Enhancing trust in digital services: a study on the healthcare domain

Abstract

In today’s interconnected world, digital services play a pivotal role in various aspectsof our lives. As digitalization continues to advance, the transformative impact ofdigital services on economies, societies, and daily routines underscores their centralrole in shaping the contemporary landscape. A particular case is digital healthcareservices, offering a range of benefits that enhance patient outcomes and streamlinehealthcare delivery. On the one hand, digital healthcare services can empower individualsto actively participate in their health management, fostering preventive careand personalized treatment. On the other hand, the use of electronic health recordsenhances coordination among healthcare providers, leading to more efficient patienttreatment. To this end, digital healthcare services contribute to the overall efficiencyof healthcare systems, reducing costs and administrative burdens. However, the adoption and use of digital services can be very controversial, primarilydue to the lack of trust of end users to such services and concerns relatedto the management of user data. This trend is even more manifested in the field ofhealthcare, where patients’ personal sensitive information is at stake. This thesis investigatessolutions to enhance trust towards digital (healthcare) services, aiming atincreasing their adoption. Particularly, we focus on addressing three specific challengesexplained below.The reliability of data used in digital services, such as medical measurements,has a significant impact on their outcome. Poor services and inaccurate advice, candecrease the trust of end users to the services, thus hindering their use. To this end,we propose a framework to assess data reliability and reason on the root causes ofdegraded quality. We apply our proposal in the fields of remote patient monitoring and well-being in industrial environments. To trust digital services, users need to be reassured that their data are sufficientlyprotected. To this end, organizations adopt standardized and flexible mechanisms,such as Role-based access control (RBAC) to manage access to data. Migratingto such mechanisms, however, is proven to be a tough task as it requires access toexisting policies, which are usually fragmented and incomplete. To this end, in thisthesis, we proposed an approach to elicit RBAC policies from incomplete knowledge,such as user activity logs, and introduced metrics to evaluate the mined policies. Weevaluated the proposed solution using both synthetic and real datasets. With the emergence of cybersecurity attacks resulting in data breaches, users ofdigital services need to know that organizations can act immediately and effectivelyto mitigate the damages and protect user data. Moreover, organizations have to complywith existing regulations, such as GDPR, which demand their timely response. To address this challenge, organizations need to be able to analyze and understandalerts related to security incidents, understanding both the incident criticality and itscontext. In this direction, our contribution is two-fold. Firstly, we propose a novelapproach to assess the severity of security incidents, specifically data leakages resultingfrom attacks. Secondly, we introduce a comprehensive framework for efficientalert management and analysis for data leakage detection systems. In this context,we propose a white-box approach to classify alerts into potential attack instances. Wevalidate our proposals using security alerts raised by a data leakage detection systemin a typical healthcare environment.

Στον σημερινό διασυνδεδεμένο κόσμο, οι ψηφιακές υπηρεσίες διαδραματίζουν καθοριστικό ρόλο σε διάφορες πτυχές της ζωής μας. Καθώς η ψηφιοποίηση συνεχίζει να εξελίσσεται, ο μετασχηματιστικός αντίκτυπός της στις οικονομίες, τις κοινωνίες και τις καθημερινές συνήθειες υπογραμμίζει τον κεντρικό ρόλο των ψηφιακών υπηρεσιών στη διαμόρφωση του σύγχρονου τοπίου. Μια ιδιαίτερη περίπτωση αποτελούν οι ψηφιακές υπηρεσίες υγείας, οι οποίες προσφέρουν σημαντικά οφέλη που βελτιώνουν τα αποτελέσματα για τους ασθενείς και βελτιστοποιούν την παροχή υγειονομικής περίθαλψης. Από τη μία πλευρά, οι ψηφιακές υπηρεσίες υγείας μπορούν να ενισχύσουν τη συμμετοχή των ατόμων στη διαχείριση της υγείας τους, προωθώντας την προληπτική φροντίδα και την εξατομικευμένη θεραπεία. Από την άλλη πλευρά, η χρήση ηλεκτρονικών φακέλων υγείας ενισχύει τον συντονισμό μεταξύ των παρόχων υγειονομικής περίθαλψης, οδηγώντας σε πιο αποτελεσματική αντιμετώπιση των ασθενών. Συνολικά, οι ψηφιακές υπηρεσίες υγείας συμβάλλουν στην αποδοτικότητα των συστημάτων υγείας, μειώνοντας το κόστος και το διοικητικό φόρτο. Ωστόσο, η υιοθέτηση και η χρήση ψηφιακών υπηρεσιών παραμένει προβληματική, κυρίως λόγω της έλλειψης εμπιστοσύνης των τελικών χρηστών και των ανησυχιών που σχετίζονται με τη διαχείριση των προσωπικών τους δεδομένων. Η τάση αυτή είναι ακόμη πιο έντονη στον τομέα της υγειονομικής περίθαλψης, όπου διακυβεύονται ευαίσθητες προσωπικές πληροφορίες των ασθενών. Η παρούσα διατριβή διερευνά λύσεις για την ενίσχυση της εμπιστοσύνης προς τις ψηφιακές υπηρεσίες υγείας, με στόχο την αύξηση της υιοθέτησής τους. Ειδικότερα, εστιάζουμε στην αντιμετώπιση τριών συγκεκριμένων προκλήσεων, οι οποίες περιγράφονται στη συνέχεια. Η ποιότητα και η αξιοπιστία των δεδομένων που χρησιμοποιούνται στις ψηφιακές υπηρεσίες, όπως οι ιατρικές μετρήσεις, έχουν σημαντική επίδραση στο αποτέλεσμά τους. Υπηρεσίες χαμηλής ποιότητας και ανακριβείς συμβουλές μπορούν να υπονομεύσουν την εμπιστοσύνη των τελικών χρηστών, εμποδίζοντας έτσι τη χρήση τους. Για τον σκοπό αυτό, προτείνουμε ένα πλαίσιο για την αξιολόγηση της αξιοπιστίας των δεδομένων και την ανάλυση των βασικών αιτίων της υποβαθμισμένης ποιότητας. Εφαρμόζουμε την πρότασή μας στους τομείς της απομακρυσμένης παρακολούθησης ασθενών και της ευημερίας σε βιομηχανικά περιβάλλοντα. Για να εμπιστευτούν τις ψηφιακές υπηρεσίες, οι χρήστες πρέπει να είναι βέβαιοι ότι τα δεδομένα τους προστατεύονται επαρκώς. Προς τον σκοπό αυτό, οι οργανισμοί υιοθετούν τυποποιημένους και ευέλικτους μηχανισμούς, όπως τον έλεγχο πρόσβασης βάσει ρόλων (RBAC), για τη διαχείριση της πρόσβασης στα δεδομένα. Η μετάβαση σε τέτοιους μηχανισμούς αποδεικνύεται ωστόσο δύσκολη, καθώς απαιτεί πρόσβαση σε υφιστάμενες πολιτικές, οι οποίες είναι συχνά κατακερματισμένες και ελλιπείς. Στο πλαίσιο αυτό, η παρούσα διατριβή προτείνει μια προσέγγιση για την εξαγωγή πολιτικών RBAC από ελλιπή δεδομένα, όπως τα αρχεία καταγραφής (logs) δραστηριότητας χρηστών, και εισάγει μετρικές για την αξιολόγηση των εξαγόμενων πολιτικών. Η προτεινόμενη λύση αξιολογείται με χρήση τόσο συνθετικών όσο και πραγματικών συνόλων δεδομένων.Με την αύξηση των κυβερνοεπιθέσεων που οδηγούν σε παραβιάσεις δεδομένων, οι χρήστες ψηφιακών υπηρεσιών πρέπει να γνωρίζουν ότι οι οργανισμοί είναι σε θέση να αντιδρούν άμεσα και αποτελεσματικά, ώστε να περιορίζουν τις ζημίες και να προστατεύουν τα δεδομένα τους. Επιπλέον, οι οργανισμοί οφείλουν να συμμορφώνονται με την ισχύουσα νομοθεσία, όπως ο GDPR, που επιβάλλει την έγκαιρη ανταπόκρισή τους. Για την αντιμετώπιση αυτής της πρόκλησης, οι οργανισμοί πρέπει να είναι ικανοί να αναλύουν και να κατανοούν τις ειδοποιήσεις που σχετίζονται με περιστατικά ασφαλείας, αξιολογώντας τόσο την κρισιμότητά τους όσο και το ευρύτερο πλαίσιό τους. Η συμβολή μας στην κατεύθυνση αυτή είναι διττή. Πρώτον, προτείνουμε μια καινοτόμο προσέγγιση για την αξιολόγηση της σοβαρότητας περιστατικών ασφαλείας, και συγκεκριμένα διαρροών δεδομένων που προκύπτουν από επιθέσεις. Δεύτερον, εισάγουμε ένα ολοκληρωμένο πλαίσιο για την αποτελεσματική διαχείριση και ανάλυση ειδοποιήσεων συστημάτων ανίχνευσης διαρροών δεδομένων. Στο πλαίσιο αυτό, προτείνουμε μια προσέγγιση λευκού κουτιού (white-box) για την ταξινόμηση των ειδοποιήσεων σε πιθανές κατηγορίες επιθέσεων. Οι προτάσεις μας επικυρώνονται με χρήση ειδοποιήσεων ασφαλείας που εκδόθηκαν από σύστημα ανίχνευσης διαρροών δεδομένων σε τυπικό περιβάλλον υγειονομικής περίθαλψης.