Apresentação da Política de Segurança

O compartilhamento de informações clínicas entre diferentes instituições requer cuidados especiais com a segurança destas informações. A facilidade e agilidade para transmissão de dados clínicos proporcionada por um sistema federado enfatizam a necessidade de uma preocupação maior com questões como privacidade e ética médica. A garantia de um contexto seguro para a prática da Telemedicina em geral representa um grande desafio, pois reúne um domínio de informação extremamente sensitivo, no caso registros clínicos, e um ambiente com a disposição natural para o intercâmbio de informações como a Internet.

Questões ético- legais sobre a disposição de registros clínicos através da Internet e suas implicações sobre os requisitos de segurança para sistemas que provêm este tipo de serviço tem sido exaustivamente discutidas nos últimos anos. Entretanto, é seguro afirmar que os resultados destes debates ainda estão distantes de serem concludentes e que não existe o vislumbre de uma definição em curto prazo para estas questões, em especial no cenário brasileiro. Os atuais modelos de negócios e serviços, e o próprio

comportamento do profissional de saúde ainda estão se adaptando às novas condições políticas, sociais e legais decorrentes da prática da Telemedicina. Iniciativas de órgãos governamentais têm sido realizadas para regular a utilização da Internet para transmissão de registros clínicos. Entretanto, observa-se que o amplo domínio de aplicação ainda não está completamente especificado e que determinadas diretrizes terão que ser adaptadas para condições específicas que some nte se revelarão em cenários concretos. No Brasil, generalidade apresentada na resolução do Conselho Federal de Medicina sobre as normas técnicas para a manutenção de prontuários eletrônicos [CFa02], [CFb02], corroboram a percepção de que a própria regulamentação do processo depende de um nível de entendimento do problema que apenas será alcançado com experiências práticas em situações reais.

Um fator determinante para a dificuldade em regulamentar a prática da Telemedicina é conciliar dois requisitos contrastantes: possibilitar o compartilhamento seletivo de informações médicas e ao mesmo evitar a exposição desnecessária destas informações. Um simples episódio médico pode envolver muitos profissionais, que devem ter acesso controlado aos dados clínicos, determinados por sua responsabilidade dentro da organização. Apenas o médico especialista responsável deve possuir autorização para acessar a seção de registros de seu paciente. Entretanto, em algumas situações, um médico especialista pode ter que compartilhar esta informação com outros especialistas fora dos limites da organização para fins de segunda opinião, por exemplo. Outro exemplo pode ser a necessidade de dispor exames médicos anônimos para fins de pesquisa. Todas estas possibilidades permitem uma complexa configuração para uma política de controle de acesso.

6.4.1 Política de segurança

As considerações acima ressaltam a necessidade de adotar um modelo de segurança flexível o suficiente para acomodar qualquer regulamentação ou recomendação aplicada ao sistema e ao mesmo tempo garantir a usabilidade em um ambiente de operação intrinsecamente colaborativo. Este requisito refere-se em particular a política de segurança e mecanismos de controle de acesso. Os demais objetivos de controle básicos definidos em [TCa85], accountability e garantia de segurança são relativamente independentes de um domínio de aplicação específico e estão previstas como requisitos no ambiente de operação do servidor de integração.

Entre as diversas políticas de segurança existentes, o Role-based Access Control (RBAC) é o modelo considerado como mais adequado para sistemas de atenção à saúde. RBAC provê uma solução elegante para o problema de gerenciar conjuntos de regras de controle de acesso em sistemas distribuídos. A noção básica do RBAC é o conceito de papéis, que é um mecanismo usado para categorizar usuários baseado em várias propriedades como cargo, função e responsabilidades. Permissões são associadas com papéis e usuários são atribuídos para papéis apropriados. Os usuários podem ser facilmente chaveados para outros papéis e permissões podem ser concedidas e revogadas se necessário. Restrições podem ser aplicadas para relações e funções definidas no modelo RBAC para estabelecer políticas organizacionais de alto nível. O padrão deixa em aberto a representação de usuários, papéis, autorizações e sessões, e a interpretação de autorizações, cabendo estas tarefas a implementações específicas. O RBAC provê um modelo de política de segurança que emprega primariamente controle de acesso obrigatório (MAC – Mandatory Access Control), com previsão de suporte a classificação de informação.

Além do escopo do controle acesso obrigatório, a delegação de privilégios é uma questão importante em um sistema médico para permitir que usuários possam assumir papéis temporários. A descentralização da administração da atribuição de usuários é importante em um controle de acesso baseado em papéis, permitindo uma granularidade mais fina e garantindo a escalabilidade do sistema. A idéia básica atrás da delegação é que um usuário pode conceder papéis para outros usuários para que estes desempenhem funções autorizadas por este usuário. Este tipo de controle de acesso é classificado como arbitrário (Discretionary Access Control) em [TCa85], e dentro do modelo RBAC é empregado como uma especialização do controle de acesso obrigatório principal.

A abordagem tradicional de RBAC apresenta dificuldades em capturar contextos relevantes para segurança que podem ter impacto na decisão de controle de acesso. Em um sistema de atenção à saúde, o nível de acesso específico e as permissões de um usuário devem ser determinados não apenas por seu papel na organização, mas também pelo contexto de segurança específico, como localização de origem e horário da requisição. Por exemplo, pode ser definido na política de segurança do sistema federado que um médico poderá ativar o papel de médico de plantão de emergência apenas quando estiver usando o sistema a partir da sala de emergência de um hospital. Outro

exemplo seria um médico exercendo o papel de Residente; neste caso o turno de trabalho determina janelas de tempo em que o acesso à identificação do paciente é permitido.

A aplicação de contextos de segurança ao modelo RBAC também se relaciona com a definição dinâmica das permissões relacionadas a um papel. Certas vezes as permissões para um determinado papel devem ser concedidas baseadas na atividade especifica que o usuário está desempenhando no momento. Por exemplo, suponha-se que a política de privacidade adotada no sistema federado conceda acesso a informações classificadas como altamente sensitivas apenas para o papel Médico Principal de Tratamento (MPT). Uma questão que surge é quais permissões devem ser atribuídas para o papel MPT, já que é inapropriado conceder permissões de todos os registros de pacientes. Um médico deve possui as permissões atribuídas para o MPT de um paciente apenas quando o paciente tenha designado este médico como seu MPT. Para tratar esta questão os atuais modelos de RBAC empregam a chamada atrib uição de papéis dinâmica, onde as restrições de contexto são aplicadas durante o processo de ativação de um em uma sessão.

Diversos trabalhos tem sido realizados aplicando o modelo RBAC para sistemas distribuídos de atenção a saúde [ZG02], [MF01]. As implementações de referência para os padrões CORBA/OMG Healthcare Security Service e Resource Access Decision Facility utilizam o modelo RBAC. Em especial o modelo desenvolvido pelo NIST (National Institute of Standards and Technology) [FK92] vem se consolidando como o principal modelo para RBAC. A implementação e adaptação do NIST RBAC no Portal de Teleradiologia está prevista nos trabalhos futuros deste trabalho.