Connect with us

Αναγνώριση Ατόμων Μέσω Δεδομένων Υγείας από Φορητές Συσκευές και Μηχανική Μάθηση

Κυβερνοασφάλεια

Αναγνώριση Ατόμων Μέσω Δεδομένων Υγείας από Φορητές Συσκευές και Μηχανική Μάθηση

mm
Published
Updated

Ένας νέος τύπος επιθέσεων ιδιωτικού χαρακτήρα με βάση τα δεδομένα υγείας από φορητές συσκευές έχει αναγνωριστεί από ερευνητές του Πανεπιστημίου του Λόουελ της Μασαχουσέτης. Επίθεση Αναγνώρισης Προσώπου (PRI-Attack) χρησιμοποιεί δεδομένα που συμμορφώνονται με τον HIPAA, δημόσια διαθέσιμα δεδομένα από φορητές συσκευές υγείας για να καθορίσει την ταυτότητα των ατόμων από δεδομένα καρδιακού ρυθμού, αναπνοής και χειρονομίας, μεταξύ άλλων.

Η ευπάθεια είναι δυνατή στις Ηνωμένες Πολιτείες από το γεγονός ότι ο νόμος περί Ιατρικής Απομόνωσης και Ευθύνης (HIPAA), ενώ απαιτεί ότι τα ιατρικά δεδομένα παραμένουν ανώνυμα, δεν θεωρεί τα сыρα δεδομένα αισθητήρων (όπως η θερμοκρασία του δέρματος και τα δεδομένα του akselometrou) ως ευαίσθητα δεδομένα ιδιωτικού χαρακτήρα και, ως εκ τούτου, δεν απαιτεί ότι τα δημόσια διαθέσιμα δεδομένα αυτού του τύπου να είναι κρυπτογραφημένα ή να υπόκεινται στις ίδιες γενικές προστασίες που παρέχει στα παραδοσιακά είδη δεδομένων ασθενών, όπως τα ιατρικά αρχεία.

Από Διανυσματική σε Οπτική

Μια επίθεση PRI-Attack χρησιμοποιεί ερμηνευμένα δεδομένα εικόνας για να διακρίνει κοινά μοτίβα που συσχετίζονται με άλλα είδη δεδομένων υγείας. Η αντίδραση του δέρματος ενός ατόμου, για παράδειγμα, μπορεί να αξιολογηθεί από βίντεο (φωτοπληθυσμογραφία), και να συσχετιστεί με ό,τι θα έπρεπε να είναι πλήρως ανώνυμα διανυσματικά δεδομένα από συσκευές παρακολούθησης υγείας, όπως φορητές συσκευές, και άλλους τύπους συσκευών παρακολούθησης. Η φωτοπληθυσμογραφία παράγει δεδομένα καρδιακού ρυθμού, τα οποία μπορούν να συσχετιστούν με μη αναγνωρισμένα δεδομένα καρδιακού ρυθμού από φορητές συσκευές.

Η αναγνώριση χειρονομίας είναι ένα άλλο “κλειδί” που μπορεί να μεταφραστεί εύκολα από διανυσματικά δεδομένα σε οπτική μήτρα, η οποία, και πάλι, επιτρέπει την ερμηνεία δεδομένων εικόνας/βίντεο να συσχετιστεί με φαινομενικά ανώνυμα δεδομένα akselometrou σε δεδομένα υγείας.

Πληροφορίες χειρονομίας χεριού από φορητές συσκευές. Πηγή: https://arxiv.org/pdf/2106.11900.pdf

Πληροφορίες χειρονομίας χεριού από φορητές συσκευές. Πηγή: https://arxiv.org/pdf/2106.11900.pdf

Δεδομένα Αισθητήρων ως PII

Η έρευνα, από τον βοηθό καθηγητή Mohammad Arif Ul Alam, υποστηρίζει ότι τα φυσιολογικά δεδομένα αισθητήρων μπορούν να αποτελούν PII, και είναι στην πραγματικότητα ένα βιολογικό ανάλογο των τεχνικών αποτυπώματος προγράμματος περιήγησης που πιστεύεται ότι υπονομεύουν τις νέες πρωτοβουλίες για την προστασία της ιδιωτικής ζωής των χρηστών στο διαδίκτυο.

Για να δοκιμάσει την υπόθεση, ο ερευνητής ανέπτυξε ένα πλαίσιο αναγνώρισης και τοποθεσίας χειρονομίας που ερμηνεύει δεδομένα χειρονομίας (ηχογραφημένα διανυσματικά κινήσεις) από einen akselometrou φορητής συσκευής, και μεταφράζει τις κινήσεις σε οπτικό αρχείο που μπορεί να συσχετιστεί με κινήσεις που καταγράφονται από φορητές συσκευές υγείας.

Ένα Πολυ-Μοντέλο Νευρωνικό Δίκτυο Siamese (mm-SNN) κατασκευάστηκε για να ερμηνεύσει πληροφορίες χειρονομίας που ταξινομούνται μέσω της Μηχανής Υποστηρικτικών Διανυσμάτων (SVM). Το πρώτο δίκτυο αντιμετωπίζει τις πληροφορίες διανυσμάτων (ερμηνευμένες ως πληροφορίες εικόνας σε τρισδιάστατο χώρο) και το δεύτερο δίκτυο αντιμετωπίζει τα φυσιολογικά δεδομένα που καταγράφονται από δεδομένα αισθητήρων.

Δοκιμή

Το σύστημα δοκιμάστηκε σε διάφορα σύνολα δεδομένων, συμπεριλαμβανομένου ενός ‘Συνόλου Κούρσας Παικτών’ που συλλέχθηκε με τη συλλογή δεδομένων από πέντε εθελοντές φοιτητές, ηλικίας 19-25, που έπαιξαν βιντεοπαιχνίδια για επτά ημέρες जबकεί φορούσαν το Empatica E4 βραχιόλι. Το ρολόι διαθέτει akselometrou, ηλεκτροδερμικό περιεχόμενο (EDA), θερμοκρασία δέρματος και φωτοπληθυσμογραφία (PPG) αισθητήρες.

Το E4 χρησιμοποιήθηκε επίσης σε ένα νέο ‘σύντομο σύνολο δεδομένων εστιατορίου’, όπου οκτώ εθελοντές ετοίμασαν και έφαγαν σάντουιτς για είκοσι λεπτά, και σε ένα ‘σύντομο σύνολο δεδομένων ηλικιωμένων’, όπου 22 ηλικιωμένοι, ηλικίας 75-95, εκτέλεσαν 13 σεναριακές δραστηριότητες जबकεί φορούσαν το ρολόι.

Τέλος, οι ερευνητές χρησιμοποίησαν το δημόσια διαθέσιμο ‘Σύνολο Δεδομένων Κούρσας Υγιών Ενηλίκων’, το οποίο παρακολούθησε 28 υγιείς άνδρες και γυναίκες με μέση ηλικία 42 για 1-219 συνεχόμενες ημέρες ενώ φορούσαν μια πολυσυλλεκτική φορητή συσκευή παρόμοια με τις δυνατότητες συλλογής δεδομένων του E4, συμπεριλαμβανομένων eines 3-άξονα akselometrou, ηλεκτρόδια γαλακτοπληθυσμογραφίας, θερμοκρασίας και φωτοαισθητήρων, και einem βαρόμετρου.

Τα αποτελέσματα δείχνουν ότι ο καρδιακός ρυθμός και ο ρυθμός αναπνοής είναι τα πιο σίγουρα μέσα για αναγνώριση, με μέσο όρο >66%+ ποσοστό ακρίβειας.

Αποτελέσματα από την δοκιμή της μεθοδολογίας PRI-Attack. Κριβ: PPG: φωτοπληθυσμογραφία; HR: καρδιακός ρυθμός; BR: ρυθμός αναπνοής; PVP: Παλμός Αίματος (παραγόμενος από PPG); IBI: Διαστήματα Παλμών (παραγόμενα από PPG); TC: Τονική Συνιστώσα του σήματος EDA; Φασική Συνιστώσα των δεδομένων EDA (Ιbid); Temp: Θερμοκρασία.

Αποτελέσματα από την δοκιμή της μεθοδολογίας PRI-Attack. Κριβ: PPG: φωτοπληθυσμογραφία; HR: καρδιακός ρυθμός; BR: ρυθμός αναπνοής; PVP: Παλμός Αίματος (παραγόμενος από PPG); IBI: Διαστήματα Παλμών (παραγόμενα από PPG); TC: Τονική Συνιστώσα του σήματος EDA; Φασική Συνιστώσα των δεδομένων EDA (Ιbid); Temp: Θερμοκρασία.

Η έρευνα καταλήγει:

‘Ενώ η σύγχρονη τεχνολογία οπτικής μπορεί να χρησιμοποιηθεί εύκολα για να μάθει χειρονομίες και αντίστοιχα φυσιολογικά σήματα (καρδιακός ρυθμός, ρυθμός αναπνοής) από δημόσιες κάμερες παρακολούθησης, αυτά τα τεράστια αποθηκευμένα βίντεο μπορούν να χρησιμοποιηθούν εύκολα από τους επιτιθέμενους για να μάθουν βιομετρικά δεδομένα που να αποκαλύψουν την ταυτότητα από δεδομένα φορητών συσκευών που συμμορφώνονται με τον HIPAA.’

Ο HIPAA θεωρεί τα Δεδομένα PHR ‘Ανώνυμα από Προεπιλογή’

Η κυβέρνηση των Ηνωμένων Πολιτειών έχει αναγνωρίσει την αύξηση των προσωπικών ιατρικών αρχείων (PHR), και ταξινομεί τέτοιο αρχείο (συμπεριλαμβανομένων δεδομένων από φορητές συσκευές υγείας) ως ‘ηλεκτρονικό αρχείο των ιατρικών πληροφοριών ενός ατόμου με το οποίο το άτομο ελέγχει την πρόσβαση στις πληροφορίες και μπορεί να έχει τη δυνατότητα να διαχειρίζεται, να παρακολουθεί και να συμμετέχει στη δική του φροντίδα υγείας’.

Ωστόσο,既然 αυτό είναι ένα φαινόμενο από τον ιδιωτικό τομέα, η κυβέρνηση παραδέχεται ότι δεν έχει επίσημη εποπτεία αυτών των δεδομένων, έχοντας καθορίσει ότι δεν περιέχουν προσωπικά αναγνωρίσιμα δεδομένα (PII). Μια έκθεση τον Ιούνιο του 2016 για οντότητες που δεν καλύπτονται από τον HIPAA από το Υπουργείο Υγείας και Κοινωνικών Υπηρεσιών των Ηνωμένων Πολιτειών αναφέρει:

‘[Μεγάλες] lacunes στις πολιτικές γύρω από την πρόσβαση, την ασφάλεια και την ιδιωτική ζωή συνεχίζουν, και η σύγχυση παραμένει μεταξύ τόσο των καταναλωτών όσο και των καινοτόμων. Οι φορητοί ιατρικοί παρακολούθησης, τα κοινωνικά μέσα υγείας και οι εφαρμογές υγείας για κινητά βασίζονται στην ιδέα της συμμετοχής των καταναλωτών. Ωστόσο, οι νόμοι και οι κανονισμοί μας δεν έχουν跟 pace με αυτές τις νέες τεχνολογίες.’

mm

Συγγραφέας για τη μηχανική μάθηση, ειδικός σε τομέα συνθέσεων εικόνων ανθρώπων. Πρώην επικεφαλής ερευνών περιεχομένου στη Metaphysic.ai.
Προσωπικός ιστότοπος: martinanderson.ai
Επικοινωνία: [email protected]