编者按:本文发表于2月19日发表在海外行业**健康数据管理,是美国健康数据管理学会ACHDM出版的系列文献之一。
随着医疗领域数据交换的增长,人们逐渐意识到,医疗系统中的身份系统向安全性、隐私保护能力更强、效率更高的“去中心化身份系统”转型是必然趋势。
在上一篇文章中,我们深入探讨了人工智能工具的“双刃剑”。 一方面,像 ChatGPT 这样的工具提供了令人难以置信的便利性和效率,提高了许多人的生产力。 另一方面,这些进步也增加了“不良行为者”通过“轻松泄露身份和凭据”造成严重破坏的能力。
那么问题来了,如何解决医疗安全问题?
面对这个问题,我们首先需要明确:网络攻击不是问题的核心,而是“症状”。 随着人们推动医疗保健走向数字化,该行业不仅受到好处的影响,而且还受到数字环境的长期“缺点”的影响。 凡事各有利弊,采用数字基础设施也给医疗保健系统带来了“全面的互联网风险”。
医疗网络安全问题的根源是“一种长期在网上流传的遗传病”。
问题出在数字身份证上
医疗保健行业面临着数字身份安全性差的问题。 无论我们谈论的是个人、组织、服务器还是应用程序,我们与之交互的一切都是“身份”的数字表示。 这些标识符是我们交易能力的基础。 迄今为止,我们缺乏解决数字身份真实性问题的工具。
简而言之,当您尝试登录任何**时,都会发生身份信息交换。 您的计算机通常会由第三方证书颁发机构 (CA) 进行认证,以查看它是否确实是它声称的那样。 然后,** 尝试使用用户名和密码验证您的身份,或将身份问题完全移交给第三方或集中式身份提供商。
我们大多数人(通常没有意识到)已经将我们的数字身份锚定在集中式系统中。 每当我们选择“使用Google登录”或“使用Facebook注册”时,我们都会将部分数字自主权交给这些科技巨头。 集中式身份系统虽然方便,但也容易受到攻击。
同样重要的是要注意,对于这样一个集中式系统,仅破坏其中一个就可以访问数千条记录,这意味着它们(此类系统)已成为黑客的宝库。
但是,如果您可以在不依赖第三方的情况下自行验证您的身份并获得超出“行业标准”的安全性呢? 去中心化身份提供了一种新的自我认证方法,有可能重塑信任和数据交换。
去中心化身份实现
去中心化身份(DID)一词乍一看似乎有点矛盾。 毕竟,我们习惯于将身份与“集中(管理)”的东西联系起来,无论是国家签发的护照还是谷歌管理的用户名和密码。
去中心化身份旨在将身份数据的控制权交还给个人或组织。 去中心化系统不依赖第三方机构或中介机构来“断言”身份,使用户能够控制自己的身份,而无需在每一步都进行外部验证。
最重要的是,去中心化身份解决方案可以通过数字签名将参与者与操作联系起来(这将在本系列的最后一篇文章中讨论)。
分散技术范围
虽然“去中心化身份”一词是未来主义的,但其本质是新旧技术的融合。
1976年,Whitfield Diffie和Martin Hellman向世界公布了他们对“公钥和私钥基础设施(PKI)”的愿景,从而为去中心化身份奠定了理论基础。
然而,直到最近,随着区块链、KERI、W3C等技术的出现,去中心化才真正开始实现。 一些应用示例包括:
区块链。
区块链是一种基于密码学的分布式账本技术,其中身份事件按时间顺序记录。 区块链的支持者认为,该技术是透明的、不可变的,并且能够在没有单一权限的情况下运行。 尽管区块链与代币相关,但区块链本身已经开始在医疗保健领域得到采用,例如加州大学洛杉矶分校(加州大学洛杉矶分校法学院和商科学生和教职员工组成的团体,专注于教育和参与洛杉矶的区块链技术社区)和Bruinchain等组织。
关键事件回执基础结构 (KERI) 用于关键事件回执
KERI是一种独特的非区块链解决方案。 它不需要“全球共识”来确保“全球唯一性”,也不需要与任何特定的区块链或权威机构绑定即可运营。 KERI 提供自我认证、最终可验证的身份,而无需每个人都在同一个分布式账本上。 KERI 的一个很好的例子是 GLEIF 的 VLEI,它创建了一个数字版本的“长期法人机构识别编码 (LEI)”系统。
这些技术和其他技术共同支撑着去中心化的身份系统,提供了一种保护、验证和共享身份的新方法,而无需依赖外部中心化验证者。
去中心化身份给在医疗保健领域好处地方
在医疗保健领域,个人健康数据 (PHI) 非常敏感且非常有价值。 在黑市上,病历信息通常以(受损的)信用卡号的 10 到 40 倍的价格出售。 采用去中心化身份可以带来革命性的改进,包括:
安全。
医疗保健组织通常运行包含敏感患者信息(从病史到基因数据)的集中式数据库,而这些“宝库”是网络攻击的主要目标。 通过转向去中心化身份模型,消除了在存储库中存储大量综合数据的需要,大大降低了大规模数据泄露的风险,并确保了患者数据的安全性。
从安全角度来看,医疗保健安全的“真正胜利”不是(表现形式上)无懈可击的网络,而是数据宝库本身的“破坏”,这将使攻击消失。
隐私和患者权利。
究竟谁可以访问他们的记录“——这个问题经常困扰患者。 “身份主权信息自治”可以帮助患者控制自己的数据。 例如,他们可能选择只与某些专家分享特定的医疗信息,而不是与他们不确定的人分享他们的整个病史。 这将有助于保护患者隐私,并减少患者数据在发生泄露时的“脆弱性”。
互操作性。
当今的护理通常涉及护理团队中的多个人,从初级保健医生到专家、实验室和药房。 可以实现去中心化身份——在必要时,医疗数据在这些服务提供商之间“无缝共享”,而不会损害隐私权。 无需重复测试和文书工作,每个医疗保健提供者**都可以访问他们需要的信息。
减少依赖性。
通过在数据验证中消除第三方中介,患者和服务提供商可以建立直接信任。 这在紧急情况下尤为重要,因为快速获取准确的医疗信息可以挽救生命。 想想 2020 年的“极端数据混乱”(指 2020 年美国疫苗数据混乱),一些州,如阿拉斯加,需要调用国民警卫队进行数据输入,以解决不同系统之间的数据脱节问题。
将去中心化身份集成到医疗保健中不仅可以简化管理流程,还可以提高护理质量和患者信任度。
医疗保健的权力下放标识系统应用程序挑战
虽然去中心化身份系统在医疗保健领域有令人信服的案例,但将技术从愿景转化为现实意味着要应对一系列技术和文化挑战,包括以下内容。
退役、更换和增量收入。
医疗保健数据交换一直在进行,这意味着几乎没有机会暂停数据流以完成技术更新。 “停机时间”是衡量(技术更新)成功或失败的重要指标。 因此,实施分布式数字身份系统的正确“开放方式”是通过“随时间递增”来减少关键任务系统的停机时间。
全球标准。
各国的卫生法规各不相同。 去中心化的身份系统必须足够灵活,以适应不同的监管环境。 一个成功的系统必须依赖于开源、开放协议和无管辖权的技术,而“专有技术”是去中心化系统的对立面。
密钥管理。
加密密钥管理是去中心化身份的根源。 如今,这项艰巨的任务由首席信息安全官及其团队承担,同时向第三方支付托管加密密钥的费用,这不太安全。 当我们将这些密钥的控制权移交给实际用户或“边缘”时,密钥丢失或泄露就成为一个紧迫的问题。
数字身份前途道路
去中心化的系统的出现让我们“看到了未来”,在去中心化系统的帮助下,医疗数据对那些不怀好意的人不再有吸引力。 医疗保健行业由于其复杂性以及对信任和隐私的高需求而处于这一变革浪潮的最前沿。
医疗保健数据和下一代身份解决方案的结合不再是“是否”的问题,而是“何时”的问题。 从技术创新者到医疗保健专业人员,从监管机构到患者本身,利益相关者已经开始合作,以创造一个安全、以患者为中心、无缝和高效的医疗保健的未来。