ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΟΥ ΣΕ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΥΓΕΙΑΣ

ΑΝΑΛΥΣΗ ΚΙΝ ΥΝΟΥ ΣΕ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΥΓΕΙΑΣ Εισαγωγή Οι σύγχρονες τεχνολογικές καινοτοµίες της επιστήµης των υπολογιστών παρέχουν τη δυνατότητα διαρκούς παρακολούθησης των ασθενών, µε χρήση των συστηµάτων τηλεϊατρικής. Τα συστήµατα τηλεϊατρικής διαχειρίζονται κρίσιµες καταστάσεις και δεδοµένα ασθενών, µε αποτέλεσµα πιθανές αποτυχίες εκτέλεσης των απαιτούµενων να οδηγούν σε ανεπιθύµητες συνέπειες. Σύµφωνα µε τις Ευρωπαϊκές οδηγίες (Recommendation( No. R (97) 5 on the Protection of Medical Data issued by the Council of Europe) θα πρέπει να λαµβάνονται συγκεκριµένα τεχνικά και οργανωτικά µέτρα για την προστασία των προσωπικών δεδοµένων υγείας. Πιθανές απώλειες ή διαρροές τέτοιων δεδοµένων καθώς και τα ενδεχόµενα αποτυχίας των συστηµάτων τηλεϊατρικής ενδέχεται επιπλέον να αποτρέψουν την ευρύτερη αποδοχή τους και ανάπτυξη από τους επαγγελµατίες στο χώρο της ιατρικής. 1

Αναλύσεις κινδύνου Οι αναλύσεις κινδύνου είναι απαραίτητες για την ασφάλεια και ποιότητα των Πληροφοριακών Συστηµάτων Υγείας (ΠΣΥ), εντοπίζοντας συστηµατικά τις πιθανές αδυναµίες τους στη λειτουργία και ασφάλεια, ενώ παράλληλα προτείνουν και κατάλληλα αντίµετρα. Στη διεθνή βιβλιογραφία υπάρχουν τυποποιηµένες διαδικασίες αναλύσεων κινδύνου, οι οποίες σε συνδυασµό µε άλλες µεθοδολογίες µοντελοποίησης, απεικονίζουν τις αδυναµίες των ΠΣΥ και οδηγούν σε εκτιµήσεις της στάθµης ασφάλειας τους: ένδρα αποτυχιών (Fault( Trees) ένδρα Ενδεχοµένων Βλάβης (Event Trees) ίκτυα Bayes (Bayesian Networks) Αλυσίδες Markov (Markov Chains) ίκτυα Bayes Τα δίκτυα Bayes αποτελούν µία γενική µεθοδολογία µοντελοποίησης προβληµάτων που χαρακτηρίζονται από απροσδιοριστία και σχέσεις «αιτίας - αποτελέσµατος». Στηρίζονται στο νόµο του Bayes: : Ρ(Α,Β)=Ρ(Α/Β)*Ρ(Β) Αποτελούνται από κόµβους και κατευθυνόµενους κλάδους, που απεικονίζουν µεταβλητές και σχέσεις εξάρτησης. Κάθε µεταβλητή χαρακτηρίζεται ως «γονέας» ή «παιδί» (parent-child), µε πίνακα πιθανοτήτων εµφάνισης συγκεκριµένης κατάστασης ή πίνακα δεσµευµένων πιθανοτήτων. Α Β C D Α B C D 1 2 1 P1 P9 1 1 2 2 1 2 P2 P3 P4 P10 P11 P12 2 1 2 1 2 1 2 P5 P6 P7 P8 P13 P14 P15 P16 2

ίκτυα Bayes Στάδια υλοποίησης: Καθορισµός των µεταβλητών και των αλληλεπιδράσεων τους και των αριθµητικών δεδοµένων για τις βασικές µεταβλητές Σχηµατισµός των πινάκων δεσµευµένων πιθανοτήτων των µεταβλητών - παιδιών ανάλογα µε την επίδραση των µεταβλητών - γονέων. Υπολογισµός των πιθανοτήτων κάθε κατάστασης των µεταβλητών, είτε των «πρότερων» (prior) είτε των «ύστερων» (posterior). Προγράµµατα Η/Υ υλοποίησης ικτύων Bayes Hugin MSBNx Bayes Net Toolbox for Matlab Πλεονεκτήµατα ικτύων Bayes Αναπαράσταση συστηµάτων µε εξαρτήσεις µεταξύ των µεταβλητών λειτουργίας που χαρακτηρίζονται από απροσδιοριστία. υνατότητα µοντελοποίησης περισσότερων από δύο λειτουργικές καταστάσεις µε ιδιαίτερη ευκολία, όπως επίσης και αποτυχίες κοινής αιτίας ή εξαρτηµένες µεταξύ τους. Η δυνατότητα µελέτης σεναρίων µε εφαρµογή συγκεκριµένων συνθηκών και υπολογισµό των αναζητούµενων δεσµευµένων πιθανοτήτων εµφάνισης των λειτουργικών καταστάσεων συγκεκριµένων µεταβλητών. Με τον υπολογισµό των δεσµευµένων («ύστερων») πιθανοτήτων παρέχονται σηµαντικές πληροφορίες που αφορούν αναγνώριση βλαβών και ιεράρχηση των παραγόντων µε την µεγαλύτερη επίδραση σε ανεπιθύµητα γεγονότα 3

Ανάλυση Κινδύνου CRAMM Η CRAMM - UK Central Computer and Telecommunications Agency (CCTA) Risk Analysis and Management Methodology - αναπτύχθηκε από τις υπηρεσίες ασφαλείας του Ηνωµένου Βασιλείου, και εφαρµόζεται διεθνώς σε αναλύσεις κινδύνου. Ο κίνδυνος ορίζεται ως η πιθανότητα της ζηµίας ή της απώλειας απαιτούµενης λειτουργίας και ο αντίκτυπός της στο σύστηµα Σύµφωνα µε τη διαδικασία CRAMM,, ο κίνδυνος εξαρτάται άµεσα από τα προτερήµατα (assets), τις απειλές (threats) threats),, και τις ευπάθειες (vulnerabilities). Αξιολόγηση προτερηµάτων Τα προτερήµατα ενός πληροφοριακού συστήµατος αποτελούνται από τα δεδοµένα που διαχειρίζεται, το λογισµικό και τον υλικό εξοπλισµό. Τα προτερήµατα αξιολογούνται από την άποψη των επιδράσεων που θα µπορούσαν να προκαλέσουν αν αποκαλύπτονταν, τροποποιούνταν, καταστρέφονταν ή γίνονταν µη διαθέσιµα σε αναρµόδια ή απροσδόκητη κατάσταση. Παράγοντες αξιολόγησης των προτερηµάτων: απάνες αντικατάστασης ή αναδηµιουργίας Μη διαθεσιµότητα Τροποποίηση Κοινοποίηση 4

Έρευνα για απειλές και ευπάθειες Κατά τη διάρκεια του παρόντος σταδίου υπολογίζονται τα επίπεδα απειλής και ευπάθειας για κάθε προτέρηµα, ακολουθώντας τα ακόλουθα βήµατα: Προσδιορισµός των απειλών που απαιτούν έρευνα σε σχέση µε τα προτερήµατα. Αξιολόγηση του επιπέδου κάθε απειλής (την πιθανότητα που αυτό εµφανίζεται). Αξιολόγηση της έκτασης της ευπάθειας σε κάθε απειλή (την πιθανότητα της ζηµίας ή της απώλειας που συνδυάζεται µε τον αντίκτυπο της). Υπολογισµός των κινδύνων που προκαλούνται από τις απειλές στο σύστηµα (βασισµένο στην αξιολόγηση προτερηµάτων, την αξιολόγηση του κινδύνου και την αξιολόγηση της ευπάθειας). Επιλογή αντιµέτρων Η αναλυτική διαδικασία CRAMM, όπως και κάθε άλλη σχετική διαδικασία, προτείνει έναν κατάλογο αντίµετρων, που βάσει του κόστους, πρέπει να επιλεγούν προσεκτικά. Αναπτύσσεται ένα σχέδιο ασφάλειας, που προσαρµόζεται στις ανάγκες και τις ικανότητες του συστήµατος. Η CRAMM διαθέτει µεγάλη βιβλιοθήκη αντίµετρων, που διακρίνονται σε τεχνικά, διοικητικά ή οργανωτικά, ανάλογα µε τις απειλές στα συγκεκριµένα προτερήµατα. 5

Επιλογή αντιµέτρων Η επιλογή των κατάλληλων αντίµετρων είναι κυρίως βασισµένη στην εµπειρία του αναλυτή και σε κριτήρια όπως: Τα αποτελέσµατα των αντίµετρων στη λειτουργία της οργάνωσης Το κόστος εφαρµογής Τα µελλοντικά σχέδια της οργάνωσης στο θέµα της ανάπτυξης Τις όψεις της διαχείρισης και των στόχων τους Τις ενδείξεις ότι πιθανόν οι απειλές στο σύστηµα να αυξηθούν στο µέλλον. Την αποτελεσµατικότητα των αντίµετρων. Το λογισµικό CRAMM περιέχει µια βάση δεδοµένων των αντίµετρων (περισσότερα από 2000), που οµαδοποιούνται ιεραρχικά ως προς την αποτελεσµατικότητά τους στις συγκεκριµένες απειλές του συστήµατος. Η σύνταξη του πλάνου ασφάλειας περιλαµβάνει την πολιτική ασφάλειας για την οργάνωση, τις ευθύνες στο προσωπικό, τις πρόσθετες ενέργειες που απαιτούνται για την ασφάλεια του συστήµατος. Πληροφοριακό σύστηµα υγείας VITAL Το σύστηµα VITAL στοχεύει να καλύψει το κενό στη συνεχή και συντονισµένη υγειονοµική περίθαλψη αφότου αφήσει ο ασθενής το νοσοκοµείο και επιστρέψει στο σπίτι του. Αποτελείται από δύο διαφορετικά λειτουργικά υποσυστήµατα. Το πρώτο εξυπηρετεί τη στοιχειώδη ιατρική παρακολούθηση και κωδικοποιεί τα σηµάδια ζωτικής σηµασίας στο σπίτι του ασθενή. Αυτό το µέρος του µοντέλου υπάρχει για κάθε ασθενή. Το δεύτερο συλλέγει, µέσω µιας σύνδεσης επικοινωνίας, τα ζωτικής σηµασίας σηµάδια προκειµένου αυτά να αποκωδικοποιηθούν, να ελεγχθούν, να υποβληθούν σε επεξεργασία και να καταχωρηθούν. Αυτό βρίσκεται στο κέντρο υγειονοµικής περίθαλψης που παρέχει την υπηρεσία παρακολούθησης (monitoring service). 6

ιάγραµµα συστήµατος VITAL Το σπίτι του ασθενή Υπάρχει µία συσκευή PVSM που µετρά τα βιολογικά σήµατα (το ECG, την πίεση του αίµατος, τους σφυγµούς, τη θερµοκρασία) µε στόχο τον έλεγχο καρδιάς. Ο εξοπλισµός PVSM θα συνδεθεί µέσω µιας σειριακής σύνδεσης RS- 232 µε ένα PC στο σπίτι του ασθενή, για την κωδικοποίηση των ζωτικής σηµασίας σηµάτων στη µορφή VITAL-DICOM. Η διαδικασία κωδικοποίησης εκτελείται από το λογισµικό VITAL-DICOM και καταχωρούνται τοπικά στο PC. Τα ιατρικά στοιχεία του ασθενή µεταφέρονται στο κέντρο υγειονοµικής περίθαλψης (HCC) είτε µέσο µιας κανονικής γραµµής ΡSTN, είτε µέσο του δικτύου GSM. Το PC του ασθενή θα εξοπλιστεί µε ένα modem, και ένα GSM modem σε περίπτωση έκτακτης ανάγκης. Οι συνδέσεις PSTN και GSM, θα είναι επίσης διαθέσιµες για γ τη µετάδοση φωνής µε το HCC, όταν δεν χρησιµοποιούνται για τη µεταφορά των στοιχείων. 7

Κέντρο υγειονοµικής περίθαλψης (HCC) Στο HCC υπάρχει ένας κεντρικός υπολογιστής που θα συλλέγει, θα αποκωδικοποιεί, θα ελέγχει, θα επεξεργάζεται, και θα καταχωρεί τα ζωτικής σηµασίας σηµάδια των ασθενών. Η επικοινωνιακή υποδοµή είναι παρόµοια µε το σπίτι του ασθενή. Ο κεντρικός υπολογιστής HCC συνδέεται µε το ιαδίκτυο για ηλεκτρονική επικοινωνία (π.χ. ηλεκτρονικό ταχυδροµείο, ανταλλαγή των ηλεκτρονικών εγγράφων, κ.λ.π.), πέρα από τη µετάδοση φωνής, µε τους γιατρούς και τα νοσοκοµεία. Εφαρµογές στο HCC Οι εφαρµογές που θα εκτελεσθούν από αυτόν τον κεντρικό υπολογιστή θα είναι: Το VITAL-DICOM decoder λογισµικό αποκωδικοποίησης, που επιτρέπει την αποκωδικοποίηση των ζωτικής σηµασίας σηµαδιών των ασθενών. Το Electronic Medical Record λογισµικό (ιατρικά αρχεία), για τη διατήρηση του προσδιορισµού του ασθενή και άλλων δηµογραφικών πληροφοριών, την καταχώρηση και την επεξεργασία του ιατρικού ιστορικού του και όλων των ζωτικής σηµασίας σηµαδιών από την υπηρεσία VITAL-Home, Το Vital Signs Monitoring λογισµικό (έλεγχος ζωτικής σηµασίας σηµαδιών) που θα διευκολύνει την παρουσίαση των ζωτικής σηµασίας σηµαδιών στην οθόνη για τον αποµακρυσµένο έλεγχο της υγείας του ασθενή, Το Logging λογισµικό (αναγραφές επικοινωνίας) που καταγράφει τη µετάδοση φωνής µεταξύ του HCC και των ασθενών ή των γιατρών και διατηρεί τα αρχεία όλης της ηλεκτρονικής επικοινωνίας (δηλ. ηλεκτρονικά ταχυδροµεία, ηλεκτρονικά έγγραφα) µεταξύ του HCC και των γιατρών ή των νοσοκοµείων. 8

Σενάριο λειτουργίας Vital Ένα χαρακτηριστικό σενάριο για την παρακολούθηση του ασθενή είναι το ακόλουθο: Η συσκευή PVSM και ένα PC βρίσκονται στο σπίτι του ασθενή και η επικοινωνία µε το HCC γίνεται µε ένα modem και την κανονική τηλεφωνική γραµµή, ενώ διατίθεται ένα τηλέφωνο GSM µε modem GSM. Ανάλογα µε την κατάσταση υγείας του ασθενή, ο γιατρός καθορίζει τα ζωτικής σηµασίας σηµάδια που θα µεταφέρονται στα κανονικά χρονικά διαστήµατα στο σταθµό ελέγχου HCC. Ο ασθενής χρησιµοποιεί το PVSM για να τα καταγράψει. Τα καταγραµµένα ζωτικής σηµασίας σηµάδια µεταφέρονται στο PC όπου κωδικοποιούνται από το λογισµικό VITAL-DICOM. Κατόπιν τα στοιχεία µεταφέρονται στο HCC (PSTN ή GSM). Παράλληλα, ο ασθενής µπορεί µεταδώσει και να λάβει φωνή µε τους γιατρούς του HCC. Σενάριο λειτουργίας Vital Τα στοιχεία ελέγχονται από το γιατρό και καταχωρούνται έπειτα στο ηλεκτρονικό ιατρικό αρχείο του ασθενή που διατηρείται από το κέντρο HCC. Εάν ένα πρόβληµα υγείας ανιχνευθεί, ανάλογα µε πόσο σοβαρό είναι, το HCC µπορεί είτε να καθοδηγήσει τον ασθενή για να λάβει κατάλληλα µέτρα είτε µπορεί να στείλει ένα ασθενοφόρο για να πάει αµέσως στο σπίτι του. Εάν οι γιατροί του HCC θεωρήσουν ότι τα στοιχεία έχουν διαστρεβλωθεί κατά τη διάρκεια της µετάδοσης, καθοδηγούν τον ασθενή να επαναλάβει τη µέτρηση και να αναµεταδώσει τα στοιχεία. Εάν το HCC δεν λαµβάνει τα στοιχεία από έναν ασθενή στον αναµενόµενο χρόνο θα προσπαθήσουν να έρθουν σε επαφή µε αυτόν προκειµένου να εντοπιστεί η αιτία (δηλ. είναι η υπηρεσία µη µ διαθέσιµη για κάποιους λόγους ή υπάρχει κάποιο πρόβληµα µε την υγεία του ασθενή). Εάν δεν κατορθώνουν να έρθουν σε επαφή, ένα ασθενοφόρο στέλνεται αµέσως στο σπίτι του ασθενή. 9

Σενάριο λειτουργίας Vital Η µεταφορά στοιχείων µπορεί να γίνει και µε τρόπο έκτακτης ανάγκης. Αυτό γίνεται είτε όταν ο ασθενής δεν αισθάνεται καλά και αποφασίζει έτσι να αρχίσει την επικοινωνία, ή επειδή η συσκευή PVSM ανιχνεύει ένα πρόβληµα και αρχίζει αυτόµατα τη µεταφορά των στοιχείων στο HCC. Εκτός από τις "δραστηριότητες ελέγχου από απόσταση", το HCC θα πρέπει επίσης να ανταλλάξει τις πληροφορίες µε τους γιατρούς ή τα νοσοκοµεία όπου ο ασθενής νοσηλεύθηκε. Οι πληροφορίες που το HCC θα χρειαστεί θα είναι είτε για το ιατρικό ιστορικό του ασθενή είτε για τις συγκεκριµένες απαιτήσεις ελέγχου. Σενάριο λειτουργίας Vital Οµοίως, το HCC θα διαβιβάσει στους γιατρούς τα αποτελέσµατα καταγραφής για κάθε ασθενή. Η ανταλλαγή των πληροφοριών µπορεί είτε να πραγµατοποιηθεί µέσω της µετάδοσης φωνής είτε ηλεκτρονικά (δηλ. ηλεκτρονικό ταχυδροµείο, ανταλλαγή εγγράφων, κ.λ.π.)..). Για νοµικούς λόγους, ένα αρχείο όλης της προαναφερθείσας επικοινωνίας (συµπεριλαµβανοµένης της καταγραφής φωνής και της αρχειοθέτησης των ηλεκτρονικών εγγράφων και των ηλεκτρονικών ταχυδροµείων) ενηµερώνεται από τον κεντρικό υπολογιστή HCC µέσω του logging support software (λογισµικού( υποστήριξης αναγραφών). Το ίδιο λογισµικό υποστήριξης χρησιµοποιείται επίσης για την καταγραφή της µετάδοσης φωνής µεταξύ του HCC και των ασθενών κατά τη διάρκεια της παροχής υπηρεσιών. 10

Ανάλυση και διαχείριση κινδύνου Η ανάλυση κινδύνου αφορά το υλικό, το λογισµικό, τα δεδοµένα, τις διαδικασίες, και το προσωπικό που συµµετέχουν στη λειτουργία του συστήµατος (στο σπίτι του ασθενή και στο HCC). Τα αντίµετρα που θα παραχθούν αργότερα µπορούν επίσης να έχουν επιπτώσεις σε άλλους παράγοντες της λειτουργίας του συστήµατος (π.χ. γιατροί, νοσοκοµεία, κ.λ.π.). Προτερήµατα δεδοµένων Τα προτερήµατα δεδοµένων του VITAL-Home ταξινοµούνται στις ακόλουθες κατηγορίες: Encoded Vital Signs (Κωδικοποιηµένα ζωτικής σηµασίας σηµάδια) Patient Medical Records (Ιατρικά αρχεία ασθενών) Reporting Data ( εδοµένα εκθέσεων-αναφορών) Voice-Log Data ( εδοµένα φωνής) 11

Κωδικοποιηµένα ζωτικής σηµασίας σηµάδια (Encoded Vital Signs) ιαθεσιµότητα: : Μη διαθεσιµότητα των ζωτικής σηµασίας σηµαδιών υπονοεί ότι ο έλεγχος του ασθενή δεν είναι εφικτός. Μη διαθεσιµότητα ακόµη και για µια µικρή χρονική περίοδο (π.χ. 15 ) θα µπορούσε να προκαλέσει ανησυχία στον ασθενή. Για πιο µεγάλες περιόδους, που πλησιάζουν µια πλήρη ηµέρα, η ζωή του ασθενή µπορεί να διατρέξει κίνδυνο. Οι συνέπειες ενός τέτοιου γεγονότος στο HCC θα είναι παρόµοιες µε εκείνες που αναφέρονται για τα ιατρικά αρχεία ασθενών. Εµπιστευτικότητα: : Η απώλεια εµπιστευτικότητας δεδοµένων δεν µπορεί να θεωρηθεί ως σοβαρή απειλή, δεδοµένου ότι το PC που καταχωρεί τις πληροφορίες είναι στο σπίτι του ασθενή. Μπορεί εποµένως να υποτίθεται ότι καθένας που έχει πρόσβαση σε αυτά τα δεδοµένα έχει την έγκριση, από τον ασθενή για να το κάνει. Ακεραιότητα: : Σε αυτήν την περίπτωση η ακεραιότητα των καταγραµµένων ζωτικής σηµασίας σηµαδιών µπορεί να χαθεί λόγω της φυσικής καταστροφής, βλάβη µέσων αποµνηµόνευσης, ή λόγω προβληµάτων κωδικοποίησης. Μια σκόπιµη τροποποίηση των στοιχείων δεν θεωρείται απειλή. Ιατρικά αρχεία ασθενών (Patient Medical Records) ιαθεσιµότητα: : Μη διαθεσιµότητα σηµαίνει ότι η υπηρεσία παρακολούθησης του ασθενή γίνεται αναξιόπιστη (ειδικά για την υπηρεσία πραγµατικού χρόνου-έκτακτης ανάγκης, δεδοµένου ότι δεν υπάρχει κανένας τρόπος να συγκριθούν τα λαµβανόµενα ζωτικής σηµασίας σηµάδια µε την καταγραµµένη κατάσταση του ασθενή). Η υπηρεσία παρακολούθησης είναι η βασική λειτουργία του HCC, µη διαθεσιµότητα των ιατρικών αρχείων για οποιαδήποτε χρονική περίοδο (ακόµη και 15 ) ) µπορεί να οδηγήσει σε απειλή της ζωής ασθενών. Εµπιστευτικότητα:. Απώλεια εµπιστευτικότητας ενδέχεται να οδηγήσει στην αµηχανία εκτέλεσης ενεργειών και στη χειρότερη περίπτωση δυσµενής νοµική ενέργεια στο πλαίσιο της νοµοθεσίας προστασίας των δεδοµένων. Ακεραιότητα: : Η απώλεια ακεραιότητας δεδοµένων ενδέχεται να είναι αποτέλεσµα µιας τυχαίας τροποποίησης είτε καταστροφής των ιατρικών δεδοµένων (π.χ. λόγω της φυσικής καταστροφής ή µετάδοσης, ή των σφαλµάτων προβληµάτων κωδικοποίησης ικοποίησης- αποκωδικοποίησης, ή λόγω των βλαβών µαγνητικών µέσων), είτε το αποτέλεσµα α µιας σκόπιµης τροποποίησης είτε µιας καταστροφής των αρχείων. Η επέκταση του προβλήµατος θα εξαρτηθεί κατά ένα µεγάλο µέρος από την ύπαρξη των ν εφεδρικών αντιγράφων για τα ιατρικά αρχεία καθώς επίσης και τον απαραίτητο χρόνο αποκατάστασης. Τα παραπάνω ανεπιθύµητα γεγονότα έχουν ως συνέπεια να δυσφηµισθεί ί το σύστηµα να αµφισβητηθούν οι δυνατότητες για παροχή των υπηρεσιών υγειονοµικής περίθαλψης. 12

εδοµένα Εκθέσεων - Αναφορών (Reporting Data) ιαθεσιµότητα: : Τα δεδοµένα διατηρούνται κυρίως ως απόδειξη (για τις περιπτώσεις ις ευθύνης) για τις πληροφορίες που ανταλλάσσονται µεταξύ του HCC και κ του γιατρού του ασθενή ή του νοσοκοµείου, σχετικά µε την κατάσταση της υγείας του υ ασθενή κατά τη διάρκεια της περιόδου παρακολούθησης. Εάν αυτές οι πληροφορίες γίνουν γ µη διαθέσιµες και υπάρχει διαφωνία µεταξύ του HCC και ενός γιατρού ή ενός νοσοκοµείου, όσον αφορά την ακρίβεια των πληροφοριών που παρέχονται για την υγεία του ασθενή, υπάρχει πρόβληµα. Μη διαθεσιµότητα αυτών των πληροφοριών για µεγάλη περίοδο θα υπονοήσει την ανικανότητα του HCC σε τέτοιες γεγονότα. Ο αντίκτυπος θα είναι η απώλεια καλής θέλησης και θα έχει επιπτώσεις στις σχέσεις µε τους πελάτες, ρυθµιστικούς οργανισµούς, και άλλες οργανώσεις. Εµπιστευτικότητα: : Τα δεδοµένα περιέχουν τις ιατρικές πληροφορίες για τους χρήστες- ασθενείς. Εποµένως, πρέπει να προστατευθούν οι πληροφορίες από αναρµόδια α πρόσβαση. Όπως αναφέρεται ήδη για τα προηγούµενα προτερήµατα δεδοµένων, ο αντίκτυπος του χαλαρώµατος της εµπιστευτικότητας αν και µπορεί να µην είναι τόσο ο σοβαρός όσο για τα ιατρικά αρχεία ασθενών, θα προκαλέσει αµηχανία στους ασθενείς και ι ενδεχοµένως νοµική ενέργεια ενάντια στο σύστηµα. Ακεραιότητα: : Η σηµαντικότερη απειλή είναι σε αυτήν την περίπτωση είναι να γίνει γ µια σκόπιµη τροποποίηση των στοιχείων από κάποιον που σχεδιάζει να κατηγορήσει κ το HCC για την παροχή ανακριβών πληροφοριών. Επιπλέον, σκόπιµη ή τυχαία τροποποίηση των πληροφοριών µπορεί να είναι απειλητική για την ζωή του ασθενή δεδοµένου δοµένου ότι λανθασµένες πληροφορίες θα διαβιβαστούν στο γιατρό ή στο νοσοκοµείο. Αντίστοιχη ανάλυση ισχύει και για το προτέρηµα «εδοµένα Φωνής» (Voice-Log Data). Υλικό Το υλικό που απαιτείται και στο HCC και στο σπίτι του ασθενή είναι: Κεντρικός υπολογιστής του HCC. Εκτυπωτής του HCC. Εφεδρικά αποθηκευτικά µέσα για την υποστήριξη των στοιχείων που καταχωρούνται στον κεντρικό υπολογιστή HCC. PC στο σπίτι του ασθενή. PVSM στον ασθενή. Αυτό είναι µια ιατρική συσκευή για την καταγραφή των απαραίτητων ζωτικής σηµασίας σηµαδιών. Τηλεφωνική γραµµή. Σύνδεση GSM. Γραµµή ιαδικτύου. Πρωτόκολλο επικοινωνίας. Modem του HCC. Modem του ασθενή 13

Λογισµικό Το λογισµικό που απαιτείται είναι: Medical Record S/W (Λογισµικό Ιατρικού αρχείου). Χρησιµοποιείται για τη διατήρηση και την επεξεργασία των ηλεκτρονικών ιατρικών αρχείων των ασθενών. Vital Signs Monitoring Support S/W S (Λογισµικό Παρακολούθησης των ζωτικής σηµασίας σηµαδιών). Υποστηρίζει την απεικόνιση των ζωτικής σηµασίας σηµαδιών του ασθενή στις οθόνες του HCC. Logging Support S/W S (Λογισµικό Υποστήριξης καταγραφής). Χρησιµοποιείται για την διατήρηση ηµερολογίου σε ένα Log αρχείο για χρόνο επικοινωνίας HCC και γιατρών, νοσοκοµείων ή ασθενών. Καταγράφει τη φωνητική επικοινωνία και αρχειοθετεί τα ηλεκτρονικά έγγραφα και email. VITAL-DICOM κωδικοποιητής S/W.. Κωδικοποιεί τα ζωτικής σηµασίας σηµάδια από το PVSM στη VITAL-DICOM µορφή και εκτελείται στο PC του ασθενή. VITAL-DICOM αποκωδικοποιητής S/W.. Αποκωδικοποιεί τα προηγούµενα σήµατα και εκτελείται στον κεντρικό υπολογιστή του HCC. Απειλές Ανάγκες Χρήστη Μεταµφίεση i. άτοµα εντός συστήµατος ii. το φορέα δικτυακών υπηρεσιών iii. άτοµα εξωτερικού περιβάλλοντος Τεχνική αποτυχία εκτύπωσης Τεχνική αποτυχία διαπροσωπείας δικτύων i. GSM ii. PSΤN ιακοπή ρεύµατος Αποτυχία προγραµµάτων εφαρµογών i) Logging Support ii) Medical Record iii) Monitoring Support iv) VITAL-DICOM Encoder v) VITAL-DICOM Decoder Πυρκαγιά. Πιστοποίηση ταυτότητας. Τεχνική υποστήριξη. Τεχνική υποστήριξη. ιακοπή ρεύµατος οκιµή και ποιότητα. Πρόληψη πυρκαγιάς. 14

Απειλή: Αποτυχία λογισµικού συστηµάτων και δικτύων. Προτέρηµα/υπηρεσία Κεντρικός υπολογιστής HCC. PC στο σπίτι του ασθενή Αντίκτυπος Μη διαθεσιµότητα (15 λ) Μη διαθεσιµότητα (15 λ) Στάθµη Υψηλή. Υψηλή. Ευπάθεια Υψηλή. Υψηλή. PVSM Μη διαθεσιµότητα (15 λ) Πολύ υψηλή Υψηλή. PVSM Μη διαθεσιµότητα (1 ώρα) Υψηλή. Χαµηλή Ανάλυση Κινδύνου µε ένδρο Αποτυχιών Τα αποτελέσµατα της ανάλυσης κινδύνου, οι αλληλεπιδράσεις των απειλών και οι εκτιµήσεις των πιθανοτήτων εµφάνισης τους, µπορούν ν να µοντελοποιηθούν σε ένα δένδρο αποτυχιών µε κορυφαίο γεγονός την αποτυχία του συστήµατος, ως το αποτέλεσµα µίας or-πύλης των αποτυχιών των τεσσάρων βασικών υπηρεσιών του VITAL. 15

Παρακολούθηση στο σπίτι του ασθενή (Home Monitoring Service) Αποτυχία HCC Server 16

Αποτυχία PVSM Πρόγραµµα RELEX 17

ένδρο Αποτυχιών σε ίκτυο Bayes ίκτυο Bayes του HCC Server 18

Χαρακτηριστικά ικτύου Bayes Οι βασικοί κόµβοι του δικτύου Bayes αποτελούν απειλές που δεν αναλύονται περαιτέρω. Οι κόµβοι που επηρεάζονται από άλλους έχουν πίνακες δεσµευµένων πιθανοτήτων µε τη λογική Boole, αλλά µπορούν να δεχθούν και τιµές διαφορετικές, ανάλογα µε τις ανάγκες µοντελοποίησης. Έχοντας συγκεκριµένα σενάρια προβληµάτων που εµφανίζει το σύστηµα πχ αποτυχία του server αλλά µε επάρκεια τροφοδοσίας, µπορούµε να µελετήσουµε τις δεσµευµένες πιθανότητες των υπολοίπων ενδεχοµένων και να δούµε πως αυτές µεταβάλλονται και ιεραρχούνται ως προς την πιθανότητα εµφάνισης. Αποτελέσµατα µοντελοποίησης Με µελέτη σεναρίων δεσµευµένων πιθανοτήτων, εντοπίστηκαν τα κρισιµότερα ενδεχόµενα που οδηγούν σε αποτυχία των υπηρεσιών και συνοψίζονται στον ακόλουθο πίνακα 19

Συµπεράσµατα Η αποτυχία τροφοδότησης µε ηλεκτρικό ρεύµα το server και τον προσωπικό υπολογιστή αποτελούν τις απειλές µε το υψηλότερο κίνδυνο. Σχετικά αντίµετρα είναι η εγκατάσταση και χρήση διάταξης UPS στο server σε συνδυασµό µε µία ηλεκτρογεννήτρια, και η εγκατάσταση UPS στο σπίτι του ασθενή, σε επιτρεπτά επίπεδα κόστους. Ιδιαίτερα σηµαντικό επίπεδο κινδύνου χαρακτηρίζει και τις απειλές αποτυχιών του λογισµικού των συσκευών PVSM και της διαχείρισης των δεδοµένων των ασθενών. Σχετικά αντίµετρα είναι οι υψηλές προδιαγραφές ποιότητας κατά την ανάπτυξη τέτοιου λογισµικού, η παρακολούθηση της λειτουργίας του από εξειδικευµένου προσωπικό, ώστε να ληφθούν έγκαιρα τα κατάλληλα µέτρα, και η φύλαξη αντιγράφων ασφαλείας των δεδοµένων. 20