Medical record systems are used whenever caregiving is practiced. The medical records serve an important role in establishing patient safety. It is not possible to prevent honest-but-curious doctors from accessing records since it is legally required to allow doctors to access health records for emergency cases. However, it is possible to log accesses to records and mitigate malicious behaviour through rate limiting. Nevertheless, many of the records systems today are lacking good authentication, logging and auditing and existing proposals for securing medical records systems focus on the context of multiple different healthcare providers. In this thesis, an architecture for an electronic health records system for a telemedicine provider is designed. The architecture is based on several requirements from both the legal perspective and general security conventions, but also from a doctor’s perspective. Unlike the legal and general security conventions perspective, doctor requirements are more functionality and usability concerns rather than security concerns. The architecture is evaluated based on two main threat models and one secondary threat model, i.e. insider adversaries. Almost all requirements are satisfied by the solution design, but the two main threat models can not be entirely mitigated. It is found that confidentiality can be violated by the two main threat models, but the impact is heavily limited through audit logging and rate limiting. / Journalsystem är en central del inom vården och patientjournaler har en stor roll i att uppnå bra patientsäkerhet. Det är inte möjligt att förhindra läkare från att läsa särskilda journaler eftersom läkare behöver tillgång till journaler vid nödsituationer. Däremot går det att logga läkarnas handlingar och begränsa ondsint beteende. Trots det saknar många av dagens journalsystem bra metoder för autentisering, loggning och granskning. Befintliga förslag på att säkra journalsystemen fokuserar på sammanhang där flera olika vårdgivare är involverade. I den här rapporten presenteras en arkitektur för ett patientjournalsystem till en telemedicinsk leverantör. Arkitekturen utgår från flertalet krav baserade på både ett legalt perspektiv och generella säkerhetskonventioner, men även läkares perspektiv. Arkitekturen är evaluerad baserat på två huvudsakliga hotmodeller och en sekundär hotmodell. Arkitekturen uppfyller så gott som alla krav, men de två huvudsakliga hotmodellerna kan inte mitigeras helt och hållet. De två huvudsakliga hotmodellerna kan bryta sekretessen, men genom flödesbegränsning och granskning av loggar begränsas påverkan.
Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-231575 |
Date | January 2018 |
Creators | Ljung, Fredrik |
Publisher | KTH, Skolan för elektroteknik och datavetenskap (EECS) |
Source Sets | DiVA Archive at Upsalla University |
Language | English |
Detected Language | English |
Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
Format | application/pdf |
Rights | info:eu-repo/semantics/openAccess |
Relation | TRITA-EECS-EX ; 2018:358 |
Page generated in 0.0022 seconds