Данные 45 миллионов пациентов оказались в свободном доступе в сети
Незащищенность серверов в 67 странах стала причиной утечки более 45 миллионов медицинских изображений в свободный доступ в Интернет.
К такому выводу пришла команда аналитиков из компании CybelAngel, занимающейся защитой данных, после шестимесячного расследования. Собрав результаты в единый отчет под названием Full Body Exposure, аналитики сообщили, что изображения включают в себя рентгеновские и КТ снимки, содержащие как информацию о здоровье, так и информацию для идентификации личности пациентов по всему миру, в том числе в США, Великобритании, Франции и Германии.
«Мы не использовали каких-либо специальных инструментов для взлома данных в ходе всего нашего расследования, подчеркивает легкость, с которой мы смогли открыть и получить доступ к этим файлам, – заявил Дэвид Сигула, старший аналитик кибербезопасности в CybelAngel и один из авторов отчета. – Это вызывает большую обеспокоенность и подтверждает необходимость введения более жестких мер для защиты медицинских данных в процессе их хранения и передачи работниками сферы здравоохранения».
Изображения были обнаружены на более 2140 серверах, при этом миллионы из них были не зашифрованы и не защищены паролем. Исследоатели сделали это открытие во время анализа работы сетевого хранилища (Network Attached Storage – NAS) и стандарта в сфере работы с цифровыми изображениями и передачи информации в медицине (Digital Imaging and Communications in Medicine – DICOM). Эти стандарты де-факто используются медицинскими специалистами для отправки и получения медицинских данных.
Просканировав примерно 4.3 миллиарда IP-адресов, команда аналитиков обнаружила в открытом доступе изображения, для просмотра которых не требовалось введения имени пользователя или пароля. Каждая запись имела до 200 строк метаданных, содержащих личные данные, включая имена, даты рождения и адреса; а также сведения о состоянии здоровья, такие как рост, вес и диагноз. На некоторых порталах для входа в систему можно даже было не вводить имя пользователя и пароль, а просто нажать кнопку входа.
По словам аналитиков CybelAngel, такие упущения оставляют медицинские организации беззащитными перед кибер-вымогателями и шантажистами. Также высок риск мошенничества: за медицинские изображения можно получить хорошие деньги в теневом интернете. Кроме того, медицинские организации могут быть привлечены к ответственности в соответствии с санкциями, регулируемыми Генеральным регламентом ЕС о защите персональных данных (GDPR ) в Европе и Законом об ответственности и переносе данных о страховании здоровья граждан (HIPAA) в США.
В отчете перечислены шаги, которые можно предпринять для обеспечения безопасного использования и хранения данных:
- Проверьте, не выходят ли меры, принятые вами в ответ на пандемию, за границы вашей политики безопасности: ваши контрагенты могут получить несанкционированный доступ к информации на сетевых устройствах хранения данных, установленных в связи со сложившейся ситуацией, и к приложениям для совместного использования файлов.
- Обеспечьте надлежащую сегментацию оборудования медицинской визуализации, подключенного к сети для расширения сферы деятельности предприятия или подключенного к публичным сетям.
- Проведите полноценный аудит силами сторонних партнеров.
Оригинал новости можно прочитать здесь