NIM : 1219-00696
Pada bab ini akan dibahas mengenai enkripsi secara rinci karena ini adalah alat penting untuk
melindungi kerahasiaan dan privasi. Kami juga membahas hashing karena itu memainkan
peran penting dalam membuat tanda tangan digital dan blockchain.
Protecting Confidentiality and Privacy
Yaitu menjaga kerahasiaan kekayaan intelektual organisasi, dan informasi serupa yang
dibagikan oleh mitra bisnisnya, telah lama diakui sebagai tujuan dasar keamanan informasi.
Organisasi juga perlu melindungi privasi informasi pribadi yang mereka kumpulkan dari
pemasok, pelanggan, dan karyawan. Tujuan kerahasiaan dan privasi adalah sama: melindungi
informasi sensitif dari akses dan pengungkapan yang tidak sah. Akibatnya, seperti yang
ditunjukkan. Komponen dari protecting confidentiality dan privacy :
1. IDENTIFIKASI DAN KLASIFIKASI INFORMASI YANG HARUS
DILINDUNGI => Langkah pertama untuk melindungi kerahasiaan dan privasi
adalah mengidentifikasi di mana informasi tersebut berada dan siapa yang memiliki
akses ke sana. Setelah informasi yang perlu dilindungi diidentifikasi, langkah
selanjutnya adalah mengklasifikasikan informasi dalam kaitannya dengan nilainya
bagi organisasi dimana Proses klasifikasi ini sangat penting karena Anda harus
mengetahui nilai informasi untuk menilai biaya dan manfaat relatif dari solusi
alternatif untuk melindunginya.
2. MELINDUNGI INFORMASI YANG SENSITIF DENGAN ENKRIPSI=>
Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan
dan privasi. Ini adalah satu-satunya cara untuk melindungi informasi saat transit
melalui Internet. Ini juga merupakan bagian penting dari pertahanan mendalam untuk
melindungi informasi yang disimpan di situs web atau di cloud publik. Misalnya,
banyak kantor akuntan telah membuat portal aman yang mereka gunakan untuk
berbagi informasi audit, pajak, atau konsultasi sensitif dengan klien. Mengenkripsi
data klien yang disimpan di portal memberikan lapisan perlindungan tambahan jika
terjadi akses tidak sah ke portal.
3. MENGONTROL AKSES INFORMASI YANG SENSITIF=> Organisasi perlu
melindungi informasi sensitif sepanjang siklus hidupnya, termasuk distribusi dan
pembuangan, terlepas dari apakah disimpan secara digital atau fisik. Dengan
demikian, kontrol otentikasi dan otorisasi dasar yang dibahas dalam Bab 11 perlu
dilengkapi dengan kontrol akses digital dan fisik tambahan.
Manajemen hak informasi (IRM) perangkat lunak memberikan lapisan
perlindungan tambahan untuk informasi sensitif yang disimpan dalam format digital,
menawarkan kemampuan tidak hanya untuk membatasi akses ke file atau dokumen
tertentu tetapi juga untuk menentukan tindakan (membaca, menyalin, mencetak,
mengunduh ke perangkat USB, dll.)
pencegahan kehilangan data (DLP) perangkat lunak, yang bekerja seperti program
antivirus secara terbalik, memblokir pesan keluar (baik email, IM, atau cara lain)
yang berisi kata atau frasa kunci yang terkait dengan kekayaan intelektual atau data
sensitif lainnya yang ingin dilindungi oleh organisasi.
Tanda air digital adalah kontrol detektif yang memungkinkan organisasi untuk
mengidentifikasi informasi rahasia yang telah diungkapkan.
penyamaran data program yang mengganti informasi pribadi tersebut dengan nilai
palsu
4. TRAINING=> Pelatihan bisa dibilang kontrol paling penting untuk melindungi
kerahasiaan dan privasi. Karyawan perlu mengetahui informasi apa yang dapat
mereka bagikan dengan pihak luar dan informasi apa yang perlu dilindungi.
Karyawan juga perlu diajar bagaimana untuk melindungi data sensitif. Pelatihan
harus mencakup topik seperti cara menggunakan perangkat lunak enkripsi dan
pentingnya selalu keluar dari aplikasi dan menggunakan screen saver yang dilindungi
kata sandi sebelum meninggalkan laptop atau workstation mereka tanpa pengawasan
untuk mencegah karyawan lain mendapatkan akses tidak sah ke informasi
tersebut.Dengan pelatihan yang tepat, karyawan dapat memainkan peran penting
dalam melindungi kerahasiaan informasi organisasi dan privasi informasi pribadi
sensitif tentang pemasok, pelanggan, dan karyawan.
Privacy Regulations and generally Accepted Privacy Principles
1. THE EU’S GDPR AND U.S LAWS=> Salah satu peraturan privasi yang paling
ketat dan paling luas jangkauannya adalah Peraturan Privasi Data Umum (GDPR)
Uni Eropa. GDPR mengenakan denda yang sangat besar (hingga 4% dari pendapatan
global) untuk masalah-masalah seperti tidak tidak dapat mendokumentasikan bahwa
organisasi telah mengambil pendekatan proaktif untuk melindungi privasi (disebut
sebagai "privasi menurut desain"). GDPR memengaruhi langkah-langkah keamanan
organisasi, terutama proses respons insidennya, karena mengharuskan organisasi
untuk memberi tahu regulator dalam waktu 72 jam setelah menemukan pelanggaran.
GDPR juga memberi orang sejumlah hak baru, termasuk akses ke data yang dimiliki
organisasi tentang mereka, koreksi kesalahan dalam data yang disimpan,
penghapusan informasi pribadi yang disimpan tentang mereka (disebut sebagai "hak
untuk dilupakan"), dan pencabutan izin untuk menjual atau membagikan informasi
mereka dengan organisasi lain.
2. PRINSIP PRINSIP PRIVASI YANG DITERIMA SECARA UMUM=>American
Institute of Certified Public Accountants (AICPA) dan Canadian Institute of
Chartered Accountants (CICA) bersama-sama mengembangkan kerangka kerja yang
disebut Prinsip Privasi yang Diterima Secara Umum (GAPP). GAPP
mengidentifikasi dan menetapkan 10 praktik terbaik yang diakui secara internasional
berikut untuk melindungi privasi informasi pribadi pelanggan:
Pengelolaan. Organisasi perlu menetapkan seperangkat prosedur dan kebijakan untuk
promelindungi privasi informasi pribadi yang mereka kumpulkan dari pelanggan serta
informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro
kredit. Notice.Organisasi harus memberikan pemberitahuan tentang kebijakan privasi
dan praktiknya di atau sebelum waktu pengumpulan informasi pribadi dari pelanggan,
atau sesegera mungkin setelahnya.
Pilihan dan persetujuan. Organisasi harus menjelaskan pilihan yang tersedia bagi
individu dan mendapatkan persetujuan mereka sebelum pengumpulan dan
penggunaan informasi pribadi mereka
Koleksi. Organisasi harus mengumpulkan hanya informasi yang diperlukan untuk
memenuhi tujuan yang dinyatakan dalam kebijakan privasinya. Satu masalah khusus
yang menjadi perhatian adalah penggunaan cookie di situs web.
Gunakan, retensi, dan pembuangan. Organisasi harus menggunakan personal
informasi hanya dengan cara yang dijelaskan dalam kebijakan privasi yang mereka
nyatakan dan menyimpan informasi itu hanya selama diperlukan untuk memenuhi
tujuan bisnis yang sah. Organisasi juga perlu menetapkan tanggung jawab seseorang
untuk memastikan kepatuhan dengan kebijakan tersebut.
Mengakses. Sebuah organisasi harus menyediakan individu dengan kemampuan
untuk mengakses, meninjau, dan mengoreksi informasi pribadi yang disimpan tentang
mereka.
Pengungkapan kepada pihak ketiga. Organisasi harus mengungkapkan informasi
pribadi pelanggan mereka. Iformasi kepada pihak ketiga hanya dalam situasi dan cara
yang dijelaskan dalam kebijakan privasi organisasi dan hanya kepada pihak ketiga
yang memberikan tingkat perlindungan privasi yang sama dengan organisasi yang
mengumpulkan informasi pada awalnya.
Keamanan. Suatu organisasi harus mengambil langkah-langkah yang wajar untuk
melindungi pribadi pelanggannya informasi dari kehilangan atau pengungkapan yang
tidak sah
Kualitas. Organisasi harus menjaga integritas informasi pribadi pelanggan mereka.
Pemantauan dan penegakan hukum. Organisasi harus secara berkala memverifikasi
bahwa empekerja mematuhi kebijakan privasi yang dinyatakan. Selain itu, organisasi
harus menetapkan prosedur untuk menanggapi keluhan pelanggan, termasuk
penggunaan proses penyelesaian perselisihan pihak ketiga.
Encryption
Enkripsi adalah kontrol pencegahan yang dapat digunakan untuk melindungi kerahasiaan dan
privasi. Enkripsi melindungi data saat sedang transit melalui Internet dan memberikan satu
penghalang terakhir yang harus diatasi oleh penyusup yang telah memperoleh akses tidak sah
ke informasi yang disimpan.
1. FAKTOR YANG MEMPENGARUHI KEKUATAN ENKRIPSI
KEY LENGTH=> Kunci yang lebih panjang memberikan enkripsi yang lebih kuat
dengan mengurangi jumlah blok berulang di ciphertext. Hal ini mempersulit untuk
menemukan pola dalam teks sandi yang mencerminkan pola dalam teks biasa asli
ENCRYPTION ALGORITHM=> Sifat algoritme yang digunakan untuk
menggabungkan kunci dan teks biasa itu penting. Algoritme yang kuat sulit, jika
bukan tidak mungkin, untuk dipecahkan dengan menggunakan teknik menebak
dengan kekerasan.
POLICIES FOR MANAGING CRYPTOGRAPHIC KEYS=> Manajemen kunci
kriptografi seringkali merupakan aspek yang paling rentan dari sistem enkripsi. Tidak
peduli berapa lama kuncinya, atau seberapa kuat algoritme enkripsi, jika kuncinya
telah dicuri, enkripsi dapat dengan mudah dipatahkan.
2. JENIS SISTEM ENKRIPSI =>Sistem enkripsi simetris gunakan kunci yang sama
untuk mengenkripsi dan mendekripsi. AES adalah contoh sistem enkripsi simetris. Ini
biasanya disertakan di sebagian besar sistem operasi. Sistem enkripsi asimetris
gunakan dua kunci yang dibuat sebagai pasangan yang serasi. Satu kunci, disebut
kunci publik,
3. JARINGAN PRIBADI VIRTUAL (VPN)=> jaringan pribadi virtual (vPn)
Menggunakan enkripsi dan otentikasi untuk mentransfer informasi dengan aman
melalui Internet, sehingga menciptakan jaringan pribadi "virtual".
Hasing
Hashing adalah proses yang mengambil teks biasa dengan panjang berapa pun dan membuat
kode pendek yang disebut intisari pesan, yang populer disebut sebagai a hash.
TANDA TANGAN DIGITAL=>tanda tangan digital adalah proses dua langkah.
Pembuat dokumen pertama-tama membuat hash dari dokumen (atau file) dan kemudian
mengenkripsi hash tersebut menggunakan kunci pribadinya. Hash terenkripsi yang
dihasilkan adalah tanda tangan digital yang memberikan jaminan tentang dua masalah
penting: (1) bahwa salinan dokumen atau file belum diubah, dan (2) siapa yang membuat
versi asli dari dokumen atau file digital. Dengan demikian, tanda tangan digital
memberikan jaminan bahwa seseorang tidak dapat melakukan transaksi digital dan
kemudian menyangkal bahwa mereka telah melakukannya dan menolak untuk memenuhi
sisi kontrak mereka.
SERTIFIKAT DIGITAL DAN INFRASTRUKTUR UTAMA PUBLIK=> sertifikat
digital adalah dokumen elektronik yang berisi kunci publik entitas dan mengesahkan
identitas pemilik kunci publik tersebut. Dengan demikian, sertifikat digital berfungsi
seperti padanan digital dari SIM atau paspor. Sama seperti paspor dan SIM yang
dikeluarkan oleh pihak independen tepercaya (pemerintah) dan menggunakan mekanisme
seperti hologram dan watermark untuk membuktikan keasliannya, sertifikat digital
dikeluarkan oleh sebuah organisasi.
BLOCKCHAIN=> blockchain adalah buku besar terdistribusi dari dokumen yang di-
hash dengan salinan yang disimpan di banyak komputer. Karakteristik penting dari
blockchain adalah ia tidak dapat diubah secara sepihak oleh satu entitas. (Namun,
mayoritas peserta, atau otoritas terpusat yang menjalankan blockchain non-publik, dapat
setuju untuk mengubah blockchain. Misalnya, setelah pencurian sejumlah besar mata
uang kripto Ethereum, peserta setuju untuk mengubah blockchain menjadi mencegah
"koin" yang dicuri digunakan.)
ARTIKEL KELOMPOK 12
1. Judul dan nama penulis artikel : “A Blockchain-based Approach to the Secure
Sharing of Healthcare Data”_Huihui Yang, Bian Yang.
2. Latar belakang masalah dan isu:
Electronic health record (EHR) memungkinkan untuk meningkatkan kualitas dan
mengurangi biaya perawatan kesehatan, tetapi masih ada hambatan karena masalah
teknik meskipun pasien dan organisasi kesehatan bersedia untuk berbagi. Hambatan
teknis ini mencakup kerahasiaan, privasi, interoperabilitas, integritas, dan sebagainya.
Selain itu Selama beberapa tahun terakhir, blockchain telah dibawa ke bidang perawatan
kesehatan medis untuk memecahkan masalah keamanan seperti integritas dan keaslian
data. Blockchain adalah buku besar yang didistribusikan untuk mencatat transaksi antar
pihak. Salah satu fitur yang paling menjanjikan adalah strukturnya yang terdesentralisasi.
Selama ini tidak ada penelitian yang mempelajari pendekatan rinci bagaimana
memecahkan masalah ini dengan cara teknik seperti enkripsi dan otentikasi. Ini juga
merupakan tujuan utama kami dalam makalah ini.
3. Isi :
Penejelasan tentang Pendekatan Berbasis MedRec:
Entitas utama :
• Pasien Pasien adalah orang yang mencari layanan kesehatan dari organisasi medis,
kesehatan dan kesejahteraan. Privasi pasien dan keamanan EHR mereka menjadi perhatian
utama dalam makalah ini.
• Penyedia layanan Ada dua jenis penyedia layanan, yaitu yang menyediakan layanan
kesehatan dan kesejahteraan (dilambangkan dengan SPI ) dan yang hanya menyediakan
layanan penyimpanan (dilambangkan dengan SPII ).
• users patient hanya satu jenis pengguna. Untuk menghindari pencampuran pasien dengan
mereka yang mengakses EHR pasien, ketika kami mengatakan pengguna, ini mengacu pada
yang terakhir. Dengan demikian, pasien juga dapat menjadi pengguna saat mengakses EHR
pasien lain.
• Penerbit atribut Penerbit atribut adalah entitas yang mengeluarkan kunci atribut kepada
pengguna dan pasien. Alih-alih satu penerbit atribut tepercaya, beberapa penerbit atribut
paralel digunakan. Alasan utamanya adalah karena kami ingin menghindari sentralisasi yang
dapat menjadi hambatan atau target serangan pihak-pihak jahat.
Struktur utama
Salah satu tujuan utama dari pendekatan kami adalah untuk menyediakan pasien dengan
manajemen yang lebih baik dan lebih mudah untuk potongan EHR mereka yang
terfragmentasi, yang dapatdiimplementasikan berdasarkan MedRec