Medische gegevens bestaan uit zeer gevoelige persoons- en gezondheidsgegevens. Als het voor iedereen openlijk beschikbaar is, medische gegevens kunnen op veel manieren worden misbruikt. Helaas, we hebben veel medische inbreuken gezien, en de trend zet zich voort.
Het verslag: 45 Miljoen medische afbeeldingen en records toegankelijk zonder wachtwoord
Beveiligingsonderzoekers van CybelAngel ontdekten onlangs dat meer dan 45 miljoen medische afbeeldingen, inclusief röntgenfoto's en CT-scans, is vrij toegankelijk op onbeschermde servers. Het onderzoeksteam deed een onderzoek van zes maanden naar Network Attached Storage (NAS) en digitale beeldvorming en communicatie in de geneeskunde (DICOM), of de standaard voor de zorgsector om medische gegevens te verzenden en ontvangen. Het DICOM-protocol en de kwetsbaarheden van de PACS-server zijn verantwoordelijk voor dit incident.
De gegevens zijn verzameld van online opslagapparaten die zijn gekoppeld aan medische centra over de hele wereld. 23,000 beelden van Britse patiënten werden ook getoond op 90 aparte servers. De röntgen- en CT-scans waren openlijk toegankelijk dankzij onbeveiligde NAS-opslagapparaten in combinatie met het verouderde DICOM-protocol voor medische gegevensoverdracht.
De kwetsbaren, gevoelige informatie omvat ook persoonlijke gezondheidsinformatie, kort bekend als PHI. Deze informatie werd onversleuteld en zonder wachtwoordbeveiliging ontdekt. Specifieker, de medische beelden kwamen samen met tot 200 regels metadata per record met zowel PII als PHI inbegrepen.
PII, of persoonlijk identificeerbare informatie, verwijst naar namen, geboortedata, fysieke adressen, etc., terwijl PHI of persoonlijke gezondheidsinformatie betrekking heeft op de lengte, gewicht, medische diagnose. Al deze overvloed aan PII en PHI is toegankelijk zonder inloggegevens te gebruiken. De onderzoekers ontdekten zelfs gevallen waarin inlogportalen blanco gebruikersnamen en wachtwoorden accepteerden.
Het onderzoeksteam hoefde tijdens het onderzoek geen hacktools te gebruiken. Het gemak waarmee ze erin slaagden toegang te krijgen tot de medische gegevens, is griezelig.
“Dit is een zorgwekkende ontdekking en bewijst dat er strengere beveiligingsprocessen moeten worden ingevoerd om te beschermen hoe gevoelige medische gegevens worden gedeeld en opgeslagen door zorgprofessionals. Een balans tussen veiligheid en toegankelijkheid is essentieel om te voorkomen dat lekken een groot datalek worden,” legde David Sygula uit, senior cybersecurity-analist bij CybelAngel en auteur van het rapport.
Het resultaat van inbreuken op medische gegevens
De zeer gevoelige aard van medische gegevens en afbeeldingen kan tot verschillende schadelijke gevolgen leiden, vooral wanneer het het Dark Web bereikt. Het kan worden uitgebuit voor afpersing en fraude, onder andere scenario's. Het feit dat zorgaanbieders deze medische dossiers open en onbeschermd hebben achtergelaten, mag niet worden onderschat. Sancties op basis van GDPR in Europa en HIPAA in de Verenigde Staten kunnen volgen vanwege inbreuk op gevoelige patiëntgegevens.
Verdere details zijn beschikbaar in het rapport.
Vorig jaar, ontdekten beveiligingsonderzoekers twee kwetsbaarheden in medische hulpmiddelen, een daarvan was kritiek en kon volledige controle over het apparaat mogelijk maken. De gebreken zaten in Alaris Gateway Workstations door Becton Dickinson, gebruikt om vloeibare medicatie af te geven.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: