Medicinske data består af meget følsomme personlige og sundhedsmæssige detaljer. Hvis det er åbent tilgængeligt for alle, medicinske data kan misbruges på mange måder. Desværre, vi har set masser af medicinske overtrædelser, og tendensen fortsætter.
Rapporten: 45 Millioner medicinske billeder og poster tilgængelige uden adgangskode
Sikkerhedsforskere fra CybelAngel opdagede for nylig, at mere end 45 millioner medicinske billeder, inklusive røntgenbilleder og CT-scanninger, kan åbnes frit på ubeskyttede servere. Forskergruppen udførte en 6-måneders undersøgelse af Network Attached Storage (NAS) og digital billeddannelse og kommunikation inden for medicin (DICOM), eller standarden for sundhedsindustrien til at sende og modtage medicinske data. DICOM-protokollen og PACS-serverens sårbarheder er skyld i denne hændelse.
Dataene er indsamlet fra online lagringsenheder tilknyttet medicinske centre over hele verden. 23,000 billeder af britiske patienter blev også eksponeret den 90 separate servere. Røntgen- og CT-scanninger kunne åbnes åbent på grund af usikrede NAS-lagerenheder i kombination med den forældede DICOM medicinske datatransmissionsprotokol.
De sårbare, følsomme oplysninger inkluderer også personlige sundhedsoplysninger, kort kendt som PHI. Disse oplysninger blev opdaget ukrypteret og uden adgangskodebeskyttelse på plads. Mere specifikt, de medicinske billeder kom sammen med op til 200 linjer af metadata pr. post med både PII og PHI inkluderet.
PII, eller personligt identificerbare oplysninger, henviser til navne, fødselsdatoer, fysiske adresser, etc., der henviser til, at oplysninger om PHI eller personlig sundhedspleje dækker højde, vægt, medicinsk diagnose. Al denne overflod af PII og PHI kan tilgås uden brug af loginoplysninger. Forskerne opdagede endda tilfælde, hvor loginportaler accepterede tomme brugernavne og adgangskoder.
Forskergruppen behøvede ikke at bruge nogen hackingsværktøjer under undersøgelsen. Den lethed, hvormed det lykkedes dem at få adgang til de medicinske data, er uhyggelig.
“Dette er en bekymrende opdagelse og beviser, at strengere sikkerhedsprocesser skal indføres for at beskytte, hvordan følsomme medicinske data deles og opbevares af sundhedspersonale. En balance mellem sikkerhed og tilgængelighed er bydende nødvendigt for at forhindre lækager i at blive et større databrud,” forklarede David Sygula, senior cybersikkerhedsanalytiker hos CybelAngel og forfatter til rapporten.
Resultatet af brud på medicinske data
Den meget følsomme natur af medicinske data og billeder kan føre til forskellige ondsindede resultater, især når det når det mørke web. Det kan udnyttes til afpresning og svig, blandt andre scenarier. Den kendsgerning, at sundhedsudbydere efterlod disse medicinske journaler åbent tilgængelige uden beskyttelse, bør ikke undervurderes. Sanktioner baseret på GDPR i Europa og HIPAA i USA kan følge på grund af brud på følsomme patientdata.
Yderligere detaljer er tilgængelig i rapporten.
Sidste år, opdagede sikkerhedsforskere to sårbarheder i medicinsk udstyr, hvoraf den ene var kritisk og kunne give fuld kontrol over enheden. Fejlene var i Alaris Gateway Workstations af Becton Dickinson, anvendt til at levere flydende medicin.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: