V případě, kdy je žádoucí, aby lékař mohl přistupovat k obrazové dokumentaci z domova, či v případech, kdy nemocnice chce umožnit přístup externích lékařů, jsou k dispozici tyto tři možnosti:
- Přístup přes VPN
- Přístup přes komerční certifikát uživatele
- Přístup pomocí vícefaktorové autentizace
Všechny níže uvedené metody přístupu Dicompass podporuje. Každý z těchto přístupů má své výhody a nevýhody.
Přístup přes VPN
Přístup přes VPN je nejobvyklejším vzdáleným přístupem lékaře do nemocnice. Lékař se připojí přes zabezpečený šifrovaný VPN kanál a počítač, ze kterého se připojuje, se pak „tváří“ jako by byl připojen v sítí nemocnice a má přístup ke zdrojům, které tomuto VPN účtu správci IT povolili.
VPN s sebou nese ale i několik nevýhod. Jednou z nich je uživatelský diskomfort, kdy řada VPN připojení je nakonfigurována tak, že zablokuje přístup k místní síti a tím mnohdy i připojení k síti Internet. Uživatel pak nemůže např. přistupovat k emailům či dalším službám. Další nevýhodou je nutnost instalace a konfigurace VPN klienta. Na operačním systému Windows to obvykle není problém. Chce-li uživatel ale přistupovat z jiného operačního systému nebo například z tabletu, není to s některými VPN klienty možné. Další překážkou jsou administrativní záležitosti. Pro „kmenové zaměstnance“ nemocnice obvykle vystavení VPN přístupu není problém a stačí pouze podání interní žádosti. Avšak zřízení VPN přístupu pro externí lékaře vnitřní směrnice nemocnice mnohdy neumožňují.
Přístup bez použití VPN
Pokud chceme vystavit přihlášení ven do internetu, v žádném případě by nemělo stačit pouhé zadání uživatelského jména a hesla. Vystavení takového přihlašovacího rozhraní totiž představuje riziko slovníkového útoku, využití sociálního inženýrství či Phishingu a odhadnutí uživatelova hesla.
Přestože Dicompass obsahuje ochranu proti slovníkovým útokům pomocí prodlužování doby ověřování hesla v případě opakovaného zadání chybného hesla, důrazně doporučujeme použít pro externí přístupy vyšší úrovně zabezpečení. Dicompass nabízí následující dvě možnosti.
Přístup přes komerční certifikát uživatele
Přístup přes certifikát uživatele možná někteří znáte z internetového bankovnictví nebo například z přístupu do státní správy. Certifikát uživatele umožňuje vysokou úroveň zabezpečení, protože již při navazování zabezpečené šifrované komunikace (TLS / SSL) je ověřena nejen identita serveru, ke kterému přistupujete, ale i identita přistupujícího klienta. V případě zcizení klíče k certifikátu nebo certifikátu samotného lze vzdáleně zrušit jeho platnost (tzv. CRL).
Certifikát je obvykle nahrán v operačním systému, který uživatel používá, a je chráněn heslem. Certifikát také může být nahrán na zabezpečeném úložišti např. čipové kartě. Identitu uživatele pak chrání samotné fyzické vlastnictví čipové karty a zároveň heslo, které uživatel musí zadat před použitím certifikátu na kartě.
Hlavní nevýhodou certifikátů je, že vystavení důvěryhodného certifikátu něco stojí a jeho vystavení vyžaduje jistou administrativu – např. osobní ověření uživatele na pobočce certifikační autority. Cena komerčního certifikátu se pohybuje v intervalu 300-500 Kč / rok.
Přístup pomocí vícefaktorové autentizace
Na rozdíl od certifikátu uživatele znáte vícefaktorovou autentizaci z internetového bankovnictví téměř všichni. Pro přihlášení (případně potvrzení platebního příkazu) nestačí pouhé zadání Vašeho hesla. Navíc je také vyžadováno další jednorázové heslo, které je na Váš mobilní telefon doručeno pomocí SMS, šifrované bankovní zprávy nebo mobilní aplikace Vaší banky.
To samé platí i pro přihlášení do rozhraní prohlížeče DICOM snímků. Na webovém rozhraní, které je vystaveno do sítě internet, je vyžadováno nejen zadání hesla uživatele, ale i jednorázového hesla. Toho heslo je v případě Dicompassu vygenerováno libovolnou aplikací podporující generování TOTP klíčů – např. Google Authenticator.
Velkou výhodou tohoto přístupu je, že nic nestojí a správce IT nemocnice může při dodržení vnitřních směrnic zřídit přístup externistovi vzdáleně.
Nevýhodou je, že uživatel musí vlastnit chytrý mobilní telefon. V případě ztráty či výměny tohoto telefonu je nutné neprodleně kontaktovat správce IT, aby byl tento přístup zneplatněn a aktivován nový.
