Keamanan cyber
Mengidentifikasi Ulang Orang Melalui Data Kesehatan yang Dapat Dipakai dan Pembelajaran Mesin
Jenis serangan privasi baru berdasarkan data kesehatan yang dapat dikenakan telah diidentifikasi oleh para peneliti dari University of Massachusetts Lowell. Serangan Identifikasi Ulang Orang (PRI-Attack) menggunakan data yang sesuai dengan HIPAA dan tersedia untuk umum dari perangkat kesehatan yang dapat dikenakan untuk menentukan identitas individu dari data detak jantung, pernapasan, dan gerakan tangan, antara lain.
Kerentanan dimungkinkan di AS oleh fakta bahwa Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), meskipun mengharuskan data medis tetap anonim, tidak mempertimbangkan data sensor mentah (seperti suhu kulit dan data akselerometer (ACC)) sebagai sensitif terhadap privasi, dan karena itu tidak mengharuskan data yang dibagikan secara publik dari jenis ini dienkripsi atau tunduk pada perlindungan umum yang sama seperti yang diberikan pada bentuk data pasien tradisional, seperti catatan kesehatan.
Dari Vektor Ke Visual
Serangan PRI menggunakan data citra yang diinterpretasikan untuk mengidentifikasi pola umum yang berkorelasi dengan jenis data kesehatan lainnya. Respons kulit seseorang, misalnya, dapat dinilai dari video (photoplethysmography), dan berkorelasi dengan apa yang seharusnya menjadi informasi vektor sepenuhnya anonim dari perangkat pemantauan kesehatan seperti jam tangan yang dapat dikenakan, dan jenis peralatan pemantauan lainnya. Photoplethysmography menghasilkan data detak jantung, yang dapat dipasangkan dengan data jantung yang dapat dipakai yang tidak teridentifikasi.
Pengenalan gerakan adalah 'kunci' lain yang dapat dengan mudah diterjemahkan dari data vektor ke dalam matriks visual yang, sekali lagi, memungkinkan data gambar/video yang ditafsirkan untuk dihubungkan dengan informasi akselerometer yang tampaknya anonim dalam data kesehatan.
Informasi gerakan tangan dari data yang dapat dikenakan. Sumber: https://arxiv.org/pdf/2106.11900.pdf
Data Sensor Sebagai PII
Penelitian, dari Asisten Profesor UML Mohammad Arif Ul Alam, berpendapat bahwa data penginderaan fisiologis memang dapat merupakan PII, dan pada dasarnya merupakan analog biologis dari teknik sidik jari browser saat ini. diyakini untuk merusak inisiatif baru untuk melindungi privasi pengguna di web.
Untuk menguji hipotesis, peneliti mengembangkan kerangka pengenalan dan lokalisasi gerakan tangan yang menginterpretasikan data gerakan (gerakan berbasis vektor yang direkam) dari akselerometer yang dapat dikenakan, dan menerjemahkan gerakan tersebut menjadi rekaman visual yang dapat dikorelasikan dengan gerakan yang direkam oleh kesehatan yang dapat dikenakan. perangkat.
Multi Modal Jaringan Syaraf Siam (mm-SNN) dibuat untuk menginterpretasikan informasi gerakan yang diklasifikasikan melalui Support Vector Machine (SVM). Satu jaringan berurusan dengan informasi vektor (ditafsirkan sebagai informasi gambar dalam ruang 3D) dan jaringan kedua memperlakukan data fisiologis yang direkam dari data sensor.
pengujian
Sistem ini diuji pada berbagai kumpulan data, termasuk 'Kumpulan Data Kelelahan Gamer' yang diperoleh dengan mengumpulkan data pada lima siswa sukarelawan, berusia 19-25 tahun, yang bermain video game selama tujuh hari sambil mengenakan Empatica E4 bagian manset lengan kemeja. Jam tangan ini menampilkan sensor ACC, konteks elektrodermal (EDA), suhu kulit, dan fotoplethysmografi (PPG).
E4 juga digunakan dalam kumpulan data 'data restoran' baru, di mana delapan sukarelawan menyiapkan dan memakan roti lapis selama dua puluh menit, dan dalam kumpulan data 'orang dewasa yang lebih tua', di mana 22 subjek yang lebih tua, berusia 75-95 tahun, melakukan 13 aktivitas sesuai naskah sambil mengenakan jam tangan.
Terakhir, peneliti menggunakan tersedia untuk umum 'Healthy Adults Fatigue Dataset', yang memantau 28 pria dan wanita sehat dengan usia rata-rata 42 tahun selama 1-219 hari berturut-turut saat mengenakan perangkat yang dapat dikenakan multisensor yang secara umum mirip dengan kemampuan pengumpulan data E4, termasuk ACC 3-sumbu, elektroda respons kulit galvanik, sensor suhu dan foto, dan barometer.
Hasilnya menunjukkan bahwa detak jantung dan laju pernapasan adalah cara paling pasti untuk identifikasi ulang, dengan skor rata-rata >66%+ tingkat akurasi.
Hasil dari pengujian metodologi PRI-Attack. Buaian: PPG: photoplethysmography; SDM: detak jantung; BR: laju napas; PVP: Denyut Volume Darah (diperoleh dari PPG); IBI: Inter Beat Interval (diperoleh dari PPG); TC: Komponen tonik sinyal EDA; Komponen Fasik data EDA (Ibid); Suhu: Suhu.
Penelitian menyimpulkan:
'Sementara teknologi penglihatan komputer modern dapat dengan mudah digunakan untuk mempelajari gerakan tangan dan sinyal fisiologis terkait (detak jantung, laju pernapasan) dari kamera pengawas publik, sejumlah besar video yang direkam ini dapat dengan mudah digunakan oleh penyerang untuk mempelajari biometrik spesifik pengguna untuk mengungkapkan identitas dari data penginderaan yang tersimpan pada perangkat yang mematuhi HIPPA.'
HIPAA Menganggap Data PHR 'Dianonimkan Secara Default'
Pemerintah AS telah mengakui pertumbuhan catatan kesehatan pribadi (PHR), dan mengklasifikasikan catatan seperti itu (termasuk data dari perangkat kesehatan yang dapat dikenakan) sebagai 'catatan elektronik informasi kesehatan seseorang yang dengannya individu tersebut mengendalikan akses ke informasi tersebut dan mungkin memiliki kemampuan untuk mengelola, melacak, dan berpartisipasi dalam perawatan kesehatannya sendiri'.
Meskipun demikian, karena ini adalah fenomena dari sektor swasta, pemerintah tidak mengakui adanya pengawasan resmi atas data tersebut, setelah menetapkan bahwa data tersebut tidak berisi informasi identitas pribadi (PII). A melaporkan pada bulan Juni 2016 tentang entitas HIPAA yang tidak tercakup dari Departemen Kesehatan dan Layanan Kemanusiaan AS menyatakan:
Kesenjangan [besar] dalam kebijakan seputar akses, keamanan, dan privasi masih berlanjut, dan kebingungan masih terjadi di kalangan konsumen dan inovator. Pelacak kebugaran yang dapat dikenakan, media sosial kesehatan, dan aplikasi kesehatan seluler didasarkan pada gagasan keterlibatan konsumen. Namun, hukum dan peraturan kita belum mengimbangi perkembangan teknologi baru ini.
