Les données médicales se composent de détails personnels et de santé très sensibles. S'il est ouvertement accessible à tout le monde, les données médicales peuvent faire l'objet d'abus de plusieurs façons. Malheureusement, nous avons vu de nombreuses violations médicales, et la tendance continue.
Le rapport: 45 Des millions d'images et de dossiers médicaux accessibles sans mot de passe
Les chercheurs en sécurité de CybelAngel ont récemment découvert que plus de 45 millions d'images médicales, y compris les rayons X et les tomodensitogrammes, accessible librement sur des serveurs non protégés. L'équipe de recherche a effectué une enquête de 6 mois sur le stockage en réseau (NAS) et imagerie numérique et communications en médecine (DICOM), ou la norme pour le secteur de la santé d'envoyer et de recevoir des données médicales. Le protocole DICOM et les vulnérabilités du serveur PACS sont à l'origine de cet incident.
Les données ont été collectées à partir de dispositifs de stockage en ligne associés à des centres médicaux du monde entier. 23,000 des images de patients britanniques ont également été exposées 90 serveurs séparés. Les radiographies et les tomodensitogrammes étaient accessibles librement en raison de périphériques de stockage NAS non sécurisés en combinaison avec le protocole de transmission de données médicales obsolète DICOM.
Les vulnérables, les informations sensibles comprennent également les informations de santé personnelles, bientôt connu sous le nom de PHI. Ces informations ont été découvertes non chiffrées et sans protection par mot de passe en place. Plus précisement, les images médicales se sont réunies avec jusqu'à 200 lignes de métadonnées par enregistrement avec PII et PHI inclus.
PII, ou des informations personnellement identifiables, fait référence aux noms, les dates de naissance, adresses physiques, etc, alors que les renseignements personnels sur la santé ou les renseignements personnels sur la santé couvrent la taille, poids, diagnostic médical. Toute cette abondance de PII et PHI est accessible sans utiliser les identifiants de connexion. Les chercheurs ont même découvert des cas où les portails de connexion acceptaient des noms d'utilisateur et des mots de passe vides.
L'équipe de recherche n'a pas eu besoin d'utiliser d'outils de piratage pendant la recherche. La facilité avec laquelle ils ont réussi à accéder aux données médicales est étrange.
“Il s'agit d'une découverte préoccupante et prouve que des processus de sécurité plus stricts doivent être mis en place pour protéger la manière dont les données médicales sensibles sont partagées et stockées par les professionnels de la santé.. Un équilibre entre sécurité et accessibilité est impératif pour éviter que les fuites ne deviennent une violation de données majeure,” a expliqué David Sygula, analyste senior en cybersécurité chez CybelAngel et auteur du rapport.
Le résultat des violations de données médicales
La nature très sensible des données et des images médicales peut conduire à divers résultats malveillants, surtout quand il atteint le Dark Web. Il peut être exploité pour extorsion et fraude, parmi d'autres scénarios. Le fait que les prestataires de soins de santé aient laissé ces dossiers médicaux librement accessibles sans aucune protection ne doit pas être sous-estimé. Des sanctions basées sur le RGPD en Europe et HIPAA aux États-Unis peuvent suivre en raison de la violation des données sensibles des patients.
D'autres détails sont disponible dans le rapport.
L'année dernière, chercheurs en sécurité découverts deux vulnérabilités dans les dispositifs médicaux, dont l'un était critique et pouvait permettre un contrôle total de l'appareil. Les failles résidaient dans les stations de travail Alaris Gateway de Becton Dickinson, utilisé pour administrer des médicaments liquides.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: