Standar Medis DICOM yang Bocor Mengungkap Jutaan Catatan Pasien

Sekitar 60 juta catatan pribadi dan medis mungkin telah terekspos selama beberapa dekade terakhir karena penggunaan protokol lama pada peralatan medis, kata para peneliti.

Peneliti dari Aplite meneliti protokol Digital Imaging and Communications in Medicine (DICOM), yang merupakan standar yang diakui secara internasional untuk transfer pencitraan medis yang diterapkan di sebagian besar rangkaian radiologi, pencitraan kardiologi, dan radioterapi secara global. Mereka menemukan bahwa pengguna protokol seringkali tidak menggunakan kontrol keamanan, menurut penelitian berjudul “Jutaan Catatan Pasien Berisiko: Bahaya Protokol Warisan,” yang akan mereka presentasikan di Black Hat Europe di London pada bulan Desember.

Konsultan keamanan TI senior Aplite, Sina Yazdanmehr dan Ibrahim Akkulak mendeteksi lebih dari 3,800 server menggunakan Protokol DICOM yang dapat diakses di Internet, dan 30% di antaranya membocorkan data sensitif.

Para peneliti menjelaskan bahwa protokol DICOM memang berisi langkah-langkah keamanan seperti integrasi TLS dan identifikasi pengguna, namun sebagian besar vendor tidak menerapkannya karena berbagai alasan. Hal ini mencakup kurangnya kesadaran mengenai risiko keamanan; pengembangan perangkat keras sebelum adanya langkah-langkah keamanan — yang membuat pemutakhiran menjadi rumit dan memakan waktu (dan mungkin bahkan tidak mungkin dilakukan); dan beberapa vendor menargetkan organisasi kecil yang sering kali kekurangan infrastruktur TI yang diperlukan untuk menerapkan langkah-langkah keamanan seperti kontrol akses dan sertifikat.

“Mengelola sertifikat TLS itu rumit. Hal ini memerlukan keahlian dan sumber daya yang signifikan untuk menghindari penggunaan sertifikat yang ditandatangani sendiri dan tidak aman,” kata Yazdanmehr. Ia juga mengklaim bahwa tidak ada tindakan keamanan yang bersifat wajib, sehingga kurangnya tata kelola peraturan dapat dilihat sebagai penyebab lain ketidakamanan tersebut.

Mungkin lubang keamanan sudah bisa diduga, mengingat versi terbaru dari protokol ini diperkenalkan 30 tahun yang lalu, pada tahun 1993, dengan versi asli diterbitkan pada tahun 1985 dan edisi revisi pada tahun 1988. Yazdanmehr mengatakan ada beberapa pembaruan pada tahun 2021, “ namun tidak dalam kaitannya dengan peningkatan keamanan yang ingin kami lihat.”

Paparan Mesin Pencitraan Mempengaruhi Jutaan Pasien

Para peneliti mengatakan bahwa selama 30 tahun, mereka memperkirakan bahwa 59 juta catatan dapat dilihat, “termasuk informasi pribadi seperti nama, alamat, tanggal lahir, jenis kelamin – dan dalam beberapa kasus, kita bahkan dapat melihat nomor Jaminan Sosial dari orang-orang tersebut. .”

Mereka juga mengatakan ada rekam medis yang menunjukkan hasil pemeriksaan pada beberapa kasus, seperti Hasil MRI, X-ray, atau CT scan, serta tanggal dan waktu ujian.

Yazdanmehr mengatakan bahwa vendor mesin yang mereka ajak bicara mengetahui masalah ini, namun menambahkan bahwa mereka tidak menyadari seberapa besar risikonya dan berapa volume kebocoran data.

Dia menunjukkan bahwa perangkat tersebut harus dapat berkomunikasi satu sama lain dan bertukar data, namun pemindahan catatan elektronik secara aman melibatkan setiap tautan dalam rantai yang aman dan terkini, dan hingga sebagian besar peralatan dan perangkat medis dapat mendukung teknologi canggih dan canggih. langkah-langkah keamanan yang rumit, akan ada masalah.

Para peneliti telah menerbitkan sebuah laporan mengenai masalah keamanan, dan mereka menyarankan agar pengguna mengevaluasi apakah ada kebutuhan nyata untuk mengekspos server DICOM ke akses jarak jauh dan menjaga komunikasi internal jika memungkinkan.

DICOM: Tidak Ada Masalah Keamanan di Pihak Kami

Seorang juru bicara DICOM mengatakan dalam sebuah pernyataan bahwa DICOM adalah protokol standar yang dipilih oleh produsen untuk digunakan, dan bahwa vendor serta organisasi penyedia layanan kesehatan adalah pihak yang pada akhirnya memutuskan mekanisme keamanan mana yang sesuai untuk lingkungan mereka.

Oleh karena itu, standar DICOM tidak secara inheren menimbulkan risiko keamanan, menurut pernyataan tersebut, yang menunjukkan bahwa terdapat “kemampuan Koneksi Aman” yang telah ditentukan dalam DICOM selama hampir dua dekade, dan diperbarui secara berkala untuk mencerminkan rekomendasi dari Institut Nasional Standar dan Teknologi (NIST) dan organisasi penetapan standar internasional lainnya. 

“Penerapan, penerapan, pembelian, pemeliharaan, dan konfigurasi sistem yang menerapkan standar DICOM adalah tanggung jawab vendor produk dan pelanggan mereka,” menurut pernyataan itu. “Selanjutnya, merupakan tanggung jawab vendor untuk menyediakan dan memelihara implementasi perangkat lunak. Singkatnya, keamanan yang tepat adalah tanggung jawab bersama antara produsen perangkat dan organisasi penyedia layanan kesehatan. Mengklaim bahwa itu adalah tanggung jawab sebuah standar adalah salah.”

Para peneliti mengatakan mereka setuju dengan hal tersebut pernyataan, dan bahwa mereka berharap presentasi di Black Hat Europe dapat membantu memperingatkan masalah kebocoran data.

“Mudah-mudahan, kita dapat meningkatkan kesadaran, menjadikannya lebih baik, dan jumlahnya akan menurun serta semakin banyak vendor dan rumah sakit yang mulai memperkuat infrastruktur mereka,” kata Yazdanmehr. “Tapi menurut saya ini akan menjadi perjalanan yang panjang.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/risk/leaky-dicom-medical-protocol-exposes-millions-patient-records