An empirical investigation of the security flaws and features of an in-use modern electronic health record system is performed. The investigation was carried out using dynamic analysis, manual testing and interviews with developers. The results indicate that in-use electronic health record systems suffer from serious authentication flaws, arising from the interaction of many different proprietary systems. The authentication problems are so severe that gaining access to any user’s computer on the hospital intranet would compromise a large database of patient medical records, including radiological data regarding the patients. Common web vulnerabilities were also present, such as injections and incorrectly configured HTTP security headers. These vulnerabilities were heavily mitigated by the use of libraries for constructing web interfaces. / En empirisk undersökning av säkerheten inom ett modernt elektroniskt patientjournal-system har utförts. Undersökningen genomfördes med hjälp av dynamisk analys, manuell testning och intervjuer med utvecklarna. Resultatet indikerar att system för elektroniska patientjournaler har stora brister inom autentisering, vilka uppstår p.g.a. att flera olika kommersiella system måste samarbeta. Problemen är så allvarliga att med tillgång till en enda dator på intranätet kan en stor databas med patientdata äventyras, inklusive radiologisk data gällande patienterna. Vanliga websårbarheter fanns också, så som injektioner av skript och inkorrekt konfigurerade HTTP säkerhetsheaders. Dessa sårbarheter mitigerades starkt genom användandet av bibliotek för webinterface.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-194121 |
| Date | January 2016 |
| Creators | Kvastad, Johan |
| Publisher | KTH, Skolan för datavetenskap och kommunikation (CSC) |
| Source Sets | DiVA Archive at Upsalla University |
| Language | English |
| Detected Language | English |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0025 seconds