риски возникновения сложностей на работе или в учебных заведениях при выявлении определенных заболеваний. Иногда это приводит к тому, что люди избегают получения медицинской помощи из-за этого риска. Особенно часто люди могут избегать получения психиатрической помощи из-за существующей стигматизации психически больных людей, которая значительно снижает уровень жизни этих лиц. Люди с психическими расстройствами подвержены дискриминации в семье, на работе, в личной жизни и общественной деятельности [2].
Возможным способом предотвращения негативных последствий утечек сведений является их обезличивание. Но в настоящее время анонимное оказание медицинской помощи в России осложнено рядом причин, даже при платном оказании медицинских услуг. В некоторых случаях законодательство Российской Федерации предусматривает платную медицинскую помощь на анонимной основе. Однако платные медицинские услуги требуют оформления договора, но для заключения договора на анонимной основе отсутствует какое-либо специальное законодательное или иное нормативное урегулирование. В связи с этим возникают бюрократические сложности с получением медицинской помощи на анонимной основе.
Одной из причин утечки данных является человеческий фактор: нередко это происходит по вине персонала, при этом сотрудники могут действовать как умышленно, так и случайно допустить распространение конфиденциальной информации [3]. В том числе утечка сведений о переболевших COVID-19 в декабре 2020 года произошла по вине сотрудников, а не по причине взломов или несанкционированного доступа.
В связи со всем вышеперечисленным важно обеспечивать безопасное хранение и передачу данных, чтобы предотвращать негативные следствия возможной утечки конфиденциальных данных. Одним из возможных способов обеспечения такой безопасности является шифрование данных, чтобы даже в случае передачи файлов с данными третьим лицам не было возможности воспользоваться их содержимым. И так как распространение информации именно о психических заболеваниях может иметь особенно разрушительные последствия для людей, в национальном медицинском исследовательском центре психиатрии и неврологии им. В. М. Бехтерева возникла необходимость обеспечить надежное хранение сведений о пациентах. Данная работа посвящена решению именно этой задачи.
Постановка задачи
Целью данной работы является программная реализация эффективного метода для безопасного хранения и передачи медицинских данных для последующего его применения в НМИЦ ПН им. В. М. Бехтерева.
Первой задачей исследования является определение подходящего метода, который обеспечил бы шифрование данных таким образом, чтобы было неизвестно, что в носителе информации содержатся какие-то конфиденциальные сведения. Следующей задачей является проектирование и реализация приложения, содержащего найденный метод, анализ его работы, повышение эффективности.
Реализованная технология для кодирования обеспечивает защиту персональных данных, что особенно актуально для медицинских учреждений. Технология реализует многослойную защиту данных, что обеспечивает ее надежное сокрытие. Сначала данные подвергаются криптографическому шифрованию, а затем в виде QR-кодов встраиваются в LSB-слои цветного изображения. При таком подходе достигается принцип стеганографии, то есть полученное изображение со встроенными данными не отличается от исходного, поэтому без специальных знаний нельзя узнать, что оно является носителем информации.
Отмеченные характеристики позволяют использовать этот метод для работы с персональными данными, которые необходимо надежно защищать. В закодированном виде данные можно безопасно хранить и передавать по различным каналам связи. Это поможет снизить риски утечки медицинских данных, что в настоящее время является актуальной проблемой, ведь даже если закодированные данные попадут в руки третьим лицам, злоумышленники не смогут ее извлечь без наличия ключа шифрования.
Разработанное приложение обладает простым и понятным интерфейсом и готово к использованию в НМИЦ ПН им. В. М. Бехтерева. С его помощью можно надежно закодировать данные о пациенте в цветное изображение или извлечь из изображения-контейнера встроенные в него сведения.
1. Риски и последствия утечки информации. [Электронный ресурс]: URL: https: //dlbi. ru/data-base-leaks-risks/(Дата обращения: 29.04.2022)
2. Факторы стигматизации лиц с психическими расстройствами: методические рекомендации / Ястребов В.С., Михайлова И.И., Гонжал О.А., Трущелёв С.А.; Науч. центр психического здоровья РАМН. - M., Изд-во ЗАО Юстицинформ 2009. - 22 с.
3. Причины утечки информации. [Электронный ресурс]:
URL: https://searchinform.ru/analitika-v-oblasti-ib/utechki-informatsii/prichiny-utechki-informatsii/(Дата обращения: 29.04.2022)
4. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О
персональных данных". [Электронный ресурс]:
URL:http://www.consultant.ru/document/cons doc LAW 61801/4f41 fe599ce341751 e4e34dc50a4b676674c 1416/(Дата обращения: 29.04.2022)
5. Волчинская, Е.К. Персональные данные в России 2010 [Текст] / Е.К.
Волчинская // Защита персональных данных. Опыт правового
регулирования. - 2010. - № 6. - С. 5-7.
6. Белышев Д. В., Кочуров Е. В. Анализ методов хранения данных в
современных медицинских информационных системах //Программные системы: теория и приложения. - 2016. - Т. 7. - №. 2 (29). - С. 85-103.
7. Stytz M. R. Considering defense in depth for software applications //IEEE Security &Privacy. - 2004. - Т. 2. - №. 1. - С. 72-75.
8. Орлов П. О. Исследование функциональных возможностей асимметричных алгоритмов шифрования //Евразийский научный журнал. - 2015. - №. 8.
9. Rihan S. D., Khalid A., Osman S. E. F. A performance comparison of encryption algorithms AES and DES //International Journal of Engineering Research & Technology (IJERT). - 2015. - Т. 4. - №. 12. - С. 151-154.
10. Penchalaiah N., Seshadri R. Effective Comparison and evaluation of DES and Rijndael Algorithm (AES) //International journal of computer science and engineering. - 2010. - Т. 2. - №. 05. - С. 1641-1645.
11. Казиева, Н. Методы и алгоритмы штрихового кодирования для задач лицевой биометрии : диссертация на соискание ученой степени кандидата технических наук. - Национальный исследовательский университет ИТМО. - Санкт-Петербург, 2020.
12. Buchanan, William J. Cryptography. - Edinburgh: River Publishers, 2017. - 350 p.
13. Востриков А. А., Сергеев М. Б. Штриховое кодирование. Учебное пособие //СПб.: ГУАП. - 2011.
14. Язык программирования Python 3.10. [Электронный ресурс]:
URL:https://www.python.org/doc/(Дата обращения: 29.05.2022)
15. Вигерс К., Битти Д. Разработка требований к программному обеспечению //М.: Русская редакция. - 2004.