医療データは、機密性の高い個人情報と健康情報で構成されています. 誰でも公開している場合, 医療データはさまざまな方法で悪用される可能性があります. 不運にも, 私たちは多くの医療違反を見てきました, そしてトレンドは続く.
レポート: 45 パスワードなしでアクセス可能な数百万の医療画像と記録
CybelAngelのセキュリティ研究者は最近、 45 百万の医用画像, X線およびCTスキャンを含む, 保護されていないサーバーから自由にアクセスできます. 調査チームは、ネットワーク接続ストレージの6か月間の調査を実施しました (NAS) 医学におけるデジタルイメージングと通信 (DICOM), または医療データを送受信するための医療業界の標準. このインシデントでは、DICOMプロトコルとPACSサーバーの脆弱性に問題があります.
データは、世界中の医療センターに関連付けられているオンラインストレージデバイスから収集されています. 23,000 英国の患者の画像も公開されました 90 別のサーバー. 廃止されたDICOM医療データ送信プロトコルと組み合わせた安全でないNASストレージデバイスにより、X線およびCTスキャンにオープンにアクセスできます。.
脆弱な, 機密情報には、個人の医療情報も含まれます, 略してPHIとして知られています. この情報は暗号化されておらず、パスワード保護が設定されていない状態で発見されました. すなわち, 医用画像は最大で一緒に来ました 200 PIIとPHIの両方が含まれるレコードごとのメタデータの行.
PII, または個人を特定できる情報, 名前を指します, 生年月日, 物理アドレス, 等, 一方、PHIまたは個人の医療情報は身長をカバーします, 重さ, 医療診断. ログイン資格情報を使用せずに、この豊富なPIIとPHIにアクセスできます。. 研究者たちは、ログインポータルが空白のユーザー名とパスワードを受け入れるインスタンスさえ発見しました.
調査チームは、調査中にハッキングツールを使用する必要はありませんでした. 彼らが医療データにアクセスすることに成功した容易さはすごいです.
“これは懸念される発見であり、医療専門家による機密医療データの共有と保存の方法を保護するために、より厳格なセキュリティプロセスを導入する必要があることを証明しています. リークが重大なデータ侵害になるのを防ぐには、セキュリティとアクセシビリティのバランスが不可欠です。,” デビッドシグラは説明しました, CybelAngelのシニアサイバーセキュリティアナリストおよびレポートの作成者.
医療データ侵害の結果
医療データと画像の非常に機密性の高い性質は、さまざまな悪意のある結果につながる可能性があります, 特にダークウェブに到達したとき. 恐喝や詐欺に悪用される可能性があります, 他のシナリオの中で. 医療提供者がこれらの医療記録を保護なしで公然とアクセスできるようにしたという事実は過小評価されるべきではありません. 機密性の高い患者データの侵害により、ヨーロッパのGDPRと米国のHIPAAに基づく制裁措置が続く可能性があります.
詳細は次のとおりです レポートで利用可能.
去年, セキュリティ研究者が発見 医療機器の2つの脆弱性, そのうちの1つは重要であり、デバイスの完全な制御を可能にする可能性があります. 欠陥は、BectonDickinsonによるAlarisGatewayWorkstationsにありました。, 流動的な薬を届けるために利用される.