Utæt DICOM Medical Standard afslører millioner af patientjournaler

Omkring 60 millioner personlige og medicinske optegnelser kan være blevet afsløret i løbet af de sidste par årtier på grund af brugen af ​​en ældre protokol i medicinsk udstyr, siger forskere.

Forskere fra Aplite undersøgte protokollen Digital Imaging and Communications in Medicine (DICOM), som er en internationalt anerkendt standard til medicinsk billeddannelsesoverførsel, der er implementeret i de fleste radiologi-, kardiologisk-billeddannelses- og strålebehandlingsindstillinger globalt. De fandt ud af, at brugere af protokollen ofte ikke bruger sikkerhedskontrollerne, ifølge forskning med titlen "Millioner af patientjournaler i fare: Farerne ved ældre protokoller,” som de præsenterer på Black Hat Europe i London til december.

Aplites senior IT-sikkerhedskonsulenter Sina Yazdanmehr og Ibrahim Akkulak opdagede mere end 3,800 servere ved hjælp af DICOM protokol der var tilgængelige på internettet, og 30 % af dem lækkede følsomme data.

Forskerne forklarede, at DICOM-protokollen indeholder sikkerhedsforanstaltninger såsom TLS-integration og brugeridentifikation, men at de fleste leverandører ikke implementerer dem af forskellige årsager. Disse omfatter en manglende bevidsthed om sikkerhedsrisici; udvikling af hardwaren før sikkerhedsforanstaltningerne fandtes - hvilket gør opgraderinger komplicerede og tidskrævende (og måske ikke engang gennemførlige); og nogle leverandører retter sig mod mindre organisationer, der ofte mangler den IT-infrastruktur, der er nødvendig for at implementere sikkerhedsforanstaltninger såsom adgangskontrol og certifikater.

"Håndtering af TLS-certifikater er kompliceret. Det kræver betydelig ekspertise og ressourcer for at undgå at ty til usikre selvsignerede certifikater." siger Yazdanmehr. Han hævder også, at ingen af ​​sikkerhedsforanstaltningerne er obligatoriske, så en mangel på lovgivningsmæssig styring kan ses som en anden årsag til usikkerheden.

Måske kan sikkerhedshullerne forventes, da den seneste version af protokollen blev introduceret for 30 år siden, i 1993, med originalen udgivet i 1985 og en revideret udgave i 1988. Yazdanmehr siger, at der var nogle opdateringer i 2021, “ men ikke med hensyn til de sikkerhedsforbedringer, vi ønskede at se."

Eksponering af billedbehandlingsmaskiner påvirker millioner af patienter

Forskerne siger, at over 30 år anslår de, at 59 millioner poster kunne have været synlige, "inklusive personlige oplysninger som navne, adresser, fødselsdatoer, køn - og i nogle tilfælde kunne vi endda se CPR-numrene på disse mennesker ."

De siger også, at der var lægejournaler, der viste undersøgelsesresultater i nogle tilfælde, f.eks MR-, røntgen- eller CT-scanningsresultat, samt eksamensdato og -tidspunkt.

Yazdanmehr siger, at leverandørerne af de maskiner, de havde talt med, var klar over problemerne, men tilføjer, at de ikke var klar over, hvor stor risikoen er, og hvor stor mængden af ​​datalækage er.

Han påpeger, at enhederne skal kunne tale med hinanden og udveksle data, men at flytning af elektroniske journaler på en sikker måde indebærer, at alle led i kæden er sikre og opdaterede, og at indtil størstedelen af ​​udstyr og medicinsk udstyr kan understøtte avanceret og komplekse sikkerhedsforanstaltninger, vil der være et problem.

Forskerne har offentliggjort en rådgivende om sikkerhedsspørgsmålene, og de foreslår, at brugerne vurderer, om der er et reelt behov for at udsætte en DICOM-server for fjernadgang og for at holde kommunikation internt, hvis det er muligt.

DICOM: Ingen sikkerhedsproblemer på vores ende

En talsmand for DICOM sagde i en erklæring, at DICOM er en standardprotokol, som producenter vælger at bruge, og at det er leverandører og sundhedsydelser, der i sidste ende beslutter, hvilke sikkerhedsmekanismer der er passende for deres miljøer.

DICOM-standarden udgør således ikke i sagens natur en sikkerhedsrisiko, ifølge erklæringen, som påpegede, at der er en "Sikker forbindelsesfunktion", der har været specificeret i DICOM i næsten to årtier, og at den opdateres regelmæssigt for at afspejle anbefalinger fra National Institute of Standards and Technology (NIST) og andre internationale standardiseringsorganisationer. 

"Implementering, implementering, indkøb, vedligeholdelse og konfiguration af systemer, der implementerer DICOM-standarden, er produktleverandørernes og deres kunders ansvar," ifølge erklæringen. "Yderligere er det leverandørernes ansvar at levere og vedligeholde softwareimplementeringer. Kort sagt er korrekt sikkerhed et delt ansvar mellem enhedsproducenter og sundhedsleveringsorganisationer. At hævde, at det udelukkende er en standards ansvar, er falsk."

Forskerne siger, at de er enige i erklæring, og at de håber, at præsentationen på Black Hat Europe er med til at slå alarm om datalækage-problematikken.

"Forhåbentlig kan vi øge bevidstheden, gøre den bedre, og antallet falder, og flere leverandører og hospitaler begynder at hærde deres infrastruktur," siger Yazdanmehr. "Men jeg tror, ​​det bliver en slags lang rejse."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/risk/leaky-dicom-medical-protocol-exposes-millions-patient-records