I dati medici sono dati personali e sanitari altamente sensibili. Se è apertamente disponibile a chiunque, i dati medici possono essere abusati in molti modi. Sfortunatamente, abbiamo visto molte violazioni mediche, e la tendenza continua.
Il rapporto: 45 Milioni di immagini e documenti medici accessibili senza password
I ricercatori di sicurezza di CybelAngel hanno recentemente scoperto che più di 45 milioni di immagini mediche, compresi i raggi X e le scansioni TC, è possibile accedervi liberamente su server non protetti. Il team di ricerca ha eseguito un'indagine di 6 mesi su Network Attached Storage (NAS) e immagini e comunicazioni digitali in medicina (DICOM), o lo standard per il settore sanitario per inviare e ricevere dati medici. Il protocollo DICOM e le vulnerabilità del server PACS sono responsabili di questo incidente.
I dati sono stati raccolti da dispositivi di archiviazione online associati a centri medici in tutto il mondo. 23,000 sono state esposte anche immagini di pazienti del Regno Unito 90 server separati. È possibile accedere apertamente alle scansioni a raggi X e TC a causa di dispositivi di archiviazione NAS non protetti in combinazione con il protocollo di trasmissione dati medici DICOM obsoleto.
I vulnerabili, le informazioni sensibili includono anche le informazioni sanitarie personali, poco conosciuto come PHI. Queste informazioni sono state rilevate non crittografate e senza protezione tramite password. Più specificamente, le immagini mediche sono arrivate fino a 200 righe di metadati per record con sia PII che PHI inclusi.
PII, o informazioni di identificazione personale, si riferisce ai nomi, date di nascita, indirizzi fisici, eccetera, mentre le informazioni sanitarie personali o PHI coprono l'altezza, peso, diagnosi medica. È possibile accedere a tutta questa abbondanza di PII e PHI senza utilizzare le credenziali di accesso. I ricercatori hanno persino scoperto casi in cui i portali di accesso accettavano nomi utente e password vuoti.
Il team di ricerca non ha avuto bisogno di utilizzare strumenti di hacking durante la ricerca. La facilità con cui sono riusciti ad accedere ai dati medici è inquietante.
“Questa è una scoperta preoccupante e dimostra che devono essere messi in atto processi di sicurezza più rigorosi per proteggere il modo in cui i dati medici sensibili vengono condivisi e archiviati dagli operatori sanitari. Un equilibrio tra sicurezza e accessibilità è fondamentale per evitare che le perdite diventino una grave violazione dei dati,” ha spiegato David Sygula, analista senior di cybersecurity presso CybelAngel e autore del report.
Il risultato delle violazioni dei dati medici
La natura altamente sensibile dei dati e delle immagini mediche può portare a vari risultati dannosi, soprattutto quando raggiunge il Dark Web. Può essere sfruttato per estorsione e frode, tra gli altri scenari. Il fatto che gli operatori sanitari abbiano lasciato queste cartelle cliniche apertamente accessibili senza protezione non deve essere sottovalutato. Possono seguire sanzioni basate sul GDPR in Europa e sull'HIPAA negli Stati Uniti a causa della violazione dei dati sensibili dei pazienti.
Ulteriori dettagli sono disponibile nella relazione.
L'anno scorso, hanno scoperto i ricercatori della sicurezza due vulnerabilità nei dispositivi medici, uno dei quali era fondamentale e poteva consentire il pieno controllo del dispositivo. I difetti risiedevano in Alaris Gateway Workstations di Becton Dickinson, utilizzato per somministrare farmaci fluidi.