Naukowcy twierdzą, że w ciągu ostatnich kilku dziesięcioleci około 60 milionów dokumentacji osobistej i medycznej mogło zostać ujawnionych w wyniku stosowania starszego protokołu w sprzęcie medycznym.
Naukowcy z Aplite zbadali protokół Digital Imaging and Communications in Medicine (DICOM), który jest uznawany na całym świecie standard do transferu obrazowania medycznego, który jest wdrażany w większości placówek radiologii, obrazowania kardiologicznego i radioterapii na całym świecie. Jak wynika z badań zatytułowanych „„Odkryli, że użytkownicy protokołu często nie korzystają z kontroli bezpieczeństwa”.Zagrożone miliony danych pacjentów: zagrożenia wynikające ze starszych protokołów,”, który zaprezentują w grudniu na Black Hat Europe w Londynie.
Starsi konsultanci ds. bezpieczeństwa IT firmy Aplite, Sina Yazdanmehr i Ibrahim Akkulak, wykryli ponad 3,800 serwerów korzystających z Protokół DICOM które były dostępne w Internecie, a w przypadku 30% z nich wyciekały wrażliwe dane.
Naukowcy wyjaśnili, że protokół DICOM rzeczywiście zawiera zabezpieczenia, takie jak integracja TLS i identyfikacja użytkownika, ale większość dostawców z różnych powodów ich nie wdraża. Należą do nich brak świadomości zagrożeń bezpieczeństwa; rozwój sprzętu przed wprowadzeniem środków bezpieczeństwa – co sprawia, że aktualizacje są skomplikowane i czasochłonne (a może nawet niewykonalne); a niektórzy dostawcy obierają za cel mniejsze organizacje, którym często brakuje infrastruktury informatycznej potrzebnej do wdrożenia środków bezpieczeństwa, takich jak kontrola dostępu i certyfikaty.
„Zarządzanie certyfikatami TLS jest skomplikowane. Aby uniknąć uciekania się do niepewnych certyfikatów z podpisem własnym, wymaga to znacznej wiedzy specjalistycznej i zasobów.” – mówi Yazdanmehr. Twierdzi również, że żadne ze środków bezpieczeństwa nie jest obowiązkowe, zatem brak zarządzania regulacyjnego można postrzegać jako kolejną przyczynę braku bezpieczeństwa.
Być może należy się spodziewać luk w zabezpieczeniach, biorąc pod uwagę, że najnowszą wersję protokołu wprowadzono 30 lat temu, w 1993 r., oryginał opublikowano w 1985 r., a poprawioną wersję w 1988 r. Yazdanmehr twierdzi, że w 2021 r. wprowadzono pewne aktualizacje „ ale nie w odniesieniu do poprawy bezpieczeństwa, którą chcieliśmy zobaczyć.”
Ekspozycja na urządzenia do obrazowania ma wpływ na miliony pacjentów
Naukowcy twierdzą, że w ciągu 30 lat szacują, że mogło być widocznych 59 milionów rekordów, „w tym dane osobowe, takie jak imiona i nazwiska, adresy, daty urodzenia, płeć, a w niektórych przypadkach mogliśmy nawet zobaczyć numery ubezpieczenia społecznego tych osób .”
Twierdzą również, że w niektórych przypadkach istniała dokumentacja medyczna zawierająca wyniki badań, np Wynik rezonansu magnetycznego, prześwietlenia rentgenowskiego lub tomografii komputerowejoraz datę i godzinę egzaminu.
Yazdanmehr twierdzi, że dostawcy maszyn, z którymi rozmawiał, byli świadomi problemów, ale dodaje, że nie zdawali sobie sprawy, jak duże jest ryzyko i jaka jest wielkość wycieku danych.
Zwraca uwagę, że urządzenia powinny móc ze sobą rozmawiać i wymieniać dane, jednak bezpieczne przenoszenie zapisów elektronicznych wymaga, aby każde ogniwo łańcucha było bezpieczne i aktualne oraz że do czasu, gdy większość sprzętu i wyrobów medycznych będzie w stanie obsługiwać zaawansowane i skomplikowanych środków bezpieczeństwa, wystąpi problem.
Naukowcy opublikowali m.in doradczy dotyczące kwestii bezpieczeństwa i sugerują, aby użytkownicy ocenili, czy rzeczywiście istnieje potrzeba udostępnienia serwera DICOM zdalnemu dostępowi i, jeśli to możliwe, utrzymywania komunikacji wewnętrznej.
DICOM: po naszej stronie nie ma żadnych problemów z bezpieczeństwem
Rzecznik DICOM stwierdził w oświadczeniu, że DICOM jest standardowym protokołem wybieranym przez producentów i że to dostawcy i organizacje świadczące opiekę zdrowotną ostatecznie decydują, które mechanizmy bezpieczeństwa są odpowiednie dla ich środowisk.
Zatem, zgodnie z oświadczeniem, w którym wskazano, że standard DICOM sam w sobie nie stwarza zagrożenia bezpieczeństwa, wskazano, że istnieje „możliwość bezpiecznego połączenia” określona w DICOM od prawie dwudziestu lat i że jest ona regularnie aktualizowana w celu odzwierciedlenia zaleceń Narodowy Instytut Norm i Technologii (NIST) i inne międzynarodowe organizacje ustanawiające standardy.
„Za wdrożenie, wdrożenie, zakup, konserwację i konfigurację systemów wdrażających standard DICOM odpowiadają dostawcy produktów i ich klienci” – czytamy w oświadczeniu. „Ponadto dostawcy są odpowiedzialni za dostarczanie i utrzymywanie wdrożeń oprogramowania. Krótko mówiąc, za odpowiednie bezpieczeństwo odpowiadają wspólnie producenci urządzeń i organizacje świadczące usługi zdrowotne. Twierdzenie, że jest to wyłączna odpowiedzialność standardu, jest fałszywe”.
Naukowcy twierdzą, że zgadzają się z oświadczenie i wyrażają nadzieję, że prezentacja w Black Hat Europe pomoże podnieść alarm w związku z problemem wycieku danych.
„Mamy nadzieję, że uda nam się zwiększyć świadomość i ulepszyć ją, a liczba ta spadnie, a coraz więcej dostawców i szpitali zacznie ulepszać swoją infrastrukturę” – mówi Yazdanmehr. „Ale myślę, że to będzie dość długa podróż”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/risk/leaky-dicom-medical-protocol-exposes-millions-patient-records
- :Jest
- :nie
- $W GÓRĘ
- 1985
- 2021
- 30
- 60
- 7
- a
- Zdolny
- O nas
- dostęp
- dostępny
- Stosownie
- Adresy
- Dodaje
- zaawansowany
- temu
- alarm
- prawie
- również
- an
- i
- Inne
- właściwy
- SĄ
- AS
- At
- uniknąć
- świadomy
- świadomość
- BE
- być
- zanim
- jest
- Ulepsz Swój
- pomiędzy
- Duży
- narodziny
- Czarny
- Czarny kapelusz
- Blackhat
- ale
- CAN
- zdolność
- Etui
- Spowodować
- certyfikaty
- łańcuch
- Dodaj
- roszczenie
- roszczenia
- Komunikacja
- kompleks
- skomplikowane
- systemu
- połączenie
- Konsultanci
- zawierać
- kontrola
- kontroli
- mógłby
- Klientów
- dane
- wyciek danych
- Data
- Daty
- lat
- grudzień
- zdecydować
- dostawa
- wymagania
- Wdrożenie
- wykryte
- oprogramowania
- urządzenie
- urządzenia
- cyfrowy
- do
- robi
- darowizna
- na dół
- z powodu
- podczas
- każdy
- edycja
- Elektroniczny
- środowiska
- sprzęt
- oszacowanie
- Europie
- oceniać
- Parzyste
- Każdy
- wymiana
- spodziewany
- ekspertyza
- wyjaśnione
- narażony
- Ekspozycja
- fałszywy
- wykonalny
- kilka
- W razie zamówieenia projektu
- znaleziono
- od
- Płeć
- prawdziwy
- dany
- Globalnie
- Goes
- będzie
- zarządzanie
- miał
- sprzęt komputerowy
- kapelusz
- Have
- Zdrowie
- opieki zdrowotnej
- pomaga
- Dziury
- nadzieję
- Ufnie
- szpitale
- W jaki sposób
- HTTPS
- i
- Identyfikacja
- if
- Obrazowanie
- wdrożenia
- realizacja
- wdrożenia
- realizowane
- ulepszenia
- in
- zawierać
- Włącznie z
- Zwiększać
- Informacja
- Infrastruktura
- właściwie
- niepewny
- niepewność
- Instytut
- integracja
- wewnętrzny
- na świecie
- Internet
- wprowadzono
- problem
- problemy
- IT
- to bezpieczeństwo
- podróż
- jpg
- Trzymać
- Uprzejmy
- Brak
- Dziedzictwo
- lubić
- LINK
- Londyn
- długo
- maszyna
- maszyny
- utrzymać
- konserwacja
- Większość
- robić
- WYKONUJE
- zarządzający
- obowiązkowe
- Producenci
- Może..
- może
- środków
- Mechanizmy
- medyczny
- wyposażenie medyczne
- lekarstwo
- milion
- miliony
- jeszcze
- większość
- przeniesienie
- Nazwy
- Potrzebować
- potrzebne
- nist
- Nie
- żaden
- numer
- z naszej
- of
- często
- on
- te
- or
- organizacji
- oryginalny
- Inne
- ludzkiej,
- na zewnątrz
- koniec
- Przeszłość
- pacjent
- Ludzie
- osobisty
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- poza
- możliwy
- teraźniejszość
- presentation
- Problem
- Produkt
- właściwy
- protokół
- protokoły
- zapewniać
- opublikowany
- zakup
- Radioterapia
- Przyczyny
- niedawny
- zalecenia
- dokumentacja
- odzwierciedlić
- Uważać
- regularnie
- regulacyjne
- zdalny
- zdalny dostęp
- Badania naukowe
- Badacze
- Zasoby
- odpowiedzialność
- Efekt
- Ryzyko
- ryzyko
- s
- Powiedział
- powiedzieć
- mówią
- skanować
- bezpieczne
- bezpiecznie
- bezpieczeństwo
- Środki bezpieczeństwa
- zagrożenia bezpieczeństwa
- widzieć
- widziany
- senior
- wrażliwy
- serwer
- Serwery
- ustawienie
- w panelu ustawień
- shared
- Short
- powinien
- pokazał
- znaczący
- mniejszy
- So
- Obserwuj Nas
- Tworzenie
- kilka
- Dźwięk
- określony
- mówiony
- Rzecznik
- standard
- standardy
- początek
- Zestawienie sprzedaży
- taki
- sugerować
- wsparcie
- systemy
- Mówić
- cel
- niż
- że
- Połączenia
- ich
- Im
- Tam.
- Te
- one
- myśleć
- tych
- czas
- czasochłonne
- pod tytulem
- do
- transfery
- drugiej
- Ostatecznie
- aż do
- zaktualizowane
- Nowości
- Uaktualnienia
- posługiwać się
- Użytkownik
- Użytkownicy
- za pomocą
- różnorodność
- sprzedawców
- wersja
- widoczny
- Tom
- poszukiwany
- była
- we
- DOBRZE
- były
- Co
- czy
- który
- będzie
- w
- rentgenowski
- lat
- zefirnet