Близько 60 мільйонів особистих і медичних записів могли бути розкриті протягом останніх кількох десятиліть через використання застарілого протоколу в медичному обладнанні, кажуть дослідники.
Дослідники з Aplite дослідили протокол цифрових зображень і комунікацій у медицині (DICOM), який є міжнародно визнаний стандарт для передачі медичних зображень, які реалізовані в більшості радіологічних, кардіологічних зображень і променевої терапії в усьому світі. Вони виявили, що користувачі протоколу часто не використовують засоби контролю безпеки, відповідно до дослідження під назвою «Мільйони записів пацієнтів під загрозою: небезпека застарілих протоколів,», який вони представлять на Black Hat Europe у Лондоні в грудні.
Старші консультанти з ІТ-безпеки Aplite Сіна Язданмехр та Ібрагім Аккулак виявили понад 3,800 серверів за допомогою протокол DICOM які були доступні в Інтернеті, і 30% з них містили витік конфіденційних даних.
Дослідники пояснили, що протокол DICOM дійсно містить заходи безпеки, такі як інтеграція TLS та ідентифікація користувачів, але більшість постачальників не впроваджують їх з різних причин. До них належать відсутність обізнаності про ризики безпеки; розробка апаратного забезпечення до того, як існували заходи безпеки — що робить оновлення складним і трудомістким (і, можливо, навіть нездійсненним); а деякі постачальники націлені на менші організації, яким часто бракує ІТ-інфраструктури, необхідної для впровадження заходів безпеки, таких як контроль доступу та сертифікати.
«Керувати сертифікатами TLS складно. Це вимагає значного досвіду та ресурсів, щоб уникнути використання незахищених самопідписаних сертифікатів», Язданмехр каже. Він також стверджує, що жоден із заходів безпеки не є обов’язковим, тому відсутність регуляторного управління може розглядатися як ще одна причина незахищеності.
Можливо, прогалини в безпеці очікувані, враховуючи, що остання версія протоколу була представлена 30 років тому, у 1993 році, з оригінальною опублікованою в 1985 році та переглянутою версією в 1988 році. Язданмехр каже, що в 2021 році були деякі оновлення, « але не щодо покращень безпеки, які ми хотіли бачити».
Опромінення апарату візуалізації впливає на мільйони пацієнтів
Дослідники кажуть, що за 30 років, за їхніми оцінками, 59 мільйонів записів могли бути видимими, «включаючи особисту інформацію, як-от імена, адреси, дати народження, стать — а в деяких випадках ми навіть могли бачити номери соціального страхування цих людей. .”
Вони також кажуть, що були медичні документи, які показали результати обстеження в деяких випадках, наприклад Результат МРТ, рентгена або КТ, а також дату та час проведення експертизи.
Язданмер каже, що постачальники машин, з якими вони спілкувалися, знали про проблеми, але додає, що вони не знали про те, наскільки великий ризик і який обсяг витоку даних.
Він зазначає, що пристрої повинні мати можливість спілкуватися один з одним і обмінюватися даними, але безпечне переміщення електронних записів передбачає, що кожна ланка в ланцюжку буде безпечною та актуальною, і поки більшість обладнання та медичних пристроїв не зможуть підтримувати передові та комплексні заходи безпеки, виникне проблема.
Дослідники опублікували an консультативний щодо питань безпеки, і вони пропонують користувачам оцінити, чи існує справжня потреба надавати сервер DICOM для віддаленого доступу та, якщо можливо, підтримувати внутрішні зв’язки.
DICOM: з нашого боку немає проблем із безпекою
Представник DICOM сказав у своїй заяві, що DICOM — це стандартний протокол, який вибирають для використання виробники, і що постачальники та організації, що надають медичні послуги, остаточно вирішують, які механізми безпеки підходять для їх середовища.
Таким чином, згідно із заявою, стандарт DICOM за своєю суттю не створює ризику для безпеки, у якому вказується, що існує «можливість безпечного з’єднання», яка була визначена в DICOM протягом майже двох десятиліть, і що вона регулярно оновлюється, щоб відобразити рекомендації від Національний інститут стандартів і технологій (NIST) та інших міжнародних організацій із встановлення стандартів.
«Впровадження, розгортання, придбання, обслуговування та конфігурація систем, які реалізують стандарт DICOM, є відповідальністю постачальників продукту та їхніх клієнтів», — йдеться в заяві. «Крім того, постачальники зобов’язані забезпечити та підтримувати впровадження програмного забезпечення. Коротше кажучи, належна безпека є спільною відповідальністю між виробниками пристроїв і організаціями, що надають медичні послуги. Стверджувати, що це виключна відповідальність стандарту, — це неправда».
Дослідники кажуть, що згодні з заява, і вони сподіваються, що презентація на Black Hat Europe допоможе бити тривогу щодо проблеми витоку даних.
«Сподіваюся, ми зможемо підвищити обізнаність, зробити це краще, і кількість зменшиться, і більше постачальників і лікарень почнуть зміцнювати свою інфраструктуру», — каже Язданмехр. «Але я думаю, що це буде довга подорож».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/risk/leaky-dicom-medical-protocol-exposes-millions-patient-records
- :є
- : ні
- $UP
- 1985
- 2021
- 30
- 60
- 7
- a
- Здатний
- МЕНЮ
- доступ
- доступною
- За
- адреси
- Додає
- просунутий
- назад
- тривога
- майже
- Також
- an
- та
- Інший
- відповідний
- ЕСТЬ
- AS
- At
- уникнути
- знати
- обізнаність
- BE
- було
- перед тим
- буття
- Краще
- між
- Великий
- народження
- Black
- Black Hat
- Чорний капелюх
- але
- CAN
- можливості
- випадків
- Викликати
- сертифікати
- ланцюг
- Вибирати
- стверджувати
- претензій
- зв'язку
- комплекс
- складний
- конфігурація
- зв'язку
- Консультанти
- містити
- контроль
- управління
- може
- Клієнти
- дані
- витоку даних
- Дата
- Дати
- десятиліття
- Грудень
- вирішувати
- доставка
- запити
- розгортання
- виявлено
- розробка
- пристрій
- прилади
- цифровий
- do
- робить
- Дон
- вниз
- два
- під час
- кожен
- видання
- Electronic
- середовищах
- обладнання
- оцінити
- Європа
- оцінювати
- Навіть
- Кожен
- обмін
- очікуваний
- експертиза
- пояснені
- піддаватися
- експонування
- false
- реально
- кілька
- для
- знайдений
- від
- Стать
- справжній
- даний
- Глобально
- йде
- буде
- управління
- було
- апаратні засоби
- hat
- Мати
- здоров'я
- охорона здоров'я
- допомагає
- Отвори
- надія
- З надією
- лікарні
- Як
- HTTPS
- i
- Ідентифікація
- if
- Зображеннями
- здійснювати
- реалізація
- реалізації
- реалізовані
- поліпшення
- in
- включати
- У тому числі
- Augmenter
- інформація
- Інфраструктура
- за своєю суттю
- небезпечно
- небезпека
- Інститут
- інтеграція
- внутрішній
- Міжнародне покриття
- інтернет
- введені
- питання
- питання
- IT
- це безпека
- подорож
- JPG
- тримати
- Дитина
- відсутність
- Legacy
- як
- LINK
- Лондон
- Довго
- машина
- Машинки для перманенту
- підтримувати
- обслуговування
- Більшість
- зробити
- РОБОТИ
- управління
- обов'язковий
- Виробники
- Може..
- може бути
- заходи
- механізми
- медичний
- медичне обладнання
- медицина
- мільйона
- мільйони
- більше
- найбільш
- переміщення
- Імена
- Необхідність
- необхідний
- nist
- немає
- ніхто
- номер
- номера
- of
- часто
- on
- ті,
- or
- організації
- оригінал
- Інше
- наші
- з
- над
- Минуле
- пацієнт
- Люди
- персонал
- plato
- Інформація про дані Платона
- PlatoData
- точок
- поза
- це можливо
- представити
- Presentation
- Проблема
- Product
- правильний
- протокол
- протоколи
- забезпечувати
- опублікований
- покупка
- Променева терапія
- Причини
- останній
- рекомендації
- облік
- відображати
- вважати
- регулярно
- регуляторні
- віддалений
- Віддалений доступ
- дослідження
- Дослідники
- ресурси
- відповідальність
- результати
- Risk
- ризики
- s
- Зазначений
- say
- говорить
- сканування
- безпечний
- безпечно
- безпеку
- Заходи безпеки
- ризики для безпеки
- побачити
- бачив
- старший
- чутливий
- сервер
- Сервери
- установка
- налаштування
- загальні
- Короткий
- Повинен
- показав
- значний
- менше
- So
- соціальна
- Софтвер
- деякі
- Звучати
- зазначений
- говорять
- доповідач
- standard
- стандартів
- старт
- Заява
- такі
- пропонувати
- підтримка
- Systems
- балаканина
- Мета
- ніж
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- думати
- ті
- час
- трудомісткий
- під назвою
- до
- переклади
- два
- Зрештою
- до
- оновлений
- Updates
- оновлення
- використання
- користувач
- користувачі
- використання
- різноманітність
- постачальники
- версія
- видимий
- обсяг
- хотів
- було
- we
- ДОБРЕ
- були
- Що
- Чи
- який
- волі
- з
- рентгенівський
- років
- зефірнет