Дірявий медичний стандарт DICOM розкриває мільйони записів пацієнтів

Близько 60 мільйонів особистих і медичних записів могли бути розкриті протягом останніх кількох десятиліть через використання застарілого протоколу в медичному обладнанні, кажуть дослідники.

Дослідники з Aplite дослідили протокол цифрових зображень і комунікацій у медицині (DICOM), який є міжнародно визнаний стандарт для передачі медичних зображень, які реалізовані в більшості радіологічних, кардіологічних зображень і променевої терапії в усьому світі. Вони виявили, що користувачі протоколу часто не використовують засоби контролю безпеки, відповідно до дослідження під назвою «Мільйони записів пацієнтів під загрозою: небезпека застарілих протоколів,», який вони представлять на Black Hat Europe у Лондоні в грудні.

Старші консультанти з ІТ-безпеки Aplite Сіна Язданмехр та Ібрагім Аккулак виявили понад 3,800 серверів за допомогою протокол DICOM які були доступні в Інтернеті, і 30% з них містили витік конфіденційних даних.

Дослідники пояснили, що протокол DICOM дійсно містить заходи безпеки, такі як інтеграція TLS та ідентифікація користувачів, але більшість постачальників не впроваджують їх з різних причин. До них належать відсутність обізнаності про ризики безпеки; розробка апаратного забезпечення до того, як існували заходи безпеки — що робить оновлення складним і трудомістким (і, можливо, навіть нездійсненним); а деякі постачальники націлені на менші організації, яким часто бракує ІТ-інфраструктури, необхідної для впровадження заходів безпеки, таких як контроль доступу та сертифікати.

«Керувати сертифікатами TLS складно. Це вимагає значного досвіду та ресурсів, щоб уникнути використання незахищених самопідписаних сертифікатів», Язданмехр каже. Він також стверджує, що жоден із заходів безпеки не є обов’язковим, тому відсутність регуляторного управління може розглядатися як ще одна причина незахищеності.

Можливо, прогалини в безпеці очікувані, враховуючи, що остання версія протоколу була представлена ​​30 років тому, у 1993 році, з оригінальною опублікованою в 1985 році та переглянутою версією в 1988 році. Язданмехр каже, що в 2021 році були деякі оновлення, « але не щодо покращень безпеки, які ми хотіли бачити».

Опромінення апарату візуалізації впливає на мільйони пацієнтів

Дослідники кажуть, що за 30 років, за їхніми оцінками, 59 мільйонів записів могли бути видимими, «включаючи особисту інформацію, як-от імена, адреси, дати народження, стать — а в деяких випадках ми навіть могли бачити номери соціального страхування цих людей. .”

Вони також кажуть, що були медичні документи, які показали результати обстеження в деяких випадках, наприклад Результат МРТ, рентгена або КТ, а також дату та час проведення експертизи.

Язданмер каже, що постачальники машин, з якими вони спілкувалися, знали про проблеми, але додає, що вони не знали про те, наскільки великий ризик і який обсяг витоку даних.

Він зазначає, що пристрої повинні мати можливість спілкуватися один з одним і обмінюватися даними, але безпечне переміщення електронних записів передбачає, що кожна ланка в ланцюжку буде безпечною та актуальною, і поки більшість обладнання та медичних пристроїв не зможуть підтримувати передові та комплексні заходи безпеки, виникне проблема.

Дослідники опублікували an консультативний щодо питань безпеки, і вони пропонують користувачам оцінити, чи існує справжня потреба надавати сервер DICOM для віддаленого доступу та, якщо можливо, підтримувати внутрішні зв’язки.

DICOM: з нашого боку немає проблем із безпекою

Представник DICOM сказав у своїй заяві, що DICOM — це стандартний протокол, який вибирають для використання виробники, і що постачальники та організації, що надають медичні послуги, остаточно вирішують, які механізми безпеки підходять для їх середовища.

Таким чином, згідно із заявою, стандарт DICOM за своєю суттю не створює ризику для безпеки, у якому вказується, що існує «можливість безпечного з’єднання», яка була визначена в DICOM протягом майже двох десятиліть, і що вона регулярно оновлюється, щоб відобразити рекомендації від Національний інститут стандартів і технологій (NIST) та інших міжнародних організацій із встановлення стандартів. 

«Впровадження, розгортання, придбання, обслуговування та конфігурація систем, які реалізують стандарт DICOM, є відповідальністю постачальників продукту та їхніх клієнтів», — йдеться в заяві. «Крім того, постачальники зобов’язані забезпечити та підтримувати впровадження програмного забезпечення. Коротше кажучи, належна безпека є спільною відповідальністю між виробниками пристроїв і організаціями, що надають медичні послуги. Стверджувати, що це виключна відповідальність стандарту, — це неправда».

Дослідники кажуть, що згодні з заява, і вони сподіваються, що презентація на Black Hat Europe допоможе бити тривогу щодо проблеми витоку даних.

«Сподіваюся, ми зможемо підвищити обізнаність, зробити це краще, і кількість зменшиться, і більше постачальників і лікарень почнуть зміцнювати свою інфраструктуру», — каже Язданмехр. «Але я думаю, що це буде довга подорож».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/risk/leaky-dicom-medical-protocol-exposes-millions-patient-records