Rigshospitalet: DNA-data fra syge beskyttes med kryptering under overførsel til Risø

Ja, setup er helt sort.

Fordi som "forudsætning" for behandling skal der tages en kopi (som ikke bruges i behandlingen) overføres til et centralt statsligt register. Data vil svjv. nu forefindes to steder: lokalt på behandlingsstedet til brug for behandlingen, og i det centrale, statslige register.

Ingen unødvendig central kopi, ingen behandling. Alle andre steder i samfundet ville man kalde det for afpresning.

Så man vil koble to så unikke identifikatorer direkte sammen? En som er en nærmest universel systemnøgle, og en som vi hele tiden går og drysser ud over vores omgivelser. En, som man kun i de yderste undtagelsestilfælde får lov til at ændre, og en som man slet ikke kan ændre. En som giver adgang til mere viden om os, end selv vi og vores nærmeste ville kunne samle på et livstid, endsige huske. Og en, som reelt definerer, hvad vi kan blive til.

What could possibly go wrong?

Forhåbentligt er der indbygget "sprængbrønde" i systemet i tilfælde af fjentlig overtagelse. Men hvad med venlig overtagelse (apropos diskussionen om glidebanen) - og vælg selv farve (rød, blå, brun, sort eller noget helt femte): hvem trykker på knappen, og hvornår skal det ske? Når kandidater bliver opstillingsberettiget til vores lovgivende forsamling, som taler om at kaste folk, som han ikke kan lide, ud fra flyvemaskiner, med optionel faldskærm? Eller når der er partier, så stadig taler om revolution i deres partiprogram? Eller når der kommer en minister, som er villig til at gøre tålt ophold vilkårligt utåleligt, for folk, som hun ikke kan lide?

Hr. Kristiansen, hvornår har De sidst hør en minister svare korrekt/fyldestgørende?

Deres kunnen kan sammenholdes med at læse op fra et A4 ark skrevet af andre... De er kranse-/rævekagefigurer....

Ville være hvis man i stedet krypterede data med symmetrisk kryptering (som skal skiftes for x mængde data), FØR det skrives på disk på Rigshospitalet, og så kan det overføres som man har lyst. Nøglen til data kan så krypteres med asymmetrisk kryptering (vha. GPG f.ex.) og med nøgler opbevaret på hardware (såsom en simpel nitrokey eller yubikey). De servere der skal kunne læse data, skal så være netværksmæssigt forsvarligt beskyttet (af off. Net og kan få data tilgængelig vha. SAN net f.ex.) og have hardware nøglen. Rimeligt nemt at arbejde med og aitomatisere, og ville øge den reelle sikkerhed betragtelig.

Det kunne se ud som Ellen Trane Nørby med den seneste artikel i Version2 om Rigshopsitalets samling af helgenomsekventeringer på Computerome ikke har svaret korrekt i et svar til Folketinget (1) på en henvendelse fra PROSA, IDA IT, Dansk Selskab for Almen Medicin, Patientdataforeningen, Patientforeningen Danmark, Ingeniørforeningen IDA og DataEthics vedrørende Nationalt Genom Center (2).

Den 7. maj 2018 deltog Patientdataforeningen samt en lang række andre i et møde i Sundhedsministeriet Nationalt Genom Center. På mødet lærte vi, at genetiske oplysninger vil opbevares i et dobbelt system, på den måde at sekventeringer udført regionalt opbevares af regionen, mens en kopi tillige overføres til NGC. Eksempelvis fik vi fortalt at Rigshospitalet foretager ca. 100 årlige helgenomsekventeringer på eget laboratorium i behandlingsøjemed og lagrer disse på Computerome.

Denne praksis vil fortsætte efter etablering af NGC, og lagring på Computerome vil fortsætte selvom kopi overføres til NGC. Ligeledes vil exomsekventeringer og hotspotanalyser fortsat lagres regionalt, når en kopi overføres til NGC. Det betyder at den regionale IT-løsning består uændret. Det er således i bemærkningerne til lovforslaget anført (3), at data om borgernes genetiske oplysninger, der er tilgået Nationalt Genom Center vil efter lovforslaget: »fortsat […] blive behandlet lokalt i andet regi, f.eks. i en patientjournal m.v. i en region, også efter at oplysningerne er videregivet til Nationalt Genom Center.« (Lovforslaget s. 38.).

Den 23. maj svarer ministeren: “3. Dataminimering Gengivelsen af, at helgenomoplysninger vil blive opbevaret i et dobbelt system kan ikke genkendes.

Formålet med Nationalt Genom Center er netop at undgå lokale regionale parallelsystemer og forskellige sikkerhedsniveauer for helgenomanalyse i Danmark.

Derfor vil Nationalt Genom Center skulle opbygge en national infrastruktur, herunder en national genomdatabase, til analyse og lagring af genetiske oplysninger som nær- mere beskrevet i L 146 endeligt svar på spørgsmål nr. 15”

1. https://www.ft.dk/samling/20171/lovforslag/l146/spm/75/svar/1491505/1898979.pdf
2. https://www.ft.dk/samling/20171/lovforslag/L146/bilag/28/1898593.pdf
3. https://www.ft.dk/ripdf/samling/20171/lovforslag/l146/20171_l146_som_fremsat.pdf

Hej Martin

Løsningen der er leveret til Rigshospitalet er ikke specielfremstillet. Det er et produkt vi har liggende på hylden, der også er i brug andre steder. Så vi betragter vores løsning som et COTS produkt, selvom det er udviklet og fremstillet i Danmark.

Det tilbageværende spørgmål er hvordan vores løsning er anderledes i forhold til alternativerne. Det er noget vi er nødt til hele tiden at spørge os selv om.

Helt generelt har vi I designet prioriteret, performance, simpelhed og sikkerhed.

Angående performance krypterer vi ved wirespeed, altså med samme hastighed som wan linket. Så alternative løsninger kan være lige så hurtige, men ikke hurtigere.

Det er nok på simpelhed vi adskiller os fra flest alternativer: Produktet gør een ting: kryptering. Der er een knap på vores boks som kan bruges een gang til at starte den indledende nøgleudveksling. Derefter er al konfiguration låst. Boksen transparent for netværk og kan installeres uafhængigt af eller ændring i den underliggende netværksinfrastruktur. (Der er naturligvis nogle forudsætninger der skal være opfyldt.)

Hvad angår sikkerhed så er en vigtig parameter simpelhed, som beskrevet ovenfor. Der er ikke mulighed for bevist eller ubevist at lave fejl eller bagdøre og der er ingen delte eller offentlige nøgler der skal overføres via trediepartsudstyr (installatørens pc eller post-it). Som en del af sikkerheds/simpelhed designet er der fysisk ingen input til boksen ud over knappen. Så der er ikke mulighed for angreb der udnytter bufferoverflow eller lignende.
Derudover er der hardware random number generatoren, da uforudsigelige nøgler er en forudsætning for at krypteringen er sikker. Og endelig aktiv tamper beskyttelse, der beskytter mod det noget eksotiske angreb hvor krypteret data aflyttes og opsamles over en periode. Derefter brydes der ind og et krypteringsendepunkt stjæles. Nøglerne listes ud af det stjålne krypteringsendepunk og bruges til dekryptere den forudopsamlede data.

Det blev et ikke helt kort svar – beklager. /Erik fra Zybersafe

Erik,

Kan du hurtigt fortælle om hvorfor et korrekt opsat MacSec/802.1AE, som er aes-256 krypto på hardware i L2 på fibre, og er indbygget i de fleste switche af mellemklassen og op, ikke kunne bruges? Det er jo specifikt designet til det formål der beskrives, og "koster ikke noget".

Uden denne indsigt er jeg forfalden til at synes, at man sælger nogle bokse der løser et velimplementeret COTS problem på en super finurlig (og sikkert dyr) måde.

Jeg kan ikke huske hvor jeg læste det, så klassificér det blot som en god historie, men MacSec rygtedes gennem Snowden-lækket at være så godt, at 3-bogstavs organisationer måtte bruge en del pres for at få de store switch producenter til at bremse det og ikke markedsføre det / aktivere det som standard; det var dengang da interne-L1/2 aflytninger var det helt store for dem.

Så ved jeg hvor jeg skal henvende mig næste gang jeg skal have en helgen omsekventeret.

Linkhastigheden nu er 10Gbps til næste år bliver den 100Gbps. Som det nævnes kan hardwaren kryptere lige så hurtigt som linket. Gensekventeringsmaskinerne er designede til at aflevere data lokalt i et tempo de selv sætter og stiller derfor krav til lav forudsigeligt latency på forbindelsen til Risø. Både lav latency og høj båndbredde passer godt sammen med hardware baseret kryptering.

De andre metoder der nævnes i artiklen, som integreret nøglehåndtering, hardware tilfældighedsgenerator, er nok af mindre betydning i denne sammenhæng. Men det er mit indtryk at afdeling Genomisk Medicin ser en fordel i at krypteringsløsningen isoleret til to vedligeholdelsesfri fysiske kasser.

Det er rigtigt at denne krypteringsløsning kun beskytter data mens den er i transit. Jeg ved noget om hvordan data opbevares på Risø, men i det mindste er data bag en låst dør både på Risø og Rigshospitalet. Under transit befinder data sig fysisk i det offentligt rum hvorfor den bør krypteres.

/Erik fra Zybersafe

Hvor høj linkhastighed har de? 10Gbit.. 100Gbit ? Hvad opnår de af hastighed igennem VPN'en vs. ukrypteret? Normalt ville jeg have anvendt sådan noget som det nye Wireguard i Linux kernen.. den kan levere >5Gbit/s på 10G link (og full speed på 1gbit link) af hvad jeg har set af tests.. Jeg ved ikke hvor flaskehalsen ligger på 10Gbit (om flere cores vil hjælpe).

Og VPN beskytter jo KUN data i transit.. dvs. de ligger formodentlig stadig ukrypteret på modtageren (medmindre de har krypterede diske) - og igen beskytter krypterede diske KUN hvis serverne bliver fysisk stjålet - og IKKE imod "digitale indbrud" - da diskene jo på det tidspunkt ER tilgængelige i systemet og derfor også kan tilgås af indbrudstyven.

Det er da heller ikke helt forkert at tallet hænger sammen med antallet af nøgler - dog har AES256 lidt flere end 256 mulige nøgler, så sammenhængen er ikke 1:1. :-) Formodentligt tættere på 2^256 hvis man ser bort fra diverse svagheder.

Bruteforce anyone?

"256 henviser til antallet af mulige nøgler, der kan bruges til krypteringen."

Man må vel formode at data som ligger lokal også er krypteret, harddiske eller media kan jo blive stjålet.

Eller bliver solgt sammen med inventar når de engang flytter.

Fordi sådan er loven. Det er lidt tragisk, at det at en institution følger loven er dagens positive historie :) Men det betyder jo ikke at vi ikke skal rose CIMT! De har altså også nok brug for det :)

// Jesper

Fra artiklen:

»De filer vi får ud af maskinen på processeringsnivau minder om tekststrenge på 120 karakterer og indeholder ikke personhenførbare data, fx navne, ligesom vi ikke sender cpr-numre sammen med genom-data. Samtidig er der meget få danskere der har fået kortlagt deres arvemasse.«

Et nøgenbillede indeholder heller ikke cprnumre eller navne, men skal jeg vælge imellem hvad som skal ud på nettet, så foretrækker jeg det sidste.

Og det gælder endnu mere data, som beskriver os som personer, som helgenom-data og lokations-data.

PS: Men flot ny lås, I der har fået på døren (det skulle også bare mangle!) ... så må dem, som sukker efter positive historier da klappe i hænderne - for det er ikke den eneste positive historie der er på forsiden i dag.

Fordi det hverken er test eller forskning men en del af behandlingen

Når vi eksempelvis skal diagnosticere cancer på et barn, så skal vi bruge et svar hurtigt, og derfor er tid ekstremt kritisk for os.

/Claus

Hvad er hardwaren og softwaren sammenlignet med andet? Det lyder bare som en helt alm. kryptoløsning, hsm-bokse, hardwarekryptokort osv.. Det er der vel masser af standardiserede løsninger til, fra IBM til Safenet til Luna osv osv. Kan de her zyberzafe noget specielt?

Hvorfor skal det beskyttes sådan? Data er vel anonymiseret tilstrækkeligt, før man bruger det til test- og udviklingsformål?