編者按:本文發表於2月19日發表在海外行業**健康資料管理,是美國健康資料管理學會ACHDM出版的系列文獻之一。
隨著醫療領域資料交換的增長,人們逐漸意識到,醫療系統中的身份系統向安全性、私隱保護能力更強、效率更高的“去中心化身份系統”轉型是必然趨勢。
在上一篇文章中,我們深入探討了人工智慧工具的“雙刃劍”。 一方面,像 ChatGPT 這樣的工具提供了令人難以置信的便利性和效率,提高了許多人的生產力。 另一方面,這些進步也增加了“不良行為者”通過“輕鬆洩露身份和憑據”造成嚴重破壞的能力。
那麼問題來了,如何解決醫療安全問題?
面對這個問題,我們首先需要明確:網路攻擊不是問題的核心,而是“症狀”。 隨著人們推動醫療保健走向數位化,該行業不僅受到好處的影響,而且還受到數字環境的長期“缺點”的影響。 凡事各有利弊,採用數字基礎設施也給醫療保健系統帶來了“全面的網際網絡風險”。
醫療網路安全問題的根源是“一種長期在網上流傳的遺傳病”。
問題出在數字身份證上
醫療保健行業面臨著數字身份安全性差的問題。 無論我們談論的是個人、組織、伺服器還是應用程式,我們與之互動的一切都是“身份”的數字表示。 這些識別符號是我們交易能力的基礎。 迄今為止,我們缺乏解決數字身份真實性問題的工具。
簡而言之,當您嘗試登入任何**時,都會發生身份資訊交換。 您的計算機通常會由第三方證書頒發機構 (CA) 進行認證,以檢視它是否確實是它聲稱的那樣。 然後,** 嘗試使用使用者名稱和密碼驗證您的身份,或將身份問題完全移交給第三方或集中式身份提供商。
我們大多數人(通常沒有意識到)已經將我們的數字身份錨定在集中式系統中。 每當我們選擇“使用Google登入”或“使用Facebook註冊”時,我們都會將部分數字自主權交給這些科技巨頭。 集中式身份系統雖然方便,但也容易受到攻擊。
同樣重要的是要注意,對於這樣乙個集中式系統,僅破壞其中乙個就可以訪問數千條記錄,這意味著它們(此類系統)已成為黑客的寶庫。
但是,如果您可以在不依賴第三方的情況下自行驗證您的身份並獲得超出“行業標準”的安全性呢? 去中心化身份提供了一種新的自我認證方法,有可能重塑信任和資料交換。
去中心化身份實現
去中心化身份(DID)一詞乍一看似乎有點矛盾。 畢竟,我們習慣於將身份與“集中(管理)”的東西聯絡起來,無論是國家簽發的護照還是谷歌管理的使用者名稱和密碼。
去中心化身份旨在將身份資料的控制權交還給個人或組織。 去中心化系統不依賴第三方機構或中介機構來“斷言”身份,使使用者能夠控制自己的身份,而無需在每一步都進行外部驗證。
最重要的是,去中心化身份解決方案可以通過數字簽名將參與者與操作聯絡起來(這將在本系列的最後一篇文章中討論)。
分散技術範圍
雖然“去中心化身份”一詞是未來主義的,但其本質是新舊技術的融合。
1976年,Whitfield Diffie和Martin Hellman向世界公布了他們對“公鑰和私鑰基礎設施(PKI)”的願景,從而為去中心化身份奠定了理論基礎。
然而,直到最近,隨著區塊鏈、KERI、W3C等技術的出現,去中心化才真正開始實現。 一些應用示例包括:
區塊鏈。
區塊鏈是一種基於密碼學的分布式賬本技術,其中身份事件按時間順序記錄。 區塊鏈的支持者認為,該技術是透明的、不可變的,並且能夠在沒有單一許可權的情況下執行。 儘管區塊鏈與代幣相關,但區塊鏈本身已經開始在醫療保健領域得到採用,例如加州大學洛杉磯分校(加州大學洛杉磯分校法學院和商科學生和教職員工組成的團體,專注於教育和參與洛杉磯的區塊鏈技術社群)和Bruinchain等組織。
關鍵事件回執基礎結構 (KERI) 用於關鍵事件回執
KERI是一種獨特的非區塊鏈解決方案。 它不需要“全球共識”來確保“全球唯一性”,也不需要與任何特定的區塊鏈或權威機構繫結即可運營。 KERI 提供自我認證、最終可驗證的身份,而無需每個人都在同乙個分布式賬本上。 KERI 的乙個很好的例子是 GLEIF 的 VLEI,它建立了乙個數字版本的“長期法人機構識別編碼 (LEI)”系統。
這些技術和其他技術共同支撐著去中心化的身份系統,提供了一種保護、驗證和共享身份的新方法,而無需依賴外部中心化驗證者。
去中心化身份給在醫療保健領域好處地方
在醫療保健領域,個人健康資料 (PHI) 非常敏感且非常有價值。 在黑市上,病歷資訊通常以(受損的)信用卡號的 10 到 40 倍的價格出售。 採用去中心化身份可以帶來革命性的改進,包括:
安全。
醫療保健組織通常執行包含敏感患者資訊(從病史到基因資料)的集中式資料庫,而這些“寶庫”是網路攻擊的主要目標。 通過轉向去中心化身份模型,消除了在儲存庫中儲存大量綜合資料的需要,大大降低了大規模資料洩露的風險,並確保了患者資料的安全性。
從安全角度來看,醫療保健安全的“真正勝利”不是(表現形式上)無懈可擊的網路,而是資料寶庫本身的“破壞”,這將使攻擊消失。
私隱和患者權利。
究竟誰可以訪問他們的記錄“——這個問題經常困擾患者。 “身份主權資訊自治”可以幫助患者控制自己的資料。 例如,他們可能選擇只與某些專家分享特定的醫療資訊,而不是與他們不確定的人分享他們的整個病史。 這將有助於保護患者私隱,並減少患者資料在發生洩露時的“脆弱性”。
互操作性。
當今的護理通常涉及護理團隊中的多個人,從初級保健醫生到專家、實驗室和藥房。 可以實現去中心化身份——在必要時,醫療資料在這些服務提供商之間“無縫共享”,而不會損害私隱權。 無需重複測試和文書工作,每個醫療保健提供者**都可以訪問他們需要的資訊。
減少依賴性。
通過在資料驗證中消除第三方中介,患者和服務提供商可以建立直接信任。 這在緊急情況下尤為重要,因為快速獲取準確的醫療資訊可以挽救生命。 想想 2020 年的“極端資料混亂”(指 2020 年美國疫苗資料混亂),一些州,如阿拉斯加,需要呼叫國民警衛隊進行資料輸入,以解決不同系統之間的資料脫節問題。
將去中心化身份整合到醫療保健中不僅可以簡化管理流程,還可以提高護理質量和患者信任度。
醫療保健的權力下放標識系統應用程式挑戰
雖然去中心化身份系統在醫療保健領域有令人信服的案例,但將技術從願景轉化為現實意味著要應對一系列技術和文化挑戰,包括以下內容。
退役、更換和增量收入。
醫療保健資料交換一直在進行,這意味著幾乎沒有機會暫停資料流以完成技術更新。 “停機時間”是衡量(技術更新)成功或失敗的重要指標。 因此,實施分布式數字身份系統的正確“開放方式”是通過“隨時間遞增”來減少關鍵任務系統的停機時間。
全球標準。
各國的衛生法規各不相同。 去中心化的身份系統必須足夠靈活,以適應不同的監管環境。 乙個成功的系統必須依賴於開源、開放協議和無管轄權的技術,而“專有技術”是去中心化系統的對立面。
金鑰管理。
加密金鑰管理是去中心化身份的根源。 如今,這項艱鉅的任務由首席資訊保安官及其團隊承擔,同時向第三方支付託管加密金鑰的費用,這不太安全。 當我們將這些金鑰的控制權移交給實際使用者或“邊緣”時,金鑰丟失或洩露就成為乙個緊迫的問題。
數字身份前途道路
去中心化的系統的出現讓我們“看到了未來”,在去中心化系統的幫助下,醫療資料對那些不懷好意的人不再有吸引力。 醫療保健行業由於其複雜性以及對信任和私隱的高需求而處於這一變革浪潮的最前沿。
醫療保健資料和下一代身份解決方案的結合不再是“是否”的問題,而是“何時”的問題。 從技術創新者到醫療保健專業人員,從監管機構到患者本身,利益相關者已經開始合作,以創造乙個安全、以患者為中心、無縫和高效的醫療保健的未來。