Nieszczelny standard medyczny DICOM ujawnia miliony danych pacjentów

Naukowcy twierdzą, że w ciągu ostatnich kilku dziesięcioleci około 60 milionów dokumentacji osobistej i medycznej mogło zostać ujawnionych w wyniku stosowania starszego protokołu w sprzęcie medycznym.

Naukowcy z Aplite zbadali protokół Digital Imaging and Communications in Medicine (DICOM), który jest uznawany na całym świecie standard do transferu obrazowania medycznego, który jest wdrażany w większości placówek radiologii, obrazowania kardiologicznego i radioterapii na całym świecie. Jak wynika z badań zatytułowanych „„Odkryli, że użytkownicy protokołu często nie korzystają z kontroli bezpieczeństwa”.Zagrożone miliony danych pacjentów: zagrożenia wynikające ze starszych protokołów,”, który zaprezentują w grudniu na Black Hat Europe w Londynie.

Starsi konsultanci ds. bezpieczeństwa IT firmy Aplite, Sina Yazdanmehr i Ibrahim Akkulak, wykryli ponad 3,800 serwerów korzystających z Protokół DICOM które były dostępne w Internecie, a w przypadku 30% z nich wyciekały wrażliwe dane.

Naukowcy wyjaśnili, że protokół DICOM rzeczywiście zawiera zabezpieczenia, takie jak integracja TLS i identyfikacja użytkownika, ale większość dostawców z różnych powodów ich nie wdraża. Należą do nich brak świadomości zagrożeń bezpieczeństwa; rozwój sprzętu przed wprowadzeniem środków bezpieczeństwa – co sprawia, że ​​aktualizacje są skomplikowane i czasochłonne (a może nawet niewykonalne); a niektórzy dostawcy obierają za cel mniejsze organizacje, którym często brakuje infrastruktury informatycznej potrzebnej do wdrożenia środków bezpieczeństwa, takich jak kontrola dostępu i certyfikaty.

„Zarządzanie certyfikatami TLS jest skomplikowane. Aby uniknąć uciekania się do niepewnych certyfikatów z podpisem własnym, wymaga to znacznej wiedzy specjalistycznej i zasobów.” – mówi Yazdanmehr. Twierdzi również, że żadne ze środków bezpieczeństwa nie jest obowiązkowe, zatem brak zarządzania regulacyjnego można postrzegać jako kolejną przyczynę braku bezpieczeństwa.

Być może należy się spodziewać luk w zabezpieczeniach, biorąc pod uwagę, że najnowszą wersję protokołu wprowadzono 30 lat temu, w 1993 r., oryginał opublikowano w 1985 r., a poprawioną wersję w 1988 r. Yazdanmehr twierdzi, że w 2021 r. wprowadzono pewne aktualizacje „ ale nie w odniesieniu do poprawy bezpieczeństwa, którą chcieliśmy zobaczyć.”

Ekspozycja na urządzenia do obrazowania ma wpływ na miliony pacjentów

Naukowcy twierdzą, że w ciągu 30 lat szacują, że mogło być widocznych 59 milionów rekordów, „w tym dane osobowe, takie jak imiona i nazwiska, adresy, daty urodzenia, płeć, a w niektórych przypadkach mogliśmy nawet zobaczyć numery ubezpieczenia społecznego tych osób .”

Twierdzą również, że w niektórych przypadkach istniała dokumentacja medyczna zawierająca wyniki badań, np Wynik rezonansu magnetycznego, prześwietlenia rentgenowskiego lub tomografii komputerowejoraz datę i godzinę egzaminu.

Yazdanmehr twierdzi, że dostawcy maszyn, z którymi rozmawiał, byli świadomi problemów, ale dodaje, że nie zdawali sobie sprawy, jak duże jest ryzyko i jaka jest wielkość wycieku danych.

Zwraca uwagę, że urządzenia powinny móc ze sobą rozmawiać i wymieniać dane, jednak bezpieczne przenoszenie zapisów elektronicznych wymaga, aby każde ogniwo łańcucha było bezpieczne i aktualne oraz że do czasu, gdy większość sprzętu i wyrobów medycznych będzie w stanie obsługiwać zaawansowane i skomplikowanych środków bezpieczeństwa, wystąpi problem.

Naukowcy opublikowali m.in doradczy dotyczące kwestii bezpieczeństwa i sugerują, aby użytkownicy ocenili, czy rzeczywiście istnieje potrzeba udostępnienia serwera DICOM zdalnemu dostępowi i, jeśli to możliwe, utrzymywania komunikacji wewnętrznej.

DICOM: po naszej stronie nie ma żadnych problemów z bezpieczeństwem

Rzecznik DICOM stwierdził w oświadczeniu, że DICOM jest standardowym protokołem wybieranym przez producentów i że to dostawcy i organizacje świadczące opiekę zdrowotną ostatecznie decydują, które mechanizmy bezpieczeństwa są odpowiednie dla ich środowisk.

Zatem, zgodnie z oświadczeniem, w którym wskazano, że standard DICOM sam w sobie nie stwarza zagrożenia bezpieczeństwa, wskazano, że istnieje „możliwość bezpiecznego połączenia” określona w DICOM od prawie dwudziestu lat i że jest ona regularnie aktualizowana w celu odzwierciedlenia zaleceń Narodowy Instytut Norm i Technologii (NIST) i inne międzynarodowe organizacje ustanawiające standardy. 

„Za wdrożenie, wdrożenie, zakup, konserwację i konfigurację systemów wdrażających standard DICOM odpowiadają dostawcy produktów i ich klienci” – czytamy w oświadczeniu. „Ponadto dostawcy są odpowiedzialni za dostarczanie i utrzymywanie wdrożeń oprogramowania. Krótko mówiąc, za odpowiednie bezpieczeństwo odpowiadają wspólnie producenci urządzeń i organizacje świadczące usługi zdrowotne. Twierdzenie, że jest to wyłączna odpowiedzialność standardu, jest fałszywe”.

Naukowcy twierdzą, że zgadzają się z oświadczenie i wyrażają nadzieję, że prezentacja w Black Hat Europe pomoże podnieść alarm w związku z problemem wycieku danych.

„Mamy nadzieję, że uda nam się zwiększyć świadomość i ulepszyć ją, a liczba ta spadnie, a coraz więcej dostawców i szpitali zacznie ulepszać swoją infrastrukturę” – mówi Yazdanmehr. „Ale myślę, że to będzie dość długa podróż”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/risk/leaky-dicom-medical-protocol-exposes-millions-patient-records